RADIUS服务器已在企业网络访问安全性的上下文中使用Cisco®CatchantSwitch,路由器或IOS基于IOS的无线控制器。

1. 802.1x和EAP
虽然IEEE 802.1x使经过身份中国体育彩票开奖的IEEE 802媒体(包括以太网和802.11无线LAN),但RADIUS基础架构有助于为连接和使用网络服务的用户和设备提供集中式身份中国体育彩票开奖,授权和会计(AAA)管理。

相关帖子:

在基于身份的网络中,端点(请求者)以802.1x认证启动其网络访问会话。 IEEE 802.1x访问控制协议基本上是一个第2层传输协议,其携带可扩展认证协议(EAP)有效载荷。 EAP是一个身份中国体育彩票开奖框架,用于定义身份凭据的传输和使用情况。 EAP封装了客户端发送到身份中国体育彩票开奖目的的用户名,密码,证书,令牌,OTPS等。第一跳网络访问服务器(NAS)(交换机/路由器/无线控制器),通过RADIUS消息传递向身份中国体育彩票开奖服务器的EAP有效载荷。 RADIUS服务器使用其内部用户数据库执行查找或查询外部识别存储,并使用相应的授权权限相应地响应客户端。 RADIUS服务器的可视性和可维护性是企业级安全访问解决方案的基础操作。

为了使无线网络确实安全,您应该使用RADIUS服务器来中国体育彩票开奖您的用户而不是使用预共享密钥。 RADIUS服务器将处理身份中国体育彩票开奖请求,并使用EAP(可扩展身份中国体育彩票开奖协议)与用户通信。有许多EAP类型:

  • EAP(可扩展身份中国体育彩票开奖协议)使用任意认证方法,例如证书,智能卡或凭据。
  • EAP-TLS.(EAP-Transport Layer Security)是一种在基于证书的安全环境中使用的EAP类型,它提供了最强的身份中国体育彩票开奖和键确定方法。
  • EAP-MS-CHAP V2(EAP-Microsoft挑战握手认证协议2)是一种支持基于密码的用户或计算机身份中国体育彩票开奖的相互身份中国体育彩票开奖方法。
  • PEAP(受保护的EAP)是一种身份中国体育彩票开奖方法,它使用TLS来增强其他EAP身份中国体育彩票开奖协议的安全性。

最受欢迎的是:

  • PEAP(受保护的EAP)
  • EAP-TLS.

PEAP通常用于使用用户名和密码来中国体育彩票开奖用户。 RADIUS服务器将向用户显示证书,以便它们可以中国体育彩票开奖它们是否与正确的RADIUS服务器进行交谈。 EAP-TLS是最安全的无线身份中国体育彩票开奖形式,因为它替换了客户端证书的客户端用户名/密码。

RADIUS是一个分布式客户端/服务器系统,可将网络防止未经授权的访问。它是一个可用供应商特定属性自定义的开放式标准协议。在思科实现中,RADIUS客户端在Cisco交换机/路由器/无线控制器上运行,并将身份中国体育彩票开奖请求发送到包含所有用户身份中国体育彩票开奖和网络服务访问信息的中央半径服务器。思科支持其AAA安全范式下的半径。 RADIUS可以与其他AAA安全协议一起使用,例如TACACS +,Kerberos和本地用户名查找。所有思科平台都支持RADIUS,但一些RADIUS支持的功能仅在指定的平台上运行。

2.配置本地EAP身份中国体育彩票开奖
本地EAP是一种身份中国体育彩票开奖方法,允许用户和无线客户端本地对WLC进行身份中国体育彩票开奖。这对远程分支有用,其中在现场没有外部半径或不想依赖WAN连接到主办公RADIUS或甚至该RADIUS服务器消失。本地EAP支持WLC之间的LEAP,EAP-FAST,EAP-TLS,PEAPV0 / MSCHAPv2和PEPV1 / GTC身份中国体育彩票开奖& wireless clients.

如果控制器上配置了任何RADIUS服务器,则控制器尝试首先使用RADIUS服务器中国体育彩票开奖无线客户端。仅在未找到RADIUS服务器(超时或已配置的RADIUS)时,才会尝试本地EAP。

2.1创建本地网络用户

2.2创建本地EAP profie - 'localeap-test'



 

2.3在控制器中配置WLAN,并将本地EAP指定为身份中国体育彩票开奖机制。 

请注意,RADIUS身份中国体育彩票开奖已禁用&只有本地EAP。



 

 

 
在上述步骤之后,您的无线AP应该能够通过本地网络用户身份中国体育彩票开奖连接。您将确保您的此WLAN位于右侧VLAN和Switch VLAN端口上,已配置了正确的DHCP服务器/ DHCP继电器。您所连接的无线设备将从DHCP服务器获取IP地址。

3.使用广告配置身份中国体育彩票开奖

3.1在广告中注册NPS服务器

要使网络策略服务器(NPS)读取在身份中国体育彩票开奖和授权过程中的Active Directory域服务(AD DS)中读取用户帐户信息,必须在AD中注册运行NP的服务器。

3.2创建新的网络策略

 

3.3添加新条件

3.4选择Windows组条件

3.5选择预定义的域用户组

  

3.6选择身份中国体育彩票开奖方法

 

3.7选择一些RADIUS属性 

 

笔记:
而不是在步骤3.4中使用用户组,也可以选择机器组。它需要在客户端进行一些变化。您必须将其从用户或计算机身份中国体育彩票开奖更改为仅计算机身份中国体育彩票开奖。该问题是由我们在组策略中设置的无线网络连接的安全设置中的身份中国体育彩票开奖模式引起的(计算机配置> Windows Settings > Security Settings >无线网络(802.11)策略>“你的网络政策”)。最初,身份中国体育彩票开奖模式设置为“用户或计算机身份中国体育彩票开奖”,当此此时更改为“计算机身份中国体育彩票开奖”,正确处理NPS中的网络策略中的计算机帐户条件,并且客户端可以连接。我只能假设这是一个像进一步测试的错误我发现当认证模式设置为“用户或计算机身份中国体育彩票开奖”NPS正确地处理网络策略中的用户帐户条件,但仍拒绝处理计算机帐户状况正确。

参考:

经过 Jon.

发表评论