Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
|
cs:spravce:pripojovani:radius:nps [2019/09/24 17:00] caslavsky@cesnet.cz Uprava popisu testovaciho uctu, import export prohozeni. |
cs:spravce:pripojovani:radius:nps [2024/05/17 10:04] (aktuální) Jan Čáslavský |
||
|---|---|---|---|
| Řádek 1: | Řádek 1: | ||
| ====== Microsoft Network Policy Server pro eduroam ====== | ====== Microsoft Network Policy Server pro eduroam ====== | ||
| - | <box red> | + | Tento návod Vás provede instalací Network Policy Serveru na Microsoft Windows Server (2012 a novější) a všech potřebných součástí pro jeho zprovoznění. |
| - | Tento text je ve stádiu vzniku tj. **ROZPRACOVANÝ** nemusí být kompletní a konzistetní</box> | + | |
| - | + | ||
| - | Tento návod Vás provede instalací Network Policy Serveru na Microsoft Server 2019 a všech potřebných součástí pro jeho zprovoznění. | + | |
| <WRAP center round tip 60%> | <WRAP center round tip 60%> | ||
| Řádek 14: | Řádek 11: | ||
| Před samotnou konfigurací NPS je třeba provést všechny tyto prerekvizity pro správnou funkčnost NPS. | Před samotnou konfigurací NPS je třeba provést všechny tyto prerekvizity pro správnou funkčnost NPS. | ||
| - | - [[cs:spravce:pripojovani:radius:nps:firewall|Nastavení Firewall]] | ||
| - [[cs:spravce:pripojovani:radius:nps:certificates|Instalace certifikátů]] | - [[cs:spravce:pripojovani:radius:nps:certificates|Instalace certifikátů]] | ||
| - | - [[cs:spravce:pripojovani:radius:nps:ipsec|Konfigurace IPsec]] | + | - [[cs:spravce:pripojovani:radius:nps:firewall_ipsec|Konfigurace Firewall a IPsec]] |
| + | |||
| + | V návodu jsou použity IPv4 adresy RADIUS serverů. Pokud váš RADIUS server používá IPv6 je nutné použít oproti návodu jiné IPv6 adresy: | ||
| + | {{page>[:cs:spravce:pripojovani:souhrn:frag_flr]}} | ||
| + | {{page>[:cs:spravce:pripojovani:souhrn:frag_monitoring]}} | ||
| + | (To jakou IP používá váš RADIUS server pro spojení s národním RADIUS serverem je definováno v administrativní aplikaci) | ||
| \\ | \\ | ||
| Řádek 23: | Řádek 24: | ||
| ===== Instalace NPS ===== | ===== Instalace NPS ===== | ||
| - | <WRAP prewrap><code>$ Install-WindowsFeature NPAS -IncludeManagementTools</code></WRAP> | + | <WRAP prewrap><code powershell>Install-WindowsFeature NPAS -IncludeManagementTools</code></WRAP> |
| \\ | \\ | ||
| - | ===== Network Police Server ===== | + | ===== Network Policy Server ===== |
| - | |{{ :cs:spravce:pripojovani:radius:nps-01.jpg}} **1.** Pro konfiguraci nebudeme používat ''Průvodce''. Jednotlivé složky nastavíme samostatně v následujících krocích. | | + | |{{ :cs:spravce:pripojovani:radius:nps-01.jpg}} **1.** Pro konfiguraci nebudeme používat ''Průvodce''. \\ Jednotlivé složky nastavíme samostatně v následujících krocích. | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-02.jpg}} **2. Registrace NPS v AD** Alternativně lze tento krok provést příkazem: <WRAP prewrap><code>$ netsh nps add registeredserver vase.domena.cz</code></WRAP> | | + | |{{ :cs:spravce:pripojovani:radius:nps-02.jpg}} **2. Registrace NPS v AD** Alternativně lze tento krok provést příkazem: <WRAP prewrap><code powershell>netsh nps add registeredserver vase.domena.cz</code></WRAP> | |
| | V krocích 3. - 5. vytvoříme šablony pro sdílená tajemství jednotlivých klientů. Ušetříme si tím opakované zadávání tajemství v dalších krocích a s tím spojené případné chyby ve vyplňování. | | | V krocích 3. - 5. vytvoříme šablony pro sdílená tajemství jednotlivých klientů. Ušetříme si tím opakované zadávání tajemství v dalších krocích a s tím spojené případné chyby ve vyplňování. | | ||
| - | |{{ :cs:spravce:pripojovani:radius:nps-03.jpg}} **3. Přidání šablony sdíleného tajemství pro národní RADIUS** \\ ''NPS > Templates Management > Shared Secret > New RADIUS Shared Secret Template'' \\ Správné tajemství pro váš server naleznete v [[https://caas.cesnet.cz/caas|CAAS]], položka ''Inf. RADIUS1 secret''. Pro IPSec je secret ''ipsec''. | | + | |{{ :cs:spravce:pripojovani:radius:nps-03-01.jpg}} **3. Přidání šablony sdíleného tajemství pro národní RADIUSy** \\ ''NPS > Templates Management > Shared Secret > New RADIUS Shared Secret Template'' \\ Správné tajemství pro váš server naleznete v [[https://admin.eduroam.cz/|administrativní aplikaci]] u detailu vašeho RADIUS serveru, položka ''Sdílené tajemství pro národní RADIUS server''. Pro IPSec je secret ''ipsec''. | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-04.jpg}} **4. Přidání šablony sdíleného tajemství pro monitoring** \\ Správné tajemství pro váš server naleznete v [[https://caas.cesnet.cz/caas|CAAS]], položka ''Mon. RADIUS secret''. | | + | |{{ :cs:spravce:pripojovani:radius:nps-04-01.jpg}} **4. Přidání šablony sdíleného tajemství pro monitoring** \\ Správné tajemství pro váš server naleznete v [[https://admin.eduroam.cz/|administrativní aplikaci]] u detaily vašeho RADIUS serveru, položka ''Sdílené tajemství pro monitoring''. | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-05.jpg}} **5. Přidání šablony sdíleného tajemství pro Controller/AP** \\ Zde vložte/vygenerujte tajemství pro Controller nebo AP. | | + | |{{ :cs:spravce:pripojovani:radius:nps-05-01.jpg}} **5. Přidání šablony sdíleného tajemství pro Controller/AP** \\ Zde vložte/vygenerujte tajemství pro Controller nebo AP. | |
| - | | V krocích 6. - 8. definujeme všechny potřebné klienty. Pro náš případ to je národní RADIUS, monitoring a v poslední řadě váš Controller nebo Access Pointy. | | + | | V krocích 6. - 8. definujeme všechny potřebné klienty. Pro náš případ to jsou národní RADIUSy, monitoring a v poslední řadě váš Controller nebo Access Pointy. | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-06.jpg}} **6. Definice klientů - národní RADIUS** \\ ''NPS > RADIUS Clients and Servers > RADIUS Clients > New RADIUS Client'' \\ Můžete použít předchystanou šablonu Shared Secret pro národní RADIUS. | | + | |{{ :cs:spravce:pripojovani:radius:nps-06-01.jpg}} **6. Definice klientů - národní RADIUS** \\ ''NPS > RADIUS Clients and Servers > RADIUS Clients > New RADIUS Client'' \\ Můžete použít předchystanou šablonu Shared Secret pro národní RADIUS. | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-07.jpg}} **7. Definice klientů - monitoring** \\ Můžete použít předchystanou šablonu Shared Secret pro monitoring. | | + | |{{ :cs:spravce:pripojovani:radius:nps-07-01.jpg}} **7. Definice klientů - monitoring** \\ Můžete použít předchystanou šablonu Shared Secret pro monitoring. | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-08.jpg}} **8. Definice klientů - Controller/AP** \\ Místo **X.X.X.X** doplňte IP adresu vašeho Controlleru/AP. Můžete použít předchystaný template Shared Secret pro Controller/AP. | | + | |{{ :cs:spravce:pripojovani:radius:nps-08-01.jpg}} **8. Definice klientů - Controller/AP** \\ Místo **X.X.X.X** doplňte IP adresu vašeho Controlleru/AP. Můžete použít předchystaný template Shared Secret pro Controller/AP. | |
| - | | V krocích 9. - 11. definujeme vzdálený RADIUS server (národní RADIUS) pro ověřování požadavků návštěvníků. | | + | | V krocích 9. - 11. definujeme vzdálený RADIUS server (národní RADIUSy) pro ověřování požadavků návštěvníků. | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-09.jpg}} **9. Definice vzdáleného RADIUS serveru 1/3** \\ ''NPS > RADIUS Clients and Servers > Remote RADIUS Server Groups > Add RADIUS Server'' ''Add'' | | + | |{{ :cs:spravce:pripojovani:radius:nps-09-01.jpg}} **9. Definice vzdáleného RADIUS serveru 1/3** \\ ''NPS > RADIUS Clients and Servers > Remote RADIUS Server Groups > Add RADIUS Server'' ''Add'' | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-10.jpg}} **10. Definice vzdáleného RADIUS serveru 2/3** \\ Můžete použít předchystanou šablonu Shared Secret pro národní RADIUS. | | + | |{{ :cs:spravce:pripojovani:radius:nps-10-01.jpg}} **10. Definice vzdáleného RADIUS serveru 2/3** \\ Můžete použít předchystanou šablonu Shared Secret pro národní RADIUS. | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-11.jpg}} **11. Definice vzdáleného RADIUS serveru 3/3** \\ Po vyplnění všech polí podle vzoru na obrázku, klikněte dvakrát na ''OK''. | | + | |{{ :cs:spravce:pripojovani:radius:nps-11-01.jpg}} **11. Definice vzdáleného RADIUS serveru 3/3** \\ Po vyplnění všech polí podle vzoru na obrázku, klikněte dvakrát na ''OK''. | |
| | V krocích 12. - 23. nastavíme Connection Request Policies. V těcho pravidlech se rozhoduje o tom, jestli daný požadavek bude zpracovaný na tomto RADIUSu (domácí uživatel) nebo bude předán k ověření na národní RADIUS (návštěvník). Pokud se jedná o požadavek domácího uživatele bude se dále tento požadavek zpracovávat v sadě pravidel Network Policies. | | | V krocích 12. - 23. nastavíme Connection Request Policies. V těcho pravidlech se rozhoduje o tom, jestli daný požadavek bude zpracovaný na tomto RADIUSu (domácí uživatel) nebo bude předán k ověření na národní RADIUS (návštěvník). Pokud se jedná o požadavek domácího uživatele bude se dále tento požadavek zpracovávat v sadě pravidel Network Policies. | | ||
| Řádek 73: | Řádek 74: | ||
| |{{ :cs:spravce:pripojovani:radius:nps-18.jpg}} **18. Přidání Connection Request Policies - cizí realm 1/4** | | |{{ :cs:spravce:pripojovani:radius:nps-18.jpg}} **18. Přidání Connection Request Policies - cizí realm 1/4** | | ||
| - | |{{ :cs:spravce:pripojovani:radius:nps-19.jpg}} **19. Přidání Connection Request Policies - cizí realm 2/4** \\ Zvolte podmínku ''User Name'' a vyplňte pole následujím výrazem. <WRAP prewrap><code>@([^@]+)$</code></WRAP> | | + | |{{ :cs:spravce:pripojovani:radius:nps-19.jpg}} **19. Přidání Connection Request Policies - cizí realm 2/4** \\ Zvolte podmínku ''User Name'' a vyplňte pole následujím výrazem. <WRAP prewrap><code powershell>@([^@]+)$</code></WRAP> | |
| - | |{{ :cs:spravce:pripojovani:radius:nps-20.jpg}} **20. Přidání Connection Request Policies - cizí realm 3/4** \\ Požadavky cizího realmu přeposíláme na národní RADIUS pro jejich ověření. Vyberte předchystanou šablonu ''Remote RADIUS Server Group''. | | + | |{{ :cs:spravce:pripojovani:radius:nps-20-01.jpg}} **20. Přidání Connection Request Policies - cizí realm 3/4** \\ Požadavky cizího realmu přeposíláme na národní RADIUS pro jejich ověření. Vyberte předchystanou šablonu ''Remote RADIUS Server Group''. | |
| |{{ :cs:spravce:pripojovani:radius:nps-21.jpg}} **21. Přidání Connection Request Policies - cizí realm 4/4** \\ Pro přiřazení VLAN návštěvníkům přidejte v tomto kroku ''RADIUS Attributes'' pomocí pole ''Add...'' podle vzoru na obrázku. Pouze číslo **300** u parametru ''Tunnel-Pvt-Group-ID'' nahraďte požadovaným číslem vaší VLAN pro návštěvníky. | | |{{ :cs:spravce:pripojovani:radius:nps-21.jpg}} **21. Přidání Connection Request Policies - cizí realm 4/4** \\ Pro přiřazení VLAN návštěvníkům přidejte v tomto kroku ''RADIUS Attributes'' pomocí pole ''Add...'' podle vzoru na obrázku. Pouze číslo **300** u parametru ''Tunnel-Pvt-Group-ID'' nahraďte požadovaným číslem vaší VLAN pro návštěvníky. | | ||
| Řádek 87: | Řádek 88: | ||
| |{{ :cs:spravce:pripojovani:radius:nps-24.jpg}} **24. Přidání Network Policies - testovací uživatel 1/5** \\ | | |{{ :cs:spravce:pripojovani:radius:nps-24.jpg}} **24. Přidání Network Policies - testovací uživatel 1/5** \\ | | ||
| - | |{{ :cs:spravce:pripojovani:radius:nps-25.jpg}} **25. Přidání Network Policies - testovací uživatel 2/5** \\ Vybereme podmínku ''User Groups'' a přidáme pomocí ''Add..'' skupinu z domény, která obsahuje testovací účet, jehož údaje jste vyplnili v CAAS u vašeho realmu pod ''Testing ID'', ''Testing Password''. | | + | |{{ :cs:spravce:pripojovani:radius:nps-25.jpg}} **25. Přidání Network Policies - testovací uživatel 2/5** \\ Vybereme podmínku ''User Groups'' a přidáme pomocí ''Add..'' skupinu z domény, která obsahuje testovací účet, jehož údaje jste vyplnili v [[https://admin.eduroam.cz/|administrativní aplikaci]] u detailu vašeho realmu pod položkami ''Testovací účet'', ''Heslo testovacího účtu''. | |
| |{{ :cs:spravce:pripojovani:radius:nps-26.jpg}} **26. Přidání Network Policies - testovací uživatel 3/5** \\ Této skupině povolujeme přístup. | | |{{ :cs:spravce:pripojovani:radius:nps-26.jpg}} **26. Přidání Network Policies - testovací uživatel 3/5** \\ Této skupině povolujeme přístup. | | ||
| Řádek 122: | Řádek 123: | ||
| ==== Export nastavení NPS ==== | ==== Export nastavení NPS ==== | ||
| - | <WRAP prewrap><code>$ Export-NpsConfiguration -Path "Cesta_k_souboru\zaloha_NPS_yyyy_mm_dd.xml"</code></WRAP> | + | <WRAP prewrap><code powershell>Export-NpsConfiguration -Path "Cesta_k_souboru\zaloha_NPS_yyyy_mm_dd.xml"</code></WRAP> |
| nebo | nebo | ||
| - | <WRAP prewrap><code>$ netsh nps export filename="Cesta_k_souboru\zaloha_NPS_yyyy_mm_dd.xml" exportPSK=YES</code></WRAP> | + | <WRAP prewrap><code powershell>netsh nps export filename="Cesta_k_souboru\zaloha_NPS_yyyy_mm_dd.xml" exportPSK=YES</code></WRAP> |
| \\ | \\ | ||
| Řádek 132: | Řádek 133: | ||
| ==== Import nastavení NPS ==== | ==== Import nastavení NPS ==== | ||
| - | <WRAP prewrap><code>$ Import-NpsConfiguration -Path "Cesta_k_souboru\zaloha_NPS_yyyy_mm_dd.xml"</code></WRAP> | + | <WRAP prewrap><code powershell>Import-NpsConfiguration -Path "Cesta_k_souboru\zaloha_NPS_yyyy_mm_dd.xml"</code></WRAP> |
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz