Möchten Sie erfahren, wie Sie einen Apache-Server so konfigurieren, dass er das Radius-Protokoll zur Authentifizierung im Active Directory verwendet? In diesem Tutorial zeigen wir Ihnen, wie Sie die Apache-Benutzer in der Active Directory-Datenbank mithilfe des Microsoft NPS-Servers authentifizieren.

• Ubuntu 18
• Ubuntu 19
• Ubuntu 20
• Apache 2.4.41
• Windows 2012 R2

Geräteliste

Im folgenden Abschnitt wird die Liste der Geräte aufgeführt, die zum Erstellen dieses Tutorials verwendet wurden.

Als Amazon Associate verdiene ich mit qualifizierenden Käufen.

Tutorial - Radius Server Installation unter Windows

• IP - 192.168.15.10.
• Operacional System - Windows 2012 R2
• Hostname - TECH-DC01
• Active Directory-Domäne: TECH.LOCAL

Öffnen Sie die Server Manager-Anwendung.

Greifen Sie auf das Menü Verwalten zu und klicken Sie auf Rollen und Funktionen hinzufügen.

Windows 2012 add role

Greifen Sie auf den Bildschirm Serverrollen zu, wählen Sie die Option Netzwerkrichtlinie und Zugriffsdienst aus.

Klicken Sie auf die Schaltfläche Weiter.

Network Policy and Access Service

Klicken Sie auf dem folgenden Bildschirm auf die Schaltfläche Funktionen hinzufügen.

network policy features

Klicken Sie auf dem Rollendienstbildschirm auf die Schaltfläche Weiter.

network policy server

Klicken Sie auf dem nächsten Bildschirm auf die Schaltfläche Installieren.

radius server installation on windows

Sie haben die Radius-Serverinstallation unter Windows 2012 abgeschlossen.

Tutorial Radius Server - Active Directory Integration

Als Nächstes müssen wir mindestens 1 Konto im Active Directory.

Das ADMIN-Konto wird verwendet, um sich auf dem Apache-Server anzumelden.

Öffnen Sie auf dem Domänencontroller die Anwendung mit dem Namen: Active Directory-Benutzer und -Computer

Erstellen Sie ein neues Konto im Container Benutzer.

Zabbix active directory account

Erstellen Eines neuen Kontos mit dem Namen: admin

Kennwort für den ADMIN-Benutzer konfiguriert: 123qwe..

Dieses Konto wird verwendet, um sich auf der Apache-Weboberfläche zu authentifizieren.

active directory admin accountzabbix active directory admin properties

Herzlichen Glückwunsch, Sie haben die erforderlichen Active Directory-Konten erstellt.

Als Nächstes müssen wir mindestens eine Gruppe im Active Directory erstellen.

Öffnen Sie auf dem Domänencontroller die Anwendung mit dem Namen: Active Directory-Benutzer und -Computer

Erstellen Sie eine neue Gruppe im Container Benutzer.

Grafana active directory group

Erstellen Sie eine neue Gruppe mit dem Namen: APACHE-USERS.

Mitglieder dieser Gruppe können auf das geschützte Verzeichnis des Apache-Servers zugreifen.

Apache Active directory authentication group

Wichtig! Fügen Sie den Admin-Benutzer als Mitglied der Apache-Users-Gruppe hinzu.

Apache Active directory user authentication

Herzlichen Glückwunsch, Sie haben die erforderliche Active Directory-Gruppe erstellt.

Tutorial Radius Server - Client-Geräte hinzufügen

Öffnen Sie auf dem Radius-Server die Anwendung mit dem Namen: Netzwerkrichtlinienserver

Sie müssen den Radius-Server in der Active Directory-Datenbank autorisieren.

Klicken Sie mit der rechten Maustaste auf NPS(LOCAL) und wählen Sie die Option Server in Active Directory registrieren aus.

authorize radius server on windows

Klicken Sie auf dem Bestätigungsbildschirm auf die Schaltfläche OK.

Als Nächstes müssen Sie Radius-Clients konfigurieren.

Radiusclients sind Geräte, die die Authentifizierung vom Radius-Server anfordern dürfen.

Wichtig! Verwechseln Sie Radius-Clients nicht mit Radius-Benutzern.

Klicken Sie mit der rechten Maustaste auf den Ordner Radius Clients und wählen Sie die Option Neu aus.

Apache radius client NPS

Hier ist ein Beispiel für einen Client, der so konfiguriert ist, dass ein Apache-Server eine Verbindung mit dem Radius-Server herstellen kann.

Sie müssen die folgende Konfiguration festlegen:

• Freundlicher Name zum Gerät - Fügen Sie Ihrem Apache-Server eine Beschreibung hinzu.
• Geräte-IP-Adresse - IP-Adresse Ihres Apache-Servers.
• Gerät Shared Secret - kamisama123

Der geheime Schlüssel "Gemeinsam genutzt" wird verwendet, um das Gerät zur Verwendung des Radius-Servers zu autorisieren.

Sie haben die Radius-Clientkonfiguration abgeschlossen.

Tutorial Radius Server - Konfigurieren einer Netzwerkrichtlinie

Jetzt müssen Sie eine Netzwerkpolitik erstellen, um die Authentifizierung zu ermöglichen.

Klicken Sie mit der rechten Maustaste auf den Ordner Netzwerkrichtlinien, und wählen Sie die Option Neu aus.

Geben Sie einen Namen für die Netzwerkrichtlinie ein, und klicken Sie auf die Schaltfläche Weiter.

nps - network policy name

Klicken Sie auf die Schaltfläche Bedingung hinzufügen.

Wir werden es Mitgliedern der APACHE-USERS-Gruppe ermöglichen, sich zu authentifizieren.

Apache Active directory authentication group

Wählen Sie die Option Benutzergruppe aus und klicken Sie auf die Schaltfläche Hinzufügen.

nps - user group condition

Klicken Sie auf die Schaltfläche Gruppen hinzufügen und suchen Sie die GRUPPE APACHE-USERS.

APC UPS - Active directory group

Wählen Sie die Option Gewährte Access aus, und klicken Sie auf die Schaltfläche Weiter.

Dadurch können sich Mitglieder der GRUPPE APACHE-USERS auf dem Radius-Server authentifizieren.

NPS Access granted

Wählen Sie auf dem Bildschirm Authentifizierungsmethoden die Option Unverschlüsselte Authentifizierung (PAP, SPAP) aus.

Radius server authentication method

Wenn die folgende Warnung angezeigt wird, klicken Sie auf die Schaltfläche Nein.

NPS Warning message

Klicken Sie auf die Schaltfläche Weiter, bis der Zusammenfassungsbildschirm angezeigt wird.

Überprüfen Sie die Konfigurationszusammenfassung des Radius-Servers, und klicken Sie auf die Schaltfläche Fertig stellen.

pfsense active directory authentication summary

Herzlichen glückwunsch! Sie haben die Radius-Serverkonfiguration abgeschlossen.

Apache - Radius-Authentifizierungstest

Installieren Sie das erforderliche Paket.

Copy to Clipboard

Testen Sie die Radiusauthentifizierung im Active Directory mit den folgenden Befehlen:

Copy to Clipboard

Hier ist die Befehlsausgabe:

Copy to Clipboard

In unserem Beispiel konnte sich das Admin-Konto erfolgreich auf dem Radius-Server authentifizieren.

Apache - Radius-Authentifizierung im Active Directory

• IP - 192.168.15.11
• Betriebssystem - Ubuntu 19.10
• Hostname - APACHE

Installieren Sie den Apache-Server und das Radius-Modul.

Copy to Clipboard

Aktivieren Sie das Apache2-Radius-Modul.

Copy to Clipboard

In unserem Beispiel fordern wir die Authentifizierung für Benutzer an, die versuchen, auf ein Verzeichnis mit dem Namen Test zuzugreifen.

Erstellen Sie ein Verzeichnis mit dem Namen Test, und erteilen Sie dem Benutzer mit dem Namen www-data die Berechtigung zu diesem Verzeichnis.

Copy to Clipboard

Konfigurieren Sie den Apache-Server so, dass die Radius-Authentifizierung Benutzern, die auf das Testverzeichnis zugreifen möchten, die Radius-Authentifizierung anfordert.

Bearbeiten Sie die Apache 000-default.conf-Konfigurationsdatei.

Copy to Clipboard

Hier ist die 000-default.conf-Datei vor unserer Konfiguration.

Copy to Clipboard

Hier ist die 000-default.conf-Datei nach unserer Konfiguration.

Copy to Clipboard

Der Apache-Server wurde so konfiguriert, dass er die Kennwortauthentifizierung anfordert, um das Verzeichnis /var/www/html/test zu erhalten.

Der Apache-Webserver wurde so konfiguriert, dass Benutzerkonten mit dem Radius-Server 192.168.15.10 authentifiziert werden.

Starten Sie den Apache-Dienst neu.

Copy to Clipboard

Herzlichen glückwunsch! Sie haben die Apache-Authentifizierung erfolgreich konfiguriert.

Apache - Radius-Authentifizierungstest

Öffnen Sie Ihren Browser und geben Sie die IP-Adresse Ihres Apache-Webservers ein.

In unserem Beispiel wurde die folgende URL im Browser eingegeben:

• http://192.168.15.11

Die Apache-Standardseite wird angezeigt.

Apache default page

Öffnen Sie Ihren Browser und geben Sie die IP-Adresse Ihres Webservers plus /test ein.

In unserem Beispiel wurde die folgende URL im Browser eingegeben:

• http://192.168.15.11/test

Geben Sie auf dem Anmeldebildschirm einen Radius-Benutzernamen und dessen Kennwort ein.

• Benutzername: admin
• Passwort: 123qwe..

Apache login form

Nach einer erfolgreichen Anmeldung können Sie auf das Verzeichnis Mit dem Namen Test zugreifen.

Apache Radius Authentication test

Herzlichen glückwunsch! Sie haben die Radius-Authentifizierung auf einem Apache-Server konfiguriert.