windows2003搭建RADIUS服务器

windows2003下RADIUS服务器配置
概述：
802.1x 的认证的实现原理拓扑结构图如下：
由拓扑图可以看到，配置会涉及到无线客户端、ap、ac、radius四种设备。

各设备网络配置如下：
1、用无线网卡模拟无线客户端，ip地址由ac配置dhcp自动获取
2、ap配置静态ip地址：192.168.254.6 255.255.255.0
3、ac vlan1配置管理地址：192.168.254.9 255.255.255.0
4、radius由虚拟机运行windows 2003配置，虚拟机ip设为：
192.168.254.8 255.255.255.0
一、配置RADIUS server：
配置RADIUS server 前需要在windows 2003服务器上安装Active Directory ，IAS（internet验证服务），IIS管理器（internet信息服务管理器），和证书颁发机构；
a)、安装AD（Active Directory），在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”开始进行安装。

b)、安装证书颁发机构，在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装；
c)、安装IAS和IIS，在“控制面板”—〉“添加删除程序”—〉“添加/删除windows 组件”—〉“网络服务”并按提示安装。

d)、注：没有安装AD和证书服务时，要先安装AD然后再安装证书服务，如果此顺序相反，证书服务中的企业根证书服务则不能选择安装；
在这四个管理部件都安装的条件下，就可以开始进行RADIUS服务器配置。

1、默认域安全、默认域控制器安全设置
为了在配置客户端密码时省去一些麻烦，进行下面的配置：
a)、进入“开始”—〉“管理工具”—〉“域安全策略”，进入默认域安全设置，展开“安全设置”—〉“账户策略”—〉“密码策略”，在右侧列出的策略中作如下设置：
●右键点击“密码必须符合复杂性要求”选择“属性”，将这个策略设置成“已
禁用”。

●右键点击“密码最小长度值”选择“属性”，将此策略设置成“0个字符”。

●右键点击“用可还原的加密来储存密码”选择“属性”，将此策略设置为“已
启用”。

b)、以同样的方式设置“域控制器安全策略”。

“开始”—〉“管理工具”—〉“域控制器安全策略”。

2、配置Active Directory用户和计算机
a)、在“开始”—〉“管理工具”中打开“Active Directory”，展开根域 在“USERS”中新建一个组。

b)、把新建的组归类到安全组，作用于全局，点击确定即完成新建组。

此处建立的组名为test_feng。

c)、在“USERS”中新建一个用户，并记住其用户名、密码。

它是无线客户端需要用到的密码。

此处创建的测试账号用户名：feng，密码：feng。

d)
把新建用户feng加入到新建的组test_feng中。

“feng”右键选择“添加组”。

●选择组时，用“高级”—“立即查找”，选择你要加入的组test_feng，点击
“确定”—“确定”。

或直接输入要加入的组test_feng。

●添加成功后，弹出“添加成功”对话框。

●右键单击新建组test_feng，点击“属性”，配置新建的组（新建用户feng也
在其中），点击“隶属于”选项卡，点击“添加”，在选择组中点击“高级”，
“立即查找”选择所有组（最好全选），然后“确定”“确定”，“隶属于”设置完毕。

点击“管理者”，和上面相似，选择被“feng”管理。

3、配置Internet验证服务（IAS）
在“开始”－〉“管理工具”中打开“Internet验证服务”，配置“RADIUS 客户端”“远程访问记录”“远程访问策略”“连接请求处理”。

①配置“RADIUS客户端”
●在“Internet验证服务”中选择“RADIUS客户端”，右键选择“新建”－〉
“RADIUS客户端”。

●此处我们创建的名称为“aaa”，IP地址为“192.168.254.9”（必须是ac的管
理IP）。

●点击“下一步”，输入与ac共享的密码“test”，然后完成。

②配置“远程访问策略”
●在“Internet验证服务”中选择“远程访问策略”，右键选择“新建”－〉“远
程访问策略。

●进入向导模式，此处配置策略名为“1”。

选择访问方法“以太网”。

●给新建的组“test_feng”增加访问权限。

选择“组”－〉“添加”－〉“test_feng”－〉“确定”。

●设置身份验证方法，选择“受保护的EAP（PEAP）”。

●点击“完成”结束“新建远程访问策略向导”。

③配置“连接请求策略”
●在“Internet验证服务”中选择“连接请求处理”－〉“连接请求策略”，右
键“新建连接请求策略”。

●在向导中选择“自定义策略”，输入策略名“a”。

“添加”策略状况，选择“Client-IP-Address”，匹配策略名“a”。

4、查看验证过程
在“开始”－〉“管理工具”中选择“事件查看器”－〉“系统”，就能查看认证过程中发生的各种事件。

二、配置AC
我的AC版本为：SoftWare V ersion 6.2.200.14
1、配置vlan 1管理地址
IP：192.168.254.9
2、配置dhcp动态IP分配功能
3、配置Radius服务器
Switch(config)#aaa enable
Switch(config)#aaa-accounting enable
Switch(config)#radius-server authentication host 192.168.254.8
Switch(config)#radius-server accounting host 192.168.254.8
Switch(config)#radius-server key test
Switch(config)#aaa group server radius radius radius_server_1
Switch(config-sg-radius)#server 192.168.254.8
查看配置情况：
最后进入无线全局模式下：
三、配置AP
设置ap为ws-managed模式，IP地址设为192.168.254.6
DCN-WLAN-AP# set management static-ip 192.168.254.6
四、无线客户端登录验证
１、选择要登录的加密网络，此处网络ssid为network_feng
在“无线连接属性”中选择“无线网络配置”－〉“属性”－〉“验证”，选择EAP 类型为“PEAP”，属性去掉勾选项“验证服务器证书”。

2、开始登录加密的网络network_feng。

用户名：feng；密码：feng。

3、查看RADIUS服务器中的系统日志，说明“用户feng被授予了访问权”。

验证通过。