基于Windows 2012R2 AD RADIUS无线用户身份认证

xiaozhuang 2015-12-21

展开全文

　　0 R3 B7 ^7 P) c7 e) I+ n' I/ V
　　环境介绍：! I, f1 b, G6 ~9 [. U9 X- d
　　AD一台，包含CA证书服务
　　RADIUS成员服务器一台
　　AP多台6 D, t$ V0 c* w) h; c9 e
　　客户电脑多台1 J: c/ _7 r/ U# B2 ~
　　前提：AD上安装并配置企业域根证书服务，过程略，可以参考下文件：& O% a3 r& M1 A" X
　　http://ericfu.blog.51cto.com/416760/1624791; ~1 Z7 N9 E" W" G0 ^( V
　　1、将RADIUS服务器加入域，并以域账号登录，开始、运行MMC% p2 f! Q" H7 ` K
　　

5 O; |3 z- I- U
　　2、添加本机证书管理工具
　　

　　/ F% `# I4 r4 h) j3 w

5 B/ E3 Z& B+ R! C
　　

　　3、打开个人证书
　　0 q* U' F* \, x+ ]

　　4、在空白地方点右键，申请证书; \1 @% Y. U5 J. p
　　) K% K5 j' s  L
# F2 t4 L9 s9 }+ B+ Z/ X
　　5、下一步、下一步5 `# U- N8 R1 |
　　. A0 B9 m  ?! [5 C" s# D
9 \/ M5 ^1 [1 z5 R% ?2 c
　　6、系统自动找到当前可申请的证书类型，如果有多项，请只选择计算机，然后点注册
　　$ D& B. ]- b$ O7 k. t

　　8、自动完成证书申请!
　　

　　9、在证书管理界面可以看到已经生成的证书，正常应该显示为二级证书，上面会有一个企业域的根证书1 J/ S8 H9 u. h. D7 ^# i% G# R
　　

　　10、添加Server Manager中，添加NAP角色5 C2 ], `5 b, r1 f. n) z$ A( a: r. t0 d$ n
　　% w7 T) K( p* F. D% f' n7 V
* N# q* \' R! ?
　　11、添加完成后，打开NPS管理控制台，在标准配置下，选择：RADIUS Server for 802.1x Wireless or Wired Connections
　　' A. B& q3 @8 }: R7 {- w7 e
% y# e" Y: d- W6 m! P; g" w& \
　　12、选择：Secure Wireless Connections
　　

　　13、添加RADIUS客户端设备，即需要配置RADIUS认证的无线AP
　　

　　14、输入AP的设备名称，IP地址，AP和RADIUS服务器之前认证需要的密码，后面配置AP时需要，可以重复添加多个AP，完成后下一步' O5 G6 P/ ?! d
　　7 G( h4 _. [2 l" k+ s% ]) y, p

　　15、选择认证方式 PEAP
　　+ s# |3 K/ N% Z0 x- N! M

　　16、选择好后，要以点击配置，查看EPAP信息，确认当前使用的证书，是在步骤9中申请的证书!
　　

　　17、添加允许通过RADIUS认证的用户或组，可以选择自已需要的AD组，这里我选择所有域用户9 f* l+ o! e3 v; M: V  l0 d
　　

　　18、直接下一步、完成!
　　

　　

　　19、完成后，回到NPS管理窗口主界面，打开NPS\uPolicies\uNetwork Policies，可以看到刚才配置成功的：Secure Wireless Connections，双击打开，进到Constraints，清空红色方框内的选项
　　

　　20、进到Settings，可以选择删除PPP
　　

　　21、确认退出，到此Windows端的Radius配置完成，下面有几种AP为例，进行Wi-Fi SSID中的RADIUS认证配置
　　22、CISCO AP中的配置，打开界面，进到Security\uServer Manager，添加RADIUS服务器，# @# J7 X+ J* |# `1 X5 B
　　Server：即前面配置的Windows 2012 Radius服务器的IP地址
　　密码：为步骤14中输入的密码，AP的IP和密码要对应!  S" _4 a7 S' v4 C# y, p
　　! H% g; N7 ]8 W% X
4 r: R2 W4 h: G: Q& W5 g  f
　　23、对应的命令如下：
　　radius-server host 10.132.176.10 auth-port 1812 acct-port 1813 key 7 ********
　　aaa authentication login eap_methods group rad_eap  g0 J; o& f6 G) e6 {
　　aaa group server radius rad_eap
　　server 10.132.176.10 auth-port 1812 acct-port 1813
　　24、在SSID管理中，指定认证方式如下' C- p& M% N# P- n
　　4 ~# A* u' f! {0 s

　　25、对应的命令如下：
　　dot11 ssid WiFipeap/ h9 M- R/ P) u4 J3 [: r6 B
　　vlan 180
　　authentication open eap eap_methods2 J' r% K3 j/ V, R
　　authentication network-eap eap_methods
　　26、为对应的VLAN开启WEP Encryption9 U7 v* o' y8 G+ Q$ s1 K# e
　　

　　27、对应的命令如下，如果有多个频率，都需要，刚要分别配置
　　interface Dot11Radio08 J; K  F! t2 [9 ]9 b
　　no ip address& R9 r% B/ B, ]9 w3 c$ v3 N
　　no ip route-cache
　　!
　　encryption vlan 180 mode wep mandatory) A- D: a5 ~# A
　　!; l0 h3 N. y" c7 n) g
　　28、其它两种AP的配置方式，方法一样，选在Radius Server中，加入Radius服务器IP，以及步骤14中输入的密码(AP的IP和密码要对应)!
　　6 n! T2 v1 @3 q6 R% x

　　
6 K* J0 ]: ^+ o" c+ C( ~, {* h
　　29、选择认证方式为WPA2 With Radius，有些设备上会称为：WPA2 AES/WPA2企业级等8 J" P, v* |9 J
　　
) D/ L% x- F! @( {; Y
　　

　　30、RADIUS/AP配置完成!