使用Windows搭建AAA认证服务器
- 前言:
- 一、AD域安装
- 二、配置AD域
- 三、安装NPS服务器
- 四、配置NPS
- 五、创建用户并赋权限
- 六、配置华为设备AAA
前言:
文章是因为最近在搞网内网络设备的radius认证,查找很多资料并不是非常详细,所以自己整理了一份资料留着备用。
一、AD域安装
1、添加角色和功能
2、添加角色和功能
3、添加角色和特征
4、服务器池选取
5、添加AD域服务,同时添加所需功能
6、根据提示操作,下一步
6、安装完成
二、配置AD域
1、将服务器提升为域控服务器
2、新建一个林并配置domain name
3、输入“DSRM”密码
4、创建DNS选项
注意:这里会提示DNS_Server无法创建,忽略即可
5、按照提示下一步
6、确认AD域控各类相关文件路径
7、再次确认配置信息是否有误
8、安装环境自检
注意:
① 检查黄色标可以忽略
② 在安装AD域控前一定要确认管理员账户有密码
③ 如果新加管理员密码,需要重启以后再进行安装域控
9、完成配置
注意:完成配置后会提示要求重启设备,重启后即可完成AD域控配置
三、安装NPS服务器
1、添加角色和功能
2、添加角色和特征
3、服务器池选取
4、添加NPS服务器并添加所需功能
5、按照提示下一步
6、安装角色服务
7、确认配置信息
8、完成安装
四、配置NPS
1、打开Windows管理工具
2、打开NPS管理工具
3、加入AD域
4、配置Radius-客户端
(1)新建Radius-客户端
(2)配置Radius客户端
注意:
① 勾选“Enable Radius”开启radius客户端
② 填写“Friend Name”友好名字,后续的策略中需要用到
③ 输入“Share secret” 共享密钥,用于华为设备radius配置中的密码
(3)Radius客户端配置完成
5、配置准入策略“Connection Request Policies”
(1)新建准入策略
(2)指定Policy名字
(3)配置客户端友好名
(4)按照提示下一步
(5)选择用户认证方式
(6)更改标准参数“Login-Service”值“Telnet
注意:如果是SSH需要手动在"c:\Windows\System32\ias\dnary.xml"文件中添加下列配置。
<StandardValue>
<Name>SSH</Name>
<Value>50</Value>
</StandardValue>
(7)指定供应商代码“vendor Specific”
注意:
① vendor Code :2011 #代码可以找官网查,华为是2011
② Attribute Number:29 #特征码,官网也有定义,华为是26-29
③ Attribute Format: Decimal #编码格式,采用十进制方式
④ Attribute Value:3 #定义登录权限,对应华为登录登级1-15
(8)完成准入策略配置
(9)调整准入策略优先级
9、配置网络策略
(1)新建网络策略
(2)指定网络策略名字
(3)添加Radius客户端友好名称
(4)设备访问权限
(5)指定用户认证方式
注意:选择PAP,SPAP模式时,会提醒是否需要帮助,直接选择否就可以。
(6)设置IDLE时间
注意:IDLE时间单位为分钟,次选项属于可选选项,可以不用勾选。
(7)设置标准配置
(8)配置厂商特征
(9)确认网络策略配置信息
(10)调整策略优先级
五、创建用户并赋权限
1、创建用户组
(1)新建用户组
(2)指定用户组名
2 、创建用户
(1)新建用户
(2)指定用户名以及登录账号
(3)设置用户登录密码
(4)确认用户信息
(5)调整用户策略
注意:"Network Access Pemission"如果用户只是使用NPS功能的话,可以选择NPSnetworkPolicy;建议选择Allow access
3、赋予用户组权限
六、配置华为设备AAA
1、建立Radius模板
注意:Radius模板中的shared-key是之前建立radius客户端(4.2)时填写的共享密钥。
radius-server template Radius-hw
radius-server shared-key cipher password
radius-server authentication x.x.x.x 1812 source LoopBack 0 weight 80
radius-server retransmit 2
radius-server user-name domain-included
2、配置AAA策略
aaa
authentication-scheme Radius-hw
authentication-mode radius local
accounting-scheme Radius-hw
accounting-mode radius
accounting start-fail online
domain radius.com
authentication-scheme Radius-hw
accounting-scheme Radius-hw
radius-server Radius-hw
3、配置访问策略
acl number 3544
description for-access-control
rule 5 permit ip source x.x.x.x 0.0.0.255
4、配置VTY接口
user-interface vty 0 4
acl 3544 inbound
authentication-mode aaa
user privilege level 15
protocol inbound telnet(ssh)