IAS

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Наташа Самойленко

На этой странице описаны различные аспекты настройки RADIUS-сервера в Windows 2003: Internet Authentication Service (IAS). Пока что основное внимание уделено настройке сервера для прохождения пользователями 802.1X, web- и mac-аутентификации.

Содержание

[править] Настройка Internet Authentication Service (IAS)

[править] Настройка RADIUS-клиентов

[править] Настройка политики для аутентификации пользователей

[править] Настройка политики для аутентификации компьютеров

В среде Microsoft, при включении компьютера, в первую очередь должен быть доступ к контроллеру домена, а только после этого может выполняться аутентификация пользователя по 802.1X.

Аутентификация на DC нужна для:

  • Machine group policies
  • Computer startup scripts
  • Software installation settings

Но, если на порту сетевого устройства, к которому подключен компьютер, настроена аутентификация 802.1X, то через этот порт проходит только трафик протокола EAP. И доступ к контроллеру домена невозможен. Если клиент до этого получал доступ к контроллеру домена, то у него в кеше хранится достаточно информации для старта компьютера без доступа к контроллеру домена.

Однако, это решает только вопрос доступа к контроллеру домена для прохождения аутентификации. Вопрос применения групповых политик к компьютерам и установки программного обеспечения на компьютер остается неразрешенным.

Существуют клиенты различных производителей, которые позволяют поменять порядок аутентификации по 802.1X и аутентификации в домене. Примеры клиентов:

  • Huawei-3Com 802.1X клиент
  • Odyssey Client от Funk Software

Аутентификация компьютера (даже без подключенного пользователя) позволяет решить вопрос доступа к контроллеру домена для:

  • прохождения аутентификации в домене,
  • применения групповых политик к компьютеру,
  • автоматической установки ПО на компьютер.

Note-icon.gif

Процедура настройки клиента для прохождения аутентификации описана на странице 802.1X и RADIUS

1. Нажать правой кнопкой на Remote Access Policies и выбрать в сплывающем меню New Remote Access Policy. Появится New Remote Access Policy Wizard.

2. Нажать Next.

Comp1.png

3. Выбрать Set up a custom policy, написать имя для новой политики (например, Computer auth), нажать Next:

Comp2.png

4. В окне Policy Conditions нажать Add.

Comp3.png

5. Выбрать Windows Groups в качестве условия для созданной политики и нажать Add.

Comp4.png

6. В окне Groups нажать Add.

Comp5.png

7. Набрать Domain Computers и нажать OK.

Comp6.png

8. Нажать OK.

Comp7.png

9. Нажать Next.

Comp8.png

10. Выбрать Grant remote access permission и нажать Next.

Comp9.png

11. Нажать Edit Profile и выбрать закладку Authentication.

Comp10.png

12. Нажать EAP Methods. Настройки по умолчанию должны быть изменены для добавление метода PEAP.

Comp11.png

13. В окне select EAP Providers нажать Add.

Comp12.png

14. Выбрать Protected EAP (PEAP) и нажать OK.

Comp13.png

15. Дважды нажать OK.

Comp14.png

16. Выбрать No во всплывшем окне Dial-in Settings.

17. Click Next.

18. Click Finish to close the New Remote Access Policy Wizard.

Comp15.png

[править] Настройка дополнительных атрибутов в политиках

[править] Назначение VLAN по результатам аутентификации на коммутатор

Для динамического размещения порта коммутатора в VLANе по результатам аутентификации используются такие стандартные атрибуты RADIUS-сервера:

  • [64] Tunnel-Type=VLAN (type 13)
  • [65] Tunnel-Medium-Type=802 (type 6)
  • [81] Tunnel-Private-Group-ID=VLANID (или имя VLAN)

IAS VLAN.jpg

[править] Назначение ACL по результатам аутентификации на коммутатор ProCurve

IAS1.jpg

IAS2.jpg

IAS3.jpg

IAS4.jpg

IAS5.jpg

IAS6.jpg

IAS7.jpg

[править] Проверка работы IAS

Если клиент не прошел аутентификацию, то информацию о том, по каким причинам это произошло можно посмотреть в Event Viewer > System.

[править] Всякое

[править] Password Policy: Store Passwords Using Reversible Encryption

[1] [2]

Icon-caution.gif

После включения этой функции необходимо сделать reset password для пользователя

Необходимо для Web- и MAC-аутентификации

[править] Дополнительная информация

Источник — «http://xgu.ru/wiki/IAS»