在实际的网络环境中,很多企业往往要求WIFI至少分为两个VLAN,一个VLAN给员工用,要求用域用户登录;另一个VLAN给访客使用,一般输入密码就可以了。
要想采用域用户的形式作为无线网络的认证,AC控制器必须支持访问外部服务器,现在一般企业级的AC控制器都标配此功能,今天的这篇文章,暂时不写AC控制器的配置,我们先只讨论Radius服务器的搭建。
1、添加服务器角色:“网络策略和访问服务”
2、添加服务器功能:“网络策略和访问服务工具”
3、确认角色和功能,然后“安装”
4、服务器管理器中,打开“NAPS”,鼠标右键点击后选择打开“网络策略服务器”
5、配置拨号
6、此处选择“拨号连接”,可以自定义名称
7、输入AC控制器的名称、IP地址,以及共享密码(与AC控制器保持一致)
8、配置身份验证方法,建议把两种协议版本都勾选上
9、选择组,这里选择“Domain Users”即域用户
10、指定加密方式,默认三种都勾选了,我们也就不必修改了,直接下一步
11、设置领域名称,保持空白好了,直接下一步
12、点“完成”后开始创建策略,这里要等几分钟
13、配置完成后,还必须在活动目录中注册服务器,不然无法同步拨号权限
14、授权这台服务器从域读取用户的拨入属性的权限
15、授权成功,但是提示还需要把这台服务器注册成为域的RAS/IAS组成员
16、登录域服务器,打开管理工具中的“Active Directory 用户和计算机”,点开“Computer”,找到配置了Radius的服务器,右键,属性,到“隶属于”页面,在我们的配置过程中,服务器已经自动添加到“RAS and IAS Server”组了,如果没有自动添加,只要点下面的“添加”按钮,然后输入服务器名称就可以了。
17、当然,域用户要配置允许拨入的权限
18、域用户太多了,一个一个地设置允许拨入权限,实在太费时间和精力了,必须要把自己从这种毫无意义的重复劳动中解脱出来,一条powershell命令解决它吧
Get-ADUser -SearchBase ‘OU=hengcan,DC=hengcanit,DC=com’ -Filter * -Properties * |Set-ADUser -Replace @{msNPAllowDialin=$true}
一通猛如虎的操作,Radius服务器就配置完毕了,挺简单的,所以个人感觉本文最有价值的就是最后一条命令,不知节省了多少时间啊,哈哈。
