Этот раздел справки содержит инструкции для пользователей, которые хотят настроить Windows 2000 Advanced Server или Windows Server 2003 для предоставления RADIUS аутентификации.Она включает в себя действия по настройке Internet Authentication Service (IAS), и для создания пользователей в Active Directory. Policy Manager была разработана для работы с RADIUS-сервер для аутентификации. МСФО реализует протокол RADIUS, и обеспечивает проверку подлинности пользователей, подключающихся к сети через Интернет, виртуальные частные сети (VPN), и удаленный доступ к технологии. Рекомендуется, чтобы вы сначала прочтите Policy Manager Настройка проверки подлинности Руководство для общих инструкций аутентификации до следующих шагов здесь. Windows 2000 Advanced Server и Windows Server 2003 пользователи должны следовать шаги в этом разделе, вместо Установка и настройка RADIUS-сервере в Аутентификация Руководство по конфигурации. Рекомендуемая последовательность для выполнения конфигурации, перечисленные ниже. После завершения этих инструкций, обратиться к разделам Настройка RADIUS в Policy Manager итестирование аутентификации в Аутентификация Руководство по конфигурации для инструкции по использованию Policy Manager для настройки параметров проверки подлинности на устройствах, и убедиться, что пользователи, созданные в Active Directory могут проходить проверку подлинности в сети. | ПРИМЕЧАНИЕ: | Следующие инструкции предполагают, что у вас уже есть МСФО установленных на вашем компьютере. |
---|
Инструкция по: - Настройка Active Directory
- Настройка проверки подлинности услуг Интернет (IAS)
- Указание RADIUS номера портов
- Добавление RADIUS клиентских устройств
- Добавление новой политики удаленного доступа
- Регистрация МСФО
- Остановка и перезапуск МСФО
- Создание пользователей в Active Directory
- Создание пользователя
- Указание разрешений пользователя
- Настройка и тестирование устройств аутентификации
При использовании протокола CHAP, "обратный пароль шифрования" опция должна быть включена. Вы можете включить эту опцию глобально для всех пользователей в домене, или для конкретного пользователя.Чтобы включить эту опцию глобально: - Выберите Пуск> Программы> Администрирование> Active Directory пользователя и компьютеры.
- В окне Active Directory пользователи и компьютеры, щелкните правой кнопкой мыши на вашем домене и выберите Свойства.
- В политике вкладке группы, выберите пункт "Политика домена по умолчанию" и нажмите кнопку Изменить.
- В политике окна группы, перейдите политики паролей в панели в виде дерева слева Конфигурация компьютера> Конфигурация Windows> Параметры безопасности> политики учетных записей> Политика паролей.
- Щелкните правой кнопкой мыши на "пароль Store, используя обратимое шифрование для всех пользователей в домене" и выберите Безопасность.
- В окне Настройка политики безопасности, выберите "Определить параметры этой политики" флажок и включен переключатель. Нажмите кнопку ОК.
- Закройте все приложения и перезагрузить компьютер и войти в свой домен.
Чтобы включить эту опцию для конкретного пользователя:- Выберите Пуск> Программы> Администрирование> Active Directory пользователя и компьютеры.
- В окне Active Directory пользователи и компьютеры, щелкните правой кнопкой мыши на пользователя и выберите Свойства.
- В закладке Учетная запись, установите флажок "Хранить пароль, используя обратимое шифрование". Нажмите кнопку ОК.
- Закройте все приложения и перезагрузить компьютер и войти в свой домен.
| ПРИМЕЧАНИЕ: | Windows 2000 Advanced Server Troubleshooting МСФО руководство по инсталляции говорится: "После включения обратимо-зашифрованных паролей в домене, все пользователи должны менять свои пароли, прежде чем они будут способны аутентифицироваться для области". |
---|
| ПРИМЕЧАНИЕ: | Установите последнюю версию пакета обновления, который доступен на сайте Microsoft, до настройке проверки подлинности для Windows 2000 Advanced Server или Windows Server 2003. Следующие инструкции предполагают, что у вас уже есть МСФО установленных на вашем компьютере. |
---|
Используйте следующие шаги, чтобы указать RADIUS аутентификации и учета номера порта.- Выберите Пуск> Программы> Администрирование> Службы аутентификации Интернет. Internet Authentication Service окно.
- Щелкните правой кнопкой мыши на "Internet Authentication Service (местный)" и выберите Свойства.
- В RADIUS Tab (для Windows 2000 Advanced Server) или вкладку Порты (для Windows Server 2003), введите 1645 в поле Аутентификация и 1646 в области бухгалтерского учета.
- Нажмите кнопку ОК.
Выполните следующие шаги, чтобы добавить RADIUS клиентов (Policy Manager устройствами, а не конечных пользователей) на сервер.- В Internet Authentication Service окне (Пуск> Программы> Администрирование> Internet Authentication Service), щелкните правой кнопкой мыши на папке клиенты (для Windows 2000 Advanced Server) или RADIUS папку клиенты (для Windows Server 2003), и выберите New> клиента.
- Введите понятное имя и Протокола, а затем нажмите кнопку Далее.
- Введите адрес IP от RADIUS-клиент и выберите Клиент продавца (т.е. RADIUS Standard).
- Введите общий секрет. Общий секрет строку символов, который будет использоваться для шифрования и расшифровки сообщений между RADIUS-сервера и устройства (RADIUS клиент).Без общий секрет, сервер и клиент не сможет общаться, и аутентификации попытки не удастся. Общий секрет должен быть не менее 6 символов; 16 символов рекомендуется. Тире допускается в строку, но пробелы не. Не забудьте написать общий секрет вниз, как вы будете добавлять ее в RADIUS клиентских устройств позже.
- Нажмите кнопку Готово.
- Повторяйте, пока все ваши политики устройств Manager были добавлены.
Выполните следующие шаги, чтобы добавить новые политики удаленного доступа. Политика удаленного доступа представляет собой набор действий, которые применяется для группы пользователей, которые отвечают определенным набором условий. | ПРИМЕЧАНИЕ: | Для получения информации о настройке конечных пользователей VLAN ID атрибутов (в соответствии с RFC 3580), которые будут использоваться в сочетании с VLAN на роль , обратитесь к вашему прошивки устройства и RADIUS сервер документации. |
---|
- В Internet Authentication Service окне (Пуск> Программы> Администрирование> Internet Authentication Service), щелкните правой кнопкой мыши на папке Политики удаленного доступа и выберите New> Политика удаленного доступа.
- Windows 2000 Advanced Server: введите понятное имя политики и нажмите кнопку Далее.
Windows Server 2003: Введите политики понятное имя, выберите "Настройка пользовательских политики" переключатель (в отличие от выбора мастера), а затем нажмите кнопку Далее. - Выполните следующие шаги, чтобы добавить условие. Например, чтобы добавить условие Windows группы:
- Нажмите кнопку Добавить, чтобы открыть окно выбора атрибутов.
- Выберите "Windows групп" и нажмите кнопку Добавить.
- Нажмите кнопку Добавить в окне группы.
- Выберите группу домена (например, пользователей домена) и нажмите кнопку Добавить. Нажмите кнопку ОК.
- Добавить несколько групп, если необходимо в окне группы. В противном случае, нажмите кнопку ОК.
- Нажмите кнопку Далее.
- В окне Разрешения выберите "Предоставить право удаленного доступа" и нажмите кнопку Далее.
- Добавить профиля пользователя для пользователей, которые соответствуют условиям вы указали:
- Нажмите на кнопку изменить профиль, чтобы открыть Edit Dial-в окне профиля.
- На вкладке Проверка подлинности выберите подходящие методы аутентификации.
- В вкладке "Дополнительно", удалите все параметры, такие как "Сервер-Type" и "Framed-протокол" и нажмите кнопку Добавить, чтобы добавить Filter-Id атрибута.
- В окне атрибутов Добавить, выберите пункт "Filter-Id" и нажмите кнопку Добавить.
- В атрибутов окна многозначных, нажмите кнопку Добавить.
- В окне атрибутов, введите значение атрибута:
Enterasys: версия = 1: MGMT = SU: политика = [роль] где [роль] является имя роли, которые должны применяться к этому пользователю. | ВНИМАНИЕ: | Включает: MGMT = SU в строку только для пользователей, которые должны иметь административные привилегии и способности Telnet к устройствам и / или использования местного управления на устройствах, когда включена проверка подлинности. Для других пользователей, оставлять его. |
---|
- Нажмите кнопку ОК, чтобы перейти через окна и отделка.
Выполните следующие шаги для регистрации Internet Authentication Service в Active Directory, что позволяет IAS для проверки подлинности пользователей в Active Directory.- В Internet Authentication Service окне (Пуск> Программы> Администрирование> Internet Authentication Service), щелкните правой кнопкой мыши на "Internet Authentication Service (местный)" и выберите службы реестра в Active Directory.
- Нажмите кнопку ОК.
После завершения выше шаги для настройки Internet Authentication Service, вы должны остановить и перезапустить службу.- В Internet Authentication Service окне (Пуск> Программы> Администрирование> Internet Authentication Service), щелкните правой кнопкой мыши на "Internet Authentication Service (местный)" и выберите "Остановить службу".
- Щелкните правой кнопкой мыши на "Internet Authentication Service (местный)" и выберите "Start Service".
Используйте эти шаги для создания пользователей и задать разрешения пользователя.Создайте новый объект для каждого пользователя, который будет аутентификации.- Выберите Пуск> Программы> Администрирование> Active Directory пользователя и компьютеры. Окна Active Directory пользователи и компьютеры открывает.
- Щелкните правой кнопкой мыши на папке левой панели пользователя и выберите New> пользователя.
- Приступить через окна, ввод имени пользователя, пароля и другой соответствующей информации. Нажмите кнопку Готово.
Шаги для определения прав пользователей различаются в зависимости от того, используете вы Windows 2000 Advanced Server или Windows Server 2003.Windows 2000 Advanced Server Операции для указания разрешений пользователя зависит от вашего режима работы домена. Есть две области режимов работы в Active Directory: в смешанном режиме и в основном режиме. В смешанном режиме, пользователь разрешения, указанные в окне свойств пользователя. В основном режиме, пользователь разрешение указанных в политике удаленного доступа , настроенной в Internet Authentication Service. Для изменения режима функционирования домена, обратитесь к Microsoft Windows 2000 Advanced Server документации для руководства. - Смешанный режим:
- Щелкните правой кнопкой мыши на пользователя и выберите Свойства. В окне Свойства пользователя открывает.
- В вкладке Входящие звонки, выберите "Разрешить доступ" или "Запретить доступ" Радио кнопку на разрешение удаленного доступа (Dial-или VPN) раздел.
- Нажмите кнопку ОК.
- В основном режиме:
- Щелкните правой кнопкой мыши на пользователя и выберите Свойства. В окне Свойства пользователя открывает.
- В Dial-In ", выберите" Управление доступом основе политики удаленного доступа "Радио кнопку на разрешение удаленного доступа (Dial-или VPN) раздел.
- Перейти к соответствующей политики настроены в Internet Authentication Service и проверить либо "Предоставить право удаленного доступа" или "Запретить удаленного доступа разрешения" Радио кнопку в окне свойств политики.
- Нажмите кнопку ОК.
Windows Server 2003 Для Windows Server 2003, пользователь разрешение указанных в политике удаленного доступа , настроенной в Internet Authentication Service. - Щелкните правой кнопкой мыши на пользователя и выберите Свойства. В окне Свойства пользователя открывает.
- В Dial-In ", выберите" Управление доступом основе политики удаленного доступа "Радио кнопку на разрешение удаленного доступа (Dial-или VPN) раздел.
- Перейти к соответствующей политики настроены в Internet Authentication Service и проверить либо "Предоставить право удаленного доступа" или "Запретить удаленного доступа разрешения" Радио кнопку в окне свойств политики.
- Нажмите кнопку ОК.
Когда вы завершили выше инструкции, обратитесь к разделам Настройка RADIUS устройства в Policy Manager и тестирование аутентификации в Аутентификация Руководство по конфигурации для инструкции по использованию Policy Manager для настройки параметров проверки подлинности на устройствах, и убедиться, что пользователи, созданные в Active Directory могут проходить проверку подлинности в сети.
|