欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Windows?Server?2025?搭建NPS-Radius服務(wù)器的步驟

 更新時間:2025年05月27日 11:24:12   作者:網(wǎng)工格物  
本文主要介紹了通過微軟的NPS角色實現(xiàn)一個Radius服務(wù)器,身份驗證和證書使用微軟ADCS、ADDS,具有一定的參考價值,感興趣的可以了解一下

簡介

通過微軟的NPS角色實現(xiàn)一個Radius服務(wù)器,身份驗證和證書使用微軟ADCS、ADDS。

最終可實現(xiàn)通過AD用戶進行802.1X協(xié)議進行接入認證,配置到接入交換機和WLC(無線控制器),可通過安全組分配指定VLAN。

PS:加入域控的Windows終端可無感認證(通過組策略和域控下發(fā)CA。)

示意圖

什么是 802.1X?

802.1X 是由IEEE(電氣和電子工程師協(xié)會)定義的一個網(wǎng)絡(luò)訪問控制標準,主要用于局域網(wǎng)(LAN)和無線局域網(wǎng)(WLAN)的端口級接入控制,保障網(wǎng)絡(luò)安全。

核心作用

  • 通過身份驗證機制控制設(shè)備(如計算機、手機)接入網(wǎng)絡(luò)的權(quán)限。

  • 防止未授權(quán)設(shè)備訪問網(wǎng)絡(luò)資源。

  • 常用于有線網(wǎng)絡(luò)接入(以太網(wǎng))和無線Wi-Fi網(wǎng)絡(luò)的安全訪問。

802.1X的組成角色

  • Supplicant(客戶端) 網(wǎng)絡(luò)接入設(shè)備(例如電腦、手機)上運行的客戶端軟件,負責向網(wǎng)絡(luò)請求訪問權(quán)限并提供身份憑證(如用戶名/密碼、證書等)。

  • *Authenticator(認證者)*網(wǎng)絡(luò)設(shè)備(如交換機端口、無線接入點AP),作為中介,控制端口是否開放,必須通過認證服務(wù)器的授權(quán)后才能放行流量。

  • *Authentication Server(認證服務(wù)器)*通常為RADIUS服務(wù)器(如微軟NPS),負責接收認證請求并驗證Supplicant的身份,根據(jù)策略決定是否允許訪問。

工作流程簡述

  • 設(shè)備(Supplicant)連接到交換機/無線AP(Authenticator)。

  • Authenticator暫時將端口置為封閉狀態(tài),只允許傳輸802.1X相關(guān)認證流量。

  • Supplicant發(fā)送認證請求,Authenticator轉(zhuǎn)發(fā)給認證服務(wù)器(RADIUS服務(wù)器)。

  • 認證服務(wù)器驗證身份(比如用戶名密碼、數(shù)字證書等)。

  • 認證成功,Authenticator開放端口,允許設(shè)備正常訪問網(wǎng)絡(luò)。

  • 認證失敗,則拒絕訪問。

802.1X常見應(yīng)用

  • 企業(yè)無線網(wǎng)絡(luò)身份驗證(結(jié)合WPA2-Enterprise)。

  • 有線網(wǎng)絡(luò)的設(shè)備級訪問控制,防止非法設(shè)備接入。

  • 配合RADIUS服務(wù)器實現(xiàn)統(tǒng)一身份管理與安全審計。

802.1X與RADIUS/NPS的關(guān)系

  • 802.1X定義如何請求和控制網(wǎng)絡(luò)接入。

  • RADIUS協(xié)議用于802.1X架構(gòu)中,作為認證服務(wù)器和認證者之間的協(xié)議來傳輸認證信息。

  • 微軟NPS可作為認證服務(wù)器實現(xiàn),處理802.1X中的認證請求。

相關(guān)文檔:https://info.support.huawei.com/info-finder/encyclopedia/zh/802.1X.html

https://info.support.huawei.com/info-finder/encyclopedia/zh/NAC.html

微軟NPS和Radius概念

什么是 RADIUS?

RADIUS(Remote Authentication Dial-In User Service) 是一種網(wǎng)絡(luò)協(xié)議,用于實現(xiàn)用戶的遠程身份驗證、授權(quán)和計費(AAA)。它常用于VPN、無線接入點(Wi-Fi)、撥號接入等需要身份驗證的場景。

  • 功能(AAA)

    • 身份驗證(Authentication):核實用戶身份。

    • 授權(quán)(Authorization):確定用戶可以訪問的資源和權(quán)限。

    • 計賬(Accounting):記錄用戶訪問資源的相關(guān)信息。

  • 工作方式

    • 終端設(shè)備(如無線AP、交換機、VPN服務(wù)器)作為RADIUS客戶端,將用戶的認證請求發(fā)送給RADIUS服務(wù)器。

    • RADIUS服務(wù)器驗證后返回認證結(jié)果,授權(quán)或拒絕用戶訪問。

  • 協(xié)議特點

    • 使用UDP端口1812(認證)和1813(計費)或舊端口1645/1646。

    • 傳輸過程中密碼使用共享密鑰加密(但整體安全性一般建議結(jié)合其它技術(shù)如IPSec)。

什么是微軟NPS?

微軟NPS(Network Policy Server) 是微軟Windows Server系統(tǒng)中實現(xiàn)RADIUS服務(wù)器功能的服務(wù)組件。

  • 作用

    • 是微軟的RADIUS服務(wù)器和代理解決方案。

    • 支持身份驗證、授權(quán)和計費功能。

    • 結(jié)合Active Directory域,支持基于用戶組、時間、設(shè)備等條件的策略控制。

  • 功能特點

    • 支持多種身份驗證協(xié)議,如PEAP、EAP-TLS等,適合無線網(wǎng)絡(luò)和VPN的安全接入。

    • 能作為RADIUS代理,轉(zhuǎn)發(fā)請求到其他RADIUS服務(wù)器。

    • 支持配置網(wǎng)絡(luò)策略,實現(xiàn)靈活的訪問控制。

  • 使用場景

    • 企業(yè)無線網(wǎng)絡(luò)控制用戶接入。

    • VPN服務(wù)器擴展用戶認證。

    • 需要集中身份認證及訪問控制的場合。

NPS和RADIUS的關(guān)系

  • RADIUS是一種協(xié)議標準,而NPS是微軟基于RADIUS協(xié)議實現(xiàn)的服務(wù)器端軟件。

  • NPS本質(zhì)上就是Windows環(huán)境下的RADIUS服務(wù)器。

  • 通過NPS,管理員可以配置和管理RADIUS服務(wù),實現(xiàn)對網(wǎng)絡(luò)訪問的集中身份認證和控制。

總結(jié)

名稱類型作用舉例/說明
RADIUS網(wǎng)絡(luò)協(xié)議遠程身份驗證、授權(quán)和計費802.1x、VPN、Wi-Fi認證協(xié)議
微軟NPS服務(wù)軟件(RADIUS服務(wù)器)根據(jù)RADIUS協(xié)議,實現(xiàn)身份驗證和策略管理Windows Server 中的RADIUS服務(wù)器

為NPS服務(wù)器申請計算機證書 - 用于PEAP EAP-MSCHAPv2

注意:需要已加入域控,且域控中有AD 證書服務(wù)器。

打開 certlm.msc,點擊個人 > 證書 右鍵 > 所有任務(wù)> 申請新證書。

下一步

勾選計算機模板,點擊注冊。(注意模板默認只有一年有效期,可新建模板進行修改)

NPS配置

安裝NPS角色

## Powershell 管理員運行
Install-windowsfeature -name npas -IncludeManagementTools
# 安裝網(wǎng)絡(luò)策略服務(wù)器NPS和對應(yīng)管理工具。
netsh ras add registeredserver
# 注冊到域控,使用AD進行身份認證。
netsh ras show registeredserver
# 驗證

可運行nps.msc 打開GUI管理工具。

關(guān)閉防火墻 – 可選

## Powershell 管理員運行
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False

RADIUS / NAS客戶端配置

## Powershell 管理員運行
netsh nps add client name="HW_Switch" address=1.1.1.1 sharedsecret="Songxwn.com"
# 增加客戶端,指定名稱、客戶端地址(網(wǎng)絡(luò)設(shè)備訪問源IP)、共享密鑰。
netsh nps show client
# 查看
netsh nps del client HW_Switch
# 刪除

RADIUS / NAS客戶端配置 GUI操作

創(chuàng)建連接請求策略 - 802.1x 有線以太網(wǎng)

可運行nps.msc 打開GUI管理工具。

策略 - 連接請求策略 - 右鍵新建

輸入策略命令 - 點擊下一頁

添加條件 - 選擇 NAS端口類型 - 選擇 以太網(wǎng)(有線) - 確認添加 - 下一頁

繼續(xù)下一頁

繼續(xù)下一頁

繼續(xù)下一頁

至此完成。

創(chuàng)建網(wǎng)絡(luò)策略 - 802.1x 有線以太網(wǎng)

策略 - 網(wǎng)絡(luò)策略 - 右鍵新建

填寫策略名稱 - 下一頁

添加條件 - 指定為用戶組(域控安全組)- 添加指定組

注意:添加是完全匹配的。

添加條件 - 指定NAS端口類型為以太網(wǎng) (有線) 。

PS:可選的,如果NPS是多環(huán)境復(fù)用的。

下一頁

添加EAP類型 - 選擇 EAP (PEAP)

添加后選擇編輯,確認是之前申請的計算機證書 - 下一頁

繼續(xù)下一頁

修改Radius屬性 - 標準,全部和上面的一致,就可以分配對應(yīng)用戶組的指定接入VLAN - 繼續(xù)下一頁

至此完成

策略檢查 - 802.1x 有線以太網(wǎng)

## Powershell 下執(zhí)行

netsh nps show crp

連接請求策略配置:
---------------------------------------------------------
名稱             = 有線以太網(wǎng)-網(wǎng)工格物
狀態(tài)             = 已啟用
處理順序         = 4
策略來源         = 0

條件屬性:

名稱                                    ID          值
---------------------------------------------------------
Condition0                              0x3d        “^15$”

配置文件屬性:

名稱                                    ID          值
---------------------------------------------------------
Auth-Provider-Type                      0x1025      “0x1”



netsh nps show np

網(wǎng)絡(luò)策略配置:
---------------------------------------------------------
名稱             = 有線以太網(wǎng)網(wǎng)絡(luò)策略-網(wǎng)工格物
狀態(tài)             = 已啟用
處理順序         = 5
策略來源         = 0

條件屬性:

名稱                                    ID          值
---------------------------------------------------------
Condition0                              0x1fb5      “S-1-5-21-3405621554-734450388-1705228783-512”
Condition1                              0x3d        “^15$”

配置文件屬性:

名稱                                    ID          值
---------------------------------------------------------
EAP-Configuration                       0x1fa2      “1900000000000000000000000000000038000000020000003800000001000000140000006B33763E7A447F77902A1921A8A269B068937F770100000001000000100000001A00000000000000”
Ignore-User-Dialin-Properties           0x1005      “FALSE”
NP-Allow-Dial-in                        0x100f      “TRUE”
NP-Allowed-EAP-Type                     0x100a      “19000000000000000000000000000000”
NP-Authentication-Type                  0x1009      “0x5” “0x3” “0x9” “0x4” “0xa”
Service-Type                            0x6         “0x2”
Tunnel-Medium-Type                      0x41        “0x6”
Tunnel-Pvt-Group-ID                     0x51        “927”
Tunnel-Type                             0x40        “0xd”
MS-Link-Utilization-Threshold           0xffffffaa  “0x32”
MS-Link-Drop-Time-Limit                 0xffffffa9  “0x78”

創(chuàng)建連接請求策略 - 802.1X 無線WIFI

其他步驟與有線策略已有,只需要把條件 NAS端口類型改為 無線 - IEEE 802.11

創(chuàng)建網(wǎng)絡(luò)策略 - 802.1X 無線WIFI

其他步驟與有線策略已有,只需要把條件 NAS端口類型改為 無線 - IEEE 802.11

NPS日志查看 - 用于排錯

運行eventvwr.msc ,打開事件查看器

自定義視圖 - 服務(wù)器角色 - 網(wǎng)絡(luò)策略和訪問服務(wù)

參考文檔

https://learn.microsoft.com/en-us/windows-server/networking/technologies/nps/nps-admintools

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc754758(v=ws.10)

https://theitbros.com/radius-server-configuration-on-windows/

https://sudonull.com/post/64810-Authorization-via-Network-Policy-Server-NPS-for-MikroTik

到此這篇關(guān)于Windows Server 2025 搭建NPS-Radius服務(wù)器的文章就介紹到這了,更多相關(guān) Server 2025 搭建NPS-Radius內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

最新評論