Сервер Сетевых Политик (network policy server) предназначен для аутентификации пользователей и устройств по требованию используя протокол RADIUS. В основном используется с такими технологиями как VPN и IEEE 802.1X (контроль сетевого доступа на коммутаторах и WiFi точек доступа). Можно совмещать с ролью AD DS на одном сервере, но только если Windows Server установлен c графической оболочкой. В данной статье будут описаны настройки для WiFi, VPN, Port-Based Security на коммутаторах, а так же настройка RADIUS Proxy для сетей с двумя AD доменами на базе Windows Server 2019.

 Установка производится в один "клик" через PowerShell:

Install-WindowsFeature NPAS -IncludeManagementTools

 Основные понятия:

 Клиенты RADIUS - Узлы сети, в том числе и RADIUS Proxy, которым можно подключаться к RADIUS для аутентификации. Можно указать как отдельный хост, так и целую сеть, что удобно когда, например, для коммутаторов или точек доступа выделена отдельная сеть. Для создания Клиента RADIUS необходимо заполнить "Название Клиента", "IP Address" и "Shared Secret"

 Удалённый RADIUS Сервер - RADIUS сервера, которые могут быть находится в другом домене.

 

 

 Политики запросов на подключение - политики, которые определяют что делать с тем или иным запросом: или обработать на локальном сервере или перенаправить запрос на другой RADIUS сервер. Если у Вас один домен - политику лучше не трогать.

 Пример перенаправления запросов на RADIUS в другой домен на основании части FQDN хоста в домене domain.domain.com:

 Сетевые политики\Политики сети - политики, определяющие требования для клиентов (в данном случае WiFi, VPN, Port Security) такие как методы аутентификации (Пароль, Сертификат), шифрования и т.д.. По умолчанию доступ запрещён двумя политиками. Сетевые политики являются сами важными настройками, и поначалу могут показаться трудными в настройке.

 

 Примеры настроек сетевых политик:

 WiFi с аутентификацией на пользовательских сертификатах (AD DS должен быть установлен, пользователь должен иметь простой сертификат шаблона "пользователь"):

 VPN с аутентификацией на пользовательских сертификатах:

 Port-Based Security с аутентификацией на компьютерных сертификатах:

 В конце хотелось бы добавить, что данные настройки RADIUS используются не только для Windows клиентов, но так же и для Linux и macOS (L2TP VPN с аутентификацией по логину и паролю)

 

16.05.2020