jpolisher's IT-wiki

User Tools

Site Tools

Trace: docker_-_общее microsoft_windows._общее veracrypt ad.общее exchange keychron
nps_и_radius

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
nps_и_radius [2022/10/17 20:50] jpnps_и_radius [2023/10/13 13:36] (current) jp
Line 1: Line 1:
 ===== NPS и RADIUS ===== ===== NPS и RADIUS =====
  
-=== Связка pfSense и RADIUS Windows ===+;#; 
 +{{::altcomp-ejemplos-seguridad-red-empresa.jpg?direct&600|}} 
 +;#;
  
-1. Поднимаем на Windows Server роль //Network Policy Server//. +[[Авторизация в сети Wi-Fi на сертификатах]]\\ 
- +[[Связка pfSense и RADIUS Windows]]\\ 
-:!: //Эту роль можно поднимать на контроллере домена согласно официальным рекомендациям. Экономим на сетевых взаимодействиях, т.к. RADIUS будет обращаться к AD напрямую, минуя сеть.// +[[NPS как RADIUS-прокси]]
- +
-2. Создаем группу в AD, которая будет использоваться для авторизации и добавляем в неё нужных юзеров. +
- +
-3. Добавляем pfSense в качестве RADIUS-клиента в оснастке NPS: указываем его IP, создаем секрет - как показаано на скриншоте. +
- +
-{{:undefined:nps_radius_client.jpg?200|}} +
- +
-4. Добавляем политику доступа. Ключевые параметры можно посмотреть на скриншоте, среди них: группа, авторизацию в AD юзеров которой - будем проверять (в conditions выбираем именно users group, а не windows groups), параметры проверки (MS-CHAP V.2), а также атрибут типа class, соответствующий тому же имени группы. +
- +
-{{::nps_policy_1.jpg?200|}}\\ +
-{{:nps_policy_2.jpg?200|}}\\ +
-{{:nps_policy_3.jpg?200|}}\\ +
-{{:nps_policy_4.jpg?200|}}\\ +
- +
-5. На pfSense заходим в раздел: //System > User Manager > Authentication Servers// и добавляем новый RADIUS-сервер, который мы настроили с параметрами соответствующими тем, что мы указали в роли NPS.  +
- +
-:!: Важно указать правильный //NAS IP Attribute// (интерфейс, адрес которого pfSense будет передавать в протоколе), соответствующий IP-адресу, указанному в оснастке NPS. Если этого не сделать - рискуем получить  отказ принимать пакеты со стороны Windows NPS. +
- +
-{{::pfsense_radius_auth_serv.jpg?200|}} +
- +
-6. Проверить авторизацию можно в разделе pfSense //Diagnostics > Authentication//+
- +
-Пример: +
- +
-{{::pfsense_radius_auth_check.jpg?200|}} +
- +
-{{tag>pfSense RADIUS Networking NPS Windows Microsoft}}+
nps_и_radius.1666039825.txt.gz · Last modified: 2022/10/17 20:50 by jp