2024年5月17日发(作者：itools官方下载ios版)

Wifi集成AD认证

一、 必备条件 .............................................................................................................................................................................................................. 1

二、 无线802.1x认证配置概要 ................................................................................................................................................................................. 1

三、 认证配置 .............................................................................................................................................................................................................. 2

3.1. 安装Radius及证书 ......................................................................................................................................................................................... 2

3.2. 配置证书 .......................................................................................................................................................................................................... 3

3.3. 配置Radius ...................................................................................................................................................................................................... 3

3.3.1. Windows2008配置 .............................................................................................................................................................................. 3

3.3.2. Windows2003配置 ............................................................................................................................................................................ 13

四、 AP设置 ............................................................................................................................................................................................................... 22

1. 接线方式 ............................................................................................................................................................................................................ 22

2. 设置无线认证方式 ............................................................................................................................................................................................ 22

3. Linksys EA系列配置 ........................................................................................................................................................................................... 22

五、 防火墙配置 ........................................................................................................................................................................................................ 24

六、 使用组策略创建无线配置文件 – 可以不使用 .............................................................................................................................................. 25

七、 客户端配置 ........................................................................................................................................................................................................ 26

7.1 PC连接WIFI .................................................................................................................................................................................................. 26

7.2 Win7系统手动创建无线配置文件 ............................................................................................................................................................... 26

7.3 移动设备连接 31

八、 测试报告 ............................................................................................................................................................................................................ 31

目的-测试本地AD帐号验证及KLCL邮箱帐号验证 ............................................................................................................................................... 32

网络环境 ............................................................................................................................................................................................................ 33

本地AD帐号验证 ............................................................................................................................................................................................. 33

KLCL邮箱帐号验证 ............................................................................................................................................................................................ 37

目的-测试Guest网络访问权限................................................................................................................................................................................ 40

网络环境 ............................................................................................................................................................................................................ 40

一、 必备条件

1、 AP的无线加密方式必须支持WPA企业认证（WPA Enterprise）或WPA2企业级认证（WPA2

Enterprise）。

2、 AP支持双SSID、无线VLAN。

3、 AD、Radius服务器、证书。

二、 无线802.1x认证配置概要

1、 AP的Internet接入方式设为桥接模式，并设置一个静态IP地址。

Wifi集成AD认证

2、 AP无线安全设置启用WPA/WPA2企业级加密方式。

3、 AP中Radius共享密钥必须和Radius服务器创建的对应AP的Radius客户端的共享密钥一致。

4、 AP中Radius服务器地址填本地Radius服务器地址。

5、 在Radius服务器创建Radius客户端，客户端的IP地址填AP的IP。

6、 在Radius服务器里面创建两条连接策略：第一条策略用于本地用户通过Radius服务器与本地AD

集成验证，第二条策略通过本地Radius服务器把用户的验证信息转发到HQ的Radius服务器上验证。

7、 NPS启用在Active Directory中注册服务器。

8、 NPS网络策略条件需要添加NAS端口类型（无线和无线其它）、能验证的用户或组。

9、 第一条策略的身份验证方法选择PEAP，Radius服务器需要配置本地证书给PEAP提供证书。

10、 本地防火墙中需要添加一条策略拒绝AP访问BOVPN网络，并且在BOVPN策略里面开放1812、

1813端口。

11、 Windows2003配置远程Radius服务器做身份验证需要在策略状况里面对“User-Name”使用

正规式对KLCL邮箱帐号匹配，并且在“编辑配置文件”的“高级”选项卡里面添加

“Remote-RADIUS-to-Windows-User-Mapping”值设为真。

三、 认证配置

3.1. 安装Radius及证书

Wifi集成AD认证

1、 Windows2003在服务器控制面板 – “添加删除程序” – “添加删除windows组件” 里面安

装及证书服务及“Internet验证服务”（在网络服务里面）。

2、 Windows2008在控制面板-“管理工具”中打开“服务器管理器”添加“角色”，必须选中“网络

策略和访问服务”。

3.2. 配置证书

1、 在运行里面输入MMC打开控制台，添加管理单元“证书”，在“证书管理单元”窗口选择“计算

机账户”。

2、 展开“证书（本地计算机）”-“个人”-“证书”；右键单击“证书”，选择“所有任务”，“申请新

证书”，证书类型选择“域控制器”或者导入一个已经存在的证书。

3.3. 配置Radius

在“管理工具”里面打开“Internet验证服务”/“网络策略服务器”

3.3.1. Windows2008配置

1、 创建Radius客户端

打开“网络策略服务器”，展会“RADIUS客户端和服务器”，在“Radius客户端”上面点右键选择“新

建Radius客户端”

如果NPS和域控装载一台服务器上，请在NPS(本地)上面点右键，选择“在Active Directory中注册服

务器”

Wifi集成AD认证

打开后按照下图配置

HQ需要创建Radius客户端，将客户端的地址指向项目公司的Radius服务器的IP，对应的共享机密需

要一致。

Wifi集成AD认证

2、 创建远程Radius服务器组

在“远程Radius服务器组”上面点右键打开下面窗口，起个组名然后点“添加”。按照下面的图片步骤

操作。

Wifi集成AD认证

在“负载平衡”可以设置响应时间，建议时间设置长一点。

3、 创建连接请求策略

先创建一条连接到Radius服务器的网络连接策略，该策略的优先顺序设为1，然后创建一条转发到HQ

的Radius服务器的验证策略。

展开“策略”，在“连接请求策略”上面点右键，选择“新建”，依次按照下面的图（）操作。

Wifi集成AD认证

点“下一步”

Wifi集成AD认证

特别说明：添加完端口后，创建一条连接到本地Radius服务器的网络策略，需要继续添加用户或组，

授权相应的用户或组有权通过Radius服务器验证。

在选中“无线 - IEEE 802.11”和“无线 – 其它”

Wifi集成AD认证

A. 创建一条连接到Radius服务器的网络连接策略

Wifi集成AD认证

然后依次点击“下一步”直到完成

B. 创建一条转发到HQ的Radius服务器的验证策略

Wifi集成AD认证

然后依次点击“下一步”直到完成

Wifi集成AD认证

4、 为PEAP手动指定一个证书

1、 PEAP没有配置证书，用户验证会失败。

2、 如果服务器有多个证书可以为PEAP手动指定一个证书。可参照下图的步骤设置。

3、 双击已经创建好的连接请求策略，点击“设置”选项卡，在身份验证方法，EAP类型选择“Microsoft：

受保护的EAP（PEAP）”，然后点“编辑”打开“配置受保护的EAP属性”窗口，在证书颁发给中选择一个

证书。可参照下面的步骤设置。

Wifi集成AD认证

3.3.2. Windows2003配置

1、 创建Radius客户端

Wifi集成AD认证

1、 在Radius客户端里面创建新的客户端，指定客户端IP地址为AP的IP地址。

2、 “客户端-供应商”选择默认的“Radius Standard”

3、 设置“共享的机密”，无线WPA/WPA2企业级加密方式共享机密必须和此密钥一致。

2、 创建远程访问策略

1、在“远程访问策略”上面点鼠标右键新建一个策略，可采用向导。

2、访问方法选择“无线”。

3、选择授予访问权限的用户或组。如果是组的话，在AD中创建的组必须是全局组。

4、身份验证类型选择“受保护的EAP（PEAP）”

5、创建好策略后双击策略，点“编辑配置文件”，在“身份验证”选项卡选中前四个选项，用户密码过

期可更改。

6、在“Internet验证服务（本地）”上面点右键选择“在Active Directory中注册服务”

说明（Windows2008可能不同）：

1、 通过向导创建的策略必须在AD用户或计算机的“拨入”选项卡里面的远程访问权限选中“允许访

问”。

2、 把Ignore-User-Dialin-Properties的属性设为“真”可以不用一个一个设置用户的远程访问权限。

该设置需要在“远程访问策略”里面编辑创建的策略的配置文件，在“高级”选项卡里面添加。

Wifi集成AD认证

3、 手动创建策略时，策略状况里面“NAS-Port-Type”里面可以指定访问类型（无线-IEE 802.11），

“Day-And-Time-Restrictions”可以指定访问的时间段，“Windows-Groups”可以指定允许访问的组。

4、 策略配置文件的“身份验证”选项卡里面的“EAP方法”的ERP类型设为“受保护的EAP（PEAP）”

5、 创建的无线远程访问策略的属性里面必须开启“授予远程访问权限”，双击创建的策略可以看到。

3、 创建远程Radius服务器组

请参照Windows2008设置，创建组

4、 创建连接请求策略

在“连接请求策略”上面点右键新建

Wifi集成AD认证

创建后编辑策略，在策略状况里面添加“User Name”属性。

连接请求策略

总共创建了下面的四条连接请求策略，策略的顺序不能变，策略顺序变了将导致用户验证失败。

Wifi集成AD认证

1、 Sunsea_host策略使用计算机身份验证。

2、 KLCL及HQ策略使用KLCL邮箱帐号验证。两条策略需要在“编辑配置文件”的“高级”选项卡

里面添加“Remote-RADIUS-to-Windows-User-Mapping”值设为真

3、 KLCL策略指定如果您的邮箱是 @ ，只需要使用

做帐号验证。

4、 HQ策略指定果您的邮箱是 @，使用

做帐号验证。

5、 Local策略使用本地AD帐号验证。

Sunsea_host策略：User-Name正规式为^host/

KLCL策略：User-Name正规式为(w+).(.+)

Wifi集成AD认证

注意符号为英文符号，字母小写，此项正规式包含了^host/，所以放在第二项

HQ策略：User-Name正规式为^keppellandchina

Local策略:不需要添加User-Name

KLCL及HQ策略需要把身份验证转发到远程Radius服务器上验证，并设置高级属性。参照下面的三副

图设置。

Wifi集成AD认证

Wifi集成AD认证

Sunsea_host和local策略使用本地身份验证，参展下面的图片设置。

Wifi集成AD认证

Wifi集成AD认证

四、 AP设置

检查无线路由器、AP是否支持？

进入AP管理界面，一般在无线参数，无线安全设置里面检查加密方式是否有WPA企业认证（WPA

Enterprise）及WPA2企业级认证（WPA2 Enterprise）。

1. 接线方式

把AP的Internet接口与交换机相接，把AP的互联网接入模式设为桥接模式，指定一个静态管理IP。

2. 设置无线认证方式

1、进入AP管理界面，在无线安全设置里面把无线加密方式选为WPA Enterprise或WPA2 Enterprise

2、在Radius服务器的地址中填写你安装IAS（ Internet验证服务）的IP地址。

3、共享密钥必须和你在IAS里面配置Radius客户端的密钥一致。

说明：

1、 IAS服务器必须允许AP访问1812端口。

3. Linksys EA系列配置

1、 把AP的Internet接口用网线与交换机连接。

2、 进入AP管理界面，点“Setup”，把Internet Connection Type选为Bridge Mode，并设置

Wifi集成AD认证

Router Address。设置完后点“Save Settings”可参照下图。

3、 点“Wireless”，进入“Wireless Settings”界面。把配置模式设为手动，选中“Manual”。把“Security

Mode”设为“WPA2 Enterprise”，把“RADIUS Server”设为你配好的Radius服务器的地址，端口默认

1812，“Shared Key”设为Radius服务器里面设定的Radius客户端对应的共享机密。

4、 启用Guest Access，可参照下图设置。

Wifi集成AD认证

5、 SSID-guest网络采用WEB验证，连接不需要密码，客人的电脑、手机、平板连接SSID-guest

后上网需要打开一个网址然后输入Guest Password才能上网。验证界面如下。

五、 防火墙配置

A. 本地防火墙与HQ防火墙之间的VPN策略需要开放1812端口。

B. 在本地防火墙上添加一条Any策略，拒绝AP的管理IP访问BOVPN及在安装在你机房的MPLS线

Wifi集成AD认证

路的设备的内网IP。添加此策略后才能阻止客人访问VPN网络。设置如下：

六、 使用组策略创建无线配置文件 – 可以不使用

Wifi集成AD认证

1、 配置好AP后，加入域的用户在无线信号覆盖的地方手动连接可以直接连接不需要输入用户名及密

码。

2、 Windows2003组策略只能创建WPA企业级无线配置文件。

3、 打开“域安全策略”，依次展开“安全设置”-“无线网络（IEEE 802.11）策略”，创建一个无线网

络策略，为策略起一个名字（可随意）。

4、 在策略属性“常规”选项卡里面的要访问的网络类型选择“任何可用的网络”。

5、 在“首选网络”里面添加wifi的SSID，网络验证选你设置的无线加密类型。在IEE 802.1x里面启

用802.1x网络访问控制，EPO启动消息设为“经IEE 802.1x传输”，EAP类型选为“受保护的EAP（PEAP）”。

七、 客户端配置

7.1 PC连接WIFI

1、 加入域的用户可以直接连接设置好的无线信号。

2、 没有加入域的win7用户需要手动创建配置文件。

3、 Win8、苹果电脑可以直接输入AD用户名及密码验证。

7.2 Win7系统手动创建无线配置文件

依次打开“控制面板”-“网络和Internet”-“管理无线网络”，添加一个配置文件。

Wifi集成AD认证

Wifi集成AD认证

Wifi集成AD认证

如果计算机没有安装Radius服务器PEAP使用的证书，请不要勾选验证服务器证书。

回到“无线网络属性”窗口，点“高级设置”

Wifi集成AD认证

Wifi集成AD认证

配置完成后连接对应的无线网络会弹出下图的网络身份验证窗口，输入用户名及密码验证。

7.3 移动设备连接Wifi

苹果IOS：

1、 打开wifi，点击无线网络，输入AD用户名及密码验证后点接受证书。有的版本需要选择加密方式

后才能输入用户名及密码。

2、 有些IOS版本在用户修改密码后重连无法连接，最好在修改密码之前先在苹果手机里面忽略无线

网络然后再连接。

安卓：

1、 需要安卓2.3以上的版本支持。

2、 点击无线网络，安全性选择PEAP，有的是802.1x EAP，在身份里面输入AD用户名，密码输入

AD用户的密码。

八、 测试报告

Wifi集成AD认证

目的-测试本地AD帐号验证及KLCL邮箱帐号验证

1、 检验用户能否通过本地AD帐号验证，能否使用KLCL邮箱帐号验证。

在本地Radius事先创建好Radius客户端、服务器组、请求策略

Local策略采用本地AD帐号验证，HQ策略采用KLCL邮箱帐号验证，处理顺序Local优先。

Wifi集成AD认证

网络环境

内部IP网段：192.168.66.0/24

AP Internet IP地址：192.168.66.115

AP LAN口和无线端IP地址段：192.168.0.0/24

AP加密方式采用802.1x WEP 128位加密方式（测试的设备不支持WPA/WPA2企业级加密方式）

AP SSID：sky

本地Radius IP：192.168.66.16 虚拟机

远程Radius IP：192.168.89.96 HQ

本地AD帐号验证

创建无线配置文件sky，连接SKY，然后用NPS服务器上的帐号AP验证。

电脑连接SKY后IP地址如下

Wifi集成AD认证

日志

Radius服务器上的日志（在系统安全日志里面查看）如下：

已经授权AP用户访问

Wifi集成AD认证

可以看到无线客户端用户的网关及NAS的端口类型

Wifi集成AD认证

可以看到使用的策略名和代理名

Wifi集成AD认证

KLCL邮箱帐号验证

Wifi集成AD认证

断开sky，删除先前创建无线配置文件sky，然后再重新创建一个sky配置文件，然后用KLCL的邮箱帐

号验证。

日志

Wifi集成AD认证

Wifi集成AD认证

目的-测试Guest网络访问权限

Guest网络只能访问Internet，不能访问内部网络和任何VPN网络。

网络环境

内部IP网段：192.168.66.0/24

AP Internet IP地址：192.168.66.6

AP 采用桥接模式，AP支持无线VLAN

AP加密方式采用WPA2企业级加密方式

Wifi集成AD认证

AP SSID：SSYCMeetingRoom

Guest SSID：SSYCMeetingRoom-guest

Radius IP：192.168.66.10

防火墙已做策略限制。

连接SSYCMeetingRoom-guest，查看电脑的IP地址，IP地址和内网的192.168.66.0/24不在同一网

段。

打开一个网页，成功经过web成功验证后能访问Internet。

Ping 163网站能通

Ping内部网络IP 192.168.66.10 不通

Wifi集成AD认证

Ping HQ的内部IP 192.168.89.5 不通

Ping新加坡的内部k2portal 不通