วิธีกำหนดค่า NPS เพื่อจัดการการรับรองความถูกต้องของ RADIUS ด้วย Omada Controller
NPS บน Windows Server สามารถทำงานเป็น RADIUS Server เพื่อจัดการการรับรองความถูกต้องของ RADIUS ด้วย Omada Controller ดังที่แสดงด้านล่าง NPS สามารถทำการรับรองความถูกต้องแบบรวมศูนย์สำหรับการเชื่อมต่อไร้สายเมื่อทำหน้าที่เป็นเซิร์ฟเวอร์ RADIUS บทความนี้จะแนะนำวิธีกำหนดค่า NPS บน Windows Server 2012 R2 ให้ทำงานร่วมกับ Omada Controller
ตามค่าเริ่มต้น ไม่มีบริการเครือข่ายใน Windows Server ดังนั้นเราจึงจำเป็นต้องเพิ่มบทบาทด้วยตนเองเพื่อใช้ฟังก์ชันที่เกี่ยวข้อง นอกจาก NPS แล้ว เรายังจำเป็นต้องติดตั้ง Active Directory Domain Services และบริการ Active Directory Certificate ด้วยวิธีนี้เท่านั้น NPS จึงสามารถตรวจสอบบัญชีผู้ใช้ได้ ดังนั้นเราจะอธิบายเป็นขั้นตอนต่อไปนี้:
· ติดตั้งบริการโดเมน Active Directory
· ติดตั้งบริการใบรับรอง Active Directory
· ติดตั้งนโยบายเครือข่ายและบริการการเข้าถึง
· สร้างกลุ่มและผู้ใช้
· กำหนดค่าไคลเอนต์ RADIUS และนโยบายเครือข่าย
· ตัวอย่างของเซิร์ฟเวอร์ RADIUS ภายนอก
I. ติดตั้งบริการโดเมน Active Directory
ต้องลงทะเบียน NPS ใน Active Directory เพื่อให้มีสิทธิ์ในการอ่านคุณสมบัติการโทรเข้าของบัญชีผู้ใช้ในระหว่างกระบวนการอนุญาต ดังนั้นเราจึงจำเป็นต้องติดตั้ง Active Directory DS และเลื่อนระดับเป็นตัวควบคุมโดเมนก่อน
ครั้งที่สอง ติดตั้งบริการใบรับรอง Active Directory
นอกจาก Active Directory DS แล้ว เราจำเป็นต้องติดตั้ง Active Directory Certificate Services หลังการติดตั้ง จะออกใบรับรองให้กับ Active Directory DC และ Windows Server
หมายเหตุ: หากไม่ได้ออกใบรับรองให้กับ Windows Server เราจำเป็นต้องขอใบรับรองสำหรับ Windows Server จาก CA เพื่อให้แน่ใจว่ามีการเข้ารหัส SSL
สาม. ติดตั้งบริการนโยบายเครือข่ายและการเข้าถึง
ไปที่ Server Manager เพื่อติดตั้ง Network Policy and Access Services หลังจากนั้น เราควรลงทะเบียน NPS ใน Active Directory DS เพื่อให้มีสิทธิ์ในการเข้าถึงบัญชีผู้ใช้และข้อมูลในขณะที่ประมวลผลคำขอการเชื่อมต่อ
IV. สร้างกลุ่มและผู้ใช้
หลังจากติดตั้ง Active Directory DS แล้ว โปรดไปที่ศูนย์การดูแลระบบ Active Directory เพื่อสร้างกลุ่มและเพิ่มผู้ใช้ใหม่ในกลุ่มนี้ (ผู้ใช้เหล่านี้ใช้เพื่อเข้าสู่ระบบและเข้าถึงอินเทอร์เน็ต)
อย่าลืมเปลี่ยนคุณสมบัติการโทรเข้าเป็น “ควบคุมการเข้าถึงผ่านเซิร์ฟเวอร์นโยบายเครือข่าย” เพื่ออนุญาตให้ผู้ใช้กลุ่มนี้เข้าถึงเครือข่ายผ่านนโยบายเครือข่าย NPS
V. กำหนดค่าไคลเอนต์ RADIUS และนโยบายเครือข่าย
ไคลเอนต์ RADIUS สามารถสร้างข้อความร้องขอการเข้าถึง RADIUS และส่งต่อไปยังเซิร์ฟเวอร์ RADIUS ในการกำหนดค่า NPS เป็นเซิร์ฟเวอร์ RADIUS เราต้องกำหนดค่าไคลเอนต์ RADIUS และนโยบายเครือข่าย
หากต้องการเพิ่ม EAP เป็นไคลเอ็นต์ ให้ป้อนที่อยู่ IP ของอุปกรณ์และตั้งชื่อที่เรียกง่ายว่า “tplink_nps” และป้อน “ความลับที่ใช้ร่วมกัน” ด้วยตนเอง ความลับที่ใช้ร่วมกันใช้เพื่อตรวจสอบว่าไคลเอนต์ RADIUS ได้รับอนุญาตให้ประมวลผลคำขอรับรองความถูกต้องผ่านเซิร์ฟเวอร์ RADIUS
หมายเหตุ: บทบาทไคลเอนต์ Radius ถูกโอนจาก EAP ไปยัง Omada Controller ตั้งแต่ Controller 3.1.4
เพื่อให้เข้ากันได้กับ WPA-Enterprise และพอร์ทัล RADIUS เราควรเปิดใช้งาน “Unencrypted authentication (PAP, SPAP)” เมื่อกำหนดค่านโยบายเครือข่าย
วี.ไอ. ตัวอย่างของเซิร์ฟเวอร์ RADIUS ภายนอก
หลังจากติดตั้งและกำหนดค่าบน Windows Server แล้ว NPS สามารถทำงานเป็นเซิร์ฟเวอร์ RADIUS ได้ ในที่นี้เราใช้พอร์ทัลเซิร์ฟเวอร์ RADIUS ภายนอกเป็นตัวอย่าง ใช้ NPS เพื่อตรวจสอบสิทธิ์ผู้ใช้ที่เชื่อมต่อกับ SSID ของพอร์ทัล
· RADIUS Server IP: ที่อยู่ IP ของ Windows Server;
· พอร์ต RADIUS: พอร์ตเริ่มต้นคือ 1812;
· รหัสผ่าน RADIUS: เป็นความลับที่ใช้ร่วมกันที่เราป้อนในหน้าไคลเอนต์ RADIUS
หลังจากกำหนดค่าพอร์ทัลแล้ว เราสามารถเชื่อมต่อกับพอร์ทัล SSID ป้อนชื่อผู้ใช้และรหัสผ่าน จากนั้นเราจะสามารถเข้าถึงอินเทอร์เน็ตได้