En esta ocasión voy a explicaros como configurar una directiva para controlar los accesos vía Wifi mediante nuestro servidor NPS. Sino habéis seguido esta serie de entradas desde el principio os recomiendo que os paséis por la parte 1 y parte 2.
En primer lugar abriremos «Servidor de directivas de redes» que podremos encontrar dentro de las «Herramientas Administrativas» de nuestro servidor.
A continuación tendremos que configurar los clientes Radius así como las directivas que queramos aplicar.
Clientes y servidores Radius
Vamos a configurar los clientes Radius, en nuestro ejemplo los puntos de accesos, que proporcionan acceso a nuestra red vía Wifi.
Desplegaremos «Clientes y servidores Radius», pulsaremos con el botón derecho sobre «Clientes Radius» y seleccionaremos «Nuevo».
Rellenaremos los siguientes campos:
- Nombre descriptivo: Nombre que identificará el cliente radius que estamos configurando.
- Dirección (IP o DNS): Dirección IP o nombre DNS de nuestro cliente radius. En nuestro ejemplo las IP/DNS de nuestro punto de acceso.
- Secreto compartido: Las transacciones entre el cliente y el servidor Radius son autenticadas mediante el uso de un secreto compartido, que nunca se envía por la red. En este apartado tendremos que especificarlo o bien generarlo de forma automática. Es importante que os lo anotéis porque posteriormente os hará falta para realizar la configuración en vuestro punto de acceso.
Una vez tengamos rellena toda la información pulsamos en «Aceptar» y ya tendremos creado nuestro primer cliente Radius. Tendremos que repetir la operación por cada uno de los clientes que queramos añadir.
Creación de Directivas de Red
Vamos a crear las directivas de red que permitan designar quién tiene autorización para conectarse a la red.
Para ello desplegaremos «Directivas», nos posicionaremos sobre «Directivas de red» y con el botón derecho pulsaremos en «Nuevo».
En nuestro ejemplo vamos a configurar una directiva para permitir el acceso a nuestra red a equipos conectados por Wifi y cuyos usuarios formen parte de nuestro dominio.
Ahora mismo estaremos delante del asistente que nos permitirá crear nuestra primera directiva de red por lo que pondremos un nombre descriptivo a nuestra directiva, en nuestro ejemplo utilizaremos «Acceso Red Wifi Usuarios Dominio», y pulsaremos en Siguiente para continuar.
Agregaremos las condiciones que determinarán si esta directiva de red se evalúa en la solicitud de conexión. Pulsamos «Agregar» para especificar nuestras condiciones.
En primer lugar seleccionaremos la condición «Tipo de puerto de NAS». Este tipo de condición nos permitirá especificar el tipo de medio usado por el cliente de acceso, es decir, si realiza la conexión por Ethernet, conexiones inalámbricas, etc.. Pulsamos en «Agregar».
En la siguiente ventana marcaremos «Inalámbrica – IEEE 802.11» y pulsaremos en «Aceptar».
Como segunda condición seleccionaremos «Grupos de usuarios» y pulsaremos en «Agregar».
Pulsaremos en «Agregar grupos» y seleccionaremos el grupo que contenga los usuarios que queramos que tengan acceso a nuestra red vía Wifi. Para nuestro ejemplo seleccionaremos «Usuarios del dominio» para que cualquier usuario que forme parte de nuestro dominio pueda conectarse a nuestra red vía Wifi.
Con esto ya tendremos agregadas nuestras condiciones. Pulsamos Siguiente para continuar.
Configuraremos si deseamos que todo lo que cumpla con esta directiva se le conceda o no acceso. Para nuestro ejemplo seleccionaremos «Acceso concedido» y pulsaremos en Siguiente.
Definiremos los métodos de autentificación que debe tener la solicitud de conexión para coincidir con esta directiva.
Pulsamos en «Agregar» y para nuestro ejemplo marcaremos «Microsoft: EAP protegido (PEAP)» y «Microsoft: Contraseña segura (EAP-MSCHAP v2)». El resto de opciones las dejamos por defecto y pulsamos en Siguiente para continuar.
Podemos aplicar restricciones las cuales son una serie de parámetros adicionales que podemos definir y que deben coincidir todas con la solicitud de conexión, en caso que no coincidir todas se rechazará la conexión. Podremos aplicar cosas como restricciones de conexión en determinados días y horas, que la petición provenga de una estación de llamada específica, etc..
En nuestro ejemplo no configuraremos ninguna restricción por lo que pulsaremos en Siguiente para continuar.
En la pantalla de configuración de opciones dejaremos las que aparecen por defecto y pulsaremos en Siguiente
Revisamos que todo es correcto y pulsaremos en Finalizar para crear nuestra directiva de red.
Ya sólo nos quedaría irnos a nuestro puntos de accesos e indicarles que autentifiquen contra nuestro servidor Radius y de esta forma habremos securizado todos los accesos a nuestra red que se realicen vía Wifi.
Espero os haya servido de utilidad y que con estas nociones que os he dado en estas 3 entradas seáis capaces de crear vuestras propias directivas en función de vuestras necesidades.
Entradas relacionadas
- Windows Server: Servidor de Directivas de Red (NPS) actuando como un Servidor Radius. Parte 1 – Instalación
- Windows Server: Servidor de Directivas de Red (NPS) actuando como un Servidor Radius. Parte 2 – Configuración Directiva Ethernet
Me dedico a la Administración de Sistemas y he creado este blog para compartir mis conocimientos con toda la comunidad y así aportar mi granito de arena y ayudar a todo el que lo necesite.