Авторизация с помощью RADIUS

ID статьи: 641
Последнее обновление: 30 мар, 2023
KnowledgeBase:
Product: UserGate NGFW
Version: 5.x, 6.x, 7.x
Technology: Identification and Authentication

Аутентификация RADIUS позволяет авторизовать пользователей домена Active Directory для доступа к Web-ресурсам. В данном случае мы полагаем, что UserGate работает с сервером аутентификации RADIUS, который обращается в свою очередь к контроллерам домена Active Directory, а контроллеры домена выполняют проверку пользователя, который и получает в итоге доступ в интернет. Также полагаем, что сервер RADIUS построен на базе Windows server, хотя это не обязательно.

Настройка RADIUS server на базе Windows Server 2012+

Для начала следует завести группу в Active Directory(AD) для регистрации пользователей, которые должны получать доступ в сеть.

Далее нужно установить на сервере, с помощью которого будут выполняться аутентификация клиентов и назначаться права доступа, роль RADIUS сервера. Для этого на сервере Windows Server 2012 откройте оснастку Server Manager и вызовите мастер добавления ролей — Add Roles and features.

В открывшемся мастере на шаге выбора ролей отметьте роль Network Policy and Access Services.

image

На шаге выбора служб роли в этом случае достаточно будет выбрать только службу Network Policy Server.

В консоли Server Manager выберите меню Tools и откройте консоль Network Policy Server (nps.msc).

Network Policy Server (nps.msc).

Для полноценного использования NPS-сервера в домене необходимо зарегистрировать его в домене Active Directory. В оснастке на NPS, щелкните ПКМ по вашему NPS узлу и выберите Register server in Active Directory.

Register радиус server in Active Directory

Подтвердите регистрацию сервера в Active Directory:

nps регистрация в ad

Серверу при этом должны быть предоставлены полномочия на чтение свойств учётных записей пользователей, касающихся удалённого доступа. Сервер при этом будет добавлен во встроенную доменную группу RAS and IAS Servers.

Теперь можно добавить клиента Radius: Для этого в дереве консоли NPS разверните раздел RADIUS Clients and Servers и на элементе RADIUS Clients выберите пункт New.

raduis новый клиент

На вкладке Settings заполните поля Friendly name, Client address (можно указать IP адрес или DNS имя подключающегося сетевого устройства) и пароль — Shared Secret + Confirm shared.

Примечание Этот пароль понадобится при настройке RADIUS на устройстве UserGate

Vendor name на соседней вкладке следует остановить на стандартном RADIUS, этого будет достаточно в большинстве случаев.

image

Жмем ОК. Теперь наше устройство сможет подключаться к серверу RADIUS.

Далее необходимо создать политики подключения. Здесь мы используем политику членства в группе RADIUS users, как признак разрешения доступа пользователей к сети, также можно использовать и другие политики.

Для этого раскройте ветку Policies ➜ Network Policies, и выберите пункт меню New:

raduis новая политика

Укажите Имя политики (Policy name). Тип сервера доступа к сети (Type of network access server) оставьте без изменения (Unspecified):

На следующем шаге Specify conditions добавьте условия, при которых будет применяться данная политика RADIUS. Добавьте условие принадлежности пользователя определенной группе.  Для этого нажмите кнопку Add, и выберите пункт Windows Groups.

Выберите нужную группу.

На следующем выберите значение Доступ разрешен (Access Granted).

На следующей странице выберите протоколы PAP, SPAP, сняв отметки с остальных пунктов.

Следующие страницы не требуют изменений.

Финальная конфигурация выглядит подобным образом. 

Примечание Здесь следует иметь в виду, что Network Policies применяются сверху вниз, поэтому порядок правил важен.

Настройка RADIUS сервер - закончена.

Настройка UserGate NGFW

Для работы с сервером RADIUS необходимо настроить Captive-портал, как это сделать описано здесь.

Для настройки аутентификации с помощью сервера RADIUS необходимо внести данные о сервере в систему: Настройки ➜ Пользователи и устройства ➜ Серверы Аутентификации (Серверы Авторизации до 6.1.9), активируя запись "по умолчанию" либо создать свою для сервера RADIUS и внести туда ip-адрес сервера и пароль, указанный при настройке сервера, в поле Секрет.

Примечание Несмотря на то, что поле Секрет серое - оно доступно для редактирования.

Далее в Профили аутентификации (Профили авторизации до 6.1.9) нужно отредактировать нужный или создать новый профиль аутентификации и на вкладке Методы аутентификации выбрать метод Сервер RADIUS

С этого момента UserGate будет обращаться к серверу RADIUS для аутентификации пользователей.

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 641
Последнее обновление: 30 мар, 2023
Ревизия: 4
Просмотры: 6854
Комментарии: 0
Теги

Также опубликовано в