louo

使用Windows server搭建WiFi无线802.1X认证
先来一组图片 WiFi万能钥匙傻眼了有没有!序802.1X认证企业用比较适合,可以防止非验证用户访问公司内部资源。...
扫描右侧二维码阅读全文
22
2019/05

使用Windows server搭建WiFi无线802.1X认证

​​‌‌​​​‌‌​‌​​‌‌‍​‌​‌‌‌​​‌‌‌‌​‌​‍​‌​​‌​​​‌​​​‌‌​‍​‌​‌‌​​​‌‌​​​​​‍​​‌​‌‌‌‌‌‌‌‌​​​‍​‌‌​​‌‌‌​‌‌​​‌‌‌‍​‌‌​​​‌‌‌​​​‌​‌‍​​‌‌‌‌‌‌‌‌​​‌‌‍​‌‌​​​​‌​​​​​​​‍​​​‌​‌​‌‌​‌​‌‌‌‍‌​‌​‌​​​‍‌​​‌​‌‌​‍‌​​‌​​​‌‍‌​​‌‌​‌‌‍‌​​‌​​​​‍‌​​​‌​​​‍‌​​​‌‌​​‍‌‌​‌‌‌‌‌‍‌​​​‌‌​​‍‌​​‌‌​‌​‍‌​​​‌‌​‌‍‌​​​‌​​‌‍‌​​‌‌​‌​‍‌​​​‌‌​‌‍​​‌‌​‌‌‌‌​‌​​‌​‍​‌​​​​‌​​​​​‌​‌‍‌​‌​‌​​​‍‌​​‌​‌‌​‍‌​‌‌‌​​‌‍‌​​‌​‌‌​‍​​‌‌​‌​​​​‌‌‌‌‌‍​​​​​​‌​‌​​​​​​‍‌‌​​​‌‌‌‍‌‌​​‌‌‌‌‍‌‌​​‌‌​‌‍‌‌​‌​​​‌‍‌‌​​‌‌‌​‍‌​‌​​‌‌‌‍​‌‌‌​‌​​​‌​‌‌​‌‌‍​‌‌‌​‌​​​​‌‌‌‌‌​‍​​‌‌‌‌‌‌‌‌​​‌​‍​​​​​​​​‌‌‌‌​​‌‌‍​​​‌​‌​‌‌​​‌‌‌​‍‌​​‌‌‌‌​‍‌​​‌‌​‌‌‍‌​​‌​​‌​‍‌​​‌​‌‌​‍‌​​‌​​​‌‍​‌‌​​​‌​‌‌‌​​​‌‍‌‌​​‌‌​‌‍‌‌​​‌‌‌‌‍‌‌​​‌‌‌​‍‌‌​​​‌‌​‍‌‌​‌​​‌​‍‌‌​​‌‌‌‌‍‌‌​​‌​‌​‍‌‌​‌​​‌​‍‌‌​​‌‌​‌‍‌‌​​‌‌​‌‍​‌​‌‌​‌‌‌‌​​‌​​‍​‌‌​​​​‌​‌​​​‌‌‍​​​​​​​​‌‌‌‌​​‌‌‍​‌​‌‌​​​‌‌​​​​​‍​​‌‌​‌​​‌‌‌‌​​​‍​‌​‌​​​‌‌​​‌‌‌‌‍​‌​‌​​​‌​‌‌‌‌‌‌‍​​​​​​​​‌‌‌​​‌​‌‍‌​​‌​‌‌‌‍‌​​​‌​‌‌‍‌​​​‌​‌‌‍‌​​​‌‌‌‌‍‌​​​‌‌​​‍‌‌​​​‌​‌‍‌​‌​​​‌‌‍‌​‌​​​‌‌‍‌​​​‌​​​‍‌​​​‌​​​‍‌​​​‌​​​‍‌‌​‌​​​‌‍‌​​‌​​‌‌‍‌​​‌​​​​‍‌​​​‌​‌​‍‌​​‌​​​​‍‌‌​‌​​​‌‍‌​​‌​​​‌‍‌​​‌‌​‌​‍‌​​​‌​‌‌‍‌​‌​​​‌‌‍‌​​‌​‌‌​‍‌​​‌​​​‌‍‌​​‌‌​‌‌‍‌​​‌‌​‌​‍‌​​​​‌‌‌‍‌‌​‌​​​‌‍‌​​​‌‌‌‌‍‌​​‌​‌‌‌‍‌​​​‌‌‌‌‍‌​‌​​​‌‌‍‌​​‌‌‌‌​‍‌​​​‌‌​‌‍‌​​‌‌‌​​‍‌​​‌​‌‌‌‍‌​​‌​‌‌​‍‌​​​‌​​‌‍‌​​‌‌​‌​‍‌​​​‌‌​​‍‌​‌​​​‌‌‍‌‌​​‌​​​‍‌‌​​‌‌‌​‍‌‌​​​‌‌‌‍‌​‌​​​‌‌

先来一组图片


WiFi万能钥匙傻眼了有没有!

802.1X认证企业用比较适合,可以防止非验证用户访问公司内部资源。家用有点大材小用,但既然nas都搭建成Windows server了,加上802.1X认证服务也不难,消耗的性能可以忽略不计。且WiFi、SMB同一账号,也方便,上一篇说过SMB局域网内部访问可以弱密码,虽然nas的SMB是内部访问,但WiFi却容易被附近的人连接,万一WiFi被破解,访问你的nas里面的啥,说不定哪天你就火了,当然冠希哥是我偶像,你要福利一下大家我非常乐意!
像WiFi万能钥匙之类的基本上只针对wpa2个人加密,而对于wpa2企业的账号+密码的加密方式基本无能为力。


1.部署前请确认你的AP或无线路由器支持RADIUS认证,通常在WiFi设置的授权方式/认证方式里面有WPA2-企业/WPA2-Enterprise之类选项就是支持.
2.像手机电脑平板机顶盒电视这些常用设备都支持802.1X认证上网的,但一些摄像头、智能插座、空调等智能家居类设备未必支持802.1X协议,部署前请确认使用环境中有没有不支持的设备,再确认部署。

1.安装服务

安装AD证书服务的证书颁发机构和网络策略和访问服务。

2.部署证书

因为我已部署,没图,没部署的在服务器管理器的通知那里会有提示部署证书的,按提示操作就行,这里就不累赘了,略、、、

3.部署radius

打开网络策略服务器,从标准配置中选择“用于802.1X无线或有线连接的RADIUS服务器”,点击配置802.1X。

选择安全无线连接。

下一步中添加RADIUS客户端。友好名称随意,地址就是AP或无线路由器的IP地址,共享机密就是802.1X认证服务器与AP或无线路由器连接的密码,待会设置AP或无线路由器要用。

下一步中选择Microsoft:受保护的EAP(PEAP)点击配置,选择刚在证书颁发机构部署的证书。

下一步中设置802.1X无线认证的用户(也就是连接WiFi的账户),Domain Users指所有域用户,一般就用这个吧。也可以单独建立一个专用于连接WiFi的组。

然后下一步,完成。
然后到网络策略→安全无线连接→约束→身份验证方法处,把EAP类型里面的Microsoft:受保护的EAP(PEAP)上移到第一。

4.配置防火墙

微软官方文档说部署完会自动添加防火墙,但我不配置防火墙的话终无法连接,关闭后正常。所以还是配置一下防火墙吧。
打开设置里面的widows防火墙里面的高级设置,点击入站规则→新建规则,选择端口下一步,选择TCP,特定本地端口输入“1812,1813,1645,1646”,下一步中选择允许连接,然后下一步下一步完成,名称随意。

然后以同样的规则添加UDP规则。

再以同样的规则添加出站规则,TCP、UDP都要添加。

4.设置AP/无线路由器

在AP/无线路由器中,授权方式/认证方式中选择WPA2-企业。

各家AP/无线路由器设置界面不一样,但大同小异。


然后设置RADIUS,IP地址就是上面搭建的802.1X认证服务器IP地址,端口1812,联机密码就是上面设置的共享机密。

END

最后修改:2019 年 08 月 21 日 11 : 26 PM
如果觉得我的文章对你有用,请随意赞赏
本站采用 CC BY-NC-SA 4.0 许可
非商业转载请注明出处,商业转载请联系作者

发表评论

2 条评论

  1. 神经蛙 Google Chrome Mac OSX

    老哥装 Server 2019 的机器还是 3205U 的U 么?

    1. louo Google Chrome Windows 10
      @神经蛙

      不是了,在用3855U,性能差不了多少,换了带5sata的主板,集成的是3855U。