Synology群晖NAS实现AD域无线认证

tange

一、前言
Windows Active Directory，AD，活动目录域，域服务，是企业网络中比较流行的一种信息管理方法。
仍记得，20年前在windows NT上做域时的迷茫，升级windows2000的崩溃，使用中不知有多少次重建域，想想其实那也是一段快乐时光。
Windows 2003后AD才算成熟可靠，在当年清一色的Wintel中，AD在企业应用中非常流行，文件共享、认证等非常方便。使用域无线认证，不需要再新建/新买Radius服务器，通过内置的NPS可轻松实现高可靠性的无线网络认证（可认为破解不了，即使破解也非无线之罪而是AD域控的问题），可实现一人一号，提高企业无线网络的安全性和可靠性。
本文适合中小型企业，利用NAS自建AD来降低公司运营成本。
要实现AD域无线认证，须先建立一台域控制器。本案例将介绍：

• 在Synology群晖NAS上建立AD域控制器
• 建立AD域名用户无线认证
  

同理，如果企业网已经存在AD域控，则直接进行第二步即可实现AD域无线认证。

本文共28页，回复可下载本文电子版：

游客，如果您要查看本帖隐藏内容请回复

相关链接：Synology NAS实现WPA2 RADIUS无线认证
在群晖NAS上用docker安装UniFi控制器完全教程

更多教程请关注本站微信公众号，订阅UBNT教程，更详细更全面的专业教程！





科普时间：
使用Active Directory Server活动目录服务可以为企业提供一种便捷、低成本的通用设定服务，同时还能保障统一的安全性。

Synology提供Active Directory Server套件，包含基本的AD域功能。如果要更多域功能的，可以安装Windows版AD实现。
《Ruckus无线认证配置指导手册》一文详细介绍了windows IAS/NPS的建立及Ruckus控制器相关设置步骤，有兴趣的朋友可下载查看。
后期我们将发文如何通过LDAP统一认证所有涉及的IT系统。

tange

二、在NAS建立AD域控制器
1.安装Active Directory Server
打开套件中心，搜索“active directory”，然后安装“Active Directory Server”活动目录服务器：

AD Server服务以DNS为基础，需要先安装DNS Server，如果没有安装会提示安装：


2.初始化Active Directory Server
域名：FQDN域名（目录林根级域）
密码：域管理员密码

3.创建用户组

4.创建用户
点“Users"，然后“新增”-->“用户账号”：


加入用户群组

向下翻一页，加入我们刚才创建的群组。群组内成员有统一的权限，比如按部门设置群组，则共享文件时只需共享给此群组名即可自动授权本群组内的所有用户，新加或移除成员后会自动更新授权。


域账号的功能和权限，无线认证同样继承域账号权限：

• 限制账号每天可使用时间
• 指定账号有效期
• 强制用户下次登录修改密码或定期修改密码
• 密码强度检查
• 登录失败账户锁定临界值及锁定时间
• 限制登录到指定计算机
• 登录后自动映射磁盘到NAS指定目录
• 禁用、锁定账号
  

Administartor域名管理员密码，在计算机加入域名时需要用到：

tange

三、计算机加入域
（一）DNS设置
AD域的正常使用最重要的是DNS，计算机需要解析到域服务器方能加入域。DNS设置有二种方法。

• 方法1：直接在网卡属性设置NAS的IP作为DNS，适合单台电脑
  

• 方法2：修改路由器DHCP的DNS，适合SMB批量操作。如下图为EdgeRouter的设置方法：
  

将域DNS设在第一个DNS。
通过ping测试，域名能解析则正常。

（二）将计算机加入域
在“计算机”-->“属性”-->“更改设置”，系统属性中将计算机加入域：

点击“更改”：

输入AD域名：weisi.cn

使用域管理员和密码，将该计算机加入域：

加入成功，需要重启后生效：

计算机重启或选择其他用户登录，并使用新建的域用户名字登录即可。
在Active Directory Server的Computers中，可以看到成功加入的计算机名。

tange

四、安装Radius Server
1.打开套件中心，搜索RADIUS，然后安装：

2. RADIUS Server设置
安装后打开RADIUS Server，默认端口为1812，可以自定义一个端口。来源勾选“域用户”。

3. 认证客户端设置
此客户端为无线AP端连接的信息。
名称：任意
共享密码：设备端连接RADIUS所使用的密码
来源IP：选择“子网”，IP地址和子网掩码录入路由器的IP段。


由于无线多数为移动终端使用，指定单一主机IP不现实，手机端设置IP地址固定非常不方便，所以直接设定为一段IP，如上图只要是192.168.2.X的IP均可以认证通过。


注意：返回上图客户端界面后，务必应用一次，不然验证会不生效。

tange

五、无线控制器端设置

• UniFi控制器设置
  

1.建立RADIUS连接
打开控制器，在“设置 -> 配置管理”新建一个“RADIUS服务器配置“

配置文件名称：RAIDUS连接的名称
IP地址：RADIUS认证服务器的IP，本例为NAS的IP地址
端口：RADIUS Server所设的服务器端口，默认为1812
密码共享密钥：RADIUS Server所设的客户端共享密钥

2. SSID绑定Radius
打开“设置 -> 无线网络”，新建或编辑SSID：

加密方式：选择WPA企业级
RADIUS配置：在下拉框中选择刚才设置的RADIUS连接

• Ruckus控制器设置
  

登录控制器后，在“WIFI网络”编辑需要认证的SSID名称：

“认证方式”选择802.1x EAP：

输入RADIUS服务器的IP地址、端口及密码：

若需修改RADIUS连接，可以在“管理&服务”-->“AAA服务器”找到：

tange

六、Wi-Fi信号的连接过程
搜索所设置的SSID信号名称，并连接它，提示输入用户名和密钥，我们输入上文用效的域用户和密码。

由于是私有证书显示不可信（只有受信任的数字证书颁发机构CA发放的证书才会可信），不需理会，点右上角信任，连接成功。

zsxxdd

多谢分享

qjf1566

楼主辛苦，感谢分享

15883776661

在群晖NAS上用docker安装UniFi控制器完全教程

Mu2266

好好学习一下，做到心中有数，才能游刃有余。

乖。答案借我抄

这么厉害，28页， 支持一下

mzymzy2009

啥时候发如何通过LDAP统一认证所有涉及的IT系统？期待