Настраиваем доменную аутентификацию на сетевом оборудовании

В некоторых случаях возникает необходимость вывести компьютеры локальной сети из рабочих групп и подключить их к локальному домену. Это дает возможность устанавливать групповые политики, управлять доступом пользователей, распределять между ними ресурсы, пользоваться своей учетной записью с любого компьютера в сети и другие полезные для системного администратора преимущества.

Настройка сервера и точки доступа

Я ставил радиус на контреллер домена

1. Ставим на Windows cлужбы "IAS" и "Службы сертификации"

2. Авторизировать службу IAS в домене.

3. Создаем центр сертификации через оснастку "Центр сертификации"

4. Разрешаем автоматический запрос сертификата в Default Domain Policy

Шаблон сертификата "Компьютер". Это нужно, чтобы клиенты могли проверять валидность RADIUS сервера. После изменения политики необходимо запустить gpupdate, чтобы компьютер запросил сертификат у центра сертификации. После обновления политики в оснастке "Центр сертификации" должен появиться такой феншуй:

5. Создаем политику уделнного доступа

Далее выбрать "Беспроводной доступ" и "Разрешения группы". С "Разрешениями Группы" мне так больше нравится, чтобы только члены определенных групп могли пользоваться привилегией беспроводного доступа.

5. Добавить точку доступа как RADIUS клиент сервера

6. Настроить точку доступа как WPA2-Enterprise, в настройках RADIUS точки доступа указать адрес IAS сервера и (опционально, но желательно) разделяемый секрет RADIUS клиента и сервера.

Создание контроллера домена под Windows Server 2003/2008

Теперь разберемся, как создать домен в локальной сети. После того, как на сервер установлена операционная система и проведены предварительные настройки, можно приступить к конфигурации службы Active Directory:

  • Серверу задается статический IP, желательно в начальном диапазоне адресов подсети.
  • Устанавливаются компоненты, которые отвечают за работу сервера, если они не были установлены раньше — Active Directory, DNS, DHCP, WINS.
  • Следующий шаг – это установка непосредственно контролера домена. Для этого нужно:
    • открыть «Диспетчер сервера» и нажать ссылку «Добавить роли»;
    • в открывшемся диалоговом окне нужно проставить галочки напротив установленных служб, чтобы мастер конфигурации смог провести настройки, добавил службы в автозапуск и другие служебные действия.
  • После того как службы были установлены в «Диспетчере сервера» под ролями сервера их можно будет увидеть. При этом будет висеть ошибка запуска напротив «Доменные службы Active Directory».
  • Избавиться от ошибки поможет «Мастер установки доменных служб», который запускается из командной строки «Пуск — Выполнить — cmd — dcpromo».
  • Пропустив несколько информационных окон, поставить переключатель на «Создать новый домен в новом лесу».
  • Следующий шаг – это придумать имя домена. О правилах выбора доменных имен написано множество статей в интернете, но все они сводятся к одному: при выборе имени необходимо придерживаться соглашения и стандартов ICANN.
  • После проверки имени на совпадения в сети, требуется выбрать режим совместимости работы сервера.
  • В следующем шаге мастер предупредит о том, что дополнительно будет настроен DNS сервер и на вопрос о делегировании соглашаемся.
  • Дальше нужно будет выбрать каталоги, в которых будут располагаться базы данных. Можно оставить по умолчанию или выбрать другое размещение.
  • И напоследок придумать и ввести пароль для учетной записи «Администратор».
Читайте также:  Как стать владельцем файлов и папок — инструкция

Это все действия, которые надлежит проделать для настройки домена в локальной сети. После того как мастер завершит работу, желательно будет перегрузить машину и войти в домен под учетной записью администратора для дальнейшей конфигурации пользователей и политик безопасности.

Создание контроллера домена под Windows Server 2003/2008

Иногда происходит такая ситуация, что компьютер не определяет сеть, вернее ставит статус «Неопознанная сеть». Ситуация возникает из-за того, что сервер замыкает DNS сам на себя, т.е. на петлю с адресом 127.0.0.1. Чтобы избавиться от этого, необходимо в настройках соединения указать в качестве DNS адрес сервера в локальной сети.

Организация работы ЛВС в доменной зоне процесс не сложный, но хлопотный. После настройки сервера не забываем ввести все рабочие станции в доменную зону. Дальнейшие действия по организации сети зависят от текущих нужд, но значительно упростят работу администратору и снимут ряд вопросов от пользователей.

Выводы

С точки зрения рядовых пользователей возможность совершать вызовы через сеть WiFi (в том числе при отсутствии покрытия мобильной сети) без установки дополнительных приложений и при использовании аутентификации через SIM карту несомненно представляет собой удобную услугу. Также интересна возможность доступа к сервисам оператора связи с терминалов пользователей, не имеющих SIM карту. С точки зрения оператора связи возникает дополнительная возможность выстроить гибкую политику тарификации и перераспределить доходы с ОТТ сервисами.  Количество смартфонов, поддерживающих технологию VoWiFi, с каждым годом увеличивается. Развертывание сервисов VoWiFi операторами связи безусловно продолжится.  

Введение

В последнее время удалённая работа становится распространённым видом организации рабочего процесса. Всё больше компаний переводят сотрудников на работу вне офиса. Но кроме всех очевидных выгод растут и риски. По данным ESET, число ежедневных брутфорс-атак выросло до 100 000 из-за самоизоляции. Заметное количество пользователей, работающих с конфиденциальными данными, оказалось под угрозой.

Читайте также:  Доступ к локальным файлам и папкам в сеансе удаленного рабочего стола

Большинство компаний, перешедших на удалённый формат работы, используют VPN-сервисы для подключения к своим внутренним ресурсам. Идентификация и аутентификация пользователей при этом, как правило, осуществляются путём ввода имени пользователя и пароля.

Учитывая, что имя пользователя зачастую можно найти в открытых источниках, перед злоумышленником остаётся лишь одна преграда — пароль. Подбор, троянская программа, социальная инженерия… способов незаконного получения пароля — множество.

В этой ситуации для усиления безопасности рекомендуется задействовать дополнительные факторы аутентификации пользователей. Применение ещё одного или нескольких паролей, токенов и других методов аутентификации снижает риск компрометации учётных данных и получения несанкционированного доступа.

Сегодня мы рассмотрим примеры организации MFA для VPN-шлюза Check Point. Описание настройки дано в двух вариантах:

  1. Аутентификация удалённого доступа с использованием сервера RADIUS и службы Microsoft Azure.
  2. Аутентификация удалённого доступа с использованием сервера FreeRADIUS и службы Google Authenticator.