Аутентификация RADIUS позволяет авторизовать пользователей домена Active Directory для доступа к Web-ресурсам. В данном случае мы полагаем, что UserGate работает с сервером аутентификации RADIUS, который обращается в свою очередь к контроллерам домена Active Directory, а контроллеры домена выполняют проверку пользователя, который и получает в итоге доступ в интернет. Также полагаем, что сервер RADIUS построен на базе Windows server, хотя это не обязательно.

Настройка RADIUS server на базе Windows Server 2012+

Для начала следует завести группу в Active Directory(AD) для регистрации пользователей, которые должны получать доступ в сеть.

Далее нужно установить на сервере, с помощью которого будут выполняться аутентификация клиентов и назначаться права доступа, роль RADIUS сервера. Для этого на сервере Windows Server 2012 откройте оснастку Server Manager и вызовите мастер добавления ролей — Add Roles and features.

В открывшемся мастере на шаге выбора ролей отметьте роль Network Policy and Access Services.

На шаге выбора служб роли в этом случае достаточно будет выбрать только службу Network Policy Server.

В консоли Server Manager выберите меню Tools и откройте консоль Network Policy Server (nps.msc).

Для полноценного использования NPS-сервера в домене необходимо зарегистрировать его в домене Active Directory. В оснастке на NPS, щелкните ПКМ по вашему NPS узлу и выберите Register server in Active Directory.

Подтвердите регистрацию сервера в Active Directory:

Серверу при этом должны быть предоставлены полномочия на чтение свойств учётных записей пользователей, касающихся удалённого доступа. Сервер при этом будет добавлен во встроенную доменную группу RAS and IAS Servers.

Теперь можно добавить клиента Radius: Для этого в дереве консоли NPS разверните раздел RADIUS Clients and Servers и на элементе RADIUS Clients выберите пункт New.

На вкладке Settings заполните поля Friendly name, Client address (можно указать IP адрес или DNS имя подключающегося сетевого устройства) и пароль — Shared Secret + Confirm shared.

Vendor name на соседней вкладке следует остановить на стандартном RADIUS, этого будет достаточно в большинстве случаев.

Жмем ОК. Теперь наше устройство сможет подключаться к серверу RADIUS.

Далее необходимо создать политики подключения. Здесь мы используем политику членства в группе RADIUS users, как признак разрешения доступа пользователей к сети, также можно использовать и другие политики.

Для этого раскройте ветку Policies ➜ Network Policies, и выберите пункт меню New:

Укажите Имя политики (Policy name). Тип сервера доступа к сети (Type of network access server) оставьте без изменения (Unspecified):

На следующем шаге Specify conditions добавьте условия, при которых будет применяться данная политика RADIUS. Добавьте условие принадлежности пользователя определенной группе.  Для этого нажмите кнопку Add, и выберите пункт Windows Groups.

Выберите нужную группу.

На следующем выберите значение Доступ разрешен (Access Granted).

На следующей странице выберите протоколы PAP, SPAP, сняв отметки с остальных пунктов.

Следующие страницы не требуют изменений.

Финальная конфигурация выглядит подобным образом. 

Настройка RADIUS сервер - закончена.

Настройка UserGate NGFW

Для работы с сервером RADIUS необходимо настроить Captive-портал, как это сделать описано здесь.

Для настройки аутентификации с помощью сервера RADIUS необходимо внести данные о сервере в систему: Настройки ➜ Пользователи и устройства ➜ Серверы Аутентификации (Серверы Авторизации до 6.1.9), активируя запись "по умолчанию" либо создать свою для сервера RADIUS и внести туда ip-адрес сервера и пароль, указанный при настройке сервера, в поле Секрет.

Далее в Профили аутентификации (Профили авторизации до 6.1.9) нужно отредактировать нужный или создать новый профиль аутентификации и на вкладке Методы аутентификации выбрать метод Сервер RADIUS

С этого момента UserGate будет обращаться к серверу RADIUS для аутентификации пользователей.