IAS
Материал из Xgu.ru
- Автор: Наташа Самойленко
На этой странице описаны различные аспекты настройки RADIUS-сервера в Windows 2003: Internet Authentication Service (IAS). Пока что основное внимание уделено настройке сервера для прохождения пользователями 802.1X, web- и mac-аутентификации.
Содержание |
[править] Настройка Internet Authentication Service (IAS)
[править] Настройка RADIUS-клиентов
[править] Настройка политики для аутентификации пользователей
[править] Настройка политики для аутентификации компьютеров
В среде Microsoft, при включении компьютера, в первую очередь должен быть доступ к контроллеру домена, а только после этого может выполняться аутентификация пользователя по 802.1X.
Аутентификация на DC нужна для:
- Machine group policies
- Computer startup scripts
- Software installation settings
Но, если на порту сетевого устройства, к которому подключен компьютер, настроена аутентификация 802.1X, то через этот порт проходит только трафик протокола EAP. И доступ к контроллеру домена невозможен. Если клиент до этого получал доступ к контроллеру домена, то у него в кеше хранится достаточно информации для старта компьютера без доступа к контроллеру домена.
Однако, это решает только вопрос доступа к контроллеру домена для прохождения аутентификации. Вопрос применения групповых политик к компьютерам и установки программного обеспечения на компьютер остается неразрешенным.
Существуют клиенты различных производителей, которые позволяют поменять порядок аутентификации по 802.1X и аутентификации в домене. Примеры клиентов:
- Huawei-3Com 802.1X клиент
- Odyssey Client от Funk Software
Аутентификация компьютера (даже без подключенного пользователя) позволяет решить вопрос доступа к контроллеру домена для:
- прохождения аутентификации в домене,
- применения групповых политик к компьютеру,
- автоматической установки ПО на компьютер.
|
|
Процедура настройки клиента для прохождения аутентификации описана на странице 802.1X и RADIUS |
1. Нажать правой кнопкой на Remote Access Policies и выбрать в сплывающем меню New Remote Access Policy. Появится New Remote Access Policy Wizard.
2. Нажать Next.
3. Выбрать Set up a custom policy, написать имя для новой политики (например, Computer auth), нажать Next:
4. В окне Policy Conditions нажать Add.
5. Выбрать Windows Groups в качестве условия для созданной политики и нажать Add.
6. В окне Groups нажать Add.
7. Набрать Domain Computers и нажать OK.
8. Нажать OK.
9. Нажать Next.
10. Выбрать Grant remote access permission и нажать Next.
11. Нажать Edit Profile и выбрать закладку Authentication.
12. Нажать EAP Methods. Настройки по умолчанию должны быть изменены для добавление метода PEAP.
13. В окне select EAP Providers нажать Add.
14. Выбрать Protected EAP (PEAP) и нажать OK.
15. Дважды нажать OK.
16. Выбрать No во всплывшем окне Dial-in Settings.
17. Click Next.
18. Click Finish to close the New Remote Access Policy Wizard.
[править] Настройка дополнительных атрибутов в политиках
[править] Назначение VLAN по результатам аутентификации на коммутатор
Для динамического размещения порта коммутатора в VLANе по результатам аутентификации используются такие стандартные атрибуты RADIUS-сервера:
- [64] Tunnel-Type=VLAN (type 13)
- [65] Tunnel-Medium-Type=802 (type 6)
- [81] Tunnel-Private-Group-ID=VLANID (или имя VLAN)
[править] Назначение ACL по результатам аутентификации на коммутатор ProCurve
[править] Проверка работы IAS
Если клиент не прошел аутентификацию, то информацию о том, по каким причинам это произошло можно посмотреть в Event Viewer > System.
[править] Всякое
[править] Password Policy: Store Passwords Using Reversible Encryption
|
|
После включения этой функции необходимо сделать reset password для пользователя |
Необходимо для Web- и MAC-аутентификации
