服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 将Windows 2008 NPS服务器设置为Cisco AP541N群集的Radius服务器
Intereting Posts
Microsoft Office Communicator 2007 R2无法将video通话发送给多个用户 如何使用ansiblefind第二个NIC的名称? 设置centos来自动应用更新 我在哪里可以findOpenLDAP的内build对象类和属性列表? 在运行时将logging添加到HTTP服务器 如何testing来自客户端的LDAP连接 / etc / ssh /用于什么密钥? 无法通过PostFix在networking外部发送邮件 结合dig + short命令 确切的过程,locking帐户? 默认情况下,Exchange用户是否有能力导出邮箱? Windows 2008 Server上的死网关检测 Windows XP专业版 – SP3安装后运行菜单自动完成问题 Debian 7.8上的Apache 2.4.9 – 不允许使用.htaccess选项 按时间和大小限制tcpdump捕获文件

将Windows 2008 NPS服务器设置为Cisco AP541N群集的Radius服务器

我有一个Cisco AP541N接入点集群。 我正在尝试使用Radius身份validation进行WPA-Enterprise身份validation,但我无法使AP正确查询服务器。

有没有人知道一个食谱或配方设置NPS服务器提供授权?

我目前的configuration如下。

AP很简单,它们只有一个Radius服务器IP字段和一个Radius Secret字段。 SSID具有以下所有选项:WPA,WPA2,启用预authentication,TKIP,CCMP(AES)和使用全局Radius服务器设置。

在服务器上,每个AP被定义为一个客户端,每个AP都有一个唯一的友好名称(cap-1到cap-3)。 秘密和AP群集一样。 每个AP被定义为思科,并且访问请求消息必须检查消息authentication器设置框。

有一个单一的networking策略,设置为:

  • 政策启用
  • 授予访问权限
  • 未指定的networking访问服务器

条件:

  • Windows组成员资格(用户组)

约束:

  • 身份validation方法:EAP PEAP和EAP-MSCHAPv2; MS-CHAP-V2; MS-CHAP; CHAP; PAP / SPAP

设置:

  • 所有的标准属性已经被删除(PPP成帧types等)。

当我尝试连接到AP时,APlogging: 

cap-4th-2 hostapd: wlan0vap2: RADIUS Possible issue with RADIUS server connection - no reply received for first three attempts

大约在同一时间,Windows服务器logging: 

 NPS: 18: An Access-Request message was received from RADIUS client 10.17.15.247 with a Message-Authenticator attribute that is not valid.

这对我有效。

在AP541N上:

设置全局半径设置:

  • Radius服务器IP
  • 半径秘密

通过select全部来设置要连接的SSID:

  • WPA
  • WPA2
  • 启用预authentication
  • TKIP
  • CCMP(AES)
  • 使用全球RADIUS服务器设置

NPS预configuration:

要安装的angular色是networking策略和访问服务,该服务是networking策略服务器。

安装后,右键单击NPS(本地),然后select在Active Directory中注册服务器。

(另外请注意,我通常不得不停下来,然后在第一次运行下面的configuration之后启动NPS服务;将来的更改似乎立即生效。)

定义RADIUS客户端:服务器pipe理器 – >angular色 – >networking策略和访问 – > NPS(本地) – > Radius客户端 – > Radius客户端

创build一个新的客户端:

  • 确保它已启用
  • 简短,友好的名字
  • IP地址或DNS名称
  • 手动共享的秘密
  • 为集群中的每个AP重复此设置。

定义连接请求策略:

在“连接请求策略”下,创build一个新策略。 在“概览”选项卡上:

  • 确保它已启用
  • networking访问服务器的types是未指定的

在条件选项卡上:

  • 客户友好名称,设置为与上面设置的客户友好名称相符的名称; 例如,我有cap-1,cap-2和cap-3,所以我在连接策略中的客户端友好名称是cap- *

在设置选项卡上,身份validation方法:

  • select覆盖networking策略authentication设置
  • 添加EAPtypesEAP-MSCHAP-v2和PEAP
  • selectMS-CHAP-v2
  • selectMS-CHAP
  • 所有其他的箱子都不被选中

你不应该需要任何其他的值。

定义networking策略:

在“概览”选项卡上:

  • 确保它已启用
  • 授予访问权限
  • 清除忽略用户帐户拨入属性
  • networking访问服务器的types是未指定的

在条件选项卡上:

  • Windows组:设置为将授予访问权限的Windows用户组
  • 客户端友好名称:与上述连接策略相同

在约束选项卡上:

  • 把所有东西都作为缺省 但理想情况下,它应该看起来像上面的连接策略一样

在设置选项卡上:

  • 删除标准半径属性(PPP帧types等),因为你不需要它们

configuration域客户端:

无线属性:

  • 自动连接

安全选项卡:

  • WPA2企业版
  • AES
  • PEAP
  • 记住我的凭据

PEAP设置:

  • 清除validation服务器证书
  • selectauthentication方法:EAP-MSCHAP-v2
  • 启用快速重新连接

安全选项卡,高级设置:

  • 指定authentication模式:用户authentication

configuration非域Windows客户端:

如上所述,除了:

EAP-MSCHAP-v2configuration:

  • 清除自动使用我的Windowslogin名和密码(和域名,如果有的话)

进一步细化

我添加了第二个networking访问策略,允许访问属于特定组的成员的计算机。

然后,我将安全选项卡 – >高级设置 – >指定validation模式更改为计算机validation。

最后,一名同事创build了一个GPO,将上述设置的预定义SSIDnetworking定义推送到所有域成员计算机。

现在所有域名笔记本电脑都自动连接到无线networking。

只要指定authentication模式设置为用户authentication,非域成员计算机仍然可以join。

configuration平板电脑,电话和非Windows计算机作为读者的练习。

(进一步更新将出现在我的维基页面http://wiki.xdroop.com/space/Windows/Server/2008/Radius+Server+for+Cisco+AP541N