Konfigurieren der RADIUS-Authentifizierung auf NPS

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

In diesem Thema wird beschrieben, wie ein RADIUS-Server mit Netzwerkrichtlinienserver (Network Policy Server, NPS) für die Clientauthentifizierung durch Forefront TMG konfiguriert wird. Beachten Sie vor dem Beginn die Sicherheitsaspekte, die in Übersicht über die Authentifizierung in Forefront TMG beschrieben werden.

Das Einrichten einer RADIUS-Authentifizierung mit NPS umfasst die folgenden Schritte:

  1. Installieren von NPS. NPS wird als Windows-Komponente installiert. Weitere Informationen finden Sie unter Network Policy Server Infrastructure (Netzwerkrichtlinienserver-Infrastruktur, möglicherweise auf Englisch verfügbar) (http://go.microsoft.com/fwlink/?LinkID=107958).

  2. Konfigurieren von Forefront TMG als RADIUS-Client in NPS

  3. Konfigurieren des RADIUS-Servers in der Forefront TMG-Verwaltungskonsole Vergewissern Sie sich, dass die Einstellungen hier dieselben sind, wie die von Ihnen beim Konfigurieren von Forefront TMG als RADIUS-Client angegebenen Einstellungen. Beachten Sie, dass die angegebenen RADIUS-Servereinstellungen auf alle Regeltypen angewendet werden, die die RADIUS-Authentifizierung verwenden.

  4. Ändern der Forefront TMG-Systemrichtlinienregel bei Bedarf Die Regel nimmt an, dass sich der RADIUS-Server im internen Standardnetzwerk befindet und dieser RADIUS-Protokolle vom lokalen Hostnetzwerk (dem Forefront TMG-Computer) zum internen Netzwerk zulässt. Ändern Sie die Regel, falls der Netzwerkspeicherort falsch ist oder Sie die Adresse des RADIUS-Servers angeben möchten, anstatt das gesamte interne Netzwerk zu verwenden. Die Regel ist standardmäßig aktiviert.

  1. Klicken Sie auf dem Computer, auf dem NPS installiert ist, auf Start und dann auf Ausführen. Geben Sie nps.msc ein, und drücken Sie dann die EINGABETASTE. Lassen Sie die Verwaltungskonsole für die folgenden NPS-Konfigurationsaufgaben geöffnet.

  2. Erweitern Sie in der Konsolenstruktur der NPS-Verwaltung RADIUS-Clients und -Server, klicken Sie mit der rechten Maustaste auf RADIUS-Clients, und klicken Sie anschließend auf Neuer RADIUS-Client.

  3. Geben Sie im Dialogfeld Neuer RADIUS-Client im Feld Angezeigter Name eine Beschreibung für Forefront TMG ein. Geben Sie im Feld Adresse (IP oder DNS) die IP-Adresse von Forefront TMG ein.

  4. Geben Sie im Feld Gemeinsamer geheimer Schlüssel den gemeinsamen geheimen Schlüssel ein, den Sie in Konfigurieren von Forefront TMG als RADIUS-Client erstellt haben.

  5. Geben Sie im Feld Gemeinsamen geheimen Schlüssel bestätigen den gemeinsamen geheimen Schlüssel erneut ein.

  6. Aktivieren Sie das Kontrollkästchen RADIUS-Client ist NAP-fähig, und klicken Sie dann auf OK.

  1. Klicken Sie in der Konsolenstruktur der Forefront TMG-Verwaltung auf den Knoten Firewallrichtlinie.

  2. Klicken Sie im Bereich Aufgaben auf Clientzugriff konfigurieren.

  3. Wählen Sie auf der Registerkarte Netzwerke das Netzwerk aus, in dem sich der RADIUS-Server befindet, und klicken Sie anschließend auf Konfigurieren.

  4. Klicken Sie auf der Registerkarte Webproxy auf Authentifizierung.

  5. Löschen Sie unter Methode alle ausgewählten Methoden, und wählen Sie anschließend RADIUS aus.

  6. Klicken Sie auf RADIUS-Server und dann auf Hinzufügen.

  7. Geben Sie unter Servername den Namen oder die IP-Adresse des RADIUS-Servers ein, der zur Authentifizierung verwendet wird.

  8. Klicken Sie auf Ändern, und geben Sie anschließend unter Neuer Schlüssel und Schlüssel bestätigen den gemeinsamen geheimen Schlüssel ein, der für die Kommunikation zwischen dem Forefront TMG-Server und dem RADIUS-Server verwendet wird. Vergewissern Sie sich, dass Sie denselben geheimen Schlüssel angeben, den Sie beim Konfigurieren von Forefront TMG als Client auf dem RADIUS-Server eingegeben haben.

  9. Geben Sie unter Authentifizierungsport den UDP-Port an, der vom RADIUS-Server für eingehende RADIUS-Authentifizierungsanforderungen verwendet wird. Der Standardwert von 1812 basiert auf RFC 2138.

  10. Geben Sie unter Zeitlimit (Sekunden) den Zeitraum (in Sekunden) ein, den Forefront TMG auf eine Antwort vom RADIUS-Server wartet, bevor ein anderer Server verwendet wird.

  11. Klicken Sie fünfmal auf OK, um alle Fenster zu schließen, und anschließend auf der Leiste Änderungen übernehmen auf die Schaltfläche Übernehmen.

  1. Klicken Sie in der Konsolenstruktur der Forefront TMG-Verwaltung auf den Knoten Firewallrichtlinie und anschließend im Bereich Aufgaben auf Systemrichtlinie bearbeiten.

  2. Klicken Sie in der Liste Konfigurationsgruppen im Abschnitt Authentifizierungsdienste auf RADIUS.

  3. Stellen Sie sicher, dass auf der Registerkarte Allgemein die Option Diese Konfigurationsgruppe aktivieren ausgewählt ist.

  4. Wählen Sie auf der Registerkarte Nach die Option Intern aus, und klicken Sie dann auf Entfernen. Klicken Sie auf Hinzufügen, und geben Sie anschließend das Netzwerkobjekt an, das den RADIUS-Server darstellt.

 
Anzeigen: