Настройка RADIUS на Windows Server 2003

Я хочу настроить Radius на одном из моих серверов Win2k3 Server для проверки подлинности маршрутизатора Cisco на его основе.

  • Сервер IAS должен быть контроллером домена, лучше или хуже, если он есть?
  • Будет ли установка IAS с помощью компонента "Установка и удаление компонентов" выбивать или потребовать перезапуска других служб? (Если это должен быть DC, то это будет производственный).
  • Это руководство или, может быть, это выглядит хорошо, но может ли кто-нибудь, как это сделать, сказать мне, если они кажутся нормальными, и / или порекомендовать другое руководство?
  • Другие советы, конечно (почти) всегда приветствуются:-)
Источник

2 ответа

Решение

Это именно тот способ, которым я сейчас установил свое устройство cisco. Ответить на ваши вопросы

  1. Нет, это не обязательно должен быть контроллер домена, я не могу придумать ничего интересного за / против. У меня есть мой локальный контроллер домена к оборудованию, потому что а) они уже выполняют аутентификацию, а для аутентификации сетевого оборудования вы не будете добавлять такую ​​большую нагрузку, и б) на самом деле больше не было места, чтобы поместить его в то время.

  2. Нет не будет вызывать перезагрузку или запуск / остановку служб

  3. Первое руководство выглядит довольно хорошо для стороны окна. Ниже приведен пример кода из моих конфигов для запуска стороны cisco.

  4. Одна вещь, которую вы хотите сделать, это убедиться, что у вас есть локальные учетные записи, к которым вы можете вернуться, когда ваш радиус-сервер недоступен. и убедитесь, что у вас активная консольная сессия, для которой задано не время ожидания при настройке. Вы можете легко заблокировать себя из маршрутизатора во время настройки.

Это для аутентификации консольного доступа, а не VPN-доступа, я оставлю это здесь на случай, если кто-то посчитает это полезным.

aaa new-model
aaa authentication login default group radius local
radius-server host <server_ip/name> auth-port 1812 acct-port 1813 key <encrypted_shared_key>
Источник
  1. никакой IAS не должен быть на DC, хотя производительность может улучшиться, если это так.
  2. зависит от остальной системы, но по моему опыту нет, она не требует перезагрузки
  3. оба руководства выглядят законченными.

Обратите особое внимание на подстановочные знаки, совпадающие с вашими политиками, поскольку вы можете использовать несколько политик в одной группе для разных хостов. если вы не ограничите их, любое совпадение разрешит доступ к ресурсу.

Источник
Другие вопросы по тегам