H3C无线控制器与Windows2008NPS结合实现无线终端的802.1X认证

1 本文档详细介绍了如何在windows 2008上安装CA、NPS并配置NPS为radius服务器，实现无线客户端基于802.1X认证的步骤，其中还介绍了一下H3C无线控制器Radius相关一些配置方法。

2 主要配置步骤
1安装Windows 2008服务器及其组件（生成证书）    
2配置AD用户和组；    
3定义NPS策略

4配置无线控制器

5 客户端测试和排错方法

3 安装配置的主要过程

活动目录的安装就不在赘述就是DNS和域的相关配置，以下主要是CA和NPS的安装步骤。

如果你的环境已经有CA，那么只需要安装NPS就可以。域名为opi.com

(1) 安装CA服务

CA服务已安装完毕。

（2）为了保证NPS和无线控制机器之间的EAP验证，需要为NPS服务器重新申请服务器证书（证书服务类型为客户端验证和服务器验证，如果已经存在则不需要再次申请）。

申请完的证书

（3）下面安装NPS服务

选择“网络策略和访问服务”角色，点击下一步：

(4)下面开始配置NPS，首选需要创建网络策略和连接请求策略

添加Radius客户端

选择受保护的EAP（PEAP）类型

此页面可无需过多配置

最后最确认一下所有配置

基本策略已经建立完毕了，但是需要更改网络策略的几项设置：

用户

条件可以设置也可以不用设置，如果要限定Radius连接的用户组的话需要在这里单独设置，如果不设置默认所有用户都可以Radius验证。

这里主要对应无线控制器的802.1X验证方案。此设置很关键，如果不匹配就出现用户无法验证的状况。安全等级由上及下依次降低。本方案选择的是EAP所有CHAP相关配置可以不勾选。

关于受保护的EAP的证书，选择编辑：

这里是关于Radius标准的设置，需要对应无线控制器相关SSID VLAN的设置

查看连接请求策略配置

条件可以限定也可以不限定

所有NPS配置已经完毕

4 H3C无线控制器的配置，这里主要是Radius方面的配置

radius scheme opi.com

server-type extended

primary authentication 10.2.254.201 这里的IP是NPS服务器的IP

primary accounting 10.2.254.201 这里的IP是NPS服务器的IP

key authentication simple 123456 这是与NPS客户端配置中的共享密钥

key accounting simple 123456 这是与NPS客户端配置中的共享密钥

user-name-format without-domain 很关键

nas-ip 192.168.2.253 如果你的AC有多个IP一定要指定

domain opi.com 自定义一个验证域，可无需与Radius匹配

authentication lan-access radius-scheme opi.com

authorization lan-access radius-scheme opi.com

accounting lan-access radius-scheme opi.com

access-limit disable

state active

idle-cut disable

self-service-url disable

5 客户端验证，日志查询和排错

（1） Windows8.1客户端验证

（2） 输入域用户和密码

（3） 如果客户端没有装跟证书,则会出现此提示,点击连接即可。

（4） 已连接成功

（4）查询日志。验证是否与域控制器创建连接

（5）用户验证通过

（6）排错：

第一种：这种情况一般是网络策略客户端验证配置错误。检查是否与AC配置一致

第二种：此种情况验证网络策略的EAP是否正确选择了服务器证书。

第三种情况：

出现NPS错误（提示无法验证Radius数据包）这种原因一般是Radius客户端配置错误