您是否希望了解如何使用半径配置 Mikrotik 活动目录身份验证? 在本教程中,我们将向您展示如何使用 Radius 协议对 Active Directory 数据库上的 Mikrotik 用户进行身份验证。

米克罗蒂克教程:

在此页面上,我们提供快速访问与 MikroTik 相关的教程列表。

教程 – 在 Windows 上安装半径服务器

• IP – 192.168.15.10。
• 操作系统 – 视窗 2012 R2
• 主机名 – TECH-DC01
• 活动目录域:TECH。当地

打开服务器管理器应用程序。

访问”管理”菜单并单击”添加角色和功能”。

Windows 2012 add role

访问服务器角色屏幕,选择”网络策略和访问服务”选项。

单击”下一步”按钮。

Network Policy and Access Service

在以下屏幕上,单击”添加功能”按钮。

network policy features

在”角色服务”屏幕上,单击”下一个”按钮。

network policy server

在下一个屏幕上,单击”安装”按钮。

radius server installation on windows

您已完成 Windows 2012 上的半径服务器安装。

教程半径服务器 – 活动目录集成

接下来,我们需要在 Active 目录数据库上创建至少 1 个帐户。

MIKROTIK 帐户将用于登录 Mikrotik 设备。

在域控制器上,打开名为:活动目录用户和计算机的应用程序

在”用户”容器内创建新帐户。

Zabbix active directory account

创建一个名为:mikrotik 的新帐户

密码配置为 MIKROTIK 用户: 123qwe.

此帐户将用于在 Mikrotik 设备上作为管理员进行身份验证。

mikrotik ldap active directory
zabbix active directory admin properties

恭喜您,您已经创建了所需的活动目录帐户。

接下来,我们需要在 Active 目录数据库上创建至少一个组。

在域控制器上,打开名为:活动目录用户和计算机的应用程序

在”用户”容器内创建新组。

Radius Active directory group

创建新的组名为:米克罗蒂克管理员

此组的成员将具有 Mikrotik 设备上的管理员权限。

mikrotik active directory authentication

重要! 将 mikrotik 用户添加为 Mikrotik-admin 组的成员。

mikrotik active directory authentication using nps

恭喜您,您已创建了所需的活动目录组。

教程半径服务器 – 添加客户端设备

在 Radius 服务器上,打开名为:网络策略服务器的应用程序

您需要在活动目录数据库上授权 Radius 服务器。

右键单击 NPS(LOCAL),然后选择”活动目录”选项中的”注册服务器”。

authorize radius server on windows

在确认屏幕上,单击”确定”按钮。

接下来,您需要配置 Radius 客户端。

半径客户端是允许从半径服务器请求身份验证的设备

重要! 不要将半径客户端与半径用户混淆。

右键单击”半径客户端”文件夹并选择”新建”选项。

mikrotik radius client

下面是配置为允许 Mikrotik 设备连接到 Radius 服务器的客户端的示例。

您需要设置以下配置:

• 设备名称友好 – 向您的 Mikrotik 添加说明
• 设备 IP 地址 – 您的 Mikrotik 的 IP 地址
• 设备共享机密 – kamisama123

共享密钥将用于授权设备使用 Radius 服务器。

您已完成半径客户端配置。

教程半径服务器 – 配置网络策略

现在,您需要创建一个网络策略以允许身份验证。

右键单击”网络策略”文件夹并选择”新建”选项。

输入网络策略的名称,然后单击”下一步”按钮。

nps - network policy name

单击”添加条件”按钮。

我们将允许 MIKROTIK-ADMIN 组的成员进行身份验证。

mikrotik radius user group

选择”用户组”选项,然后单击”添加”按钮。

nps - user group condition

单击”添加组”按钮并找到 MIKROTIK-ADMIN 组。

mikrotik active directory admin

选择”访问授予”选项,然后单击”下一步”按钮。

这将允许 MIKROTIK-ADMIN 组的成员在 Radius 服务器上进行身份验证。

NPS Access granted

在”身份验证方法”屏幕上,选择未加密身份验证(PAP、SPAP)选项。

Radius server authentication method

如果出现以下警告,请单击”否”按钮。

NPS Warning message

选择”供应商特定半径”属性选项,然后单击”添加”按钮

mikrotik vendor specific

选择”自定义供应商”选项。

选择特定于供应商的属性,然后单击”添加”按钮。

mikrotic vendor specific attribute

单击”添加”按钮。

Mikrotic attribute information

设置供应商代码: 14988

选择:是的,它符合。

单击”配置属性”按钮。

mikrotik radius vendor

设置供应商分配的属性编号: 3

选择”加金”格式:字符串

输入属性值:已满

mikrotik radius attribute full

NPS 半径服务器会将供应商特定信息传回 Mikrotik 设备。

Mikrotik 将通过设备向经过身份验证的用户授予读写权限。

mikrotic active directory vendor specific

验证半径服务器配置摘要,然后单击”完成”按钮。

mikrotik active directory ldap

祝贺! 您已完成半径服务器配置。

教程 – 米克罗蒂克半径认证

• IP – 192.168.15.20。
• 操作系统 – 路由器 OS 6.45.7
• 主机名 – 米克罗蒂克

在 Mikrotik 路由器控制台上,使用以下命令

执行以下半径配置:

• 半径 IP 地址 – 192.168.15.10
• 半径共享机密 – 半径客户端共享机密 (kamisama123)

您需要更改 Radius 服务器的 IP 地址以反映您的 Radius 服务器 IP 地址。

您需要更改共享密钥以反映您的 Radius 客户端共享密钥。

Copy to Clipboard

下面是命令输出:

Copy to Clipboard

启用本地用户授权以使用半径。

Copy to Clipboard

下面是命令输出:

Copy to Clipboard

祝贺! 您已使用 Radius 配置了 Mikrotik 活动目录身份验证。

教程 – MikroTik 活动目录身份验证测试

现在,您需要测试米克罗蒂克半径身份验证。

下载 PUTTY 软件,并尝试使用 SSH 协议在 Mikrotik 上进行身份验证。

mikrotik ssh radius

如果使用名为 mikrotik 的帐户进行身份验证,您将具有读写权限。

mikrotik active directory

祝贺! 您已经测试了 Mikrotik 活动目录身份验证。