Установка и настройка роли сервера сетевых политик.
1. Включение роли
Нажмите кнопку Пуск, выберите пункт Выполнить и введите CompMgmtLauncher, после чего нажмите клавишу ВВОД.
В окне Диспетчер сервера в разделе Сводка по ролям выберите Добавить роли и нажмите кнопку Далее.
Установите флажок службы политики сети и службы доступа и дважды нажмите кнопку Далее.
Установите флаг Сервер политики сети нажмите кнопку Далее, а затем нажмите кнопку Установить.
Если установка завершена успешно, нажмите кнопку Закрыть.
В окне Диспетчер сервера нажмите кнопку Закрыть.
2. Настройка сервера политики сети
Запустить консоль сервера NAP можно через диспетчер сервера.
Либо через консоль mmc путем добавление оснастки «Сервер политики сети».
Далее необходимо зарегистрировать сервер в Active Directory.
Для регистрации сервера необходим доступ администратора домена либо сервер уже должен быть членом группы «RAS and IAS Servers»
3. Создание RADIUS– клиента
Для создание нового клиента нужно щелкнуть правой клавише мыши на представлении RADIUS—клиенты, выбрать Новый документ и ввести понятное имя клиента, ip—адрес и общий секрет.
Изначально количество символов составляет 64, но не все устройства поддерживают такой длинный секрет.
Так же для удобства можно, создать шаблон с общим секретом во вкладке Управление шаблонами.
При создании клиента можно выбрать шаблон секрета из списка
4. Создание сетевых политик
Первым шагом необходимо зайти в представление «Политики запросов на подключение» и в политике создан-ной по умолчанию с именем «Использовать проверку подлинности Windows для всей пользователей» изменить значение на ежедневно с 00:00—24:00.
В представлении «Сетевые политики» нам необходимо создать новую политику.
Вводим имя политики и жмем Далее.
На следующей вкладке добавляем новое условие. В данном случае указываем имя группы, которой хотим предо-ставить доступ, жмем Добавить группы, выбираем группу пользователей и нажимаем ОК.
Поскольку настройки политик для каждого вендора существенно различаются добавляем еще одно условие Понятное имя клиента , куда вводим часть имени RADIUS-клиента.
Знак ? подразумевает, что наше условие будет обрабатывать запросы на подключение от всех клиентов в имени которых присутствует Arlan.
На следующей вкладке выставляем флаг Доступ разрешен и жмем Далее
Поскольку протокол PPP не поддерживает других методов проверки подлинности во вкладке Настройка методов про-верки подлинности ставим флаг «Проверка подлинности открытым текстом (PAP, SPAP)», остальные флажки можно снять.
Нажимаем Далее и у нас появляется следующее сообщение:
Нажимаем НЕТ и Далее.
Убираем флаг «Без шифрования» и жмем ОК.
Настройка RADIUS на клиенте.
Настройка для каждого вендора выполняется зачастую по своему, по этому постараюсь привести немногие варианты.
1. Настройка коммутаторов Allied Telesis AT8000s
Настраиваем политику сети
Полный доступ:
Доступ только на чтение:
2. Настройка коммутаторов Brocade ICX
Настраиваем политику сети
Полный доступ:
Добавляем новый параметр во вкладке «Параметры зависящие от поставщика», вводим код поставщика 1991, настраиваем атрибут с номером атрибута 1 и значением атрибута 0.
Доступ только чтение
Добавляем новый параметр во вкладке «Параметры зависящие от поставщика», вводим код поставщика 1991, настраиваем атрибут с номером атрибута 1 и значением атрибута 5.
3 Настройка коммутаторов QTECH
Настройка политики сети
Полный доступ:
Доступ только чтение:
4. Настройка коммутаторов Cisco
Только чтение:
5. Настройка коммутаторов Arlan