Menu Close

Windows Server2016 搭建 RADIUS 认证服务器

刘院胜 0 Comments

RADIUS 是一种能够让服务器验证各种接入用户身份的协议,RADIUS 可以对用户身份进行集中管理,安全性更好,策略也更灵活,可理解为专门对用户进行认证、计费和授权的协议。

一:搭建 AD CS 证书服务器

  1. 打开「服务器管理器」,选择右上角的「管理」>「添加角色和功能」。
  2. 前面的选项保持默认,点击「下一步」。来到选择服务器角色的页面,选择「Active Directory 证书服务」,选择「添加功能」。

3、保持默认,点击「下一步」。

4、配置证书服务,勾选「证书颁发机构」和「证书颁发机构 Web 注册」,继续下一步。

5、IIS 服务配置保持默认(全部保持默认)。

6、开始「安装」,安装完成后关闭窗口。

二:配置 Active Directory 证书服务

1、安装完成后,选择「配置目标服务器上的 Active Directory 证书服务」。

2、保持默认,点击「下一步」。

勾选「证书颁发机构」和「证书颁发机构 Web 注册」。

3、CA 类型选择「企业 CA」和「根 CA」。(如果此时你的企业CA是灰色的,说明你的权限不够,或是要安装上AD域控才可以使用企业CA,我是安装AD域控后才可选中企业CA,如果还是灰色请卸载AD证书服务重新安装)。

4、选择「创建新的私钥」,加密类型保持默认,点击「下一步」。

5、指定 CA 名称和证书有效期。

6、路径位置保持默认,点击「下一步」。

7、开始配置。

三:搭建 NPS 认证服务器

1、打开「服务器管理器」,选择右上角的「管理」>「添加角色和功能」。

2、再次来到选择服务器角色的页面,选择「网络策略和访问服务」,选择「添加功能」。

3、保持默认,点击「下一步」。

4、开始安装-完成安装。

四:为 NPS 服务器申请AD计算机证书

1、打开运行,输入「certsrv.msc」进入控制台。

2、打开证书颁发机构,找到「证书模板」,右击选择「管理」。

3、在证书模板列表中找到「计算机」,右击选择「属性」。

4、选择「安全」,将「Authenticated Users」的权限改为允许读写,注册打勾,保存退出。

5、打开运行,输入「mmc」进入控制台。

6、选择「文件」>「添加或删除管理单元」,在列表找到「证书添加」,选择「计算机账户」>选择「本地计算机(运行此控制台的计算机)(L)」下一步,完成。

7、退回证书控制台主界面「证书」> 「个人」,右击选择「所有任务」>「申请新证书」。

8、点击下一步,证书类型选择,然后只勾选「计算机」,然后点击「注册」。

五:基于向导创建NPS初始化配置

1、在服务器管理器中找到「NAPS」>「网络策略服务器」。

2、配置方案选择「用于 802.1X 无线或有线连接的 RADIUS 服务器」,然后点击下面的「配置 802.1X」,连接类型选择「安全无线连接」下一步。

3、选择「添加」新的 RADIUS 客户端,设置客户端名称,IP 地址输入 AC 控制器的地址,接着配置共享密码。

4、EAP 类型选择「Microsoft:受保护的 EAP(PEAP)」。

5、用户组根据实际情况进行添加。

6、保持默认,点击「下一步」,确认「配置」点击下一步,点击「完成」。

7、右击「NPS」,选择「在 Active Directory 中注册服务器」,然后再去 AC 控制器上配置 RADIUS 客户端的相关设置。

8、在新加入的账号需要在账号高属性里面的拨入的「允许访问」打勾

9、还需要在用户的隶属于中添加如下的组。

10、至此Radius认证服务器的搭建完成,此时只需要配置网络AC控制器的Radius并验证服务器的可用性,即可使用账号密码认证无线WiFi。(以上此配置是本人在生产环境中的实际配置且在使用中)

无线WiFi用域账号认证

  采用域用户的形式作为无线网络的认证,AC控制器必须支持访问外部服务器,此处暂时不写AC控制器的配置,只搭建域用户Radius服务器的搭建认证无线。

1、前面的配置步骤相同

服务器管理器中,打开「NAPS」,鼠标右键点击后选择打开「网络策略服务器」配置「拨号」下一步。

2、我这里直接选择上面创建的「fulu-radius」RADIUS客户端,如果没有就需要依次创建,{选择「添加」新的 RADIUS 客户端,设置客户端名称,IP 地址输入 AC 控制器的地址,接着配置共享密码。}下一步。

3、配置身份验证方法,建议把两种协议版本都勾选上

4、这里选择「添加」选择组“Domain Users”即域用户

5、继续默认下一步,加密方式也选择默认。

6、在下一步的「领域名称」中可无需设置直接下一步并点击「完成后」开始创建策略。

7、需要在活动目录中注册服务器,同步拨号权限,上面在配置「fulu-radius」RADIUS时我已经同步过了,测试。

8、授权这台服务器从域读取用户的拨入属性的权限且授权成功后,提示还需要把这台服务器注册成为域的RAS/IAS组成员。

9、登录域服务器,打开管理工具中的「Active Directory 用户和计算机」,点开「Computer」,找到配置了Radius的服务器,右键,属性,到「隶属于」页面,在我们的配置过程中,服务器已经自动添加到「RAS and IAS Server」组了,如果没有自动添加,只要点下面的“添加”按钮,然后输入服务器名称就可以了。

10、至此配置域账号通过Radius服务器认证无线WiFi的配置全部完成。

发表回复