Windows server radius: Plan NPS as a RADIUS server
Содержание
RADIUS Server на базе WinSrv 2019 для Mikrotik
28 сентября, 2021
Sysadmintalks
Mikrotik, Windows
0
Mikrotik logo
В данной статье опишу конфигурацию Радиус сервера, для подключения к нему Mikrotik в качестве клиента.
Данная функция полезна, если у вас есть собственный домен на базе Active Directory, и вы не хотите каждый раз заводить VPN пользователей в ручную. Так же с помощью RADIUS сервера, можно настроить аутентификацию непосредственно на сам Mikrotik с помощью доменных учеток или аутентификацию на Wi-Fi
В общем, штука полезная.
Во время написания статьи все указанные настройки проводил на Windows Server 2019, но думаю она так же актуальна и для Windows Server 2016
Первое что нам нужно — сам Windows Server, в данной статье не описываю его установку. Думаю, раз вы дошли до этого материала, то развернуть WinSrv и выполнить базовую настройку Mikrotik вы в состоянии.
К делу.
Переходим к добавлению компонентов
- Диспетчер серверов — Добавить роли и компоненты
- Далее — Установка Ролей и Компонентов — Выбрать целевой сервер — Службы политики сети и доступы — (Копмпоненты) Далее — Установить
Выбираем Службы политики сети и доступа
После установки переходим к настройке:
- Средства — сервер политики сети
- ПКМ на NPS — Зарегистрировать сервер в Active Directory
Зарегистрировать сервер в Active Directory
- ПКМ на RADIUS-клиенты — Новый документ
- Устанавливаем флаг «Включит этот RADIUS-клиент»
- Понятное имя — Указываем понятное имя
- Адрес (IP или DNS) — указываем IP адрес или DNS имя Mikrotik.
- Общий секрет — Генерируем и сохраняем себе секретный ключ для обмена Mikrotik и RADIUS-сервера. Или используйте свой вариант ключа.
Свойства нового клиента Radius
- Развернуть политики — пкм на «Сетевые политики» — Создать новый документ
Задаем имя политики
Указываем имя сетевой политики
- Далее — Добавить
- Условие — Группы пользоватей — Добавить группы — Выбираем группу — Доступ разрешен
На самом деле, условий там масса, можете выбрать под свои цели. Самое частое всё таки «группы пользователей», ведь основная задача разгрузить логику добавления пользователей. В соответствии с данным условием — все пользователи, которые являются членами группы openvpn_users будут иметь возможность пользоваться openvpn
Тип Шифрования ms-chap можно отключить, как устарешвий. Оставить только MS_CHAP_V2
Однако есть нюанс, MS_CHAP_V2 работает только с RouterOS начиная с версии 6.43, если у вас версия моложе — или обновляйтесь, или используйте в политике шифрование PAP
Отключаем не безопасные протоколы
- Далее — Тип порта NAS — Асинхронная (модем)
Указываем тип порта NAS
- Далее — Оставляем только Service-Type = Login
Service-Type = Login
- На последнем окошке проверяем что указали правильные параметры и нигде не ошиблись. Клацаем Готово
Клацаем Готово- Настраиваем Брандмауэр
- Правила для входящих подключений — Предопределенные — Сервер политики сети
Сервер политики сети
- Выбираем правила с портами 1813/udp и 1812/udp
- Далее — Разрешить подключение.
Переходим к настройке Mikrotik
- PPP — Secrets — PPP Authentication & Accounting – Use Radius
/ppp aaa set use-radius=yes
В терминале
- Переходим в меню Radius и устанавливаем адрес сервера и секретный ключ
/radius add address=192.168.X.YYY secret=Radius-PASS service=ppp
В терминале
На этом настройка завершена. Теперь для подключения VPN можно использовать доменную учётку.
Другие стати по теме:
- Генерация сертификатов на Mikrotik для OpenVPN
- Настройка OpenVPN Server на Mikrotik RouterOS
- Сборка opvn.conf для клиента Mikrotik
Аутентификация RADIUS на базе Microsoft Windows Server на примере межсетевого экрана Dlink DFL — IT аутсорсинг для бизнеса
Аутентификация RADIUS на базе Microsoft Windows Server на примере межсетевого экрана Dlink DFL
При помощи стандартных компонентов Server 2008 достаточно легко реализуется RADIUS аутентификация пользователей на межсетевом экране DFL-860E.
Я думаю, что данный способ будет работать и на других сетевых устройствах. Задача была сделать простую аутентификацию без использования сертификатов ввиду небольшого количества юзеров Для начала необходимо поднять Роль сервера политик сети или NPS Обращаем внимание на то, где стоят галки.
В результате установки нашего NPS (Network Policy Server), в Ролях сервера посвится каталог — Службы политики сети и доступа.
После чего необходимо создать свои простые правила. Не используйте мастеров по генерации политик. После них ничего не работает, так как они предназначены для сложных конфигураций. Первым шагом создаем наше устройство, которое будет перенаправлять запросы на наш NPS. Идем на «Клиенты и серверы RADIUS», «RADIUS-клиенты». По правой кнопке создаем нового клиента – «новый документ»
Вводим имя, которое вам нравится. IP-адрес вашего устройства. Вводим пароль – ключ для данного устройства. На устройстве данный ключ должен быть прописан.
На вкладке «Дополнительно» выбираем RADIUS Standard, так как в нашем случае производитель устройства заложит стандартный алгоритм.
Идем в «Политики» — «Политики запросов на подключение» по правой кнопке создаем новую политику
Обзываем ее как нам нравится
В условиях делаем время доступа, такое, какое нам надо. В данном случае – круглосуточно.
Во вкладке параметры оставляем все по умолчанию
В проверке подлинности должно стоять «Проверять подлинность запросов на этом сервере»
Во всех остальных параметрах – пусто.
Далее идем в сетевые политики и создаем новый документ
Новой политике присваиваем имя
Во вкладке «Условия» добавляем тип проверки подлинности MS-CHAP v2 и добавляем группу пользователей Active Directory или самих пользователей, которым будет разрешено удаленно подключаться через наше сетевое устройство.
Во вкладке «Ограничения» указываем следующие параметры
Типы EAP:
- Microsoft: Защищенный пароль EAP-MSCHAP v2, Защищенные EAP (PEAP)
- Методы проверки подлинности ставим также MSCHAP-v2. MS-CHAP
Остальные ограничения — по умолчанию
Вкладка –«Параметры»
Шифрование устанавливаем такое как на рисунке: Простое шифрование, Сильное шифрование , Стойкое ифрование.
Автор не проверял какие из этих опций лишние.
Будет не лишним установить логи. Они нам помогут, если что пойдет не так как надо
Изначально файл логов пустой. Нужно выбрать его расположение и сохранить.
После этих настроек можно переходить к настройкам RADIUS сетевого устройства
Заходим в External Users Databases и создаем запись нашего сервера NPS
Во вкладке General, Shared Secret в указываем пароль, который должен совпадать на нашем RADIUS – сервере
В Accounting Servers создаем запись на наш сервер NPS
Также задаем наш сервер NPS предварительно прописанный в адресной книге нашего Dlink. Прописываем пароль, как на NPS сервере в прописанном устройстве.
Идем в User Authentication Rules и на первом месте создаем правило аутентификации RADIUS. В данном примере работать будет только оно. Последующее правило работать не будет
Во вкладке General выбираем RADID и привязываемся к соответствующим интерфейсам
Вкладка Log
Во вкладке Authentication Options указываем наш Radius Accounting Database
Во вкладке Accounting указываем наш Radius Accounting Server
В Agent Options указываем защищенные протоколы Chap, MS-Chap, MS-Chap v2
В Restrictions указываем опции позволящие входить несколько раз под одной записью.
Проделав данные манипуляции пробуем соединение с удаленной машины.
Настройка клиентского подключения будет описана в следующем документе
Данный документ может свободно публиковаться и распространяться при условии наличии в нем гиперссылки на сайт автора www.globaladmin.ru, либо на данную статью
Инженер Компании Глобал-Админ
Ярослав Егоров.
Планировать NPS как сервер RADIUS
- Статья
Применяется к: Windows Server 2022, Windows Server 2019, Windows Server 2016
При развертывании сервера политики сети (NPS) в качестве сервера службы удаленной аутентификации пользователей (RADIUS) сервер политики сети выполняет проверку подлинности, авторизацию и учет запросов на подключение для локального домена и доменов, которые доверяют локальному домену.
Эти рекомендации по планированию можно использовать для упрощения развертывания RADIUS.
Эти рекомендации по планированию не включают обстоятельства, при которых вы хотите развернуть сервер политики сети в качестве прокси-сервера RADIUS. Когда вы развертываете NPS в качестве прокси-сервера RADIUS, NPS перенаправляет запросы на подключение на сервер, на котором работает NPS, или другие серверы RADIUS в удаленных доменах, недоверенных доменах или в обоих.
Перед развертыванием NPS в качестве RADIUS-сервера в сети воспользуйтесь следующими рекомендациями для планирования развертывания.
Планирование конфигурации NPS.
Планирование клиентов RADIUS.
Спланируйте использование методов проверки подлинности.
Планирование сетевых политик.
План учета NPS.
Планирование конфигурации NPS
Необходимо решить, членом какого домена является NPS. Для многодоменных сред сервер политики сети может аутентифицировать учетные данные для учетных записей пользователей в домене, членом которого он является, и для всех доменов, которые доверяют локальному домену сервера политики сети.
Чтобы сервер политики сети мог считывать свойства удаленного доступа учетных записей пользователей во время процесса авторизации, необходимо добавить учетную запись компьютера сервера политики сети в группу RAS и NPS для каждого домена.
После того, как вы определили членство NPS в домене, сервер необходимо настроить для связи с клиентами RADIUS, также называемыми серверами доступа к сети, с использованием протокола RADIUS. Кроме того, вы можете настроить типы событий, которые NPS записывает в журнал событий, и вы можете ввести описание для сервера.
Ключевые шаги
Во время планирования конфигурации NPS можно использовать следующие шаги.
Определите порты RADIUS, которые сервер политики сети использует для получения сообщений RADIUS от клиентов RADIUS. Портами по умолчанию являются порты UDP 1812 и 1645 для сообщений проверки подлинности RADIUS и порты 1813 и 1646 для сообщений учета RADIUS.
Если NPS настроен с несколькими сетевыми адаптерами, определите адаптеры, через которые вы хотите разрешить трафик RADIUS.
Определите типы событий, которые сервер политики сети должен записывать в журнал событий. Вы можете регистрировать отклоненные запросы проверки подлинности, успешные запросы проверки подлинности или оба типа запросов.
Определите, развертываете ли вы более одного NPS. Чтобы обеспечить отказоустойчивость для проверки подлинности и учета на основе RADIUS, используйте как минимум два сервера политики сети. Один NPS используется в качестве основного сервера RADIUS, а другой — в качестве резервного. Затем каждый клиент RADIUS настраивается на обоих NPS. Если основной сервер политики сети становится недоступным, клиенты RADIUS отправляют сообщения запроса доступа на альтернативный сервер политики сети.
Спланируйте сценарий, используемый для копирования одной конфигурации NPS на другие NPS, чтобы сэкономить на административных издержках и предотвратить неправильную настройку сервера. Сервер политики сети предоставляет команды Netsh, которые позволяют копировать всю или часть конфигурации сервера политики сети для импорта на другой сервер политики сети.
Команды можно запускать вручную в командной строке Netsh. Однако, если вы сохраните свою последовательность команд в виде сценария, вы сможете запустить его позже, если решите изменить конфигурацию своего сервера.
Команды можно запускать вручную в командной строке Netsh. Однако, если вы сохраните свою последовательность команд в виде сценария, вы сможете запустить его позже, если решите изменить конфигурацию своего сервера.Планирование клиентов RADIUS
Клиенты RADIUS — это серверы доступа к сети, такие как точки беспроводного доступа, серверы виртуальной частной сети (VPN), коммутаторы с поддержкой 802.1X и серверы коммутируемого доступа. Прокси-серверы RADIUS, которые пересылают сообщения с запросами на подключение на серверы RADIUS, также являются клиентами RADIUS. NPS поддерживает все серверы доступа к сети и прокси-серверы RADIUS, которые соответствуют протоколу RADIUS, как описано в RFC 2865, «Служба удаленной аутентификации пользователей с телефонным подключением (RADIUS)» и RFC 2866, «Учет RADIUS».
Важно
Клиенты доступа, такие как клиентские компьютеры, не являются клиентами RADIUS. Только серверы доступа к сети и прокси-серверы, поддерживающие протокол RADIUS, являются клиентами RADIUS.
Кроме того, точки беспроводного доступа и коммутаторы должны поддерживать аутентификацию 802.1X. Если вы хотите развернуть Extensible Authentication Protocol (EAP) или Protected Extensible Authentication Protocol (PEAP), точки доступа и коммутаторы должны поддерживать использование EAP.
Чтобы проверить базовую совместимость соединений PPP для беспроводных точек доступа, настройте точку доступа и клиент доступа для использования протокола аутентификации по паролю (PAP). Используйте дополнительные протоколы проверки подлинности на основе PPP, такие как PEAP, пока не протестируете те, которые собираетесь использовать для доступа к сети.
Ключевые шаги
Во время планирования для клиентов RADIUS можно использовать следующие шаги.
Задокументируйте атрибуты поставщика (VSA), которые необходимо настроить в NPS. Если для ваших серверов доступа к сети требуются VSA, зарегистрируйте информацию о VSA для последующего использования при настройке сетевых политик в NPS.
Задокументируйте IP-адреса клиентов RADIUS и NPS, чтобы упростить настройку всех устройств. При развертывании клиентов RADIUS необходимо настроить их для использования протокола RADIUS с IP-адресом NPS, введенным в качестве сервера проверки подлинности. И когда вы настраиваете NPS для связи с вашими RADIUS-клиентами, вы должны ввести IP-адреса RADIUS-клиентов в оснастку NPS.
Создайте общие секреты для настройки на клиентах RADIUS и в оснастке NPS. Вы должны настроить RADIUS-клиенты с общим секретом или паролем, который вы также введете в оснастку NPS при настройке RADIUS-клиентов в NPS.
Планирование использования методов проверки подлинности
NPS поддерживает методы проверки подлинности как на основе пароля, так и на основе сертификата. Однако не все серверы доступа к сети поддерживают одни и те же методы проверки подлинности. В некоторых случаях может потребоваться развернуть другой метод проверки подлинности в зависимости от типа доступа к сети.
Например, вы можете захотеть развернуть в своей организации как беспроводной, так и VPN-доступ, но использовать разные методы аутентификации для каждого типа доступа: EAP-TLS для VPN-подключений из-за надежной защиты, которую обеспечивает EAP с Transport Layer Security ( EAP-TLS) и PEAP-MS-CHAP v2 для беспроводных соединений 802.1X.
PEAP с протоколом аутентификации Microsoft Challenge Handshake Authentication Protocol версии 2 (PEAP-MS-CHAP v2) предоставляет функцию быстрого повторного подключения, специально разработанную для использования с портативными компьютерами и другими беспроводными устройствами. Быстрое повторное подключение позволяет беспроводным клиентам перемещаться между точками беспроводного доступа в одной и той же сети без повторной аутентификации каждый раз, когда они связываются с новой точкой доступа. Это обеспечивает лучший опыт для пользователей беспроводной сети и позволяет им перемещаться между точками доступа без повторного ввода своих учетных данных.
Из-за быстрого повторного подключения и безопасности, которую обеспечивает PEAP-MS-CHAP v2, PEAP-MS-CHAP v2 является логичным выбором в качестве метода проверки подлинности для беспроводных подключений.
Для VPN-подключений EAP-TLS — это метод проверки подлинности на основе сертификатов, обеспечивающий надежную защиту сетевого трафика даже при его передаче через Интернет с домашних или мобильных компьютеров на VPN-серверы вашей организации.
Методы проверки подлинности на основе сертификатов
Методы проверки подлинности на основе сертификатов обеспечивают надежную защиту; и у них есть недостаток, заключающийся в том, что их сложнее развернуть, чем методы аутентификации на основе пароля.
Как PEAP-MS-CHAP v2, так и EAP-TLS являются методами аутентификации на основе сертификатов, но между ними и способами их развертывания есть много различий.
EAP-TLS
EAP-TLS использует сертификаты для проверки подлинности как клиента, так и сервера и требует развертывания инфраструктуры открытых ключей (PKI) в вашей организации.
Развертывание PKI может быть сложным и требует этапа планирования, независимого от планирования использования NPS в качестве сервера RADIUS.
При использовании EAP-TLS сервер политики сети регистрирует сертификат сервера из центра сертификации (ЦС), и сертификат сохраняется на локальном компьютере в хранилище сертификатов. В процессе проверки подлинности проверка подлинности сервера происходит, когда NPS отправляет свой сертификат сервера клиенту доступа, чтобы подтвердить свою личность клиенту доступа. Клиент доступа проверяет различные свойства сертификата, чтобы определить, действителен ли сертификат и подходит ли он для использования во время проверки подлинности сервера. Если сертификат сервера соответствует минимальным требованиям к сертификату сервера и выдан ЦС, которому доверяет клиент доступа, сервер политики сети успешно проходит проверку подлинности клиентом.
Аналогично, проверка подлинности клиента происходит во время процесса проверки подлинности, когда клиент отправляет свой сертификат клиента серверу политики сети, чтобы подтвердить свою личность серверу политики сети.
Сервер политики сети проверяет сертификат, и если сертификат клиента соответствует минимальным требованиям к сертификату клиента и выдан ЦС, которому доверяет сервер политики сети, клиент доступа успешно проходит проверку подлинности сервером политики сети.
Хотя требуется, чтобы сертификат сервера хранился в хранилище сертификатов на сервере политики сети, клиентский или пользовательский сертификат может храниться либо в хранилище сертификатов на клиенте, либо на смарт-карте.
Для успешного выполнения этого процесса аутентификации необходимо, чтобы все компьютеры имели сертификат ЦС вашей организации в хранилище сертификатов доверенных корневых центров сертификации для локального компьютера и текущего пользователя.
PEAP-MS-CHAP v2
PEAP-MS-CHAP v2 использует сертификат для проверки подлинности сервера и учетные данные на основе пароля для проверки подлинности пользователя. Поскольку сертификаты используются только для проверки подлинности сервера, развертывание PKI для использования PEAP-MS-CHAP v2 не требуется.
При развертывании PEAP-MS-CHAP v2 вы можете получить сертификат сервера для NPS одним из следующих двух способов:
Вы можете установить службы сертификатов Active Directory (AD CS), а затем автоматически подать заявку на сертификаты на NPS. Если вы используете этот метод, вы также должны зарегистрировать сертификат ЦС на клиентских компьютерах, подключающихся к вашей сети, чтобы они доверяли сертификату, выданному NPS.
Сертификат сервера можно приобрести в общедоступном центре сертификации, таком как VeriSign. Если вы используете этот метод, убедитесь, что вы выбрали ЦС, которому уже доверяют клиентские компьютеры. Чтобы определить, доверяют ли клиентские компьютеры ЦС, откройте оснастку «Сертификаты» консоли управления (MMC) на клиентском компьютере, а затем просмотрите хранилище доверенных корневых центров сертификации для локального компьютера и для текущего пользователя. Если в этих хранилищах сертификатов есть сертификат ЦС, клиентский компьютер доверяет ЦС и, следовательно, будет доверять любому сертификату, выпущенному ЦС.
Во время процесса проверки подлинности с помощью PEAP-MS-CHAP v2 проверка подлинности сервера происходит, когда NPS отправляет свой сертификат сервера на клиентский компьютер. Клиент доступа проверяет различные свойства сертификата, чтобы определить, действителен ли сертификат и подходит ли он для использования во время проверки подлинности сервера. Если сертификат сервера соответствует минимальным требованиям к сертификату сервера и выдан ЦС, которому доверяет клиент доступа, сервер политики сети успешно проходит проверку подлинности клиентом.
Аутентификация пользователя происходит, когда пользователь, пытающийся подключиться к сети, вводит учетные данные на основе пароля и пытается войти в систему. NPS получает учетные данные и выполняет проверку подлинности и авторизацию. Если пользователь успешно прошел проверку подлинности и авторизацию, а клиентский компьютер успешно прошел проверку подлинности NPS, запрос на подключение будет удовлетворен.
Ключевые шаги
Во время планирования использования методов проверки подлинности вы можете использовать следующие шаги.
Определите типы доступа к сети, которые вы планируете предлагать, такие как беспроводная связь, VPN, коммутатор с поддержкой 802.1X и коммутируемый доступ.
Определите метод или методы аутентификации, которые вы хотите использовать для каждого типа доступа. Рекомендуется использовать методы проверки подлинности на основе сертификатов, которые обеспечивают надежную защиту; однако для вас может оказаться нецелесообразным развертывание PKI, поэтому другие методы проверки подлинности могут обеспечить лучший баланс между тем, что вам нужно для вашей сети.
Если вы развертываете EAP-TLS, спланируйте развертывание PKI. Сюда входит планирование шаблонов сертификатов, которые вы собираетесь использовать для сертификатов серверов и сертификатов клиентских компьютеров. Сюда также входит определение того, как подавать сертификаты на компьютеры, входящие и не входящие в домен, и определение того, хотите ли вы использовать смарт-карты.
Если вы развертываете PEAP-MS-CHAP v2, определите, хотите ли вы установить AD CS для выдачи серверных сертификатов вашим серверам политики сети или хотите ли вы приобрести сертификаты сервера в общедоступном центре сертификации, таком как VeriSign.
Планирование сетевых политик
Сетевые политики используются сервером политики сети для определения авторизации запросов на подключение, полученных от клиентов RADIUS. Сервер политики сети также использует свойства телефонного подключения учетной записи пользователя для определения авторизации.
Поскольку сетевые политики обрабатываются в том порядке, в котором они отображаются в оснастке NPS, запланируйте размещение самых ограничительных политик первыми в списке политик. Для каждого запроса на подключение NPS пытается сопоставить условия политики со свойствами запроса на подключение. Сервер политики сети проверяет каждую сетевую политику по порядку, пока не найдет совпадение. Если он не находит соответствия, запрос на подключение отклоняется.
Ключевые шаги
Во время планирования сетевых политик можно использовать следующие шаги.
Определите предпочтительный порядок обработки NPS сетевых политик, от наиболее строгих до наименее строгих.
Определить состояние политики. Состояние политики может иметь значение «включено» или «выключено». Если политика включена, NPS оценивает политику при выполнении авторизации. Если политика не включена, она не оценивается.
Определите тип политики. Вы должны определить, предназначена ли политика для предоставления доступа, когда условия политики совпадают с запросом на подключение, или политика предназначена для отказа в доступе, когда условия политики соответствуют запросу на подключение. Например, если вы хотите явно запретить беспроводный доступ членам группы Windows, вы можете создать сетевую политику, указывающую группу, метод беспроводного подключения и имеющую настройку типа политики «Запретить доступ».
Определите, хотите ли вы, чтобы NPS игнорировал свойства удаленного доступа учетных записей пользователей, которые являются членами группы, на которой основана политика. Если этот параметр не включен, свойства удаленного доступа учетных записей пользователей переопределяют параметры, настроенные в сетевых политиках.
Например, если настроена сетевая политика, предоставляющая доступ пользователю, но свойства удаленного доступа учетной записи пользователя для этого пользователя настроены на отказ в доступе, пользователю будет отказано в доступе. Но если вы включите параметр типа политики Игнорировать свойства удаленного доступа учетной записи пользователя, тому же пользователю будет предоставлен доступ к сети.Определите, использует ли политика параметр источника политики. Этот параметр позволяет легко указать источник для всех запросов на доступ. Возможными источниками являются шлюз служб терминалов (шлюз служб терминалов), сервер удаленного доступа (VPN или коммутируемое соединение), сервер DHCP, точка беспроводного доступа и сервер центра регистрации работоспособности. Кроме того, вы можете указать источник, зависящий от поставщика.
Определите условия, которые должны быть соблюдены для применения сетевой политики.
Определите параметры, которые применяются, если условия сетевой политики соответствуют запросу на подключение.
Определите, хотите ли вы использовать, изменить или удалить сетевые политики по умолчанию.
Например, если настроена сетевая политика, предоставляющая доступ пользователю, но свойства удаленного доступа учетной записи пользователя для этого пользователя настроены на отказ в доступе, пользователю будет отказано в доступе. Но если вы включите параметр типа политики Игнорировать свойства удаленного доступа учетной записи пользователя, тому же пользователю будет предоставлен доступ к сети.
Планирование учета NPS
Сервер политики сети предоставляет возможность регистрировать учетные данные RADIUS, такие как проверка подлинности пользователя и запросы учета, в трех форматах: формат IAS, формат, совместимый с базой данных, и журнал Microsoft SQL Server.
Формат IAS и формат, совместимый с базой данных, создают файлы журнала на локальном NPS в формате текстового файла.
Ведение журнала SQL Server обеспечивает возможность ведения журнала в базу данных SQL Server 2000 или SQL Server 2005, совместимую с XML, расширяя учет RADIUS, чтобы использовать преимущества ведения журнала в реляционной базе данных.
Ключевые шаги
Во время планирования учета NPS можно использовать следующие шаги.
- Определите, хотите ли вы хранить данные учета NPS в файлах журналов или в базе данных SQL Server.
Учет NPS с использованием локальных файлов журналов
Запись запросов проверки подлинности и учета пользователей в файлы журналов используется в основном для анализа подключений и выставления счетов, а также полезна в качестве инструмента исследования безопасности, предоставляя вам метод отслеживания активности злонамеренный пользователь после атаки.
Ключевые шаги
Во время планирования учета NPS с использованием локальных файлов журналов можно выполнить следующие шаги.
Определите формат текстового файла, который вы хотите использовать для файлов журнала NPS.
Выберите тип информации, которую вы хотите регистрировать. Вы можете регистрировать учетные запросы, запросы аутентификации и периодическое состояние.
Определите место на жестком диске, где вы хотите хранить файлы журнала.
Разработайте решение для резервного копирования файлов журнала. Место на жестком диске, где вы храните файлы журналов, должно позволять вам легко создавать резервные копии ваших данных. Кроме того, место на жестком диске должно быть защищено путем настройки списка управления доступом (ACL) для папки, в которой хранятся файлы журналов.
Определите частоту создания новых файлов журналов. Если вы хотите, чтобы файлы журналов создавались на основе размера файла, определите максимально допустимый размер файла, прежде чем сервер политики сети создаст новый файл журнала.
Определите, хотите ли вы, чтобы NPS удалял старые файлы журналов, если на жестком диске заканчивается место для хранения.
Определите приложение или приложения, которые вы хотите использовать для просмотра учетных данных и создания отчетов.
Ведение журнала NPS SQL Server
Ведение журнала NPS SQL Server используется, когда вам нужна информация о состоянии сеанса, для создания отчетов и целей анализа данных, а также для централизации и упрощения управления данными учета.
NPS позволяет использовать ведение журнала SQL Server для записи запросов проверки подлинности и учета пользователей, полученных от одного или нескольких серверов сетевого доступа к источнику данных на компьютере, на котором работает Microsoft SQL Server Desktop Engine (MSDE 2000) или любая версия SQL Сервер более поздней версии, чем SQL Server 2000.
Данные учета передаются из NPS в формате XML в хранимую процедуру в базе данных, которая поддерживает язык структурированных запросов (SQL) и XML (SQLXML).
Запись запросов проверки подлинности и учета пользователей в базе данных SQL Server, совместимой с XML, позволяет нескольким серверам политики сети иметь один источник данных.
Ключевые шаги
Во время планирования учета NPS с помощью ведения журнала NPS SQL Server можно выполнить следующие шаги.
Определите, имеете ли вы или другой член вашей организации опыт разработки реляционных баз данных SQL Server 2000 или SQL Server 2005 и понимаете ли вы, как использовать эти продукты для создания, изменения, администрирования и управления базами данных SQL Server.
Определите, установлен ли SQL Server на сервере политики сети или на удаленном компьютере.
Разработайте хранимую процедуру, которую вы будете использовать в своей базе данных SQL Server для обработки входящих XML-файлов, содержащих учетные данные NPS.
Разработайте структуру и поток репликации базы данных SQL Server.
Определите приложение или приложения, которые вы хотите использовать для просмотра учетных данных и создания отчетов.
Запланируйте использование серверов доступа к сети, которые отправляют атрибут Class во всех запросах учета. Атрибут Class отправляется клиенту RADIUS в сообщении Access-Accept и полезен для корреляции сообщений Accounting-Request с сеансами аутентификации. Если атрибут класса отправляется сервером доступа к сети в сообщениях запроса учета, его можно использовать для сопоставления записей учета и аутентификации. Комбинация атрибутов Unique-Serial-Number, Service-Reboot-Time и Server-Address должна быть уникальной идентификацией для каждой проверки подлинности, которую принимает сервер.
Запланируйте использование серверов сетевого доступа, поддерживающих промежуточный учет.
Запланируйте использование серверов доступа к сети, которые отправляют сообщения Accounting-on и Accounting-off.
Запланируйте использование серверов доступа к сети, поддерживающих хранение и пересылку учетных данных. Серверы доступа к сети, поддерживающие эту функцию, могут хранить данные учета, когда сервер доступа к сети не может связаться с сервером политики сети.
Когда NPS доступен, сервер сетевого доступа пересылает сохраненные записи на NPS, обеспечивая повышенную надежность учета по сравнению с серверами сетевого доступа, которые не предоставляют эту функцию.Планируйте всегда настраивать атрибут Acct-Interim-Interval в сетевых политиках. Атрибут Acct-Interim-Interval устанавливает интервал (в секундах) между каждым промежуточным обновлением, отправляемым сервером доступа к сети. Согласно RFC 2869 значение атрибута Acct-Interim-Interval не должно быть меньше 60 секунд (1 минута) и не должно быть меньше 600 секунд (10 минут). Это означает, что значения более 600 секунд уменьшат частоту обновлений, полученных сервером RADIUS. Для получения дополнительной информации см. RFC 2869..
Убедитесь, что на серверах политики сети включено ведение журнала периодического состояния.
Когда NPS доступен, сервер сетевого доступа пересылает сохраненные записи на NPS, обеспечивая повышенную надежность учета по сравнению с серверами сетевого доступа, которые не предоставляют эту функцию.Как настроить Windows RADIUS
Как настроить Windows RADIUS — Cloud RADIUS
Организации, имеющие лицензию на любую версию серверов Microsoft Windows, имеют доступ к инструменту Network Policy Server (NPS).
RADIUS-серверы в Windows обычно реализуются через NPS. Хотя он существует для создания и применения политик доступа к сети на любом уровне, NPS часто используется в качестве самого RADIUS или прокси-сервера для пересылки запросов на сторонние RADIUS.
NPS — это обходной путь. Он позволяет аутентифицировать клиентов через самые разные точки доступа:
- коммутаторы 802.1x
- Wi-Fi
- VPN
- Коммутируемый номер
- Маршрутизатор-маршрутизатор
… Если, конечно, вы хотите пройти аутентификацию с помощью Active Directory (AD). Хотя интеграция между NPS и AD более или менее безупречна, это старая технология, которая с каждым днем становится все более устаревшей, поскольку Microsoft не предлагает облачных решений для WPA2-Enterprise.
Недостатки серверов Windows RADIUS (NPS)
Сервер NPS привязан к поставщику
Собственное решение сервера RADIUS для Windows совместимо с Active Directory только через протокол LDAP.
Конечно, существуют сторонние решения для преодоления ограничения, но это неизбежно усложняет вашу систему сетевой аутентификации.
NPS не поддерживает облако
NPS очень полезен в локальной ситуации в сочетании с Active Directory, поскольку именно для этого он и был разработан. Он был создан задолго до того, как облачные серверы стали возможными, и до сих пор цепляется за это наследие.
Встроенная возможность подключения NPS к облачным каталогам отсутствует. Фактически, он даже не работает с собственной облачной платформой Microsoft: Azure. Однако существуют сторонние решения, позволяющие использовать Active Directory с облачным сервером RADIUS, например Cloud RADIUS. .
Cloud RADIUS для Windows
Microsoft Azure — это одно из решений для модернизации вашей сетевой аутентификации, но оно требует полной разборки и перестройки вашей инфраструктуры.
Будущее в облаке, поэтому и ваш RADIUS тоже должен быть.
Это огромные затраты времени и денег.
Для успешного перехода без простоя сети, при сохранении жесткого периметра безопасности, а также и , повторная регистрация каждого пользователя и устройства является гигантской задачей.
Для большинства организаций это просто невозможно. К счастью, CloudRADIUS — это готовое решение, которое позволяет преодолеть разрыв между локальной и облачной без описанных выше обновлений вилочного погрузчика. Наши услуги RADIUS и управляемых PKI (на базе SecureW2) легко интегрируются с решениями всех основных поставщиков. Мы работали с бесчисленным количеством организаций, чтобы перейти на полностью облачную среду, используя Azure с Cloud RADIUS.
Как настроить Windows RADIUS (NPS)
Следующее пошаговое руководство предназначено для Windows Server 2016, одной из наиболее распространенных установок. Однако шаги очень похожи для Windows Server 2019.
1. Настройте группу безопасности
В домене Active Directory создайте группу безопасности.
Добавьте всех пользователей, которые будут аутентифицироваться через ваш новый RADIUS.
2. Добавить сетевую политику и роль служб доступа
Консоль диспетчера серверов содержит мастер добавления ролей и компонентов. Этот мастер управляет установкой и настройкой всех дополнительных функций Windows Server, включая NPS. Выберите «Сетевая политика и службы доступа» из списка.
3. Snap-In NPS to AD
На вкладке «Инструменты» Windows Server найдите параметр «Сервер политики сети» и щелкните его. В меню оснастки NPS найдите корень с надписью «NPS (локальный)» и щелкните его правой кнопкой мыши. Выберите «Зарегистрировать сервер в Active Directory».
Выберите OK в появившемся диалоговом окне подтверждения.
4. Добавьте клиент RADIUS в NPS
В дереве консоли NPS должна быть папка RADIUS Clients and Servers. Откройте его, найдите запись «Клиенты RADIUS», затем щелкните ее правой кнопкой мыши. Выберите «Новый» из выпадающего списка.
Заполните каждое поле.
«Дружественное имя» — это псевдоним вашего клиента, «Адрес» может быть IP- или DNS-именем, а «Общий секрет» должен быть определен при настройке точки доступа.
Обратите внимание, , что общие секреты являются слабой формой безопасности аутентификации. Цифровые сертификаты обеспечивают наилучшую безопасность. Сертификаты также легко авторизуются. Добавьте сертификат точки доступа в личное хранилище сертификатов на локальном компьютере, затем запросите и импортируйте сертификат .p12 на сервер политики сети.
SecureW2 позволяет легко создать пользовательский частный ЦС и экспортировать .p12 для последующего импорта в NPS. Или вы можете импортировать свои сертификаты AD CS и использовать SecureW2 для регистрации устройств конечных пользователей для самообслуживания для клиентских сертификатов для вашего центра сертификации AD CS.
При использовании точки доступа крупного поставщика, например Aruba или Cisco, перейдите на вкладку «Дополнительно» и выберите поставщика из списка «Имя поставщика».