どうもミツシマです。
前回(WindowsServer2016)RADIUSサーバを構築してみた ①)からの続きとなります。
今回はNPS(ネットワークポリシーサーバー)機能のインストールと設定編です。
サーバーマネージャーの機能追加よりインストールしていきます。
サーバーの役割より「ネットワークポリシーとアクセスサービス」を選択します。
合わせてツールもインストールします。
機能の追加は不要です。
インストール自体はこれで完了です。
次に設定をしていきます。
設定は管理ツールの「ネットワークポリシーサーバー」から行います。
まずはRADIUSクライアントの設定から。
設定は「RADIUSクライアントとサーバー」-「RADIUSクライアント」を右クリックして
「新規」から作成します。
「名前」・「IPアドレス」・「共有シークレット」を入力します。
「詳細設定」については特に設定せず、完了します。
※ベンダー選択で色々と選択出来るようですが、デフォルトの「RADIUS Standard」でいいと思われます。
次にルール(ネットワークポリシー)を設定します。
「ポリシー」-「ネットワークポリシー」を右クリックして「新規」より作成します。
「ポリシー名」を入力します。
※「ネットワークアクセスサーバーの種類」は「指定なし」のまま進みます。
次に条件を指定します。
今回は「Domain Users」という条件のみ追加していきます。
(注)本当は「NASポートの種類」に「イーサネット」という条件も付与したかったのですが、
上手く動作しなかったので断念しました。。。。涙
「アクセスを許可する」を選択します。
「認証方法」について「EAP-MSCAHP v2」を使用する想定なので、「Microsoft 保護されたEAP(PEAP)」を追加します。
追加後に「編集」をクリックすると「EAP-MSCHAP v2」が確認出来ます。
※本来であれば、「セキュリティレベルの低い認証方法」のチェックは外した方がいいのかもしれませんが、今回は検証環境の為そのまま進みます。
「制約」については初期値のまま変更せずに進みます。
「RADIUS属性」等、他の設定も今回は初期値のまま進めます。
以上で設定完了です!!!
後はスイッチ側の設定とクライアント側の設定を行って実際に認証出来るかを確認します。
※今回はスイッチ側の設定とクライアント側の設定は割愛します。
イベントログ(セキュリティ)から認証が成功したかどうかが確認可能です。
ログが膨大なのでフィルターすると検索しやすいですよ。
※イベントID「6272」「6273」で絞ると検索しやすかったです。
<認証成功例>
<認証失敗例>
失敗したログを確認すると「ネットワークポリシー名」が「-」となっています。
これは該当するポリシーがなかったことを示しているようです。
※検証直後はポリシー内の条件で「NASポートの種類」に「イーサネット」を指定していたのですが、これが原因で全然上手くいきませんでした。。。orz (上記はその時のログとなります)
ログを詳細確認して判ったのですが、今回使用したスイッチだと「NASポートの種類」を正しく「イーサネット」として認識してくれませんでした(T_T)
もしくはRADIUSサーバーを仮想サーバーとして構築したのがいけなかったのか???(^_^;)
といった感じで一応RADIUSサーバーの構築・認証が確認出来たので今回の検証もこんなところで終了したいと思います!
初めてRADIUSサーバーを構築してみましたが、色々な設定値がありちょっと迷ったりしました^^;
ネットワーク機器の設定や兼ね合いもあり時間がかかりましたが、ひとまず上手く行ってホッとしました(^o^)
P.S. PC側の設定についてはこちら③
前回(WindowsServer2016)RADIUSサーバを構築してみた ①)からの続きとなります。
今回はNPS(ネットワークポリシーサーバー)機能のインストールと設定編です。
〜NPSのインストール・設定〜
まずは機能の追加から。サーバーマネージャーの機能追加よりインストールしていきます。
サーバーの役割より「ネットワークポリシーとアクセスサービス」を選択します。
合わせてツールもインストールします。
機能の追加は不要です。
インストール自体はこれで完了です。
次に設定をしていきます。
設定は管理ツールの「ネットワークポリシーサーバー」から行います。
まずはRADIUSクライアントの設定から。
設定は「RADIUSクライアントとサーバー」-「RADIUSクライアント」を右クリックして
「新規」から作成します。
「名前」・「IPアドレス」・「共有シークレット」を入力します。
「詳細設定」については特に設定せず、完了します。
※ベンダー選択で色々と選択出来るようですが、デフォルトの「RADIUS Standard」でいいと思われます。
次にルール(ネットワークポリシー)を設定します。
「ポリシー」-「ネットワークポリシー」を右クリックして「新規」より作成します。
「ポリシー名」を入力します。
※「ネットワークアクセスサーバーの種類」は「指定なし」のまま進みます。
次に条件を指定します。
今回は「Domain Users」という条件のみ追加していきます。
(注)本当は「NASポートの種類」に「イーサネット」という条件も付与したかったのですが、
上手く動作しなかったので断念しました。。。。涙
「アクセスを許可する」を選択します。
「認証方法」について「EAP-MSCAHP v2」を使用する想定なので、「Microsoft 保護されたEAP(PEAP)」を追加します。
追加後に「編集」をクリックすると「EAP-MSCHAP v2」が確認出来ます。
※本来であれば、「セキュリティレベルの低い認証方法」のチェックは外した方がいいのかもしれませんが、今回は検証環境の為そのまま進みます。
「制約」については初期値のまま変更せずに進みます。
「RADIUS属性」等、他の設定も今回は初期値のまま進めます。
以上で設定完了です!!!
後はスイッチ側の設定とクライアント側の設定を行って実際に認証出来るかを確認します。
※今回はスイッチ側の設定とクライアント側の設定は割愛します。
イベントログ(セキュリティ)から認証が成功したかどうかが確認可能です。
ログが膨大なのでフィルターすると検索しやすいですよ。
※イベントID「6272」「6273」で絞ると検索しやすかったです。
<認証成功例>
<認証失敗例>
失敗したログを確認すると「ネットワークポリシー名」が「-」となっています。
これは該当するポリシーがなかったことを示しているようです。
※検証直後はポリシー内の条件で「NASポートの種類」に「イーサネット」を指定していたのですが、これが原因で全然上手くいきませんでした。。。orz (上記はその時のログとなります)
ログを詳細確認して判ったのですが、今回使用したスイッチだと「NASポートの種類」を正しく「イーサネット」として認識してくれませんでした(T_T)
もしくはRADIUSサーバーを仮想サーバーとして構築したのがいけなかったのか???(^_^;)
といった感じで一応RADIUSサーバーの構築・認証が確認出来たので今回の検証もこんなところで終了したいと思います!
初めてRADIUSサーバーを構築してみましたが、色々な設定値がありちょっと迷ったりしました^^;
ネットワーク機器の設定や兼ね合いもあり時間がかかりましたが、ひとまず上手く行ってホッとしました(^o^)
P.S. PC側の設定についてはこちら③
スポンサードリンク
コメント