Для обеспечения балансировки нагрузки и отказоустойчивости инфраструктуры с Radius серверами, можно настроить балансировку нагрузки с использование Radius Proxy сервера.
Предварительные требование:
- Несколько Radius серверов, настроенных на работу с клиентским приложением и настроенные на использование Indeed AM Radius NPS.
- Подготовленный сервер с установленной ролью NPS. Данный сервер будет использовать в качестве Radius Proxy.
В данной инструкции предполагается, что в инфраструктуре есть развернутая и работоспособная система Indeed AM.
Настройка Radius Proxy
- Откройте оснастку "Сервер сетевых политик" и создайте Radius клиента.
![](https://support.indeed-id.ru/__swift/files/1584721168e69ccf8aab45801f45818f03096ca34ca929d6af.png)
- В окне "Новый Radius клиент" укажите следующие данные:
- Понятное имя - Произвольное имя создаваемого клиента. Имя будет отображаться в оснастке NPS.
- Адрес (Ip или DNS) - Ip адрес или DNS клиентского компонента. В данном примере используется Citrix Netscaler.
- Общий секрет и Подтверждение общего секрета - Требуется указать общий секрет для подключения, который был задан в клиентском приложении.
![](https://support.indeed-id.ru/__swift/files/1584721212e89f10b18392250210b7bb7fedd12e2856b42728.png)
- Создайте группу внешних Radius серверов. Для этого нажмите правой кнопкой мыши по "Группы внешних..." и выберете "Новый документ".
![](https://support.indeed-id.ru/__swift/files/1584721536bcc6ca4e154d194ced0a9fc5d7c3470d943d0282.png)
- В окне "Создать группу внешних Radius-серверов" укажите имя группы и нажмите "Добавить".
- В окне "Добавление Radius-сервера" на вкладке "Адрес" укажите Ip адрес одного из Radius серверов, настроенных на работу с клиентским приложением и с развернутым расширением Indeed AM Radius.
![](https://support.indeed-id.ru/__swift/files/15847217481e318209178a512f0bd96f6c9d23ba3d793848b7.png)
- На вкладке "Проверка подлинности и учетные данные" укажите общий секрет, заданный в клиентском приложении, в полях "Общий секрет" и "Подтверждение общего секрета". Остальные параметры оставьте по умолчанию.
![](https://support.indeed-id.ru/__swift/files/1584721974ccd90609990f5f1a7f3de0eea59b426669a36321.png)
- На вкладке "Балансировка нагрузке" укажите параметры:
- Приоритет - Приоритет определяет порядок важности сервера RADIUS для прокси-сервера NPS. Чем меньше число, тем выше приоритет, который прокси-сервер NPS отдает серверу RADIUS. Если серверу RADIUS назначен самый высокий приоритет 1, прокси-сервер NPS сначала отправляет запросы на подключение к серверу RADIUS. Если сервер недоступен, он отправляет запросы на подключение к серверам RADIUS с приоритетом 2 и т.д. Рекомендуется задать приоритет 1 для всех Radius серверов, балансировку нагрузку осуществлять за счет изменения параметра "Вес".
- Вес - Radius сервер использует эту настройку, чтобы определить, сколько запросов на соединение отправлять каждому члену группы, когда члены группы имеют одинаковый уровень приоритета.
Настройке веса должно быть присвоено значение от 1 до 100(100 соответствует 100% нагрузки). Если двум серверам назначены одинаковый приоритет и вес, запросы на соединение распределяются между двумя серверами равномерно.
- Число секунд без ответа, после которого.. - Установите значение минимум 15 секунд.
![](https://support.indeed-id.ru/__swift/files/158529898259f70e68c0ffcc4138f3792cd3038b2b6e45b7f1.png)
- Аналогичным образом добавьте все Radius сервера имеющиеся в инфраструктуре.
![](https://support.indeed-id.ru/__swift/files/1584722959060d7d5d7dd1e51d21e10d37be9aea96e60fc9fc.png)
- Создайте политику запросов на подключения. Для этого разверните вкладку "Политики" -> Правой кнопкой мыши по "Политики запросов на подключение" -> "Новый документ"
![](https://support.indeed-id.ru/__swift/files/1584723019cdae98fd1e273c1b132c47de8317af63e120c952.png)
- В окне "Новая политика запросов на подключение" укажите имя политики и нажмите "Далее".
![](https://support.indeed-id.ru/__swift/files/1584723121d76f344e0bcd7bda71f91657b951152b8732cf07.png)
- На шаге "Укажите условия" добавьте подходящие условие для доступа. В данном примере используется условие "Ограничение по дням" с разрешенным доступом во все дни недели.
![](https://support.indeed-id.ru/__swift/files/1584723207832ac5c884921669641de764a75e7842076f2057.png)
- На шаге "Настройка перенаправления запросов на подключения" выберете "Проверка подлинности" и укажите "Перенаправлять запросы на...", в выпадающем списке выберете группу внешних Radius серверов, сделанную на шаге 8.
![](https://support.indeed-id.ru/__swift/files/1584723331bc641e23116d6c23a33dcefd0819be2669791bbe.png)
- На шаге "Настройка параметров" оставьте значения по умолчанию и нажмите "Далее".
- На шаге "Завершение" нажмите "Готово".
![](https://support.indeed-id.ru/__swift/files/1584723570dde9e644ad5fa7c726bd7dd4b4d8a64471cce95c.png)
- Отключите остальные политики в "Политики запросов на подключение" и отключите политики в "Сетевые политики".
- Перезапустите службу NPS.
Настройка Radius серверов
В данной инструкции предполагается, что на Radius серверах настроено использование Indeed Am Radius Extension и настроены сетевые политики.
- Откройте оснастку "Сервер сетевых политик" и создайте Radius клиента.
![](https://support.indeed-id.ru/__swift/files/1584721168e69ccf8aab45801f45818f03096ca34ca929d6af.png)
- В окне "Новый Radius клиент" укажите следующие данные:
- Понятное имя - Произвольное имя создаваемого клиента. Имя будет отображаться в оснастке NPS.
- Адрес (Ip или DNS) - Ip адрес или DNS Radius Proxy сервера.
- Общий секрет и Подтверждение общего секрета - Требуется указать общий секрет для подключения, который был задан в клиентском приложении.
![](https://support.indeed-id.ru/__swift/files/158472466016b55c462d9067d1b59fdadd9146a852dc694dc2.png)
- Перезапустите службу NPS на Radius сервере.
- Выполните аналогичную настройку для всех Radius серверов.
Настройка клиентского приложения
В данном примере используется Citrix Netscaler.
- Выполните настройку Radius сервера согласно рекомендациям из раздела "Добавление Radius аутентификации на сервера" в инструкции: https://support.indeed-id.ru/Knowledgebase/Article/View/ustanovka-i-nastroika-autentifikacii-po-otr-v-citrix-netscaler
- В качестве Ip-адреса сервера (номер 9 на скриншоте) укажите Ip адрес Radius прокси сервера.
- Сохраните конфигурацию и перезапустите виртуальный сервер.
|