Sophos XG Firewall：如何使用Windows Server 为企业无线身份验证配置RADIUS

本文介绍了为无线用户设置Microsoft Windows Server Radius身份验证和Sophos XG防火墙所需的步骤。

配置RADIUS在Windows Server 服务器上配置Sophos XG 防火墙验证

注意事项:

1.当XG防火墙的无线网络安全模式设置为WPA2 Enterprise时，需要具有PEAP的 Windows NPS网络策略。

2.带有EAP的 NPS网络策略不适用于WPA2 Enterprise无线网络。

要配置PEAP，请参阅 为PEAP和EAP要求配置证书模板。

3.在Windows Server上安装和设置RADIUS之前，必须设置和配置Active Directory角色。

1.RADIUS服务器位于“网络策略服务器（NPS）”面板下，可以从Windows Server 上的“ 服务器管理器”>“添加角色和功能”中添加 “网络策略和访问服务”角色。

2.按照以下想到进行操作

转到NPS（本地），然后右键单击以选择在Active Directory中注册服务器，如果显示灰色无法点击，可以先操作其他步骤。

转到 NPS（本地）> RADIUS客户端和服务器> RADIUS客户端，然后右键单击以选择新建。

设置XG防火墙的IP地址和共享密钥。记下此共享密钥，以便以后配置XG防火墙时使用。

我们需要一个连接请求策略，转到NPS（本地）>策略>连接请求策略，然后右键单击以选择新建。

按照以下向导进行操作。

在“ 指定条件”页面中，单击“ 添加”以添加条件。

选择客户端IPv4地址 ，然后单击添加。

插入XG防火墙的IP地址，然后单击确定。

单击完成后，连接请求策略应如下所示。

我们还需要网络策略来进行Sophos XG Firewall和NPS之间的连接测试，请转至NPS（本地）>策略>网络策略，然后右键单击以选择新建。

插入XG防火墙的IP地址，然后单击确定。

禁用默认情况下已启用的不太安全的身份验证方法，然后启用未加密身份验证（PAP，SPAP）。仅在测试Sophos XG Firewall和NPS之间的连接时才使用此功能，我们将在后面看到。所有无线用户身份验证将通过使用Microsoft保护EAP（PEAP）的不同网络策略进行，我们将在后面看到。

最后，我们需要用于无线用户身份验证的网络策略，请转到NPS（本地）>策略>网络策略，然后右键单击以选择新建。

按照以下向导进行操作。

在“ 指定条件”页面中，单击“ 添加”以添加条件。

我们需要添加两个条件：NAS端口类型和用户组。

在此示例中，我们添加了包括所有域用户的“ 域用户”组。您可以根据业务需要限制无线用户组。

在“ 配置身份验证方法”页中，单击“ 添加”以选择“ Microsoft保护的EAP（PEAP）”，然后单击“ 确定”。。此PEAP身份验证方法将用于对无线用户进行身份验证。

禁用默认情况下已启用的不太安全的身份验证方法。

确保“ 安全无线连接”策略位于“ 对Radius的SFOS连接测试”策略之上，否则无线用户会将SFOS Connectivity测试与“ Radius”策略匹配， 并且NPS将拒绝其访问请求。

该网络策略应该是这样的。

注意：您可以根据业务需要添加更多条件。例如，“ 日期和时间限制”条件可用于将访问限制为某些日期和时间。

转到“ 会计”，然后单击“ 配置会计”。

按照向导配置一个NPS记帐选项。在此示例中，我们使用“ 登录”到本地计算机上的文本文件。

在这里插入图片描述

如下配置本地文件记录， 然后单击下一步。

验证摘要，然后单击下一步。

现在已配置计费，单击“ 关闭”以完成。

配置XG防火墙

转到身份验证>服务器，然后单击添加。该共享Secre t是较早在NPS配置一样，群组名称属性是一个强制性的领域，但在NPS在此示例中没有比赛，因此我们可以将其设置为任何东西。启用启用计费，以便XG防火墙将登录和注销事件发送到NPS。

转到“ 身份验证”>“服务”，将“ radius服务器”设置为“ 防火墙身份验证方法”下列表的顶部。

转到无线>无线设置。

注意：在SFOS 17.5及更高版本中，已添加了添加辅助RADIUS服务器的功能，并添加了企业身份验证的后备功能。如果主RADIUS服务器发生故障，将使用辅助服务器，从而将零停机时间用于身份验证。

转到无线>无线网络，然后单击添加。

转到防火墙> +添加防火墙规则，然后选择用户/网络规则 以创建从WiFi到WAN区域的规则，以允许无线用户进行通信。还要根据您的业务需求应用安全配置文件和控件。

结果

转到 认证>服务器以选择最近创建的RADIUS服务器，然后单击测试连接。输入Active Directory中已有用户的用户名及其密码，然后单击“ 测试连接”。

测试连接应该成功。

（可选）在Windows Server中检查事件查看器，以验证 已应用了哪个 连接请求策略和 网络策略。

现在，让无线用户连接到最近创建的SSID。

用户可以忽略证书，然后单击“ 连接”。

用户现在已连接。

在XG防火墙中，转到无线>无线客户端列表以验证已登录的用户。

（可选）在Windows Server中检查事件查看器，以验证已应用了哪个连接请求策略和网络策略。

要验证登录和注销计费事件，您可以在Windows Server上安装Wireshark并将流量过滤到XF防火墙中配置的用于计费的端口，在本示例中为端口1813。

您也可以验证之前在NPS记帐中配置的日志文件。在我们的示例中，它位于中 C:\Windows\System32\LogFiles。

此文章转自：SOPHOS KBA 知识库。

/support/s/article/KB-000038383?language=en_US