Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:spravce:pripojovani:radius:nps [2019/09/23 23:16] caslavsky@cesnet.cz Pridany screeny test user |
cs:spravce:pripojovani:radius:nps [2019/09/24 17:01] caslavsky@cesnet.cz Odstraneni alert boxu v uvodu |
||
---|---|---|---|
Řádek 1: | Řádek 1: | ||
====== Microsoft Network Policy Server pro eduroam ====== | ====== Microsoft Network Policy Server pro eduroam ====== | ||
- | |||
- | <box red> | ||
- | Tento text je ve stádiu vzniku tj. **ROZPRACOVANÝ** nemusí být kompletní a konzistetní</box> | ||
Tento návod Vás provede instalací Network Policy Serveru na Microsoft Server 2019 a všech potřebných součástí pro jeho zprovoznění. | Tento návod Vás provede instalací Network Policy Serveru na Microsoft Server 2019 a všech potřebných součástí pro jeho zprovoznění. | ||
Řádek 28: | Řádek 25: | ||
===== Network Police Server ===== | ===== Network Police Server ===== | ||
- | |||
|{{ :cs:spravce:pripojovani:radius:nps-01.jpg}} **1.** Pro konfiguraci nebudeme používat ''Průvodce''. Jednotlivé složky nastavíme samostatně v následujících krocích. | | |{{ :cs:spravce:pripojovani:radius:nps-01.jpg}} **1.** Pro konfiguraci nebudeme používat ''Průvodce''. Jednotlivé složky nastavíme samostatně v následujících krocích. | | ||
Řádek 84: | Řádek 80: | ||
|{{ :cs:spravce:pripojovani:radius:nps-23.jpg}} **23. Kontrola Connection Request Policies - cizí realm** \\ Můžete si zkontrolovat podmínky podle vzoru. | | |{{ :cs:spravce:pripojovani:radius:nps-23.jpg}} **23. Kontrola Connection Request Policies - cizí realm** \\ Můžete si zkontrolovat podmínky podle vzoru. | | ||
- | | V krocích 24. - 33. nastavíme Network Policies. V tomto návodu se opíráme o předpoklad, že na Windows Serveru provozujeme také Active Directory s uživatelskými účty. Ověřujeme požadavky proti existenci účtu v doméně. Tyto účty máme rozdělné na dvě skupiny studenty; a zaměstnance. Díky tomu můžeme každé skupině přiřadit odlišnou VLAN. | | + | | V krocích 24. - 38. nastavíme Network Policies. V tomto návodu se opíráme o předpoklad, že na Windows Serveru provozujeme také Active Directory s uživatelskými účty. Ověřujeme požadavky proti existenci účtu v doméně. Tyto účty máme rozdělné na dvě skupiny studenty; a zaměstnance. Díky tomu můžeme každé skupině přiřadit odlišnou VLAN. Dále odlišujeme skupinu, ve které je testovací uživatel. | |
+ | |||
+ | |{{ :cs:spravce:pripojovani:radius:nps-24.jpg}} **24. Přidání Network Policies - testovací uživatel 1/5** \\ | | ||
+ | |||
+ | |{{ :cs:spravce:pripojovani:radius:nps-25.jpg}} **25. Přidání Network Policies - testovací uživatel 2/5** \\ Vybereme podmínku ''User Groups'' a přidáme pomocí ''Add..'' skupinu z domény, která obsahuje testovací účet, jehož údaje jste vyplnili v CAAS u vašeho realmu pod ''Testing ID'', ''Testing Password''. | | ||
+ | |||
+ | |{{ :cs:spravce:pripojovani:radius:nps-26.jpg}} **26. Přidání Network Policies - testovací uživatel 3/5** \\ Této skupině povolujeme přístup. | | ||
- | |{{ :cs:spravce:pripojovani:radius:nps-24.jpg}} **24. Přidání Network Policies - studenti 1/5** | | + | |{{ :cs:spravce:pripojovani:radius:nps-27.jpg}} **27. Přidání Network Policies - testovací uživatel 4/5** \\ Zde všechny méně bezpečné metody ověření nechte nezaškrtnuté a přidejte EAP Typ tlačítkem ''Add...''. Přidejte ''Microsoft Protected EAP (PEAP)'' a poté ji editujte tlačítkem ''Edit...''. Z rozbalovacího menu vyberte vámi používaný certifikát a EAP Type vyberte ''Secured password (EAP-MSCHAP v2)''. | |
- | |{{ :cs:spravce:pripojovani:radius:nps-25.jpg}} **25. Přidání Network Policies - studenti 2/5** \\ Vybereme podmínku ''User Groups'' a přidáme pomocí ''Add..'' skupinu z domény, která obsahuje účty studentů. | | + | |{{ :cs:spravce:pripojovani:radius:nps-28.jpg}} **28. Přidání Network Policies - testovací uživatel 5/5** \\ Přidejte testovacímu účtu VLAN 666. Ta by v české části eduroam neměla nikam vést, tudíž nejsou testovací účty zneužitelné pro běžné připojení. \\ Pro přiřazení VLAN přidejte v tomto kroku ''RADIUS Attributes'' pomocí pole ''Add...'' podle vzoru na obrázku. | |
- | |{{ :cs:spravce:pripojovani:radius:nps-26.jpg}} **26. Přidání Network Policies - studenti 3/5** \\ Této skupině povolujeme přístup. | | + | |{{ :cs:spravce:pripojovani:radius:nps-29.jpg}} **29. Přidání Network Policies - studenti 1/4** | |
- | |{{ :cs:spravce:pripojovani:radius:nps-27.jpg}} **27. Přidání Network Policies - studenti 4/5** \\ Zde všechny méně bezpečné metody ověření nechte nezaškrtnuté a přidejte EAP Typ tlačítkem ''Add...''. Přidejte ''Microsoft Protected EAP (PEAP)'' a poté ji editujte tlačítkem ''Edit...''. Z rozbalovacího menu vyberte vámi používaný certifikát a EAP Type vyberte ''Secured password (EAP-MSCHAP v2)''. | | + | |{{ :cs:spravce:pripojovani:radius:nps-30.jpg}} **30. Přidání Network Policies - studenti 2/4** \\ Vybereme podmínku ''User Groups'' a přidáme pomocí ''Add..'' skupinu z domény, která obsahuje účty studentů. | |
- | |{{ :cs:spravce:pripojovani:radius:nps-28.jpg}} **28. Přidání Network Policies - studenti 5/5** \\ Pro přiřazení odlišné VLAN studentům přidejte v tomto kroku ''RADIUS Attributes'' pomocí pole ''Add...'' podle vzoru na obrázku. Pouze číslo **100** u parametru ''Tunnel-Pvt-Group-ID'' nahraďte požadovaným číslem vaší VLAN pro studenty. | | + | |{{ :cs:spravce:pripojovani:radius:nps-31.jpg}} **31. Přidání Network Policies - studenti 3/4** \\ Této skupině povolujeme přístup a pro metody ověření platí stejné nastavení jako pro testovací účet. | |
- | |{{ :cs:spravce:pripojovani:radius:nps-29.jpg}} **29. Přidání Network Policies - zaměstnanci 1/3** | | + | |{{ :cs:spravce:pripojovani:radius:nps-32.jpg}} **32. Přidání Network Policies - studenti 4/4** \\ Pro přiřazení odlišné VLAN studentům přidejte v tomto kroku ''RADIUS Attributes'' pomocí pole ''Add...'' podle vzoru na obrázku. Pouze číslo **100** u parametru ''Tunnel-Pvt-Group-ID'' nahraďte požadovaným číslem vaší VLAN pro studenty. | |
- | |{{ :cs:spravce:pripojovani:radius:nps-30.jpg}} **30. Přidání Network Policies - zaměstnanci 2/3** \\ Vybereme podmínku ''User Groups'' a přidáme pomocí ''Add..'' skupinu z domény, která obsahuje účty zaměstnanců. \\ Zaměstnancům také povolujeme přístup a pro metody ověření platí stejné nastavení jako pro studenty. | | + | |{{ :cs:spravce:pripojovani:radius:nps-33.jpg}} **33. Přidání Network Policies - zaměstnanci 1/3** | |
- | |{{ :cs:spravce:pripojovani:radius:nps-31.jpg}} **31. Přidání Network Policies - zaměstnanci 3/3** \\ Pro přiřazení odlišné VLAN Zaměstnancům přidejte v tomto kroku ''RADIUS Attributes'' pomocí pole ''Add...'' podle vzoru na obrázku. Pouze číslo **200** u parametru ''Tunnel-Pvt-Group-ID'' nahraďte požadovaným číslem vaší VLAN pro zaměstnance. | | + | |{{ :cs:spravce:pripojovani:radius:nps-34.jpg}} **34. Přidání Network Policies - zaměstnanci 2/3** \\ Vybereme podmínku ''User Groups'' a přidáme pomocí ''Add..'' skupinu z domény, která obsahuje účty zaměstnanců. \\ Zaměstnancům také povolujeme přístup a pro metody ověření platí stejné nastavení jako pro studenty či testovací účet. | |
- | |{{ :cs:spravce:pripojovani:radius:nps-32.jpg}} **32. Kontrola Network Policies - studenti** \\ Můžete si zkontrolovat podmínky podle vzoru. | | + | |{{ :cs:spravce:pripojovani:radius:nps-35.jpg}} **35. Přidání Network Policies - zaměstnanci 3/3** \\ Pro přiřazení odlišné VLAN zaměstnancům přidejte v tomto kroku ''RADIUS Attributes'' pomocí pole ''Add...'' podle vzoru na obrázku. Pouze číslo **200** u parametru ''Tunnel-Pvt-Group-ID'' nahraďte požadovaným číslem vaší VLAN pro zaměstnance. | |
- | |{{ :cs:spravce:pripojovani:radius:nps-33.jpg}} **33. Kontrola Network Policies - zaměstnanci** \\ Můžete si zkontrolovat podmínky podle vzoru. | | + | |{{ :cs:spravce:pripojovani:radius:nps-36.jpg}} **36. Kontrola Network Policies - testovací účet** \\ Můžete si zkontrolovat podmínky podle vzoru. | |
- | |{{ :cs:spravce:pripojovani:radius:nps-34.jpg}} **34. ** \\ | | + | |{{ :cs:spravce:pripojovani:radius:nps-37.jpg}} **37. Kontrola Network Policies - studenti** \\ Můžete si zkontrolovat podmínky podle vzoru. | |
- | |{{ :cs:spravce:pripojovani:radius:nps-35.jpg}} **35. ** \\ | | + | |
- | |{{ :cs:spravce:pripojovani:radius:nps-36.jpg}} **36. ** \\ | | + | |
- | |{{ :cs:spravce:pripojovani:radius:nps-37.jpg}} **37. ** \\ | | + | |
- | |{{ :cs:spravce:pripojovani:radius:nps-38.jpg}} **38. ** \\ | | + | |
+ | |{{ :cs:spravce:pripojovani:radius:nps-38.jpg}} **38. Kontrola Network Policies - zaměstnanci** \\ Můžete si zkontrolovat podmínky podle vzoru. | | ||