Configurare server Radius su Windows Server per autenticare utenti di VPN Cisco

Una Virtual Private Network (VPN) consente di connettersi a una rete privata tramite accesso Internet da qualsiasi parte del mondo.

Può rivelarsi molto utile agli utenti aziendali per accedere in modo sicuro alle risorse interne dell’azienda.

In questo articolo vedremo come utilizzare gli stessi utenti di Active Directory per effettuare il login di una VPN configurata su un router Cisco.

Lo scenario prevede un router Cisco 1801 nel quale è stata configurata una VPN di tipo Road Warrior e un server con sistema operativo Windows 2012 Server R2 nel quale è attivo il ruolo di controller di dominio e di server Radius.

Per facilitare la gestione degli utenti autorizzati ad accedere tramite VPN andremo a creare in Active Directory un apposito gruppo dedicato VpnAuthorizedUsers:

Radius Windows Server 2012 R2 Vpn Cisco Radius Windows Server 2012 R2 Vpn Cisco Radius Windows Server 2012 R2 Vpn Cisco

Assegnate al gruppo VpnAuthorizedUsers l’utente al quale volete consentire l’accesso tramite VPN:

Radius Windows Server 2012 R2 Vpn Cisco Radius Windows Server 2012 R2 Vpn Cisco
Aprite Server Manager di Windows Server 2012 R2 e selezionare Add Roles and Features:

Radius Windows Server 2012 R2 Vpn Cisco Radius Windows Server 2012 R2 Vpn Cisco

Selezionate il server sul quale installare il ruolo:

Radius Windows Server 2012 R2 Vpn Cisco

Selezionate il ruolo Network Policy and Access Services:

Radius Windows Server 2012 R2 Vpn Cisco

Procedete includendo le features richieste:

Radius Windows Server 2012 R2 Vpn Cisco

Radius Windows Server 2012 R2 Vpn Cisco Radius Windows Server 2012 R2 Vpn Cisco

Selezionate Network Policy Server:

Radius Windows Server 2012 R2 Vpn Cisco
Premete Install per iniziare l’installazione:

Radius Windows Server 2012 R2 Vpn Cisco
Una volta apparsa la scritta evidenziata premete Close per uscire dal wizard:

Radius Windows Server 2012 R2 Vpn Cisco

Procedete con la configurazione del server Radius selezionando NAP, successivamente cliccate col destro sul nome del server e premete su Network Policy Server:

Radius Windows Server 2012 R2 Vpn Cisco

Cliccate con il destro su NPS e selezionate Register server in Active Directory:

Radius Windows Server 2012 R2 Vpn Cisco

Espandete il menu Radius e cliccate col destro su RADIUS Clients:

Radius Windows Server 2012 R2 Vpn Cisco

Indicate il nome e l’indirizzo IP dell’apparato che inoltrerà le richieste di autenticazione al Radius, definite inoltre una password che autorizzerà l’apparato a connettersi al server Radius:

Radius Windows Server 2012 R2 Vpn Cisco

Espandete le Policies e cliccate col destro su Connection Request Policies:

Radius Windows Server 2012 R2 Vpn Cisco

Definite un nome per la policy:

Radius Windows Server 2012 R2 Vpn Cisco

Aggiungete una condizione Client Friendly Name:

Radius Windows Server 2012 R2 Vpn Cisco

Impostate il parametro della condizione con lo stesso nome che avete dato precedentemente nella definizione del Radius Clients:

Radius Windows Server 2012 R2 Vpn CiscoRadius Windows Server 2012 R2 Vpn Cisco

Cliccate Next:
Radius Windows Server 2012 R2 Vpn Cisco

Selezionate come attributo User-Name:

Radius Windows Server 2012 R2 Vpn Cisco

Cliccate con il destro su Network Policies:

Radius Windows Server 2012 R2 Vpn Cisco

Definite il nome della policy:

Radius Windows Server 2012 R2 Vpn Cisco

Specificate la condizione UserGroups:

Radius Windows Server 2012 R2 Vpn Cisco

Aggiungete il gruppo precedentemente creato VpnAuthrizedUsers:

Radius Windows Server 2012 R2 Vpn Cisco Radius Windows Server 2012 R2 Vpn Cisco

Radius Windows Server 2012 R2 Vpn Cisco

Abilitate l’accesso PAP,SPAP:

Radius Windows Server 2012 R2 Vpn Cisco

Premete NO al seguente avviso:

Radius Windows Server 2012 R2 Vpn CiscoRadius Windows Server 2012 R2 Vpn Cisco Radius Windows Server 2012 R2 Vpn Cisco Radius Windows Server 2012 R2 Vpn Cisco

Una volta configurata la VPN Road Warrior sul router Cisco dovete abilitare l’autenticazione degli utenti VPN tramite il server Radius.

Il comando local che segue la voce radius consente di garantire la possibilità di collegarsi in VPN con gli utenti locali del router qualora il server Radius dovesse essere offline per qualsiasi motivo:

conf t
aaa authentication login vpnuser group radius local

Accertatevi che il comando della crypto map evidenziato abbia lo stesso nome del aaa authentication:

Radius Windows Server 2012 R2 Vpn Cisco

Entrate in modalità configurazione (Configure  terminal) ed inserite i parametri del radius con l’indirizzo IP e la password definita all’inizio del tutorial:

radius-server host 10.0.0.1 auth-port 1812 acct-port 1813 key password xxxxxxxxx

Comments