Главная » Статьи » Статті по диплому
Настройка Internet Authentication Service (IAS)



Настройка RADIUS-клиентов

Настройка политики для аутентификации пользователей

Настройка политики для аутентификации компьютеров

В среде Microsoft, при включении компьютера, в первую очередь должен быть доступ к контроллеру домена, а только после этого может выполняться аутентификация пользователя по 802.1X.

Аутентификация на DC нужна для:

  • Machine group policies
  • Computer startup scripts
  • Software installation settings

Но, если на порту сетевого устройства, к которому подключен компьютер, настроена аутентификация 802.1X, то через этот порт проходит только трафик протокола EAP. И доступ к контроллеру домена невозможен. Если клиент до этого получал доступ к контроллеру домена, то у него в кеше хранится достаточно информации для старта компьютера без доступа к контроллеру домена.

Однако, это решает только вопрос доступа к контроллеру домена для прохождения аутентификации. Вопрос применения групповых политик к компьютерам и установки программного обеспечения на компьютер остается неразрешенным.

Существуют клиенты различных производителей, которые позволяют поменять порядок аутентификации по 802.1X и аутентификации в домене. Примеры клиентов:

  • Huawei-3Com 802.1X клиент
  • Odyssey Client от Funk Software

Аутентификация компьютера (даже без подключенного пользователя) позволяет решить вопрос доступа к контроллеру домена для:

  • прохождения аутентификации в домене,
  • применения групповых политик к компьютеру,
  • автоматической установки ПО на компьютер.

Процедура настройки клиента для прохождения аутентификации описана на странице 802.1X и RADIUS

1. Нажать правой кнопкой на Remote Access Policies и выбрать в сплывающем меню New Remote Access Policy. Появится New Remote Access Policy Wizard.

2. Нажать Next.

3. Выбрать Set up a custom policy, написать имя для новой политики (например, Computer auth), нажать Next:

4. В окне Policy Conditions нажать Add.

5. Выбрать Windows Groups в качестве условия для созданной политики и нажать Add.

6. В окне Groups нажать Add.

7. Набрать Domain Computers и нажать OK.

8. Нажать OK.

9. Нажать Next.

10. Выбрать Grant remote access permission и нажать Next.

11. Нажать Edit Profile и выбрать закладку Authentication.

12. Нажать EAP Methods. Настройки по умолчанию должны быть изменены для добавление метода PEAP.

13. В окне select EAP Providers нажать Add.

14. Выбрать Protected EAP (PEAP) и нажать OK.

15. Дважды нажать OK.

16. Выбрать No во всплывшем окне Dial-in Settings.

17. Click Next.

18. Click Finish to close the New Remote Access Policy Wizard.


Настройка дополнительных атрибутов в политиках


Назначение VLAN по результатам аутентификации на коммутатор

Для динамического размещения порта коммутатора в VLANе по результатам аутентификации используются такие стандартные атрибуты RADIUS-сервера:

  • [64] Tunnel-Type=VLAN (type 13)
  • [65] Tunnel-Medium-Type=802 (type 6)
  • [81] Tunnel-Private-Group-ID=VLANID (или имя VLAN)

Изображение:IAS_VLAN.jpg


Назначение ACL по результатам аутентификации на коммутатор ProCurve

Изображение:IAS1.jpg

Изображение:IAS2.jpg

Изображение:IAS3.jpg

Изображение:IAS4.jpg

Изображение:IAS5.jpg

Изображение:IAS6.jpg

Изображение:IAS7.jpg


Проверка работы IAS

Если клиент не прошел аутентификацию, то информацию о том, по каким причинам это произошло можно посмотреть в Event Viewer > System.
Категория: Статті по диплому | Добавил: Andre99 (08.02.2011)
Просмотров: 1333720 | Теги: Настройка Internet Authentication S | Рейтинг: 10.0/10
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]