搭建radius服务器(全)

802.1X认证完整配置过程说明

802.1x认证的网络拓布结构如下图：

认证架构

1、当无线客户端在AP的覆盖区域内，就会发现以SSID标识出来的无线信号，从中可以看到SSID名称和加密类型，以便用户判断选择。

2、无线AP配置成只允许经过802.1X认证过的用户登录，当用户尝试连接时，AP会自动设置一条限制

通道，只让用户和RADIUS服务器通信，RADIUS服务器只接受信任的RADIUS客户端（这里可以理解为AP或者无线控制器），用户端会尝试使用802.1X，通过那条限制通道和RADIUS服务器进行认证。

3、RADIUS收到认证请求之后，首先会在AD中检查用户密码信息，如果通过密码确认，RADIUS会收集一些信息，来确认该用户是否有权限接入到无线网络中，包括用户组信息和访问策略的定义等来决定拒绝还是允许，RADIUS把这个决定传给radius客户端（在这里可以理解为AP或者无线控制器），如果是拒绝，那客户端将无法接入到无线网，如果允许，RADIUS还会把无线客户端的KEY传给RADIUS客户端，客户端和AP会使用这个KEY加密并解密他们之间的无线流量。

4、经过认证之后，AP会放开对该客户端的限制，让客户端能够自由访问网络上的资源，包括DHCP，获取权限之后客户端会向网络上广播他的DHCP请求，DHCP服务器会分配给他一个IP地址，该客户端即可正常通信。

我们的认证客户端采用无线客户端，无线接入点是用TP-LINK，服务器安装windows Server 2003 sp1；所以完整的配置方案应该对这三者都进行相关配置，思路是首先配置RADIUS server 端，其次是配置无线接入点，最后配置无线客户端，这三者的配置先后顺序是无所谓的。

配置如下：

配置RADIUS server步骤：

配置RADIUS server 的前提是要在服务器上安装Active Directory ,IAS（internet验证服务），IIS管理器（internet信息服务管理器），和证书颁发机构；

在AD和证书服务没有安装时，要先安装AD然后安装证书服务，如果此顺序反了，证书服务中的企业根证书服务则不能选择安装；

一：安装AD，IIS

安装见附件《AD安装图文教程》

二：安装IAS

1、添加删除程序—》添加删除windows组件

2、选择“网络服务”，点击“详细信息”

3、选择“Internet验证服务”，点击“确定”

4、点击“下一步”，windows会自动安装IAS。

5、安装好之后，在“管理工具”里面就会看到“Internet验证服务”，打开之后，在AD中注册服务器，使IAS 能够读取AD里面的帐号。

三、安装证书颁发机构

“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装；

在这四个管理部件都安装的条件下，可以配置RADIUS服务器了。

默认域安全设置

进入“开始”—〉“管理工具”—〉“域安全策略”，进入默认域安全设置，展开“安全设置”—〉“账户策略”—〉“密码策略”，在右侧列出的策略中，右键点击“密码必须符合复杂性要求”选择“属性”，将这个策略设置成“已禁用”，

在完成此设置后，后面创建客户端密码时会省去一些设置密码的麻烦。

配置Active Directory用户和计算机

在“开始”—〉“管理工具”中打开“Active Directory”，展开根域（根域的命名方式见帮助），在“USERS”中新建一个组

将新建的组归类到安全组，作用于全局，点击确定即完成新建组

再在“USERS”中新建一个用户，这个用户的的姓名一定要记住，它是在无线客户端证书验证时要用的名字

点击下一步，输入密码，这个密码一定要记住，它是在无线客户端要用的密码，单击下一步完成新创建用户。

将新建用户zgongchang加入到新建的组test1中

选择组时，用“高级”—“立即查找”，选择你想加入的组，以后点击“确定”—“确定”即可

右键单击新建组test1，点击“属性”，开始配置新建的组（新建用户zgongchang也在其

中），点击“隶属于”选项卡，点击“添加”，在选择组中点击“高级”，

“立即查找”选择所有组（在保险情况下，最好全选），然后“确定”“确定”，“隶属于”设置完毕

点击“管理者”，和上面相似，选择被“zgongchang”管理。

至此，AD这边的配置完成。

设置自动申请证书

下面是说明如何使用组策略管理单元，在默认组策略对象中创建自动申请证书；

进入“开始”—〉“管理工具”—〉“Active Directory用户和计算机”，会显示在根域下的各个单元，右键单击根域（），点击“属性”

会打开根域属性的配置框，点击“组策略”选项卡，将“Default Domain Policy”选上，并点击“编辑”，就会进入“组策略编辑器”，展开“计算机配置”—〉“Windows设置”—〉“安全设置”—〉“公钥策略”—〉“自动申请证书”，点击右键，“新建”“自动证书申请”，下面会进入自动证书申请向导中，“证书模版”一般选用“计算机”，点击下一步即可完成自动申请证书。

自动申请证书以后，在“组策略编辑器”的“自动申请证书”右侧框中会有一个申请成功的“计算机”。

配置internet验证服务（IAS）

在“开始”—〉“管理工具”中打开“Internet验证服务”，逐项配置“RADIUS客户端”

“远程访问记录”“远程访问策略”“连接请求处理”，图示如下

配置“RADIUS客户端”

在我们的配置环境中，就是配置无线接入点（200.5.5.238）