Sophos XG Firewall:如何使用Windows Server 2012为企业无线身份验证配置RADIUS
本文介紹了為無線用戶設置Microsoft Windows Server Radius身份驗證和Sophos XG防火墻所需的步驟。
注意事項:
1.當XG防火墻的無線網絡安全模式設置為WPA2 Enterprise時,需要具有PEAP的 Windows NPS網絡策略。
2.帶有EAP的 NPS網絡策略不適用于WPA2 Enterprise無線網絡。
要配置PEAP,請參閱 為PEAP和EAP要求配置證書模板。
3.在Windows Server上安裝和設置RADIUS之前,必須設置和配置Active Directory角色。
1.RADIUS服務器位于“網絡策略服務器(NPS)”面板下,可以從Windows Server 2012上的“ 服務器管理器”>“添加角色和功能”中添加 “網絡策略和訪問服務”角色。
2.按照以下想到進行操作
轉到NPS(本地),然后右鍵單擊以選擇在Active Directory中注冊服務器,如果顯示灰色無法點擊,可以先操作其他步驟。
轉到 NPS(本地)> RADIUS客戶端和服務器> RADIUS客戶端,然后右鍵單擊以選擇新建。
設置XG防火墻的IP地址和共享密鑰。記下此共享密鑰,以便以后配置XG防火墻時使用。
我們需要一個連接請求策略,轉到NPS(本地)>策略>連接請求策略,然后右鍵單擊以選擇新建。
按照以下向導進行操作。
在“ 指定條件”頁面中,單擊“ 添加”以添加條件。
選擇客戶端IPv4地址 ,然后單擊添加。
插入XG防火墻的IP地址,然后單擊確定。
單擊完成后,連接請求策略應如下所示。
我們還需要網絡策略來進行Sophos XG Firewall和NPS之間的連接測試,請轉至NPS(本地)>策略>網絡策略,然后右鍵單擊以選擇新建。
插入XG防火墻的IP地址,然后單擊確定。
禁用默認情況下已啟用的不太安全的身份驗證方法,然后啟用未加密身份驗證(PAP,SPAP)。僅在測試Sophos XG Firewall和NPS之間的連接時才使用此功能,我們將在后面看到。所有無線用戶身份驗證將通過使用Microsoft保護EAP(PEAP)的不同網絡策略進行,我們將在后面看到。
最后,我們需要用于無線用戶身份驗證的網絡策略,請轉到NPS(本地)>策略>網絡策略,然后右鍵單擊以選擇新建。
按照以下向導進行操作。
在“ 指定條件”頁面中,單擊“ 添加”以添加條件。
我們需要添加兩個條件:NAS端口類型和用戶組。
在此示例中,我們添加了包括所有域用戶的“ 域用戶”組。您可以根據(jù)業(yè)務需要限制無線用戶組。
在“ 配置身份驗證方法”頁中,單擊“ 添加”以選擇“ Microsoft保護的EAP(PEAP)”,然后單擊“ 確定”。。此PEAP身份驗證方法將用于對無線用戶進行身份驗證。
禁用默認情況下已啟用的不太安全的身份驗證方法。
確保“ 安全無線連接”策略位于“ 對Radius的SFOS連接測試”策略之上,否則無線用戶會將SFOS Connectivity測試與“ Radius”策略匹配, 并且NPS將拒絕其訪問請求。
該網絡策略應該是這樣的。
注意:您可以根據(jù)業(yè)務需要添加更多條件。例如,“ 日期和時間限制”條件可用于將訪問限制為某些日期和時間。
轉到“ 會計”,然后單擊“ 配置會計”。
按照向導配置一個NPS記帳選項。在此示例中,我們使用“ 登錄”到本地計算機上的文本文件。
在這里插入圖片描述
如下配置本地文件記錄, 然后單擊下一步。
驗證摘要,然后單擊下一步。
現(xiàn)在已配置計費,單擊“ 關閉”以完成。
配置XG防火墻
轉到身份驗證>服務器,然后單擊添加。該共享Secre t是較早在NPS配置一樣,群組名稱屬性是一個強制性的領域,但在NPS在此示例中沒有比賽,因此我們可以將其設置為任何東西。啟用啟用計費,以便XG防火墻將登錄和注銷事件發(fā)送到NPS。
轉到“ 身份驗證”>“服務”,將“ radius服務器”設置為“ 防火墻身份驗證方法”下列表的頂部。
轉到無線>無線設置。
注意:在SFOS 17.5及更高版本中,已添加了添加輔助RADIUS服務器的功能,并添加了企業(yè)身份驗證的后備功能。如果主RADIUS服務器發(fā)生故障,將使用輔助服務器,從而將零停機時間用于身份驗證。
轉到無線>無線網絡,然后單擊添加。
轉到防火墻> +添加防火墻規(guī)則,然后選擇用戶/網絡規(guī)則 以創(chuàng)建從WiFi到WAN區(qū)域的規(guī)則,以允許無線用戶進行通信。還要根據(jù)您的業(yè)務需求應用安全配置文件和控件。
結果
轉到 認證>服務器以選擇最近創(chuàng)建的RADIUS服務器,然后單擊測試連接。輸入Active Directory中已有用戶的用戶名及其密碼,然后單擊“ 測試連接”。
測試連接應該成功。
(可選)在Windows Server中檢查事件查看器,以驗證 已應用了哪個 連接請求策略和 網絡策略。
現(xiàn)在,讓無線用戶連接到最近創(chuàng)建的SSID。
用戶可以忽略證書,然后單擊“ 連接”。
用戶現(xiàn)在已連接。
在XG防火墻中,轉到無線>無線客戶端列表以驗證已登錄的用戶。
(可選)在Windows Server中檢查事件查看器,以驗證已應用了哪個連接請求策略和網絡策略。
要驗證登錄和注銷計費事件,您可以在Windows Server上安裝Wireshark并將流量過濾到XF防火墻中配置的用于計費的端口,在本示例中為端口1813。
您也可以驗證之前在NPS記帳中配置的日志文件。在我們的示例中,它位于中 C:\Windows\System32\LogFiles。
此文章轉自:SOPHOS KBA 知識庫。
https://support.sophos.com/support/s/article/KB-000038383?language=en_US
總結
以上是生活随笔為你收集整理的Sophos XG Firewall:如何使用Windows Server 2012为企业无线身份验证配置RADIUS的全部內容,希望文章能夠幫你解決所遇到的問題。
