radius簡介
RADIUS(Remote Authentication Dial-In User Server,遠程認證撥號用戶服務)是一種分布式的、C/S架構的信息交互協議,能包含網絡不受未授權訪問的干擾,常應用在既要求較高安全性、又允許遠程用戶訪問的各種網絡環境中。
協議定義了基於UDP(User Datagram Protocol)的RADIUS報文格式及其傳輸機制,並規定UDP端口1812、1813分別作為認證、計費端口。
如果是思科設備:認證和授權端口為UDP1645,計費端口1646.
RADIUS最初僅是針對撥號用戶的AAA協議,后來隨着用戶接入方式的多樣化發展,RADIUS也適應多種用戶接入方式,如以太網接入等。它通過認證授權來提供接入服務,通過計費來收集、記錄用戶對網絡資源的使用。
環境信息
本文為之前搭建記錄,使用了WinServer2016作為AD,安裝了NPS功能作為radius認證服務器,radius客戶端為UniFi AP。策略需求為限定某個用戶組只能連接AP指定的SSID。需要部署CA和NPS服務器證書,缺少證書從事件查看器中會看到報錯:“客戶端不能身份驗證,因為可擴展的身份驗證協議(EAP)不能被服務器處理”。
設置網絡策略服務器NPS
Win+R運行輸入mmc,打開Microsoft管理控制台(MMC),添加NPS管理單元。
配置radius客戶端
添加所用radius客戶端(UniFi AP),填寫友好名稱與地址,和共享機密。
配置策略
連接請求策略:可以使用默認的“所有用戶使用 Windows 身份驗證”策略,如果有特殊需求可以新建自定義策略。
網絡策略:
- 新建策略-輸入策略名稱。
- 添加條件-可以指定用戶組、日期和時間限制、連接屬性等,我需要根據用戶組來限定可連接的SSID,所以條件只加了用戶組。
- 指定訪問權限-已授予訪問權限。
- 配置身份驗證方法-添加EAP,選擇受保護的EAP(PEAP)、安全密碼(EAP-MSCHAP v2),安全級別較低的身份驗證方法默認即可。
- 配置約束-被叫站ID,勾選,並在輸入框中輸入模糊匹配的SSID名稱,NAS端口類型選擇無線-IEEE802.11 。比如只允許ceo用戶組連接leader這個ssid,第二步添加條件的地方選擇ceo用戶組,在該步被叫站ID中輸入 .*[leader]
添加完后再根據需要添加其他網絡策略。
部署CA和NPS服務器證書
以下為翻譯的微軟的docs,建議參考原文鏈接:https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc730811(v=ws.11)
NPS服務器證書注冊的配置過程分為三個階段:
- 安裝AD CS服務器角色。僅當您尚未在網絡上部署證書頒發機構(CA)時,才需要執行此步驟。
- 配置服務器證書模板和自動注冊。
- 在運行NPS的服務器上刷新組策略。
安裝Active Directory證書服務
-
以Enterprise Admins組和根域Domain Admins組的成員身份登錄。
-
單擊開始,單擊管理工具,然后單擊服務器管理器。服務器管理器控制台打開。在左窗格中,單擊“ 角色”,然后在詳細信息窗格中,單擊“ 添加角色”。
-
將打開“ 添加角色”向導。單擊下一步。
-
在“ 選擇服務器角色”頁上的“ 角色”中,選擇“ Active Directory證書服務”,然后單擊“ 下一步”兩次。
-
在“ 選擇角色服務”頁上的“ 角色服務”中,單擊“ 證書頒發機構”,然后單擊“ 下一步”。
-
在“ Active Directory證書服務簡介”頁上,查看提供的信息,然后單擊“ 下一步”。
-
在“ 選擇角色服務”頁面上,確保選擇了“ 證書頒發機構”,選擇所需的任何其他角色服務,然后單擊“ 下一步”。
-
在“ 指定安裝程序類型”頁面上,確保已選擇“ 企業”,然后單擊“ 下一步”。
-
在“ 指定CA類型”頁面上,單擊“ 根CA”,然后單擊“ 下一步”。
-
在“ 設置私鑰”頁面上,確保選擇“ 創建新私鑰”,然后單擊“ 下一步”。
-
在“ 為CA配置密碼術”頁上,保留默認設置或根據您的要求進行更改。請注意,默認的關鍵字符長度是2048,這是以前的默認關鍵字符長度1024的兩倍。根據您的網絡大小和流量,您可能需要調整關鍵字符長度的大小。單擊下一步。
-
在“ 配置CA名稱”頁面上,保留建議的CA通用名稱或根據您的要求更改名稱,然后單擊“ 下一步”。
-
在“ 設置有效期”頁面上,在“ 選擇為此CA生成的證書的有效期”中,鍵入數字並選擇確定CA頒發的證書將過期的日期的時間值(年,月,周或天)。 。建議默認設置為五年。單擊下一步。
-
在“ 配置證書數據庫”頁上的“ 證書數據庫位置”和“ 證書數據庫日志位置”中,指定這些項目的文件夾位置。如果指定默認位置以外的其他位置,請確保使用訪問控制列表(ACL)保護文件夾的安全,這些訪問控制列表可防止未經授權的用戶或計算機訪問CA數據庫和日志文件。單擊“ 下一步”,然后單擊“ 完成”或繼續安裝您選擇的任何其他角色服務。
配置證書模板和自動注冊
-
在安裝了Active Directory證書服務的計算機上,單擊“ 開始”,單擊“運行”,鍵入mmc,然后單擊“ 確定”。
-
在“ 文件”菜單上,單擊“ 添加/刪除管理單元”。將打開“ 添加或刪除管理單元”對話框。
-
在“ 可用的管理單元”中,雙擊“ 證書頒發機構”。選擇要管理的CA,然后單擊完成。該證書頒發機構對話框關閉,返回到添加或刪除管理單元對話框。
-
在“ 可用的管理單元”中,雙擊“ 證書模板”,然后單擊“ 確定”。
-
在控制台樹中,單擊“ 證書模板”。所有證書模板都顯示在詳細信息窗格中。
-
在詳細信息窗格中,單擊“ RAS和IAS服務器”模板。
-
在“ 操作”菜單上,單擊“ 復制模板”。在“ 復制模板”對話框中,選擇適合您的部署的模板版本,然后單擊“ 確定”。將打開新的模板屬性對話框。
-
在“ 常規”選項卡上的“ 顯示名稱”中,為證書模板鍵入一個新名稱或保留默認名稱。
-
單擊安全選項卡。在“ 組或用戶名”中,單擊“ RAS和IAS服務器”。
-
在“ RAS和IAS服務器的權限”中,在“ 允許”下,選中“ 注冊”和“ 自動注冊”權限復選框,然后單擊“ 確定”。
-
雙擊證書頒發機構,雙擊CA名稱,然后單擊證書模板。在“ 操作”菜單上,指向“ 新建”,然后單擊“要頒發的證書模板”。將打開 “ 啟用證書模板”對話框。
-
在“ 啟用證書模板”中,單擊剛剛配置的證書模板的名稱,然后單擊“ 確定”。例如,如果您沒有更改默認證書模板名稱,請單擊“ RAS和IAS服務器的副本”,然后單擊“ 確定”。
-
在安裝了Active Directory域服務(AD DS)的計算機上,單擊“ 開始”,單擊“運行”,鍵入mmc,然后單擊“ 確定”。
-
在“ 文件”菜單上,單擊“ 添加/刪除管理單元”。將打開“ 添加或刪除管理單元”對話框。
-
在“ 可用的管理單元”中,雙擊“ 組策略管理編輯器”。將打開“ 選擇組策略對象”向導。單擊瀏覽,然后選擇默認域策略。單擊確定,單擊完成,然后再次單擊確定。
-
雙擊默認域策略。打開“ 計算機配置”,“ 策略”,“ Windows設置”,“ 安全設置”,然后選擇“ 公鑰策略”。
-
在詳細信息窗格中,雙擊“ 證書服務客戶端-自動注冊”。將打開“ 證書服務客戶端-自動注冊屬性”對話框。
-
在“ 證書服務客戶端-自動注冊屬性”對話框的“ 配置模型”中,選擇“ 啟用”。
-
選中續訂過期的證書,更新暫掛的證書並刪除吊銷的證書復選框。
-
選中更新使用證書模板的證書復選框,然后單擊確定。
刷新組策略
刷新組策略時,運行NPS的服務器會自動注冊服務器證書。要刷新組策略,請重新啟動服務器,或者在命令提示符下運行gpupdate。
參考鏈接: