¿Cómo configurar Radius Server en

Windows Server 2016?

RADIUS (Remote Authentication in Dial-In User Service) es un protocolo de red para
la implementación de autenticación, autorización y recopilación de información
sobre los recursos utilizados. Está diseñado para transferir información entre la
plataforma central y los clientes / dispositivos de la red. Su servidor de acceso
remoto (RADIUS) puede comunicarse con un servidor / servicio central (por ejemplo,
controlador de dominio de Active Directory) para autenticar clientes de acceso
telefónico remoto y autorizarlos a acceder a algunos servicios o recursos de
red. Gracias a esto, puede utilizar un único sistema de autenticación centralizado
en su dominio.

Se mostrará como configurar el servidor RADIUS centralizado basado en el sistema

operativo Windows Server 2016 y cómo configurar la autenticación RADIUS en
dispositivos Cisco mediante el servicio Network Policy Server (NPS). En este
ejemplo, RADIUS utilizará AD para autenticar a los usuarios remotos y autorizarlos
a acceder a la interfaz de línea de comandos de los conmutadores y enrutadores de
Cisco (actúan como clientes RADIUS).

Instalación de la función Radius Server (NPS) en

Windows Server 2016
Al principio, cree un nuevo grupo de seguridad en el dominio de Active Directory
(por ejemplo, RemoteCiscoUsers) en el que deberá agregar todos los usuarios que
podrán autenticarse en los enrutadores y conmutadores de Cisco.
A partir de Windows Server 2008 R2, la funcionalidad del servidor RADIUS se
implementó con la función Servicios de políticas de red (NPS). Con la función NPS,
puede autenticar clientes remotos en Active Directory mediante el protocolo Radius.

Por lo tanto, debe instalar la función del servidor RADIUS en su Windows Server
2016. Abra la consola del Administrador del servidor y ejecute
el asistente Agregar funciones y características . El protocolo de servicio de
usuario de acceso telefónico de autenticación remota (RADIUS) en Windows Server
2016 es parte del rol de servidor de políticas de red. En el asistente que aparece,
seleccione la función Servicios de acceso y políticas de red en el paso de
selección de funciones.

Nota . Además, puede instalar funciones de NPS y herramientas de administración

desde una consola de PowerShell elevada:

Install-WindowsFeature NPAS -IncludeManagementTools

Una vez completada la instalación del rol, abra el Servidor de políticas de red
(nps.msc) en el menú Herramientas.
Para utilizar el servidor NPS en el dominio, debe registrarlo en Active Directory. En
el complemento NPS, haga clic con el botón derecho en una raíz y
seleccione Registrar servidor en Active Directory .

Confirme el registro del servidor en Active Directory.

Además, puede registrar su servidor NPS en Active Directory con un comando:

netsh ras agregar servidor registrado

En este caso, el servidor tendrá autoridad para leer las propiedades de las cuentas
de usuario de Active Directory para autenticar a los usuarios. El servidor se
agregará al grupo de dominio integrado Servidores RAS e IAS .

Ahora puede agregar el cliente Radius. El cliente Radius es el dispositivo desde el

cual su servidor recibirá solicitudes de autenticación. En este ejemplo, podría ser un
enrutador Cisco, un conmutador, un punto de acceso Wi-Fi, etc.

Para agregar el nuevo cliente Radius, expanda la sección Clientes y servidores

RADIUS en el árbol de la consola NPS y seleccione Nuevo en el elemento Clientes
RADIUS .
En la pestaña Configuración, complete los campos Nombre
descriptivo , Dirección del cliente (puede especificar la dirección IP o el nombre
DNS) y Secreto compartido + Confirmar contraseña compartida (utilizará esta
contraseña en la configuración del conmutador / enrutador Cisco).

En la pestaña Avanzado, seleccione el nombre del proveedor - Cisco.

 Puede usar el comando de PowerShell en lugar de la GUI de NPS para agregar un
nuevo cliente RADIUS. En este caso, puede usar el cmdlet New-NpsRadiusClient
de PowerShell.

New-NpsRadiusClient –Dirección "192.168.31.1" –Nombre "cisco2960" –

SharedSecret "Zb + kp ^ JUy] v \ ePb-hQ * d = weya2AY? Hn + npRRp [/ J7d"

Configuración de políticas NPS en el servidor

RADIUS
Las políticas de NPS le permiten autenticar usuarios remotos y otorgarles
permisos de acceso configurados en el rol de NPS. Con las políticas de acceso de
NPS, puede establecer un vínculo a los registros del cliente RADIUS y al grupo de
seguridad del dominio que determina el nivel de acceso a los dispositivos CISCO.

Hay dos tipos de políticas en un servidor RADIUS:

 Políticas de solicitud de conexión : estas políticas definen un conjunto de

condiciones que determinan qué servidores RADIUS deben autenticar y autorizar
las solicitudes de conexión recibidas de los clientes RADIUS;
 Políticas de red : un conjunto de condiciones y configuraciones que le permiten
especificar quién está autorizado para conectarse a su red y una lista de permisos
de acceso asignados. Estas políticas se procesan secuencialmente de arriba hacia
abajo;

En nuestro caso, usaremos solo las políticas de la red NPS. Expanda

la rama Políticas > Políticas de red y seleccione Nuevo :
Especifique el nombre de la política, el tipo de servidor de acceso a la red debe
permanecer sin cambios (sin especificar).
En el siguiente paso Especifique las condiciones , debe agregar las condiciones
bajo las cuales se aplicará esta política de RADIUS. Agreguemos dos condiciones:
el usuario autorizado debe ser miembro de un grupo de seguridad de dominio
específico y el dispositivo al que desea acceder tiene un nombre
determinado. Utilice Add para crear una nueva condición seleccionando el tipo
de grupo de Windows (agregue el grupo RemoteCiscoUsers ) y especifique
el nombre descriptivo del cliente ( Cisco_ * ).

Nota . El campo Nombre descriptivo del cliente puede diferir del nombre DNS de
su dispositivo. Lo necesitaremos en el futuro para identificar un dispositivo de red
específico al crear políticas de acceso: Política de acceso remoto. Con este
nombre, puede especificar, por ejemplo, una máscara mediante la cual varios
clientes RADIUS diferentes serán procesados por una única política de acceso.
En la siguiente pantalla, seleccione Acceso concedido.
Debido a que nuestro conmutador Cisco solo admite el método de autenticación
no cifrado (PAP, SPAP), desmarcaremos todas las demás opciones.
Omita el siguiente paso de Restricciones de configuración.

En la sección Configurar ajustes, vaya a la sección Atributos RADIUS>

Estándar. Elimine los atributos existentes allí y haga clic en el botón Agregar.

Seleccione Tipo de acceso> Todos, luego Tipo de servicio> Agregar. Especifique

Otros = Iniciar sesión.
Ahora agregue un nuevo atributo en la sección Atributos RADIUS> Específico del
proveedor. En Proveedor, seleccione Cisco y haga clic en Agregar. Aquí debe
agregar información sobre el atributo. Haga clic en Agregar y especifique el
siguiente valor:

shell: priv-lvl = 15

Este valor significa que al usuario autorizado por esta política se le otorgará un
permiso de acceso administrativo máximo (15) en el dispositivo Cisco.
La última pantalla muestra todas las configuraciones de política de NPS
seleccionadas. Haga clic en Finalizar.
Sugerencia . Puede hacer una copia de seguridad de la configuración actual del
servidor NPS en el archivo XML usando el comando:

Exportar-NpsConfiguration -Path c: \ ps \ backup_nps.xml

Si necesita restaurar la configuración de NPS desde un archivo de copia de

seguridad creado anteriormente, ejecute:

Import-NpsConfiguration -Path c: \ ps \ backup_nps.xml

Al crear y planificar políticas RADIUS, preste atención a lo que importa su

orden. Las pólizas se procesan de arriba hacia abajo, y cuando resulta que se
cumplen todas las condiciones de la siguiente póliza, se termina su procesamiento
posterior. Puede cambiar las prioridades de las políticas en la consola de NPS
utilizando el valor de Orden de procesamiento.

Para permitir que la cuenta de usuario se utilice para la autenticación Radius, abra
la consola de Usuarios y equipos de Active Directory (dsa.msc), busque el usuario,
abra sus propiedades, vaya a la pestaña Dial-In y seleccione Control access
through NPS Network Policy opción en la sección Permiso de acceso a la red .
Además, puede verificar el valor de la opción actual usando PowerShell:

Get-ADUser richard.doe -Properties msNPAllowDialin -Server

dc1.theitbros.com

Si el comando anterior no devolvió ningún resultado (vacío), esto significa que se

utiliza el valor predeterminado "Control de acceso a través de la política de red
NPS".

Si desea restablecer este atributo de usuario al estado predeterminado, use el

comando:

Set-ADUser richard.doe -Clear msNPAllowDialin -Server dc1.theitbros.com

O puede restablecer este atributo para todos los usuarios de la unidad
organizativa (OU) específica mediante el filtro LDAP :

Get-ADUser -SearchBase "ou = Users, ou = Paris, dc = theitbros, dc = com"

-LDAPFilter "(msNPAllowDialin = *)" | % {Set-ADUser $ _ -Clear
msNPAllowDialin}

Configuración de RADIUS en dispositivos Cisco

Después de crear la política, puede proceder a configurar sus enrutadores o
conmutadores Cisco para la autenticación en el servidor Radius NPS recién
instalado.

Debido a que usamos cuentas de dominio para la autorización, las credenciales de

usuario deben transmitirse a través de la red en forma encriptada. Para hacer
esto, deshabilite el protocolo telnet en el switch y habilite SSHv2 en Cisco usando
los siguientes comandos en el modo de configuración:

configurar terminal

clave criptográfica generar módulo rsa 1024

ip ssh versión 2

AAA funciona de tal manera: si no se recibe la respuesta del servidor, el cliente

asume una autenticación fallida. Asegúrese de crear un usuario local en caso de
que el servidor RADIUS no esté disponible por algún motivo.

Puede crear un usuario local con el siguiente comando:

nombre de usuario cisco_local contraseña $ UPerrP @ ssw0rd

Para hacer obligatorio el uso de SSH y deshabilitar el acceso remoto mediante

Telnet, ejecute los siguientes comandos:

línea vty 5 15
transporte entrada ssh

A continuación se muestra un ejemplo de la configuración para autorizar un

servidor Radius para Cisco Catalyst Switch:

aaa nuevo modelo

aaa autenticación inicio de sesión grupo predeterminado radio local

aaa autorización exec radio de grupo predeterminado si está autenticado

Radius-server host 192.168.1.16 clave Sfs34e # sf

#Especifique la dirección IP y la clave de su servidor RADIUS para el

cifrado (el secreto compartido que especificamos en el servidor RADIUS)

servicio de cifrado de contraseña

# Habilitar el cifrado de contraseña

Si tiene varios servidores Radius, agréguelos al grupo:

grupo aaa radio del servidor radius_srv_group

servidor 192.168.1.16

servidor 192.168.101.16

Esto completa la configuración mínima del conmutador y puede intentar verificar la

autenticación Radius en su dispositivo Cisco.

¿Cómo verificar los registros de NPS / RADIUS en

Windows?
Para habilitar el registro de autenticación Radius del servidor NPS, debe habilitar
la política de auditoría del servidor de políticas de red . Puede habilitar esta política
a través del Editor de políticas de grupo local o con los siguientes comandos:

auditpol / get / subcategory: "Servidor de políticas de red"

auditpol / set / subcategory: "Servidor de políticas de red" / success:

enable / failure: enable

Ahora puede abrir la consola del Visor de eventos (eventvwr.msc), ir a Registros

de Windows> Seguridad y filtrar el evento por el ID de evento 6272.

El servidor de políticas de red otorgó acceso a un usuario.

Si necesita encontrar todos los eventos de autorizaciones de NPS para el usuario
específico (Richard.Doe en este ejemplo), use el siguiente script de PowerShell:

$ Query = @ "

<QueryList>

<Query Id = "0" Path = "Security">

<Seleccione Ruta = "Seguridad">

* [EventData [Data [@ Name = 'SubjectUserName'] y (Data = theitbros \

richard.doe ')]] y

* [Sistema [(EventID = '6272')]]

</Seleccionar>

</Query>

</QueryList>

"@

$ eventos = Get-WinEvent -FilterXML $ Query

$ ipaddr = @ {etiqueta = "IP"; Expresión = {$ _. Properties [9] .value}}

$ eventos | seleccione $ ipaddr | grupo "IP" | recuento de tabla de

formato, nombre -au