在實際的網(wǎng)絡(luò)環(huán)境中,很多企業(yè)往往要求WIFI至少分為兩個VLAN,一個VLAN給員工用,要求用域用戶登錄;另一個VLAN給訪客使用,一般輸入密碼就可以了。
要想采用域用戶的形式作為無線網(wǎng)絡(luò)的認(rèn)證,AC控制器必須支持訪問外部服務(wù)器,現(xiàn)在一般企業(yè)級的AC控制器都標(biāo)配此功能,今天的這篇文章,暫時不寫AC控制器的配置,我們先只討論Radius服務(wù)器的搭建。
1、添加服務(wù)器角色:“網(wǎng)絡(luò)策略和訪問服務(wù)”
2、添加服務(wù)器功能:“網(wǎng)絡(luò)策略和訪問服務(wù)工具”
3、確認(rèn)角色和功能,然后“安裝”
4、服務(wù)器管理器中,打開“NAPS”,鼠標(biāo)右鍵點擊后選擇打開“網(wǎng)絡(luò)策略服務(wù)器”
5、配置撥號
6、此處選擇“撥號連接”,可以自定義名稱
7、輸入AC控制器的名稱、IP地址,以及共享密碼(與AC控制器保持一致)
8、配置身份驗證方法,建議把兩種協(xié)議版本都勾選上
9、選擇組,這里選擇“Domain Users”即域用戶
10、指定加密方式,默認(rèn)三種都勾選了,我們也就不必修改了,直接下一步
11、設(shè)置領(lǐng)域名稱,保持空白好了,直接下一步
12、點“完成”后開始創(chuàng)建策略,這里要等幾分鐘
13、配置完成后,還必須在活動目錄中注冊服務(wù)器,不然無法同步撥號權(quán)限
14、授權(quán)這臺服務(wù)器從域讀取用戶的撥入屬性的權(quán)限
15、授權(quán)成功,但是提示還需要把這臺服務(wù)器注冊成為域的RAS/IAS組成員
16、登錄域服務(wù)器,打開管理工具中的“Active Directory 用戶和計算機(jī)”,點開“Computer”,找到配置了Radius的服務(wù)器,右鍵,屬性,到“隸屬于”頁面,在我們的配置過程中,服務(wù)器已經(jīng)自動添加到“RAS and IAS Server”組了,如果沒有自動添加,只要點下面的“添加”按鈕,然后輸入服務(wù)器名稱就可以了。
17、當(dāng)然,域用戶要配置允許撥入的權(quán)限
18、域用戶太多了,一個一個地設(shè)置允許撥入權(quán)限,實在太費(fèi)時間和精力了,必須要把自己從這種毫無意義的重復(fù)勞動中解脫出來,一條powershell命令解決它吧
Get-ADUser -SearchBase 'OU=hengcan,DC=hengcanit,DC=com' -Filter * -Properties * |Set-ADUser -Replace @{msNPAllowDialin=$true}
一通猛如虎的操作,Radius服務(wù)器就配置完畢了,挺簡單的,所以個人感覺本文最有價值的就是最后一條命令,不知節(jié)省了多少時間啊,哈哈。
