Шлюз Microsoft Forefront Threat Management может использовать RADIUS-серверы для проверки подлинности запросов веб-прокси от внутренних клиентов, находящихся в сетях, защищенных Forefront TMG. В данном разделе рассматриваются шаги, которые необходимо выполнить для настройки проверки подлинности RADIUS в этом сценарии:

  1. установка RADIUS-сервера, настройка Forefront TMG в качестве клиента RADIUS, настройка параметров RADIUS-сервера в Forefront TMG. Инструкции по данному процессу см. в разделе Настройка RADIUS. Эти процедуры используют службу проверки подлинности в Интернете (IAS) в качестве RADIUS-сервера. Служба проверки подлинности в Интернете это реализация RADIUS-сервера, включенная в Windows Server 2003. Windows Server 2008 использует сервер политики сети (NPS). Дополнительные сведения см. в разделе Инфраструктура сервера политики сети на узле Microsoft TechNet.

  2. Настройте политику удаленного доступа к RADIUS-серверу на прием запросов на проверку подлинности Forefront TMG. При использовании проверки подлинности RADIUS для веб-прокси поддерживается только проверка подлинности PAP. Дополнительные сведения о типах политики удаленного доступа см. в разделе Выбор интерактивной справки Windows Server 2003.

  3. Примените политику удаленного доступа к определенной группе Active Directory (необязательно). При создании правила доступа с использованием проверки подлинности RADIUS правило может применяться к определенному пользователю или всем пользователям в пространстве имен RADIUS (если RADIUS-сервер относится к домену, это может быть любой пользователь, успешно прошедший проверку подлинности в Active Directory). Это является ограничением при применении правила к определенной группе. В качестве обходного пути можно создать группу Active Directory, а затем применить к группе политику удаленного доступа RADIUS.

  4. В сети, из которой принимаются запросы клиентов, настройте проверку подлинности RADIUS для запросов веб-прокси.

  5. Создайте набор пользователей RADIUS для использования в правиле доступа.

  6. Создайте правило доступа на основе проверки подлинности RADIUS.

Настройка проверки подлинности PAP

В зависимости от операционной системы в службе проверки подлинности в Интернете имеется несколько политик удаленного доступа по умолчанию. Если служба проверки подлинности в Интернете выполняется на Windows Server 2003, нужно настроить политику Подключения к другим серверам доступа.

Чтобы настроить проверку подлинности PAP

  1. В консоли Службы проверки подлинности выберите пункт Политики удаленного доступа, а затем в области сведений дважды щелкните пункт Подключения к другим серверам доступа.

  2. На вкладке Параметры нажмите кнопку Изменить профиль.

  3. На вкладке Проверка подлинности нажмите кнопку Незашифрованная проверка подлинности (PAP, SPAP). Затем нажмите кнопку ОК.

  4. Нажмите кнопку ОК, чтобы закрыть диалоговое окно.

Чтобы создать группу пользователей для использования в политике удаленного доступа (необязательно)

  1. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем нажмите кнопку Пользователи и компьютеры Active Directory.

  2. В дереве консоли разверните имя домена.

  3. Щелкните правой кнопкой мыши Пользователи, нажмите кнопку Создать, а затем кнопку Группа.

  4. Введите имя для новой группы. Например, WebProxy_Clients.

  5. Выберите пункт Глобальный домен в меню Область действия группы, а затем пункт Безопасность в меню Тип группы.

  6. В списке Пользователи для каждого пользователя, которого вы хотите добавить в группу, дважды щелкните имя пользователя для просмотра его свойств. Убедитесь, что на вкладке Удаленный доступ выбран пункт Управлять доступом с помощью политики удаленного доступа. Затем нажмите кнопку ОК.

Чтобы добавить группу пользователей в политику удаленного доступа (необязательно)

  1. В консоли Службы проверки подлинности щелкните узел Политики удаленного доступа, а затем в области сведений дважды щелкните политику удаленного доступа Подключения к другим серверам доступа.

  2. На вкладке Параметры выберите пункт Предоставить разрешение для удаленного доступа. Затем в меню Условия политики нажмите кнопку Добавить.

  3. В списке Типы атрибута выберите пункт Windows-Groups. Нажмите кнопку Добавить.

  4. В диалоговом окне Группы нажмите кнопку Добавить.

  5. В диалоговом окне Выбор групп укажите группы, для которых доступ будет разрешен (в нашем примере это группа WebProxy_Clients. Нажмите кнопку ОК, чтобы закрыть диалоговое окно.

  6. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Группы, а затем кнопку ОК, чтобы закрыть свойства политики удаленного доступа.

    Примечание.
    Также можно выбрать пункт Запретить удаленный доступ, чтобы запретить доступ для указанных групп Windows. Например, вы можете установить правило доступа Forefront TMG, чтобы разрешить доступ для всех пользователей в пространстве имен RADIUS, а затем установить политику удаленного доступа для исключения отдельных групп.

Настройка проверки подлинности RADIUS для запросов веб-прокси

Перед настройкой RADIUS в качестве метода проверки подлинности убедитесь, что сеть включена для запросов веб-прокси. Указания см. в разделе «Настройка сети для запросов веб-прокси».

Чтобы настроить проверку подлинности RADIUS для запросов веб-прокси

  1. На вкладке Веб-прокси свойств требуемой сети нажмите кнопку Проверка подлинности.

  2. В списке методов проверки подлинности выберите RADIUS. Обратите внимание, что вы не можете использовать другой метод проверки подлинности вместе с RADIUS. Проверка подлинности на RADIUS-сервере происходит при помощи обычной проверки подлинности.

  3. Нажмите кнопку Выбрать домен, чтобы указать домен, в котором RADIUS-сервер будет осуществлять проверку подлинности пользователей.

  4. Нажмите кнопку RADIUS-серверы, чтобы просмотреть сведения о RADIUS-серверах. Если RADIUS-сервер не настроен, см. инструкции по настройке в разделе Настройка RADIUS.

Создание набора пользователей RADIUS

Проверка подлинности RADIUS не распознает группы безопасности Windows. Создайте набор пользователей RADIUS для использования в правиле публикации.

Чтобы создать набор пользователей RADIUS

  1. В диспетчере Forefront TMG выберите пункт Политика межсетевого экрана.

  2. На вкладке Панель элементов нажмите кнопку Пользователи, а затем кнопку Создать.

  3. На странице приветствия Мастера создания набора пользователей введите имя для новой группы. Например, RADIUS_Users.

  4. На странице Пользователи нажмите кнопку Добавить, а затем кнопку RADIUS.

  5. В диалоговом окне Добавление пользователей выберите пункт Все пользователи в пространстве имен. Чтобы указать отдельного пользователя, введите имя пользователя точно так, как его указывает пользователь при вводе своих учетных данных на странице проверки подлинности. Затем нажмите кнопку ОК.

  6. На странице Пользователи нажмите кнопку Далее.

  7. Затем нажмите кнопку Готово и завершите работу мастера.

Создайте правило доступа, чтобы разрешить исходящие веб-запросы.

Эта процедура разрешает доступ из внутренней сети по умолчанию в Интернет. При необходимости измените источники и места назначения.

Чтобы создать правило доступа, разрешающее исходящие веб-запросы

  1. В диспетчере Forefront TMG щелкните правой кнопкой мыши пункт Политика межсетевого экрана, нажмите кнопку Создать, а затем кнопку Правило доступа.

  2. На странице приветствия введите имя для нового правила. Например, WebProxy_RADIUS. Нажмите кнопку Далее.

  3. На странице Действие правила нажмите кнопку Разрешить. Нажмите кнопку Далее.

  4. На странице Протоколы выполните следующие действия:

    • Чтобы указать только веб-трафик, не изменяйте параметр по умолчанию Выбранные протоколы, затем нажмите кнопку Добавить. В диалоговом окне Добавление протоколов разверните вкладку Интернет выберите пункт HTTP, а затем нажмите кнопку Добавить. При необходимости добавьте HTTPS и FTP. Нажмите кнопку Закрыть, чтобы закрыть диалоговое окно Добавление протоколов.

    • Чтобы разрешить весь трафик, не изменяйте параметр по умолчанию Весь исходящий трафик.

    • Нажмите кнопку Далее.

  5. На странице Источники правил доступа нажмите кнопку Добавить.

  6. В диалоговом окне Добавление сетевых сущностей разверните вкладку Сети, выберите значение Внутренняя и нажмите кнопку Добавить. Нажмите кнопку Закрыть, чтобы закрыть диалоговое окно, а затем нажмите кнопку Далее.

  7. На странице Пункты назначения правил доступа нажмите кнопку Добавить.

  8. В диалоговом окне Добавление сетевых сущностей разверните вкладку Сети, выберите значение Внешняя и нажмите кнопку Добавить. Нажмите кнопку Закрыть, чтобы закрыть диалоговое окно, а затем нажмите кнопку Далее.

  9. На странице Наборы пользователей выберите пункт Все пользователи и нажмите кнопку Удалить.

  10. Нажмите кнопку Добавить, затем в диалоговом окне Добавление пользователей выберите набор пользователей RADIUS. Нажмите кнопку Добавить, а затем кнопку Закрыть. Нажмите кнопку Далее.

  11. Нажмите кнопку Готово и завершите работу мастера.

Это правило разрешает доступ для всех пользователей, прошедших проверку подлинности в домене, для которого RADIUS-сервер предоставляет проверку подлинности. Если на RADIUS-сервере создана политика удаленного доступа для определенной группы пользователей, доступ будет предоставляться только для этой группы.