本文介绍了为无线用户设置Microsoft Windows Server Radius身份验证和Sophos XG防火墙所需的步骤。
配置RADIUS在Windows Server 服务器上配置Sophos XG 防火墙验证
注意事项:
1.当XG防火墙的无线网络安全模式设置为WPA2 Enterprise时,需要具有PEAP的 Windows NPS网络策略。
2.带有EAP的 NPS网络策略不适用于WPA2 Enterprise无线网络。
要配置PEAP,请参阅 为PEAP和EAP要求配置证书模板。
3.在Windows Server上安装和设置RADIUS之前,必须设置和配置Active Directory角色。
1.RADIUS服务器位于“网络策略服务器(NPS)”面板下,可以从Windows Server 上的“ 服务器管理器”>“添加角色和功能”中添加 “网络策略和访问服务”角色。
2.按照以下想到进行操作
转到NPS(本地),然后右键单击以选择在Active Directory中注册服务器,如果显示灰色无法点击,可以先操作其他步骤。
转到 NPS(本地)> RADIUS客户端和服务器> RADIUS客户端,然后右键单击以选择新建。
设置XG防火墙的IP地址和共享密钥。记下此共享密钥,以便以后配置XG防火墙时使用。
我们需要一个连接请求策略,转到NPS(本地)>策略>连接请求策略,然后右键单击以选择新建。
按照以下向导进行操作。
在“ 指定条件”页面中,单击“ 添加”以添加条件。
选择客户端IPv4地址 ,然后单击添加。
插入XG防火墙的IP地址,然后单击确定。
单击完成后,连接请求策略应如下所示。
我们还需要网络策略来进行Sophos XG Firewall和NPS之间的连接测试,请转至NPS(本地)>策略>网络策略,然后右键单击以选择新建。
插入XG防火墙的IP地址,然后单击确定。
禁用默认情况下已启用的不太安全的身份验证方法,然后启用未加密身份验证(PAP,SPAP)。仅在测试Sophos XG Firewall和NPS之间的连接时才使用此功能,我们将在后面看到。所有无线用户身份验证将通过使用Microsoft保护EAP(PEAP)的不同网络策略进行,我们将在后面看到。
最后,我们需要用于无线用户身份验证的网络策略,请转到NPS(本地)>策略>网络策略,然后右键单击以选择新建。
按照以下向导进行操作。
在“ 指定条件”页面中,单击“ 添加”以添加条件。
我们需要添加两个条件:NAS端口类型和用户组。
在此示例中,我们添加了包括所有域用户的“ 域用户”组。您可以根据业务需要限制无线用户组。
在“ 配置身份验证方法”页中,单击“ 添加”以选择“ Microsoft保护的EAP(PEAP)”,然后单击“ 确定”。。此PEAP身份验证方法将用于对无线用户进行身份验证。
禁用默认情况下已启用的不太安全的身份验证方法。
确保“ 安全无线连接”策略位于“ 对Radius的SFOS连接测试”策略之上,否则无线用户会将SFOS Connectivity测试与“ Radius”策略匹配, 并且NPS将拒绝其访问请求。
该网络策略应该是这样的。
注意:您可以根据业务需要添加更多条件。例如,“ 日期和时间限制”条件可用于将访问限制为某些日期和时间。
转到“ 会计”,然后单击“ 配置会计”。
按照向导配置一个NPS记帐选项。在此示例中,我们使用“ 登录”到本地计算机上的文本文件。
在这里插入图片描述
如下配置本地文件记录, 然后单击下一步。
验证摘要,然后单击下一步。
现在已配置计费,单击“ 关闭”以完成。
配置XG防火墙
转到身份验证>服务器,然后单击添加。该共享Secre t是较早在NPS配置一样,群组名称属性是一个强制性的领域,但在NPS在此示例中没有比赛,因此我们可以将其设置为任何东西。启用启用计费,以便XG防火墙将登录和注销事件发送到NPS。
转到“ 身份验证”>“服务”,将“ radius服务器”设置为“ 防火墙身份验证方法”下列表的顶部。
转到无线>无线设置。
注意:在SFOS 17.5及更高版本中,已添加了添加辅助RADIUS服务器的功能,并添加了企业身份验证的后备功能。如果主RADIUS服务器发生故障,将使用辅助服务器,从而将零停机时间用于身份验证。
转到无线>无线网络,然后单击添加。
转到防火墙> +添加防火墙规则,然后选择用户/网络规则 以创建从WiFi到WAN区域的规则,以允许无线用户进行通信。还要根据您的业务需求应用安全配置文件和控件。
结果
转到 认证>服务器以选择最近创建的RADIUS服务器,然后单击测试连接。输入Active Directory中已有用户的用户名及其密码,然后单击“ 测试连接”。
测试连接应该成功。
(可选)在Windows Server中检查事件查看器,以验证 已应用了哪个 连接请求策略和 网络策略。
现在,让无线用户连接到最近创建的SSID。
用户可以忽略证书,然后单击“ 连接”。
用户现在已连接。
在XG防火墙中,转到无线>无线客户端列表以验证已登录的用户。
(可选)在Windows Server中检查事件查看器,以验证已应用了哪个连接请求策略和网络策略。
要验证登录和注销计费事件,您可以在Windows Server上安装Wireshark并将流量过滤到XF防火墙中配置的用于计费的端口,在本示例中为端口1813。
您也可以验证之前在NPS记帐中配置的日志文件。在我们的示例中,它位于中 C:\Windows\System32\LogFiles。
此文章转自:SOPHOS KBA 知识库。
/support/s/article/KB-000038383?language=en_US