| Next revision | Previous revision |
| nps_как_radius-прокси [2022/10/27 11:54] – created jp | nps_как_radius-прокси [2023/11/29 15:16] (current) – jp |
|---|
| ===== NPS как RADIUS-прокси ===== | ===== NPS как RADIUS-прокси ===== |
| |
| RADIUS-прокси может нам пригодиться в случаях, когда некоторые запросы нужно отправлять на другой RADIUS-сервер по определенным критериям. | RADIUS-прокси может нам пригодиться в тех случаях, когда некоторые запросы нужно отправлять на другой RADIUS-сервер по определенным критериям. Эти серверы и будут соответствующим образом обрабатывать политики для подключений (в то время, как network policies нашего NPS - задействованы не будут). |
| |
| Для реализации подобной задачи нужно добавить удаленный RADIUS-сервер, указав его IP и секрет, а также возможные другие параметры, как показано на скриншоте. | 1. Для реализации подобной задачи - нужно добавить удаленный RADIUS-сервер, указав его IP и секрет, а также возможные другие параметры, как показано на скриншоте. |
| |
| {{::radius_proxy_remote_server.jpg?400|}} | {{::radius_proxy_remote_server.jpg?400|}} |
| |
| {{tag>pfSense RADIUS Networking NPS Windows Microsoft}} | 2. После того, как удаленный RADIUS-сервер появился в системе - нужно настроить политику распределения с условиями, по которым аутентификация пойдет на добавленный RADIUS. |
| | |
| | {{::radius_proxy_remote_conditions.jpg?400|}} |
| | |
| | Например, таким условием можен быть IP адрес, имя пользователя или регулярное выражение, отвечающее критерию для такого условия. |
| | |
| | :!: //В conditions действует строгое логическое "И", означающее, что для срабатывания данной политики перенаправления - должны быть соблюдены ВСЕ перечисленные условия.// |
| | |
| | Поэтому, если мы хотим, к примеру, перенаправлять запросы для списка пользователей, но при этом, не хотим создавать больше одной политики Connection Request - нам нужно написать регулярное выражение, отвечать которому будет любое имя пользователя из перечисленных в нём. Например: |
| | |
| | (user1)|(user2)|(user3)|(user4) |
| | Можно также привязаться к конкретному SSID Wi-Fi сети. Для этого необходимо прописать SSID сети и добавить знак доллара в конец для точного совпадения. Пример: |
| | |
| | {{::radius_called_station_id.jpg?400|}} |
| | |
| | Теперь на вкладке //settings// настройки политкии - нужно указать сервер - куда требуется перенаправлять запросы. После этого - запросы, соответствующие conditions пойдут на сервер FreeRADIUS, а остальные можно посылать, к примеру, на RADIUS-сервер по умолчанию, использовав в conditions временной интервал 24/7. |
| | |
| | {{::radius_proxy_remote_redirect.jpg?400|}} |
| | |
| | Приоритет выполнения политик запросов на подключения можно менять, двигая их вверх или вниз. |
| | |
| | :!: Более высокий приоритет будут иметь политики с меньшим //"Processing Order"//. |
| | |
| | {{tag>FreeRADIUS RADIUS Networking NPS Windows Microsoft}} |
