基于Windows 2012R2 AD RADIUS无线认证

环境介绍：

AD一台，包含CA证书服务

RADIUS成员服务器一台

AP多台

客户电脑多台

前提：AD上安装并配置企业域根证书服务，过程略，能够参考下文件：

http://ericfu.blog.51cto.com/416760/1624791

一、将RADIUS服务器加入域，并以域帐号登陆，开始、运行MMC

二、添加本机证书管理工具

三、打开我的证书

四、在空白地方点右键，申请证书

五、下一步、下一步

六、系统自动找到当前可申请的证书类型，若是有多项，请只选择计算机，而后点注册

八、自动完成证书申请！

九、在证书管理界面能够看到已经生成的证书，正常应该显示为二级证书，上面会有一个企业域的根证书

十、添加Server Manager中，添加NAP角色

十一、添加完成后，打开NPS管理控制台，在标准配置下，选择：RADIUS Server for 802.1x Wireless or Wired Connections

十二、选择：Secure Wireless Connections

1三、添加RADIUS客户端设备，即须要配置RADIUS认证的无线AP

1四、输入AP的设备名称，IP地址，AP和RADIUS服务器以前认证须要的密码，后面配置AP时须要，能够重复添加多个AP，完成后下一步

1五、选择认证方式 PEAP

1六、选择好后，要以点击配置，查看EPAP信息，确认当前使用的证书，是在步骤9中申请的证书！

1七、添加容许经过RADIUS认证的用户或组，能够选择自已须要的AD组，这里我选择全部域用户

1八、直接下一步、完成！

1九、完成后，回到NPS管理窗口主界面，打开NPS\Policies\Network Policies，能够看到刚才配置成功的：Secure Wireless Connections，双击打开，进到Constraints，清空红色方框内的选项

20、进到Settings,能够选择删除PPP

2一、确认退出，到此Windows端的Radius配置完成，下面有几种AP为例，进行Wi-Fi SSID中的RADIUS认证配置

2二、CISCO AP中的配置，打开界面，进到Security\Server Manager，添加RADIUS服务器，

Server：即前面配置的Windows 2012 Radius服务器的IP地址

密码：为步骤14中输入的密码，AP的IP和密码要对应！

2三、对应的命令以下：

radius-server host 10.132.176.10 auth-port 1812 acct-port 1813 key 7 ********

aaa authentication login eap_methods group rad_eap

aaa group server radius rad_eap

server 10.132.176.10 auth-port 1812 acct-port 1813

2四、在SSID管理中，指定认证方式以下

2五、对应的命令以下：

dot11 ssid WiFipeap

vlan 180

authentication open eap eap_methods

authentication network-eap eap_methods

2六、为对应的VLAN开启WEP Encryption

2七、对应的命令以下，若是有多个频率，都须要，刚要分别配置

interface Dot11Radio0

no ip address

no ip route-cache

!

encryption vlan 180 mode wep mandatory

!

2八、其它两种AP的配置方式，方法同样，选在Radius Server中，加入Radius服务器IP，以及步骤14中输入的密码(AP的IP和密码要对应)！

2九、选择认证方式为WPA2 With Radius,有些设备上会称为：WPA2 AES/WPA2企业级等

30、RADIUS/AP配置完成!