====== Microsoft Network Policy Server pro eduroam ======

Tento návod Vás provede instalací Network Policy Serveru na Microsoft Windows Server (2012 a novější) a všech potřebných součástí pro jeho zprovoznění. 

<WRAP center round tip 60%>
Příkazy uvedené v návodu spouštějte vždy v PowerShellu s administrátorskými právy.
</WRAP>

===== Před konfigurací NPS =====

Před samotnou konfigurací NPS je třeba provést všechny tyto prerekvizity pro správnou funkčnost NPS.

  - [[cs:spravce:pripojovani:radius:nps:certificates|Instalace certifikátů]]
  - [[cs:spravce:pripojovani:radius:nps:firewall_ipsec|Konfigurace Firewall a IPsec]]

V návodu jsou použity IPv4 adresy RADIUS serverů. Pokud váš RADIUS server používá IPv6 je nutné použít oproti návodu jiné IPv6 adresy:
{{page>[:cs:spravce:pripojovani:souhrn:frag_flr]}}
{{page>[:cs:spravce:pripojovani:souhrn:frag_monitoring]}}

(To jakou IP používá váš RADIUS server pro spojení s národním RADIUS serverem je definováno v administrativní aplikaci)

\\

===== Instalace NPS =====

<WRAP prewrap><code powershell>Install-WindowsFeature NPAS -IncludeManagementTools</code></WRAP>

\\

===== Network Policy Server =====

|{{ :cs:spravce:pripojovani:radius:nps-01.jpg}} **1.** Pro konfiguraci nebudeme používat ''Průvodce''. \\ Jednotlivé složky nastavíme samostatně v následujících krocích. |

|{{ :cs:spravce:pripojovani:radius:nps-02.jpg}} **2. Registrace NPS v AD** Alternativně lze tento krok provést příkazem: <WRAP prewrap><code powershell>netsh nps add registeredserver vase.domena.cz</code></WRAP> |

| V krocích 3. - 5. vytvoříme šablony pro sdílená tajemství jednotlivých klientů. Ušetříme si tím opakované zadávání tajemství v dalších krocích a s tím spojené případné chyby ve vyplňování. |

|{{ :cs:spravce:pripojovani:radius:nps-03-01.jpg}} **3. Přidání šablony sdíleného tajemství pro národní RADIUSy** \\ ''NPS > Templates Management > Shared Secret > New RADIUS Shared Secret Template'' \\ Správné tajemství pro váš server naleznete v [[https://admin.eduroam.cz/|administrativní aplikaci]] u detailu vašeho RADIUS serveru, položka ''Sdílené tajemství pro národní RADIUS server''. Pro IPSec je secret ''ipsec''. |

|{{ :cs:spravce:pripojovani:radius:nps-04-01.jpg}} **4. Přidání šablony sdíleného tajemství pro monitoring** \\ Správné tajemství pro váš server naleznete v [[https://admin.eduroam.cz/|administrativní aplikaci]] u detaily vašeho RADIUS serveru, položka ''Sdílené tajemství pro monitoring''. |

|{{ :cs:spravce:pripojovani:radius:nps-05-01.jpg}} **5. Přidání šablony sdíleného tajemství pro Controller/AP** \\ Zde vložte/vygenerujte tajemství pro Controller nebo AP. |

| V krocích 6. - 8. definujeme všechny potřebné klienty. Pro náš případ to jsou národní RADIUSy, monitoring a v poslední řadě váš Controller nebo Access Pointy. |

|{{ :cs:spravce:pripojovani:radius:nps-06-01.jpg}} **6. Definice klientů - národní RADIUS** \\ ''NPS > RADIUS Clients and Servers > RADIUS Clients > New RADIUS Client'' \\ Můžete použít předchystanou šablonu Shared Secret pro národní RADIUS. |

|{{ :cs:spravce:pripojovani:radius:nps-07-01.jpg}} **7. Definice klientů - monitoring** \\ Můžete použít předchystanou šablonu Shared Secret pro monitoring. |

|{{ :cs:spravce:pripojovani:radius:nps-08-01.jpg}} **8. Definice klientů - Controller/AP** \\ Místo **X.X.X.X** doplňte IP adresu vašeho Controlleru/AP. Můžete použít předchystaný template Shared Secret pro Controller/AP. |

| V krocích 9. - 11. definujeme vzdálený RADIUS server (národní RADIUSy) pro ověřování požadavků návštěvníků. |

|{{ :cs:spravce:pripojovani:radius:nps-09-01.jpg}} **9. Definice vzdáleného RADIUS serveru 1/3** \\ ''NPS > RADIUS Clients and Servers > Remote RADIUS Server Groups > Add RADIUS Server'' ''Add'' |

|{{ :cs:spravce:pripojovani:radius:nps-10-01.jpg}} **10. Definice vzdáleného RADIUS serveru 2/3** \\ Můžete použít předchystanou šablonu Shared Secret pro národní RADIUS.  |

|{{ :cs:spravce:pripojovani:radius:nps-11-01.jpg}} **11. Definice vzdáleného RADIUS serveru 3/3** \\ Po vyplnění všech polí podle vzoru na obrázku, klikněte dvakrát na ''OK''. |

| V krocích 12. - 23. nastavíme Connection Request Policies. V těcho pravidlech se rozhoduje o tom, jestli daný požadavek bude zpracovaný na tomto RADIUSu (domácí uživatel) nebo bude předán k ověření na národní RADIUS (návštěvník). Pokud se jedná o požadavek domácího uživatele bude se dále tento požadavek zpracovávat v sadě pravidel Network Policies. |

|{{ :cs:spravce:pripojovani:radius:nps-12.jpg}} **12. Přidání Connection Request Policies - domácí realm 1/6** |

|{{ :cs:spravce:pripojovani:radius:nps-13.jpg}} **13. Přidání Connection Request Policies - domácí realm 2/6** \\ Filtrujeme na základě obsahu realmu v uživatelském jméně.  |

|{{ :cs:spravce:pripojovani:radius:nps-14.jpg}} **14. Přidání Connection Request Policies - domácí realm 3/6** \\  Upravte regex na váš realm podle kontextu. [[https://docs.microsoft.com/en-us/windows-server/networking/technologies/nps/nps-crp-reg-expressions|Dokumentace pattern matching syntax]] |

|{{ :cs:spravce:pripojovani:radius:nps-15.jpg}} **15. Přidání Connection Request Policies - domácí realm 4/6** \\ Požadavky domácího realmu ověřujeme na svém RADIUS serveru. |

|{{ :cs:spravce:pripojovani:radius:nps-16.jpg}} **16. Přidání Connection Request Policies - domácí realm 5/6** \\ Nechte pole ''Override network policy authentication settings'' nezaškrtnuté. |

|{{ :cs:spravce:pripojovani:radius:nps-17.jpg}} **17. Přidání Connection Request Policies - domácí realm 6/6** \\ Pokračujte kliknutím na ''Next'' a pak ''Finish''.  |

|{{ :cs:spravce:pripojovani:radius:nps-18.jpg}} **18. Přidání Connection Request Policies - cizí realm 1/4** |

|{{ :cs:spravce:pripojovani:radius:nps-19.jpg}} **19. Přidání Connection Request Policies - cizí realm 2/4** \\ Zvolte podmínku ''User Name'' a vyplňte pole následujím výrazem. <WRAP prewrap><code powershell>@([^@]+)$</code></WRAP> |

|{{ :cs:spravce:pripojovani:radius:nps-20-01.jpg}} **20. Přidání Connection Request Policies - cizí realm 3/4** \\ Požadavky cizího realmu přeposíláme na národní RADIUS pro jejich ověření. Vyberte předchystanou šablonu ''Remote RADIUS Server Group''. |

|{{ :cs:spravce:pripojovani:radius:nps-21.jpg}} **21. Přidání Connection Request Policies - cizí realm 4/4** \\ Pro přiřazení VLAN návštěvníkům přidejte v tomto kroku ''RADIUS Attributes'' pomocí pole ''Add...'' podle vzoru na obrázku. Pouze číslo **300** u parametru ''Tunnel-Pvt-Group-ID'' nahraďte požadovaným číslem vaší VLAN pro návštěvníky. |

|{{ :cs:spravce:pripojovani:radius:nps-22.jpg}} **22. Kontrola Connection Request Policies - domácí realm** \\ Můžete si zkontrolovat podmínky podle vzoru. |

|{{ :cs:spravce:pripojovani:radius:nps-23.jpg}} **23. Kontrola Connection Request Policies - cizí realm** \\ Můžete si zkontrolovat podmínky podle vzoru. |

| V krocích 24. - 38. nastavíme Network Policies. V tomto návodu se opíráme o předpoklad, že na Windows Serveru provozujeme také Active Directory s uživatelskými účty. Ověřujeme požadavky proti existenci účtu v doméně. Tyto účty máme rozdělné na dvě skupiny studenty; a zaměstnance. Díky tomu můžeme každé skupině přiřadit odlišnou VLAN. Dále odlišujeme skupinu, ve které je testovací uživatel. |

|{{ :cs:spravce:pripojovani:radius:nps-24.jpg}} **24. Přidání Network Policies - testovací uživatel 1/5** \\  |

|{{ :cs:spravce:pripojovani:radius:nps-25.jpg}} **25. Přidání Network Policies - testovací uživatel 2/5** \\ Vybereme podmínku ''User Groups'' a přidáme pomocí ''Add..'' skupinu z domény, která obsahuje testovací účet, jehož údaje jste vyplnili v [[https://admin.eduroam.cz/|administrativní aplikaci]] u detailu vašeho realmu pod položkami ''Testovací účet'', ''Heslo testovacího účtu''. |

|{{ :cs:spravce:pripojovani:radius:nps-26.jpg}} **26. Přidání Network Policies - testovací uživatel 3/5** \\ Této skupině povolujeme přístup. |

|{{ :cs:spravce:pripojovani:radius:nps-27.jpg}} **27. Přidání Network Policies - testovací uživatel 4/5** \\ Zde všechny méně bezpečné metody ověření nechte nezaškrtnuté a přidejte EAP Typ tlačítkem ''Add...''. Přidejte ''Microsoft Protected EAP (PEAP)'' a poté ji editujte tlačítkem ''Edit...''. Z rozbalovacího menu vyberte vámi používaný certifikát a EAP Type vyberte ''Secured password (EAP-MSCHAP v2)''. |

|{{ :cs:spravce:pripojovani:radius:nps-28.jpg}} **28. Přidání Network Policies - testovací uživatel 5/5** \\ Přidejte testovacímu účtu VLAN 666. Ta by v české části eduroam neměla nikam vést, tudíž nejsou testovací účty zneužitelné pro běžné připojení. \\ Pro přiřazení VLAN přidejte v tomto kroku ''RADIUS Attributes'' pomocí pole ''Add...'' podle vzoru na obrázku. |

|{{ :cs:spravce:pripojovani:radius:nps-29.jpg}} **29. Přidání Network Policies - studenti 1/4** |

|{{ :cs:spravce:pripojovani:radius:nps-30.jpg}} **30. Přidání Network Policies - studenti 2/4** \\ Vybereme podmínku ''User Groups'' a přidáme pomocí ''Add..'' skupinu z domény, která obsahuje účty studentů. |

|{{ :cs:spravce:pripojovani:radius:nps-31.jpg}} **31. Přidání Network Policies - studenti 3/4** \\ Této skupině povolujeme přístup a pro metody ověření platí stejné nastavení jako pro testovací účet. |

|{{ :cs:spravce:pripojovani:radius:nps-32.jpg}} **32. Přidání Network Policies - studenti 4/4** \\ Pro přiřazení odlišné VLAN studentům přidejte v tomto kroku ''RADIUS Attributes'' pomocí pole ''Add...'' podle vzoru na obrázku. Pouze číslo **100** u parametru ''Tunnel-Pvt-Group-ID'' nahraďte požadovaným číslem vaší VLAN pro studenty. |

|{{ :cs:spravce:pripojovani:radius:nps-33.jpg}} **33. Přidání Network Policies - zaměstnanci 1/3** |

|{{ :cs:spravce:pripojovani:radius:nps-34.jpg}} **34. Přidání Network Policies - zaměstnanci 2/3** \\ Vybereme podmínku ''User Groups'' a přidáme pomocí ''Add..'' skupinu z domény, která obsahuje účty zaměstnanců. \\ Zaměstnancům také povolujeme přístup a pro metody ověření platí stejné nastavení jako pro studenty či testovací účet. |

|{{ :cs:spravce:pripojovani:radius:nps-35.jpg}} **35. Přidání Network Policies - zaměstnanci 3/3** \\ Pro přiřazení odlišné VLAN zaměstnancům přidejte v tomto kroku ''RADIUS Attributes'' pomocí pole ''Add...'' podle vzoru na obrázku. Pouze číslo **200** u parametru ''Tunnel-Pvt-Group-ID'' nahraďte požadovaným číslem vaší VLAN pro zaměstnance. |

|{{ :cs:spravce:pripojovani:radius:nps-36.jpg}} **36. Kontrola Network Policies - testovací účet** \\ Můžete si zkontrolovat podmínky podle vzoru. |

|{{ :cs:spravce:pripojovani:radius:nps-37.jpg}} **37. Kontrola Network Policies - studenti** \\ Můžete si zkontrolovat podmínky podle vzoru. |

|{{ :cs:spravce:pripojovani:radius:nps-38.jpg}} **38. Kontrola Network Policies - zaměstnanci** \\ Můžete si zkontrolovat podmínky podle vzoru. |


\\

===== Záloha konfigurace =====

==== Export nastavení NPS ====

<WRAP prewrap><code powershell>Export-NpsConfiguration -Path "Cesta_k_souboru\zaloha_NPS_yyyy_mm_dd.xml"</code></WRAP>

nebo

<WRAP prewrap><code powershell>netsh nps export filename="Cesta_k_souboru\zaloha_NPS_yyyy_mm_dd.xml" exportPSK=YES</code></WRAP>

\\

==== Import nastavení NPS ====

<WRAP prewrap><code powershell>Import-NpsConfiguration -Path "Cesta_k_souboru\zaloha_NPS_yyyy_mm_dd.xml"</code></WRAP>