Назад | Перейти на главную страницу

Настройка сервера NPS Windows 2008 в качестве радиус-сервера для кластера Cisco AP541N

Имею кластер точек доступа Cisco AP541N. Я пытаюсь использовать аутентификацию Radius для аутентификации WPA-Enterprise, но не могу заставить точки доступа правильно запрашивать сервер.

Кто-нибудь знает поваренную книгу или рецепт настройки сервера NPS для авторизации?

Моя текущая конфигурация выглядит следующим образом.

Точки доступа просты, у них есть только поле IP Radius Server и поле Radius Secret. Для SSID заданы все параметры: WPA, WPA2, Включить предварительную аутентификацию, TKIP, CCMP (AES) и Использовать глобальные настройки сервера Radius.

На сервере каждая AP определяется как клиент, каждый с уникальным понятным именем (от cap-1 до cap-3). Секрет такой же, как и в кластере AP. Каждая точка доступа определяется как Cisco и имеет Сообщения Access-Request должны иметь установленный Message-Authenticator. флажок установлен.

Существует одна сетевая политика, установленная как:

политика включена
Предоставление доступа
неуказанный сервер доступа к сети

Условия:

Членство в группе Windows (группа пользователей)

Ограничения:

Методы аутентификации: EAP PEAP и EAP-MSCHAPv2; MS-CHAP-v2; MS-CHAP; ГЛАВА; PAP / SPAP

Настройки:

все стандартные атрибуты были удалены (тип кадрирования PPP и т. д.).

Когда я пытаюсь подключиться к AP, AP регистрирует:

 cap-4th-2 hostapd: wlan0vap2: RADIUS Possible issue with RADIUS server connection - no reply received for first three attempts

Примерно в то же время сервер Windows регистрирует:

NPS: 18: An Access-Request message was received from RADIUS client 10.17.15.247 with a Message-Authenticator attribute that is not valid.

Это сработало для меня.

На AP541N:

Задайте настройки глобального радиуса:

Радиус IP сервера
Радиус секрет

Установите SSID для подключения, выбрав все:

WPA
WPA2
Включить предварительную аутентификацию
TKIP
CCMP (AES)
Использовать глобальные настройки сервера RADIUS

Предварительная конфигурация NPS:

Устанавливаемая роль - это службы сетевой политики и доступа, служба - это сервер сетевой политики.

После установки щелкните правой кнопкой мыши NPS (локальный) и выберите «Зарегистрировать сервер в Active Directory».

(Также обратите внимание, что мне обычно приходится останавливать, а затем запускать службу NPS после первого прохождения указанной ниже конфигурации; будущие изменения, похоже, вступают в силу сразу.)

Определите клиенты RADIUS: Диспетчер серверов -> Роли -> Сетевая политика и доступ -> NPS (локальный) -> Радиусные клиенты -> Радиусные клиенты.

Создайте нового клиента:

Убедитесь, что он включен
Краткое понятное имя
IP-адрес или DNS-имя
Общий секрет вручную
Повторите эту настройку для каждой точки доступа в кластере.

Определите политику запросов на подключение:

В разделе «Политика запросов на подключение» создайте новую политику. На вкладке обзора:

убедитесь, что он включен
тип сервера доступа к сети не указан

На вкладке Условия:

Дружественное имя клиента, установите любое значение, которое соответствует Дружественным именам клиента, которые вы установили выше; например, у меня есть cap-1, cap-2 и cap-3, поэтому мое удобное для клиента имя в политике подключения - cap- *

На вкладке Параметры выберите методы проверки подлинности:

выберите Переопределить параметры проверки подлинности сетевой политики
Добавить типы EAP EAP-MSCHAP-v2 и PEAP
выберите MS-CHAP-v2
выберите MS-CHAP
оставьте все остальные поля невыделенными

Вам не нужны другие значения.

Определите сетевую политику:

На вкладке Обзор:

убедитесь, что он включен
Предоставление доступа
очистить Игнорировать свойства дозвона учетной записи пользователя
Тип сервера доступа к сети не указан

На вкладке Условия:

Группы Windows: установите для группы пользователей Windows, которая будет предоставлять доступ
Удобное для клиента имя: такое же, как в политике подключения выше

На вкладке Ограничения:

оставьте все по умолчанию; но в идеале он должен выглядеть так же, как и политика подключения выше

На вкладке настроек:

удалите стандартные атрибуты радиуса (тип кадрирования PPP и т. д.), потому что они вам не нужны

Настроить клиентов домена:

Беспроводные свойства:

Подключаться автоматически

Вкладка Безопасность:

WPA2-предприятие
AES
PEAP
Запомнить учетные данные

Настройки PEAP:

очистить Проверить сертификат сервера
Выберите метод аутентификации: EAP-MSCHAP-v2
Включить быстрое повторное подключение

Вкладка Безопасность, Дополнительные настройки:

Укажите режим аутентификации: аутентификация пользователя

Настроить недоменных клиентов Windows:

То же, что и выше, за исключением:

EAP-MSCHAP-v2 Настроить:

снимите флажок Автоматически использовать мое имя для входа в Windows и пароль (и домен, если есть)

Дальнейшие уточнения

Я добавил вторую политику сетевого доступа, которая разрешает доступ к компьютерам, входящим в определенную группу.

Затем я изменил вкладку «Безопасность» -> «Дополнительные параметры» -> «Определить режим проверки подлинности» на «Проверка подлинности компьютера».

Наконец, сотрудник создал объект групповой политики, который отправляет заранее заданное определение сети SSID с указанными выше параметрами на все компьютеры-члены домена.

Теперь все ноутбуки домена автоматически подключаются к беспроводной сети.

Компьютеры, не входящие в домен, могут присоединиться, пока для параметра Указать режим проверки подлинности установлено значение Проверка подлинности пользователя.

Настройка планшетов, телефонов и компьютеров, отличных от Windows, оставлена читателю в качестве упражнения.

(Дальнейшие обновления будут появляться на моей вики-странице по адресу http://wiki.xdroop.com/space/Windows/Server/2008/Radius+Server+for+Cisco+AP541N )