1 本文档详细介绍了如何在windows 2008上安装CA、NPS并配置NPS为radius服务器,实现无线客户端基于802.1X认证的步骤,其中还介绍了一下H3C无线控制器Radius相关一些配置方法。

2 主要配置步骤
1安装Windows 2008服务器及其组件(生成证书)    
2配置AD用户和组;    
3定义NPS策略

4配置无线控制器

5 客户端测试和排错方法

3 安装配置的主要过程

活动目录的安装就不在赘述就是DNS和域的相关配置,以下主要是CA和NPS的安装步骤。

如果你的环境已经有CA,那么只需要安装NPS就可以。域名为opi.com

(1) 安装CA服务

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第1张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第2张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第3张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第4张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第5张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第6张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第7张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第8张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第9张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第10张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第11张图片

CA服务已安装完毕。

(2)为了保证NPS和无线控制机器之间的EAP验证,需要为NPS服务器重新申请服务器证书(证书服务类型为客户端验证和服务器验证,如果已经存在则不需要再次申请)。

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第12张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第13张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第14张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第15张图片

申请完的证书

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第16张图片

(3)下面安装NPS服务

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第17张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第18张图片

选择“网络策略和访问服务”角色,点击下一步:

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第19张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第20张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第21张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第22张图片

(4)下面开始配置NPS,首选需要创建网络策略和连接请求策略

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第23张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第24张图片

添加Radius客户端

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第25张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第26张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第27张图片

选择受保护的EAP(PEAP)类型

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第28张图片

此页面可无需过多配置

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第29张图片

最后最确认一下所有配置

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第30张图片

基本策略已经建立完毕了,但是需要更改网络策略的几项设置:

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第31张图片

用户

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第32张图片

条件可以设置也可以不用设置,如果要限定Radius连接的用户组的话需要在这里单独设置,如果不设置默认所有用户都可以Radius验证。

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第33张图片

这里主要对应无线控制器的802.1X验证方案。此设置很关键,如果不匹配就出现用户无法验证的状况。安全等级由上及下依次降低。本方案选择的是EAP所有CHAP相关配置可以不勾选。

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第34张图片

关于受保护的EAP的证书,选择编辑:

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第35张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第36张图片

这里是关于Radius标准的设置,需要对应无线控制器相关SSID VLAN的设置

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第37张图片

查看连接请求策略配置

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第38张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第39张图片

条件可以限定也可以不限定

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第40张图片

所有NPS配置已经完毕

4 H3C无线控制器的配置,这里主要是Radius方面的配置

radius scheme opi.com

server-type extended

primary authentication 10.2.254.201 这里的IP是NPS服务器的IP

primary accounting 10.2.254.201 这里的IP是NPS服务器的IP

key authentication simple 123456 这是与NPS客户端配置中的共享密钥

key accounting simple 123456 这是与NPS客户端配置中的共享密钥

user-name-format without-domain 很关键

nas-ip 192.168.2.253 如果你的AC有多个IP一定要指定

domain opi.com 自定义一个验证域,可无需与Radius匹配

authentication lan-access radius-scheme opi.com

authorization lan-access radius-scheme opi.com

accounting lan-access radius-scheme opi.com

access-limit disable

state active

idle-cut disable

self-service-url disable

5 客户端验证,日志查询和排错

(1) Windows8.1客户端验证

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第41张图片

(2) 输入域用户和密码

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第42张图片

(3) 如果客户端没有装跟证书,则会出现此提示,点击连接即可。

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第43张图片

(4) 已连接成功

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第44张图片

(4)查询日志。验证是否与域控制器创建连接

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第45张图片

(5)用户验证通过

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第46张图片

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第47张图片

(6)排错:

第一种:这种情况一般是网络策略客户端验证配置错误。检查是否与AC配置一致

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第48张图片

第二种:此种情况验证网络策略的EAP是否正确选择了服务器证书。

H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证_第49张图片

第三种情况:

出现NPS错误(提示无法验证Radius数据包)这种原因一般是Radius客户端配置错误