Windows-Server-2008

將 Windows 2008 NPS 伺服器設置為 Cisco AP541N 集群的 Radius 伺服器

  • January 30, 2015

我有一個 Cisco AP541N 接入點集群。我正在嘗試將 Radius 身份驗證用於 WPA-Enterprise 身份驗證,但我無法讓 AP 正確查詢伺服器。

有誰知道設置 NPS 伺服器以提供授權的食譜或配方?

我目前的配置如下。

AP 很簡單,它們只有一個 Radius Server IP 欄位和一個 Radius Secret 欄位。SSID 設置了所有選項:WPA、WPA2、啟用預認證、TKIP、CCMP(AES) 和使用全域半徑伺服器設置。

在伺服器上,每個 AP 都被定義為一個客戶端,每個都有一個唯一的友好名稱(cap-1 到 cap-3)。秘密與 AP 集群上的相同。每個 AP 都被定義為一個 Cisco,並且必須選中 Access-Request Messages 的 Message-Authenticator Set框。

有一個單一的網路策略,設置為:

  • 啟用策略
  • 授予訪問權限
  • 未指定的網路訪問伺服器

條件:

  • Windows 組成員資格(使用者組)

約束:

  • 認證方式:EAP PEAP 和 EAP-MSCHAPv2;MS-CHAP-v2;多發性硬化症;章; 行動計劃/行動計劃

設置:

  • 所有標準屬性已被刪除(PPP 幀類型等)。

當我嘗試連接到 AP 時,AP 記錄:

cap-4th-2 hostapd: wlan0vap2: RADIUS Possible issue with RADIUS server connection - no reply received for first three attempts

大約在同一時間,Windows 伺服器記錄:

NPS: 18: An Access-Request message was received from RADIUS client 10.17.15.247 with a Message-Authenticator attribute that is not valid.

這對我有用。

在 AP541N 上:

設置全域半徑設置:

  • 半徑伺服器 IP
  • 半徑秘密

通過選擇全部設置要連接的 SSID:

  • 水協
  • WPA2
  • 啟用預身份驗證
  • TKIP
  • CCMP (AES)
  • 使用全域 RADIUS 伺服器設置

NPS 預配置:

要安裝的角色是網路策略和訪問服務,服務是網路策略伺服器。

安裝後,右鍵點擊 NPS(本地)並選擇在 Active Directory 中註冊伺服器。

(另請注意,我通常必須在第一次執行以下配置後停止然後啟動 NPS 服務;以後的更改似乎立即生效。)

定義 RADIUS 客戶端:伺服器管理器 -> 角色 -> 網路策略和訪問 -> NPS(本地)-> Radius 客戶端 -> Radius 客戶端

創建一個新客戶端:

  • 確保已啟用
  • 簡短而友好的名字
  • IP 地址或 DNS 名稱
  • 手動共享密鑰
  • 對集群中的每個 AP 重複此設置。

定義連接請求策略:

在連接請求策略下,創建一個新策略。在概覽選項卡上:

  • 確保它已啟用
  • 網路訪問伺服器的類型未指定

在條件選項卡上:

  • 客戶端友好名稱,設置為與您在上面設置的客戶端友好名稱相匹配的東西;例如,我有 cap-1、cap-2 和 cap-3,所以我在連接策略中的 Client Friendly Name 是 cap-*

在設置選項卡上,身份驗證方法:

  • 選擇覆蓋網路策略身份驗證設置
  • 添加 EAP 類型 EAP-MSCHAP-v2 和 PEAP
  • 選擇 MS-CHAP-v2
  • 選擇 MS-CHAP
  • 保留所有其他框未選中

您不應該需要任何其他值。

定義網路策略:

在概覽選項卡上:

  • 確保它已啟用
  • 授予訪問權限
  • 清除忽略使用者帳戶撥入屬性
  • 網路訪問伺服器類型未指定

在條件選項卡上:

  • Windows 組:設置為將授予訪問權限的 Windows 使用者組
  • 客戶端友好名稱:與上面的連接策略相同

在約束選項卡上:

  • 將所有內容保留為預設值;但理想情況下,它應該與上面的連接策略相同

在設置選項卡上:

  • 刪除標準半徑屬性(PPP 框架類型等),因為您不需要它們

配置域客戶端:

無線屬性:

  • 自動連接

安全選項卡:

  • WPA2-企業
  • AES
  • PEAP
  • 記住我的憑據

PEAP 設置:

  • 清除驗證伺服器證書
  • 選擇身份驗證方法:EAP-MSCHAP-v2
  • 啟用快速重新連接

安全選項卡,高級設置:

  • 指定認證方式:使用者認證

配置非域 Windows 客戶端:

同上,除了:

EAP-MSCHAP-v2 配置:

  • 清除自動使用我的 Windows 登錄名和密碼(以及域,如果有)

進一步細化

我添加了第二個網路訪問策略,該策略允許訪問作為特定組成員的電腦。

然後我將安全選項卡 -> 高級設置 -> 指定身份驗證模式更改為電腦身份驗證。

最後,一位同事創建了一個 GPO,它將具有上述設置的預定義 SSID 網路定義推送到所有域成員電腦。

現在所有域筆記型電腦都會自動連接到無線。

只要將指定身份驗證模式設置為使用者身份驗證,非域成員電腦仍然可以加入。

配置平板電腦、手機和非 Windows 電腦留給讀者作為練習。

(對此的進一步更新將出現在我的 wiki 頁面上,網址為http://wiki.xdroop.com/space/Windows/Server/2008/Radius+Server+for+Cisco+AP541N

引用自:https://serverfault.com/questions/538802