基於Windows 2012R2 AD RADIUS無線認證

環境介紹：

AD一臺，包含CA證書服務

RADIUS成員服務器一臺

AP多臺

客戶電腦多臺

前提：AD上安裝並配置企業域根證書服務，過程略，能夠參考下文件：

http://ericfu.blog.51cto.com/416760/1624791

一、將RADIUS服務器加入域，並以域帳號登陸，開始、運行MMC

二、添加本機證書管理工具

三、打開我的證書

四、在空白地方點右鍵，申請證書

五、下一步、下一步

六、系統自動找到當前可申請的證書類型，若是有多項，請只選擇計算機，而後點註冊

八、自動完成證書申請！

九、在證書管理界面能夠看到已經生成的證書，正常應該顯示爲二級證書，上面會有一個企業域的根證書

十、添加Server Manager中，添加NAP角色

十一、添加完成後，打開NPS管理控制檯，在標準配置下，選擇：RADIUS Server for 802.1x Wireless or Wired Connections

十二、選擇：Secure Wireless Connections

1三、添加RADIUS客戶端設備，即須要配置RADIUS認證的無線AP

1四、輸入AP的設備名稱，IP地址，AP和RADIUS服務器以前認證須要的密碼，後面配置AP時須要，能夠重複添加多個AP，完成後下一步

1五、選擇認證方式 PEAP

1六、選擇好後，要以點擊配置，查看EPAP信息，確認當前使用的證書，是在步驟9中申請的證書！

1七、添加容許經過RADIUS認證的用戶或組，能夠選擇自已須要的AD組，這裏我選擇全部域用戶

1八、直接下一步、完成！

1九、完成後，回到NPS管理窗口主界面，打開NPS\Policies\Network Policies，能夠看到剛纔配置成功的：Secure Wireless Connections，雙擊打開，進到Constraints，清空紅色方框內的選項

20、進到Settings,能夠選擇刪除PPP

2一、確認退出，到此Windows端的Radius配置完成，下面有幾種AP爲例，進行Wi-Fi SSID中的RADIUS認證配置

2二、CISCO AP中的配置，打開界面，進到Security\Server Manager，添加RADIUS服務器，

Server：即前面配置的Windows 2012 Radius服務器的IP地址

密碼：爲步驟14中輸入的密碼，AP的IP和密碼要對應！

2三、對應的命令以下：

radius-server host 10.132.176.10 auth-port 1812 acct-port 1813 key 7 ********

aaa authentication login eap_methods group rad_eap

aaa group server radius rad_eap

server 10.132.176.10 auth-port 1812 acct-port 1813

2四、在SSID管理中，指定認證方式以下

2五、對應的命令以下：

dot11 ssid WiFipeap

vlan 180

authentication open eap eap_methods

authentication network-eap eap_methods

2六、爲對應的VLAN開啓WEP Encryption

2七、對應的命令以下，若是有多個頻率，都須要，剛要分別配置

interface Dot11Radio0

no ip address

no ip route-cache

!

encryption vlan 180 mode wep mandatory

!

2八、其它兩種AP的配置方式，方法同樣，選在Radius Server中，加入Radius服務器IP，以及步驟14中輸入的密碼(AP的IP和密碼要對應)！

2九、選擇認證方式爲WPA2 With Radius,有些設備上會稱爲：WPA2 AES/WPA2企業級等

30、RADIUS/AP配置完成!