Налаштовуємо доменну аутентифікацію на мережевому обладнанні, windows для системних адміністраторів

Установка і настройка сервера з роллю Network Policy Server

Відкрийте консоль Server Manager і встановіть роль Network Policy Server (знаходиться в розділі Network Policy and Access Services).

Налаштовуємо доменну аутентифікацію на мережевому обладнанні, windows для системних адміністраторів
Після закінчення установки запустіть mmc-консоль управління Network Policy Server. Нас цікавлять три наступних розділу консолі:

  1. RADIUS Clients - містить список пристроїв, які можуть аутентифицироваться на сервері
  2. Connection Request Policies - визначає типи пристроїв, які можуть аутентифицироваться
  3. Network Polices - правила аутентифікації

Налаштовуємо доменну аутентифікацію на мережевому обладнанні, windows для системних адміністраторів
Додамо нового клієнта RADIUS (це буде комутатор HP ProCurve Switch 5400zl), клацнувши ПКМ по розділу RADIUS Clients та вибравши New. зазначимо:

  • Friendly Name: sw-HP-5400-1
  • Address (IP or DNS). 10.10.10.2
  • Shared secret (пароль / секретний ключ): пароль можна вказати вручну (він повинен бути досить складним), або згенерувати за допомогою спеціальної кнопки (згенерований пароль необхідно скопіювати, тому що надалі його доведеться вказати на мережевому пристрої).

Налаштовуємо доменну аутентифікацію на мережевому обладнанні, windows для системних адміністраторів
Відключимо стандартну політику (Use Windows authentication for all users) в розділі Connection Request Policies, клацнувши по ній ПКМ і вибравши Disable.

Створимо нову політику з ім'ям Network-Switches-AAA і натискаємо далі. У розділі Сondition створимо нову умову. Шукаємо розділ RADIUS Client Properites і вибираємо Client Friendly Name.

Налаштовуємо доменну аутентифікацію на мережевому обладнанні, windows для системних адміністраторів
Як значення вкажемо sw- ?. Тобто умова буде застосовуватися для всіх клієнтів RADIUS, що починається з символів: "sw-". Тиснемо Next-> Next-> Next, погоджуючись з усіма стандартними настройками.

Далі в розділі Network Policies створимо нову політику аутентифікації. Вкажіть її ім'я, наприклад Network Switch Auth Policy for Network Admins. Створимо дві умови: в першій умові Windows Groups. вкажемо доменну групу, члени якої можуть аутентифицироваться (облікові записи адміністраторів в нашому прикладі включені в групу AD Network Admins) Друга умова Authentication Type. вибравши в якості протоколу аутентифікації PAP.

Налаштовуємо доменну аутентифікацію на мережевому обладнанні, windows для системних адміністраторів
Далі у вікні Configure Authentication Methods знімаємо галки з усіх типів аутентифікації, крім Unencrypted authentication (PAP. SPAP).

У вікні Configure Settings змінимо значення атрибута Service-Type на Administrative.

Налаштовуємо доменну аутентифікацію на мережевому обладнанні, windows для системних адміністраторів
В інших випадках погоджуємося зі стандартними настройками і завершуємо роботу з майстром.

І, наостанок, перемістимо нову політику на перше місце в списку політик.

Налаштовуємо доменну аутентифікацію на мережевому обладнанні, windows для системних адміністраторів

Налаштування мережевого обладнання для роботи з сервером RADUIS

Порада. Якщо в цілях безпеки ви заборонили підключатися до мережевого обладнання через telnet, ці рядки потрібно видалити з конфіга:

Примітка. Залежно від моделі мережевого обладнання Cisco і версії IOS конфігурація може дещо відрізнятися.

Для Cisco ASA конфігурація буде виглядати так:

Порада. Якщо що то-не працює, перевірте: