Windows Server 搭建企業無線認證(NPS搭建)

現代企業無線網絡是必備，移動辦公更是需求日益劇增。而帶來的無線網絡安全隱患隨之而來，也是面臨着巨大的挑戰。所以對無線網絡做接入認證是現在企業很迫切的需求。

上一遍已經說明了Radius認證方案：https://www.cnblogs.com/yanghua1012/p/11837969.html，今天主要講一下Windows Server體系內的認證。

架構模式：AD域控 + NPS服務 + AC控制器(無線AC控制器)

環境介紹：

 

 

 說明：

① 主輔域控主要設計高可用，安裝活動目錄服務和DNS服務，作為公司內部的域控體系和域名解析服務，為各種系統提供目錄數據庫LDAP接入；

② NPS主要作為無線AC認證服務器Radius的接入和認證，調用域控用戶認證和安全接入服務；

③ 無線AC控制器，主要是公司內部管理無線AP的設備，對無線AC的批量配置和管理。

 

環境配置：

AD主輔域控的安裝和配置在此就不說明，安裝和配置都很簡單，大概說下步驟：

1、安裝Windows Server 2012 R2系統

2、聯網更新系統補丁和組件

3、修改當前服務器名(規范命名)，想一個內網域名：itkmi.com(一般都是以公司域名命名)

4、安裝活動目錄服務和DNS服務(詳細步驟略)

 

NPS安裝和配置：

安裝過程網上很多，可以直接查詢：https://blog.51cto.com/please/1738659

 

AC控制器(銳捷AC)配置：

# 首先新建一個測試信號
wlan-config 117 radius-test
 ssid-code utf-8
 band-select enable
 tunnel local
  
# 新建aaa認證模板
aaa new-model
!
aaa accounting network radius-test start-stop group radius-test       #計費
aaa authentication login default local      #console口進行用戶名和密碼校驗
aaa authentication dot1x radius-test group radius-test    #認證
no identify-application enable
  
# 指定aaa認證組服務
aaa group server radius-test
 server 192.168.40.110
 server 192.168.40.111

  
# 配置radius服務器key和IP
radius-server host 192.168.40.110 key test123   #和NPS服務器上的共享密鑰一致
radius-server host 192.168.40.111 key test123
  
#
wlansec 117     #配置指定wifi的安全配置
 security rsn enable    #啟用WPA2認證
 security rsn ciphers aes enable    #啟用AES加密
 security rsn akm 802.1x enable     #啟用802.1X認證
 security wpa enable    #啟用WPA認證
 security wpa ciphers aes enable    #啟用AES加密
 security wpa akm 802.1x enable     #啟用802.1X認證
 dot1x authentication radius-test   #dot1x認證使用radius-test列表
 dot1x accounting radius-test      #dot1x計費使用radius-test列表

 

NPS服務器配置備份和還原:

方法一: 圖形化備份還原
圖形化，很簡單，打開NPS策略控制台，導出配置(備份)，導入配置(還原)
方法二: netsh命令
Netsh命令行導出NPS配置：
netsh nps export filename = "C:\NPS_Bak_201907015.xml" exportPSK = YES  #備份配置到C盤
netsh nps import C:\NPS_Bak_201907015.xml   #從C盤還原配置
命令行注解：
C:\>netsh nps /?
下列指令有效:
 
此上下文中的命令:
 
?              - 顯示命令列表。
 
add            - 添加配置。
 
delete         - 刪除配置。
 
dump           - 顯示一個配置腳本。
 
export         - 導出配置。
 
help           - 顯示命令列表。
 
import         - 導入配置。
 
rename         - 重命名配置。
 
reset          - 重置配置。
 
set            - 設置配置。
 
show           - 顯示配置。
 
C:>netsh nps export /?
 
export
 
   [ filename  = ] filename
 
   [ exportPSK = ] YES
 
   導出配置。
 
   filename   - 文件路徑(必需)。
 
   exportPSK – 為 RADIUS 客戶端和遠程 RADIUS 服務器導出共享機密(必需)。
 
   如果要導出 NPS 服務器配置，則還必須導出所有共享機密。不支持導出不含共享機
 
   密的 NPS 服務器配置。
 
   導出的文件包含 RADIUS 客戶端和遠程 RADIUS 服務器組成員的未加密共享機密。
 
   因此，應確保將該文件存儲在某個安全的位置，以防止惡意用戶訪問該文件。
 
   另外，不會將 SQL Server 日志記錄設置導出到該文件。在另一個 NPS 服務器上導
 
   入該文件之后，必須手動配置 SQL Server 日志記錄。
 
   示例:
 
      export filename = "c:\config.xml" exportPSK = YES
 
 
方法三: powershell命令
Export-NpsConfiguration -Path "C:\NPS_Bak_201907015_PS.xml" #備份
Import-NpsConfiguration C:\NPS_Bak_201907015_PS.xml #還原

到此已說完和配置NPS服務對接無線WIFI的認證。