Windows Server NPS服务构建基于AD域控的radius认证
一、Windows Server Network Policy Service(NPS)安装
1、添加角色和功能
2、安装网络策略和访问服务
安装完成后,点选NAPS在服务器列表中选中需要管理的服务器,右键点击,打开网络策略服务器控制台
二、Windows NPS配置
1、NPS服务器加域
安装常规操作加域,使用域账号登录NPS服务器操作系统。
建议可以为NPS角色服务器创建一个单独的域账号,网内所有NPS服务器使用专用域账号登录。
强烈不建议Adminstrator登录!
2、NPS服务器申请AD证书
申请计算机证书
在个人上点击右键,所有任务,申请新证书。
点击申请新的计算机证书。
3、基于向导创建NPS初始化设置
假设我们网内使用WPA2企业级无线认证或802.1x有线认证
选择认证类型,是为无线认证还是为有线认证
如果,后期有线认证和无线认证策略完全一样,这里暂时选什么都可以,后期可以修改匹配策略。
新建Radius认证客户端或选择已有的NAS客户端
选择你想要使用的客户端认证方式
- Microsoft:智能卡或其他证书:使用Windows计算机加域后申请的用户证书或者计算机证书进行认证
- Microsoft:受保护的EAP:调用Windows登录凭据进行认证,无需手动输入用户名和密码
- Microsoft:安全密码(EAP-MSCHAP v2):用户手动输入用户名和密码
选取允许认证的用户组,可以选择本地用户组或者域内用户组
Domain Users 即允许所有域账户进行认证
Domain Computers 即允许所有域内计算机以计算机凭据或金算计证书身份进行认证
点完成
4、修改NPS配置文件细节
4.1、修改Radius客户端
注意:只有添加的客户端才可以使用Radius服务器进行认证。因此你的无线AC或者交换机在使用前,请务必先添加上Radius客户端。
4.2、连接请求策略
默认会有一条所有用户使用Windows身份认证作为兜底策略
前面说过,如果你想让LAN 802.1X或无线WPA2 Enterprise使用同一条策略,可以修改我们刚刚创建的策略。将其中的NAS端口类型删除。再添加一个时间策略为7*24小时。这样所有的RADIUS请求都会匹配第一条策略。
如过无线和有线需要匹配不同的用户认证策略,或者还有其他灵活的匹配项,可以添加相应的匹配条件。
策略很灵活,打开你的脑洞,会有很多种不同的应用场景。
添加日期和时间限制,可以保证这条策略永远被匹配到
4.3、网络策略
条件选项卡中删除客户端类型,仅保留需要验证用户组,或其他你想要添加的条件策略。
在约束选项卡中,可以配置你想要使用的认证方式,不知道怎么选择,并且不怕安全问题的同学可以都勾上。
4.4、模板管理
如果网内需要进行Radius认证的设备很多,而你有很麻烦每次添加Radius客户端的时候都手动输入共享机密等信息,可以建立相应的模板,今后直接调用。
交换机配置
Cisco2960(config)#int vlan 1 (配置二层交换机管理接口IP地址)
Cisco2960(config-if)#ip add 192.168.100.254 255.255.255.0
Cisco2960(config-if)#no sh
Cisco2960(config-if)#end
Cisco2960#wr
在交换机上启用AAA认证
Cisco2960#configure terminal
Cisco2960(config)#aaa new-model (启用AAA认证)
Cisco2960(config)#aaa authentication dot1x default group radius (启用dot1x认证)
Cisco2960(config)#dot1x system-auth-control (启用全局dot1x认证)
Cisco2960(config)#radius-server host 192.168.100.1 key 123456 (设置验证服务器IP及密钥)
Cisco2960(config)#radius-server retransmit 3 (设置与RADIUS服务器尝试连接次数为3次)
配置认证端口
Cisco2960(config)#interface fastEthernet 0/2
Cisco2960(config-if)#switchport mode access (设置端口模式为access)
Cisco2960(config-if)#dot1x port-control auto (设置802.1x认证模式为自动)
Cisco2960(config-if)#dot1x timeout quiet-period 10 (设置认证失败重试时间为10秒)
Cisco2960(config-if)#dot1x timeout reauth-period 3600 (认证计时器,无论失败或成功重连时间--1小时后重连)
Cisco2960(config-if)#dot1x reauthentication (启用802.1x认证)
Cisco2960(config-if)#spanning-tree portfast (开启端口portfast特性)
Cisco2960(config-if)#end
Cisco2960#wr
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· DeepSeek “源神”启动!「GitHub 热点速览」
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· C# 集成 DeepSeek 模型实现 AI 私有化(本地部署与 API 调用教程)
· DeepSeek R1 简明指南:架构、训练、本地部署及硬件要求
· NetPad:一个.NET开源、跨平台的C#编辑器