NPS认证II——有线认证部署

拓扑如图：

Windows Server服务安装步骤此处省

一、NPS初始化部署

        a）关闭防火墙

防火墙会导致Radius报文无法通过。建议此处“域配置文件”、“专用配置文件”、“公用配置文件”的防火墙状态均为关闭

        b）在CA上修改证书模板

不修改模板权限，会导致Radius服务器申请时无“计算机”模板

 

        c)Radius服务器上申请证书

       d) 启动Radius服务并向域注册该服务

 

        e)创建用户和组，用于Radius认证

此处创建组GroupOne和用户One

将One加入GroupOne组中

eg：默认用户“拨入”-“网络访问权限”为通过NPS，请勿修改

 二、Radius有线认证配置

         a)配置Radius客户端

指定客户端IP（一般为接入交换机IP）和共享密钥

选择认证模式，此处建议为PEAP或MS-EAP

指定认证账户为所属组，此处以GroupOne组为例

此处无流量控制，为默认即可

三、接入交换机配置

 四、终端网卡设置（以Windows系统为例）

         a)开启802.1X认证服务（Wired AutoConfig）

                ​​​​​​​        Windows默认关闭该服务，建议将“手动”改成“自动”

启动服务

Eg：默认启动“Wired AutoConfig”后自动启动“Extensible Authentication Protocol”服务，该服务用于EAP验证

 

        b)调整网卡设置

完成上一步操作后，网卡会出现“身份验证”选项卡，修改该选项卡配置，开启网卡的802.1X认证

关闭“验证证书来验证服务器身份”，由于此终端未加入域，因此无法通过证书检验服务器身份

设置网卡身份验证为“用户身份验证”，默认为“计算机或用户身份验证”。此时会优先使用计算机登录的Windows账户进行验证，导致无法输入账户与密码。

1. 1. 登录验证

 五、域组策略控制域主机修改网卡设置和自动启动服务

        a)打开组策略编辑器

此处使用“default domain policy”，域内所有计算机都生效

        b)设置网卡组策略，调整网卡开启802.1X认证

路径：“计算机配置”-“Windows设置”-“安全设置”-“有线网络策略”

        c)设置系统服务组策略，自动开启“Wired AutoConfig”服务

路径：“计算机配置”-“策略”-“安全设置”-“系统服务”

 

        d)计算机更新域组策略

Cmd执行“gpupdate /force”