WindowsServer搭建radius认证服务器

2020年11月22日 阅读数:12
这篇文章主要向大家介绍WindowsServer搭建radius认证服务器,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

radius简介

RADIUS(Remote Authentication Dial-In User Server,远程认证拨号用户服务)是一种分布式的、C/S架构的信息交互协议,能包含网络不受未受权访问的干扰,常应用在既要求较高安全性、又容许远程用户访问的各类网络环境中。数据库

协议定义了基于UDP(User Datagram Protocol)的RADIUS报文格式及其传输机制,并规定UDP端口18十二、1813分别做为认证、计费端口。windows

若是是思科设备:认证和受权端口为UDP1645,计费端口1646.安全

RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入等。它经过认证受权来提供接入服务,经过计费来收集、记录用户对网络资源的使用。服务器

环境信息

本文为以前搭建记录,使用了WinServer2016做为AD,安装了NPS功能做为radius认证服务器,radius客户端为UniFi AP。策略需求为限定某个用户组只能链接AP指定的SSID。须要部署CA和NPS服务器证书,缺乏证书从事件查看器中会看到报错:“客户端不能身份验证,由于可扩展的身份验证协议(EAP)不能被服务器处理”。网络

设置网络策略服务器NPS

Win+R运行输入mmc,打开Microsoft管理控制台(MMC),添加NPS管理单元。架构

配置radius客户端

添加所用radius客户端(UniFi AP),填写友好名称与地址,和共享机密。less

配置策略

链接请求策略:能够使用默认的“全部用户使用 Windows 身份验证”策略,若是有特殊需求能够新建自定义策略。编辑器

网络策略:分布式

  1. 新建策略-输入策略名称。
  2. 添加条件-能够指定用户组、日期和时间限制、链接属性等,我须要根据用户组来限定可链接的SSID,因此条件只加了用户组。
  3. 指定访问权限-已授予访问权限。
  4. 配置身份验证方法-添加EAP,选择受保护的EAP(PEAP)、安全密码(EAP-MSCHAP v2),安全级别较低的身份验证方法默认便可。
  5. 配置约束-被叫站ID,勾选,并在输入框中输入模糊匹配的SSID名称,NAS端口类型选择无线-IEEE802.11 。好比只容许ceo用户组链接leader这个ssid,第二步添加条件的地方选择ceo用户组,在该步被叫站ID中输入 .*[leader] 

添加完后再根据须要添加其余网络策略。ide

部署CA和NPS服务器证书

如下为翻译的微软的docs,建议参考原文连接:https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc730811(v=ws.11)

NPS服务器证书注册的配置过程分为三个阶段:

  1. 安装AD CS服务器角色仅当您还没有在网络上部署证书颁发机构(CA)时,才须要执行此步骤。
  2. 配置服务器证书模板和自动注册
  3. 在运行NPS的服务器上刷新组策略

安装Active Directory证书服务

  1. 以Enterprise Admins组和根域Domain Admins组的成员身份登陆。

  2. 单击开始,单击管理工具,而后单击服务器管理器服务器管理器控制台打开。在左窗格中,单击“ 角色”,而后在详细信息窗格中,单击“ 添加角色”

  3. 打开“ 添加角色”向导。单击下一步

  4. 在“ 选择服务器角色”页上的“ 角色”中,选择“ Active Directory证书服务”,而后单击“ 下一步”两次。

  5. 在“ 选择角色服务”页上的“ 角色服务”中,单击“ 证书颁发机构”,而后单击“ 下一步”

  6. 在“ Active Directory证书服务简介”页上,查看提供的信息,而后单击“ 下一步”

  7. 在“ 选择角色服务”页面上,确保选择了“ 证书颁发机构”,选择所需的任何其余角色服务,而后单击“ 下一步”

  8. 在“ 指定安装程序类型”页面上,确保已选择“ 企业”,而后单击“ 下一步”

  9. 在“ 指定CA类型”页面上,单击“ 根CA”,而后单击“ 下一步”

  10. 在“ 设置私钥”页面上,确保选择“ 建立新私钥”,而后单击“ 下一步”

  11. 在“ 为CA配置密码术”页上,保留默认设置或根据您的要求进行更改。请注意,默认的关键字符长度是2048,这是之前的默认关键字符长度1024的两倍。根据您的网络大小和流量,您可能须要调整关键字符长度的大小。单击下一步

  12. 在“ 配置CA名称”页面上,保留建议的CA通用名称或根据您的要求更更名称,而后单击“ 下一步”

  13. 在“ 设置有效期”页面上,在“ 选择为此CA生成的证书的有效期”中,键入数字并选择肯定CA颁发的证书将过时的日期的时间值(年,月,周或天)。 。建议默认设置为五年。单击下一步

  14. 在“ 配置证书数据库”页上的“ 证书数据库位置”和“ 证书数据库日志位置”中,指定这些项目的文件夹位置。若是指定默认位置之外的其余位置,请确保使用访问控制列表(ACL)保护文件夹的安全,这些访问控制列表可防止未经受权的用户或计算机访问CA数据库和日志文件。单击“ 下一步”,而后单击“ 完成”或继续安装您选择的任何其余角色服务。

配置证书模板和自动注册

  1. 在安装了Active Directory证书服务的计算机上,单击“ 开始”,单击“运行”,键入mmc,而后单击“ 肯定”

  2. 在“ 文件”菜单上,单击“ 添加/删除管理单元”打开“ 添加或删除管理单元”对话框。

  3. 在“ 可用的管理单元”中,双击“ 证书颁发机构”选择要管理的CA,而后单击完成证书颁发机构对话框关闭,返回到添加或删除管理单元对话框。

  4. 在“ 可用的管理单元”中,双击“ 证书模板”,而后单击“ 肯定”

  5. 在控制台树中,单击“ 证书模板”全部证书模板都显示在详细信息窗格中。

  6. 在详细信息窗格中,单击“ RAS和IAS服务器”模板。

  7. 在“ 操做”菜单上,单击“ 复制模板”在“ 复制模板”对话框中,选择适合您的部署的模板版本,而后单击“ 肯定”将打开新的模板属性对话框。

  8. 在“ 常规”选项卡上的“ 显示名称”中,为证书模板键入一个新名称或保留默认名称。

  9. 单击安全选项卡。在“ 组或用户名”中,单击“ RAS和IAS服务器”

  10. “ RAS和IAS服务器的权限”中,在“ 容许”,选中“ 注册”和“ 自动注册”权限复选框,而后单击“ 肯定”

  11. 双击证书颁发机构,双击CA名称,而后单击证书模板在“ 操做”菜单上,指向“ 新建”,而后单击“要颁发的证书模板”打开 “ 启用证书模板”对话框。

  12. 在“ 启用证书模板”中,单击刚刚配置的证书模板的名称,而后单击“ 肯定”例如,若是您没有更改默认证书模板名称,请单击“ RAS和IAS服务器的副本”,而后单击“ 肯定”

  13. 在安装了Active Directory域服务(AD DS)的计算机上,单击“ 开始”,单击“运行”,键入mmc,而后单击“ 肯定”

  14. 在“ 文件”菜单上,单击“ 添加/删除管理单元”打开“ 添加或删除管理单元”对话框。

  15. 在“ 可用的管理单元”中,双击“ 组策略管理编辑器”打开“ 选择组策略对象”向导。单击浏览,而后选择默认域策略单击肯定,单击完成,而后再次单击肯定

  16. 双击默认域策略打开“ 计算机配置”,“ 策略”,“ Windows设置”,“ 安全设置”,而后选择“ 公钥策略”

  17. 在详细信息窗格中,双击“ 证书服务客户端-自动注册”打开“ 证书服务客户端-自动注册属性”对话框。

  18. 在“ 证书服务客户端-自动注册属性”对话框的“ 配置模型”中,选择“ 启用”

  19. 选中续订过时的证书,更新暂挂的证书并删除吊销的证书复选框。

  20. 选中更新使用证书模板的证书复选框,而后单击肯定

刷新组策略

刷新组策略时,运行NPS的服务器会自动注册服务器证书。要刷新组策略,请从新启动服务器,或者在命令提示符下运行gpupdate


 

参考连接:

https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc730811(v=ws.11)

https://docs.microsoft.com/zh-cn/windows-server/networking/core-network-guide/cncg/wireless/b-wireless-access-deploy-overview