===== Связка pfSense и RADIUS Windows =====

1. Поднимаем на Windows Server роль //Network Policy Server//.

:!: //Эту роль можно поднимать на контроллере домена согласно официальным рекомендациям. Экономим на сетевых взаимодействиях, т.к. RADIUS будет обращаться к AD напрямую, минуя сеть.//

2. Создаем группу в AD, которая будет использоваться для авторизации и добавляем в неё нужных юзеров.

3. Добавляем pfSense в качестве RADIUS-клиента в оснастке NPS: указываем его IP, создаем секрет - как показаано на скриншоте.

;#;
{{:undefined:nps_radius_client.jpg?200|}}
;#;

4. Добавляем политику доступа. Ключевые параметры можно посмотреть на скриншоте, среди них: группа, авторизацию в AD юзеров которой - будем проверять (в conditions выбираем именно users group, а не windows groups), параметры проверки (MS-CHAP V.2), а также атрибут типа class, соответствующий тому же имени группы.

;#;
{{::nps_policy_1.jpg?200|}}\\
{{:nps_policy_2.jpg?200|}}\\
{{:nps_policy_3.jpg?200|}}\\
{{:nps_policy_4.jpg?200|}}\\
;#;

5. На pfSense заходим в раздел: //System > User Manager > Authentication Servers// и добавляем новый RADIUS-сервер, который мы настроили с параметрами соответствующими тем, что мы указали в роли NPS. 

:!: Важно указать правильный //NAS IP Attribute// (интерфейс, адрес которого pfSense будет передавать в протоколе), соответствующий IP-адресу, указанному в оснастке NPS. Если этого не сделать - рискуем получить  отказ принимать пакеты со стороны Windows NPS.

;#;
{{::pfsense_radius_auth_serv.jpg?200|}}
;#;

6. Проверить авторизацию можно в разделе pfSense //Diagnostics > Authentication//.

Пример:

;#;
{{::pfsense_radius_auth_check.jpg?200|}}
;#;

{{tag>pfSense RADIUS Networking NPS Windows Microsoft}}