使用 WPA2 企业版配置 RADIUS 身份验证
思科 Meraki MR 无线接入点提供多种用于无线关联的身份验证方法,其中包括使用外部身份验证服务器来支持 WPA2 企业版。本文概述如何使用 RADIUS 服务器进行 WPA2 企业版身份验证的控制面板配置,RADIUS 服务器要求以及如何使用 Windows NPS 的示例服务器配置。
To view this page in English, click here.
概述
具有 802.1x 身份验证功能的 WPA2 企业版可用于对域中的用户或计算机进行身份验证。请求者(无线客户端)使用 RADIUS 服务器上配置的 EAP 方法对照 RADIUS 服务器(身份验证服务器)进行身份验证。网关 AP(身份验证器)的作用是在请求者和身份验证服务器之间发送身份验证消息。这意味着对用户进行身份验证的工作由 RADIUS 服务器负责。
无线接入点在请求者之间执行 EAPOL 交换,并将其转换为 RADIUS“访问-请求”消息,这些消息被发送到控制面板中指定的 RADIUS 服务器的 IP 地址和 UDP 端口。网关 AP 需要从 RADIUS 服务器接收 RADIUS“访问-接受”消息,然后才能向请求者授予对网络的访问权。
为取得最佳效果,建议让 RADIUS 服务器和网关 AP 位于相同的第 2 层广播域内,以避免防火墙、路由或身份验证延迟。请注意,无线接入点不负责无线客户端的身份验证,其作用是充当客户端和 RADIUS 服务器之间的中介。
下图是 MSCHAPv2 关联过程的 PEAP 的详细分类:
支持的 RADIUS 属性
当配置具有 802.1X 身份验证功能的 WPA2 企业版时,从思科 Meraki 无线接入点发送到客户的 RADIUS 服务器的“访问-请求”消息中存在以下属性。
注意:请参阅 RFC 2865 了解有关这些属性的详细信息,下文包含对部分属性的附加说明。
- User-Name
- NAS-IP-Address
- NAS-Port
- Called-Station-ID:包含 (1) Meraki 无线接入点的 BSSID(全部大写字母,由连字符分隔的八位字节)和 (2) 连接无线设备的 SSID。这 2 个字段用英文冒号分隔。例如:“AA-BB-CC-DD-EE-FF:SSID_NAME”。
- Calling-Station-ID:包含无线设备的 MAC 地址(全部大写字母,由连字符分隔的八位字节)。例如:“AA-BB-CC-DD-EE-FF”。
- Framed-MTU
- NAS-Port-Type
- Connect-Info
当在“访问-接受”消息中收到从客户的 RADIUS 服务器发送到思科 Meraki 无线接入点的以下属性时,思科 Meraki 将使用这些属性:
- Tunnel-Private-Group-ID:包含应被用于无线用户或设备的 VLAN ID。(这可以进行配置,以覆盖管理员在思科 Meraki 云控制器中为特定 SSID 配置的 VLAN 设置。)
- Tunnel-Type:指定隧道协议。例如:VLAN。
- Tunnel-Medium-Type:设置用于创建隧道的传输介质类型。例如:802(包括 802.11)。
- Filter-Id/Reply-Message/Airespace-ACL-Name/Aruba-User-Role:这些属性中的任何一个均可用于传输应适用于无线用户或设备的策略。(属性类型应与在思科 Meraki 云控制器中的“配置”选项卡 >“组策略”页面下配置的属性类型相匹配。属性值应与该页面配置的策略组的名称相匹配。)
RADIUS 配置
最常见的 EAP 配置是 PEAP-MSCHAPv2,这种配置会提示用户输入凭证(用户或机器身份验证)。
注意:Meraki 平台还支持使用 EAP-TLS 实现基于证书的身份验证,但这不在本文档讨论范围内。有关使用 EAP-TLS 的 WPA2 企业版的详细信息,请参阅我们的 文档。
RADIUS 服务器要求
有许多服务器选项可用于 RADIUS,这些选项在正确配置后可与 MR 无线接入点配合使用。请参阅您的 RADIUS 服务器文档了解具体细节,但是配合 Meraki 使用的 WPA2 企业版的关键要求如下:
- 服务器必须托管由受网络上客户端信任的证书授权机构 (CA) 颁发的证书。
- 所有广播 WPA2 企业版 SSID 的网关 AP 必须使用共享密钥配置为服务器上的 RADIUS 客户端/身份验证器。
- RADIUS 服务器必须具有进行身份验证时用于对照的用户群。
在配置 RADIUS 服务器之后,请参阅下面的“控制面板配置”部分,了解有关如何将 RADIUS 服务器添加到控制面板的说明。
用户身份验证与机器身份验证
使用 PEAP-MSCHAPv2 进行身份验证的最常见方法是用户身份验证,这种方法会提示客户端输入域凭证。另外,也可以配置使用 RADIUS 实现机器身份验证,在这种方法中,计算机本身会对照 RADIUS 进行身份验证,因此用户不需要提供任何凭证即可获取访问权。机器身份验证通常使用 EAP-TLS 完成,不过也存在一些使用 PEAP-MSCHAPv2 简化机器身份验证的 RADIUS 服务器选项(包括 Windows NPS,如下面的示例配置中所述)。
注意:“机器身份验证”与基于 MAC 的身份验证不同,后者是控制面板中无线 > 配置 > 访问控制下的另一个配置选项。具体而言,机器身份验证是指对照 RADIUS 进行设备身份验证
RADIUS 配置示例 (Windows NPS + AD)
以下示例配置概述如何将 Windows NPS 设置为 RADIUS 服务器,并且使用 Active Directory 充当用户群:
- 将网络策略服务器 (NPS) 角色添加到 Windows Server。
- 向 NPS 添加受信任证书。
- 将无线接入点作为 RADIUS 客户端添加到 NPS 服务器。
- 在 NPS 中配置策略以支持 PEAP-MSCHAPv2。
- (机器身份验证可选)使用组策略将 PEAP-MSCHAPv2 无线网络设置部署到域成员计算机。
将网络策略服务器 (NPS) 角色添加到 Windows Server
适用于 Windows Server 2008 及更高版本的 Microsoft RADIUS 服务器产品是其网络策略服务器 (NPS)。有关将 NPS 角色添加到 Windows Server 以及在 Active Directory 中注册新的 NPS 服务器(允许将 AD 用作其用户库)的说明,请参阅以下两个 Microsoft 文档:
向 NPS 添加受信任证书
RADIUS 服务器必须托管一个证书,允许网络客户端和 Meraki 无线接入点验证服务器的身份。此证书有三个选项:
- 从受信任的证书授权机构获取证书
只要所使用的 CA 被网络上的客户端信任,就可以购买证书并将其上传到 NPS 中,以完成服务器身份验证(客户端必须要进行身份验证)。受信任 CA 的常见示例包括 GoDaddy 和 VeriSign。 - 实施公共密钥基础设施并生成证书(高级)
可以在网络上使用 PKI 来发布网络上的客户端信任的证书。要使用此选项,建议对 PKI 有深入的了解。 - 生成自签名证书并关闭客户端服务器验证(不安全)
可以出于测试/实验目的生成自签证书,不过客户端不信任自签证书并且必须禁用服务器验证才能进行连接。
由于此选项会导致安全性大大降低,因此,不推荐将此选项用于生产部署。
在获得证书之后,请参阅 Microsoft 文档
将无线接入点作为 RADIUS 客户端添加到 NPS 服务器
在此场景中,无线接入点与客户端进行通信并接收其域凭证,然后无线接入点将凭证转发给 NPS。必须先通过 IP 地址将无线接入点的 RADIUS“访问-请求”消息添加为 RADIUS 客户端/身份验证器,此消息才能由 NPS 处理。由于只有网关 AP 在局域网上有 IP 地址,所以网络中的所有网关 AP 必须作为 RADIUS 客户端添加到 NPS。
要快速收集所有网关 AP 的局域网 IP 地址,请在控制面板中导航至无线 > 监控 > 无线接入点,确保“局域网 IP”列已添加到表中,并记下列出的所有局域网 IP。局域网 IP 为“不适用”的无线接入点是中继器,不需要添加为 RADIUS 客户端:
在收到网关 AP 的局域网 IP 列表之后,请参阅 Microsoft 文档,了解如何将每个无线接入点作为客户端添加到 NPS。请记下在 NPS 中配置的共享密码,该密码将在控制面板中引用。
注意:为了节省时间,也可以将整个子网作为 RADIUS 客户端添加到 NPS,来自该子网的任何请求都将由 NPS 处理。为降低安全风险,建议只有在所有无线接入点都位于其自己的管理 VLAN 和子网上时,才使用此方法。
在 NPS 中配置策略以支持 PEAP-MSCHAPv2
必须对 NPS 进行配置,以支持将 PEAP-MSCHAPv2 作为其身份验证方法。
此配置通过三个步骤完成(下文概述在 Windows Server 2008 中为 NPS 执行这三个步骤):
- 创建 NPS 策略
- 更改策略处理顺序
- 禁用自动修复
创建 NPS 策略
- 打开网络策略服务器控制台。
- 选择NPS(本地),您会看到入门窗格。
- 在标准配置下拉列表中选择用于 802.1X 无线或有线连接的 RADIUS 服务器。
- 点击配置 802.1X,以开始配置 802.1x 向导。
- 当出现选择 802.1X 连接类型窗口时,选择单选按钮安全无线连接并输入策略的名称:或使用默认值。点击下一步。
- 在指定 802.1X 交换机窗口验证您添加为 RADIUS 客户端的无线接入点。点击下一步。
- 在配置身份验证方法中,选择 Microsoft:受保护的 EAP (PEAP)。
- 点击配置,以查看编辑受保护的 EAP 属性。服务器证书应在已颁发证书下拉列表中。确保启用快速重新连接已被选中,且 EAP 类型是安全密码 (EAP-MSCHAPv2)。点击确定。点击下一步。
- 当出现指定用户组窗口时,点击添加。
- 输入或查找域用户组。此组应位于与 RADIUS 服务器相同的域。
注意:如果正在使用 RADIUS 进行机器身份验证,请查找域计算机组。 - 在添加组时,点击确定。点击下一步
- 。
- 在“配置虚拟局域网 (VLAN)”窗口中,点击下一步。
- 当出现完成新的 IEEE 802.1X 安全有线和无线连接和 RADIUS 客户端时,点击完成。
更改策略处理顺序
- 导航至策略 > 连接请求策略。右键点击无线策略并上移,这样该策略就会优先得到处理。
- 导航至策略 > 网络策略。右键点击无线策略并上移,这样该策略就会优先得到处理。
禁用自动修复
- 导航至策略 > 网络策略。右键点击无线策略并选择属性。
- 在此策略的设置选项卡中,取消选中客户端计算机的启用自动修复框并点击确定。
下图概述支持使用 PEAP-MSCHAPv2 进行用户身份验证的 NPS 策略示例:
(可选)使用组策略部署 PEAP 无线配置文件
为了获得最佳用户体验,最好将 PEAP 无线配置文件部署到域计算机,以便用户可以轻松地与 SSID 相关联。虽然可以选择用户身份验证,但强烈建议您进行机器身份验证。
以下说明介绍如何在运行 Windows Server 2008 的域控制器中,使用 GPO 将 PEAP 无线配置文件推送到域计算机:
- 打开域组策略管理管理单元。
- 创建新的 GPO 或使用现有 GPO。
- 编辑 GPO 并导航至计算机配置 > 策略 > Windows 设置 > 安全设置 > 公钥策略 > 无线网络 (IEEE 801.X) 策略。
- 右键点击无线网络 (IEEE 801.X) 策略并选择创建新的 Windows Vista 策略
- 。
- 提供一个 Vista 策略名称
- 。
- 点击添加,以便连接到可用网络。
- 选择基础设施
- 。
- 在连接选项卡上,提供配置文件名称并在网络名称中输入无线网络的 SSID。点击添加
- 。
- 点击安全选项卡。进行以下配置:
- 身份验证:WPA2 企业版或 WPA 企业版
- 加密:AES 或 TKIP
- 网络身份验证方法:Microsoft:受保护的 EAP (PEAP)
- 身份验证模式:计算机身份验证(适用于机器身份验证)
-
点击属性
。 -
在受信任的根证书颁发机构中,选中相应证书颁发机构旁边的复选框并点击确定
。
控制面板配置
在使用相应要求将 RADIUS 服务器设置为支持身份验证之后,以下说明介绍如何配置 SSID 以支持 WPA2 企业版并对 RADIUS 服务器进行身份验证:
- 在控制面板中,导航至无线 > 配置 > 访问控制。
- 从 SSID 下拉列表中选择所需的 SSID(或导航至无线 > 配置 > SSID 以创建新的 SSID)。
- 对于关联要求,选择对我的 RADIUS 服务器使用 WPA2 企业版。
- 在 RADIUS 服务器下,点击添加服务器
- 输入主机(您的 RADIUS 服务器的 IP 地址,可以从接入点访问)、端口(RADIUS 服务器侦听“访问请求”的 UDP 端口;默认值为 1812)和密钥(RADIUS 客户端共享密钥):
- 点击保存设置按钮。
除上述 RADIUS 服务器要求外,所有身份验证无线接入点都需要能够联系控制面板中指定的 IP 地址和端口。确保您的无线接入点都具有到 RADIUS 服务器的网络连接,并且没有防火墙阻止访问。
VLAN 标记选项
控制面板提供了许多选项,可以从具有特定 VLAN 标记的具体 SSID 标记客户端流量。通常,SSID 将与 VLAN ID 关联,此 SSID 的所有客户端流量都将在此 VLAN 上发送。
通过 RADIUS 集成,可以在 RADIUS 服务器的响应中嵌入 VLAN ID。这允许基于 RADIUS 服务器的配置进行动态的 VLAN 分配。请参阅我们有关使用 RADIUS 属性标记客户端 VLAN 的文档,了解配置详细信息。
在控制面板中测试 RADIUS
控制面板具有内置的 RADIUS 测试实用程序,可用于确保所有无线接入点(至少是使用 RADIUS 广播 SSID 的无线接入点)可以联系 RADIUS 服务器:
RADIUS 记帐
(可选)如果 SSID 使用具有 RADIUS 身份验证功能的 WPA2 企业版,则可以对该 SSID 启用 RADIUS 记帐。启用后,“开始”和“停止”记帐信息会从无线接入点发送到指定的 RADIUS 记帐服务器。
以下说明介绍如何在 SSID 上启用 RADIUS 记帐:
- 导航至无线 > 配置 > 访问控制,并从下拉菜单中选择所需的 SSID。
- 在 RADIUS 记帐下,选择启用 RADIUS 记帐功能
- 。
- 在 RADIUS 记帐服务器下,点击添加服务器<。br> 注意:可以添加多个服务器以进行故障切换,RADIUS 消息将以自上而下的顺序发送到这些服务器。
- 输入详细信息:
- 主机(无线接入点将向其发送 RADIUS 记帐消息的 IP 地址)
- 端口(正在监听记帐消息的 RADIUS 服务器上的端口;默认值为 1813)
- 密钥(用于对无线接入点和 RADIUS 服务器之间的消息进行身份验证的共享密钥)
- 点击保存更改。
此时,在客户端成功连接 SSID 或从 SSID 断开连接时,将从无线接入点向 RADIUS 服务器发送“开始”和“停止”记帐消息。