将Windows2008NPS服务器设置为思科AP541N集群的半径服务器

Question

我有一个思科AP541N接入点集群。我试图将Radius身份验证用于authentication身份验证，但我无法让AP正确地查询服务器。

是否有人知道设置NPS服务器以提供授权的食谱或食谱？

我的当前配置如下所示。

IP很简单，它们只是有一个Radius服务器IP字段和一个Radius秘密字段。SSID具有所有选项集: WPA、WPA2、启用预身份验证、TKIP、CCMP(AES)和使用全局半径服务器设置。

在服务器上，每个AP被定义为一个客户端，每个客户端都有一个唯一的友好名称(cap-1到cap-3)。秘密与AP集群中的秘密相同。每个AP都被定义为Cisco，并且访问请求消息必须被选中“消息-身份验证集”框。

有一个单一的网络策略，设置为：

• 启用策略
• 授权访问
• 未指定的网络访问服务器

条件：

• Windows组成员资格(用户组)

制约因素：

• 方法: EAP PEAP和EAP-MSCHAPv2；MS-CHAP-v2；MS-CHAP；CHAP；PAP/SPAP

设置：

• 所有标准属性都已被删除( PPP框架类型等)。

当我试图连接到AP时，AP日志：

 cap-4th-2 hostapd: wlan0vap2: RADIUS Possible issue with RADIUS server connection - no reply received for first three attempts

大约在同一时间，Windows服务器记录：

NPS: 18: An Access-Request message was received from RADIUS client 10.17.15.247 with a Message-Authenticator attribute that is not valid.

Answer 1

这对我有用。

On AP541N:

设置全局半径设置：

• Radius服务器IP
• 半径秘密

通过选择all设置要连接到的SSID：

• 西帕
• WPA2
• 启用预认证
• TKIP
• CCMP (AES)
• 使用全局RADIUS服务器设置

NPS预配置：

要安装的角色是“网络策略和访问服务”，服务是“网络策略服务器”。

安装后，右键单击NPS (本地)并选择中的Register .

(还请注意，在第一次运行下面的配置之后，我通常必须停止并启动NPS服务；未来的更改似乎会立即生效。)

定义RADIUS客户端:服务器管理器->角色->网络策略和访问-> NPS (本地) -> Radius客户机-> Radius客户端

创建一个新客户端：

• 确保它已启用
• 短而友好的名字
• IP地址或DNS名称
• 人工共享秘密
• 对集群中的每个AP重复此设置。

定义连接请求策略：

在“连接请求策略”下，创建新策略。在概述选项卡上：

• 确保它已启用
• 未指定网络访问服务器的类型。

在条件选项卡上：

• 客户端友好名称，设置为soemthing，与您前面设置的客户端友好名称相匹配；例如，我有cap-1、cap-2和cap-3，因此连接策略中的客户端友好名称是cap-*。

在“设置”选项卡上，“身份验证方法”：

• 选择覆盖网络策略身份验证设置。
• 添加EAP类型EAP-MSCHAP-v2和PEAP
• 选择MS-CH章-v2
• 选择MS-CHAP
• 保留未选中的所有其他框

你不应该需要任何其他的价值。

定义网络策略：

在概述选项卡上：

• 确保它已启用
• 授权访问
• 清除“忽略用户帐户拨号”属性。
• 未指定网络访问服务器的类型。

在条件选项卡上：

• Windows组:设置为将授予访问权限的windows用户组。
• 客户端友好名称:与上面的连接策略相同

在约束选项卡上：

• 将所有内容保留为默认值；但理想情况下，它应该与上面的连接策略相同。

在设置选项卡上：

• 删除标准半径属性(PPP、帧类型等)，因为您不需要它们

配置域客户端：

无线属性：

• 自动连接

安全选项卡：

• WPA2 2-企业
• AES
• PEAP
• 记住我的证件

PEAP设置：

• 清除验证服务器证书
• 选择身份验证方法: EAP-MSCHAP-v2
• 启用快速重新连接

安全选项卡，高级设置：

• 指定身份验证模式:用户身份验证

配置非域Windows客户端：

如上，除：

EAP-MSCHAP-v2配置：

• 清除自动使用我的Windows登录名和密码(如果有的话)

进一步改进

我添加了第二个网络访问策略，该策略允许访问属于特定组的计算机。

然后，我将安全选项卡->高级设置->专门身份验证模式更改为计算机身份验证。

最后，一个同事创建了一个GPO，它将带有上述设置的预定义SSID网络定义推送到所有域成员计算机。

现在所有领域的笔记本电脑自动连接到无线。

只要指定身份验证模式设置为用户身份验证，非域成员计算机仍然可以加入。

配置平板电脑、手机和非Windows计算机是留给读者的练习。

(对此的进一步更新将出现在我在http://wiki.xdroop.com/space/Windows/Server/2008/Radius+Server+for+Cisco+AP541N的wiki页面上)