簡(jiǎn)介

通過微軟的NPS角色實(shí)現(xiàn)一個(gè)Radius服務(wù)器，身份驗(yàn)證和證書使用微軟ADCS、ADDS。

最終可實(shí)現(xiàn)通過AD用戶進(jìn)行802.1X協(xié)議進(jìn)行接入認(rèn)證，配置到接入交換機(jī)和WLC（無線控制器），可通過安全組分配指定VLAN。

PS：加入域控的Windows終端可無感認(rèn)證（通過組策略和域控下發(fā)CA。）

示意圖

什么是 802.1X？

802.1X 是由IEEE（電氣和電子工程師協(xié)會(huì)）定義的一個(gè)網(wǎng)絡(luò)訪問控制標(biāo)準(zhǔn)，主要用于局域網(wǎng)（LAN）和無線局域網(wǎng)（WLAN）的端口級(jí)接入控制，保障網(wǎng)絡(luò)安全。

核心作用

• 通過身份驗(yàn)證機(jī)制控制設(shè)備（如計(jì)算機(jī)、手機(jī)）接入網(wǎng)絡(luò)的權(quán)限。

• 防止未授權(quán)設(shè)備訪問網(wǎng)絡(luò)資源。

• 常用于有線網(wǎng)絡(luò)接入（以太網(wǎng)）和無線Wi-Fi網(wǎng)絡(luò)的安全訪問。

802.1X的組成角色

• Supplicant（客戶端） 網(wǎng)絡(luò)接入設(shè)備（例如電腦、手機(jī)）上運(yùn)行的客戶端軟件，負(fù)責(zé)向網(wǎng)絡(luò)請(qǐng)求訪問權(quán)限并提供身份憑證（如用戶名/密碼、證書等）。

• *Authenticator（認(rèn)證者）*網(wǎng)絡(luò)設(shè)備（如交換機(jī)端口、無線接入點(diǎn)AP），作為中介，控制端口是否開放，必須通過認(rèn)證服務(wù)器的授權(quán)后才能放行流量。

• *Authentication Server（認(rèn)證服務(wù)器）*通常為RADIUS服務(wù)器（如微軟NPS），負(fù)責(zé)接收認(rèn)證請(qǐng)求并驗(yàn)證Supplicant的身份，根據(jù)策略決定是否允許訪問。

工作流程簡(jiǎn)述

• 設(shè)備（Supplicant）連接到交換機(jī)/無線AP（Authenticator）。

• Authenticator暫時(shí)將端口置為封閉狀態(tài)，只允許傳輸802.1X相關(guān)認(rèn)證流量。

• Supplicant發(fā)送認(rèn)證請(qǐng)求，Authenticator轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器（RADIUS服務(wù)器）。

• 認(rèn)證服務(wù)器驗(yàn)證身份（比如用戶名密碼、數(shù)字證書等）。

• 認(rèn)證成功，Authenticator開放端口，允許設(shè)備正常訪問網(wǎng)絡(luò)。

• 認(rèn)證失敗，則拒絕訪問。

802.1X常見應(yīng)用

• 企業(yè)無線網(wǎng)絡(luò)身份驗(yàn)證（結(jié)合WPA2-Enterprise）。

• 有線網(wǎng)絡(luò)的設(shè)備級(jí)訪問控制，防止非法設(shè)備接入。

• 配合RADIUS服務(wù)器實(shí)現(xiàn)統(tǒng)一身份管理與安全審計(jì)。

802.1X與RADIUS/NPS的關(guān)系

• 802.1X定義如何請(qǐng)求和控制網(wǎng)絡(luò)接入。

• RADIUS協(xié)議用于802.1X架構(gòu)中，作為認(rèn)證服務(wù)器和認(rèn)證者之間的協(xié)議來傳輸認(rèn)證信息。

• 微軟NPS可作為認(rèn)證服務(wù)器實(shí)現(xiàn)，處理802.1X中的認(rèn)證請(qǐng)求。

相關(guān)文檔：https://info.support.huawei.com/info-finder/encyclopedia/zh/802.1X.html

https://info.support.huawei.com/info-finder/encyclopedia/zh/NAC.html

微軟NPS和Radius概念

什么是 RADIUS？

RADIUS（Remote Authentication Dial-In User Service） 是一種網(wǎng)絡(luò)協(xié)議，用于實(shí)現(xiàn)用戶的遠(yuǎn)程身份驗(yàn)證、授權(quán)和計(jì)費(fèi)（AAA）。它常用于VPN、無線接入點(diǎn)（Wi-Fi）、撥號(hào)接入等需要身份驗(yàn)證的場(chǎng)景。

• 功能（AAA）：

  • 身份驗(yàn)證（Authentication）：核實(shí)用戶身份。

  • 授權(quán)（Authorization）：確定用戶可以訪問的資源和權(quán)限。

  • 計(jì)賬（Accounting）：記錄用戶訪問資源的相關(guān)信息。

• 工作方式：

  • 終端設(shè)備（如無線AP、交換機(jī)、VPN服務(wù)器）作為RADIUS客戶端，將用戶的認(rèn)證請(qǐng)求發(fā)送給RADIUS服務(wù)器。

  • RADIUS服務(wù)器驗(yàn)證后返回認(rèn)證結(jié)果，授權(quán)或拒絕用戶訪問。

• 協(xié)議特點(diǎn)：

  • 使用UDP端口1812（認(rèn)證）和1813（計(jì)費(fèi)）或舊端口1645/1646。

  • 傳輸過程中密碼使用共享密鑰加密（但整體安全性一般建議結(jié)合其它技術(shù)如IPSec）。

什么是微軟NPS？

微軟NPS（Network Policy Server） 是微軟Windows Server系統(tǒng)中實(shí)現(xiàn)RADIUS服務(wù)器功能的服務(wù)組件。

• 作用：

  • 是微軟的RADIUS服務(wù)器和代理解決方案。

  • 支持身份驗(yàn)證、授權(quán)和計(jì)費(fèi)功能。

  • 結(jié)合Active Directory域，支持基于用戶組、時(shí)間、設(shè)備等條件的策略控制。

• 功能特點(diǎn)：

  • 支持多種身份驗(yàn)證協(xié)議，如PEAP、EAP-TLS等，適合無線網(wǎng)絡(luò)和VPN的安全接入。

  • 能作為RADIUS代理，轉(zhuǎn)發(fā)請(qǐng)求到其他RADIUS服務(wù)器。

  • 支持配置網(wǎng)絡(luò)策略，實(shí)現(xiàn)靈活的訪問控制。

• 使用場(chǎng)景：

  • 企業(yè)無線網(wǎng)絡(luò)控制用戶接入。

  • VPN服務(wù)器擴(kuò)展用戶認(rèn)證。

  • 需要集中身份認(rèn)證及訪問控制的場(chǎng)合。

NPS和RADIUS的關(guān)系

• RADIUS是一種協(xié)議標(biāo)準(zhǔn)，而NPS是微軟基于RADIUS協(xié)議實(shí)現(xiàn)的服務(wù)器端軟件。

• NPS本質(zhì)上就是Windows環(huán)境下的RADIUS服務(wù)器。

• 通過NPS，管理員可以配置和管理RADIUS服務(wù)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問的集中身份認(rèn)證和控制。

總結(jié)

為NPS服務(wù)器申請(qǐng)計(jì)算機(jī)證書 - 用于PEAP EAP-MSCHAPv2

注意：需要已加入域控，且域控中有AD 證書服務(wù)器。

打開 certlm.msc，點(diǎn)擊個(gè)人 > 證書 右鍵 > 所有任務(wù)> 申請(qǐng)新證書。

下一步

勾選計(jì)算機(jī)模板，點(diǎn)擊注冊(cè)。(注意模板默認(rèn)只有一年有效期，可新建模板進(jìn)行修改)

NPS配置

安裝NPS角色

## Powershell 管理員運(yùn)行
Install-windowsfeature -name npas -IncludeManagementTools
# 安裝網(wǎng)絡(luò)策略服務(wù)器NPS和對(duì)應(yīng)管理工具。
netsh ras add registeredserver
# 注冊(cè)到域控，使用AD進(jìn)行身份認(rèn)證。
netsh ras show registeredserver
# 驗(yàn)證

可運(yùn)行nps.msc 打開GUI管理工具。

關(guān)閉防火墻 – 可選

## Powershell 管理員運(yùn)行
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False

RADIUS / NAS客戶端配置

## Powershell 管理員運(yùn)行
netsh nps add client name="HW_Switch" address=1.1.1.1 sharedsecret="Songxwn.com"
# 增加客戶端，指定名稱、客戶端地址（網(wǎng)絡(luò)設(shè)備訪問源IP）、共享密鑰。
netsh nps show client
# 查看
netsh nps del client HW_Switch
# 刪除

RADIUS / NAS客戶端配置 GUI操作

創(chuàng)建連接請(qǐng)求策略 - 802.1x 有線以太網(wǎng)

可運(yùn)行nps.msc 打開GUI管理工具。

策略 - 連接請(qǐng)求策略 - 右鍵新建

輸入策略命令 - 點(diǎn)擊下一頁

添加條件 - 選擇 NAS端口類型 - 選擇 以太網(wǎng)（有線） - 確認(rèn)添加 - 下一頁

繼續(xù)下一頁

繼續(xù)下一頁

繼續(xù)下一頁

至此完成。

創(chuàng)建網(wǎng)絡(luò)策略 - 802.1x 有線以太網(wǎng)

策略 - 網(wǎng)絡(luò)策略 - 右鍵新建

填寫策略名稱 - 下一頁

添加條件 - 指定為用戶組（域控安全組）- 添加指定組

注意：添加是完全匹配的。

添加條件 - 指定NAS端口類型為以太網(wǎng) （有線） 。

PS：可選的，如果NPS是多環(huán)境復(fù)用的。

下一頁

添加EAP類型 - 選擇 EAP （PEAP）

添加后選擇編輯，確認(rèn)是之前申請(qǐng)的計(jì)算機(jī)證書 - 下一頁

繼續(xù)下一頁

修改Radius屬性 - 標(biāo)準(zhǔn)，全部和上面的一致，就可以分配對(duì)應(yīng)用戶組的指定接入VLAN - 繼續(xù)下一頁

至此完成

策略檢查 - 802.1x 有線以太網(wǎng)

## Powershell 下執(zhí)行

netsh nps show crp

連接請(qǐng)求策略配置:
---------------------------------------------------------
名稱             = 有線以太網(wǎng)-網(wǎng)工格物
狀態(tài)             = 已啟用
處理順序         = 4
策略來源         = 0

條件屬性:

名稱                                    ID          值
---------------------------------------------------------
Condition0                              0x3d        “^15$”

配置文件屬性:

名稱                                    ID          值
---------------------------------------------------------
Auth-Provider-Type                      0x1025      “0x1”



netsh nps show np

網(wǎng)絡(luò)策略配置:
---------------------------------------------------------
名稱             = 有線以太網(wǎng)網(wǎng)絡(luò)策略-網(wǎng)工格物
狀態(tài)             = 已啟用
處理順序         = 5
策略來源         = 0

條件屬性:

名稱                                    ID          值
---------------------------------------------------------
Condition0                              0x1fb5      “S-1-5-21-3405621554-734450388-1705228783-512”
Condition1                              0x3d        “^15$”

配置文件屬性:

名稱                                    ID          值
---------------------------------------------------------
EAP-Configuration                       0x1fa2      “1900000000000000000000000000000038000000020000003800000001000000140000006B33763E7A447F77902A1921A8A269B068937F770100000001000000100000001A00000000000000”
Ignore-User-Dialin-Properties           0x1005      “FALSE”
NP-Allow-Dial-in                        0x100f      “TRUE”
NP-Allowed-EAP-Type                     0x100a      “19000000000000000000000000000000”
NP-Authentication-Type                  0x1009      “0x5” “0x3” “0x9” “0x4” “0xa”
Service-Type                            0x6         “0x2”
Tunnel-Medium-Type                      0x41        “0x6”
Tunnel-Pvt-Group-ID                     0x51        “927”
Tunnel-Type                             0x40        “0xd”
MS-Link-Utilization-Threshold           0xffffffaa  “0x32”
MS-Link-Drop-Time-Limit                 0xffffffa9  “0x78”

創(chuàng)建連接請(qǐng)求策略 - 802.1X 無線WIFI

其他步驟與有線策略已有，只需要把條件 NAS端口類型改為 無線 - IEEE 802.11

創(chuàng)建網(wǎng)絡(luò)策略 - 802.1X 無線WIFI

其他步驟與有線策略已有，只需要把條件 NAS端口類型改為 無線 - IEEE 802.11

NPS日志查看 - 用于排錯(cuò)

運(yùn)行eventvwr.msc ，打開事件查看器

自定義視圖 - 服務(wù)器角色 - 網(wǎng)絡(luò)策略和訪問服務(wù)

參考文檔

https://learn.microsoft.com/en-us/windows-server/networking/technologies/nps/nps-admintools

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc754758(v=ws.10)

https://theitbros.com/radius-server-configuration-on-windows/

https://sudonull.com/post/64810-Authorization-via-Network-Policy-Server-NPS-for-MikroTik

到此這篇關(guān)于Windows Server 2025 搭建NPS-Radius服務(wù)器的文章就介紹到這了,更多相關(guān) Server 2025 搭建NPS-Radius內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論