WindowsServer搭建radius认证服务器
radius简介
RADIUS(Remote Authentication Dial-In User Server,远程认证拨号用户服务)是一种分布式的、C/S架构的信息交互协议,能包含网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。
协议定义了基于UDP(User Datagram Protocol)的RADIUS报文格式及其传输机制,并规定UDP端口1812、1813分别作为认证、计费端口。
如果是思科设备:认证和授权端口为UDP1645,计费端口1646.
RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入等。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。
环境信息
本文为之前搭建记录,使用了WinServer2016作为AD,安装了NPS功能作为radius认证服务器,radius客户端为UniFi AP。策略需求为限定某个用户组只能连接AP指定的SSID。需要部署CA和NPS服务器证书,缺少证书从事件查看器中会看到报错:“客户端不能身份验证,因为可扩展的身份验证协议(EAP)不能被服务器处理”。
设置网络策略服务器NPS
Win+R运行输入mmc,打开Microsoft管理控制台(MMC),添加NPS管理单元。
配置radius客户端
添加所用radius客户端(UniFi AP),填写友好名称与地址,和共享机密。
配置策略
连接请求策略:可以使用默认的“所有用户使用 Windows 身份验证”策略,如果有特殊需求可以新建自定义策略。
网络策略:
- 新建策略-输入策略名称。
- 添加条件-可以指定用户组、日期和时间限制、连接属性等,我需要根据用户组来限定可连接的SSID,所以条件只加了用户组。
- 指定访问权限-已授予访问权限。
- 配置身份验证方法-添加EAP,选择受保护的EAP(PEAP)、安全密码(EAP-MSCHAP v2),安全级别较低的身份验证方法默认即可。
- 配置约束-被叫站ID,勾选,并在输入框中输入模糊匹配的SSID名称,NAS端口类型选择无线-IEEE802.11 。比如只允许ceo用户组连接leader这个ssid,第二步添加条件的地方选择ceo用户组,在该步被叫站ID中输入 .*[leader]
添加完后再根据需要添加其他网络策略。
部署CA和NPS服务器证书
以下为翻译的微软的docs,建议参考原文链接:https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc730811(v=ws.11)
NPS服务器证书注册的配置过程分为三个阶段:
- 安装AD CS服务器角色。仅当您尚未在网络上部署证书颁发机构(CA)时,才需要执行此步骤。
- 配置服务器证书模板和自动注册。
- 在运行NPS的服务器上刷新组策略。
安装Active Directory证书服务
-
以Enterprise Admins组和根域Domain Admins组的成员身份登录。
-
单击开始,单击管理工具,然后单击服务器管理器。服务器管理器控制台打开。在左窗格中,单击“ 角色”,然后在详细信息窗格中,单击“ 添加角色”。
-
将打开“ 添加角色”向导。单击下一步。
-
在“ 选择服务器角色”页上的“ 角色”中,选择“ Active Directory证书服务”,然后单击“ 下一步”两次。
-
在“ 选择角色服务”页上的“ 角色服务”中,单击“ 证书颁发机构”,然后单击“ 下一步”。
-
在“ Active Directory证书服务简介”页上,查看提供的信息,然后单击“ 下一步”。
-
在“ 选择角色服务”页面上,确保选择了“ 证书颁发机构”,选择所需的任何其他角色服务,然后单击“ 下一步”。
-
在“ 指定安装程序类型”页面上,确保已选择“ 企业”,然后单击“ 下一步”。
-
在“ 指定CA类型”页面上,单击“ 根CA”,然后单击“ 下一步”。
-
在“ 设置私钥”页面上,确保选择“ 创建新私钥”,然后单击“ 下一步”。
-
在“ 为CA配置密码术”页上,保留默认设置或根据您的要求进行更改。请注意,默认的关键字符长度是2048,这是以前的默认关键字符长度1024的两倍。根据您的网络大小和流量,您可能需要调整关键字符长度的大小。单击下一步。
-
在“ 配置CA名称”页面上,保留建议的CA通用名称或根据您的要求更改名称,然后单击“ 下一步”。
-
在“ 设置有效期”页面上,在“ 选择为此CA生成的证书的有效期”中,键入数字并选择确定CA颁发的证书将过期的日期的时间值(年,月,周或天)。 。建议默认设置为五年。单击下一步。
-
在“ 配置证书数据库”页上的“ 证书数据库位置”和“ 证书数据库日志位置”中,指定这些项目的文件夹位置。如果指定默认位置以外的其他位置,请确保使用访问控制列表(ACL)保护文件夹的安全,这些访问控制列表可防止未经授权的用户或计算机访问CA数据库和日志文件。单击“ 下一步”,然后单击“ 完成”或继续安装您选择的任何其他角色服务。
配置证书模板和自动注册
-
在安装了Active Directory证书服务的计算机上,单击“ 开始”,单击“运行”,键入mmc,然后单击“ 确定”。
-
在“ 文件”菜单上,单击“ 添加/删除管理单元”。将打开“ 添加或删除管理单元”对话框。
-
在“ 可用的管理单元”中,双击“ 证书颁发机构”。选择要管理的CA,然后单击完成。该证书颁发机构对话框关闭,返回到添加或删除管理单元对话框。
-
在“ 可用的管理单元”中,双击“ 证书模板”,然后单击“ 确定”。
-
在控制台树中,单击“ 证书模板”。所有证书模板都显示在详细信息窗格中。
-
在详细信息窗格中,单击“ RAS和IAS服务器”模板。
-
在“ 操作”菜单上,单击“ 复制模板”。在“ 复制模板”对话框中,选择适合您的部署的模板版本,然后单击“ 确定”。将打开新的模板属性对话框。
-
在“ 常规”选项卡上的“ 显示名称”中,为证书模板键入一个新名称或保留默认名称。
-
单击安全选项卡。在“ 组或用户名”中,单击“ RAS和IAS服务器”。
-
在“ RAS和IAS服务器的权限”中,在“ 允许”下,选中“ 注册”和“ 自动注册”权限复选框,然后单击“ 确定”。
-
双击证书颁发机构,双击CA名称,然后单击证书模板。在“ 操作”菜单上,指向“ 新建”,然后单击“要颁发的证书模板”。将打开 “ 启用证书模板”对话框。
-
在“ 启用证书模板”中,单击刚刚配置的证书模板的名称,然后单击“ 确定”。例如,如果您没有更改默认证书模板名称,请单击“ RAS和IAS服务器的副本”,然后单击“ 确定”。
-
在安装了Active Directory域服务(AD DS)的计算机上,单击“ 开始”,单击“运行”,键入mmc,然后单击“ 确定”。
-
在“ 文件”菜单上,单击“ 添加/删除管理单元”。将打开“ 添加或删除管理单元”对话框。
-
在“ 可用的管理单元”中,双击“ 组策略管理编辑器”。将打开“ 选择组策略对象”向导。单击浏览,然后选择默认域策略。单击确定,单击完成,然后再次单击确定。
-
双击默认域策略。打开“ 计算机配置”,“ 策略”,“ Windows设置”,“ 安全设置”,然后选择“ 公钥策略”。
-
在详细信息窗格中,双击“ 证书服务客户端-自动注册”。将打开“ 证书服务客户端-自动注册属性”对话框。
-
在“ 证书服务客户端-自动注册属性”对话框的“ 配置模型”中,选择“ 启用”。
-
选中续订过期的证书,更新暂挂的证书并删除吊销的证书复选框。
-
选中更新使用证书模板的证书复选框,然后单击确定。
刷新组策略
刷新组策略时,运行NPS的服务器会自动注册服务器证书。要刷新组策略,请重新启动服务器,或者在命令提示符下运行gpupdate。
参考链接: