Tässä blogissa katsotaan, miten luodaan käyttäjäryhmiä ja määritetään käyttäjähallinta RADIUS-todennusta varten Windows Server 2016 AD:ssä
Mikä on Radius:
Remote Authentication Dial-In User Service (RADIUS) on asiakas-palvelinprotokolla (client/server protocol) ja -ohjelmisto, joka tarjoaa etäpalvelimille mahdollisuuden kommunikoida keskitetyn palvelimen kanssa, jotta ne voivat todentaa valintanumeroon soittavia käyttäjiä ja sallia heidän pääsynsä pyydettyyn järjestelmään tai palveluun. RADIUS:n avulla yritys voi ylläpitää käyttäjäprofiileja keskustietokannassa, jota kaikki etäpalvelimet voivat käyttää. Se tarjoaa paremman tietoturvan, sillä sen avulla yritys voi laatia käytäntöjä, joita voidaan soveltaa yhdessä hallinnoitavassa verkkopisteessä.
Käyttämällä Radius-todennusmenetelmää aiomme kommunikoida Sonicwall-laitteen kanssa. Luo Radius Client NPS:ään. Radius-asiakkaan luomisen jälkeen luodaan NPS-käytäntö auktorisointia varten.
Me aiomme määrittää Radius-todennuksen SonicOS 6.5:ssä, joka julkaistiin syyskuussa 2017. Tämä julkaisu sisältää merkittäviä käyttöliittymämuutoksia ja monia uusia ominaisuuksia, jotka eroavat SonicOS 6.2:sta ja aiemmista laiteohjelmistoista.
- Avaa AD Users and Computers (AD:n käyttäjät ja tietokoneet) ja luo uusi ryhmä käyttäjäkansioon
- Luo uusi käyttäjä ja lisää jäseneksi uuteen käyttäjäryhmään
- Avaa käyttäjän ominaisuudet ja siirry kohtaan Dial-in users (Soittajakäyttäjät) ja valitse Allow access (Salli käyttöoikeus) for Remotekäyttäjän käyttöoikeudelle (Dial-in tai VPN)
NPS:n määrittäminen tukemaan RADIUS-asiakkaita
- Avaa Verkkokäytäntöpalvelin Hallintatyökalut-kohdasta
- Klikkaa hiiren kakkospainikkeella oikealla RADIUS-asiakkaat-kansiota ja valitse Uusi
- Siirrä ystävällinen nimi asiakkai- suusasiakkaan kohdalla ja anna sille IP- tai FQDN- osoite
- Siirrä jaettu salaisuus. Tätä jaettua salaisuutta tarvitaan myöhemmin, joten merkitse se muistiin myöhempää käyttöä varten
- Klikkaa nyt ylhäällä olevaa Advance-välilehteä ja valitse Vendor name (Valmistajan nimi) -pudotusvalikosta Radius Standard (Radius-standardi)
- Luo Radius-asiakas napsauttamalla OK:ta
Käyttäjien käyttöoikeuksien määrittäminen,
- Erita käytännöt ja napsauta hiiren kakkospainikkeella Verkkokäytännöt ja valitse Uusi
- Määritä ystävällinen verkkokäytännön nimi ja valitse yhteystyypiksi ”Etäkäyttöpalvelin (VPN-Dial ap)” ja anna Seuraava
- Määritä ehdot -sivulla, klikkaa Lisää ja valitse ”Windows-ryhmä” ja klikkaa Lisää ryhmä lisätäksesi ryhmän, jonka olemme luoneet alussa
- Klikkaa Seuraava määrittääksesi Access Permission
- Klikkaa Access Granted -vaihtoehtoa ja anna Next määrittääksesi Authentication Methods
- Klikkaa Lisää ja valitse Microsoft: Secured password (EAP-MSCHAP v2) ja anna Next
- Pidä oletusasetukset Configure Constraints -sivulla ja siirry seuraavalle sivulle
- Passi tämä Configure-sivu ja anna Next ja tarkista yleiset määritykset ja napsauta Finish
Nyt voimme tarkistaa Radius-palvelimen asetukset Sonicwallin palomuurista
- Kirjaudu Sonicwalliin konfigurointitilassa ja siirry Hallitse-välilehdelle
- Klikkaa vasemmanpuoleisessa ruudussa Käyttäjät (Users) ja valitse Asetukset (Settings)
- Asetukset-sivulla, napsauta Configure Radius (Määritä Radius) -vaihtoehtoa
- Napsauta nyt Add (Lisää) -painiketta ja syötä Radius-palvelimen tiedot ja Shared secret key (Jaettu salainen avain) ja tallenna se
- Tallennettuasi asetukset siirry Test (Testaa) -välilehdelle, jotta voit testata Radius-palvelimen yhteyden
- Valitse Radius-palvelin pudotusluettelosta ja valitse testattava todennusmenetelmä
- Anna Radius-palvelimen voimassa olevat käyttäjätilin tiedot ja tarkista yhteys
Tässä olemme saaneet NPS-konfiguraation valmiiksi, Jos kaikki määritykset ovat oikein, testitila näyttää tuloksen ”Radius Authentication Succeeded”. Voit myös tarkistaa Asetukset-välilehdeltä Radius-palvelimen tilan. Jos se on vihreä, viestintä Radius-palvelimen kanssa on tarkistettu ja yhteys on muodostettu.
Kokeile nykyaikaista tietosuojaa tämän uusimman Vembu BDR Suite v3.9.0 FREE editionin avulla. Kokeile 30 päivän ilmaista kokeiluversiota täällä: https://www.vembu.com/vembu-bdr-suite-download/
Onko kysyttävää? Lähetä meille vastauksia sähköpostitse osoitteeseen: [email protected].
Seuraa Twitter- ja Facebook-syötteitämme saadaksesi uusia julkaisuja, päivityksiä, oivaltavia viestejä ja paljon muuta.