Шлюз Microsoft Forefront Threat Management может использовать сервер RADIUS для проверки подлинности клиентов. В данном разделе представлено описание настройки сервера RADIUS, используемого Forefront TMG. В данных разделах описывается настройка IAS в качестве сервера RADIUS. Перед настройкой RADIUS необходимо обязательно ознакомиться с вопросами обеспечения безопасности в разделе Проверка подлинности RADIUS.
Настройка проверки подлинности RADIUS с IAS включает следующие этапы.
- Установка IAS. IAS установлен в качестве компонента Windows.
Следует обратить внимание, что Windows Server 2008 использует
сервер NPS в качестве сервера RADIUS. Дополнительные сведения см. в
документе Инфраструктура сервера сетевых политик
на веб-узле Microsoft TechNet.
- Настройка Forefront TMG в качестве клиента RADIUS на IAS.
- Настройте сервер RADIUS на консоли управления Forefront TMG.
Проверьте, что выбраны те же параметры, которые были указаны при
настройке Forefront TMG как клиента RADIUS. Обратите внимание, что
указанные параметры сервера RADIUS применяются ко всем типам
правил, использующим проверку подлинности RADIUS.
- При необходимости измените правило системной политики Forefront
TMG. Это правило предполагает, что сервер RADIUS находится в
созданной по умолчанию внутренней сети и разрешает отправку
протоколов RADIUS из сети локального узла (компьютера Forefront
TMG) во внутреннюю сеть. Если сетевое расположение неверно или
вместо всей внутренней сети нужно указать адрес сервера RADIUS,
правило можно изменить. Правило включено по умолчанию.
Настройка в качестве клиента RADIUS на IAS
-
На компьютере, где запущен IAS, нажмите кнопку Пуск, выберите Администрирование, а затем - Служба проверки подлинности в Интернете.
-
Если сервер RADIUS входит в домен, проверьте его регистрацию в Active Directory. Для этого правой клавишей мыши щелкните корневой узел Служба проверки подлинности в Интернете, а затем выберите команду Зарегистрировать сервер в Active Directory.
-
На консоли управления службы проверки подлинности в Интернете правой клавишей мыши щелкните папку Клиенты RADIUS, а затем выберите команду Новый клиент RADIUS.
-
На странице Имя и адрес в поле Понятное имя введите имя для сервера Forefront TMG. В поле Адрес клиента (IP или DNS) введите IP-адрес или заданный по умолчанию IP-адрес адаптера, через который Forefront TMG осуществляет доступ к контроллеру домена (обычно это внутренний адаптер). Использование IP-адреса вместо DNS-имени гарантирует, что IAS не потребуется разрешать имена клиентов при запуске.
-
Нажмите кнопку Далее.
-
На странице Дополнительные сведения в разделе Клиент-вендор убедитесь, что выбран вариант Стандартный RADIUS. В поле Общий секрет введите пароль и подтвердите его в поле Подтверждение. Обратите внимание, что на сервере Forefront TMG необходимо указать точно такой же общий секрет.
-
Можно установить флажок Запрос должен содержать атрибут проверки подлинности сообщения.
-
Нажмите кнопку Готово.
Настройка сервера RADIUS
-
На консоли управления Forefront TMG разверните узел Настройка, а затем щелкните Общие.
-
В области сведений выберите Определить серверы RADIUS.
-
На вкладке Серверы RADIUS нажмите кнопку Добавить.
-
В поле Имя сервера введите имя или IP-адрес сервера RADIUS, который будет использоваться для проверки подлинности.
-
Нажмите кнопку Изменить, а затем в полях Новый секрет и Подтверждение введите общий секрет, который будет использоваться для взаимодействия между сервером Forefront TMG и сервером RADIUS. Необходимо указать тот же самый секрет, который был введен при настройке Forefront TMG в качестве клиента на сервере RADIUS.
-
В поле Порт укажите UDP-порт, используемый сервером RADIUS для входящих запросов на проверку подлинности RADIUS. Заданное по умолчанию значение 1812 основано на RFC 2138.
-
В поле Время ожидания (с) укажите значение времени (в секундах), в течение которого Forefront TMG должен получить отклик от сервера RADIUS, прежде чем подключиться к альтернативному серверу.
Изменение правила системной политики RADIUS
-
На консоли управления Forefront TMG щелкните правой клавишей мыши узел Политика межсетевого экрана, а затем выберите команду Изменить системное правило.
-
В разделе Службы проверки подлинности списка Группы настройки выберите вариант RADIUS.
-
Убедитесь, что на вкладке Общие установлен флажок Включить.
-
На вкладкеКуда укажите другое расположение, выберите Внутренняя, а затем нажмите кнопку Удалить. Нажмите кнопку Добавить и укажите сетевой объект, представляющий сервер RADIUS.