ネットワーク機器のAAAにWindows Server 2008 R2のNPSを利用してみる。

AAAにRADIUSを利用するときに、Windows Server 2008 R2の
ネットワークポリシーサーバ(NPS)を利用したので、その時のメモです。

ネットワーク機器はCatalyst 2960(12.2(55)SE7)
Windows Server 2008 R2はドメインコントローラとNPSは別のサーバにしています。

AAA Authenticaion(ログイン認証)は RADIUS Server(NPS)との通信が失敗した場合には
ローカルアカウントデータベースを利用するのと、コンソールを利用する場合は
ローカルアカウントデータベースだけを使用するように設定しました。

AAA Authorization(コマンド認可)は認証されていればコマンド実行出来るようにします。

switch(config)# aaa new-model

switch(config)# aaa authentication login default group radius local-case
switch(config)# aaa authentication login con-local local-case

switch(config)# aaa authorization exec default group radius local if-authenticated
switch(config)# aaa authorization exec con-local local if-authenticated

switch(config)# radius-server host 192.168.30.101 auth-port 1645 acct-port 1646 key password

switch(config)# line con 0
switch(config-line)# login authentication con-local

NPSのインストールはサーバマネージャの役割の追加から

• ネットワークポリシーとアクセスサービスを追加
• ネットワークポリシーサーバにチェックを入れてインストール

NPSの設定は

1. RADIUSクライアントにCatalyst2960のIP Addressを設定して追加
2. ポリシーからネットワークポリシーを選択して、新規追加
   • ポリシー名は [AAA] に設定

1. [AAA]のプロパティは
   1. 概要
      • ポリシーの状態：ポリシーを有効にするにチェック
      • アクセス許可：アクセスを許可する。～にチェック
      • ネットワーク接続の方法：ネットワークアクセスサーバの種類は [Unspecified]を選択
   2. 条件として今回はユーザグループを仕様
      • Configを操作できるグループとして [Operator Group]を ActiveDirectoryで作成
   3. 制約
      • 認証：暗号化されていない認証(PAP,SPAP)のみチェック
      • NASポートの種類：Virtual(VAN)にチェック
   4. 設定
      1. RADIUS属性
         • 標準：デフォルトで設定されているものを削除して、[Service-Type : Login]を追加

RADIUS認証の流れがみたいときは debug コマンドを入れると良いです。

switch#debug radius authentication