0 R3 B7 ^7 P) c7 e) I+ n' I/ V 环境介绍:! I, f1 b, G6 ~9 [. U9 X- d AD一台,包含CA证书服务 RADIUS成员服务器一台 AP多台6 D, t$ V0 c* w) h; c9 e 客户电脑多台1 J: c/ _7 r/ U# B2 ~ 前提:AD上安装并配置企业域根证书服务,过程略,可以参考下文件:& O% a3 r& M1 A" X http://ericfu.blog.51cto.com/416760/1624791; ~1 Z7 N9 E" W" G0 ^( V 1、将RADIUS服务器加入域,并以域账号登录,开始、运行MMC% p2 f! Q" H7 ` K 5 O; |3 z- I- U 2、添加本机证书管理工具 / F% `# I4 r4 h) j3 w 5 B/ E3 Z& B+ R! C 3、打开个人证书 0 q* U' F* \, x+ ] 4、在空白地方点右键,申请证书; \1 @% Y. U5 J. p ) K% K5 j' s L # F2 t4 L9 s9 }+ B+ Z/ X 5、下一步、下一步5 `# U- N8 R1 | . A0 B9 m ?! [5 C" s# D 9 \/ M5 ^1 [1 z5 R% ?2 c 6、系统自动找到当前可申请的证书类型,如果有多项,请只选择计算机,然后点注册 $ D& B. ]- b$ O7 k. t 8、自动完成证书申请! 9、在证书管理界面可以看到已经生成的证书,正常应该显示为二级证书,上面会有一个企业域的根证书1 J/ S8 H9 u. h. D7 ^# i% G# R 10、添加Server Manager中,添加NAP角色5 C2 ], `5 b, r1 f. n) z$ A( a: r. t0 d$ n % w7 T) K( p* F. D% f' n7 V * N# q* \' R! ? 11、添加完成后,打开NPS管理控制台,在标准配置下,选择:RADIUS Server for 802.1x Wireless or Wired Connections ' A. B& q3 @8 }: R7 {- w7 e % y# e" Y: d- W6 m! P; g" w& \ 12、选择:Secure Wireless Connections 13、添加RADIUS客户端设备,即需要配置RADIUS认证的无线AP 14、输入AP的设备名称,IP地址,AP和RADIUS服务器之前认证需要的密码,后面配置AP时需要,可以重复添加多个AP,完成后下一步' O5 G6 P/ ?! d 7 G( h4 _. [2 l" k+ s% ]) y, p 15、选择认证方式 PEAP + s# |3 K/ N% Z0 x- N! M 16、选择好后,要以点击配置,查看EPAP信息,确认当前使用的证书,是在步骤9中申请的证书! 17、添加允许通过RADIUS认证的用户或组,可以选择自已需要的AD组,这里我选择所有域用户9 f* l+ o! e3 v; M: V l0 d 18、直接下一步、完成! 19、完成后,回到NPS管理窗口主界面,打开NPS\uPolicies\uNetwork Policies,可以看到刚才配置成功的:Secure Wireless Connections,双击打开,进到Constraints,清空红色方框内的选项 20、进到Settings,可以选择删除PPP 21、确认退出,到此Windows端的Radius配置完成,下面有几种AP为例,进行Wi-Fi SSID中的RADIUS认证配置 22、CISCO AP中的配置,打开界面,进到Security\uServer Manager,添加RADIUS服务器,# @# J7 X+ J* |# `1 X5 B Server:即前面配置的Windows 2012 Radius服务器的IP地址 密码:为步骤14中输入的密码,AP的IP和密码要对应! S" _4 a7 S' v4 C# y, p ! H% g; N7 ]8 W% X 4 r: R2 W4 h: G: Q& W5 g f 23、对应的命令如下: radius-server host 10.132.176.10 auth-port 1812 acct-port 1813 key 7 ******** aaa authentication login eap_methods group rad_eap g0 J; o& f6 G) e6 { aaa group server radius rad_eap server 10.132.176.10 auth-port 1812 acct-port 1813 24、在SSID管理中,指定认证方式如下' C- p& M% N# P- n 4 ~# A* u' f! {0 s 25、对应的命令如下: dot11 ssid WiFipeap/ h9 M- R/ P) u4 J3 [: r6 B vlan 180 authentication open eap eap_methods2 J' r% K3 j/ V, R authentication network-eap eap_methods 26、为对应的VLAN开启WEP Encryption9 U7 v* o' y8 G+ Q$ s1 K# e 27、对应的命令如下,如果有多个频率,都需要,刚要分别配置 interface Dot11Radio08 J; K F! t2 [9 ]9 b no ip address& R9 r% B/ B, ]9 w3 c$ v3 N no ip route-cache ! encryption vlan 180 mode wep mandatory) A- D: a5 ~# A !; l0 h3 N. y" c7 n) g 28、其它两种AP的配置方式,方法一样,选在Radius Server中,加入Radius服务器IP,以及步骤14中输入的密码(AP的IP和密码要对应)! 6 n! T2 v1 @3 q6 R% x 6 K* J0 ]: ^+ o" c+ C( ~, {* h 29、选择认证方式为WPA2 With Radius,有些设备上会称为:WPA2 AES/WPA2企业级等8 J" P, v* |9 J ) D/ L% x- F! @( {; Y 30、RADIUS/AP配置完成! |
|
来自: xiaozhuang > 《AD》