RADIUS сервер с интеграцией Active Directory.

# RADIUS сервер с интеграцией Active Directory. ## Настройка RADIUS сервера на Windows Server. В первую очередь на Windows Server необходимо добавить роль сервера сетевых политик (NPS). Для этого в диспетчере сервера кликаем Manage -> Add Roles and Features. ![](https://i.imgur.com/zAjXoRI.png) И выбираем роль "Network Policy and Access Servies". ![](https://i.imgur.com/KX0pT02.png) После установке роли во вкладке инструментов у нас появится пункт "Network Policy Server". Кликаем по нему. ![](https://i.imgur.com/DdHFQWN.png) Теперь нам нужно зарегистрировать NPS сервер в домене Active Directory. ![](https://i.imgur.com/FAFcATV.png) Тем самым мы дадим NPS серверу права на просмотр свойств учетных записей в домене. ![](https://i.imgur.com/GkRM6N8.png) Далее необходимо создать нового клиента RADIUS. ![](https://i.imgur.com/gL6VU0f.png) Указываем имя устройства, его IP адрес или доменное имя и ключ, который будет также прописан на самом клиенте. ![](https://i.imgur.com/DmzEaP5.png) Нам также нужно создать группу с пользователями, которым будет позволено проходить аутентификацию на RADIUS клиентах. ![](https://i.imgur.com/FBqc76E.png) ![](https://i.imgur.com/SITuOeR.png) ![](https://i.imgur.com/f22DH4I.png) И добавить в нее пользователей. ![](https://i.imgur.com/waNzTEc.png) ![](https://i.imgur.com/3qNtLCX.png) Далее нам необходимо создать политики доступа. ![](https://i.imgur.com/qfJ2zSL.png) Назначим имя, тип сервера доступа "Unspecified". ![](https://i.imgur.com/la4wesa.png) Добавим, созданную ранее нами группу пользователей для удаленного доступа. ![](https://i.imgur.com/IxL512I.png) Тип доступа "Access Permission" ![](https://i.imgur.com/CXC2h1Q.png) Из методов аутентификации выберем только Unencrypted authentification (PAP, SPAP), так как, хоть он и является менее безопасным из-за отсутствия шифрования, но при этом поддерживается практически всем оборудованием. ![](https://i.imgur.com/e6NZsZy.png) В разделе Standart нужно удалить атрибут Framed-rotocol, затем кликаем по Service-Type и нажимаем Edit... ![](https://i.imgur.com/f507TiT.png) И в появившемся окне выбираем Others -> Login. ![](https://i.imgur.com/5edbCgB.png) Убедимся, что наша новая политика в списке располагается выше политики "Connections to other access servers". ![](https://i.imgur.com/SfG97bX.png) Далее можно приступать к настройке самих RADIUS клиентов. ## Настройка RADIUS на Cisco. Зададим профиль для аутентификации и авторизации используя RADIUS, и также укажем локальную аутентификацию на случай если RADIUS сервер по каким-то причинам будет не доступен. ``` enable configure terminal aaa new-model aaa authentication login default group radius local aaa authorization exec default group radius local ``` Далее укажем IP адрес сервера RADIUS и ключ, который мы задавали на сервере Windows при создании нового клиента RADIUS. ``` radius-server host 172.16.20.1 radius-server key secretkey do write ```