radius簡介

RADIUS（Remote Authentication Dial-In User Server，遠程認證撥號用戶服務）是一種分布式的、C/S架構的資訊互動協議，能包含網路不受未授權訪問的干擾，常應用在既要求較高安全性、又允許遠程用戶訪問的各種網路環境中，

協議定義了基于UDP（User Datagram Protocol）的RADIUS報文格式及其傳輸機制，并規定UDP埠1812、1813分別作為認證、計費埠，

如果是思科設備：認證和授權埠為UDP1645，計費埠1646.

RADIUS最初僅是針對撥號用戶的AAA協議，后來隨著用戶接入方式的多樣化發展，RADIUS也適應多種用戶接入方式，如以太網接入等，它通過認證授權來提供接入服務，通過計費來收集、記錄用戶對網路資源的使用，

環境資訊

本文為之前搭建記錄，使用了WinServer2016作為AD，安裝了NPS功能作為radius認證服務器，radius客戶端為UniFi AP，策略需求為限定某個用戶組只能連接AP指定的SSID，需要部署CA和NPS服務器證書，缺少證書從事件查看器中會看到報錯：“客戶端不能身份驗證，因為可擴展的身份驗證協議(EAP)不能被服務器處理”，

設定網路策略服務器NPS

Win+R運行輸入mmc，打開Microsoft管理控制臺（MMC），添加NPS管理單元，

配置radius客戶端

添加所用radius客戶端（UniFi AP），填寫友好名稱與地址，和共享機密，

配置策略

連接請求策略：可以使用默認的“所有用戶使用 Windows 身份驗證”策略，如果有特殊需求可以新建自定義策略，

網路策略：

1. 新建策略-輸入策略名稱，
2. 添加條件-可以指定用戶組、日期和時間限制、連接屬性等，我需要根據用戶組來限定可連接的SSID，所以條件只加了用戶組，
3. 指定訪問權限-已授予訪問權限，
4. 配置身份驗證方法-添加EAP，選擇受保護的EAP（PEAP）、安全密碼（EAP-MSCHAP v2），安全級別較低的身份驗證方法默認即可，
5. 配置約束-被叫站ID，勾選，并在輸入框中輸入模糊匹配的SSID名稱，NAS埠型別選擇無線-IEEE802.11 ，比如只允許ceo用戶組連接leader這個ssid，第二步添加條件的地方選擇ceo用戶組，在該步被叫站ID中輸入 .*[leader] 

添加完后再根據需要添加其他網路策略，

部署CA和NPS服務器證書

以下為翻譯的微軟的docs，建議參考原文鏈接：https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc730811(v=ws.11)

NPS服務器證書注冊的配置程序分為三個階段：

1. 安裝AD CS服務器角色，僅當您尚未在網路上部署證書頒發機構（CA）時，才需要執行此步驟，
2. 配置服務器證書模板和自動注冊，
3. 在運行NPS的服務器上重繪組策略，

安裝Active Directory證書服務

1. 以Enterprise Admins組和根域Domain Admins組的成員身份登錄，

2. 單擊開始，單擊管理工具，然后單擊服務器管理器，服務器管理器控制臺打開，在左窗格中，單擊“ 角色”，然后在詳細資訊窗格中，單擊“ 添加角色”，

3. 將打開“ 添加角色”向導，單擊下一步，

4. 在“ 選擇服務器角色”頁上的“ 角色”中，選擇“ Active Directory證書服務”，然后單擊“ 下一步”兩次，

5. 在“ 選擇角色服務”頁上的“ 角色服務”中，單擊“ 證書頒發機構”，然后單擊“ 下一步”，

6. 在“ Active Directory證書服務簡介”頁上，查看提供的資訊，然后單擊“ 下一步”，

7. 在“ 選擇角色服務”頁面上，確保選擇了“ 證書頒發機構”，選擇所需的任何其他角色服務，然后單擊“ 下一步”，

8. 在“ 指定安裝程式型別”頁面上，確保已選擇“ 企業”，然后單擊“ 下一步”，

9. 在“ 指定CA型別”頁面上，單擊“ 根CA”，然后單擊“ 下一步”，

10. 在“ 設定私鑰”頁面上，確保選擇“ 創建新私鑰”，然后單擊“ 下一步”，

11. 在“ 為CA配置密碼術”頁上，保留默認設定或根據您的要求進行更改，請注意，默認的關鍵字符長度是2048，這是以前的默認關鍵字符長度1024的兩倍，根據您的網路大小和流量，您可能需要調整關鍵字符長度的大小，單擊下一步，

12. 在“ 配置CA名稱”頁面上，保留建議的CA通用名稱或根據您的要求更改名稱，然后單擊“ 下一步”，

13. 在“ 設定有效期”頁面上，在“ 選擇為此CA生成的證書的有效期”中，鍵入數字并選擇確定CA頒發的證書將過期的日期的時間值（年，月，周或天）， ，建議默認設定為五年，單擊下一步，

14. 在“ 配置證書資料庫”頁上的“ 證書資料庫位置”和“ 證書資料庫日志位置”中，指定這些專案的檔案夾位置，如果指定默認位置以外的其他位置，請確保使用訪問控制串列（ACL）保護檔案夾的安全，這些訪問控制串列可防止未經授權的用戶或計算機訪問CA資料庫和日志檔案，單擊“ 下一步”，然后單擊“ 完成”或繼續安裝您選擇的任何其他角色服務，

配置證書模板和自動注冊

1. 在安裝了Active Directory證書服務的計算機上，單擊“ 開始”，單擊“運行”，鍵入mmc，然后單擊“ 確定”，

2. 在“ 檔案”選單上，單擊“ 添加/洗掉管理單元”，將打開“ 添加或洗掉管理單元”對話框，

3. 在“ 可用的管理單元”中，雙擊“ 證書頒發機構”，選擇要管理的CA，然后單擊完成，該證書頒發機構對話框關閉，回傳到添加或洗掉管理單元對話框，

4. 在“ 可用的管理單元”中，雙擊“ 證書模板”，然后單擊“ 確定”，

5. 在控制臺樹中，單擊“ 證書模板”，所有證書模板都顯示在詳細資訊窗格中，

6. 在詳細資訊窗格中，單擊“ RAS和IAS服務器”模板，

7. 在“ 操作”選單上，單擊“ 復制模板”，在“ 復制模板”對話框中，選擇適合您的部署的模板版本，然后單擊“ 確定”，將打開新的模板屬性對話框，

8. 在“ 常規”選項卡上的“ 顯示名稱”中，為證書模板鍵入一個新名稱或保留默認名稱，

9. 單擊安全選項卡，在“ 組或用戶名”中，單擊“ RAS和IAS服務器”，

10. 在“ RAS和IAS服務器的權限”中，在“ 允許”下，選中“ 注冊”和“ 自動注冊”權限復選框，然后單擊“ 確定”，

11. 雙擊證書頒發機構，雙擊CA名稱，然后單擊證書模板，在“ 操作”選單上，指向“ 新建”，然后單擊“要頒發的證書模板”，將打開 “ 啟用證書模板”對話框，

12. 在“ 啟用證書模板”中，單擊剛剛配置的證書模板的名稱，然后單擊“ 確定”，例如，如果您沒有更改默認證書模板名稱，請單擊“ RAS和IAS服務器的副本”，然后單擊“ 確定”，

13. 在安裝了Active Directory域服務（AD DS）的計算機上，單擊“ 開始”，單擊“運行”，鍵入mmc，然后單擊“ 確定”，

14. 在“ 檔案”選單上，單擊“ 添加/洗掉管理單元”，將打開“ 添加或洗掉管理單元”對話框，

15. 在“ 可用的管理單元”中，雙擊“ 組策略管理編輯器”，將打開“ 選擇組策略物件”向導，單擊瀏覽，然后選擇默認域策略，單擊確定，單擊完成，然后再次單擊確定，

16. 雙擊默認域策略，打開“ 計算機配置”，“ 策略”，“ Windows設定”，“ 安全設定”，然后選擇“ 公鑰策略”，

17. 在詳細資訊窗格中，雙擊“ 證書服務客戶端-自動注冊”，將打開“ 證書服務客戶端-自動注冊屬性”對話框，

18. 在“ 證書服務客戶端-自動注冊屬性”對話框的“ 配置模型”中，選擇“ 啟用”，

19. 選中續訂過期的證書，更新暫掛的證書并洗掉吊銷的證書復選框，

20. 選中更新使用證書模板的證書復選框，然后單擊確定，

重繪組策略

重繪組策略時，運行NPS的服務器會自動注冊服務器證書，要重繪組策略，請重新啟動服務器，或者在命令提示符下運行gpupdate，

參考鏈接：

https://docs.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc730811(v=ws.11)

https://docs.microsoft.com/zh-cn/windows-server/networking/core-network-guide/cncg/wireless/b-wireless-access-deploy-overview

標籤：其他

上一篇：如何在Siteground中給WordPress網站安裝SSL證書

下一篇：如何找到wordpress登錄網址（4種方法）