Installasjon av NPS Installasjonen krever en Windows 2008 server innmeldt i domene. Det kreves en NPS server pr. domene Steg 1) Legg til rollen Network Policy and Access Services, den eneste rolletjenesten som er påkrevd er Network Policy Server. Åpne Network Policy Server ved å klikke på startmenyen Administrative Tools Network Policy Server I Network Policy Server Klikk Action på filmenyen og klikk Register server in Active Directory. Sørg også for at tjenesten er startet. ( Start NPS Service er grå) For å få PEAP til å fungere kreves det ett sertifikat. For å legge til ett sertifikat: Start Kjør Skriv mmc og klikk OK. I vinduet som åpner seg, klikk på File og så på Add/Remove Snap-in. Klikk Add på fanen Standalone. Velg Certificates og klikk Add Velg Computer account og klikk Neste Velg Local computer og klikk Fullfør Klikk først Close og deretter OK på de vinduene som er åpne. Klikk på plusstegnet foran Certificates. Høyreklikk på Personal velg All tasks og Request New Certificate Følg instruksene på skjermen til ett nytt sertifikat er opprettet. Lukk konsoll vinduet.
Steg 2) Klientene er de som har lov til å spørre radius serveren om autentisering, som da radius serveren autentiserer lokalt eller videresender. For mer informasjon rundt strukturen i Eduroam se dokumentasjonen om struktur og Eduroam på websiden. Klientene som legges inn her kan være aksesspunkt, en styringsenhet for det trådløse utstyret (for eksempel en Security Switch.) eller andre RADIUS servere som videresender autentisering hit. Merk: Når man benytter styringsenheter for det trådløse nettverk som for eksempel en Security Switch eller tilsvarende trenger man som oftest kun å legge til den som klient og ikke alle aksesspunktene. Åpne Network Policy Server ved å klikke på startmenyen Administrative Tools Network Policy Server Utvid RADIUS Clients and Servers, høyreklikk på RADIUS Clients og velg New RADIUS Client Fyll inn Friendly name (Eksempel på Friendly name kan være Aksesspunkt1, AP-E314, SecuritySwitch, SkoleRadius. Velg ett som beskriver!) Fyll inn IP adresse eller fult DNS navn Under Vendor name kan RADIUS Standard velges Shared Secret må være lik på både klienten og i NPS oppsettet. Man kan benytte forskjellige Shared Secret for hver klient Klikk OK Repeter dette til alle klientene er lagt til. Og husk at andre RADIUS server som videresender autentiseringen også skal legges til som klienter. Hvis dette er den sentrale RADIUS serveren som skal ha tilknytning til Eduroam må kjernen legges til! For å legge til kjernen i Eduroam må man følge det samme som ved innlegging av klient men med disse innstillingene: IP-Adresse: 128.39.2.22 (hegre) 158.38.0.184 (trane) Friendly Name: Eduroam Shared Secret: Har du ikke fått denne ta kontakt med kolbjorn.barmen@uninett.no
Steg 3) Legge til Remote RADIUS Server Groups For at NPS skal kunne videresende autentisering må dette settes opp en servergruppe. Hvis denne Radius serveren er den siste i en rekke av flere og ikke skal videresende autentisering trengs det ikke å definere noen servergrupper. Hvis denne skal ha tilkobling til Eduroam, må Eduroam legges til som servergruppe. Høyreklikk på Remote RADIUS Server Groups og velg New Fyll inn Group name og klikk Add Hvis dette er servergruppen for tilknytning mot Eduroam bør servergruppen hete Eduroam På fanen Address fyll inn IP adressen eller DNS navnet til serveren. På fanen Authentication/Accounting og fyll inn Authentication port og Shared Secret Endringen på fanen Load Balancing er kun nødvendig i systemer med redundans. Klikk OK på de to vinduene. Repeter dette til alle servergruppene er lagt til. For eksempel en servergruppe for Eduroam og en servergruppe for Skole. For mer informasjon rundt strukturen i Eduroam se dokumentasjonen om struktur og Eduroam på websiden
Steg 4) Connection Request Policies avgjør hvor autentiseringen skal skje etter gitte kritterier. En policy kan autentisere ansatte lokalt, videresende alle elevene til radius tilknyttet skoledomene og en policy sender alle andre som ikke passer i de to andre til Eduroam kjernen. Ettersom policyene behandles i en bestem rekkefølge er det viktig at dette gjøres rett. 1. De som skal autentiseres lokalt 2. De som skal sendes videre til en annen radius (denne kan det settes opp flere av) 3. Alle andre til Eduroam Utvid Policies, høyreklikk på Connection Request Policies og velg New fyll inn Policy name (for eksempel Lokalt, Skole eller Eduroam) og klikk Next Klikk Add for å legge til kriterier for tilkoblingen. For enkelt å kunne avgjøre hvor en bruke tilhører benytter Eduroam realms basert på at brukeren skriver brukernavn@organisasjon. Realmene har ingen tilknytning til e-post adresse fordi om de kan se like ut. I de fleste tilfeller er det mulig å benytte realm tilsvarende e-post adressen. Realmene dere benytter er ofte avtalt på forhånd. Men har du spørsmål kontakt tore.kristiansen@uninett.no Eksempel på realm; stud.skol.no er tilkoblingen til Eduroam og videresender autentisering til ansatt.skole.no radius. Ansatt radius er sist i rekken og mottar autentisering den skal benytte og videresender denne. Kriterier for Connection Policies på stud.skole.no radius.*@stud.skole.no Alle elever, autentiseres lokalt.*@ansatt.skole.no Alle ansatte, sendes til ansattradius.*@.* Alle andre, sendes til ansattradius Kriterier for Connection Policies på Ansatt radius.*@ansatt.skole.no Alle ansatte, autentiseres lokalt.*@.* Alle andre, sendes til Eduroam Velg User-Name og klikk Add. Fyll inn kriteriet f.eks.*@stud.skole.no setter at alle brukerne som skriver inn brukernavn@stud.skole.no skal autentiseres med denne policyen. Klikk OK og så Next "Authentication styrer hvor autentiseringen skal gå.
Velger man Authenticate request on this server autentiseres brukeren på denne radiusserveren og det domene denne er medlem av. Eller man kan velge Forward requests to the following remote RADIUS server group for authentication da sendes autentiseringen til en av de servergruppene vi satte opp i steg 3. Klikk Next Override network policy authentication settings skal IKKE benyttes i denne veiledningen. Klikk Next KUN ved Authenticate request on this server Klikk på Attribute velg Attribute: User-Name klikk Add Fyll inn under Find:(.*)@(.*) Fyll inn under Replace with: $1 Klikk Next og så Finish Sett opp en Connection Request Policy hvor hver tilkobling denne RADIUS serveren skal betjene. Steg 5)
Network Policies behandler lokal autentiseringen, og kan for eksempel gi forskjellige brukere tilgang til forskjellig nett. Noen på gjestenett, noen på VLAN 10, VLAN 12 osv Høyreklikk Network Policies og klikk New Velg beskrivende navn på policyene for eksempel Ansatte med gjestenett, Studenter på vlan10, osv. Klikk Next Conditions er kriteriene som avgjør om en bruker skal benytte denne policyen eller prøve med neste. Klikk Add Hvilke kriterier det skal sjekkes på for hver Network Policy er opp til dere og kommer mye an på hvordan fordelingen skal skje. Noen standardvalg kan være: User Groups og legg ved Domain Users og for eksempel Karantene eller Wifi vlan10 eller andre grupper fra AD. Merk: AD-gruppene må opprettes først! Når kriteriene er satt klikk Neste, velg Access granted og klikk Neste Det kan også settes opp Network Policies som nekter brukere tilgang. For eksempel alle brukere som er medlem av sikkerhetsgruppen Nektes Trådløst får Access denied. Men husk: policyene behandles i en satt rekkefølge og brukerne får tilgang på den første som passer. Derfor kan det være lurt å sette alle policyer som benytter Access denied først! Klikk Add, legg til Microsoft: Protected EAP (PEAP) og klikk OK Sørg for at Microsoft Encrypted Authentication version 2 (MS-CHAP v2) er huket av. Resten av valgene er valgfritt. Klikk Next Merk NAS Port Type Velg Ethernet, Wireless IEEE 802.11 og Wireless Other Klikk Next, Next og så Finish Gjennomfør dette for hver Network policy som behøves. Steg 6)
Network Policies kan utvides med bruk av RADIUS attributter. RADIUS attributtene kan bl.a. gi brukeren forskjellige VLAN osv. Høyreklikk på en Network Policy og velg Properties Gå til fanen Settings Mulighetene med å sette forskjellige RADIUS attributter er mange. Jeg går gjennom det som trengs for å få satt om VLAN til brukeren fra det som leveres som standard av aksesspunktene eller styringsenheten. Klikk Standard i venstre rammen og klikk Add i høyre ramme. Finn Tunnel-Medium-Type i listen og klikk Add Klikk OK to ganger til du er tilbake for å velge flere attributter Finn Tunnel-Pvt-Group-ID i listen og klikk Add Klikk Add og fyll inn VLAN som skal benyttes. For eksempel 77 Finn Tunnel-Type i listen og klikk Add Klikk Add og velg Virtual LANs (VLAN) Klikk OK to ganger og så Close Klikk OK Klikk Add, velg 802 (includes all 802 media plus Ethernet canonical format) Klikk OK to ganger til du er tilbake for å velge flere attributter Repeter på alle Network Policies som trenger endring i bl.a. VLAN Steg 7)
NPS logger til både Event log og til fil. Åpne Event viewer og gå til Custom Views, Server Roles og Network Policy and Access Services. NPS logger med Warning og Information, mens Error kun går til fil (C:\Windows\System32\LogFiles) Network Policy Server granted access to a user. Fikk tilgang (granted access) eller nektet (denied access) Account Name: Ola.Nordmann Brukernavnet i domenet til brukeren Account Domain: skole Domenet som blir spurt om autentisering Fully Qualified Account Name: skole.no/brukere/nordmann, Ola Full sti for kontoen i domenet Calling Station Identifier: 00-1A-73-F5-34-7D MAC adressen til brukeren som prøver å få tilgang Client Friendly Name: SecuritySwitch Hvilken klient som har sendt autentiseringen til denne RADIUS serveren Client IP Address: 10.10.10.91 IP adressen til klienten Proxy Policy Name: Lokal Hvilken Connection Request Policy som er benyttet Network Policy Name: Ansatt VLAN 77 Hvilken Network Policy som er benyttet Authentication Server: RADIUS.ansatt.skole.no Navnet på denne RADIUS serveren Authentication Type: PEAP Autentiseringstype som er benyttet EAP Type: Microsoft: Secured password (EAP-MSCHAP v2) EAP type som er benyttet Denne veiledningen er skrevet av Stian Lysberg og modifisert av Tore Kristiansen