思科wlc使用windows radius 认证配置

 

 

思科wlc使用windows radius 认证配置

 

 

 

 

 

目录

一       需求介绍：... 2

二       实验环境：... 2

三       windows环境安装... 3

3.1      第一步，安装windows环境。... 3

3.2      第二安装ad. 4

3.3      配置AD.. 6

3.4      安装nps. 11

3.5      添加证书服务... 12

四       认证配置... 19

4.1      管理单元配置... 20

4.2      新建用于认证的组和用户... 23

4.3      创建证书... 29

4.4      配置NPS用于MAC.. 33

4.5      无线控制器上配置MAC认证... 39

4.6      连接调试... 41

4.7      配置无线控制器用于域用户名密码认证... 47

4.8      配置NPS用于域账号密码认证... 48

4.9      连接测试... 54

 

 

 

 

 

 

 

 

一         需求介绍：

       客户需要在思科无线的网络环境中实现windows 2012上的radius 认证。

       认证方式分两种，mac认证，域账号名密码认证。

 

二         实验环境：

       vWLC 8.4虚拟机装的wlc

       WLC2504 8.2

       windows 2012

 

 

 

三         windows环境安装

3.1   第一步，安装windows环境。

我这里使用的是windows 2012，安装过程我这里不多讲，详情见《vmWare exsi 环境下安装windows2012》。

 

 

 

 

 

 

3.2   第二安装ad

 

 

 

 

 

 

 

 

 

我们这里先安装AD域服务和DNS服务器。

 

 

 

 

完成安装点击关闭

 

 

 

3.3   配置AD

打开“服务器管理器”，点开旗子按钮，点击“将此服务器提升为域控制器”

 

 

 

 

 

“添加新林” 设置根域名

 

 

 

设置密码，下一步

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

注意这里可能会出现一些问题不通过，根据他先决条件进行修改即可，比如你先安装了域证书这里就会提示失败。

 

 

 

 

3.4   安装nps

选择网络策略和访问服务，2008以后都是nps，2003的ias配置见《IAS认证服务器配置.docx》这里不写

 

 

 

 

 

 

接下来就是下一步下一步，安装了

 

3.5   添加证书服务

添加“Active Directory证书服务”

 

 

 

打开“服务器管理器”点开小旗子按钮，点击“配置目标服务器上的Active Directory证书服务”。

 

 

 

 

 

 

勾选证书颁发机构，下面的也可以选，看需求。

 

 

 

 

 

选择企业CA

 

 

 

选择根CA

 

 

 

创建私钥

 

 

 

下一步

 

 

 

设置CA名字

 

 

 

有效期

 

 

 

 

 

数据库

 

 

 

点击“配置”

 

 

 

四         认证配置

前面windows 的环境都安装好了，下面开始配置。

首先打开运行输入“mmc”进入到控制台。

 

 

 

 

 

4.1   管理单元配置

选择“添加/删除管理单元”

 

 

 

添加我们需要的管理单元，添加“证书管理单元”

 

 

 

选择计算机账户

 

 

 

选择本地计算机

 

 

 

 

 

 

我们这次需要以下几个管理单元，NPS，证书，时间查看器，AD。这里就不一一添加了。

 

4.2   新建用于认证的组和用户

右键“AD用户和计算机”，“新建”，组织单位

 

 

 

 

创建两个组织单位，分别用作mac认证的mab，和域账号认证的“域用户名密码”。

 

 

 

在mab组织单位中新建组

 

 

 

 

 

 

新建用户

 

 

 

 

 

请将用户登录名设置为被认证终端的mac地址，mac地址中间不使用任何符号。

 

 

 

密码和用户登录名一样，且密码永不过期。

注意：提示密码不符合复杂性要求，要将安全策略的密码复杂性关闭。

 

 

 

要去组策略管理里面管理安全策略。

 

 

 

将mab1用户添加到mab组

 

 

 

 

在“域用户名密码认证”中创建组user和用户sanjiu

 

 

 

 

 

将用户sanjiu-test加入到user组

 

 

 

4.3   创建证书

在“证书”中的“个人”——》证书——》右键“所有任务”——》创建新证书

 

 

 

 

 

 

 

勾选“显示所有模板”发现“计算机”证书不可用。

 

 

 

 

在控制台中添加证书模板

 

 

 

找到“计算机”——》右键“属性”——》“安全”——》勾选完全控制。

 

 

 

再回头看证书注册，发现可以勾选“计算机”

 

 

 

注册后会生成一个证书，记住这个证书待会会用。

 

 

 

4.4   配置NPS用于MAC

选择“NPS”——》选择“用于802.11x无线会有线的radius服务器”——》选择配置802.1X

 

 

 

 

 

选择“安全无线连接”取个名字

 

 

 

添加radius客户端

 

 

 

设置友好名称，ip地址和共享密码。共享密码要记住后面要用。友好名称ip请参考下面步骤。

 

 

 

在WLC的“monitor”中

 

 

 

 

 

选择EAP，后面可能用的不是EAP认证，到时候再按情况改。

 

 

 

添加认证组，我们先做MAC地址认证

 

 

 

 

 

 

 

 

 

 

 

 

 

 

最后在右键“NPS”——》在AD中注册

 

 

 

 

 

 

 

4.5   无线控制器上配置MAC认证

打开WLC web界面，在“security”——》MAC Delimter——》new

 

 

 

ip地址指向认证服务器，共享秘钥使用上面配置的共享秘钥，点击应用

 

 

 

 

 

 

注意去掉勾，要不然管理的时候也会认证。

 

 

 

 

在“WLANs”中选择需要认证的WLAN，在Security——》Layer 2 的Layer 2 Security选择空，勾选MAC Filtering

 

 

 

 

在“AAA Servers”中选择认证服务器

 

 

 

4.6   连接调试

终端开始连接，在无线控制器上的日志中发现认证失败。

 

 

 

我们回到windows控制器，选择“时间查看器”找到对应终端的“网路策略服务器”日志，点开

 

 

 

 

 

我们发现认证失败，原因是“未经身份验证”没有启用，不同版本的身份验证类型不一样，8.2版本使用的是pap 验证方法不一样验证类型也不一样，域用户名密码认证用的是eap。使用什么自己去日志中看。

 

 

 

我们去“NPS”——》“网络策略”——》“安全无线连接”中检查策略

 

 

 

右键“安全无线连接”——》“属性”——》“条件”查看认证组是否正确

 

 

 

在“约束”中杀出EAP类型，去掉红框中的所有勾。

 

 

 

 

 

在“设置”删除PPP

 

 

 

勾选“允许客户端连接时不比协商身份验证方法”对应的就是未经身份验证。

 

 

 

 

确认的时候会有提示，点击否

 

 

 

终端再次上线，发现可以连接网络，查看安全日志，已经审核成功。

 

 

 

 

 

 

在控制器的“monitor”——》Clients中可以看到终端信息了。

 

 

 

 

 

4.7   配置无线控制器用于域用户名密码认证

在“WLANs”中选择需要认证的WLAN，在Security——》Layer 2 的Layer 2 Security选择802.1X，勾选MAC Filtering

 

 

 

 

 

 

 

 

 

 

 

4.8   配置NPS用于域账号密码认证

在“NPS”——》右键“网络策略”——》新建

 

 

 

 

新建网络策略

 

 

 

添加域用户名密码认证的用户组。

 

 

 

 

 

 

 

 

 

 

去掉红框中的所有勾，添加EAP类型选择“受保护的EAP”

 

 

 

点击编辑，选择我们在“创建证书”章节创建的证书。

 

 

 

 

 

去掉ppp

 

 

 

 

 

 

 

 

 

4.9   连接测试

认证成功