Manual Instalacion NPS

MANUAL DE USUARIO
CONFIGURAR NPS COMO RADIUS PROXY

Empresa de Gases Industriales
Grupo Nacional de Tecnologas de la Informacin y las Comunicaciones (GNTIC)
Avenida Finlay Km 2 .
Reparto: Puerto Prncipe, Camagey, Cuba
Telfonos: 032 264344 - 032264346
Mvil: 52855580
E-mail: ernesto@gases.co.cu
INDICE
1. Introduccin ......................................................................................................................................................................... 3
2. Instalacin y configuracin de Radius Server (Network Policy Server)............................................................ 6
2.1 Instalacin de una entidad certificadora .......................................................................................................... 6
2.2 Instalacin del rol Network Policy Server ....................................................................................................... 10
2.3 Configurar Network Policy Server ..................................................................................................................... 14
2.3.1 Registro del servidor en el Directorio Activo ................................................................................................ 14
2.3.2 Configuracin del log de autenticacin. ........................................................................................................ 15
2.4 Configuracin de los clientes radius................................................................................................................. 16
2.5 Configuracin de Radius Proxy .......................................................................................................................... 18
2.6 Configuracin de las polticas de acceso ........................................................................................................ 19
2.6.1 Configuracin de las peticiones de acceso ............................................................................................ 19
2.6.2 Configuracin de las polticas de red ...................................................................................................... 23
2.7 Configuracin del Cortafuego ...............................................................................................26
2.8 Configuracin del AP ............................................................................................................27
Los Gases deben estar por delante del desarrollo del pas, si no lo frenan.
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
1. Introduccin
Con el devenir de los aos, el progresivo desarrollo de las tecnologas de la informacin y las comunicaciones
han permitido la conexin ininterrumpida entre redes. La persistencia al conmutar entre redes inalmbricas o
fsicas y al mismo tiempo mantener la sesin de conexin, tiene por nombre itinerancia tambin llamada
roaming. En las redes inalmbricas, roaming se refiere a la capacidad de cambiar de un rea de cobertura a otra
sin interrupcin en el servicio o prdida en la conectividad. Permite a los usuarios seguir utilizando sus servicios
incluso cuando viajan fuera de su rea local.
El presente trabajo tiene como objetivo facilitar que nuestros usuarios mviles, sean capaces de conectarse a
cada red wifi configurada en las distintas UEB de la Empresa de Gases Industriales y estandarizar el mtodo de
acceso a la red wifi siempre que los puntos de accesos (AP) lo permitan. Para ello se decidi implementar un
Servidor de directivas de redes (NPS). El NPS permite crear, configurar, aplicar y administrar de forma
centralizada directivas de autenticacin de acceso a la red, autorizacin y mantenimiento de clientes con las tres
caractersticas siguientes:
RADIUS server: NPS realiza la autenticacin, autorizacin y administracin de conexiones de forma

centralizada para los conmutadores de autenticacin inalmbricos, conexiones de acceso remoto
telefnico y red privada virtual (VPN). Cuando se usa NPS como un servidor RADIUS, se configuran
los servidores de acceso a la red, como los puntos de acceso inalmbrico y los servidores VPN,
como clientes RADIUS en NPS. Adems, se configuran las directivas de redes que usa NPS para
autorizar las solicitudes de conexin. Tambin puede configurar la administracin de cuentas
RADIUS para que NPS registre la informacin de las cuentas en archivos de registro del disco duro
local o en una base de datos de Microsoft SQL Server.
RADIUS proxy: NPS como un proxy RADIUS puede configurar las directivas de solicitud de conexin,
que indican qu solicitudes de conexin debe reenviar a otros servidores RADIUS. Puede configurar
NPS para que reenve datos de cuentas que deben registrar uno o ms equipos en un grupo de
servidores RADIUS remotos.
Network Access Protection (NAP) policy server: NPS como un servidor de directivas de NAP, evala
los informes de mantenimiento (SoH) enviados por equipos clientes compatibles con NAP que
desean conectarse a la red.
Se decidi implementar NPS como proxy RADIUS, porque proporciona el enrutamiento de mensajes entre
clientes RADIUS y servidores proxy RADIUS que realizan autenticacin, autorizacin y reporte para el intento de
conexin. NPS es una central de conmutacin o enrutamiento a travs del cual fluyen los mensajes de acceso y
administracin de cuentas RADIUS.
RADIUS es un protocolo estndar de seguridad recogido en los RFCs 2865 y 2866. Diseado como protocolo de
servicio para TCP/IP con funcionalidad de autenticacin de acceso a servidores para autentificar usuarios. Los
elementos caractersticos que posee RADIUS le han permitido guardar un alto grado de compatibilidad con la
arquitectura dispuesta por las redes inalmbricas. Sigue un modelo cliente/servidor y las transacciones
realizadas entre el cliente y el servidor RADIUS son autenticadas mediante la utilizacin de una contrasea
secreta, que nunca viaja por la red.
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
A continuacin, se describe la comunicacin entre los clientes server de acceso, Servidor RADIUS Proxy y los
servidores RADIUS clientes.
1. Los servidores de acceso telefnico a la red, los servidores de red privada virtual (VPN) y los puntos de
acceso inalmbrico, reciben las solicitudes de conexin de los clientes de acceso.
2. El servidor de acceso, configurado para usar RADIUS como protocolo de autenticacin, autorizacin y
registro, crea un mensaje de solicitud de acceso y lo enva al Servidor RADIUS Proxy Gases.
3. El Servidor RADIUS Proxy Gases recibe el mensaje de solicitud de acceso y basndose en las directivas
de solicitud de conexin configuradas localmente, determina hacia cual Servidor RADIUS Cliente (GEIQ,
Equifa, PRI, MTZ, CMG entre otros) reenviar el mensaje de solicitud de acceso.
4. El servidor RADIUS Clientes evala el mensaje de solicitud de acceso. Autentica y autoriza el intento de
conexin.
5. Si se autentica y autoriza el intento de conexin, el servidor RADIUS Cliente enva un mensaje de

aceptacin de acceso al Servidor RADIUS Proxy Gases, desde donde se reenva al servidor de acceso.
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
Si no se autentica o autoriza el intento de conexin, el servidor RADIUS Clientes enva un mensaje de

rechazo de acceso al Servidor RADIUS Proxy Gases, desde donde se reenva al servidor de acceso.
6. El servidor de acceso completa el proceso de conexin con el cliente de acceso y enva un mensaje de
solicitud de registro de actividad al Servidor RADIUS Proxy Gases. El Servidor RADIUS Proxy Gases
registra los datos de cuentas y reenva el mensaje al servidor RADIUS Cliente.
7. El servidor RADIUS Cliente enva un mensaje de respuesta de cuenta al Servidor RADIUS Proxy Gases,
desde donde se reenva al servidor de acceso.
A continuacin, se describe el procedimiento para configurar el Servidor Proxy RADIUS (vm51.gases.co.cu)

y el Servidor RADIUS Cliente (ns1.geiq.cu).
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
2. Instalacin y configuracin de Radius Server (Network Policy Server)
2.1 Instalacin de una entidad certificadora

Comenzamos la instalacin de los roles y caractersticas que son necesarios para la configuracin de nuestro
servidor Radius, en este caso el servicio de Certificado de Active Directory que deber ser instalado en el
Radius Cliente y en el Proxy Radius Server. Para ello vamos a la consola de administracin de nuestro
servidor y escogemos la opcin Aadir roles y caractersticas (Add roles and features).
Seguimos el wizard de instalacin. Damos en click en la opcin Siguiente (Next).
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
Siguiente (Next).
Escojemos el rol Servicio de certificado de Directorio Activo (Active Directory Certificate Services). Aadimos las
caractersticas por defecto.
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
Una vez seleccionado el rol correspondiente, seleccionamos Siguiente (Next).
Finalizar (Close).
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
Una vez instalada la entidad certificadora, se debe generar un certificado de equipo que se utilizar para la
validacin del Radius.
Abrir una consola mmc y agregar el snap-ins de certificados. Se debe seleccionar certificado de cuenta de
equipo (computer account).
Verificar los certificados generados dentro de la carpeta personal.
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
2.2 Instalacin del rol Network Policy Server

Para instalar el rol Network Policy Server (NPS), vamos a la consola de administracin de nuestro servidor y
escogemos la opcin Aadir roles y caractersticas (Add roles and features).
Seguimos el wizard de instalacin. Damos en click en la opcin Siguiente (Next).
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
Siguiente (Next).
Escojemos el rol Network Policy and Access Services y aadimos las caractersticas por defecto.
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
En la interfas Features dejar las opciones por defecto y seleccionar Siguiente (Next). En la interfaz Servicio de Rol
(Role Services) marcar la opcin Network Policy Server y seleccionar siguiente (Next).
En la interfaz de Confirmacin (Confirmation) seleccionar Instalar (Install).
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
Verificar si la instalacin fue satisfactoria y seleccionar Finalizar (Close).
En la consola de Administracin del servidor (Server Manager), en el men herramientas (Tools) seleccionar la
opcin Network Policy Server.
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
2.3 Configurar Network Policy Server

2.3.1 Registro del servidor en el Directorio Activo
En la interfaz de administracin del Network Policy, seleccionar clic derecho encima del NPS (Local) y seleccionar
la opcin Registrar el servidor en el Directorio Activo (Register server in Active Directory). Esto solo es necesario
realizarlo una vez despues de desplegar el rol de Network Policy Server.
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
Se muestra un mensaje de autorizacin, seleccionar OK para proceder con la configuracin.
2.3.2 Configuracin del log de autenticacin.
Modificar las opciones por defecto de la generacin de logs. Para ello se debe acceder al Men Accounting y
escoger la opcin Change Log File Properties. Recuerden que estos logs deben guardarse por el perodo
establecido (no menor de 1 ao).
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
En la pestaa Settings dejar los valores por defecto y en la pestaa Log File seleccionar que se cree un nuevo
fichero diario y configurar como directorio de salva una carpeta en la particin D:\Backup\NPS de su disco
duro. Esta carpeta debe estar creada con anterioridad. Adems, es recomendable salvar externamente estos
logs.
2.4 Configuracin de los clientes radius

En el NPS se configuran como clientes radius todos los AP de la UEB y el servidor del Nodo. Para configurar
nuestros clientes radius (Radius Clients), expandir la opcin Servidor y Cliente Radius (Radius Client and Servers).
Situarse sobre Cliente Radius (Radius Clients) y dar clic derecho y escoger nuevo (new).
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
En la ventana New Radius Client en la pestaa Ajustes (Settings) se debe: insertar un nombre identificativo del
AP (Friendly name), la direccin IP o dns del AP (usamos una direccin cualquiera de la UEB de Camaguey) e
insertar manualmente una contrasea que ser utilizada entre el AP y el Radius. Observar que esta misma
contrasea es la que deben configurar posteriormente en el AP.
Luego de aadir cada uno de los AP desplegados en la UEB, se debe aadir como cliente al servidor radius del
Nodo. Aqu deben especificar los siguientes parametros: nombre GNTIC, la direccin IP 172.16.254.151 y una
llave compartida. Esta ltima se les proporcionar una vez hayan contactado a los administradores del nodo.
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
2.5 Configuracin de Radius Proxy

En la ventana de configuracin del Network Policy Server, desplegar a la izquierda la opcin Cliente y Servidores
RADIUS (RADIUS Client and Servers). Situarse sobre la opcin Grupos Remoto de Servidores RADIUS (Remote
RADIUS Server Groups), dar clic derecho y escoger nuevo (new).
Agregar un nombre de grupo (GNTIC), presionar el boton adicionar (Add) para agregar los Servidores
RADIUS remotos.
En la ventana Adicionar Servidor RADIUS (Add RADIUS Server), en la pestaa Direccin (Address) escribir
la direccin IP del servidor remoto (172.16.254.151)
En la pestaa Autenticacion/Cuentas (Authentication/Accounting), insertar la llave compartida ofrecida

por el nodo y configurado en el punto anterior y mantener los puertos por defectos para la
Authentication y Accounting.
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
2.6 Configuracin de las polticas de acceso

2.6.1 Configuracin de las peticiones de acceso
En este punto se configurarn dos clases de polticas: una que permitir las solicitudes de los clientes wifi locales
y otra que atender las peticiones de clientes externos. El NPS determina si el cliente es local o externo mediante
el nombre de usuario y el dominio al que pertenece. Si el dominio es local las peticiones las atender el radius
de la UEB, en caso que sean externos, se reenviarn hacia el servidor radius del nodo. Por tanto, para
autenticarse ya sea a travs del mvil o una laptop, se deber utilizar como credenciales usuario@dominio,
ejemplo miguel.jorge@cmg.gases.co.cu
Para configurar la poltica de acceso local ir a la ventana de configuracin del Network Policy Server, desplegar a
la izquierda la opcin Polticas (Policies), seleccionar la opcin Polticas de conexin de solicitud (Connection
Request Policies), dar clic derecho y escoger nuevo (new).
En la pestaa Overview asignar un nombre a la poltica, por ejemplo, WIFI CMG y dar clic en siguiente
(Next)
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
En la pestaa Especificar Condiciones (Specify Conditions), seleccionar las siguientes condiciones:
1. NAS Port Type y configurar de la manera en que indica la figura siguiente.
2. Nombre de usuario (user name). Configurar de la manera que indica la figura siguiente,
especificando el dominio de la UEB, por ejemplo: @cmg\.gases\.co\.cu
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
Nota: La convencin anterior es un patrn especial de sintaxis que debe interpretar el Radius
Proxy al analizar el dominio de una solicitud, delante de cada punto(.) se debe insertar el
carcter backslash (\). Esta debe ser la manera correcta de escribirlo.
En la pestaa Especificar reenvo de peticiones de conexin (Specify Connection Request Forwarding)

escoger la opcin de Autenticar las peticiones en este servidor (Authenticate Request on this server)
para indicar que las solicitudes locales sern atendidas por el servidor radius de la UEB.
Despus de este paso se deber dar Next dos veces sin cambiar ninguna opcin por defecto y luego
dar clic en finalizar para cerrar el wizard quedar habilitada la poltica configurada.
Para configurar la poltica de acceso externo seguir los siguientes pasos: ir a la ventana de configuracin del
Network Policy Server, desplegar a la izquierda la opcin Polticas (Policies), seleccionar la opcin Polticas de
conexin de solicitud (Connection Request Policies), dar clic derecho y escoger nuevo (new).
En la pestaa Overview asignar un nombre a la poltica, por ejemplo, GEIQ Roaming y dar clic en
siguiente (Next)
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
En la pestaa Especificar Condiciones (Specify Conditions), seleccionar las siguientes condiciones:
1. NAS Port Type y configurar de la manera en que indica la figura siguiente.
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
2. Nombre de usuario (user name). Configurar de la manera que indica la figura siguiente,
especificando todos los dominios externos a la UEB mediante la siguiente sintaxis: @*\.cu
Nota: La convencin anterior es un patrn especial de sintaxis que debe interpretar el Radius
Proxy al analizar el dominio de una solicitud, delante de cada punto(.) se debe insertar el carcter
backslash (\). Esta debe ser la manera correcta de escribirlo.
En la pestaa Especificar reenvo de peticiones de conexin (Specify Connection Request Forwarding)

escoger la opcin de Reenviar las peticiones de autenticacin al siguiente servidor radius remoto
(Forward Request to the following remote RADIUS server group for authentication) para indicar que las
solicitudes externas sern atendidas por el servidor radius del Nodo.
dar clic en finalizar para cerrar el wizard quedar habilitada la poltica configurada.
2.6.2 Configuracin de las polticas de red
En este punto se habilitan las polticas de red correspondiente al mtodo de autenticacin PEAP-MSCHAP v2
que utilizaran los clientes locales a la hora de validar sus credenciales en el servidor radius. En el directorio activo
debe existir un grupo global al que pertenezcan los usuarios con permisos de acceder a la Wifi.
En la ventana de configuracin del Network Policy Server, desplegar a la izquierda la opcin Polticas (Policy),
seleccionar la opcin Polticas de red (Network Policies), dar clic derecho y escoger nuevo (new).
En la pestaa Overview asignar un nombre a la poltica, por ejemplo, Wifi CMG y dar clic en Siguiente
(Next).
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
Siguiendo el wizard de configuracin en la pestaa Especificar Condiciones (Specify Conditions),

seleccionar las siguientes condiciones:
1. NAS Port Type y configurar de la manera en que indica la figura siguiente
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
2. Windows Group y configurar de la manera en que indica la figura siguiente. En este punto es donde
deben habilitar la restriccin de pertenencia al grupo Wifi del directorio activo.
En la pestaa Especificar Permisos de acceso (Specify Access Permission), seleccionar la opcin por
defecto.
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
En la pestaa Configurar mtodo de autenticacin (Configure Authentication Methods), desmarcar las

opciones por defecto (Less secure authentication methods) y agregar como mtodo de autenticacin
Microsoft Protected EAP (PEAP).
dar clic en finalizar para cerrar el wizard quedar habilitada la poltica de red.
2.7 Configuracin del Cortafuego

En el cortafuego de la UEB se debe agregar una regla que permita la comunicacin entre el Servidor RADIUS del
Nodo y el RADIUS local.
Se debe configurar una regla de trfico con origen y destinos los servidores radius de la UEB y el servidor radius
del nodo permitiendo el servicio RADIUS. Este servicio viene declarado por defecto en el Kerio y utiliza los
puertos UDP 1812 Y 1813. El puerto UDP 1812 es usado para la autenticacin mientras que el puerto UDP 1813
como puerto de auditoria.
Telfonos: 032 264344 - 032264346
Mvil: 52855580
DESARROLLO
2.8 Configuracin del AP

Configuracin en el AP (Wireless N Gigabit Router modelo TL-WR1043ND):
Navegar hasta el men de configuracin se accede a la pestaa Wireless Security.
Seleccionar el mtodo de seguridad WAP/WAP2 Enterprise
Seleccionar el mtodo de encriptacion AES
En el campo Radius Server IP, insertar la direccin IP del servidor radius de la UEB.
Mantener el puerto (1812) por defecto.
En el campo Radius Password, insertar la contrasea definida en el servidor RADIUS de la UEB para el
Radius Client ap1 . Esta es la contrasea que se configur en el NPS en la seccin 2.4 sobre los clientes
Radius.

Manual Instalacion NPS

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Manual Instalacion NPS

Transféré par

Droits d'auteur :

Formats disponibles

MANUAL DE USUARIO

CONFIGURAR NPS COMO RADIUS PROXY

2. Instalacin y configuracin de Radius Server (Network Policy Server)............................................................ 6

2.1 Instalacin de una entidad certificadora .......................................................................................................... 6

2.2 Instalacin del rol Network Policy Server ....................................................................................................... 10

2.3 Configurar Network Policy Server ..................................................................................................................... 14

2.3.1 Registro del servidor en el Directorio Activo ................................................................................................ 14

2.3.2 Configuracin del log de autenticacin. ........................................................................................................ 15

2.4 Configuracin de los clientes radius................................................................................................................. 16

2.5 Configuracin de Radius Proxy .......................................................................................................................... 18

2.6 Configuracin de las polticas de acceso ........................................................................................................ 19

2.6.1 Configuracin de las peticiones de acceso ............................................................................................ 19

2.6.2 Configuracin de las polticas de red ...................................................................................................... 23

2.7 Configuracin del Cortafuego ...............................................................................................26

2.8 Configuracin del AP ............................................................................................................27

RADIUS server: NPS realiza la autenticacin, autorizacin y administracin de conexiones de forma

5. Si se autentica y autoriza el intento de conexin, el servidor RADIUS Cliente enva un mensaje de

Si no se autentica o autoriza el intento de conexin, el servidor RADIUS Clientes enva un mensaje de

A continuacin, se describe el procedimiento para configurar el Servidor Proxy RADIUS (vm51.gases.co.cu)

2. Instalacin y configuracin de Radius Server (Network Policy Server)

2.1 Instalacin de una entidad certificadora

Seguimos el wizard de instalacin. Damos en click en la opcin Siguiente (Next).

Una vez seleccionado el rol correspondiente, seleccionamos Siguiente (Next).

Verificar los certificados generados dentro de la carpeta personal.

2.2 Instalacin del rol Network Policy Server

Seguimos el wizard de instalacin. Damos en click en la opcin Siguiente (Next).

En la interfaz de Confirmacin (Confirmation) seleccionar Instalar (Install).

Verificar si la instalacin fue satisfactoria y seleccionar Finalizar (Close).

2.3 Configurar Network Policy Server

Se muestra un mensaje de autorizacin, seleccionar OK para proceder con la configuracin.

2.3.2 Configuracin del log de autenticacin.

2.4 Configuracin de los clientes radius

2.5 Configuracin de Radius Proxy

En la pestaa Autenticacion/Cuentas (Authentication/Accounting), insertar la llave compartida ofrecida

2.6 Configuracin de las polticas de acceso

En la pestaa Especificar Condiciones (Specify Conditions), seleccionar las siguientes condiciones:

1. NAS Port Type y configurar de la manera en que indica la figura siguiente.

En la pestaa Especificar reenvo de peticiones de conexin (Specify Connection Request Forwarding)

En la pestaa Especificar Condiciones (Specify Conditions), seleccionar las siguientes condiciones:

1. NAS Port Type y configurar de la manera en que indica la figura siguiente.

En la pestaa Especificar reenvo de peticiones de conexin (Specify Connection Request Forwarding)

2.6.2 Configuracin de las polticas de red

Siguiendo el wizard de configuracin en la pestaa Especificar Condiciones (Specify Conditions),

1. NAS Port Type y configurar de la manera en que indica la figura siguiente

En la pestaa Configurar mtodo de autenticacin (Configure Authentication Methods), desmarcar las

2.7 Configuracin del Cortafuego

2.8 Configuracin del AP

Navegar hasta el men de configuracin se accede a la pestaa Wireless Security.

Seleccionar el mtodo de seguridad WAP/WAP2 Enterprise

Seleccionar el mtodo de encriptacion AES

Mantener el puerto (1812) por defecto.

Vous aimerez peut-être aussi