Использование сервера RADIUS для хранения учетных записей

Цель

Учетные записи пользователей хранятся на отдельном сервере, доступ к которому выполняется по протоколу RADIUS.

Топология сети

Описание практической работы

Сервер радиус

На Windows Server 2008 добавить роль Network Policy and Access Services.

В качестве RADIUS-клиента указать IP-адрес МЭ 2.

В свойствах указать тот же самый разделяемый секрет, что на NAS.

Создать политику запроса соединения (ConnectionRequestPolicies), в которой указать атрибуты RADIUS, присылаемые NAS.

Могут быть добавлены различные условия аутентификации NAS.

Эта информация должна присылаться NAS при запросе доступа.

Имена пользователей, которым разрешен доступ и, следовательно, они могут быть указаны на аутентифицируемой стороне туннеля, задаются следующими способами.

1. В политиках запроса соединения (Connection Request Policies) можно указать имя пользователя, задаваемое на аутентифици-руемой стороне туннеля.

2. В политиках сети (Network Policies) перечислить группы, чле-нам которых разрешен доступ.

На сервере RADIUS:

В данном примере члены группы l2tp_group могут быть указаны на аутентифицируемой стороне туннеля.

Roles → Active Directory Users and Computers → Users → l2tp_group

На аутентифицируемой стороне туннеля указывается имя пользователя:

Interfaces → PPTP/L2TP Clients

На стороне NAS проверяется, что аутентификация выполнена:

Status → User Authentication

NAS

Объекты Адресной Книги

Создать объекты, описывающие IP-адреса RADIUS-серверов аутентификации и авторизации.

Веб-интерфейс:

Object → Address Book → Add → Address Folder
	Name: radius
Object → Address Book → radius → Add

Командная строка:

add Address AddressFolder radius
cc Address AddressFolder radius
add IP4Address radius_ip Address=192.168.2.121

Ссылка на RADIUS-сервера

Создать ссылку на внешнюю базу данных пользователей, в которой указывается тот же пароль, что и на сервере RADIUS.

Веб-интерфейс:

User Authentication → External User Databases → Add → RADIUS Server

Командная строка:

add RadiusServer radius_server_auth IPAddress=radius/radius_IP SharedSecret=qwerty

Создать ссылку на сервер хранения учетных записей RADIUS, в кото-рой указывается тот же пароль, что и на сервере RADIUS.

Веб-интерфейс:

User Authentication → Accounting Servers → Add → RADIUS Server

Командная строка

add RadiusAccounting radius_server_ac IPAddress=radius/radius_IP SharedSecret=qwerty

Правила аутентификации

Указать правила аутентификации.

Веб-интерфейс:

User Authentication Rules → Add User Authentication Rule

В качестве интерфейса указать интерфейс l2tp_server. В качестве исходного IP-адреса указать IP-адрес противоположной точки туннеля. В качестве IP-адреса завершения (Terminator IP) указать IP-адрес на локальной стороне.

На вкладке Authentication Options выбрать созданный RADIUS-Сервер.

На вкладке Accounting выбрать созданный RADIUS-Сервер.

На вкладке Agent Options указать параметры РРР-шифрования.

Командная строка

add UserAuthRuleAuth Source=RADIUS Interface=l2tp OriginatorIP=wan1/wan1_gwFW2 RadiusServers=W2K8_radius 
Agent=PPP TerminatorIP=wan1/wan1_ipFW2 
AccountingServers=W2K8_radius Name=l2tp_radius