Configurando um servidor NPS do Windows 2008 como um servidor Radius para um cluster Cisco AP541N

Navegue suas respostas
1

Eu tenho um cluster de pontos de acesso Cisco AP541N. Eu estou tentando usar a autenticação Radius para autenticação WPA-Enterprise, mas não consigo obter os pontos de acesso para consultar o servidor corretamente.

Alguém sabe de um livro de receitas ou receita para configurar o servidor NPS para fornecer autorização?

Minha configuração atual é a seguinte.

Os APs são simples, eles têm apenas um campo IP do Radius Server e um campo Radius Secret. O SSID tem todas as opções definidas: WPA, WPA2, Habilitar pré-autenticação, TKIP, CCMP (AES) e Usar Configurações Globais do Servidor Radius.

No servidor, cada AP é definido como um cliente, cada um com um nome amigável exclusivo (cap-1 a cap-3). O segredo é o mesmo que no cluster AP. Cada AP é definido como Cisco, e a caixa Mensagens de solicitação de acesso deve ter a caixa Conjunto do autenticador de mensagens marcada.

Existe uma única Política de Rede definida como:

  • política ativada
  • conceder acesso
  • servidor de acesso de rede não especificado

Condições:

  • Associação ao grupo do Windows (um grupo de usuários)

Restrições:

  • Métodos de autenticação: EAP PEAP e EAP-MSCHAPv2; MS-CHAP-v2; MS-CHAP; RACHAR; PAP / SPAP

Configurações:

  • todos os Atributos padrão foram removidos (o tipo de enquadramento PPP, etc.).

Quando tento conectar-me ao AP, o AP registra: 

 cap-4th-2 hostapd: wlan0vap2: RADIUS Possible issue with RADIUS server connection - no reply received for first three attempts

Por volta da mesma hora, o servidor do Windows registra: 

NPS: 18: An Access-Request message was received from RADIUS client 10.17.15.247 with a Message-Authenticator attribute that is not valid.
    
por David Mackintosh 13.09.2013 / 21:34

1 resposta

0

Isso funcionou para mim.

No AP541N:

Defina as configurações do Global Radius:

  • IP do servidor Radius
  • Raio secreto

Defina o SSID para conectar, selecionando todos:

  • WPA
  • WPA2
  • Ativar pré-autenticação
  • TKIP
  • CCMP (AES)
  • Usar configurações globais do servidor RADIUS

Pré-configuração do NPS:

A função a instalar é a Política de Rede e os Serviços de Acesso, o serviço é o Servidor de Políticas de Rede.

Uma vez instalado, clique com o botão direito no NPS (local) e selecione Registrar servidor no Active Directory.

(Observe também que eu geralmente tenho que parar e então iniciar o Serviço NPS depois de executar a configuração abaixo na primeira vez; mudanças futuras parecem ter efeito imediatamente).

Defina os clientes RADIUS: Gerenciador de Servidores - > Funções - > Política de Rede e Acesso - > NPS (local) - > Clientes Radius - > Clientes Radius

Crie um novo cliente:

  • Verifique se está ativado
  • Nome curto e amigável
  • endereço IP ou nome DNS
  • Segredo compartilhado manual
  • Repita esta configuração para cada AP no cluster.

Defina a política de solicitação de conexão:

Em Política de solicitação de conexão, crie uma nova política. Na guia "Visão geral":

  • verifique se está ativado
  • o tipo de servidor de acesso à rede não é especificado

Na guia Condições:

  • Nome amigável para o cliente, definido como algo que corresponda aos Nomes amigáveis do cliente definidos acima; Por exemplo, eu tenho cap-1, cap-2 e cap-3, então meu nome amigável para o cliente na política de conexão é cap - *

Na guia Configurações, métodos de autenticação:

  • selecione Substituir configurações de autenticação da política de rede
  • Adicionar tipos de EAP EAP-MSCHAP-v2 e PEAP
  • selecione MS-CHAP-v2
  • selecione MS-CHAP
  • deixe todas as outras caixas desmarcadas

Você não deve precisar de outros valores.

Defina a política de rede:

Na guia Visão geral:

  • verifique se está ativado
  • Conceder acesso
  • desmarcar Ignorar propriedades de discagem da conta do usuário
  • Tipo de servidor de acesso à rede não especificado

Na guia Condições:

  • Grupos do Windows: defina para o grupo de usuários do Windows que concederá acesso
  • Nome amigável para o cliente: igual à política de conexão acima

Na guia Restrições:

  • deixe tudo como padrão; mas idealmente deve parecer o mesmo que a política de conexão acima

Na guia de configurações:

  • remova os Atributos do raio padrão (tipo de enquadramento PPP etc) porque você não precisa deles

Configurar os clientes do domínio:

Propriedades sem fio:

  • Conecte-se automaticamente

Guia Segurança:

  • WPA2-Enterprise
  • AES
  • PEAP
  • Lembrar minhas credenciais

Configurações do PEAP:

  • desmarque Validar certificado do servidor
  • Selecione o método de autenticação: EAP-MSCHAP-v2
  • Ativar reconexão rápida

Guia Segurança, Configurações avançadas:

  • Especifique o modo de autenticação: autenticação do usuário

Configurar clientes Windows não pertencentes ao domínio:

Como acima, exceto:

Configuração EAP-MSCHAP-v2:

  • desmarcar automaticamente Usar meu nome de logon e senha do Windows (e domínio, se houver)

Refinamentos adicionais

Eu adicionei uma segunda política de acesso à rede que permite o acesso a computadores que são membros de um grupo específico.

Em seguida, alterei a guia Segurança - > Configurações avançadas - > Especifique o modo de autenticação para a autenticação do computador.

Por fim, um colega de trabalho criou um GPO que envia uma definição de rede SSID predefinida com as configurações acima para todos os computadores membros do domínio.

Agora, todos os laptops de domínio se conectam automaticamente à rede sem fio.

Os computadores que não são membros do domínio ainda podem ingressar, desde que o Modo de Especificação de Autenticação esteja definido como Autenticação do usuário.

A configuração de tablets, telefones e computadores não Windows é deixada como um exercício para o leitor.

(Mais atualizações sobre isso aparecerão na minha página wiki no link )

    
por 19.09.2013 / 15:53

Tags

Existe alguma maneira de estimar o tamanho do banco de dados? HPC / EC2 - otimizando o NFS para confiabilidade