Share via

RADIUS - 为特定于供应商的属性配置 NPS - P2S 用户组

  • 项目

以下部分介绍如何配置 Windows Server 网络策略服务器 (NPS),以对用户进行身份验证,从而使用特定于供应商的属性 (VSA) 来响应 Access-Request 消息,该属性在虚拟 WAN 点到站点 VPN 中用于用户组支持。 以下步骤假定网络策略服务器已注册到 Active Directory。 这些步骤可能因 NPS 服务器的供应商/版本而异。

以下步骤介绍如何在 NPS 服务器上设置单一网络策略。 对于与此策略匹配的所有用户,NPS 服务器将使用指定的 VSA 进行答复,此 VSA 的值可在虚拟 WAN 中的点到站点 VPN 网关上使用。

配置

  1. 打开“网络策略服务器”管理控制台,右键单击“网络策略”->“新建”以创建新的网络策略。

    Screenshot of new network policy.

  2. 在向导中选择“授予访问权限”,以确保 RADIUS 服务器可以在验证用户身份后发送 Access-Accept 消息。 然后单击“下一步”。

  3. 为策略命名,然后选择“远程访问服务器(VPN 拨号)”作为网络访问服务器类型。 然后单击“下一步”。

    Screenshot of policy name field.

  4. 在“指定条件”页上,单击“添加”以选择条件。 然后,选择“用户组”作为条件并单击“添加”。 还可以使用 RADIUS 服务器供应商支持的其他网络策略条件。

    Screenshot of specifying conditions for User Groups.

  5. 在“用户组”页上单击“添加组”,然后选择将使用此策略的 Active Directory 组。 然后单击两次“确定”。 你将在“用户组”窗口中看到已添加的组。 单击“确定”返回到“指定条件”页,然后单击“下一步”。

  6. 在“指定访问权限”页上,选择“授予访问权限”,以确保 RADIUS 服务器可以在对用户进行身份验证后发送 Access-Accept 消息。 然后单击“下一步”。

    Screenshot of the Specify Access Permission page.

  7. 对于“配置身份验证方法”,请进行任何必要的更改,然后单击“下一步”。

  8. 对于“配置约束”,请选择任何必要的设置。 然后单击“下一步”。

  9. 在“配置设置”页上,对于“RADIUS 属性”,请突出显示“特定于供应商”,然后单击“添加”。

    Screenshot of the Configure Settings page.

  10. 在“添加特定于供应商的属性”页上进行滚动,以选择“特定于供应商”。

    Screenshot of the Add Vendor Specific Attribute page with Vendor-Specific selected.

  11. 单击“添加”以打开“属性信息”页。 然后,单击“添加”以打开“特定于供应商的属性信息”页。 选择“从列表中选择”,然后选择“Microsoft”。 选择“是,它符合”。 然后单击“配置属性”。

    Screenshot of the Attribute Information page.

  12. 在“配置 VSA (符合 RFC)”页上,选择以下值:

    • 供应商分配的属性号:65
    • 属性格式:十六进制
    • 属性值:将其设置为在 VPN 服务器配置上配置的 VSA 值,例如 6a1bd08。 VSA 值应以 6ad1bd 开头。

  13. 单击“确定”两次,关闭这些窗口。 在“属性信息”页上,你会看到刚输入的供应商和值已列出。 单击“确定” 以关闭该窗口。 然后,单击“关闭”以返回到“配置设置”页。

  14. “配置设置”现在看起来类似于以下屏幕截图:

    Screenshot of the Configure Settings page with Vendor Specific attributes.

  15. 单击 “下一步” ,然后单击 “完成” 。 可以在 RADIUS 服务器上创建多个网络策略,以便根据 Active Directory 组成员身份或你要支持的任何其他机制,将不同的 Access-Accept 消息发送到虚拟 WAN 点到站点 VPN 网关。

后续步骤