Autenticazione RADIUS in Active Directory con NPS

radiusad01

L’autenticazione RADIUS in Active Directory può essere effettuata tramite il servizio Network Policy Services (NPS) presente in Windows Server 2008 R2 utile ad esempio per le autenticazioni VPN client.

In un ambiente Active Directory è possibile configurare l’autenticazione tramite RADIUS utilizzando gli account già presenti nella rete configurando opportunamente il servizio NPS.

radiusad02

 

Installazione del servizio NPS

Prima operazione da eseguire è l’installazione del servizio sul server Windows 2008 R2. Accedere al Server Manager e cliccare sulla voce Add Roles per aggiungere la nuova funzione al server.

radiusad03

Cliccare su Next.

radiusad04

Selezionare la voce Network Policy and Access Services e cliccare su Next.

radiusad05

Click su Next.

radiusad06

Selezionare l’opzione Network Policy Server e cliccare su Next.

radiusad07

Per effettuare l’installazione del servizio, cliccare sul bottone Install.

radiusad08

Le componenti del servizio sono installate nel server.

radiusad09

Al termine della procedura viene visualizzato il risultato dell’installazione effettuata. Cliccare sul bottone Close per chiudere la finestra.

radiusad10

Il servizio è ora installato nel server ma deve essere configurato per la sua corretta funzionalità.

 

Configurazione di NPS

Accedere al servizio tramite Start > Administrative Tools > Network Policy Server.

radiusad11

Creare un nuovo client cliccando con il tasto destro del mouse sulla voce RADIUS Client e selezionare la voce New.

radiusad12

Nel pannello Settings, abilitare il client attivando l’opzione Enable this RADIUS client. Assegnare un Friendly Name e l’Address (IP or DNS) del server/router VPN. Per la creazione dello shared secret per la comunicazione RADIUS <-> Server VPN utilizzare l’opzione Generate per la creazione automatica prestando attenzione alle specifiche del server VPN poichè potrebbe non accettare una stringa così lunga. Utilizzare l’opzione Manual per l’inserimento manuale della stringa.

radiusad13

Cliccando su Advanced selezionare come Vendor name l’opzione RADIUS Standard salvo diversa indicazione del produttore del server VPN.

radiusad14

Creato il client RADIUS, dalla schermata principale di NPS, cliccare con il tasto destro del mouse la voce Network Policies e selezionare l’opzione New per creare una nuova policy.

radiusad15

Nel campo Policy Name specificare il nome della nuova policy. Lasciare il campo Type of network access server al valore di default Unspecified. Cliccare su Next per proseguire.

radiusad16

Cliccare sul bottone Add per specificare quali condizioni sono valutate nella fase di autenticazione.

radiusad17

Se l’account viene autenticato in base alla membership di un gruppo Active Directory, selezionare la voce Windows Groups e cliccare sul bottone Add.

radiusad18

Cliccare sul bottone Add Groups per selezionare il gruppo AD desiderato.

radiusad19

Inserire il gruppo AD e cliccare su OK.

radiusad20

Il gruppo AD selezionato compare ora nella lista dei Windows Groups. Cliccare su OK per proseguire.

radiusad21

Per specificare ulteriori condizioni, cliccare sul bottone Add.

radiusad22

Per limitare le richieste di autenticazione da uno specifico VPN server, selezionare la condizione Client IPv4 Address e cliccare su Add.

radiusad23

Digitare l’IP Address del server VPN e cliccare su OK.

radiusad24

Definite le condizioni richieste, cliccare su Next per proseguire.

radiusad25

Abilitare l’accesso al sistema cliccando sulla voce Access Granted.

radiusad26

Qui è possibile definire il protocollo utilizzato per l’autenticazione. Consultare le specifiche del vendor del server VPN per selezionare i protocolli di autenticazione richiesti. Per eseguire un’autenticazione di tipo EAP, ad esempio, bisogna configurare l’EAP Types cliccando sul bottone Add.

radiusad27

Selezionare il protocollo richiesto e cliccare su OK.

radiusad28

Definiti i protocolli di autenticazione, cliccare sul bottone Next.

radiusad29

Definire eventuali Constraints se richiesti. Click su Next.

radiusad30

Definire tramite la schermata Settings eventuali attributi addizionali richiesti dal server VPN. Ad esempio i firewall Watchguard richiedono l’attributo Filter-ID per l’accesso VPN. Cliccare su Add per aggiungere un nuovo attributo.

radiusad31

Dalla lista attributi selezionare Filter-ID e cliccare su Add.

radiusad32

Cliccare su Add per definire l’informazione richiesta dal server VPN per l’attributo selezionato.

radiusad33

Consultando le istruzioni del vendor del server VPN, inserire l’Attribute Information corretto (L2TP-Users nell’esempio) e cliccare su OK per confermare.

radiusad34

Per eventuali attributi non richiesti, selezionarli e rimuoverli tramite il bottone Remove.

radiusad35

Terminata la configurazione, cliccare sul bottone OK.

radiusad36

Viene visualizzato un riepilogo delle impostazioni effettuate. Cliccare su Finish per terminare la procedura.

radiusad37

Per una corretta elaborazione della policy creata, assicurarsi che sia la prima dell’elenco.

radiusad38

Per il corretto funzionamento dell’autenticazione RADIUS, bisogna registrare il server in Active Directory. Dalla schermata principale di NPS cliccare con il tasto destro la voce NPS (local) e selezionare l’opzione Register server in Active Directory.

radiusad39

Cliccare su OK per confermare l’autorizzazione del server locale in AD.

radiusad40

Cliccare su OK per terminare l’operazione.

radiusad41

La configurazione del server RADIUS è ora completa.

 

Attivazione autenticazione RADIUS

Per abilitare l’autenticazione dei client VPN nel sistema, bisogna configurare l’autenticazione RADIUS nel server VPN.

radiusad42

Abilitare ed inserire l’IP Address corretto del server RADIUS. Digitare lo stesso Shared Secret definito precedentemente. Prestare attenzione che i caratteri inseriti nel campo Secret siano gli stessi definiti nel server RADIUS altrimenti il processo di autenticazione non verrà effettuato correttamente.

radiusad43

Quando si effettua una connessione VPN, il client è autenticato tramite RADIUS consentendo l’accesso alla rete verificando la membership del gruppo in Active Directory come riportato dal log in Windows.

radiusad44

Sempre dal logo è possibile identificare eventuali problemi di autenticazione.

radiusad45

Questa soluzione permette un’efficiente gestione delle autenticazioni dei client remoti garantendo un certo livello di sicurezza della rete.