无线认证服务器搭建 基于Windows R2 AD RADIUS无线认证

本帖最后由 tdfd 于 -4-22 08:29 编辑

环境介绍：

AD一台，包含CA证书服务

RADIUS成员服务器一台

AP多台

客户电脑多台

前提：AD上安装并配置企业域根证书服务，过程略，可以参考下文件：

/thread-59380-1-1.html

1、将RADIUS服务器加入域，并以域账号登录，开始、运行MMC

wKiom1U2cqyh27XRAADu8STlCWk057.jpg (29.61 KB, 下载次数: 6)

-4-22 08:27 上传

2、添加本机证书管理工具

wKioL1U2dAiCvg6bAADpLslPd1A554.jpg (31.16 KB, 下载次数: 3)

-4-22 08:27 上传

wKioL1U2dAmx0CLPAAGTcQueag0261.jpg (53.41 KB, 下载次数: 5)

-4-22 08:27 上传

wKiom1U2cq6jVWuQAAEjoJnLFIQ911.jpg (35.87 KB, 下载次数: 4)

-4-22 08:27 上传

3、打开个人证书

wKiom1U2cq-Ch22pAAD8bpiQfpI118.jpg (37.23 KB, 下载次数: 5)

-4-22 08:27 上传

4、在空白地方点右键，申请证书

wKiom1U2crDAubOKAAFAiXpjigA596.jpg (45.94 KB, 下载次数: 5)

-4-22 08:27 上传

5、下一步、下一步

wKioL1U2dAziN6nUAAEMlhb3PzM092.jpg (35.73 KB, 下载次数: 5)

-4-22 08:27 上传

6、系统自动找到当前可申请的证书类型，如果有多项，请只选择计算机，然后点注册

wKioL1U2dA2RuWhSAADteNFQKtE563.jpg (32.18 KB, 下载次数: 7)

-4-22 08:27 上传

8、自动完成证书申请！

wKioL1U2dA6TaZiyAADqTbVFp7o242.jpg (32.76 KB, 下载次数: 3)

-4-22 08:27 上传

9、在证书管理界面可以看到已经生成的证书，正常应该显示为二级证书，上面会有一个企业域的根证书

wKioL1U2dA6zZirzAAEUfsltKKo923.jpg (39.76 KB, 下载次数: 6)

-4-22 08:27 上传

10、添加Server Manager中，添加NAP角色

wKioL1U2dA_QS2h6AAFFSLgFkPA683.jpg (45.04 KB, 下载次数: 6)

-4-22 08:27 上传

11、添加完成后，打开NPS管理控制台，在标准配置下，选择：RADIUS Server for 802.1x Wireless or Wired Connections

wKioL1U2dBDxaNCnAAFmrDEOwiI955.jpg (49.98 KB, 下载次数: 4)

-4-22 08:27 上传

12、选择：Secure Wireless Connections

wKioL1U2dBGj4fxMAAHxOTAEbvk956.jpg (58.11 KB, 下载次数: 7)

-4-22 08:27 上传

13、添加RADIUS客户端设备，即需要配置RADIUS认证的无线AP

wKioL1U2dBLgE2rhAAFiVhXGlWk457.jpg (44.49 KB, 下载次数: 6)

-4-22 08:27 上传

14、输入AP的设备名称，IP地址，AP和RADIUS服务器之前认证需要的密码，后面配置AP时需要，可以重复添加多个AP，完成后下一步

wKioL1U2dBPR-6k0AAIOLzgjq7k910.jpg (65.51 KB, 下载次数: 6)

-4-22 08:27 上传

15、选择认证方式 PEAP

wKioL1U2dBSBC0LAAAEvGS4Ffb0854.jpg (39.97 KB, 下载次数: 8)

-4-22 08:27 上传

16、选择好后，要以点击配置，查看EPAP信息，确认当前使用的证书，是在步骤9中申请的证书！

wKioL1U2dBTSQ2QuAAGebAc6Fz4876.jpg (49.04 KB, 下载次数: 8)

-4-22 08:27 上传

17、添加允许通过RADIUS认证的用户或组，可以选择自已需要的AD组，这里我选择所有域用户

wKioL1U2dBXDBC_-AAFR0N_cttU382.jpg (42.43 KB, 下载次数: 9)

-4-22 08:27 上传

18、直接下一步、完成！

wKiom1U2crryNmDOAAHn0bnITPc641.jpg (56.71 KB, 下载次数: 6)

-4-22 08:27 上传

wKiom1U2crvQSc7GAAH30WjQNWs108.jpg (59.31 KB, 下载次数: 6)

-4-22 08:27 上传

19、完成后，回到NPS管理窗口主界面，打开NPS\Policies\Network Policies，可以看到刚才配置成功的：Secure Wireless Connections，双击打开，进到Constraints，清空红色方框内的选项

wKiom1U2crzj6ttjAAGcJRj9RGs374.jpg (57.64 KB, 下载次数: 7)

-4-22 08:27 上传

20、进到Settings,可以选择删除PPP

wKiom1U2cr3y3To1AAGo2KZztOk775.jpg (57.4 KB, 下载次数: 5)

-4-22 08:27 上传

21、确认退出，到此Windows端的Radius配置完成，下面有两种AP为例，进行Wi-Fi SSID中的RADIUS认证配置

22、CISCO AP中的配置，打开界面，进到Security\Server Manager，添加RADIUS服务器，

Server：即前面配置的Windows Radius服务器的IP地址

密码：为步骤14中输入的密码，AP的IP和密码要对应！

wKioL1U2dBqQoOlsAAE8ebsG5sM250.jpg (45.18 KB, 下载次数: 8)

-4-22 08:27 上传

23、对应的命令如下：

radius-server host 10.132.176.10 auth-port 1812 acct-port 1813 key 7 ********

aaa authentication login eap_methods group rad_eap

aaa group server radius rad_eap

server 10.132.176.10 auth-port 1812 acct-port 1813

24、在SSID管理中，指定认证方式如下

wKiom1U2cr_RFBasAACrCPW1zwQ735.jpg (25.76 KB, 下载次数: 8)

-4-22 08:27 上传

25、对应的命令如下：

dot11 ssid WiFipeap

vlan 180

authentication open eap eap_methods

authentication network-eap eap_methods

26、为对应的VLAN开启WEP Encryption

wKiom1U2csCAb6D5AACfLvTECnI877.jpg (23.28 KB, 下载次数: 4)

-4-22 08:27 上传

27、对应的命令如下，如果有多个频率，如果需要的话，刚需要分加配置

interface Dot11Radio0

no ip address

no ip route-cache

!

encryption vlan 180 mode wep mandatory

!

28、其它两种AP的配置方式，方法一样，选在Radius Server中，加入Radius服务器IP，以及步骤14中输入的密码(AP的IP和密码要对应)！

wKiom1U2csGQOMg2AAC86IzF7iI377.jpg (28.28 KB, 下载次数: 8)

-4-22 08:27 上传

wKiom1U2csKSU4NiAADMoWHUtpU649.jpg (28.91 KB, 下载次数: 4)

-4-22 08:27 上传

29、选择认证方式为WPA2 With Radius,有些设备上会称为：WPA2 AES/WPA2企业级等

wKioL1U2dB7gZg7BAAEFf1crh6Q993.jpg (36.53 KB, 下载次数: 5)

-4-22 08:27 上传

wKioL1U2dB-jYnKSAADoC_koiK8145.jpg (35.47 KB, 下载次数: 4)

-4-22 08:27 上传

30、RADIUS/AP配置完成!