WindowsServer搭建radius认证服务器

radius简介

RADIUS（Remote Authentication Dial-In User Server，远程认证拨号用户服务）是一种分布式的、C/S架构的信息交互协议，能包含网络不受未授权访问的干扰，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。

协议定义了基于UDP（User Datagram Protocol）的RADIUS报文格式及其传输机制，并规定UDP端口1812、1813分别作为认证、计费端口。

如果是思科设备：认证和授权端口为UDP1645，计费端口1646.

RADIUS最初仅是针对拨号用户的AAA协议，后来随着用户接入方式的多样化发展，RADIUS也适应多种用户接入方式，如以太网接入等。它通过认证授权来提供接入服务，通过计费来收集、记录用户对网络资源的使用。

环境信息

本文为之前搭建记录，使用了WinServer2016作为AD，安装了NPS功能作为radius认证服务器，radius客户端为UniFi AP。策略需求为限定某个用户组只能连接AP指定的SSID。需要部署CA和NPS服务器证书，缺少证书从事件查看器中会看到报错：“客户端不能身份验证，因为可扩展的身份验证协议(EAP)不能被服务器处理”。

设置网络策略服务器NPS

Win+R运行输入mmc，打开Microsoft管理控制台（MMC），添加NPS管理单元。

配置radius客户端

添加所用radius客户端（UniFi AP），填写友好名称与地址，和共享机密。

配置策略

连接请求策略：可以使用默认的“所有用户使用 Windows 身份验证”策略，如果有特殊需求可以新建自定义策略。

网络策略：

1. 新建策略-输入策略名称。
2. 添加条件-可以指定用户组、日期和时间限制、连接属性等，我需要根据用户组来限定可连接的SSID，所以条件只加了用户组。
3. 指定访问权限-已授予访问权限。
4. 配置身份验证方法-添加EAP，选择受保护的EAP（PEAP）、安全密码（EAP-MSCHAP v2），安全级别较低的身份验证方法默认即可。
5. 配置约束-被叫站ID，勾选，并在输入框中输入模糊匹配的SSID名称，NAS端口类型选择无线-IEEE802.11 。比如只允许ceo用户组连接leader这个ssid，第二步添加条件的地方选择ceo用户组，在该步被叫站ID中输入 .*[leader] 

添加完后再根据需要添加其他网络策略。

部署CA和NPS服务器证书

以下为翻译的微软的docs，建议参考原文链接：https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc730811(v=ws.11)

NPS服务器证书注册的配置过程分为三个阶段：

1. 安装AD CS服务器角色。仅当您尚未在网络上部署证书颁发机构（CA）时，才需要执行此步骤。
2. 配置服务器证书模板和自动注册。
3. 在运行NPS的服务器上刷新组策略。

安装Active Directory证书服务

1. 以Enterprise Admins组和根域Domain Admins组的成员身份登录。

2. 单击开始，单击管理工具，然后单击服务器管理器。服务器管理器控制台打开。在左窗格中，单击“ 角色”，然后在详细信息窗格中，单击“ 添加角色”。

3. 将打开“ 添加角色”向导。单击下一步。

4. 在“ 选择服务器角色”页上的“ 角色”中，选择“ Active Directory证书服务”，然后单击“ 下一步”两次。

5. 在“ 选择角色服务”页上的“ 角色服务”中，单击“ 证书颁发机构”，然后单击“ 下一步”。

6. 在“ Active Directory证书服务简介”页上，查看提供的信息，然后单击“ 下一步”。

7. 在“ 选择角色服务”页面上，确保选择了“ 证书颁发机构”，选择所需的任何其他角色服务，然后单击“ 下一步”。

8. 在“ 指定安装程序类型”页面上，确保已选择“ 企业”，然后单击“ 下一步”。

9. 在“ 指定CA类型”页面上，单击“ 根CA”，然后单击“ 下一步”。

10. 在“ 设置私钥”页面上，确保选择“ 创建新私钥”，然后单击“ 下一步”。

11. 在“ 为CA配置密码术”页上，保留默认设置或根据您的要求进行更改。请注意，默认的关键字符长度是2048，这是以前的默认关键字符长度1024的两倍。根据您的网络大小和流量，您可能需要调整关键字符长度的大小。单击下一步。

12. 在“ 配置CA名称”页面上，保留建议的CA通用名称或根据您的要求更改名称，然后单击“ 下一步”。

13. 在“ 设置有效期”页面上，在“ 选择为此CA生成的证书的有效期”中，键入数字并选择确定CA颁发的证书将过期的日期的时间值（年，月，周或天）。 。建议默认设置为五年。单击下一步。

14. 在“ 配置证书数据库”页上的“ 证书数据库位置”和“ 证书数据库日志位置”中，指定这些项目的文件夹位置。如果指定默认位置以外的其他位置，请确保使用访问控制列表（ACL）保护文件夹的安全，这些访问控制列表可防止未经授权的用户或计算机访问CA数据库和日志文件。单击“ 下一步”，然后单击“ 完成”或继续安装您选择的任何其他角色服务。

配置证书模板和自动注册

1. 在安装了Active Directory证书服务的计算机上，单击“ 开始”，单击“运行”，键入mmc，然后单击“ 确定”。

2. 在“ 文件”菜单上，单击“ 添加/删除管理单元”。将打开“ 添加或删除管理单元”对话框。

3. 在“ 可用的管理单元”中，双击“ 证书颁发机构”。选择要管理的CA，然后单击完成。该证书颁发机构对话框关闭，返回到添加或删除管理单元对话框。

4. 在“ 可用的管理单元”中，双击“ 证书模板”，然后单击“ 确定”。

5. 在控制台树中，单击“ 证书模板”。所有证书模板都显示在详细信息窗格中。

6. 在详细信息窗格中，单击“ RAS和IAS服务器”模板。

7. 在“ 操作”菜单上，单击“ 复制模板”。在“ 复制模板”对话框中，选择适合您的部署的模板版本，然后单击“ 确定”。将打开新的模板属性对话框。

8. 在“ 常规”选项卡上的“ 显示名称”中，为证书模板键入一个新名称或保留默认名称。

9. 单击安全选项卡。在“ 组或用户名”中，单击“ RAS和IAS服务器”。

10. 在“ RAS和IAS服务器的权限”中，在“ 允许”下，选中“ 注册”和“ 自动注册”权限复选框，然后单击“ 确定”。

11. 双击证书颁发机构，双击CA名称，然后单击证书模板。在“ 操作”菜单上，指向“ 新建”，然后单击“要颁发的证书模板”。将打开 “ 启用证书模板”对话框。

12. 在“ 启用证书模板”中，单击刚刚配置的证书模板的名称，然后单击“ 确定”。例如，如果您没有更改默认证书模板名称，请单击“ RAS和IAS服务器的副本”，然后单击“ 确定”。

13. 在安装了Active Directory域服务（AD DS）的计算机上，单击“ 开始”，单击“运行”，键入mmc，然后单击“ 确定”。

14. 在“ 文件”菜单上，单击“ 添加/删除管理单元”。将打开“ 添加或删除管理单元”对话框。

15. 在“ 可用的管理单元”中，双击“ 组策略管理编辑器”。将打开“ 选择组策略对象”向导。单击浏览，然后选择默认域策略。单击确定，单击完成，然后再次单击确定。

16. 双击默认域策略。打开“ 计算机配置”，“ 策略”，“ Windows设置”，“ 安全设置”，然后选择“ 公钥策略”。

17. 在详细信息窗格中，双击“ 证书服务客户端-自动注册”。将打开“ 证书服务客户端-自动注册属性”对话框。

18. 在“ 证书服务客户端-自动注册属性”对话框的“ 配置模型”中，选择“ 启用”。

19. 选中续订过期的证书，更新暂挂的证书并删除吊销的证书复选框。

20. 选中更新使用证书模板的证书复选框，然后单击确定。

刷新组策略

刷新组策略时，运行NPS的服务器会自动注册服务器证书。要刷新组策略，请重新启动服务器，或者在命令提示符下运行gpupdate。

---

参考链接：

https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc730811(v=ws.11)

https://docs.microsoft.com/zh-cn/windows-server/networking/core-network-guide/cncg/wireless/b-wireless-access-deploy-overview