Россия, Санкт-Петербург, Северо-Западный заочный технический университет, 2007 |
Использование сервера RADIUS для хранения учетных записей
Цель
Учетные записи пользователей хранятся на отдельном сервере, доступ к которому выполняется по протоколу RADIUS.
Топология сети
Описание практической работы
Сервер радиус
На Windows Server 2008 добавить роль Network Policy and Access Services.
В качестве RADIUS-клиента указать IP-адрес МЭ 2.
В свойствах указать тот же самый разделяемый секрет, что на NAS.
Создать политику запроса соединения (ConnectionRequestPolicies), в которой указать атрибуты RADIUS, присылаемые NAS.
Могут быть добавлены различные условия аутентификации NAS.
Эта информация должна присылаться NAS при запросе доступа.
Имена пользователей, которым разрешен доступ и, следовательно, они могут быть указаны на аутентифицируемой стороне туннеля, задаются следующими способами.
1. В политиках запроса соединения (Connection Request Policies) можно указать имя пользователя, задаваемое на аутентифици-руемой стороне туннеля.
2. В политиках сети (Network Policies) перечислить группы, чле-нам которых разрешен доступ.
На сервере RADIUS:
В данном примере члены группы l2tp_group могут быть указаны на аутентифицируемой стороне туннеля.
Roles → Active Directory Users and Computers → Users → l2tp_group
На аутентифицируемой стороне туннеля указывается имя пользователя:
Interfaces → PPTP/L2TP Clients
На стороне NAS проверяется, что аутентификация выполнена:
Status → User Authentication
NAS
Объекты Адресной Книги
Создать объекты, описывающие IP-адреса RADIUS-серверов аутентификации и авторизации.
Веб-интерфейс:
Object → Address Book → Add → Address Folder Name: radius Object → Address Book → radius → Add
Командная строка:
add Address AddressFolder radius cc Address AddressFolder radius add IP4Address radius_ip Address=192.168.2.121
Ссылка на RADIUS-сервера
Создать ссылку на внешнюю базу данных пользователей, в которой указывается тот же пароль, что и на сервере RADIUS.
Веб-интерфейс:
User Authentication → External User Databases → Add → RADIUS Server
Командная строка:
add RadiusServer radius_server_auth IPAddress=radius/radius_IP SharedSecret=qwerty
Создать ссылку на сервер хранения учетных записей RADIUS, в кото-рой указывается тот же пароль, что и на сервере RADIUS.
Веб-интерфейс:
User Authentication → Accounting Servers → Add → RADIUS Server
Командная строка
add RadiusAccounting radius_server_ac IPAddress=radius/radius_IP SharedSecret=qwerty
Правила аутентификации
Указать правила аутентификации.
Веб-интерфейс:
User Authentication Rules → Add User Authentication Rule
В качестве интерфейса указать интерфейс l2tp_server. В качестве исходного IP-адреса указать IP-адрес противоположной точки туннеля. В качестве IP-адреса завершения (Terminator IP) указать IP-адрес на локальной стороне.
На вкладке Authentication Options выбрать созданный RADIUS-Сервер.
На вкладке Accounting выбрать созданный RADIUS-Сервер.
На вкладке Agent Options указать параметры РРР-шифрования.
Командная строка
add UserAuthRuleAuth Source=RADIUS Interface=l2tp OriginatorIP=wan1/wan1_gwFW2 RadiusServers=W2K8_radius Agent=PPP TerminatorIP=wan1/wan1_ipFW2 AccountingServers=W2K8_radius Name=l2tp_radius