O objeto deste POST é demonstrar a instalação do sistema de autenticação RADIUS utilizando o Network Policy Server – NPS com o sistema operacional Windows 2008 (sucessor do aplicativo Internet Authentication Service – IAS, que vinha com o sistema operacional Windows 2000 e Windows 2003 ).
O aplicativo Network Policy Server (NPS) integra também a função de roteamento remoto, VPN e RADIUS.
Lembre-se de alterar as partes em cinza, do POST, conforme a realidade de se ambiente.
Como pré requisito para o NPS é necessário o sistema operacional Windows 2008 já configurado dentro de uma rede com Active Directory operacional.
Instalando o NPS
Para instalar os serviços NPS clique no menu Start. Clique com o botão direito sobre o item Computer e escolhe a opção Manage.
Na tela seguinte de Server Manager, clique em Roles e clique em Add Roles. Na tela que se abrir adicione o item Network Policy and Access Services e clique em Next.
Na tela seguinte, apenas clique em Next. Na seguinte, marque apenas o item Network Policy Server e clique em Next. Confirme os componentes que serão instalados, clicando em Install. Aguarde a instalação e, ao final, clique em Close.
Configurações no NPS
Abra o NPS, para isso clique no menu Start, escolha a opção Administrative Tools e escolha o programa Network Policy Server.
Para intergrar o servidor RADIUS com o Active Directory, dentro do NPS, clique com o botão direito sobre o item NPS (local) e seleciona a opção Register Server in Active Directory.
Para adicionar os clientes que poderão se autenticar no RADIUS, expanda o item RADIUS Clients and Servers e clique com o botão direito sobre o item RADIUS Clients. Escolha a opção New RADIUS Client, nessa tela, preencha:
- O nome do cliente que irá conectar (ou o tipo);
- O IP do cliente;
- Em Vendor Name, coloque o padrão como RADIUS Standard;
- Digite uma chave (lembrando que essa chave deverá ser, também, colocada no equipamento e que alguns equipamentos não suportam caracteres especiais como ?!@#!$@%).
- Feito isso, clique em OK.
Configurando a política principal
Para criar uma política, expanda o item Policies e clique no item Network Policies. Apague todas as políticas existentes que estejam permitindo acesso (como Grant Access na parte de Access Type). Feito isso, clique com o botão direito sobre o Network Policies e escolha a opção New.
Na tela que irá se abrir, no nome da política digite Conexão por grupos do AD e clique em Next. Na tela seguinte, para especificar as condições, clique em Add e escolha a opção Windows Groups, clique em Add Groups e digite o nome dos grupos que poderão conectar via RADIUS (todos os grupos de usos distintos, como Wirelless, VPN, etc.), feito isso clique em OK (todas as telas) e clique em Next nesta e na tela seguinte.
Na tela seguinte, marque os itens:
- Encrypted authentication (CHAP)
- Unencrypted authentication (PAP, SPAP)
- Clique em Add e adicione o item Microsoft: Secured password (EAP-MSCHAP v2) e clique em Next (se aparecer uma tela de erro, basta clicar em No). Nas telas seguintes, apenas clique em Next até finalizar, clique em Finish.
Configurando a política de um cliente
Após cadastrar os clientes que poderão acessar o RADIUS, deve-se criar uma política de pedido de conexão. Para isso, expanda o item Policies e clique no item Connection Request Policies. Apague todas as políticas existentes, feito isso clique com o botão direito sobre o Connection Request Policies e escolha a opção New. Na tela inicial, digite um no que deixe clara a utilidade dessa política (incluindo para qual cliente) e clique em Next.
Na tela seguinte, para especificar a condição que essa regra irá aceitar, será colocado o IP do cliente (assim, está regra funcionará apenas para esse equipamento), para isso clique em Add. Na tela que se abrir, clique duas vezes na opção AccessClient IPv4 Address, digite o Endereço IP do equipamento, clique em OK e clique em Next.
Na tela Specify Connection Request Forwarding apenas clique em Next. Na tela Specify Authentication Methods, novamente, apenas clique em Next.
Na tela Configure Settings, clique no item Vendor Specific e clique em Add. Na tela que surgir selecione:
- O vendor como Custom;
- O Attributes: como Vendor-Specific;
- Clique em Add;
- Na tela Attribute Information clique em Add;
- Selecione a opção Yes, It conformes e clique em Configure Attribute;
- Nessa tela, altere o Attribute Format para String;
- Preencha o Attribute Value: com CTXSUserGroups=NOME DO GRUPO DO AD
Clique em OK (ou Close)em todas as telas e clique em Next e Finish.
Testando a configuração
Para testar a autenticação RADIUS, deve-se configurar, no equipamento que irá usar a autenticação, o IP do servidor RADIUS e a chave (configurada no item 6.2 deste). Feito isso, basta testar a autenticação.
Fontes/Referências
http://www.reborndigital.com/2010/07/07/setting-up-windows-server-2008-for-radius-authentication/
Mais Informações
Esperamos ter ajudado da melhor forma possível e estaremos sempre a disposição para mais informações.
Entre em contato conosco pelo e-mail equipe@nvlan.com.br.