【逗老师带你学IT】Windows Server NPS服务构建基于AD域控的radius认证

时间：2020-11-17 11:58:09 阅读：13 评论：0 收藏：0 [点我收藏+]

标签：图形 radius 路径加密 tps macbook mini type 选中

@TOC
本文介绍使用Windows NPS服务构建radius认证服务器
NPS相比较使用linux freeradius构建认证服务器主要有以下优点：

1、无缝集成微软身份认证，域证书认证，PEAP Windows登录凭据身份认证。
2、无缝集成微软AD域控认证
3、图形化配置，比较形象和直观
4、集成SQL Server记账数据库，后期审计更轻松。

一、Windows Server Network Policy Service（NPS）安装

1、添加角色和功能

技术图片

2、安装网络策略和访问服务

技术图片
安装完成后，点选NAPS在服务器列表中选中需要管理的服务器，右键单击，打开网络策略服务器控制台

二、Windows NPS配置

1、NPS服务器加域

按照常规操作加域，使用域账号登录NPS服务器操作系统。
建议可以为NPS角色服务器建立一个单独的域账号，网内所有NPS服务器使用专用域账号登录。
强烈不建议用Administrator登录！

2、NPS服务器申请AD证书

申请计算机证书
技术图片
在个人上右键单击，所有任务，申请新证书

申请新的计算机证书

3、基于向导创建NPS初始化配置

假设我们网内使用WPA2企业级（enterprise）无线认证或者802.1X有线认证
技术图片
选择认证类型，是为无线认证还是为有线认证
如果，后期有线和无线的认证策略完全一致，这里暂时选啥都可以，后期可以修改匹配策略。

新建RADIUS认证客户端或者选择已有的NAS客户端

选择你想使用的客户端认证方式

Microsoft：智能卡或其他证书：使用Windows计算机加域后申请的用户证书或者计算机证书进行认证
Microsoft：受保护的EAP(PEAP)：调用Windows登录凭据进行认证，无需手动输入用户名和密码
Microsoft：安全密码（EAP-MSCHAP v2）:用户手动输入用户名和密码进行认证

不知道选啥的，随便选，待会还可以改

技术图片
选取允许认证的用户组，可以选择本地用户组或者域内用户组
Domain Users即允许所有域账户进行认证
Domain Computers即允许所有域内计算机以计算机凭据或计算机证书身份进行认证

点完成

4、修改NPS配置文件细节

4.1 添加RADIUS客户端

您一定要知悉，只有添加的客户端才可以使用RADIUS服务器进行认证。因此您的无线AC或者交换机在使用前，请务必先添加RADIUS客户端
技术图片

4.2 连接请求策略

默认会有一条“所有用户使用Windows身份认证”作为兜底策略。
果
技术图片
前面说过，如果你想让LAN 802.1X或无线WPA2 Enterprise使用同一条策略，可以修改我们刚刚创建的策略。将其中的NAS端口类型删除。再添加一个时间策略为7*24小时。这样所有的RADIUS请求都会匹配第一条策略。
如过无线和有线需要匹配不同的用户认证策略，或者还有其他灵活的匹配项，可以添加相应的匹配条件。
策略很灵活，打开你的脑洞，会有很多种不同的应用场景。
技术图片
添加日期和时间限制，可以保证这条策略永远被匹配到。

4.3 网络策略

条件选项卡中删除客户端类型，仅保留需要验证用户组，或者其他你想添加的条件策略。
技术图片
在约束选项卡中，可以配置你想使用的认证方式，不知道怎么选则，并且不怕安全问题的同学可以都勾上

再解释一下几种常见的认证方式

Microsoft：智能卡或其他证书：使用Windows计算机加域后申请的用户证书或者计算机证书进行认证
Microsoft：受保护的EAP(PEAP)：调用Windows登录凭据进行认证，无需手动输入用户名和密码
Microsoft：安全密码（EAP-MSCHAP v2）:用户手动输入用户名和密码进行认证，沿途通过MSCHAP challenge方式加密验证密码
未加密的身份验证：用户手动输入用户名和密码进行认证，RADIUS报文中直接携带明文的用户名和密码。