Настройка NPS для аутентификации Winbox Mikrotik в Active Directory

Оглавление

Разобьем статью на 2 этапа , настроим NPS вторая будет настройка Miktorik для входа через Radius. В следующей статье я опишу как можно интегрировать Multifactor как 2FA .

Настройка NPS на Windows Serve 2019

Выбираем сервер, на котором будет разворачиваться роль. Microsoft не рекомендует делать это на контроллере домена

Запускаем любым удобным способом админку NPS. Например, через менеджер серверов.

Регистрируем сервер NPS в AD.

Создание Radius клиента

Для того, чтобы сервер знал с какими устройствами налаживать общение нужно добавить их в RADIUS Clients.

Для примера, добавляю свой MikroTik wAP. Friendly name установил как Identity на устройстве и IP заданный на его единственном проводном интерфейсе. Для того, чтобы устройство смогло авторизоваться на сервере нужно ввести ключ. Он создается на сервере либо вручную, либо генерируется автоматически. К примеру 12345

Устройство добавлено.

Создание политики подключения

Подбираем подходящее название для политики.

Определяем наше устройство с которым будет работать сервер.

Назначаем имя

Жмем Next

Дальнейшая настройка политики.

Тип Шифрования ms-chap можно отключить, как устарешвий. Оставить только MS_CHAP_V2
Однако есть нюанс, MS_CHAP_V2 работает только с RouterOS начиная с версии 6.43, если у вас версия моложе — или обновляйтесь, или используйте в политике шифрование PAP.
Оставте все как на скриншоте

На данном этапе я не стал ничего трогать.

Создание сетевой политики

Назовем её Routers.

Как и прежде, нужно определить условия.

В AD у меня создан пользователь alukashin состоящий в группе 2FA. Выбираю условие Windows Group исходя из того, чтобы все администраторы домена смогли получать доступ к MikroTik.

Разрешительное или запретительное правило. Мы будем разрешать всем, кто попал под условие.

Способ аутенификации выбираем аналогичный прошлой политике.

Исходя из необходимости можно настроить дополнительные настройки. Я оставил без изменений.

Далее необходимо выбрать что будет отправляться на сервер.

Итоговые настройки политики сети.

Жмем Finish

Учетная запись для подключения к Radius

Чтобы учетная запись проверялась через NPS в AD у этого пользователя на вкладке Dial-in в разделе Network Access Permission должен быть отмечен пункт Control access through NPS Network Policy.

Для возможности авторизовываться через WinBox нужно включить обратимое шифрование в профиле пользователя.

Добавление сервера авторизации на MikroTik

В System/Users и на вкладке Users включаем пункт Use RADIUS. По умолчанию выбран доступ только для чтения.

присвоим System/Identity равным router1

Открываем настройки Radius и добавляем новый сервер. Address — адрес сервера на котором установлен NPS. Timeout — 1500 чтобы успеть нажать в приложении Мультифактор , это мы будем делать дальше.