В этом разделе описывается процесс настройки сервера RADIUS, на котором выполняется сервер политики сети (NPS), используемый Forefront TMG для проверки подлинности клиентов. Перед началом настройки необходимо ознакомиться с вопросами обеспечения безопасности, описанными в разделе Общие сведения о проверке подлинности в Forefront TMG. Настройка проверки подлинности RADIUS с сервером политики сети включает следующие этапы. - Установка сервера политики сети. NPS установлен в качестве компонента Windows. Дополнительные сведения см. в статье Инфраструктура сервера политики сети (возможно, на английском языке) (http://go.microsoft.com/fwlink/?LinkID=107958).
- Настройка Forefront TMG в качестве клиента RADIUS на сервере политики сети.
- Настройка сервера RADIUS в консоли управления Forefront TMG. При настройке необходимо выбирать те же параметры, которые были указаны при настройке Forefront TMG в качестве клиента RADIUS. Обратите внимание, что указанные параметры сервера RADIUS применяются ко всем типам правил, использующим проверку подлинности RADIUS.
- Изменение правила системной политики Forefront TMG при необходимости. Это правило предполагает, что сервер RADIUS находится в созданной по умолчанию внутренней сети и разрешает отправку протоколов RADIUS из сети локального узла (компьютера Forefront TMG) во внутреннюю сеть. Если сетевое расположение неверно или вместо всей внутренней сети нужно указать адрес сервера RADIUS, правило можно изменить. Правило включено по умолчанию.
Чтобы настроить Forefront TMG в качестве RADIUS-клиента на сервере политики сети, выполните следующие действия: На компьютере с установленным сервером политики сети нажмите кнопку Пуск, выберите команду Выполнить, введите nps.msc и нажмите клавишу ВВОД. Оставьте консоль управления открытой для выполнения следующих задач настройки сервера политики сети. В консоли управления сервера политики сети разверните узел Клиенты и серверы RADIUS, щелкните правой кнопкой мыши Клиенты RADIUS и выберите пунктСоздать клиент RADIUS. В диалоговом окне Новый клиент RADIUS в поле Понятное имя введите описание Forefront TMG. В поле Адрес (IP или DNS) введите IP-адрес Forefront TMG. В поле Общий секрет укажите общий секрет, созданный в процедуре, которая описана в разделе Настройка Forefront TMG в качестве клиента RADIUS. В поле Подтвердите общий секрет снова введите общий секрет. Установите флажок RADIUS-клиент поддерживает NAP и нажмите кнопку ОК.
Чтобы настроить RADIUS-сервер в Forefront TMG, выполните следующие действия: В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана. В области Задачи щелкните Настроить клиентский доступ. На вкладке Сети выберите сеть, где расположен RADIUS-сервер и нажмите кнопку Настроить. На вкладке Веб-прокси выберите Проверка подлинности. В разделе Метод отмените выбор всех других методов и выберите RADIUS. Перейдите на вкладку Серверы RADIUS и нажмите кнопку Добавить. В поле Имя сервера введите имя или IP-адрес RADIUS-сервера, который будет использоваться для проверки подлинности. Нажмите кнопку Изменить, а затем в полях Новый секрет и Подтверждение введите общий секрет, который будет использоваться для взаимодействия между сервером Forefront TMG и RADIUS-сервером. Необходимо указать тот же самый секрет, который был указан при настройке Forefront TMG в качестве клиента на сервере RADIUS. В поле Порт для проверки подлинности укажите UDP-порт, используемый RADIUS-сервером для входящих запросов на проверку подлинности RADIUS. Заданное по умолчанию значение 1812 основано на RFC 2138. В поле Время ожидания (с) укажите значение времени (в секундах), в течение которого Forefront TMG должен получить отклик от сервера RADIUS, прежде чем подключиться к альтернативному серверу. Нажмите кнопку ОК пять раз, чтобы закрыть все окна, а затем на панели Принять изменения нажмите кнопку Применить.
Изменение правила системной политики RADIUS В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана, а затем на панели Задачи выберите команду Изменить системную политику. В разделе Службы проверки подлинности списка Группы настройки выберите вариант RADIUS. Убедитесь, что на вкладке Общие установлен флажок Включить данную группу настройки. На вкладкеКуда укажите другое расположение, выберите Внутренняя, а затем нажмите кнопку Удалить. Нажмите кнопку Добавить и укажите сетевой объект, представляющий RADIUS-сервер.
|