Windows Server 2008 R2 RADIUS 架設(使用電腦憑證驗證)

本來公司無線環境是只要是公司的NB,就會幫用戶設定一組連線的無線帳號密碼

驗證使用的是WPA2且有一組超級長的亂數密碼,所以NB會拿到內部的網段

如果同事自己的手機會是其他裝置,則是會有一組public 的帳號及密碼公布給大家且定期變更密碼,驗證後拿到的IP會無法與內部網段溝通。

如果是外面的客戶則是有一個水單系統會給一張密碼單,可用時效性為1天,1小時,4小時,當用戶選擇guest SSID 連線會導向到一個網頁只要輸入水單的帳號密碼就可以上網,一樣無法連線內部網段。

以上這些我這裡是cisco AP + cisco  Controller WLC 2504  來達成。

但是集團最近改了一個無線連線政策,就是全球辦公室會統一使用特定的SSID(隱藏),讓加入公司網域的電腦利用內部憑證來驗證,也就是當用戶在公司內部輸入自己的AD 帳號密碼後就會自動連線無線網路。

接著還有一個SSID 會是public ,提供給員工自己的個人裝置連線用,但是驗證方式是輸入自己的AD 帳號密碼來驗證就可以,當然驗證後拿到的IP無法與內部溝通。

不過他們有一個前提就是要各辦公室將AP 或是有集中控的的無線控制器全部擔任RADIUS 用戶,指到遠端的RADIUS Server 驗證(國外架設的就是NPS)。

不過這會有一個問題如果VPN 斷線本地端無線就掛了,但是他們不讓各地自己建置RADIUS Server =.=.

但是幸好我之前有安裝一台2008R2 NPS ,且有請前任domian admins 幫我註冊到AD 所以我可以自己來設定 XD。因為WLC 可以設定兩台AAA Server 驗證所以我可以設定先找我本地RADIUS 若本地有問題再找集團那一台。

開啟NPS管理工具,使用精靈模式來設定會是比較簡單

點NPS節點後右邊視窗 > 選擇 [RADIUS server for 802.1X Wireless or Wired Connections]

在點選 [Configure 802.1X]

NPSCA-1

選擇 [Secure Wireless Connections],並自訂一個名稱

NPSCA-2

 

NPSCA-3

選擇驗證方式

若只需要用戶使用密碼驗證,採用EAP-MSCHAPv2

若要更安全建議使用智慧卡或用戶端憑證來驗證

NPSCA-4

新增允許使用無線網路群組,若沒有設定是表是所有人(在此我的環境是允許所有人)

NPSCA-5

流量控制,直接點選下一步

NPSCA-6

接下來精靈畫面會說明會建立連線規則及網路規則各一條,點選完成即可

NPSCA-7

接者就會分別看到精靈建立的兩個原則

NPSCA-8

參考資料

https://msdn.microsoft.com/zh-tw/library/cc759077%28v=ws.10%29.aspx



本篇瀏覽人數: 3536
本篇發表於 2008 R2 NAP, MIS文章-Windows篇。將永久鏈結加入書籤。

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *