作者:夏明亮

Technorati 标签: 无线, 热点, Radius, 域账户, 网络, windows, NPS, 策略

在通常情况下,我们在公司使用无线上网的时候,都是通过找管理员要无线网络的ssid和密码后登陆。但是这样的话有个问题就是公司员工一般都会有好几个上网设备,如果把密码告知他们以后,各种设备各种连接公司的无线网络压力很大,并且也没有很好的管理软件进行管理,严重印象公司正常业务,IT部也是各种的挨批。

下面我为大家介绍一种方案,既可以是我们的管理员们免招同事们电话催问密码和各种老板挨批的痛苦。

首先介绍先架构:

clip_image002

我们部署一台域控制器,

安装CA Server,

上面两个步骤在我的博客里都可以找到,由于内容比较简单,这里就不做过多的介绍了。

然后就开始部署,首先部署一台Radius Server

添加角色

clip_image003

下一步

clip_image005

选择“网络策略和访问服务”,下一步。

clip_image007

下一步。

clip_image009

选择“网络策略服务器”,下一步。

clip_image011

确认选择的角色内容后,选择“安装”。

clip_image013

clip_image015

安装成功后选择“关闭”。

clip_image017

打开“网络策略服务器”管理控制台。

clip_image019

然后为安装好的Radius Server添加一个Radius Client。

首先,将无线AP添加为Radius Server的Radius Client,新建。

clip_image021

在设置页,填入Radius Client 的友好名称、IP地址和共享机密等信息。

clip_image023

转到“高级”页。确定。

clip_image025

添加好Radius Client后,如下图所示:

clip_image027

接下来要做的是创建策略,其中“连接请求策略”和“网络策略”是必须的,缺少任何一个将导致策略引用的失败。

在Radius Server上创建“连接请求策略”和“网络策略”

创建连接请求策略,新建。

clip_image029

输入策略的名称。

clip_image031

添加连接条件,由于我们的radius是针对无线AP做的所以我们选择“NAS端口类型”为“Wireless”。

clip_image033

clip_image035

clip_image037

clip_image039

身份验证方法,我们在“网络策略”中定义,在此就不做定义了。

clip_image041

下一步。

clip_image043

确定设置没有错误后,“完成”。

clip_image045

设置好的“连接请求策略”。

clip_image047

创建网络策略

clip_image049

新建。

clip_image051

输入“策略名称”。下一步。

clip_image053

输入符合该网络策略的条件,由于我需要限制的是域成员才能使用无线网络,所以我这里通过设置条件为指定的域群组成员需哦为条件。

clip_image055

默认。下一步。

clip_image057

选择,客户端连接无线网络的身份验证方法。这里选择“PEAP”。

clip_image059

约束条件为默认,下一步。

clip_image061

在此处设设置客户端匹配该条网络策略后,针对客户端做的设置。我们就默认。

clip_image063

完成。

clip_image065

设置好的网络策略。

clip_image067

借用一张NPS策略应用过程的流程图帮助大家理解NPS中的各种策略。

clip_image069

设置无线AP的验证方式

clip_image071

clip_image073

接下来,就是客户端加入域,使用域账户登录,通过无线网卡连接到无线路由创建的热点。当然也可以通过控制“网络策略”中的用户组来控制那些人可以访问该无线,那些人不能访问。

小技巧:如果我在“网络策略”中的“条件”选项卡中取消“计算机组”的定义,那么不加域的计算机也可以访问该无线了,只要给该用户一个域账户即可,否则的话就只有加入域的计算机加上有域账户的人才可以访问无线,是不是很酷。

希望大家多做支持,更多精彩内容稍后敬上。

谢谢