Сначала настройка. 15 пользователей рабочей группы, и у нас есть межсетевой экран Watchguard с VPN. В настоящее время используется Watchguard для аутентификации пользователей для доступа к VPN, но начальник хочет использовать server 2008 в качестве сервера аутентификации. Watchguard позволяет реле аутентифицироваться через RADIUS или AD. У меня вопрос: можем ли мы использовать RADIUS в качестве сервера аутентификации без служб AD? (они хотят сохранить настройку рабочей группы без контроллера домена)
Не беспокойтесь о сервере 2008 года, если вы используете его только для RADIUS. Это пустая трата денег. Если вы не хотите / не нуждаетесь в интеграции AD, просто установите Linux / BSD с помощью FreeRADIUS или используйте встроенный механизм аутентификации Watchguard (у них он есть, верно?).
Добавление Windows Server просто для аутентификации VPN не имеет большого смысла.
Почему бы не сэкономить немного долларов и немного головной боли и просто использовать unix-бокс и запустить на нем сервер radius. Создайте локальные учетные записи unix для всех, и они смогут проходить аутентификацию через радиус для VPN. Это работает и ничего не стоит. Это было бы более безопасно, так как вы можете полностью заблокировать его из сети, если хотите. По крайней мере, пока вам не понадобится обновление.
В противном случае, если на сервере 2008 будет работать IAS, вы можете использовать его как RADIUS-сервер. У нас это настроено с 2003 года, но это DC. Хотя, наверное, сработает.
Если я правильно понимаю, что у вас есть локальные пользователи на машине Server 2008, и вы хотите пройти аутентификацию с использованием этих учетных записей, я никогда не видел хорошего способа сделать это. Просто из любопытства, почему бы не использовать службы AD?