Я настроил наш клиент RADIUS (pfSense) и NPS Windows 2008 для аутентификации через RADIUS. Настройка представляет собой портал авторизации, на котором пользователи LAN проходят аутентификацию с помощью Active Directory.
Просматривая наши журналы событий, я вижу следующую ошибку после проверки входа в систему.
Сервер сетевой политики отказал пользователю в доступе.
Contact the Network Policy Server administrator for more information.
User:
Security ID: CAMPUS\testuser
Account Name: testuser
Account Domain: CAMPUS
Fully Qualified Account Name: campus.mydomain.local/Users/Administrator
Client Machine:
Security ID: NULL SID
Account Name: -
Fully Qualified Account Name: -
OS-Version: -
Called Station Identifier: -
Calling Station Identifier: -
NAS:
NAS IPv4 Address: 0.0.0.0
NAS IPv6 Address: -
NAS Identifier: pfsense.campus.mydomain.local
NAS Port-Type: -
NAS Port: -
RADIUS Client:
Client Friendly Name: pfSense
Client IP Address: 192.168.1.6
Authentication Details:
Proxy Policy Name: Use Windows authentication for all users
Network Policy Name: Connections to other access servers
Authentication Provider: Windows
Authentication Server: AGDC01.campus.mydomain.local
Authentication Type: PAP
EAP Type: -
Account Session Identifier: -
Reason Code: 65
Reason: The connection attempt failed because network access permission for the user account was denied. To allow network access, enable network access permission for the user account, or, if the user account specifies that access is controlled through the matching network policy, enable network access permission for that network policy.
Это не зависит от пользователя, с которым я аутентифицируюсь. В AD наши пользователи настроены на «Контроль доступа с помощью сетевой политики NPS». Я с нетерпением жду помощи, потому что я очень застрял.
Я уверен, что я не первый, кто столкнулся с этим, поэтому отвечаю на свой вопрос. В NPS необходимо изменить следующее, и проблема будет решена.
В NPS goto:
Это устранило проблему и на всякий случай упорядочило политики следующим образом: