Toto je starší verze dokumentu!
Tento návod Vás provede instalací Network Policy Serveru na Microsoft Server 2019 a všech potřebných součástí pro jeho zprovoznění.
Příkazy uvedené v návodu spouštějte vždy v PowerShellu s administrátorskými právy.
Před samotnou konfigurací NPS je třeba provést všechny tyto prerekvizity pro správnou funkčnost NPS.
$ Install-WindowsFeature NPAS -IncludeManagementTools
1. Pro konfiguraci nebudeme používat Průvodce . Jednotlivé složky nastavíme samostatně v následujících krocích. |
2. Registrace NPS v AD Alternativně lze tento krok provést příkazem: $ netsh nps add registeredserver vase.domena.cz |
V krocích 3. - 5. vytvoříme šablony pro sdílená tajemství jednotlivých klientů. Ušetříme si tím opakované zadávání tajemství v dalších krocích a s tím spojené případné chyby ve vyplňování. |
3. Přidání šablony sdíleného tajemství pro národní RADIUS NPS > Templates Management > Shared Secret > New RADIUS Shared Secret Template Správné tajemství pro váš server naleznete v CAAS, položka Inf. RADIUS1 secret . Pro IPSec je secret ipsec . |
4. Přidání šablony sdíleného tajemství pro monitoring Správné tajemství pro váš server naleznete v CAAS, položka Mon. RADIUS secret . |
5. Přidání šablony sdíleného tajemství pro Controller/AP Zde vložte/vygenerujte tajemství pro Controller nebo AP. |
V krocích 6. - 8. definujeme všechny potřebné klienty. Pro náš případ to je národní RADIUS, monitoring a v poslední řadě váš Controller nebo Access Pointy. |
6. Definice klientů - národní RADIUS NPS > RADIUS Clients and Servers > RADIUS Clients > New RADIUS Client Můžete použít předchystanou šablonu Shared Secret pro národní RADIUS. |
8. Definice klientů - Controller/AP Místo X.X.X.X doplňte IP adresu vašeho Controlleru/AP. Můžete použít předchystaný template Shared Secret pro Controller/AP. |
V krocích 9. - 11. definujeme vzdálený RADIUS server (národní RADIUS) pro ověřování požadavků návštěvníků. |
9. Definice vzdáleného RADIUS serveru 1/3 NPS > RADIUS Clients and Servers > Remote RADIUS Server Groups > Add RADIUS Server Add |
10. Definice vzdáleného RADIUS serveru 2/3 Můžete použít předchystanou šablonu Shared Secret pro národní RADIUS. |
11. Definice vzdáleného RADIUS serveru 3/3 Po vyplnění všech polí podle vzoru na obrázku, klikněte dvakrát na OK . |
V krocích 12. - 23. nastavíme Connection Request Policies. V těcho pravidlech se rozhoduje o tom, jestli daný požadavek bude zpracovaný na tomto RADIUSu (domácí uživatel) nebo bude předán k ověření na národní RADIUS (návštěvník). Pokud se jedná o požadavek domácího uživatele bude se dále tento požadavek zpracovávat v sadě pravidel Network Policies. |
13. Přidání Connection Request Policies - domácí realm 2/6 Filtrujeme na základě obsahu realmu v uživatelském jméně. |
14. Přidání Connection Request Policies - domácí realm 3/6 Upravte regex na váš realm podle kontextu. Dokumentace pattern matching syntax |
15. Přidání Connection Request Policies - domácí realm 4/6 Požadavky domácího realmu ověřujeme na svém RADIUS serveru. |
16. Přidání Connection Request Policies - domácí realm 5/6 Nechte pole Override network policy authentication settings nezaškrtnuté. |
17. Přidání Connection Request Policies - domácí realm 6/6 Pokračujte kliknutím na Next a pak Finish . |
19. Přidání Connection Request Policies - cizí realm 2/4 Zvolte podmínku User Name a vyplňte pole následujím výrazem. @([^@]+)$ |
20. Přidání Connection Request Policies - cizí realm 3/4 Požadavky cizího realmu přeposíláme na národní RADIUS pro jejich ověření. Vyberte předchystanou šablonu Remote RADIUS Server Group . |
22. Kontrola Connection Request Policies - domácí realm Můžete si zkontrolovat podmínky podle vzoru. |
V krocích 24. - 38. nastavíme Network Policies. V tomto návodu se opíráme o předpoklad, že na Windows Serveru provozujeme také Active Directory s uživatelskými účty. Ověřujeme požadavky proti existenci účtu v doméně. Tyto účty máme rozdělné na dvě skupiny studenty; a zaměstnance. Díky tomu můžeme každé skupině přiřadit odlišnou VLAN. Dále odlišujeme skupinu, ve které je testovací uživatel. |
30. Přidání Network Policies - studenti 2/4 Vybereme podmínku User Groups a přidáme pomocí Add.. skupinu z domény, která obsahuje účty studentů. |
31. Přidání Network Policies - studenti 3/4 Této skupině povolujeme přístup a pro metody ověření platí stejné nastavení jako pro testovací účet. |
$ Export-NpsConfiguration -Path "Cesta_k_souboru\zaloha_NPS_yyyy_mm_dd.xml"
nebo
$ netsh nps export filename="Cesta_k_souboru\zaloha_NPS_yyyy_mm_dd.xml" exportPSK=YES
$ Import-NpsConfiguration -Path "Cesta_k_souboru\zaloha_NPS_yyyy_mm_dd.xml"
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz