基于Windows 2012R2 AD RADIUS无线认证

环境介绍：

AD一台，包含CA证书服务

RADIUS成员服务器一台

AP多台

客户电脑多台

前提：AD上安装并配置企业域根证书服务，过程略，可以参考下文件：

http://ericfu.blog.51cto.com/416760/1624791

1、将RADIUS服务器加入域，并以域账号登录，开始、运行MMC

2、添加本机证书管理工具

3、打开个人证书

4、在空白地方点右键，申请证书

5、下一步、下一步

6、系统自动找到当前可申请的证书类型，如果有多项，请只选择计算机，然后点注册

8、自动完成证书申请！

9、在证书管理界面可以看到已经生成的证书，正常应该显示为二级证书，上面会有一个企业域的根证书

10、添加Server Manager中，添加NAP角色

11、添加完成后，打开NPS管理控制台，在标准配置下，选择：RADIUS Server for 802.1x Wireless or Wired Connections

12、选择：Secure Wireless Connections

13、添加RADIUS客户端设备，即需要配置RADIUS认证的无线AP

14、输入AP的设备名称，IP地址，AP和RADIUS服务器之前认证需要的密码，后面配置AP时需要，可以重复添加多个AP，完成后下一步

15、选择认证方式 PEAP

16、选择好后，要以点击配置，查看EPAP信息，确认当前使用的证书，是在步骤9中申请的证书！

17、添加允许通过RADIUS认证的用户或组，可以选择自已需要的AD组，这里我选择所有域用户

18、直接下一步、完成！

19、完成后，回到NPS管理窗口主界面，打开NPS\Policies\Network Policies，可以看到刚才配置成功的：Secure Wireless Connections，双击打开，进到Constraints，清空红色方框内的选项

20、进到Settings,可以选择删除PPP

21、确认退出，到此Windows端的Radius配置完成，下面有几种AP为例，进行Wi-Fi SSID中的RADIUS认证配置

22、CISCO AP中的配置，打开界面，进到Security\Server Manager，添加RADIUS服务器，

Server：即前面配置的Windows 2012 Radius服务器的IP地址

密码：为步骤14中输入的密码，AP的IP和密码要对应！

23、对应的命令如下：

radius-server host 10.132.176.10 auth-port 1812 acct-port 1813 key 7 ********

aaa authentication login eap_methods group rad_eap

aaa group server radius rad_eap

server 10.132.176.10 auth-port 1812 acct-port 1813

24、在SSID管理中，指定认证方式如下

25、对应的命令如下：

dot11 ssid WiFipeap

vlan 180

authentication open eap eap_methods

authentication network-eap eap_methods

26、为对应的VLAN开启WEP Encryption

27、对应的命令如下，如果有多个频率，都需要，刚要分别配置

interface Dot11Radio0

no ip address

no ip route-cache

!

encryption vlan 180 mode wep mandatory

!

28、其它两种AP的配置方式，方法一样，选在Radius Server中，加入Radius服务器IP，以及步骤14中输入的密码(AP的IP和密码要对应)！

29、选择认证方式为WPA2 With Radius,有些设备上会称为：WPA2 AES/WPA2企业级等

30、RADIUS/AP配置完成!