Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
|
cs:spravce:pripojovani:radius:nps [2019/09/19 13:26] machv@cesnet.cz |
cs:spravce:pripojovani:radius:nps [2019/09/24 17:01] caslavsky@cesnet.cz Odstraneni alert boxu v uvodu |
||
|---|---|---|---|
| Řádek 1: | Řádek 1: | ||
| ====== Microsoft Network Policy Server pro eduroam ====== | ====== Microsoft Network Policy Server pro eduroam ====== | ||
| - | |||
| - | <box red> | ||
| - | Tento text je ve stádiu vzniku tj. **ROZPRACOVANÝ** nemusí být kompletní a konzistetní</box> | ||
| Tento návod Vás provede instalací Network Policy Serveru na Microsoft Server 2019 a všech potřebných součástí pro jeho zprovoznění. | Tento návod Vás provede instalací Network Policy Serveru na Microsoft Server 2019 a všech potřebných součástí pro jeho zprovoznění. | ||
| Řádek 28: | Řádek 25: | ||
| ===== Network Police Server ===== | ===== Network Police Server ===== | ||
| - | |||
| |{{ :cs:spravce:pripojovani:radius:nps-01.jpg}} **1.** Pro konfiguraci nebudeme používat ''Průvodce''. Jednotlivé složky nastavíme samostatně v následujících krocích. | | |{{ :cs:spravce:pripojovani:radius:nps-01.jpg}} **1.** Pro konfiguraci nebudeme používat ''Průvodce''. Jednotlivé složky nastavíme samostatně v následujících krocích. | | ||
| Řádek 84: | Řádek 80: | ||
| |{{ :cs:spravce:pripojovani:radius:nps-23.jpg}} **23. Kontrola Connection Request Policies - cizí realm** \\ Můžete si zkontrolovat podmínky podle vzoru. | | |{{ :cs:spravce:pripojovani:radius:nps-23.jpg}} **23. Kontrola Connection Request Policies - cizí realm** \\ Můžete si zkontrolovat podmínky podle vzoru. | | ||
| - | | V krocích 24. - 33. nastavíme Network Policies. V tomto návodu se opíráme o předpoklad, že na Windows Serveru provozujeme také Active Directory s uživatelskými účty. Ověřujeme požadavky proti existenci účtu v doméně. Tyto účty máme rozdělné na dvě skupiny studenty; a zaměstnance. Díky tomu můžeme každé skupině přiřadit odlišnou VLAN. | | + | | V krocích 24. - 38. nastavíme Network Policies. V tomto návodu se opíráme o předpoklad, že na Windows Serveru provozujeme také Active Directory s uživatelskými účty. Ověřujeme požadavky proti existenci účtu v doméně. Tyto účty máme rozdělné na dvě skupiny studenty; a zaměstnance. Díky tomu můžeme každé skupině přiřadit odlišnou VLAN. Dále odlišujeme skupinu, ve které je testovací uživatel. | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-24.jpg}} **24. Přidání Network Policies - studenti 1/5** | | + | |{{ :cs:spravce:pripojovani:radius:nps-24.jpg}} **24. Přidání Network Policies - testovací uživatel 1/5** \\ | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-25.jpg}} **25. Přidání Network Policies - studenti 2/5** \\ Vybereme podmínku ''User Groups'' a přidáme pomocí ''Add..'' skupinu z domény, která obsahuje účty studentů. | | + | |{{ :cs:spravce:pripojovani:radius:nps-25.jpg}} **25. Přidání Network Policies - testovací uživatel 2/5** \\ Vybereme podmínku ''User Groups'' a přidáme pomocí ''Add..'' skupinu z domény, která obsahuje testovací účet, jehož údaje jste vyplnili v CAAS u vašeho realmu pod ''Testing ID'', ''Testing Password''. | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-26.jpg}} **26. Přidání Network Policies - studenti 3/5** \\ Této skupině povolujeme přístup. | | + | |{{ :cs:spravce:pripojovani:radius:nps-26.jpg}} **26. Přidání Network Policies - testovací uživatel 3/5** \\ Této skupině povolujeme přístup. | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-27.jpg}} **27. Přidání Network Policies - studenti 4/5** \\ Zde všechny méně bezpečné metody ověření nechte nezaškrtnuté a přidejte EAP Typ tlačítkem ''Add...''. Přidejte ''Microsoft Protected EAP (PEAP)'' a poté ji editujte tlačítkem ''Edit...''. Z rozbalovacího menu vyberte vámi používaný certifikát a EAP Type vyberte ''Secured password (EAP-MSCHAP v2)''. | | + | |{{ :cs:spravce:pripojovani:radius:nps-27.jpg}} **27. Přidání Network Policies - testovací uživatel 4/5** \\ Zde všechny méně bezpečné metody ověření nechte nezaškrtnuté a přidejte EAP Typ tlačítkem ''Add...''. Přidejte ''Microsoft Protected EAP (PEAP)'' a poté ji editujte tlačítkem ''Edit...''. Z rozbalovacího menu vyberte vámi používaný certifikát a EAP Type vyberte ''Secured password (EAP-MSCHAP v2)''. | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-28.jpg}} **28. Přidání Network Policies - studenti 5/5** \\ Pro přiřazení odlišné VLAN studentům přidejte v tomto kroku ''RADIUS Attributes'' pomocí pole ''Add...'' podle vzoru na obrázku. Pouze číslo **100** u parametru ''Tunnel-Pvt-Group-ID'' nahraďte požadovaným číslem vaší VLAN pro studenty. | | + | |{{ :cs:spravce:pripojovani:radius:nps-28.jpg}} **28. Přidání Network Policies - testovací uživatel 5/5** \\ Přidejte testovacímu účtu VLAN 666. Ta by v české části eduroam neměla nikam vést, tudíž nejsou testovací účty zneužitelné pro běžné připojení. \\ Pro přiřazení VLAN přidejte v tomto kroku ''RADIUS Attributes'' pomocí pole ''Add...'' podle vzoru na obrázku. | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-29.jpg}} **29. Přidání Network Policies - zaměstnanci 1/3** | | + | |{{ :cs:spravce:pripojovani:radius:nps-29.jpg}} **29. Přidání Network Policies - studenti 1/4** | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-30.jpg}} **30. Přidání Network Policies - zaměstnanci 2/3** \\ Vybereme podmínku ''User Groups'' a přidáme pomocí ''Add..'' skupinu z domény, která obsahuje účty zaměstnanců. \\ Zaměstnancům také povolujeme přístup a pro metody ověření platí stejné nastavení jako pro studenty. | | + | |{{ :cs:spravce:pripojovani:radius:nps-30.jpg}} **30. Přidání Network Policies - studenti 2/4** \\ Vybereme podmínku ''User Groups'' a přidáme pomocí ''Add..'' skupinu z domény, která obsahuje účty studentů. | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-31.jpg}} **31. Přidání Network Policies - zaměstnanci 3/3** \\ Pro přiřazení odlišné VLAN Zaměstnancům přidejte v tomto kroku ''RADIUS Attributes'' pomocí pole ''Add...'' podle vzoru na obrázku. Pouze číslo **200** u parametru ''Tunnel-Pvt-Group-ID'' nahraďte požadovaným číslem vaší VLAN pro zaměstnance. | | + | |{{ :cs:spravce:pripojovani:radius:nps-31.jpg}} **31. Přidání Network Policies - studenti 3/4** \\ Této skupině povolujeme přístup a pro metody ověření platí stejné nastavení jako pro testovací účet. | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-32.jpg}} **32. Kontrola Network Policies - studenti** \\ Můžete si zkontrolovat podmínky podle vzoru. | | + | |{{ :cs:spravce:pripojovani:radius:nps-32.jpg}} **32. Přidání Network Policies - studenti 4/4** \\ Pro přiřazení odlišné VLAN studentům přidejte v tomto kroku ''RADIUS Attributes'' pomocí pole ''Add...'' podle vzoru na obrázku. Pouze číslo **100** u parametru ''Tunnel-Pvt-Group-ID'' nahraďte požadovaným číslem vaší VLAN pro studenty. | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-33.jpg}} **33. Kontrola Network Policies - zaměstnanci** \\ Můžete si zkontrolovat podmínky podle vzoru. | | + | |{{ :cs:spravce:pripojovani:radius:nps-33.jpg}} **33. Přidání Network Policies - zaměstnanci 1/3** | |
| - | \\ | + | |{{ :cs:spravce:pripojovani:radius:nps-34.jpg}} **34. Přidání Network Policies - zaměstnanci 2/3** \\ Vybereme podmínku ''User Groups'' a přidáme pomocí ''Add..'' skupinu z domény, která obsahuje účty zaměstnanců. \\ Zaměstnancům také povolujeme přístup a pro metody ověření platí stejné nastavení jako pro studenty či testovací účet. | |
| - | ==== Import nastavení NPS ==== | + | |{{ :cs:spravce:pripojovani:radius:nps-35.jpg}} **35. Přidání Network Policies - zaměstnanci 3/3** \\ Pro přiřazení odlišné VLAN zaměstnancům přidejte v tomto kroku ''RADIUS Attributes'' pomocí pole ''Add...'' podle vzoru na obrázku. Pouze číslo **200** u parametru ''Tunnel-Pvt-Group-ID'' nahraďte požadovaným číslem vaší VLAN pro zaměstnance. | |
| + | |||
| + | |{{ :cs:spravce:pripojovani:radius:nps-36.jpg}} **36. Kontrola Network Policies - testovací účet** \\ Můžete si zkontrolovat podmínky podle vzoru. | | ||
| + | |||
| + | |{{ :cs:spravce:pripojovani:radius:nps-37.jpg}} **37. Kontrola Network Policies - studenti** \\ Můžete si zkontrolovat podmínky podle vzoru. | | ||
| + | |||
| + | |{{ :cs:spravce:pripojovani:radius:nps-38.jpg}} **38. Kontrola Network Policies - zaměstnanci** \\ Můžete si zkontrolovat podmínky podle vzoru. | | ||
| - | <WRAP prewrap><code>$ Import-NpsConfiguration -Path "C:\Users\Administrator\Documents\zaloha\zalohaNPS-2019-08-05.xml"</code></WRAP> | ||
| \\ | \\ | ||
| + | |||
| + | ===== Záloha konfigurace ===== | ||
| ==== Export nastavení NPS ==== | ==== Export nastavení NPS ==== | ||
| - | <WRAP prewrap><code>$ Export-NpsConfiguration -Path "C:\Users\Administrator\Documents\zaloha\zalohaNPS-2019-08-05-exp-nps-cmd.xml"</code></WRAP> | + | <WRAP prewrap><code>$ Export-NpsConfiguration -Path "Cesta_k_souboru\zaloha_NPS_yyyy_mm_dd.xml"</code></WRAP> |
| nebo | nebo | ||
| - | <WRAP prewrap><code>$ netsh nps export filename="C:\Users\Administrator\Documents\zaloha\zalohaNPS-2019-08-05-netsh-cmd.xml" exportPSK=YES</code></WRAP> | + | <WRAP prewrap><code>$ netsh nps export filename="Cesta_k_souboru\zaloha_NPS_yyyy_mm_dd.xml" exportPSK=YES</code></WRAP> |
| + | \\ | ||
| + | |||
| + | ==== Import nastavení NPS ==== | ||
| + | <WRAP prewrap><code>$ Import-NpsConfiguration -Path "Cesta_k_souboru\zaloha_NPS_yyyy_mm_dd.xml"</code></WRAP> | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz