Windows Server NPS服務構建基於AD域控的radius認證

本文轉載自查看原文 2022-04-17 22:07 2746 網絡技術

一、Windows Server Network Policy Service（NPS）安裝

1、添加角色和功能

2、安裝網絡策略和訪問服務

安裝完成后，點選NAPS在服務器列表中選中需要管理的服務器，右鍵點擊，打開網絡策略服務器控制台

二、Windows NPS配置

1、NPS服務器加域

安裝常規操作加域，使用域賬號登錄NPS服務器操作系統。
建議可以為NPS角色服務器創建一個單獨的域賬號，網內所有NPS服務器使用專用域賬號登錄。
強烈不建議Adminstrator登錄！

2、NPS服務器申請AD證書

申請計算機證書

在個人上點擊右鍵，所有任務，申請新證書。

點擊申請新的計算機證書。

3、基於向導創建NPS初始化設置

假設我們網內使用WPA2企業級無線認證或802.1x有線認證

選擇認證類型，是為無線認證還是為有線認證
如果，后期有線認證和無線認證策略完全一樣，這里暫時選什么都可以，后期可以修改匹配策略。

新建Radius認證客戶端或選擇已有的NAS客戶端

選擇你想要使用的客戶端認證方式

Microsoft：智能卡或其他證書：使用Windows計算機加域后申請的用戶證書或者計算機證書進行認證
Microsoft：受保護的EAP：調用Windows登錄憑據進行認證，無需手動輸入用戶名和密碼
Microsoft：安全密碼（EAP-MSCHAP v2）：用戶手動輸入用戶名和密碼

選取允許認證的用戶組，可以選擇本地用戶組或者域內用戶組
Domain Users 即允許所有域賬戶進行認證
Domain Computers 即允許所有域內計算機以計算機憑據或金算計證書身份進行認證

點完成

4、修改NPS配置文件細節

4.1、修改Radius客戶端

注意：只有添加的客戶端才可以使用Radius服務器進行認證。因此你的無線AC或者交換機在使用前，請務必先添加上Radius客戶端。

4.2、連接請求策略

默認會有一條所有用戶使用Windows身份認證作為兜底策略

前面說過，如果你想讓LAN 802.1X或無線WPA2 Enterprise使用同一條策略，可以修改我們剛剛創建的策略。將其中的NAS端口類型刪除。再添加一個時間策略為7*24小時。這樣所有的RADIUS請求都會匹配第一條策略。
如過無線和有線需要匹配不同的用戶認證策略，或者還有其他靈活的匹配項，可以添加相應的匹配條件。
策略很靈活，打開你的腦洞，會有很多種不同的應用場景。

添加日期和時間限制，可以保證這條策略永遠被匹配到

4.3、網絡策略

條件選項卡中刪除客戶端類型，僅保留需要驗證用戶組，或其他你想要添加的條件策略。

在約束選項卡中，可以配置你想要使用的認證方式，不知道怎么選擇，並且不怕安全問題的同學可以都勾上。

4.4、模板管理

如果網內需要進行Radius認證的設備很多，而你有很麻煩每次添加Radius客戶端的時候都手動輸入共享機密等信息，可以建立相應的模板，今后直接調用。

交換機配置
Cisco2960(config)#int vlan 1 (配置二層交換機管理接口IP地址)
Cisco2960(config-if)#ip add 192.168.100.254 255.255.255.0
Cisco2960(config-if)#no sh
Cisco2960(config-if)#end
Cisco2960#wr
在交換機上啟用AAA認證
Cisco2960#configure terminal
Cisco2960(config)#aaa new-model (啟用AAA認證)
Cisco2960(config)#aaa authentication dot1x default group radius (啟用dot1x認證)
Cisco2960(config)#dot1x system-auth-control (啟用全局dot1x認證)

Cisco2960(config)#radius-server host 192.168.100.1 key 123456 (設置驗證服務器IP及密鑰)
Cisco2960(config)#radius-server retransmit 3 (設置與RADIUS服務器嘗試連接次數為3次)

配置認證端口
Cisco2960(config)#interface fastEthernet 0/2
Cisco2960(config-if)#switchport mode access (設置端口模式為access)
Cisco2960(config-if)#dot1x port-control auto (設置802.1x認證模式為自動)
Cisco2960(config-if)#dot1x timeout quiet-period 10 (設置認證失敗重試時間為10秒)
Cisco2960(config-if)#dot1x timeout reauth-period 3600 (認證計時器，無論失敗或成功重連時間--1小時后重連)
Cisco2960(config-if)#dot1x reauthentication (啟用802.1x認證)
Cisco2960(config-if)#spanning-tree portfast (開啟端口portfast特性)
Cisco2960(config-if)#end
Cisco2960#wr

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 Windows Server 2008搭建AD域控服務器 Windows Server 2019 AD域控搭建 Windows Server 2019 AD域控搭建 Windows Server 2019 AD域控搭建域服務器輔控,Windows Server 2019 搭建輔助 AD 域控制器 Windows Server 2012R2 AD域控輔助域只讀域子域 AD 域控服務器搭建 AD域控服務器搭建 Ubuntu 20 加入windows AD 域控網絡相關-Windows Server 2016部署AD域控