В этом разделе описывается процесс настройки RADIUS-сервера, на котором выполняется сервер политики сети, используемый Forefront TMG для проверки подлинности клиентов. Перед началом нужно ознакомиться с задачами безопасности, описанными в планировании проверки подлинности [TMG].
Настройка проверки подлинности RADIUS с сервером политики сети включает следующие этапы.
- Установка сервера политики сети. NPS установлен в качестве
компонента Windows. Дополнительные сведения см. в статье Инфраструктура сервера политики сети
(http://go.microsoft.com/fwlink/?LinkID=107958).
- Настройка Forefront TMG в качестве RADIUS-клиента в сервере
политики сети.
- Настройка RADIUS-сервера в консоли управления Forefront TMG.
Проверьте, что выбраны те же параметры, которые были указаны при
настройке Forefront TMG как RADIUS-клиента. Обратите внимание, что
указанные параметры сервера RADIUS применяются ко всем типам
правил, использующим проверку подлинности RADIUS.
- При необходимости измените правило системной политики Forefront
TMG. Это правило предполагает, что RADIUS-сервер находится в
созданной по умолчанию внутренней сети и разрешает отправку
протоколов RADIUS из сети локального узла (компьютера Forefront
TMG) во внутреннюю сеть. Если сетевое расположение неверно или
вместо всей внутренней сети нужно указать адрес сервера RADIUS,
правило можно изменить. Правило включено по умолчанию.
Чтобы настроить Forefront TMG в качестве RADIUS-клиента на сервере политики сети, выполните следующие действия:
-
На компьютере с установленным сервером политики сети нажмите кнопку Пуск, выберите команду Выполнить, введите nps.msc и нажмите клавишу ВВОД. Оставьте консоль управления открытой для выполнения следующих задач настройки сервера политики сети.
-
В консоли управления сервера политики сети разверните узел Клиенты и серверы RADIUS, щелкните правой кнопкой мыши Клиенты RADIUS и выберите пункт Создать клиент RADIUS.
-
В диалоговом окне Новый клиент RADIUS в поле Понятное имя введите описание Forefront TMG. В поле Адрес (IP или DNS) введите IP-адрес Forefront TMG.
-
В поле Общий секрет введите общий секрет, созданный в разделе "Настройка VPN-подключений для использования карантина на основе NAP".
-
В поле Подтвердите общий секрет снова введите общий секрет.
-
Установите флажок RADIUS-клиент поддерживает NAP и нажмите кнопку ОК. См. следующий пример.
Чтобы настроить RADIUS-сервер в Forefront TMG, выполните следующие действия:
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
-
В области задач выберите Настроить доступ клиентов.
-
На вкладке Сети выберите сеть, где расположен RADIUS-сервер и нажмите кнопку Настроить.
-
На вкладке Веб-прокси выберите Проверка подлинности.
-
В разделе Метод отмените выбор всех других методов и выберите RADIUS.
-
Перейдите на вкладку Серверы RADIUS и нажмите кнопку Добавить.
-
В поле Имя сервера введите имя или IP-адрес RADIUS-сервера, который будет использоваться для проверки подлинности.
-
Нажмите кнопку Изменить, а затем в полях Новый секрет и Подтверждение введите общий секрет, который будет использоваться для взаимодействия между сервером Forefront TMG и RADIUS-сервером. Необходимо указать тот же самый секрет, который был введен при настройке Forefront TMG в качестве клиента на RADIUS-сервере.
-
В поле Порт для проверки подлинности укажите UDP-порт, используемый RADIUS-сервером для входящих запросов на проверку подлинности RADIUS. Заданное по умолчанию значение 1812 основано на RFC 2138.
-
В поле Время ожидания (с) укажите значение времени (в секундах), в течение которого Forefront TMG должен получить отклик от RADIUS-сервера, прежде чем подключиться к альтернативному серверу.
-
Нажмите кнопку ОК пять раз, чтобы закрыть все окна, а затем на панели Принять изменения нажмите кнопку Применить.
Изменение правила системной политики RADIUS
-
В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана, а затем на панели Задачи выберите команду Изменить системную политику.
-
В разделе Службы проверки подлинности списка Группы настройки выберите вариант RADIUS.
-
Убедитесь, что на вкладке Общие установлен флажок Включить данную группу настройки.
-
На вкладкеКуда укажите другое расположение, выберите Внутренняя, а затем нажмите кнопку Удалить. Нажмите кнопку Добавить и укажите сетевой объект, представляющий RADIUS-сервер.
© Корпорация Майкрософт, 2009 Все права защищены.