WindowsServer搭建radius认证服务器
radius简介
RADIUS(Remote Authentication Dial-In User Server,远程认证拨号⽤户服务)是⼀种分布式的、C/S架构的信息交互协议,能包含⽹络不受未授权访问的⼲扰,常应⽤在既要求较⾼安全性、⼜允许远程⽤户访问的各种⽹络环境中。
协议定义了基于UDP(User Datagram Protocol)的RADIUS报⽂格式及其传输机制,并规定UDP端⼝1812、1813分别作为认证、计费端⼝。
如果是思科设备:认证和授权端⼝为UDP1645,计费端⼝1646.
RADIUS最初仅是针对拨号⽤户的AAA协议,后来随着⽤户接⼊⽅式的多样化发展,RADIUS也适应多种⽤户接⼊⽅式,如以太⽹接⼊等。它通过认证授权来提供接⼊服务,通过计费来收集、记录⽤户对⽹络资源的使⽤。
环境信息
本⽂为之前搭建记录,使⽤了WinServer2016作为AD,安装了NPS功能作为radius认证服务器,radius客
户端为UniFi AP。策略需求为限定某个⽤户组只能连接AP指定的SSID。需要部署CA和NPS服务器证书,缺少证书从事件查看器中会看到报错:“客户端不能⾝份验证,因为可扩展的⾝份验证协议(EAP)不能被服务器处理”。
windows server2016设置⽹络策略服务器NPS
Win+R运⾏输⼊mmc,打开Microsoft管理控制台(MMC),添加NPS管理单元。
配置radius客户端
添加所⽤radius客户端(UniFi AP),填写友好名称与地址,和共享机密。
配置策略
连接请求策略:可以使⽤默认的“所有⽤户使⽤ Windows ⾝份验证”策略,如果有特殊需求可以新建⾃定义策略。
⽹络策略:
1. 新建策略-输⼊策略名称。
2. 添加条件-可以指定⽤户组、⽇期和时间限制、连接属性等,我需要根据⽤户组来限定可连接的SSID,所以条件只加了⽤户组。
3. 指定访问权限-已授予访问权限。
4. 配置⾝份验证⽅法-添加EAP,选择受保护的EAP(PEAP)、安全密码(EAP-MSCHAP v2),安全级别较低的⾝份验证⽅法默认即
可。
5. 配置约束-被叫站ID,勾选,并在输⼊框中输⼊模糊匹配的SSID名称,NAS端⼝类型选择⽆线-IEEE802.11 。⽐如只允许ceo⽤户组连
接leader这个ssid,第⼆步添加条件的地⽅选择ceo⽤户组,在该步被叫站ID中输⼊ .*[leader]
添加完后再根据需要添加其他⽹络策略。
部署CA和NPS服务器证书
NPS服务器证书注册的配置过程分为三个阶段:
1. 安装AD CS服务器⾓⾊。仅当您尚未在⽹络上部署证书颁发机构(CA)时,才需要执⾏此步骤。
2. 配置服务器证书模板和⾃动注册。
3. 在运⾏NPS的服务器上刷新组策略。
安装Active Directory证书服务
1. 以Enterprise Admins组和根域Domain Admins组的成员⾝份登录。
2. 单击开始,单击管理⼯具,然后单击服务器管理器。服务器管理器控制台打开。在左窗格中,单击“ ⾓⾊”,然后在详细信息窗格中,
单击“ 添加⾓⾊”。
3. 将打开“ 添加⾓⾊”向导。单击下⼀步。
4. 在“ 选择服务器⾓⾊”页上的“ ⾓⾊”中,选择“ Active Directory证书服务”,然后单击“ 下⼀步”两次。
5. 在“ 选择⾓⾊服务”页上的“ ⾓⾊服务”中,单击“ 证书颁发机构”,然后单击“ 下⼀步”。
6. 在“ Active Directory证书服务简介”页上,查看提供的信息,然后单击“ 下⼀步”。
7. 在“ 选择⾓⾊服务”页⾯上,确保选择了“ 证书颁发机构”,选择所需的任何其他⾓⾊服务,然后单击“ 下⼀步”。
8. 在“ 指定安装程序类型”页⾯上,确保已选择“ 企业”,然后单击“ 下⼀步”。
9. 在“ 指定CA类型”页⾯上,单击“ 根CA”,然后单击“ 下⼀步”。
10. 在“ 设置私钥”页⾯上,确保选择“ 创建新私钥”,然后单击“ 下⼀步”。
11. 在“ 为CA配置密码术”页上,保留默认设置或根据您的要求进⾏更改。请注意,默认的关键字符长度是2048,这是以前的默认关键字符
长度1024的两倍。根据您的⽹络⼤⼩和流量,您可能需要调整关键字符长度的⼤⼩。单击下⼀步。
12. 在“ 配置CA名称”页⾯上,保留建议的CA通⽤名称或根据您的要求更改名称,然后单击“ 下⼀步”。
13. 在“ 设置有效期”页⾯上,在“ 选择为此CA⽣成的证书的有效期”中,键⼊数字并选择确定CA颁发的证
书将过期的⽇期的时间值(年,
⽉,周或天)。。建议默认设置为五年。单击下⼀步。
14. 在“ 配置证书数据库”页上的“ 证书数据库位置”和“ 证书数据库⽇志位置”中,指定这些项⽬的⽂件夹位置。如果指定默认位置以外的其他
位置,请确保使⽤访问控制列表(ACL)保护⽂件夹的安全,这些访问控制列表可防⽌未经授权的⽤户或计算机访问CA数据库和⽇志⽂件。单击“ 下⼀步”,然后单击“ 完成”或继续安装您选择的任何其他⾓⾊服务。
配置证书模板和⾃动注册
1. 在安装了Active Directory证书服务的计算机上,单击“ 开始”,单击“运⾏”,键⼊mmc,然后单击“ 确定”。
2. 在“ ⽂件”菜单上,单击“ 添加/删除管理单元”。将打开“ 添加或删除管理单元”对话框。
3. 在“ 可⽤的管理单元”中,双击“ 证书颁发机构”。选择要管理的CA,然后单击完成。该证书颁发机构对话框关闭,返回到添加或删除管
理单元对话框。
4. 在“ 可⽤的管理单元”中,双击“ 证书模板”,然后单击“ 确定”。
5. 在控制台树中,单击“ 证书模板”。所有证书模板都显⽰在详细信息窗格中。
6. 在详细信息窗格中,单击“ RAS和IAS服务器”模板。
7. 在“ 操作”菜单上,单击“ 复制模板”。在“ 复制模板”对话框中,选择适合您的部署的模板版本,然后单击“ 确定”。将打开新的模板属性对
话框。
8. 在“ 常规”选项卡上的“ 显⽰名称”中,为证书模板键⼊⼀个新名称或保留默认名称。
9. 单击安全选项卡。在“ 组或⽤户名”中,单击“ RAS和IAS服务器”。
10. 在“ RAS和IAS服务器的权限”中,在“ 允许”下,选中“ 注册”和“ ⾃动注册”权限复选框,然后单击“ 确定”。
11. 双击证书颁发机构,双击CA名称,然后单击证书模板。在“ 操作”菜单上,指向“ 新建”,然后单击“要
颁发的证书模板”。将打开 “ 启⽤证
书模板”对话框。
12. 在“ 启⽤证书模板”中,单击刚刚配置的证书模板的名称,然后单击“ 确定”。例如,如果您没有更改默认证书模板名称,请单击“ RAS和
IAS服务器的副本”,然后单击“ 确定”。
13. 在安装了Active Directory域服务(AD DS)的计算机上,单击“ 开始”,单击“运⾏”,键⼊mmc,然后单击“ 确定”。
14. 在“ ⽂件”菜单上,单击“ 添加/删除管理单元”。将打开“ 添加或删除管理单元”对话框。
15. 在“ 可⽤的管理单元”中,双击“ 组策略管理编辑器”。将打开“ 选择组策略对象”向导。单击浏览,然后选择默认域策略。单击确定,单
击完成,然后再次单击确定。
16. 双击默认域策略。打开“ 计算机配置”,“ 策略”,“ Windows设置”,“ 安全设置”,然后选择“ 公钥策略”。
17. 在详细信息窗格中,双击“ 证书服务客户端-⾃动注册”。将打开“ 证书服务客户端-⾃动注册属性”对话框。
18. 在“ 证书服务客户端-⾃动注册属性”对话框的“ 配置模型”中,选择“ 启⽤”。
19. 选中续订过期的证书,更新暂挂的证书并删除吊销的证书复选框。
20. 选中更新使⽤证书模板的证书复选框,然后单击确定。
刷新组策略
刷新组策略时,运⾏NPS的服务器会⾃动注册服务器证书。要刷新组策略,请重新启动服务器,或者在命令提⽰符下运⾏gpupdate。参考链接:
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论