由于之前的ACS废弃,又没有想买一台新ACS的想法,所以准备将认证的功能迁移到windows nps服务上
服务器端配置
服务器端只需要一台windows2012启动nps服务即可,我这里用的域账号,所以机器提前加域
添加nps服务
管理-添加角色和功能-三个下一步,然后来到这个界面,勾选网络策略和访问服务中的网络策略服务器。
之后一路下一步安装完即可。
配置nps服务
然后打开nps服务,进行配置
要是加了域的话点一下在ad中注册,如下图
添加客户端
在radius客户都安,右键新建,友好名称就是名字,地址可以按照网段来填,只允许这些网段或某个地址向这台服务器进行认证,共享密钥必填,到时候配置交换机要和这个一样。
配置网络策略
网络策略就是交换机的认证策略,这里cisco和h3c略微不同,思科官网有相关的配置介绍,也好像是微软官网,记不清了,很明确就配置好了
服务器配置cisco策略
右键-新建-然后如图配置就行,策略名称访问服务器类型未指定即可。
选择用户组,加域的可以单独建个组
这一步默认是允许的
这步如图勾选
这步默认
最后一步,如图填写,意思就是radius返回给cisco的level值为15
服务器配置h3c策略
h3c版本为v5.x的可以用如下办法,v7的没环境试不了,也应该不是这样,v5是查了半天才查出来的,有两点注意:
1.radius需要指定登录方式
2.供应商需要自定义
一直到最后一步都和cisco的配置一样,最后一步配置如下:
需要指定login-service,不然交换机debug会报mismatch
需要特定供应商,v5和huawei通用,授权为level3
交换机配置
思科交换机
aaa group server radius nps
server-private 192.168.2.7 auth-port 1812 acct-port 1813 key zhaopin@123
aaa authentication login default group nps local
aaa authorization exec default group nps local if-authenticated
H3C交换机
radius scheme nps
server-type extended
primary authentication 192.168.2.7
key authentication cipher $c
3
3
3yxgq+BMTHXgU6GeAlFACwpz4cZfp8YLpIG0noSZG
timer response-timeout 5
retry 5
domain xxx.com.cn(你自己的域名)
authentication default radius-scheme nps local
authorization default radius-scheme nps local
access-limit enable 10
idle-cut enable 20
domain default enable xxx.com.cn(你自己的域)
user-interface vty 0 4
authentication-mode scheme