Установка и настройка Indeed NPS RADIUS Extension.
Предварительные условия установки.
Рассмотрим установку Indeed NPS RADIUS Extension на сервер Windows Server 2012 r2. Для корректной установки и работы Indeed NPS RADIUS Extension необходимы продукты компании Indeed, установленные в следующей конфигурации:
- Indeed-Id Enterprise Server.
- Провайдеры аутентификации Indeed-Id (один или несколько):
- Indeed-Id SMS OTP Provider (без PIN-кода).
- Indeed-Id Email OTP Provider.
- Indeed-Id Google OTP Provider (без PIN-кода).
- Indeed-Id Passcode Provider.
- Консоль управления Indeed EMC.
- Зарегистрированные пользовательские лицензии системы Indeed Enterprise Authentication.
- Поддерживаемые методы (протоколы) аутентификации:
Порядок установки. Компоненты системы Indeed Enterprise Authentication для аутентификации на RADIUS-совместимых сервисах необходимо устанавливать в следующем порядке:
- Indeed NPS RADIUS Extension устанавливается на сервере с компонентом Сервер сетевых политик (Network Policy Server, NPS) роли Политика сети и службы доступа (Network Policy and Access Services, NPAS).
- На каждом сервере Indeed EA устанавливаются провайдеры Indeed (один или несколько), необходимые для аутентификации в RADIUS-сервисах.
Установка Network Policy Server.
- Запустить Мастер добавления ролей и компонентов (Add Roles and Features Wizard).
- Из списка ролей выбираем роль Службы политики сети и доступа (Network Policy and Access Services), соглашаемся с установкой дополнительных компонентов.
- Из списка “Службы ролей” выбираем "Сервер политики сети (Network Policy Server)".
- В окне “Подтверждение установки компонентов” нажимаем “Установить”. В результате кроме самой роли будет установлен Web-Server (IIS) и внутренняя база данных Windows.
Настройка NPS Сервера.
- Запустить из средств “Сервер сетевых политик”.
- Добавить в RADIUS - Клиенты Ваш VPN сервер.
- Правая кнопка мыши по RADIUS - Клиенты
- Новый документ.
- Настраиваем нового клиента.
- Добавляем имя для нашего сервера VPN (1).
- Указываем IP адрес нашего сервера VPN (2).
- Задаем секретный ключ для соединения с сервером (3) (Данный ключ задается на сервере и на клиенте).
Настройка Radius-клиента на VPN сервере. Данная настройка осуществляется на сервере VPN.
- Открываем настройки сервера.
- Открыть “Выполнить” - Win + R.
- Вставить “rrasmgmt.msc”.
- Открыть редактирование сервера.
- Правая кнопка мыши по названию Вашего сервера.
- Свойства.
- Открыть вкладку “Безопасность” (1).
- Установить “Поставщик службы проверки подлинности - RADIUS” (2).
- Настроить соединение с Radius сервером, нажать “Настроить...” (3).
- Имя сервера: Ip-адрес Вашего Radius сервера (4).
- Установить общий секрет (5).
- Ввести секрет назначенный в пункте: “Настройка NPS Сервера 3. с.” (6).
Установка Indeed NPS RADIUS Extension.
Для установки Indeed NPS RADIUS Extension выполните следующие действия:
- Запустите файл IndeedID.EA.RADIUS.Extension.x86.ru-ru.msi из дистрибутива и выполните установку, следуя указаниям мастера (Для установки на 64-битных ОС следует использовать инсталлятор IndeedID.EA.RADIUS.Extension.x64.ru-ru.msi. ).
- Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.
Установка, настройка, удаление и обновление провайдеров аутентификации осуществляется в соответствии с руководством по установке и эксплуатации соответствующего провайдера.
Создание и настройка групповых политик Indeed NPS RADIUS Extension. Все групповые политики применяется к рабочей станции с установленным компонентом Сервер сетевых политик (Network Policy Server, NPS) роли Политика сети и службы доступа (Network Policy and Access Services, NPAS). Настройка входа указывается только для групп пользователей.
Создание политики.
- Открыть “Управление групповой политикой”.
- Открыть “Выполнить” - Win + R.
- Запустить “gpmc.msc”.
- Создать объект групповой политики.
- Меню “Действие”.
- Пункт “Создать объект групповой политики и связать его…”.
- Добавить в фильтры безопасности настроенный сервер NPS.
Редактирование политики.
- Открыть редактирование созданной политики.
- Откройте для редактирования “Настройка способов входа для групп пользователей”.
- Включите (1) данный параметр и откройте редактирование содержимого (2).
- Добавьте в “Имя значения” значение атрибута “distinguishedName” Вашей группы пользователей (1).
- Вставьте в “Значение” ключ используемого провайдера (2).
В данном примере используется способ GoogleOTP для однофакторной аутентификации.
|