基于Windows 2012R2 AD RADIUS无线认证

tdfd

环境介绍：
AD一台，包含CA证书服务
RADIUS成员服务器一台
AP多台
客户电脑多台
前提：AD上安装并配置企业域根证书服务，过程略，可以参考下文件：
http://www.iyunv.com/thread-59380-1-1.html

1、将RADIUS服务器加入域，并以域账号登录，开始、运行MMC

2、添加本机证书管理工具



3、打开个人证书

4、在空白地方点右键，申请证书

5、下一步、下一步

6、系统自动找到当前可申请的证书类型，如果有多项，请只选择计算机，然后点注册

8、自动完成证书申请！

9、在证书管理界面可以看到已经生成的证书，正常应该显示为二级证书，上面会有一个企业域的根证书

10、添加Server Manager中，添加NAP角色

11、添加完成后，打开NPS管理控制台，在标准配置下，选择：RADIUS Server for 802.1x Wireless or Wired Connections

12、选择：Secure Wireless Connections

13、添加RADIUS客户端设备，即需要配置RADIUS认证的无线AP

14、输入AP的设备名称，IP地址，AP和RADIUS服务器之前认证需要的密码，后面配置AP时需要，可以重复添加多个AP，完成后下一步

15、选择认证方式 PEAP

16、选择好后，要以点击配置，查看EPAP信息，确认当前使用的证书，是在步骤9中申请的证书！

17、添加允许通过RADIUS认证的用户或组，可以选择自已需要的AD组，这里我选择所有域用户

18、直接下一步、完成！


19、完成后，回到NPS管理窗口主界面，打开NPS\Policies\Network Policies，可以看到刚才配置成功的：Secure Wireless Connections，双击打开，进到Constraints，清空红色方框内的选项

20、进到Settings,可以选择删除PPP

21、确认退出，到此Windows端的Radius配置完成，下面有两种AP为例，进行Wi-Fi SSID中的RADIUS认证配置
22、CISCO AP中的配置，打开界面，进到Security\Server Manager，添加RADIUS服务器，
Server：即前面配置的Windows 2012 Radius服务器的IP地址
密码：为步骤14中输入的密码，AP的IP和密码要对应！

23、对应的命令如下：
radius-server host 10.132.176.10 auth-port 1812 acct-port 1813 key 7 ********
aaa authentication login eap_methods group rad_eap
aaa group server radius rad_eap
server 10.132.176.10 auth-port 1812 acct-port 1813
24、在SSID管理中，指定认证方式如下

25、对应的命令如下：
dot11 ssid WiFipeap
vlan 180
authentication open eap eap_methods
authentication network-eap eap_methods
26、为对应的VLAN开启WEP Encryption

27、对应的命令如下，如果有多个频率，如果需要的话，刚需要分加配置
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 180 mode wep mandatory
!
28、其它两种AP的配置方式，方法一样，选在Radius Server中，加入Radius服务器IP，以及步骤14中输入的密码(AP的IP和密码要对应)！


29、选择认证方式为WPA2 With Radius,有些设备上会称为：WPA2 AES/WPA2企业级等


30、RADIUS/AP配置完成!