主页 / server / 问题 / 538802
Accepted
David Mackintosh
Asked: 2013-09-14 11:34:16 +0800 CST

将 Windows 2008 NPS 服务器设置为 Cisco AP541N 集群的 Radius 服务器

  • 772

我有一个 Cisco AP541N 接入点集群。我正在尝试将 Radius 身份验证用于 WPA-Enterprise 身份验证,但我无法让 AP 正确查询服务器。

有谁知道设置 NPS 服务器以提供授权的食谱或配方?

我目前的配置如下。

AP 很简单,它们只有一个 Radius Server IP 字段和一个 Radius Secret 字段。SSID 设置了所有选项:WPA、WPA2、启用预认证、TKIP、CCMP(AES) 和使用全局半径服务器设置。

在服务器上,每个 AP 都被定义为一个客户端,每个都有一个唯一的友好名称(cap-1 到 cap-3)。秘密与 AP 集群上的相同。每个 AP 都被定义为一个 Cisco,并且必须选中 Access-Request Messages 的 Message-Authenticator Set框。

有一个单一的网络策略,设置为:

  • 启用策略
  • 授予访问权限
  • 未指定的网络访问服务器

条件:

  • Windows 组成员资格(用户组)

约束:

  • 认证方式:EAP PEAP 和 EAP-MSCHAPv2;MS-CHAP-v2;多发性硬化症;章; 行动计划/行动计划

设置:

  • 所有标准属性已被删除(PPP 帧类型等)。

当我尝试连接到 AP 时,AP 记录:

 cap-4th-2 hostapd: wlan0vap2: RADIUS Possible issue with RADIUS server connection - no reply received for first three attempts

大约在同一时间,Windows 服务器记录:

NPS: 18: An Access-Request message was received from RADIUS client 10.17.15.247 with a Message-Authenticator attribute that is not valid.
windows-server-2008

1 个回答

  1. Best Answer

    这对我有用。

    在 AP541N 上:

    设置全局半径设置:

    • 半径服务器 IP
    • 半径秘密

    通过选择全部设置要连接的 SSID:

    • 水协
    • WPA2
    • 启用预身份验证
    • TKIP
    • CCMP (AES)
    • 使用全局 RADIUS 服务器设置

    NPS 预配置:

    要安装的角色是网络策略和访问服务,服务是网络策略服务器。

    安装后,右键单击 NPS(本地)并选择在 Active Directory 中注册服务器。

    (另请注意,我通常必须在第一次运行以下配置后停止然后启动 NPS 服务;以后的更改似乎立即生效。)

    定义 RADIUS 客户端:服务器管理器 -> 角色 -> 网络策略和访问 -> NPS(本地)-> Radius 客户端 -> Radius 客户端

    创建一个新客户端:

    • 确保已启用
    • 简短而友好的名字
    • IP 地址或 DNS 名称
    • 手动共享密钥
    • 对集群中的每个 AP 重复此设置。

    定义连接请求策略:

    在连接请求策略下,创建一个新策略。在概览选项卡上:

    • 确保它已启用
    • 网络访问服务器的类型未指定

    在条件选项卡上:

    • 客户端友好名称,设置为与您在上面设置的客户端友好名称相匹配的东西;例如,我有 cap-1、cap-2 和 cap-3,所以我在连接策略中的 Client Friendly Name 是 cap-*

    在设置选项卡上,身份验证方法:

    • 选择覆盖网络策略身份验证设置
    • 添加 EAP 类型 EAP-MSCHAP-v2 和 PEAP
    • 选择 MS-CHAP-v2
    • 选择 MS-CHAP
    • 保留所有其他框未选中

    您不应该需要任何其他值。

    定义网络策略:

    在概览选项卡上:

    • 确保它已启用
    • 授予访问权限
    • 清除忽略用户帐户拨入属性
    • 网络访问服务器类型未指定

    在条件选项卡上:

    • Windows 组:设置为将授予访问权限的 Windows 用户组
    • 客户端友好名称:与上面的连接策略相同

    在约束选项卡上:

    • 将所有内容保留为默认值;但理想情况下,它应该与上面的连接策略相同

    在设置选项卡上:

    • 删除标准半径属性(PPP 框架类型等),因为您不需要它们

    配置域客户端:

    无线属性:

    • 自动连接

    安全选项卡:

    • WPA2-企业
    • AES
    • PEAP
    • 记住我的凭据

    PEAP 设置:

    • 清除验证服务器证书
    • 选择身份验证方法:EAP-MSCHAP-v2
    • 启用快速重新连接

    安全选项卡,高级设置:

    • 指定认证方式:用户认证

    配置非域 Windows 客户端:

    同上,除了:

    EAP-MSCHAP-v2 配置:

    • 清除自动使用我的 Windows 登录名和密码(以及域,如果有)

    进一步细化

    我添加了第二个网络访问策略,该策略允许访问作为特定组成员的计算机。

    然后我将安全选项卡 -> 高级设置 -> 指定身份验证模式更改为计算机身份验证。

    最后,一位同事创建了一个 GPO,它将具有上述设置的预定义 SSID 网络定义推送到所有域成员计算机。

    现在所有域笔记本电脑都会自动连接到无线。

    只要将指定身份验证模式设置为用户身份验证,非域成员计算机仍然可以加入。

    配置平板电脑、手机和非 Windows 计算机留给读者作为练习。

    (对此的进一步更新将出现在我的 wiki 页面上,网址为http://wiki.xdroop.com/space/Windows/Server/2008/Radius+Server+for+Cisco+AP541N

    • 0

相关问题