Хотите узнать, как настроить сервер Apache для использования протокола Radius для проверки подлинности в каталоге Active? В этом уроке мы покажем вам, как проверить подлинность пользователей Apache в базе данных Active Directory с помощью сервера Microsoft NPS.

• Ubuntu 18
• Ubuntu 19
• Ubuntu 20
• Apache 2.4.41
• Windows 2012 R2

Список оборудования

В следующем разделе представлен список оборудования, используемого для создания этого учебника.

Как Amazon Associate, я зарабатываю от квалификационных покупок.

Apache — Связанные Учебник:

На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с Apache.

Учебник — Установка сервера радиуса на Windows

• IP — 192.168.15.10.
• Оперативная система — Windows 2012 R2
• Hostname — TECH-DC01
• Активный домен каталога: TECH.LOCAL

Откройте приложение «Менеджер сервера».

Доступ к меню Управления и нажмите на Добавление ролей и функций.

Windows 2012 add role

Получите доступ к экрану ролей сервера, выберите опцию Сетевой политики и службы доступа.

Нажмите на кнопку «Следующая».

Network Policy and Access Service

На следующем экране нажмите на кнопку Добавить функции.

network policy features

На экране службы ролей нажмите на кнопку Next Button.

network policy server

На следующем экране нажмите на кнопку «Установка».

radius server installation on windows

Вы закончили установку сервера Radius на Windows 2012.

Учебный Радиус Сервер — Активная интеграция каталога

Далее нам нужно создать не менее 1 учетную запись в каталоге Active.

Учетная запись ADMIN будет использоваться для входа на сервер Apache.

На контроллере домена откройте приложение под названием: Активные пользователи каталога и компьютеры

Создайте новую учетную запись в контейнере пользователей.

Zabbix active directory account

Создание новой учетной записи с именем: Админ

Пароль, настроенный для пользователя ADMIN: 123qwe..

Эта учетная запись будет использоваться для проверки подлинности веб-интерфейса Apache.

active directory admin account
zabbix active directory admin properties

Поздравляем, вы создали необходимые учетные записи Active Directory.

Далее нам нужно создать по крайней мере 1 группу в каталоге Active.

На контроллере домена откройте приложение под названием: Активные пользователи каталога и компьютеры

Создайте новую группу внутри контейнера пользователей.

Radius Active directory group

Создайте новую группу под названием: APACHE-USERS.

Члены этой группы смогут получить доступ к защищенном каталогу сервера Apache.

Apache Active directory authentication group

Важно! Добавьте пользователя-админ в качестве члена группы Apache-Users.

Apache Active directory user authentication

Поздравляем, вы создали необходимую группу Active Directory.

Учебный Радиус Сервер — Добавление клиентских устройств

На сервере Radius откройте приложение под названием: Network Policy Server

Вам необходимо авторизовать сервер Radius в базе данных Active.

Нажмите на NPS (LOCAL) и выберите сервер Регистра в опции Active Directory.

authorize radius server on windows

На экране подтверждения нажмите на кнопку OK.

Далее необходимо настроить клиенты Radius.

Клиенты Radius являются устройствами, которым будет разрешено запрашивать аутентификацию с сервера Radius.

Важно! Не путайте клиентов Radius с пользователями Radius.

Нажмите на папку Radius Clients и выберите новый вариант.

Apache radius client NPS

Вот пример клиента, настроенного для подключения сервера Apache к серверу Radius.

Необходимо установить следующую конфигурацию:

Дружелюбное имя к устройству — Добавьте описание на ваш сервер Apache.
IP-адрес устройства — IP-адрес вашего сервера Apache.
Устройство Общий секрет — kamisama123

Общий секрет будет использоваться для разрешения устройства на использование сервера Radius.

Вы закончили конфигурацию клиента Radius.

Учебный Радиус сервера — Настройка сетевой политики

Теперь вам нужно создать политику сети, чтобы позволить аутентификацию.

Нажмите на папку «Сетевые политики» и выберите новый вариант.

Введите имя в сетевой политики и нажмите на кнопку Next.

nps - network policy name

Нажмите на кнопку «Добавить условие».

Мы разрешим членам группы APACHE-USERS аутентифицировать подлинность.

Apache Active directory authentication group

Выберите опцию группы пользователей и нажмите на кнопку Добавить.

nps - user group condition

Нажмите на кнопку Добавление групп и найдите группу APACHE-USERS.

APC UPS - Active directory group

Выберите предоставленную опцию Доступа и нажмите на кнопку Next.

Это позволит членам группы APACHE-USERS проверить подлинность на сервере Radius.

NPS Access granted

На экране «Методы аутентификации» выберите опцию Unencrypted authentication (PAP, SPAP).

Radius server authentication method

Если представлено следующее предупреждение, нажмите на кнопку «Нет».

NPS Warning message

Нажмите на кнопку «Следующая» до отображения сводного экрана.

Проверьте резюме конфигурации сервера Radius и нажмите на кнопку Finish.

pfsense active directory authentication summary

Поздравляю! Вы закончили конфигурацию сервера Radius.

Apache — Тест на аутентификацию радиуса

Установите необходимый пакет.

Copy to Clipboard

Проверьте радиус проверки подлинности в каталоге Active, используя следующие команды:

Copy to Clipboard

Вот вывод команды:

Copy to Clipboard

В нашем примере учетная запись Администратора смогла успешно проверить подлинность на сервере Radius.

Apache — Радиус аутентификации на Active каталог

• IP — 192.168.15.11
Операционная система — Ubuntu 19.10
• Hostname — APACHE

Установите сервер Apache и модуль Radius.

Copy to Clipboard

Включите модуль Apache2 Radius.

Copy to Clipboard

В нашем примере мы собираемся запросить аутентификацию для пользователей, пытающихся получить доступ к каталогу под названием Test.

Создайте каталог под названием Test и дайте пользователю разрешение на www-data в этом каталоге.

Copy to Clipboard

Нанастройка сервера Apache для запроса проверки подлинности Радиуса для пользователей, пытающихся получить доступ к каталогу Test.

Отспособите файл конфигурации Apache 000-default.conf.

Copy to Clipboard

Вот файл 000-default.conf перед нашей конфигурацией.

Copy to Clipboard

Вот файл 000-default.conf после нашей конфигурации.

Copy to Clipboard

Сервер Apache был настроен для запроса проверки подлинности пароля для acess каталог /var/www/html/test.

Веб-сервер Apache был настроен для проверки подлинности учетных записей пользователей с помощью сервера Radius 192.168.15.10.

Перезапустите службу Apache.

Copy to Clipboard

Поздравляю! Вы успешно настроили аутентификацию Apache.

Apache — Тест на аутентификацию радиуса

Откройте браузер и введите IP-адрес вашего веб-сервера Apache.

В нашем примере в браузер был введен следующий URL::

• http://192.168.15.11

Страница Apache по умолчанию будет отображаться.

Apache default page

Откройте браузер и введите IP-адрес вашего веб-сервера плюс /тест.

В нашем примере в браузер был введен следующий URL::

• http://192.168.15.11/test

На экране входа введите имя пользователя Radius и его пароль.

• Username: admin
Пароль: 123qwe..

Apache login form

После успешного входа, вы будете уполномочены получить доступ к каталогу под названием Test.

Apache Radius Authentication test

Поздравляю! Вы настроили проверку подлинности Радиуса на сервере Apache.