Obsah

Microsoft Network Policy Server pro eduroam

Tento návod Vás provede instalací Network Policy Serveru na Microsoft Windows Server (2012 a novější) a všech potřebných součástí pro jeho zprovoznění.

Příkazy uvedené v návodu spouštějte vždy v PowerShellu s administrátorskými právy.

Před konfigurací NPS

Před samotnou konfigurací NPS je třeba provést všechny tyto prerekvizity pro správnou funkčnost NPS.

V návodu jsou použity IPv4 adresy RADIUS serverů. Pokud váš RADIUS server používá IPv6 je nutné použít oproti návodu jiné IPv6 adresy:

  • flr1.eduroam.cz
    • IPv4: 78.128.248.10
    • IPv6: 2001:718:ff05:aca::1:10
  • flr2.eduroam.cz
    • IPv4: 78.128.248.11
    • IPv6: 2001:718:ff05:aca::1:11
  • flr3.eduroam.cz
    • IPv4: 78.128.248.12
    • IPv6: 2001:718:ff05:aca::1:12
  • monitoring.eduroam.cz
    • IPv4: 78.128.248.234
    • IPv6: 2001:718:ff05:10b::234

(To jakou IP používá váš RADIUS server pro spojení s národním RADIUS serverem je definováno v administrativní aplikaci)


Instalace NPS

Install-WindowsFeature NPAS -IncludeManagementTools


Network Policy Server

nps-01.jpg 1. Pro konfiguraci nebudeme používat Průvodce.
Jednotlivé složky nastavíme samostatně v následujících krocích.
nps-02.jpg 2. Registrace NPS v AD Alternativně lze tento krok provést příkazem:
netsh nps add registeredserver vase.domena.cz
V krocích 3. - 5. vytvoříme šablony pro sdílená tajemství jednotlivých klientů. Ušetříme si tím opakované zadávání tajemství v dalších krocích a s tím spojené případné chyby ve vyplňování.
ASCII���Screenshot 3. Přidání šablony sdíleného tajemství pro národní RADIUSy
NPS > Templates Management > Shared Secret > New RADIUS Shared Secret Template
Správné tajemství pro váš server naleznete v administrativní aplikaci u detailu vašeho RADIUS serveru, položka Sdílené tajemství pro národní RADIUS server. Pro IPSec je secret ipsec.
ASCII���Screenshot 4. Přidání šablony sdíleného tajemství pro monitoring
Správné tajemství pro váš server naleznete v administrativní aplikaci u detaily vašeho RADIUS serveru, položka Sdílené tajemství pro monitoring.
ASCII���Screenshot 5. Přidání šablony sdíleného tajemství pro Controller/AP
Zde vložte/vygenerujte tajemství pro Controller nebo AP.
V krocích 6. - 8. definujeme všechny potřebné klienty. Pro náš případ to jsou národní RADIUSy, monitoring a v poslední řadě váš Controller nebo Access Pointy.
ASCII���Screenshot 6. Definice klientů - národní RADIUS
NPS > RADIUS Clients and Servers > RADIUS Clients > New RADIUS Client
Můžete použít předchystanou šablonu Shared Secret pro národní RADIUS.
ASCII���Screenshot 7. Definice klientů - monitoring
Můžete použít předchystanou šablonu Shared Secret pro monitoring.
ASCII���Screenshot 8. Definice klientů - Controller/AP
Místo X.X.X.X doplňte IP adresu vašeho Controlleru/AP. Můžete použít předchystaný template Shared Secret pro Controller/AP.
V krocích 9. - 11. definujeme vzdálený RADIUS server (národní RADIUSy) pro ověřování požadavků návštěvníků.
ASCII���Screenshot 9. Definice vzdáleného RADIUS serveru 1/3
NPS > RADIUS Clients and Servers > Remote RADIUS Server Groups > Add RADIUS Server Add
ASCII���Screenshot 10. Definice vzdáleného RADIUS serveru 2/3
Můžete použít předchystanou šablonu Shared Secret pro národní RADIUS.
ASCII���Screenshot 11. Definice vzdáleného RADIUS serveru 3/3
Po vyplnění všech polí podle vzoru na obrázku, klikněte dvakrát na OK.
V krocích 12. - 23. nastavíme Connection Request Policies. V těcho pravidlech se rozhoduje o tom, jestli daný požadavek bude zpracovaný na tomto RADIUSu (domácí uživatel) nebo bude předán k ověření na národní RADIUS (návštěvník). Pokud se jedná o požadavek domácího uživatele bude se dále tento požadavek zpracovávat v sadě pravidel Network Policies.
nps-12.jpg 12. Přidání Connection Request Policies - domácí realm 1/6
nps-13.jpg 13. Přidání Connection Request Policies - domácí realm 2/6
Filtrujeme na základě obsahu realmu v uživatelském jméně.
nps-14.jpg 14. Přidání Connection Request Policies - domácí realm 3/6
Upravte regex na váš realm podle kontextu. Dokumentace pattern matching syntax
nps-15.jpg 15. Přidání Connection Request Policies - domácí realm 4/6
Požadavky domácího realmu ověřujeme na svém RADIUS serveru.
nps-16.jpg 16. Přidání Connection Request Policies - domácí realm 5/6
Nechte pole Override network policy authentication settings nezaškrtnuté.
nps-17.jpg 17. Přidání Connection Request Policies - domácí realm 6/6
Pokračujte kliknutím na Next a pak Finish.
nps-18.jpg 18. Přidání Connection Request Policies - cizí realm 1/4
nps-19.jpg 19. Přidání Connection Request Policies - cizí realm 2/4
Zvolte podmínku User Name a vyplňte pole následujím výrazem.
@([^@]+)$
ASCII���Screenshot 20. Přidání Connection Request Policies - cizí realm 3/4
Požadavky cizího realmu přeposíláme na národní RADIUS pro jejich ověření. Vyberte předchystanou šablonu Remote RADIUS Server Group.
nps-21.jpg 21. Přidání Connection Request Policies - cizí realm 4/4
Pro přiřazení VLAN návštěvníkům přidejte v tomto kroku RADIUS Attributes pomocí pole Add… podle vzoru na obrázku. Pouze číslo 300 u parametru Tunnel-Pvt-Group-ID nahraďte požadovaným číslem vaší VLAN pro návštěvníky.
nps-22.jpg 22. Kontrola Connection Request Policies - domácí realm
Můžete si zkontrolovat podmínky podle vzoru.
nps-23.jpg 23. Kontrola Connection Request Policies - cizí realm
Můžete si zkontrolovat podmínky podle vzoru.
V krocích 24. - 38. nastavíme Network Policies. V tomto návodu se opíráme o předpoklad, že na Windows Serveru provozujeme také Active Directory s uživatelskými účty. Ověřujeme požadavky proti existenci účtu v doméně. Tyto účty máme rozdělné na dvě skupiny studenty; a zaměstnance. Díky tomu můžeme každé skupině přiřadit odlišnou VLAN. Dále odlišujeme skupinu, ve které je testovací uživatel.
nps-24.jpg 24. Přidání Network Policies - testovací uživatel 1/5
nps-25.jpg 25. Přidání Network Policies - testovací uživatel 2/5
Vybereme podmínku User Groups a přidáme pomocí Add.. skupinu z domény, která obsahuje testovací účet, jehož údaje jste vyplnili v administrativní aplikaci u detailu vašeho realmu pod položkami Testovací účet, Heslo testovacího účtu.
nps-26.jpg 26. Přidání Network Policies - testovací uživatel 3/5
Této skupině povolujeme přístup.
nps-27.jpg 27. Přidání Network Policies - testovací uživatel 4/5
Zde všechny méně bezpečné metody ověření nechte nezaškrtnuté a přidejte EAP Typ tlačítkem Add…. Přidejte Microsoft Protected EAP (PEAP) a poté ji editujte tlačítkem Edit…. Z rozbalovacího menu vyberte vámi používaný certifikát a EAP Type vyberte Secured password (EAP-MSCHAP v2).
nps-28.jpg 28. Přidání Network Policies - testovací uživatel 5/5
Přidejte testovacímu účtu VLAN 666. Ta by v české části eduroam neměla nikam vést, tudíž nejsou testovací účty zneužitelné pro běžné připojení.
Pro přiřazení VLAN přidejte v tomto kroku RADIUS Attributes pomocí pole Add… podle vzoru na obrázku.
nps-29.jpg 29. Přidání Network Policies - studenti 1/4
nps-30.jpg 30. Přidání Network Policies - studenti 2/4
Vybereme podmínku User Groups a přidáme pomocí Add.. skupinu z domény, která obsahuje účty studentů.
nps-31.jpg 31. Přidání Network Policies - studenti 3/4
Této skupině povolujeme přístup a pro metody ověření platí stejné nastavení jako pro testovací účet.
nps-32.jpg 32. Přidání Network Policies - studenti 4/4
Pro přiřazení odlišné VLAN studentům přidejte v tomto kroku RADIUS Attributes pomocí pole Add… podle vzoru na obrázku. Pouze číslo 100 u parametru Tunnel-Pvt-Group-ID nahraďte požadovaným číslem vaší VLAN pro studenty.
nps-33.jpg 33. Přidání Network Policies - zaměstnanci 1/3
nps-34.jpg 34. Přidání Network Policies - zaměstnanci 2/3
Vybereme podmínku User Groups a přidáme pomocí Add.. skupinu z domény, která obsahuje účty zaměstnanců.
Zaměstnancům také povolujeme přístup a pro metody ověření platí stejné nastavení jako pro studenty či testovací účet.
nps-35.jpg 35. Přidání Network Policies - zaměstnanci 3/3
Pro přiřazení odlišné VLAN zaměstnancům přidejte v tomto kroku RADIUS Attributes pomocí pole Add… podle vzoru na obrázku. Pouze číslo 200 u parametru Tunnel-Pvt-Group-ID nahraďte požadovaným číslem vaší VLAN pro zaměstnance.
nps-36.jpg 36. Kontrola Network Policies - testovací účet
Můžete si zkontrolovat podmínky podle vzoru.
nps-37.jpg 37. Kontrola Network Policies - studenti
Můžete si zkontrolovat podmínky podle vzoru.
nps-38.jpg 38. Kontrola Network Policies - zaměstnanci
Můžete si zkontrolovat podmínky podle vzoru.


Záloha konfigurace

Export nastavení NPS

Export-NpsConfiguration -Path "Cesta_k_souboru\zaloha_NPS_yyyy_mm_dd.xml"

nebo

netsh nps export filename="Cesta_k_souboru\zaloha_NPS_yyyy_mm_dd.xml" exportPSK=YES


Import nastavení NPS

Import-NpsConfiguration -Path "Cesta_k_souboru\zaloha_NPS_yyyy_mm_dd.xml"