Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Criar um novo artigo
892
Apresentações
1
Útil
0
Comentários

Configure o NPS para redes Wireless

Silesio de Carvalho
VIP
VIP

em ‎08-02-2024 11:38 AM

Neste artigo vais aprender como configurar o Windows Server 2019 para ser usado como servidor Radius e autenticar utilizadores em redes Wireless, usando a funcionalidade NPS.

 

O Network Policy Server (NPS) é um componente importante do Windows Server, utilizado para gerenciar políticas de rede e autenticação de acesso à rede em ambientes corporativos. Ele desempenha um papel crucial na implementação de soluções de acesso seguro, como o RADIUS (Remote Authentication Dial-In User Service), e na aplicação de políticas de rede em organizações.

 

Este artigo pressupõe que o Windows Server já tenha sido configurado como domain server. Usarei a topologia como referência.

SilesiodeCarvalho_0-1722618877406.png

 

 Vamos começar por configurar o servidor como uma CA (Certficate Authority). 

O PEAP com EAP-MS-CHAP v2 valida o servidor RADIUS com base no certificado presente no servidor.

Click Start > Server Manager.

SilesiodeCarvalho_1-1722619061627.png

 

Click Roles > Add Roles.

SilesiodeCarvalho_2-1722619094303.png

 

Click Next.

SilesiodeCarvalho_3-1722619135832.png

 

Click Next.

SilesiodeCarvalho_5-1722619180405.png

 

Click Next.

SilesiodeCarvalho_6-1722619206927.png

 

Seleccione service Active Directory Certificate Services, e click Add Features.

SilesiodeCarvalho_7-1722619235345.png

 

Click Next.

SilesiodeCarvalho_8-1722619277610.png

 

Click Next.

SilesiodeCarvalho_9-1722619309825.png

 

Seleccione Certificate Authority, e click Next.

SilesiodeCarvalho_10-1722619339786.png

 

Click Install

SilesiodeCarvalho_11-1722619381913.png

 

Click Configure Active Directory Certificate Services on the destination server

SilesiodeCarvalho_12-1722619410816.png

 

Click Next

SilesiodeCarvalho_13-1722619437816.png

 

Seleccione Certification Authority

SilesiodeCarvalho_14-1722619466839.png

 

Click Next

SilesiodeCarvalho_15-1722619496130.png

 

Seleccione Enterprise e click Next

SilesiodeCarvalho_16-1722619524723.png

 

Seleccione Root CA e click Next.

SilesiodeCarvalho_17-1722619554520.png

 

Seleccione Create a new private key e click Next.

SilesiodeCarvalho_18-1722619583397.png

 

Click Next em Cryptography for CA.

SilesiodeCarvalho_19-1722619628987.png

 

Click Next e aceite o nome default para a CA.

SilesiodeCarvalho_20-1722619666732.png

 

Click Next.

SilesiodeCarvalho_21-1722619693542.png

 

Click Next.

SilesiodeCarvalho_22-1722619718601.png

 

Click Configure

SilesiodeCarvalho_23-1722619746469.png

 

 

 O próximo passo consiste em instalar o NPS no servidor.

Click Start > Server Manager

SilesiodeCarvalho_24-1722619848419.png

 

Click Roles > Add Roles.

SilesiodeCarvalho_25-1722619868755.png

 

Click Next.

SilesiodeCarvalho_26-1722619893428.png

 

Click Next.

SilesiodeCarvalho_27-1722619926617.png

 

Click Next.

SilesiodeCarvalho_28-1722619977032.png

 

Seleccione Network Policy Server e click Next.

SilesiodeCarvalho_29-1722620002633.png

 

Click Next.

SilesiodeCarvalho_30-1722620030977.png

 

Click Install

SilesiodeCarvalho_31-1722620080166.png

 

Click Close.

SilesiodeCarvalho_32-1722620105378.png

 

O passo a seguir consiste em instalar o certificado para ser usado pelo NPS.

Click Windows + r, digite mmc, e pressione Enter.

SilesiodeCarvalho_33-1722620167225.png

 

 Click File > Add/Remove Snap-in.

SilesiodeCarvalho_34-1722620218064.png

 

 Escolha Certificates, e click Add.

SilesiodeCarvalho_35-1722620254767.png

 

Escolha Computer Account e click Next

SilesiodeCarvalho_36-1722620273082.png

 

Seleccione Local Computer e click Finish

SilesiodeCarvalho_37-1722620322051.png

 

Click OK para voltar ao Microsoft Management Console (MMC).

SilesiodeCarvalho_38-1722620443643.png

 

Expanda os Certificates (Local Computer) e Personal folders, e click Certificates.

SilesiodeCarvalho_39-1722620469929.png

 

 

Click com o botão direito no espaço em branco de CA certificate, e escolha All Tasks > Request New Certificate.

SilesiodeCarvalho_40-1722620496623.png

 

Click Next.

SilesiodeCarvalho_41-1722620520376.png

 

Click Next.

SilesiodeCarvalho_42-1722620545256.png

 

Seleccione Domain Controller e click Enroll.

SilesiodeCarvalho_43-1722620576018.png

 

Click Finish

SilesiodeCarvalho_44-1722620597708.png

 

Certifique-se de que Intended Purpose do certificado diz Client Authentication, Server Authentication.

SilesiodeCarvalho_45-1722620623421.png

 

 Feche e salve as alterações. Em seguida registre o NPS no Active Directory

Click Start > Administrative Tools > Network Policy Server.

Right-click NPS (Local) e escolha Register server in Active Directory.

SilesiodeCarvalho_46-1722620696802.png

 

Click OK.

SilesiodeCarvalho_47-1722620719034.png

 

Click OK.

SilesiodeCarvalho_48-1722620742837.png

 

Em seguida adicione o WLC como um cliente Radius. 

Expanda RADIUS Clients and Servers. Click do lado direito em RADIUS Clients, e escolha New.

SilesiodeCarvalho_49-1722620837833.png

 

Preencha com os dados do WLC.

SilesiodeCarvalho_50-1722620859280.png

 

 Na aba Advanced, selecione Cisco em Vendor name.

SilesiodeCarvalho_51-1722620895015.png

  

Click OK.

Crie uma policy em Connection Request Policies, permitindo que os usuários se liguem em qualquer dia.

Clique do lado direito em Policies > Connection Request Policies > New

SilesiodeCarvalho_52-1722620925191.png

 

Adicione uma condição clicando em Add…

SilesiodeCarvalho_53-1722620950101.png

 

Seleccione Day and Time Restrictions > Add…

SilesiodeCarvalho_54-1722620978917.png

 

Seleccione Permited > OK

SilesiodeCarvalho_55-1722621003853.png

 

Click Next

SilesiodeCarvalho_56-1722621023655.png

 

Click Next

SilesiodeCarvalho_57-1722621048658.png

 

Click Next

SilesiodeCarvalho_58-1722621076415.png

 

Click Next

SilesiodeCarvalho_59-1722621099540.png

 

Click Finish

SilesiodeCarvalho_60-1722621123580.png

 

Crie uma nova Network Policy. Expanda Policies, right-click Network Policies, e escolha New.

SilesiodeCarvalho_61-1722621142707.png

 

Atribua um nome à Policy.

SilesiodeCarvalho_62-1722621166580.png

 

Especifique as condições que irão fazer match nesta policy.

SilesiodeCarvalho_63-1722621187726.png

 

Seleccione Windows Groups > Add Groups > Advanced > Domain Users > Find Now > Seleccione Domain Users em Search Results > OK

SilesiodeCarvalho_64-1722621212888.png

 

Click OK.

SilesiodeCarvalho_65-1722621240268.png

 

Caso dê algum erro, tente novamente.

SilesiodeCarvalho_66-1722621265562.png

 

Adicione outra condição, NAS Port Type

SilesiodeCarvalho_67-1722621287654.png

 

Seleccione Wireless – IEEE 802.11 em Common 802.X connection tunnel types. Click OK

SilesiodeCarvalho_68-1722621305587.png

 

Click Next.

SilesiodeCarvalho_69-1722621325698.png

 

Click Next.

SilesiodeCarvalho_70-1722621351092.png

 

Click Next.

SilesiodeCarvalho_71-1722621379055.png

 

Desmarque as opções Less Secure authentication methods e click Add…

SilesiodeCarvalho_72-1722621398096.png

 

Adicione Microsoft: Protected PEAP e Secured Password, click Next

SilesiodeCarvalho_73-1722621415618.png

 

Click Next.

SilesiodeCarvalho_74-1722621438451.png

 

Em Constraints, seleccione NAS Port Type > Wireless – IEEE 802.11.

SilesiodeCarvalho_75-1722621456605.png

 

Click Finish

SilesiodeCarvalho_76-1722621481579.png

 

 Estes são os passos necessários para instalares o Windows Server como um servidor NPS. Caso tenhas problemas de comunicação ou autenticação, considera desativar a firewall do servidor.

 

Preciso dar-te esta nota super importante. Caso pretendas instalar o NPS em um ambiente em que não uses  certificados digitais para autenticares os usuários, ainda assim precisas de configurar o servidor como CA. Quando implementei esta solução sem configurar o servidor como CA, a autenticação não funcionava de jeito algum.

 

Caso queiras integrar o NPS com um WLC como o C9800-CL, vê o post Como autenticar utilizadores na rede wireless usando o Cisco ISE. Segue os procedimentos para instalares um servidor radius.

 

Referência:

https://www.cisco.com/c/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000.html#toc-hId-1029996905

Rótulos:
Primeiros Passos

Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.

Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Documentos de Ajuda sobre a Comunidade Vídeo dos últimos eventos Pergunte aos Especialistas
Customers Also Viewed These Support Documents