Siguiendo con esta serie de entradas donde estamos viendo como realizar la instalación y configuración de nuestro servidor Radius. En esta ocasión vamos a ver como realizar la configuración necesaria para controlar el acceso a nuestra red de todos aquellos dispositivos que se conecten vía Ethernet.
En primer lugar abriremos «Servidor de directivas de redes» que podremos encontrar dentro de las «Herramientas Administrativas» de nuestro servidor.
A continuación tendremos que configurar los clientes Radius así como las directivas que queramos aplicar.
Clientes y servidores Radius
Vamos a configurar los clientes Radius, en nuestro ejemplo los switch, que proporcionan acceso a nuestra red vía Ethernet.
Desplegaremos «Clientes y servidores Radius», pulsaremos con el botón derecho sobre «Clientes Radius» y seleccionaremos «Nuevo».
Rellenaremos los siguientes campos:
- Nombre descriptivo: Nombre que identificará el cliente radius que estamos configurando.
- Dirección (IP o DNS): Dirección IP o nombre DNS de nuestro cliente radius. En nuestro ejemplo las IP/DNS de nuestro switch.
- Secreto compartido: Las transacciones entre el cliente y el servidor Radius son autenticadas mediante el uso de un secreto compartido, que nunca se envía por la red. En este apartado tendremos que especificarlo o bien generarlo de forma automática. Es importante que os lo anotéis porque posteriormente os hará falta para realizar la configuración en vuestro switch.
Una vez tengamos rellena toda la información pulsamos en «Aceptar» y ya tendremos creado nuestro primer cliente Radius. Tendremos que repetir la operación por cada uno de los clientes que queramos añadir.
Creación de Directivas de Red
Vamos a crear las directivas de red que permitan designar quién tiene autorización para conectarse a la red.
Para ello desplegaremos «Directivas», nos posicionaremos sobre «Directivas de red» y con el botón derecho pulsaremos en «Nuevo».
En nuestro ejemplo vamos a configurar una directiva para permitir el acceso a nuestra red a equipos conectados por Ethernet y que formen parte de nuestro dominio.
Se pueden hacer muchas más cosas pero tampoco quiero complicaros ya que mi objetivo es enseñaros las premisas básicas para que ustedes mismos podáis crear vuestra propias directivas según vuestras necesidades.
Ahora mismo estaremos delante del asistente que nos permitirá crear nuestra primera directiva de red por lo que pondremos un nombre descriptivo a nuestra directiva, en nuestro ejemplo utilizaremos «Acceso Red Equipos Dominio», y pulsaremos en Siguiente para continuar.
Agregaremos las condiciones que determinarán si esta directiva de red se evalúa en la solicitud de conexión. Pulsamos «Agregar» para especificar nuestras condiciones.
Como veréis podemos aplicar múltiples condiciones en función de nuestras necesidades pero para no desviarnos del ejemplo agregaremos sólo las dos condiciones que paso a explicar a continuación.
En primer lugar seleccionaremos la condición «Tipo de puerto de NAS». Este tipo de condición nos permitirá especificar el tipo de medio usado por el cliente de acceso, es decir, si realiza la conexión por Ethernet, conexiones inalámbricas, etc.. Pulsamos en «Agregar».
En la siguiente ventana marcaremos «Ethernet» y pulsaremos en «Aceptar».
Como segunda condición seleccionaremos «Grupos de Windows» y pulsaremos en «Agregar».
Pulsaremos en «Agregar grupos» y seleccionaremos el grupo «Equipos del dominio».
Con esto ya tendremos agregadas nuestras condiciones. Pulsamos Siguiente para continuar.
Configuraremos si deseamos que todo lo que cumpla con esta directiva se le conceda o no acceso. Para nuestro ejemplo seleccionaremos «Acceso concedido» y pulsaremos en Siguiente.
Definiremos los métodos de autentificación que debe tener la solicitud de conexión para coincidir con esta directiva.
Pulsamos en «Agregar» y para nuestro ejemplo marcaremos «Microsoft: EAP protegido (PEAP)» y «Microsoft: Contraseña segura (EAP-MSCHAP v2)». El resto de opciones las dejamos por defecto y pulsamos en Siguiente para continuar.
Podemos aplicar restricciones las cuales son una serie de parámetros adicionales que podemos definir y que deben coincidir todas con la solicitud de conexión, en caso que no coincidir todas se rechazará la conexión. Podremos aplicar cosas como restricciones de conexión en determinados días y horas, que la petición provenga de una estación de llamada específica, etc..
En nuestro ejemplo no configuraremos ninguna restricción por lo que pulsaremos en Siguiente para continuar.
En la pantalla de configuración de opciones dejaremos las que aparecen por defecto y pulsaremos en Siguiente
Revisamos que todo es correcto y pulsaremos en Finalizar para crear nuestra directiva de red.
Ya sólo nos quedaría irnos a nuestros switch e indicarles que autentifiquen contra nuestro servidor Radius y de esta forma habremos securizado todos los accesos a nuestra red que se realicen vía Ethernet.
En la siguiente entrada os explicaré como realizar la configuración necesaria para securizar los accesos a nuestra red vía Wifi.
Espero os haya servido de utilidad.
Entradas relacionadas
- Windows Server: Servidor de Directivas de Red (NPS) actuando como un Servidor Radius. Parte 1 – Instalación
- Windows Server: Servidor de Directivas de Red (NPS) actuando como un Servidor Radius. Parte 3 – Configuración Directiva Wifi
Me dedico a la Administración de Sistemas y he creado este blog para compartir mis conocimientos con toda la comunidad y así aportar mi granito de arena y ayudar a todo el que lo necesite.