サイトアイコン スグブログ

NPS(ネットワークポリシーサーバー)の設定をします。【windows server2016】

NPS(ネットワークポリシーサーバー)の設定をしていきたいと思います。用途はdot1x認証のRADIUSサーバ用です。今回はPEAPで設定しようと思います。

まだインストールがお済でない方は下記のリンクからどうぞ!

NPS(ネットワークポリシーサーバー)のインストールはこちら

また今回はActive Directory のグループ「Group_1」のユーザ「user_1」を認証する体で行いますので「Active Directory のユーザとコンピュータ」でグループとユーザを作成しておいてください。

ユーザー作成とグループ作成は下記でまとめています。

Active Directory ユーザー作成とグループ作成の記事はこちら

サーバ証明書も必要になりますので、Active Directory 証明書サービスの設定も行っておいてください。

証明書サービスの設定がまだの方は下記のリンクからどうぞ!

Active Directory 証明書サービスの設定はこちら

少し長くなりますが、やる事は下記です。

  1. RADIUSクライアントの設定(スイッチの登録になります)
  2. ネットワークポリシーの設定(どういうポリシーにするのか設定します)

1.RADIUSクライアントの設定

実際にサーバとやり取りをするのはここで登録するスイッチになります。実際通信したいPCとはやり取りしないという事です。では設定をしていきます。

サーバーマネージャーから「ツール」→「ネットワークポリシーサーバー」をクリックしネットワークポリシーサーバーを立ち上げます。

「RADIUSクライアントとサーバー」→「RADIUSクライアント」を右クリックして「新規(N)」をクリックします。

※補足 「共有シークレット」はスイッチのRADIUSサーバで設定したキーです。今回はシスコのスイッチで設定しています。上記の「cisco」になります。

  1. 「このRADIUSクライアントを有効にする」にチェックをいれます。
  2. 「フレンドリ名」に好きな名前を入力します。
  3. 「アドレス」にスイッチのIPアドレスを入力します。
  4. 「手動」にチェックをいれます。
  5. 「共有シークレット」にシークレットキーを入力します。今回は「cisco」
  6. 「共有シークレットの確認にシークレットキーを入力します。今回は「cisco」

上記を記入して「OK」をクリックして登録します。これで一つ目の設定RADIUSクライアントの設定は完了です。

2.ネットワークポリシーの設定

次にネットワークポリシーの設定を行います。次の3つの設定を行います

  1. 条件の設定
  2. 認証方法の設定
  3. 設定の構成

まずはポリシーを作成します。

「「ポリシー」→「ネットワークポリシー」を右クリックし「新規(N)」をクリックします。

「ポリシー名(A)」にポリシーの名前を入力し、「次へ(N)」をクリックします。

1、条件の設定

設定の構成は下記の2つを設定します

  1. NASポートの種類
  2. Windowsグループ

1-1.条件の設定(NASポートの種類)

「追加(D)」をクリックします。

「NASポートの種類」を選択して「追加(D)」をクリックします。

「イーサネット」にチェックを入れて「OK」をクリックします。

「NASポートの種類」が追加されている事を確認してまた「追加(D)」をクリックします。

1-2.条件の設定(Windowsグループ)

「Windowsグループ」を選択して「追加(D)」をクリックします。

「グループの追加(U)」をクリックします。

選択するオブジェクト名を「Active Directory ユーザとコンピュータ」で作成した「Group_1」と入力して「OK」をクリックします。

グループが追加されている事を確認して「OK」をクリックします。

「Windowsグループ」が追加されている事を確認して「次へ(N)」をクリックします。

「アクセスを許可する(A)」を選択して「次へ(N)」をクリックします。

2、認証方法の設定

「EAPの種類(T)」で「追加(D)」をクリックします。

「Microsoft 保護されたEAP(PEAP)」を選択して「OK」をクリックします。

「Microsoft 保護されたEAP(PEAP)」が追加されている事を確認して「編集(E)」をクリックします。

ADの「Active Directory 証明書サービス」で設定した証明書が設定されている事を確認して「OK」をクリックします。ない場合は「Active Directory 証明書サービス」の設定を行ってください。

「Active Directory 証明書サービス」の設定が不明な方は下記からどうぞ!

「Active Directory 証明書サービス」の設定はこちら

・Microsoft」 暗号化認証バージョン 2 (MS-CHAP v2)(V)
・パスワードの期限が切れた後も、ユーザーにパスワードの変更を許可する(H)
・Microsoft」 暗号化認証(MS-CHAP)(Y)
・パスワードの期限が切れた後も、ユーザーにパスワードの変更を許可する(X)

上記4つの項目にチェックを入れて「次へ(N)」をクリックします。

「次へ(N)」をクリックします。

3、設定の構成

設定の構成は下記の3つを設定します

  1. Tunnel-Medium-Type (802.1xを設定)
  2. Tunnel-Pvt-Group-ID (スイッチに設定されるvlan番号を設定)
  3. Tunnel-Type(Virtual LANを設定)

3-1 設定の構成(Tunnel-Medium-Type)

「追加(D)」をクリックします。

「Tunnel-Medium-Type」を選択して「追加(A)」をクリックします。

「追加(A)」をクリックします。

属性値:に「802.1xで一般的に使用する(M)」にチェックをいれて「802 (includes all 802 media plus Ethernet canonical format)」が選択されている事を確認して「OK」をクリックします。

「RADIUS Standard」が存在する事を確認して「OK」をクリックします。

3-2 設定の構成(Tunnel-Pvt-Group-ID)

「Tunnel-Pvt-Group-ID」を選択して「追加(A)」をクリックします。

「追加(A)」をクリックします。

入力する値の形式(E)で「文字列(S)」を選択して承認が通った時にスイッチのポートに設定したいvlanの値を入力し「OK」をクリックします。今回私の環境ではvlan30を設定したいので「30」を入力します。

この値は自身の環境に合わせて設定してください。

「RADIUS Standard」が存在する事を確認して「OK」をクリックします。

3-3 設定の構成(Tunnel-Type)

「「Tunnel-Type」を選択して「追加(A)」をクリックします。

「802.1xで一般的に使用する(M)」にチェックを入れて「Virtual LANs (VLAN)」が選択されている事を確認して「OK」をクリックします。

「RADIUS Standard」が存在する事を確認して「OK」をクリックします。

「閉じる(C)」をクリックします。

設定した3つの項目が存在する事を確認して「次へ(N)」をクリックします。

「ポリシーの条件」「ポリシーの設定」を確認して問題なければ「完了(F)」をクリックします。

ネットワークポリシーサーバーにポリシーが追加されている事を確認する。今回追加したポリシーが一番上にある事も確認しておきます。

これでネットワークポリシーサーバーの設定は完了となります。

最後にエンジニアとして上を目指す為には

エンジニアとして上を目指すのであれば、学習し続ける事です。

資格など取得し、学んで行きましょう。そして転職して大きな会社に就職して、成功しましょう!

モバイルバージョンを終了