Защита доступа к сети Network Access Protection (NAP) в Windows 2008 Server - Политика настройки клиента RADIUS
ОГЛАВЛЕНИЕ
Политика настройки клиента RADIUS
При таком типе установки сервер сетевой политики Network Policy Server работает как сервер RADIUS server. В отличие от клиентов, выполняющих прямую аутентификацию RADIUS authentication на сервере сетевой политики Network Policy Server, сервер RRAS, который работает в качестве сервера VPN, будет работать в качестве клиента RADIUS.
Последний этап в процессе настройки сервера заключается в предоставлении серверу сетевых политик Network Policy Server списка авторизованных клиентов RADIUS. Т.к. единственным клиентом RADIUS будет сервер VPN server, то вы просто вводите IP адрес VPN сервера. Т.к. службы RRAS работают на том же физическом сервере, что и службы сетевых политик Network Policy Services, то вы просто используете IP адрес сервера.
Чтобы создать политику конфигурации клиента RADIUS Client Configuration Policy, перейдите в дереве консоли сервера сетевой политики Network Policy Server к NPS (Local) | RADIUS Clients. Затем нажмите на ссылку New RADIUS Client, которою можно найти в окне Actions. Windows запустит мастера New RADIUS Client Wizard.
В первом окне мастера вы должны будете задать имя и IP адрес для нового клиента RADIUS. При установке в реальных условиях, вы должны ввести в качестве названия RRAS, а также ввести IP адрес сервера RRAS в поле для IP адреса. Как вы помните, мы используем тестовую среду, и RRAS работает на том же самом сервере, что и службы сетевых политик Network Policy Services. Поэтому введите IP адрес сервера в соответствующее поле и нажмите на кнопку Next (далее).
После этого появится окно дополнительной информации Additional Information. В этом окне вы должны будете задать поставщика клиента (client vendor) и общий секрет (shared secret). Выберите RADIUS Standard в качестве Client Vendor (поставщика клиента). В рамках этой статьи вы можете вести RRASS в качестве shared secret. Поставьте галочку в поле Client is NAP Capable, как показано на рисунке D, и нажмите на кнопку Finish (завершить). Вы, наконец, настроили сервер сетевой политики Network Policy Server!
Настройка клиента
Теперь, когда мы закончили настройку сервера сетевых политик Network Policy Server, пришло время перейти к настройке клиента для подключения к серверу. Помните, что эта техника, о которой я собираюсь вам рассказать, работает только на клиентах, которые работают под управлением операционной системы Windows Vista.
В рамках этой статьи я предполагаю, что компьютер клиента работает под управлением операционной системы Windows Vista, и что он имеет статический IP адрес. Как вы знаете, операционная система Windows Vista спроектирована для работы с IPv6 по умолчанию. Инструмент Network Access Protection (защита доступа к сети) в конечно счете должен поддерживать IPv6, но т.к. операционная система Windows Windows 2008 Server по-прежнему находится в тестировании, в настоящее время IPv6 не поддерживается, когда дело доходит до Network access protection. Поэтому, вы должны отключить IPv6 в сетевых настройках компьютера. Когда выйдет операционная система Windows 2008 Server, я намереваюсь написать обновление этого цикла статей, направленное на использование IPv6, а также всего, что изменилось по сравнению с тестовой версией.
Компьютер клиента также должен быть членом домена, который содержит сервер сетевой политики Network Policy Server. Дополнительно, домен должен содержать учетную запись пользователя (user account), которую вы можете использовать для входа на сервер Routing and Remote Access Server, который вы создали.
Теперь давайте создадим соединение Virtual Private Network connection, которое вы в конечном счете сможете использовать для проверки сервера защиты доступа к сети Network Access Protection server. Для этого откройте Панель Управления (Control Panel) и нажмите на ссылку Network and Internet (сеть и интернет), а затем на ссылку Network Center (сетевой центр). После запуска Network Center нажмите на ссылку Set up a Connection or Network (создать сеть или сетевое подключение). Появится окно, в котором вы должны указать тип соединения, которое вы хотите создать. Выберите настройку Connect to a Workplace (подключение к рабочему месту) и нажмите на кнопку Next (далее).
Выберите параметр для подключения с помощью VPN, и вам необходимо будет задать Internet адрес и название пункта назначения. Вы должны ввести IP адрес сервера RRAS в поле Internet Address. Вы можете ввести любое название в поле Destination Name (название пункта назначения). Поставьте галочку в поле Allow Other People to use this Connection (разрешить другим людям использовать это соединение) и нажмите на кнопку Next (далее). Вы должны теперь указать имя пользователя и пароль для пользователя, у которого есть разрешение на вход на сервер RRAS server, а также название домена, в который вы собираетесь входить.
Нажмите на кнопку Connect (подключиться) и операционная система Vista попытается подключиться к вашему серверу RRAS server. Более, чем вероятно, соединения не произойдет. Если вы получите сообщение, в котором говорится, что мастер не может подключиться к вашему рабочему месту, нажмите на иконку Setup a Connection Anyway. В результате этого ваши настройки будут сохранены, и позднее мы сможем завершить их конфигурацию в следующей статье из этого цикла.