RADIUS服务器搭建
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
802.1X认证完整配置过程说明
802.1x认证的网络拓布结构如下图:
我们的认证客户端采用无线客户端,无线接入点是用cisco2100 wireless controller,服务器安装windows Server 2003 sp1;所以完整的配置方案应该对这三者都进行相关配置,思路是首先配置RADIUS server 端,其次是配置无线接入点,最后配置无线客户端,这三者的配置先后顺序是无所谓的。
配置RADIUS server步骤:
配置RADIUS server 的前提是要在服务器上安装Active Directory ,IAS(internet验证服务),IIS管理器(internet信息服务管理器),和证书颁发机构;
如果没有安装AD,在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”,然后按照提示安装就可以了;
如果没有安装证书颁发机构,就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装;
如果没有安装IAS和IIS,就在就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”的组件中选择“网络服务”按提示完成安装;
在AD和证书服务没有安装时,要先安装AD然后安装证书服务,如果此顺序翻了,证
书服务中的企业根证书服务则不能选择安装;
在这四个管理部件都安装的条件下,可以配置RADIUS服务器了。
默认域安全设置
进入“开始”—〉“管理工具”—〉“域安全策略”,进入默认域安全设置,展开“安全设置”—〉“账户策略”—〉“密码策略”,在右侧列出的策略中,右键点击“密码必须符合复杂性要求”选择“属性”,将这个策略设置成“已禁用”,
在完成此设置后,后面创建客户端密码时会省去一些设置密码的麻烦。
配置Active Directory用户和计算机
在“开始”—〉“管理工具”中打开“Active Directory”,展开根域(根域的命名方式见帮助),在“USERS”中新建一个组
将新建的组归类到安全组,作用于全局,点击确定即完成新建组
再在“USERS”中新建一个用户,这个用户的的姓名一定要记住,它是在无线客户端证书验证时要用的名字
点击下一步,输入密码,这个密码一定要记住,它是在无线客户端要用的密码,单击下一步完成新创建用户。
将新建用户zgongchang加入到新建的组test1中
选择组时,用“高级”—“立即查找”,选择你想加入的组,以后点击“确定”—“确定”即可
右键单击新建组test1,点击“属性”,开始配置新建的组(新建用户zgongchang 也在其中),点击“隶属于”选项卡,点击“添加”,在选择组中点击“高级”,
设置完毕
点击“管理者”,和上面相似,选择被“zgongchang”管理。
至此,AD 这边的配置完成。
设置自动申请证书
下面是说明如何使用组策略管理单元,在默认组策略对象中创建自动申请证书;
进入“开始”—〉“管理工具”—〉“Active Directory用户和计算机”,会显示在根域下的各个单元,右键单击根域(),点击“属性”
会打开根域属性的配置框,点击“组策略”选项卡,将“Default Domain Policy”选上,并点击“编辑”,就会进入“组策略编辑器”,展开“计算机配置”—〉“Windows设置”—〉“安全设置”—〉“公钥策略”—〉“自动申请证书”,点击右键,“新建”“自动证书申请”,下面会进入自动证书申请向导中,“证书模版”一般选用“计算机”,点击下一步即可完成自动申请证书。
自动申请证书以后,在“组策略编辑器”的“自动申请证书”右侧框中会有一个申请成功的“计算机”。
配置internet验证服务(IAS)
在“开始”—〉“管理工具”中打开“Internet验证服务”,逐项配置“RADIUS客户端”
“远程访问记录”“远程访问策略”“连接请求处理”,图示如下
配置“RADIUS客户端”
在我们的配置环境中,就是配置无线接入点(192.168.1.201)
RADIUS客户端的IP地址一定是无线接入点的IP地址,这一点最重要
“客户端-供应商”一般选择RADIUS Standard,“共享的机密”中随便输入你记住的密码
至此,RADIUS客户端配置完成。
配置“远程访问记录”
左键单击“远程访问记录”,在日志记录方法中右键单击“本地文件”,单击“属性”,配置本地文件属性
“设置”选项卡里一般选择“身份验证请求”,如果还要求计帐,在选择“计帐请求”,
“日志文件”选项卡里格式选择“IAS”,可以每天创建日志文件,
在不用数据库存储日志记录的情况下就不用采用SQL Server的日志记录方法了,所以不配置它。关于日志文件里的格式规则(记录RADIUS证书验证的各种信息),参看另一文档或帮助。
客户端证书验证失败的日志记录是一个安全通道事件,默认情况下,在IAS 服务器上处于未启用状态。将以下注册表项值从“1”(“REG_DWORD”类型,数据“0x00000001”)更改为“3”(“REG_DWORD”类型,数据“0x00000003”),可以启用其他安全通道事件:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\S CHANNEL\EventLogging
至此,“远程访问记录”配置完成。
配置“远程访问策略”
进入远程访问策略配置向导,策略名就用好记的字串就可以,如:cisco2100,访问方法一定要用“无线”