Настройка radius для wifi
Настройка WiFi авторизации через RADIUS-сервер NPS на Mikrotik.
Использование для WiFi авторизации доменных учетных записей является очень удобным решением для любой организации где есть контроллер домена. Это удобно в случае если у вас несколько офисов т.к. можно подключаться под личным логином и паролем к wifi в любом офисе и безопасно в случае увольнения сотрудника т.к. его доменный профиль удаляется или блокируется.
Для настройки WiFi авторизации через доменный профиль необходимо будет выполнить следующие настройки:
- Настройка сервера политики сети NPS в Windows 2012
- Настройка RADIUS-клиента на Mikrotik.
Настройка сервера политики сети NPS в Windows 2012.
Открываем «Диспетчер сервера» и приступаем к установке роли «Сервер политики сети» через «Мастер добавления ролей и компонентов». Подробно рассматривать процедуру установки не буду, здесь нет никаких сложностей. У меня на сервере эта роль уже установлена (см. скриншот).
После установки Роли потребуется перезагрузка. Перезагружаем сервер и приступаем к настройке NPS.
Настраиваем подключение RADIUS-клиента.
В Диспетчере серверов открываем /Средства/Сервер политики сети.
Переходим в /NPS/Radius-клиенты и сервер/Radius-клиенты, щелкаем пр. клавишей мыши и выбираем пункт «Новый документ»
Указываем имя (любое понятное для себя), ip-адрес роутера Mikrotik и придумываем общий секрет посложней (можно воспользоваться генератором).
Создаем политики для WiFi авторизации.
На этом шаге настройки воспользуемся мастером настройки 802.1x.
Кликаем лев. клавишей мыши по пункту «NPS(Локально)», затем в правом окне разворачиваем пункт «Стандартная конфигурация».
В пункте сценария настройки выбираем «RADIUS-сервер для беспроводных или кабельных подключений 802.1x» и переходим по ссылке «Настройка 802.1x».
Выбираем пункт «Безопасные беспроводные подключения»
На следующем шаге добавляем RADIUS-клиенты, которые были подключены к RADIUS-серверу ранее.
В качестве метода проверки подлинности выбираем «Microsoft: защищенные EAP (PEAP)».
Выбираем группы пользователей домена, которым будет доступно подключение к WiFi.
В результате получаем следующие результаты политик.
Политика запросов на подключение:
Сетевая политика:
На этом настройка NPS в качестве RADIUS-сервера для WiFi-авторизации завершена. Приступаем к настройке роутера Mikrotik.
Настройка подключения Mikrotik к RADIUS-серверу.
Чтобы добавить в Mikrotik подключение к RADIUS-серверу открываем меню RADIUS и жмем плюсик.
- Отмечаем нужную службу «Services» — в случае WiFi авторизации это «wireless».
- Указываем «Adsress» Radius-сервера — это ip-адрес настроенного ранее сервера сетевой политики NPS.
- Заполняем Secret, который был указан при добавлении radius-клиента в NPS.
Все остальные настройки оставляем как есть, если только вы не решили изменить на NPS стандартные порты подключения 1812 и 1813.
Добавляем профиль авторизации: /Wireless/Security profiles. Здесь в Authentication types оставляем только WPA2 EAP.
Указываем в нашем действующем WiFi интерфейсе новый Security profile.
На этом настройка Mikrotik в качестве RADIUS-клиента закончена.
Для диагностики неисправности подключений можно включить Logging для RADIUS: /System/Logging/+. В «Topics» выбираем «radius».
Открываем Log и пробуем подключиться к точке доступа.
Количество успешных и сброшенных подключений можно посмотреть во вкладке Status созданного подключения к radius-серверу.
Аутентификация RADIUS на базе Microsoft Windows Server на примере межсетевого экрана Dlink DFL
При помощи стандартных компонентов Server 2008 достаточно легко реализуется RADIUS аутентификация пользователей на межсетевом экране DFL-860E. Я думаю, что данный способ будет работать и на других сетевых устройствах. Задача была сделать простую аутентификацию без использования сертификатов ввиду небольшого количества юзеров Для начала необходимо поднять Роль сервера политик сети или NPS Обращаем внимание на то, где стоят галки.
В результате установки нашего NPS (Network Policy Server), в Ролях сервера посвится каталог – Службы политики сети и доступа.
После чего необходимо создать свои простые правила. Не используйте мастеров по генерации политик. После них ничего не работает, так как они предназначены для сложных конфигураций. Первым шагом создаем наше устройство, которое будет перенаправлять запросы на наш NPS. Идем на «Клиенты и серверы RADIUS», «RADIUS-клиенты». По правой кнопке создаем нового клиента – «новый документ»
Вводим имя, которое вам нравится. IP-адрес вашего устройства. Вводим пароль – ключ для данного устройства. На устройстве данный ключ должен быть прописан.
На вкладке «Дополнительно» выбираем RADIUS Standard, так как в нашем случае производитель устройства заложит стандартный алгоритм.
Идем в «Политики» – «Политики запросов на подключение» по правой кнопке создаем новую политику
Обзываем ее как нам нравится
В условиях делаем время доступа, такое, какое нам надо. В данном случае – круглосуточно.
Во вкладке параметры оставляем все по умолчанию
В проверке подлинности должно стоять «Проверять подлинность запросов на этом сервере»
Во всех остальных параметрах – пусто.
Далее идем в сетевые политики и создаем новый документ
Новой политике присваиваем имя
Во вкладке «Условия» добавляем тип проверки подлинности MS-CHAP v2 и добавляем группу пользователей Active Directory или самих пользователей, которым будет разрешено удаленно подключаться через наше сетевое устройство.
Во вкладке «Ограничения» указываем следующие параметры
- Microsoft: Защищенный пароль EAP-MSCHAP v2, Защищенные EAP (PEAP)
- Методы проверки подлинности ставим также MSCHAP-v2. MS-CHAP
Остальные ограничения – по умолчанию
Шифрование устанавливаем такое как на рисунке: Простое шифрование, Сильное шифрование , Стойкое ифрование. Автор не проверял какие из этих опций лишние.
Будет не лишним установить логи. Они нам помогут, если что пойдет не так как надо
Изначально файл логов пустой. Нужно выбрать его расположение и сохранить.
После этих настроек можно переходить к настройкам RADIUS сетевого устройства
Заходим в External Users Databases и создаем запись нашего сервера NPS
Во вкладке General, Shared Secret в указываем пароль, который должен совпадать на нашем RADIUS – сервере
В Accounting Servers создаем запись на наш сервер NPS
Также задаем наш сервер NPS предварительно прописанный в адресной книге нашего Dlink. Прописываем пароль, как на NPS сервере в прописанном устройстве.
Идем в User Authentication Rules и на первом месте создаем правило аутентификации RADIUS. В данном примере работать будет только оно. Последующее правило работать не будет
Во вкладке General выбираем RADID и привязываемся к соответствующим интерфейсам
Во вкладке Authentication Options указываем наш Radius Accounting Database
Во вкладке Accounting указываем наш Radius Accounting Server
В Agent Options указываем защищенные протоколы Chap, MS-Chap, MS-Chap v2
В Restrictions указываем опции позволящие входить несколько раз под одной записью.
Проделав данные манипуляции пробуем соединение с удаленной машины.
Настройка клиентского подключения будет описана в следующем документе
Настройка сервера Radius в Windows Server 2016
В этой статье мы покажем, как настроить сервер централизованной аутентификации, авторизации и аккаунтинга (RADIUS) на операционной системе Windows Server 2016, а также как настроить Radius-аутентификацию на Cisco устройствах с помощью службы Политики сети и доступа (Network Policy Server).
RADIUS (англ. Remote Authentication in Dial-In User Service) — протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральным севером и различными сетевым оборудованием и клиентами.
В первую очередь создайте в домене Active Directory группу безопасности AllowRemoteCiscoUsers, в которую нужно добавить пользователей, которым будет разрешена аутентификации на маршрутизаторах и коммутаторах Cisco.
Далее нужно установить на сервере, с помощью которого будет выполнятся аутентификация клиентов и назначаться права доступа, роль RADIUS сервера. Для этого на сервере Windows Server 2016 откройте оснастку Server Manager и вызовите мастер добавления ролей — Add Roles and features.
В открывшемся мастере на шаге выбора ролей отметьте роль Network Policy and Access Services. На шаге выбора служб роли в нашей ситуации достаточно будет выбрать только службу Network Policy Server.
В консоли Server Manager выберите меню Tools и откройте консоль Network Policy Server (nps.msc).
Для полноценного использования NPS-сервера в домене необходимо зарегистрировать его в домене Active Directory. В оснастке на NPS, щелкните ПКМ по вашему NPS узлу и выберите Register server in Active Directory.
Подтвердите регистрацию сервера в Active Directory:
При этом мы должны предоставите серверу полномочия на чтение свойств учётных записей пользователей, касающихся удалённого доступа. Сервер при этом будет добавлен во встроенную доменную группу RAS and IAS Servers.
Теперь можно добавить клиента Radius. Для этого в дереве консоли NPS разверните раздел RADIUS Clients and Servers и на элементе RADIUS Clients выберите пункт New. 
На вкладке Settings заполните поля Friendly name, Client address (можно указать IP адрес или DNS имя подключающегося сетевого устройства) и пароль — Shared Secret + Confirm shared (этот пароль вы будете использовать в настройках коммутатора или маршрутизатора Cisco для установления доверительных отношений с Radius сервером).
Во вкладке Advanced выберите в поле Vendor name — Cisco.
Теперь нужно создать политики доступа на сервере RADIUS. С помощью политик доступа мы свяжем клиента Radius и доменную группу пользователей.
Раскройте ветку Policies —> Network Policies, и выберите пункт меню New:
Укажите Имя политики (Policy name). Тип сервера доступа к сети (Type of network access server) оставьте без изменения (Unspecified):
На следующем шаге Specify conditions нам нужно добавить условия, при которых будет применяться данная политика RADIUS. Добавим два условия: вы хотите, что для успешной авторизации пользователь входил в определенную доменную группу безопасности, и устройство, к которому осуществляется доступ, имело определённое имя. С помощью кнопки Add добавим сначала условие, выбрав тип Windows Group (добавьте группу RemoteCiscoUsers) и укажите Client Friendly Name (Cisco_*).
На следующем выберите значение Доступ разрешен (Access Granted).
Т.к. наш коммутатор Cisco поддерживает только метод аутентификации Unencrypted authentication (PAP, SPAP), снимите все остальные флажки. 
Следующий шаг настройки ограничений (Constraints) мы пропустим.
В разделе Configure Settings перейдите секцию RADIUS Attributes -> Standard. Удалите имеющиеся там атрибуты и нажмите кнопку Add.
Выберите Access type -> All, затем Service-Type->Add. Укажите Others=Login. 
Теперь в секции RADIUS Attributes -> Vendor Specific добавьте новый атрибут. В пункте Vendor, найдите Cisco и нажмите Add. Здесь нужно добавить сведения об атрибуте. Нажмите Add и укажите следующее значение атрибута:
shell: priv-lvl = 15
На последнем экране будут указаны все созданные вами настройки политики NPS. Нажмите Finish:
При создании и планировании политик обратите внимание на то, что имеет значение их порядок. Политики обрабатываются сверху вниз, и все условия очередной политике соблюдены, эта политика применяется к клиенту, а дальнейшая обработка других политик прекращается. То есть с точки зрения безопасности и разрешения конфликтов между политиками правильнее будет располагать политики в порядке возрастания административных полномочий.
После создания политики, можно переходить к настройке маршрутизаторов и коммутаторов Cisco для аутентификации на сервере Radius NPS.
AAA работает таким образом, что, если не получен ответ от сервера, клиент предполагает, что аутентификация не выполнена. Чтобы не потерять доступ к своим сетевым устройствам, которые вы переключаете на авторизацию на Radius сервера, обязательно создайте локальных пользователей на случай если RADIUS сервер станет недоступен по какой-либо причине.
Ниже пример конфигурации для авторизации на Radius (NPS) сервере для коммутатора Cisco Catalyst:
aaa new-model
aaa authentication login default group radius local
aaa authorization exec default group radius if-authenticated
radius-server host 192.168.1.16 key R@diu$pa$$
service password-encryption
На этом минимальная настройка коммутатора закончена и можно испытать новый механизм аутентификации и авторизации в действии.
Бесшовный роуминг и встроенный RADIUS-сервер: настройка!
Как известно, ключевым преимуществом Wi-Fi решения EdimaxPRO является не только поддержка бесшовного роуминга, который есть практически у всех, но и встроенный RADIUS-сервер, которого нет у многих дешевых и даже ряда дорогих производителей.
Решения EdimaxPRO удобно ещё и потому, что при создании небольшой WiFi сети (до 8 точек доступа) не нужно покупать дополнительный дорогой контроллер. Одна из точек сама может выступать в роли контроллера, обеспечивая незаметный хэндовер и групповое конфигурирование через NMS систему Edimax.
В единой сети поддерживается до 32 SSID (16 в диапазоне 2,4 ГГц + 16 в диапазоне 5 ГГц – 802.3ac), каждая из которых может быть привязана к отдельному VLAN. Существует возможность настройки гостевой сети с ограничением скорости доступа (шагом в 1 Мбит).
Все точки настраиваются из одного места (NMS – система точки-контроллера). Возможно применение групповых политик безопасности с использование встроенного RADIUS-сервера (WPA-EAP) на 256 пользователей (завести пользователей в явном виде или воспользоваться сертификатом для групповой политики).
Следующие рекомендации применимы к WiFi точкам доступа серии EdimaxPro: CAP300, CAP1200, CAP1750, WAP1200, WAP1750, OAP900, OAP1750.
Также в инструкции рассмотрено как создавать профиль гостевой сети с ограничением входящего/исходящего трафика.
Настройка бесшовного роуминга и встроенный RADIUS-сервер на оборудовании EdimaxPRO
ШАГ 1. Подключить точки в единую локальную сеть.
ШАГ 2. Настроить роли точек.
Зайти в Web-интерфейс каждой точки.
Для точек доступа определить роль «Managed AP mode» (Management -> Operation Mode)
Одной из точек назначить роль контроллера «AP Controller Mode». После применения параметра web-интерфейс контроллера будет выглядеть так:
ШАГ 3. Настройка групповой политики в режиме NMS
Создать идентификаторы сети SSID: NMS Settings –> WLAN. Допустимо создать до 32 SSID с различными методами шифрования и аутентификации.
В диалоговом окне надо указать название сети (SSID), к какому VLANу относится (SSID жёстко привязан к одному VLANу), тип аутентификации и способ шифрования.
3.2. Создать группу WLAN, в которую включить все SSID, созданные до этого
Для каждого SSID можно изменить настройки VLAN (заменить номер VLAN), к которому данный SSID относится.
3.3. При необходимости создать групповые настройки для гостевой сети (аналогично предыдущему пункту)
NMS Settings –> Guest Network
В групповой политике гостевой сети имеется возможность ограничить скорость (Shaping) для входящего и исходящего трафика.
3.4. Настроить внутренний RADIUS-сервер (для режима WPA-EAP).
NMS Settings -> RADIUS -> Internal RADIUS Server -> Добавить
При необходимости доступа для большого количества пользователей рекомендуется использовать PKCS сертификат.
Или, если необходимо открыть доступ небольшому количеству пользователей, их можно указать вручную в закладке RADIUS Account. NMS Settings -> RADIUS -> Internal RADIUS Account -> Добавить
Применить RADIUS-сервер к групповой политике.
NMS Settings -> RADIUS -> Internal RADIUS Group -> Добавить
3.6. Применить настройки SSID и RADIUS-сервера к групповой политике ко всем точкам
NMS Settings -> Access Point -> Access Point Group -> Редактировать политику System Default
Необходимо указать к каким радио-интерфейсам мы применяем групповые настройки WLAN (рекомендуется применять одновременно к 2,4 ГГц и 5 ГГц). Указать политику для гостевого доступа. Указать используемую политику RADIUS – сервера. Указать MAC-адреса точек, используемых в групповой настройке (которые были обнажены через Autodiscovering).
Точки синхронизируются через небольшой промежуток времени (1-2 минуты). Для ускорения можно синхронизировать настройки вручную в меню «Dashboard».
Как видите, бесшовный роуминг и встроенный RADIUS-сервер настраиваются очень легко, если вы используете профессиональное WiFi оборудование, такое как EdimaxPRO!
dojuk
Записки сисадмина
В помощь админу и эникейщику
Настройка RADIUS средствами Microsoft Windows 2008 R2
В нашем офисе имеется сеть Wi-Fi. Доступ к ней был организован по примитивной и не безопасной схеме, к тому же, обеспечивал полное отсутствие прозрачности со стороны пользователей. Проще говоря, мы не знали, кто подключен к сети, а кто нет, т.к. для подключения к ней достаточно знать ключ доступа, который давно не менялся.
Решением стало поднятие RADIUS сервера для нужд Wi-Fi.
По скольку я не зацикливался на определенной ОС, то было решено сделать это там, где это можно сделать как можно более просто и быстро. При этом, функционал не должен пострадать. Первая рассмотренная мною софтина называлась winRADIUS. Очень проста в настройке, но она не давала мне всего того, что было нужно. Откровенно говоря, ничего особенно полезного для компании, где Wi-Fi пользуются порядка 50-80 человек, кроме фильтрации по MAC-адресам я не нашел. А ошибка, сообщавшая, что «Клиент не поддерживает аутентификацию по EAP-MD5» вызвала у меня серьезное недоумение, ведь на сайте разработчиков явно присутствовала информация о том, что все использующиеся в данный момент версии Windows, а также Linux и MacOS это поддерживают.
Долго бороться с этой ошибкой я не стал, т.к. подобные вещи при наличии множества решений не впечатляют и не вызывают желания пользоваться продуктом, особенно учитывая функционал.
Следующим был openradius. Очень интересный продукт. Удобный, качественный и прочее. Только одно Но!: настройка этого продукта меня немного покоробила. Трудностей мы не боимся, но не вижу смысла создавать сложности там, где все можно сделать проще, иначе говоря, «не множь сущностей сверх необходимого».
В результате я остановился на встроенный в Windows Server 2008 R2 RADIUS-сервер.
Настройка.
Как и любит винда — вагон и очень не маленькая тележка возможностей и прочего. Когда за 3 минуты я разобрался и потом еще за 5 настроил, мое внутреннее Я разделилось на две части. Не знаю, что чувствуют люди, больные раздвоением личности, но видимо что то подобное.
Виндузятник во мне радовался совмещению возможностей и простоты работы. И что уж греха таить, относительной (относительно Windows Server 2008) безсбойности.
Линуксойд во мне смотрел на виндузятника с сомнением и превосходством, мол это не путь истинного джедая и прочее. Но Бритва Оккама победила и Линуксойд был вынужден согласиться с очевидным.
Итак, переходим к сути.
В первую очередь, заходим в Диспетчер сервера и добавляем новую роль Службы политики сети и доступа. После установки открываем одноименную роль в Диспетчере сервера и проходим NPS —> Клиенты и серверы RADIUS —> RADIUS клиенты. Там мы добавляем Wi-Fi точки доступа и прочие устройства, от которых мы будем принимать запросы на авторизацию. Не буду вдаваться в подробности настройки каждого пункта, т.к. это очень обширная тема.
Теперь переходим в Политики. Там нам нужны первые два пункта. Первый отвечает за то, кто сможет подключиться (устройство, пользователь и прочее). Второй отвечает за то, как этот кто то будет подключаться. Не забывайте в каждом пункте во вкладке Ограничения выбирать пункт Тип порта NAS и там выбирать Wirreles IEEE 802.11 в случае с Wi-Fi, т.к. это тип сервиса, который будет обслуживать данный сервер RADIUS.
Больше писать об этом не буду. Скажу только, что авторизацию пользователей можно проводить очень разными и порой даже очень неожиданными путями. С безопасностью тоже все хорошо на столько, на сколько может быть хорошо с безопасностью, протоколы для которой не являются открытыми и не известно, какие функции выполняют по мимо непосредственной. А все это работает на системе, которая изначально предназначалась для маленьких компаний и не имеет стабильности UNIX-подобных ОС. Но в противовес скажу, что на данный момент многие реализованные функции работают на «УРА!» и не вызывают нареканий, так что если Вам есть, чем себя занять на работе, по мимо бесконечного выпиливания мебели лобзиком (читай «пилить фряху/линукс»), а винда это тоже умеет и оно бесплатно (или компания купит), то Must Have.
