1.    Предварительно необходимо развернуть (если не развернут) контроллер домена Active Directory (для примера развернут домен ilab.local)

        2.   Далее приступаем непосредственно к разворачиванию самого сервера Radius:

                         2.1 Устанавливаем роль NPS на Windows Server

                               Открываем диспетчер серверов и выбираем Добавить роли и компоненты

ожидаем окончание хода установки и нажимаем «закрыть»

2.2 Переходим к настройке RADIUS сервера (предварительно в firewall ESR и Windows необходимо разрешить порты 1812, 1813, 1645 и 1646):

Открываем сервер политики сети

      - Radius-клиенты и серверы

             Radius-клиенты — здесь создаются все клиенты которые для авторизации на себе будут использовать наш Radius сервер

- Политики

            Сетевые политики — здесь создаются политики подключения выше созданных клиентов к нашему серверу (выполняются сверху вниз)

- Управление шаблонами

           Общие секреты — можно создать один пароль сразу для всех устройств и использовать его для авторизации на сервере. Поменяв его в шаблоне — меняется он сразу для всех устройств. Можно сразу создать назвав его например SecretPF cо значением 123456

Далее регистрируем NPS сервер в Active Directory

Создаем в ActiveDirectory группу (например RemoteUser) которой будет разрешен доступ к маршрутизатору

Создаем в ActiveDirectory необходимых пользователей которые будут иметь доступ к ESR (например test) и устанавливаем пароль

Добавляем пользователя test в группу RemoteUser

Далее настраиваем Raduis-клиентов:

Во вкладке «Параметры»

- вводим имя маршрутизатора;

- ip адрес ESR (например 192.168.39.130);

- Вводим общий секретный ключ (данный ключ будет использоваться для подключения на ESR)

Во вкладке «Дополнительно»:

- Выбираем имя поставщика «Radius Standard»;

-Убираем галочку «Сообщения запроса доступа должны содержать атрибут Message-Authenticator».

Переходим к созданию и настройке «Политики запросов на подключение»

На вкладке «Обзор»:

- Указываем имя политики (например Esr)

- Ставим галочку «политика включена»

- «Тип сервера доступа к сети» оставляем «Не указано»

На вкладке «Условия» выбираем необходимые условия для подключения ESR к RADIUS серверу:

для примера выбрано «Понятное имя клиента» со значением esr*, т. е. будет разрешено подключение ESR к Radius с именем начинающимся с esr. Условия можно выбрать для каждого индивидуально.

Переходим к созданию сетевой политики:

  -Указываем имя политики (например Policy1);

- Ставим галочку «Политика включена»

- Выбираем необходимые права доступа

- Способ сетевого подключения оставляем по умолчанию «Тип сервера доступа к сети»

Заходим во вкладку «Условия» и выбираем созданную группу пользователей (например RemoteUsers), которым будет разрешена авторизация на ESR:

На вкладке «Ограничения» в меню «Методы проверки подлинности» оставляем только галочку «Проверка открытым текстом (PAP, SPAP)»:

На вкладке «Параметры» в меню «Стандарт» нажимаем «Добавить» выбираем атрибут «Другие» и в выпадающем списке выбираем «Login»:

Далее на этой же вкладке заходим в меню «Зависящие от поставщика» нажимаем «Добавить» и выбираем Vendor-Specific:

Далее добавляем значение атрибута:

  -Из списка выбираем RADIUS Standart

- Указываем, что атрибут соответствует спецификации RADIUS RFC

Переходим в настройку атрибута:

Указываем номер атрибута назначенный поставщиком «26»

Формат атрибута выбираем «Строковый»

Значение атрибута указываем shell:priv-lvl=15

На данном этапе тестовая настройка RADIUS сервера на Windows 2019 окончена.

Переходим к настройке самого ESR (для примера используем авторизацию для ssh соединения).

aaa authentication login SSH radius

aaa authentication enable default radius enable

radius-server host 192.168.32.35

    key ascii-text KEY — секретный ключ, который указан в настройках RADIUS-клиентов

    source-address 192.168.39.130

exit

line ssh

   login authentication SSH

exit

interface gigabitethernet 1/0/1

   ip firewall disable

   ip address 192.168.39.130/20

exit

ip ssh server

Далее пробуем авторизоваться на ESR по ssh подключению под пользователем test с рабочей станции в сети:

ubuntu@user:~$ssh test@ilab.local@192.168.39.130

(test@ilab.local@192.168.39.130) Password:

********************************************

* Welcome to ESR-15R *

********************************************

esr-15r>

Авторизация прошла успешно.

Дамп трафика собранного на ESR показал успешную авторизацию

monitor gigabitethernet 1/0/1 address 192.168.32.35 — адрес RADIUS сервера

192.168.39.130.12594 > 192.168.32.35.1812: RADIUS, length: 124

Access-Request (1), id: 0x64, Authenticator: 6c2fb33db303ab9971c86c99459a57db

User-Name Attribute (1), length: 17, Value: test@ilab.local

User-Password Attribute (2), length: 18, Value:

NAS-Identifier Attribute (32), length: 5, Value: ssh

NAS-Port Attribute (5), length: 6, Value: 14131

NAS-Port-Type Attribute (61), length: 6, Value: Virtual

Service-Type Attribute (6), length: 6, Value: Administrative

Vendor-Specific Attribute (26), length: 24, Value: Vendor: Unknown (150994944)

Vendor Attribute: 1, Length: 16, Value: shell:priv-lvl=1

Calling-Station-Id Attribute (31), length: 16, Value: 192.168.39.129

NAS-IP-Address Attribute (4), length: 6, Value: 192.168.39.130

13:10:31.769684 b8:97:5a:e1:81:a4 > 90:54:b7:28:19:39, ethertype IPv4 (0x0800), length 108: (tos 0x0, ttl 128, id 18410, offset 0, flags [none], proto UDP (17), length 94)

192.168.32.35.1812 > 192.168.39.130.12594: RADIUS, length: 66

Access-Accept (2), id: 0x64, Authenticator: 2781e55ba8c3d608a5bb823db78e0083

Class Attribute (25), length: 46, Value: d...