ubnt解决方案
查看: 1557|回复: 25

Synology群晖NAS实现AD域无线认证

[复制链接]

8657

帖子

4万

积分

9612 小时

在线时间

管理员

无线论坛管理员

Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9

注册时间
2004-10-2
金币
31475 个
威望
344 个
荣誉
114 个

签到天数: 6 天

连续签到: 1 天

[LV.2]偶尔看看I

发表于 2021-3-23 13:30 |显示全部楼层
Anywlan微信公众号
一、前言
Windows Active Directory,AD,活动目录域,域服务,是企业网络中比较流行的一种信息管理方法。
仍记得,20年前在windows NT上做域时的迷茫,升级windows2000的崩溃,使用中不知有多少次重建域,想想其实那也是一段快乐时光。
Windows 2003后AD才算成熟可靠,在当年清一色的Wintel中,AD在企业应用中非常流行,文件共享、认证等非常方便。使用域无线认证,不需要再新建/新买Radius服务器,通过内置的NPS可轻松实现高可靠性的无线网络认证(可认为破解不了,即使破解也非无线之罪而是AD域控的问题),可实现一人一号,提高企业无线网络的安全性和可靠性。
本文适合中小型企业,利用NAS自建AD来降低公司运营成本。
要实现AD域无线认证,须先建立一台域控制器。本案例将介绍:
  • 在Synology群晖NAS上建立AD域控制器
  • 建立AD域名用户无线认证
同理,如果企业网已经存在AD域控,则直接进行第二步即可实现AD域无线认证。
本文共28页,回复可下载本文电子版:

游客,如果您要查看本帖隐藏内容请回复


相关链接:Synology NAS实现WPA2 RADIUS无线认证
在群晖NAS上用docker安装UniFi控制器完全教程


科普时间:
使用Active Directory Server活动目录服务可以为企业提供一种便捷、低成本的通用设定服务,同时还能保障统一的安全性。
NAS AD域认证_1.png
Synology提供Active Directory Server套件,包含基本的AD域功能。如果要更多域功能的,可以安装Windows版AD实现。
Ruckus无线认证配置指导手册》一文详细介绍了windows IAS/NPS的建立及Ruckus控制器相关设置步骤,有兴趣的朋友可下载查看。
后期我们将发文如何通过LDAP统一认证所有涉及的IT系统。

8657

帖子

4万

积分

9612 小时

在线时间

管理员

无线论坛管理员

Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9

注册时间
2004-10-2
金币
31475 个
威望
344 个
荣誉
114 个

签到天数: 6 天

连续签到: 1 天

[LV.2]偶尔看看I

发表于 2021-3-23 13:30 |显示全部楼层
二、在NAS建立AD域控制器
1.安装Active Directory Server
打开套件中心,搜索“active directory”,然后安装“Active Directory Server”活动目录服务器:
NAS AD域认证_2.png
AD Server服务以DNS为基础,需要先安装DNS Server,如果没有安装会提示安装:
NAS AD域认证_3.png
NAS AD域认证_4.png NAS AD域认证_5.png
2.初始化Active Directory Server
域名:FQDN域名(目录林根级域)
密码:域管理员密码
NAS AD域认证_6.png NAS AD域认证_7.png NAS AD域认证_8.png
3.创建用户组
NAS AD域认证_9.png
4.创建用户
点“Users",然后“新增”-->“用户账号”:
NAS AD域认证_10.png NAS AD域认证_11.png

加入用户群组
NAS AD域认证_12.jpg
向下翻一页,加入我们刚才创建的群组。群组内成员有统一的权限,比如按部门设置群组,则共享文件时只需共享给此群组名即可自动授权本群组内的所有用户,新加或移除成员后会自动更新授权。
NAS AD域认证_13.png

域账号的功能和权限,无线认证同样继承域账号权限:
  • 限制账号每天可使用时间
  • 指定账号有效期
  • 强制用户下次登录修改密码或定期修改密码
  • 密码强度检查
  • 登录失败账户锁定临界值及锁定时间
  • 限制登录到指定计算机
  • 登录后自动映射磁盘到NAS指定目录
  • 禁用、锁定账号

Administartor域名管理员密码,在计算机加入域名时需要用到:
NAS AD域认证_14.png NAS AD域认证_15.png
回复

使用道具 举报

8657

帖子

4万

积分

9612 小时

在线时间

管理员

无线论坛管理员

Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9

注册时间
2004-10-2
金币
31475 个
威望
344 个
荣誉
114 个

签到天数: 6 天

连续签到: 1 天

[LV.2]偶尔看看I

发表于 2021-3-23 13:30 |显示全部楼层
三、计算机加入域
(一)DNS设置
AD域的正常使用最重要的是DNS,计算机需要解析到域服务器方能加入域。DNS设置有二种方法。
  • 方法1:直接在网卡属性设置NAS的IP作为DNS,适合单台电脑

NAS AD域认证_17.png
  • 方法2:修改路由器DHCP的DNS,适合SMB批量操作。如下图为EdgeRouter的设置方法:

NAS AD域认证_18.png
将域DNS设在第一个DNS。
通过ping测试,域名能解析则正常。
NAS AD域认证_19.png
(二)将计算机加入域
在“计算机”-->“属性”-->“更改设置”,系统属性中将计算机加入域:
NAS AD域认证_20.png NAS AD域认证_21.png
点击“更改”:
NAS AD域认证_22.png
输入AD域名:weisi.cn
NAS AD域认证_23.png
使用域管理员和密码,将该计算机加入域:
NAS AD域认证_24.png
加入成功,需要重启后生效:
NAS AD域认证_25.png
计算机重启或选择其他用户登录,并使用新建的域用户名字登录即可。
Active Directory ServerComputers中,可以看到成功加入的计算机名。
NAS AD域认证_26.png
回复

使用道具 举报

8657

帖子

4万

积分

9612 小时

在线时间

管理员

无线论坛管理员

Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9

注册时间
2004-10-2
金币
31475 个
威望
344 个
荣誉
114 个

签到天数: 6 天

连续签到: 1 天

[LV.2]偶尔看看I

发表于 2021-3-23 13:30 |显示全部楼层
四、安装Radius Server
1.打开套件中心,搜索RADIUS,然后安装:
NAS AD域认证_27.png
2. RADIUS Server设置
安装后打开RADIUS Server,默认端口为1812,可以自定义一个端口。来源勾选“域用户”。
NAS AD域认证_28.png
3. 认证客户端设置
此客户端为无线AP端连接的信息。
名称:任意
共享密码:设备端连接RADIUS所使用的密码
来源IP:选择“子网”,IP地址和子网掩码录入路由器的IP段。
NAS AD域认证_29.png NAS AD域认证_30.png

由于无线多数为移动终端使用,指定单一主机IP不现实,手机端设置IP地址固定非常不方便,所以直接设定为一段IP,如上图只要是192.168.2.X的IP均可以认证通过。
NAS AD域认证_31.png NAS AD域认证_32.png

注意:返回上图客户端界面后,务必应用一次,不然验证会不生效。
回复

使用道具 举报

8657

帖子

4万

积分

9612 小时

在线时间

管理员

无线论坛管理员

Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9

注册时间
2004-10-2
金币
31475 个
威望
344 个
荣誉
114 个

签到天数: 6 天

连续签到: 1 天

[LV.2]偶尔看看I

发表于 2021-3-23 13:41 |显示全部楼层
五、无线控制器端设置
  • UniFi控制器设置

1.建立RADIUS连接
打开控制器,在“设置 -> 配置管理”新建一个“RADIUS服务器配置
NAS AD域认证_33.png
配置文件名称:RAIDUS连接的名称
IP地址:RADIUS认证服务器的IP,本例为NAS的IP地址
端口:RADIUS Server所设的服务器端口,默认为1812
密码共享密钥:RADIUS Server所设的客户端共享密钥
NAS AD域认证_34.png
2. SSID绑定Radius
打开“设置 -> 无线网络”,新建或编辑SSID:
NAS AD域认证_35.png
加密方式:选择WPA企业级
RADIUS配置:在下拉框中选择刚才设置的RADIUS连接
NAS AD域认证_36.png
  • Ruckus控制器设置

登录控制器后,在“WIFI网络”编辑需要认证的SSID名称:
NAS AD域认证_37.png
认证方式”选择802.1x EAP:
NAS AD域认证_38.png
输入RADIUS服务器的IP地址、端口及密码:
NAS AD域认证_39.png NAS AD域认证_40.png
若需修改RADIUS连接,可以在“管理&服务”-->“AAA服务器”找到:
NAS AD域认证_41.png
回复

使用道具 举报

8657

帖子

4万

积分

9612 小时

在线时间

管理员

无线论坛管理员

Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9

注册时间
2004-10-2
金币
31475 个
威望
344 个
荣誉
114 个

签到天数: 6 天

连续签到: 1 天

[LV.2]偶尔看看I

发表于 2021-3-23 13:53 |显示全部楼层
六、Wi-Fi信号的连接过程
搜索所设置的SSID信号名称,并连接它,提示输入用户名和密钥,我们输入上文用效的域用户和密码。
NAS AD域认证_42.jpg
由于是私有证书显示不可信(只有受信任的数字证书颁发机构CA发放的证书才会可信),不需理会,点右上角信任,连接成功。
NAS AD域认证_43.jpg
回复

使用道具 举报

204

帖子

3669

积分

120 小时

在线时间

少校

Rank: 5

注册时间
2019-2-11
金币
3453 个
威望
0 个
荣誉
0 个

签到天数: 281 天

连续签到: 15 天

[LV.8]以坛为家I

已绑定手机
发表于 2021-3-24 20:31 来自手机 |显示全部楼层
多谢分享
回复

使用道具 举报

11

帖子

38

积分

17 小时

在线时间

新兵上阵

Rank: 1

注册时间
2010-1-24
金币
5 个
威望
4 个
荣誉
0 个

签到天数: 2 天

连续签到: 0 天

[LV.1]初来乍到

已绑定手机
发表于 2021-4-1 16:41 |显示全部楼层
楼主辛苦,感谢分享
回复

使用道具 举报

2

帖子

5

积分

0 小时

在线时间

预备兵

Rank: 1

注册时间
2021-4-2
金币
3 个
威望
0 个
荣誉
0 个

签到天数: 1 天

连续签到: 1 天

[LV.1]初来乍到

已绑定手机
发表于 2021-4-2 11:04 |显示全部楼层
在群晖NAS上用docker安装UniFi控制器完全教程
回复

使用道具 举报

5

帖子

67

积分

10 小时

在线时间

上等兵

Rank: 1

注册时间
2020-5-14
金币
61 个
威望
0 个
荣誉
0 个

签到天数: 6 天

连续签到: 1 天

[LV.2]偶尔看看I

发表于 2021-4-28 10:00 |显示全部楼层
好好学习一下,做到心中有数,才能游刃有余。
回复

使用道具 举报

2

帖子

10

积分

1 小时

在线时间

新兵上阵

Rank: 1

注册时间
2014-4-2
金币
8 个
威望
0 个
荣誉
0 个

签到天数: 1 天

连续签到: 1 天

[LV.1]初来乍到

发表于 2021-5-22 22:09 |显示全部楼层
这么厉害,28页, 支持一下
回复

使用道具 举报

1

帖子

13

积分

1 小时

在线时间

新兵上阵

Rank: 1

注册时间
2021-6-23
金币
12 个
威望
0 个
荣誉
0 个

签到天数: 1 天

连续签到: 1 天

[LV.1]初来乍到

发表于 2021-6-25 14:57 |显示全部楼层
啥时候发如何通过LDAP统一认证所有涉及的IT系统?期待
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ | Archiver | 手机版 | 无线论坛 ( 粤ICP备11076993|粤公网安备44010602008359号 ) |网站地图

GMT+8, 2021-10-19 01:34

返回顶部 返回列表