RADIUS - 為廠商特定屬性設定 NPS - P2S 使用者群組

下一節描述如何設定 Windows Server 網路原則伺服器 (NPS) 來驗證使用者，以使用虛擬 WAN 點對站 VPN 中用於使用者群組支援的廠商特定屬性 (VSA) 來回應 Access-Request 訊息。 下列步驟假設您已經向 Active Directory 註冊網路原則伺服器。 這些步驟可能會根據您 NPS 伺服器的廠商/版本而不同。

下列步驟描述如何在 NPS 伺服器上設定單一網路原則。 NPS 伺服器會針對符合此原則的所有使用者使用指定的 VSA 來回覆，而此 VSA 的值可以在虛擬 WAN 中的點對站 VPN 閘道上使用。

設定

1. 開啟 [網路原則伺服器] 管理主控台，然後以滑鼠右鍵按一下 [網路原則] -> [新增] 以建立新的網路原則。

   

2. 在精靈中，選取 [已授與存取權]，以確保您的 RADIUS 伺服器可以在驗證使用者之後傳送 Access-Accept 訊息。 然後按 [下一步]。

3. 為原則命名，然後選取 [遠端存取伺服器 (VPN-Dial up)] 作為網路存取伺服器類型。 然後按 [下一步]。

   

4. 在 [指定條件] 頁面上，按一下 [新增] 以選取條件。 接著，選取 [使用者群組] 作為條件，然後按一下 [新增]。 您也可以使用 RADIUS 伺服器廠商所支援的其他網路原則條件。

   

5. 在 [使用者群組] 頁面上，按一下 [新增群組]，然後選取將使用此原則的 Active Directory 群組。 接著，按一下 [確定]，然後再按一次 [確定]。 您將會看到您已於 [使用者群組] 視窗中新增的群組。 按一下 [確定] 以返回 [指定條件] 頁面，然後按一下 [下一步]。

6. 在 [指定存取權限] 頁面上，選取 [授與存取權]，以確保 RADIUS 伺服器可以在驗證使用者之後傳送 Access-Accept 訊息。 然後按 [下一步]。

   

7. 針對 [設定驗證方法]，進行任何必要的變更，然後按一下 [下一步]。

8. 針對 [設定限制]，選取任何必要的設定。 然後按 [下一步]。

9. 在 [進行設定] 頁面上，針對 [RADIUS 屬性]，醒目提示 [廠商特定]，然後按一下 [新增]。

   

10. 在 [新增廠商特定屬性] 頁面上，捲動以選取 [廠商特定]。

    

11. 按一下 [新增] 以開啟 [屬性資訊] 頁面。 然後，按一下 [新增] 以開啟 [廠商特定屬性資訊] 頁面。 選取 [從清單中選取]，然後選取 [Microsoft]。 選取 [是]。它符合。 然後，按一下 [設定屬性]。

    

12. 在 [設定 VSA (RFC 相容)] 頁面上，選取下列值：

    • 廠商指定的屬性號碼：65
    • 屬性格式：十六進位
    • 屬性值：將此值設定為您已在 VPN 伺服器設定上設定的 VSA 值，例如 6a1bd08。 VSA 值應該以 6ad1bd 開頭。

13. 按一下 [確定]，然後再按一次 [確定]，以關閉視窗。 在 [屬性資訊] 頁面上，您將會看到您剛輸入的廠商和值。 按一下 [ 確定 ] 關閉視窗。 然後，按一下 [關閉] 以返回 [進行設定] 頁面。

14. [進行設定] 現在看起來類似下列螢幕擷取畫面：

    

15. 按 [下一步] ，然後按一下 [完成] 。 您可以在 RADIUS 伺服器上建立多個網路原則，根據 Active Directory 群組成員資格或任何其他您想要支援的機制，將不同的 Access-Accept 訊息傳送至虛擬 WAN 點對站 VPN 閘道。

下一步

• 如需使用者群組的詳細資訊，請參閱關於 P2S 使用者 VPN 的使用者群組和 IP 位址集區。

• 若要設定使用者群組，請參閱設定 P2S 使用者 VPN 的使用者群組和 IP 位址集區。