將 Windows 2008 NPS 伺服器設置為 Cisco AP541N 集群的 Radius 伺服器
我有一個 Cisco AP541N 接入點集群。我正在嘗試將 Radius 身份驗證用於 WPA-Enterprise 身份驗證,但我無法讓 AP 正確查詢伺服器。
有誰知道設置 NPS 伺服器以提供授權的食譜或配方?
我目前的配置如下。
AP 很簡單,它們只有一個 Radius Server IP 欄位和一個 Radius Secret 欄位。SSID 設置了所有選項:WPA、WPA2、啟用預認證、TKIP、CCMP(AES) 和使用全域半徑伺服器設置。
在伺服器上,每個 AP 都被定義為一個客戶端,每個都有一個唯一的友好名稱(cap-1 到 cap-3)。秘密與 AP 集群上的相同。每個 AP 都被定義為一個 Cisco,並且必須選中 Access-Request Messages 的 Message-Authenticator Set框。
有一個單一的網路策略,設置為:
- 啟用策略
- 授予訪問權限
- 未指定的網路訪問伺服器
條件:
- Windows 組成員資格(使用者組)
約束:
- 認證方式:EAP PEAP 和 EAP-MSCHAPv2;MS-CHAP-v2;多發性硬化症;章; 行動計劃/行動計劃
設置:
- 所有標準屬性已被刪除(PPP 幀類型等)。
當我嘗試連接到 AP 時,AP 記錄:
cap-4th-2 hostapd: wlan0vap2: RADIUS Possible issue with RADIUS server connection - no reply received for first three attempts大約在同一時間,Windows 伺服器記錄:
NPS: 18: An Access-Request message was received from RADIUS client 10.17.15.247 with a Message-Authenticator attribute that is not valid.
這對我有用。
在 AP541N 上:
設置全域半徑設置:
- 半徑伺服器 IP
- 半徑秘密
通過選擇全部設置要連接的 SSID:
- 水協
- WPA2
- 啟用預身份驗證
- TKIP
- CCMP (AES)
- 使用全域 RADIUS 伺服器設置
NPS 預配置:
要安裝的角色是網路策略和訪問服務,服務是網路策略伺服器。
安裝後,右鍵點擊 NPS(本地)並選擇在 Active Directory 中註冊伺服器。
(另請注意,我通常必須在第一次執行以下配置後停止然後啟動 NPS 服務;以後的更改似乎立即生效。)
定義 RADIUS 客戶端:伺服器管理器 -> 角色 -> 網路策略和訪問 -> NPS(本地)-> Radius 客戶端 -> Radius 客戶端
創建一個新客戶端:
- 確保已啟用
- 簡短而友好的名字
- IP 地址或 DNS 名稱
- 手動共享密鑰
- 對集群中的每個 AP 重複此設置。
定義連接請求策略:
在連接請求策略下,創建一個新策略。在概覽選項卡上:
- 確保它已啟用
- 網路訪問伺服器的類型未指定
在條件選項卡上:
- 客戶端友好名稱,設置為與您在上面設置的客戶端友好名稱相匹配的東西;例如,我有 cap-1、cap-2 和 cap-3,所以我在連接策略中的 Client Friendly Name 是 cap-*
在設置選項卡上,身份驗證方法:
- 選擇覆蓋網路策略身份驗證設置
- 添加 EAP 類型 EAP-MSCHAP-v2 和 PEAP
- 選擇 MS-CHAP-v2
- 選擇 MS-CHAP
- 保留所有其他框未選中
您不應該需要任何其他值。
定義網路策略:
在概覽選項卡上:
- 確保它已啟用
- 授予訪問權限
- 清除忽略使用者帳戶撥入屬性
- 網路訪問伺服器類型未指定
在條件選項卡上:
- Windows 組:設置為將授予訪問權限的 Windows 使用者組
- 客戶端友好名稱:與上面的連接策略相同
在約束選項卡上:
- 將所有內容保留為預設值;但理想情況下,它應該與上面的連接策略相同
在設置選項卡上:
- 刪除標準半徑屬性(PPP 框架類型等),因為您不需要它們
配置域客戶端:
無線屬性:
- 自動連接
安全選項卡:
- WPA2-企業
- AES
- PEAP
- 記住我的憑據
PEAP 設置:
- 清除驗證伺服器證書
- 選擇身份驗證方法:EAP-MSCHAP-v2
- 啟用快速重新連接
安全選項卡,高級設置:
- 指定認證方式:使用者認證
配置非域 Windows 客戶端:
同上,除了:
EAP-MSCHAP-v2 配置:
- 清除自動使用我的 Windows 登錄名和密碼(以及域,如果有)
進一步細化
我添加了第二個網路訪問策略,該策略允許訪問作為特定組成員的電腦。
然後我將安全選項卡 -> 高級設置 -> 指定身份驗證模式更改為電腦身份驗證。
最後,一位同事創建了一個 GPO,它將具有上述設置的預定義 SSID 網路定義推送到所有域成員電腦。
現在所有域筆記型電腦都會自動連接到無線。
只要將指定身份驗證模式設置為使用者身份驗證,非域成員電腦仍然可以加入。
配置平板電腦、手機和非 Windows 電腦留給讀者作為練習。
(對此的進一步更新將出現在我的 wiki 頁面上,網址為http://wiki.xdroop.com/space/Windows/Server/2008/Radius+Server+for+Cisco+AP541N)