环境介绍:
AD一台,包含CA证书服务
RADIUS成员服务器一台
AP多台
客户电脑多台
前提:AD上安装并配置企业域根证书服务,过程略,可以参考下文件:
http://ericfu.blog.51cto.com/416760/1624791
1、将RADIUS服务器加入域,并以域账号登录,开始、运行MMC
2、添加本机证书管理工具
3、打开个人证书
4、在空白地方点右键,申请证书
5、下一步、下一步
6、系统自动找到当前可申请的证书类型,如果有多项,请只选择计算机,然后点注册
8、自动完成证书申请!
9、在证书管理界面可以看到已经生成的证书,正常应该显示为二级证书,上面会有一个企业域的根证书
10、添加Server Manager中,添加NAP角色
11、添加完成后,打开NPS管理控制台,在标准配置下,选择:RADIUS Server for 802.1x Wireless or Wired Connections
12、选择:Secure Wireless Connections
13、添加RADIUS客户端设备,即需要配置RADIUS认证的无线AP
14、输入AP的设备名称,IP地址,AP和RADIUS服务器之前认证需要的密码,后面配置AP时需要,可以重复添加多个AP,完成后下一步
15、选择认证方式 PEAP
16、选择好后,要以点击配置,查看EPAP信息,确认当前使用的证书,是在步骤9中申请的证书!
17、添加允许通过RADIUS认证的用户或组,可以选择自已需要的AD组,这里我选择所有域用户
18、直接下一步、完成!
19、完成后,回到NPS管理窗口主界面,打开NPS\Policies\Network Policies,可以看到刚才配置成功的:Secure Wireless Connections,双击打开,进到Constraints,清空红色方框内的选项
20、进到Settings,可以选择删除PPP
21、确认退出,到此Windows端的Radius配置完成,下面有两种AP为例,进行Wi-Fi SSID中的RADIUS认证配置
22、CISCO AP中的配置,打开界面,进到Security\Server Manager,添加RADIUS服务器,
Server:即前面配置的Windows 2012 Radius服务器的IP地址
密码:为步骤14中输入的密码,AP的IP和密码要对应!
23、对应的命令如下:
radius-server host 10.132.176.10 auth-port 1812 acct-port 1813 key 7 ********
aaa authentication login eap_methods group rad_eap
aaa group server radius rad_eap
server 10.132.176.10 auth-port 1812 acct-port 1813
24、在SSID管理中,指定认证方式如下
25、对应的命令如下:
dot11 ssid WiFipeap
vlan 180
authentication open eap eap_methods
authentication network-eap eap_methods
26、为对应的VLAN开启WEP Encryption
27、对应的命令如下,如果有多个频率,如果需要的话,刚需要分加配置
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 180 mode wep mandatory
!
28、其它两种AP的配置方式,方法一样,选在Radius Server中,加入Radius服务器IP,以及步骤14中输入的密码(AP的IP和密码要对应)!
29、选择认证方式为WPA2 With Radius,有些设备上会称为:WPA2 AES/WPA2企业级等
30、RADIUS/AP配置完成!