思科wlc使用windows radius 认证配置
原贴https://www.cnblogs.com/sanjiu/p/14131980.html
思科wlc使用windows radius 认证配置
目录
一 需求介绍:... 2
二 实验环境:... 2
三 windows环境安装... 3
3.1 第一步,安装windows环境。... 3
3.2 第二安装ad. 4
3.3 配置AD.. 6
3.4 安装nps. 11
3.5 添加证书服务... 12
四 认证配置... 19
4.1 管理单元配置... 20
4.2 新建用于认证的组和用户... 23
4.3 创建证书... 29
4.4 配置NPS用于MAC.. 33
4.5 无线控制器上配置MAC认证... 39
4.6 连接调试... 41
4.7 配置无线控制器用于域用户名密码认证... 47
4.8 配置NPS用于域账号密码认证... 48
4.9 连接测试... 54
一 需求介绍:
客户需要在思科无线的网络环境中实现windows 2012上的radius 认证。
认证方式分两种,mac认证,域账号名密码认证。
二 实验环境:
vWLC 8.4虚拟机装的wlc
WLC2504 8.2
windows 2012
三 windows环境安装
3.1 第一步,安装windows环境。
我这里使用的是windows 2012,安装过程我这里不多讲,详情见《vmWare exsi 环境下安装windows2012》。
3.2 第二安装ad
我们这里先安装AD域服务和DNS服务器。
完成安装点击关闭
3.3 配置AD
打开“服务器管理器”,点开旗子按钮,点击“将此服务器提升为域控制器”
“添加新林” 设置根域名
设置密码,下一步
注意这里可能会出现一些问题不通过,根据他先决条件进行修改即可,比如你先安装了域证书这里就会提示失败。
3.4 安装nps
选择网络策略和访问服务,2008以后都是nps,2003的ias配置见《IAS认证服务器配置.docx》这里不写
接下来就是下一步下一步,安装了
3.5 添加证书服务
添加“Active Directory证书服务”
打开“服务器管理器”点开小旗子按钮,点击“配置目标服务器上的Active Directory证书服务”。
勾选证书颁发机构,下面的也可以选,看需求。
选择企业CA
选择根CA
创建私钥
下一步
设置CA名字
有效期
数据库
点击“配置”
四 认证配置
前面windows 的环境都安装好了,下面开始配置。
首先打开运行输入“mmc”进入到控制台。
4.1 管理单元配置
选择“添加/删除管理单元”
添加我们需要的管理单元,添加“证书管理单元”
选择计算机账户
选择本地计算机
我们这次需要以下几个管理单元,NPS,证书,时间查看器,AD。这里就不一一添加了。
4.2 新建用于认证的组和用户
右键“AD用户和计算机”,“新建”,组织单位
创建两个组织单位,分别用作mac认证的mab,和域账号认证的“域用户名密码”。
在mab组织单位中新建组
新建用户
请将用户登录名设置为被认证终端的mac地址,mac地址中间不使用任何符号。
密码和用户登录名一样,且密码永不过期。
注意:提示密码不符合复杂性要求,要将安全策略的密码复杂性关闭。
要去组策略管理里面管理安全策略。
将mab1用户添加到mab组
在“域用户名密码认证”中创建组user和用户sanjiu
将用户sanjiu-test加入到user组
4.3 创建证书
在“证书”中的“个人”——》证书——》右键“所有任务”——》创建新证书
勾选“显示所有模板”发现“计算机”证书不可用。
在控制台中添加证书模板
找到“计算机”——》右键“属性”——》“安全”——》勾选完全控制。
再回头看证书注册,发现可以勾选“计算机”
注册后会生成一个证书,记住这个证书待会会用。
4.4 配置NPS用于MAC
选择“NPS”——》选择“用于802.11x无线会有线的radius服务器”——》选择配置802.1X
选择“安全无线连接”取个名字
添加radius客户端
设置友好名称,ip地址和共享密码。共享密码要记住后面要用。友好名称ip请参考下面步骤。
在WLC的“monitor”中
选择EAP,后面可能用的不是EAP认证,到时候再按情况改。
添加认证组,我们先做MAC地址认证
最后在右键“NPS”——》在AD中注册
4.5 无线控制器上配置MAC认证
打开WLC web界面,在“security”——》MAC Delimter——》new
ip地址指向认证服务器,共享秘钥使用上面配置的共享秘钥,点击应用
注意去掉勾,要不然管理的时候也会认证。
在“WLANs”中选择需要认证的WLAN,在Security——》Layer 2 的Layer 2 Security选择空,勾选MAC Filtering
在“AAA Servers”中选择认证服务器
4.6 连接调试
终端开始连接,在无线控制器上的日志中发现认证失败。
我们回到windows控制器,选择“时间查看器”找到对应终端的“网路策略服务器”日志,点开
我们发现认证失败,原因是“未经身份验证”没有启用,不同版本的身份验证类型不一样,8.2版本使用的是pap 验证方法不一样验证类型也不一样,域用户名密码认证用的是eap。使用什么自己去日志中看。
我们去“NPS”——》“网络策略”——》“安全无线连接”中检查策略
右键“安全无线连接”——》“属性”——》“条件”查看认证组是否正确
在“约束”中杀出EAP类型,去掉红框中的所有勾。
在“设置”删除PPP
勾选“允许客户端连接时不比协商身份验证方法”对应的就是未经身份验证。
确认的时候会有提示,点击否
终端再次上线,发现可以连接网络,查看安全日志,已经审核成功。
在控制器的“monitor”——》Clients中可以看到终端信息了。
4.7 配置无线控制器用于域用户名密码认证
在“WLANs”中选择需要认证的WLAN,在Security——》Layer 2 的Layer 2 Security选择802.1X,勾选MAC Filtering
4.8 配置NPS用于域账号密码认证
在“NPS”——》右键“网络策略”——》新建
新建网络策略
添加域用户名密码认证的用户组。
去掉红框中的所有勾,添加EAP类型选择“受保护的EAP”
点击编辑,选择我们在“创建证书”章节创建的证书。
去掉ppp
4.9 连接测试
认证成功