Wifi实现AD认证

一、必备条件 (1)

二、无线802.1x认证配置概要 (1)

三、认证配置 (2)

3.1. 安装Radius及证书 (2)

3.2. 配置证书 (2)

3.3. 配置Radius (2)

3.3.1. Windows2008配置 (2)

3.3.2. Windows2003配置 (11)

四、AP设置 (18)

1. 接线方式 (18)

2. 设置无线认证方式 (18)

3. Linksys EA系列配置 (18)

五、防火墙配置 (19)

六、使用组策略创建无线配置文件–可以不使用 (20)

七、客户端配置 (21)

7.1 PC连接WIFI (21)

7.2 Win7系统手动创建无线配置文件 (21)

7.3 移动设备连接Wifi (26)

八、测试报告 (26)

目的-测试本地AD帐号验证及KLCL邮箱帐号验证 (26)

网络环境 (27)

本地AD帐号验证 (28)

KLCL邮箱帐号验证 (32)

目的-测试Guest网络访问权限 (35)

网络环境 (35)

一、必备条件

1、AP的无线加密方式必须支持WPA企业认证（WPA Enterprise）或WPA2企业级认证（WPA2 Enterprise）。

2、AP支持双SSID、无线VLAN。

3、AD、Radius服务器、证书。

二、无线802.1x认证配置概要

1、AP的Internet接入方式设为桥接模式，并设置一个静态IP地址。

2、AP无线安全设置启用WPA/WPA2企业级加密方式。

3、AP中Radius共享密钥必须和Radius服务器创建的对应AP的Radius客户端的共享密钥一致。

4、AP中Radius服务器地址填本地Radius服务器地址。

5、在Radius服务器创建Radius客户端，客户端的IP地址填AP的IP。

6、在Radius服务器里面创建两条连接策略：第一条策略用于本地用户通过Radius服务器与本地AD集成验证，第

二条策略通过本地Radius服务器把用户的验证信息转发到HQ的Radius服务器上验证。

7、NPS启用在Active Directory中注册服务器。

8、NPS网络策略条件需要添加NAS端口类型（无线和无线其它）、能验证的用户或组。

9、第一条策略的身份验证方法选择PEAP，Radius服务器需要配置本地证书给PEAP提供证书。

10、本地防火墙中需要添加一条策略拒绝AP访问BOVPN网络，并且在BOVPN策略里面开放1812、1813端口。

11、Windows2003配置远程Radius服务器做身份验证需要在策略状况里面对“User-Name”使用正规式对KLCL

邮箱帐号匹配，并且在“编辑配置文件”的“高级”选项卡里面添加“Remote-RADIUS-to-Windows-User-Mapping”

值设为真。

三、认证配置

3.1.安装Radius及证书

1、Windows2003在服务器控制面板–“添加删除程序”–“添加删除windows组件”里面安装及证书服务及

“Internet验证服务”（在网络服务里面）。

2、Windows2008在控制面板-“管理工具”中打开“服务器管理器”添加“角色”，必须选中“网络策略和访问服

务”。

3.2.配置证书

1、在运行里面输入MMC打开控制台，添加管理单元“证书”，在“证书管理单元”窗口选择“计算机账户”。

2、展开“证书（本地计算机）”-“个人”-“证书”；右键单击“证书”，选择“所有任务”，“申请新证书”，证书类

型选择“域控制器”或者导入一个已经存在的证书。

3.3.配置Radius

在“管理工具”里面打开“Internet验证服务”/“网络策略服务器”

3.3.1.Windows2008配置

1、创建Radius客户端

打开“网络策略服务器”，展会“RADIUS客户端和服务器”，在“Radius客户端”上面点右键选择“新建Radius客户端”

如果NPS和域控装载一台服务器上，请在NPS(本地)上面点右键，选择“在Active Directory中注册服务器”

打开后按照下图配置

HQ需要创建Radius客户端，将客户端的地址指向项目公司的Radius服务器的IP，对应的共享机密需要一致。

2、创建远程Radius服务器组

在“远程Radius服务器组”上面点右键打开下面窗口，起个组名然后点“添加”。按照下面的图片步骤操作。

在“负载平衡”可以设置响应时间，建议时间设置长一点。

3、创建连接请求策略

先创建一条连接到Radius服务器的网络连接策略，该策略的优先顺序设为1，然后创建一条转发到HQ的Radius服务器的验证策略。

展开“策略”，在“连接请求策略”上面点右键，选择“新建”，依次按照下面的图（）操作。

点“下一步”

特别说明：添加完端口后，创建一条连接到本地Radius服务器的网络策略，需要继续添加用户或组，授权相应的用户或组有权通过Radius服务器验证。

在选中“无线- IEEE 802.11”和“无线–其它”

A.创建一条连接到Radius服务器的网络连接策略

然后依次点击“下一步”直到完成

B.创建一条转发到HQ的Radius服务器的验证策略

然后依次点击“下一步”直到完成

4、为PEAP手动指定一个证书

1、PEAP没有配置证书，用户验证会失败。

2、如果服务器有多个证书可以为PEAP手动指定一个证书。可参照下图的步骤设置。

3、双击已经创建好的连接请求策略，点击“设置”选项卡，在身份验证方法，EAP类型选择“Microsoft：受保护

的EAP（PEAP）”，然后点“编辑”打开“配置受保护的EAP属性”窗口，在证书颁发给中选择一个证书。可参照下面的步骤设置。

3.3.2.Windows2003配置

1、创建Radius客户端

1、在Radius客户端里面创建新的客户端，指定客户端IP地址为AP的IP地址。

2、“客户端-供应商”选择默认的“Radius Standard”

3、设置“共享的机密”，无线WPA/WPA2企业级加密方式共享机密必须和此密钥一致。

2、创建远程访问策略

1、在“远程访问策略”上面点鼠标右键新建一个策略，可采用向导。

2、访问方法选择“无线”。

3、选择授予访问权限的用户或组。如果是组的话，在AD中创建的组必须是全局组。

4、身份验证类型选择“受保护的EAP（PEAP）”

5、创建好策略后双击策略，点“编辑配置文件”，在“身份验证”选项卡选中前四个选项，用户密码过期可更改。

6、在“Internet验证服务（本地）”上面点右键选择“在Active Directory中注册服务”

说明（Windows2008可能不同）：

1、通过向导创建的策略必须在AD用户或计算机的“拨入”选项卡里面的远程访问权限选中“允许访问”。

2、把Ignore-User-Dialin-Properties的属性设为“真”可以不用一个一个设置用户的远程访问权限。该设置需要在“远

程访问策略”里面编辑创建的策略的配置文件，在“高级”选项卡里面添加。

3、手动创建策略时，策略状况里面“NAS-Port-Type”里面可以指定访问类型（无线-IEE 802.11），

“Day-And-Time-Restrictions”可以指定访问的时间段，“Windows-Groups”可以指定允许访问的组。

4、策略配置文件的“身份验证”选项卡里面的“EAP方法”的ERP类型设为“受保护的EAP（PEAP）”

5、创建的无线远程访问策略的属性里面必须开启“授予远程访问权限”，双击创建的策略可以看到。

3、创建远程Radius服务器组

请参照Windows2008设置，创建组

4、创建连接请求策略

在“连接请求策略”上面点右键新建

创建后编辑策略，在策略状况里面添加“User Name”属性。

连接请求策略

总共创建了下面的四条连接请求策略，策略的顺序不能变，策略顺序变了将导致用户验证失败。

1、Sunsea_host策略使用计算机身份验证。

2、KLCL及HQ策略使用KLCL邮箱帐号验证。两条策略需要在“编辑配置文件”的“高级”选项卡里面添加

“Remote-RADIUS-to-Windows-User-Mapping”值设为真

3、KLCL策略指定如果您的邮箱是https://www.wendangku.net/doc/c0510370.html,@https://www.wendangku.net/doc/c0510370.html,，只需要使用https://www.wendangku.net/doc/c0510370.html,做帐号验证。

4、HQ策略指定果您的邮箱是https://www.wendangku.net/doc/c0510370.html,@https://www.wendangku.net/doc/c0510370.html,，使用keppellandchina\https://www.wendangku.net/doc/c0510370.html,做帐号验证。

5、Local策略使用本地AD帐号验证。

Sunsea_host策略：User-Name正规式为^\host/

KLCL策略：User-Name正规式为(\w+)\.(.+)

注意符号为英文符号，字母小写，此项正规式包含了^\host/，所以放在第二项

HQ策略：User-Name正规式为^\keppellandchina

Local策略:不需要添加User-Name

KLCL及HQ策略需要把身份验证转发到远程Radius服务器上验证，并设置高级属性。参照下面的三副图设置。

Sunsea_host和local策略使用本地身份验证，参展下面的图片设置。

四、AP设置

检查无线路由器、AP是否支持？

进入AP管理界面，一般在无线参数，无线安全设置里面检查加密方式是否有WPA企业认证（WPA Enterprise）及WPA2企业级认证（WPA2 Enterprise）。

1.接线方式

把AP的Internet接口与交换机相接，把AP的互联网接入模式设为桥接模式，指定一个静态管理IP。

2.设置无线认证方式

1、进入AP管理界面，在无线安全设置里面把无线加密方式选为WPA Enterprise或WPA2 Enterprise

2、在Radius服务器的地址中填写你安装IAS（Internet验证服务）的IP地址。

3、共享密钥必须和你在IAS里面配置Radius客户端的密钥一致。

说明：

1、IAS服务器必须允许AP访问1812端口。

3.Linksys EA系列配置

1、把AP的Internet接口用网线与交换机连接。

2、进入AP管理界面，点“Setup”，把Internet Connection Type选为Bridge Mode，并设置Router Address。设置完

后点“Save Settings”可参照下图。

3、点“Wireless”，进入“Wireless Settings”界面。把配置模式设为手动，选中“Manual”。把“Security Mode”

设为“WPA2 Enterprise”，把“RADIUS Server”设为你配好的Radius服务器的地址，端口默认1812，“Shared Key”

设为Radius服务器里面设定的Radius客户端对应的共享机密。

4、启用Guest Access，可参照下图设置。

5、SSID-guest网络采用WEB验证，连接不需要密码，客人的电脑、手机、平板连接SSID-guest后上网需要打开一

个网址然后输入Guest Password才能上网。验证界面如下。

五、防火墙配置

A.本地防火墙与HQ防火墙之间的VPN策略需要开放1812端口。

B.在本地防火墙上添加一条Any策略，拒绝AP的管理IP访问BOVPN及在安装在你机房的MPLS线路的设备的内

网IP。添加此策略后才能阻止客人访问VPN网络。设置如下：

六、使用组策略创建无线配置文件–可以不使用

1、配置好AP后，加入域的用户在无线信号覆盖的地方手动连接可以直接连接不需要输入用户名及密码。

2、Windows2003组策略只能创建WPA企业级无线配置文件。

3、打开“域安全策略”，依次展开“安全设置”-“无线网络（IEEE 802.11）策略”，创建一个无线网络策略，为策