搭建802.1X接入认证环境配置教程
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
四、配置
进入交换机全局配置模式,交换机配置命令如下:
五、
XP客户端需要首先开启Wired AutoConfig服务,开启方式:右击“我的电脑”→管理→展开“服务和应用程序”→服务→找到“Wired AutoConfig”服务,启动改服务,并将启动类型设置为“自动”。
进入本地连接属性,配置IP地址,将IP配置为192.168.1.3。
第三步:活动目录安装程序会检测系统是否已经安装DNS,若DNS已经安装,请选择第二项“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设置为这台计算机的首选DNS服务器”。否则,请先安装DNS服务。
第四步:默认单击“下一步”后,系统开始安装并配置活动目录,这段时间比较长,请耐心等待。活动目录安装完毕,根据提示,重新启动计算机。
配置前准备:在“Internet验证服务(本地)”单击右键,选择“在AD中注册服务器”。
2.5.1
目的:将Radius客户端在Radius验证服务器中进行注册授权。
[步骤]:
第一步:右击“Radius”客户端,选择“新建RADIUS客户端”。
第二步:输入客户端标识名称,以及所在IP地址,本例为192.168.1.1。
2.2
目的:创建客户端密码时会省去一些设置密码的麻烦。
[步骤]:
第一步:开始→管理工具→域安全策略→进入默认域安全设置,展开安全设置→账户策略→密码策略。
第二步:在右侧列出的策略中,右键点击“密码必须符合复杂性要求”选择“属性”,将这个策略设置成“已禁用”。
2.3
目的:设置认证用户。
[步骤]:
第一步:开始→管理工具→打开Active Directory用户和计算机→展开根域zhihuiguo.com→在“USERS”中新建一个组。
搭建802.1X接入认证环境配置教程
一、环境介绍
在真实环境下,802.1x认证的网络拓布结构如下图:
为了测试用,搭建Radius服务器测试环境如下图,Radius服务器采用Windows 2003系统,Radius客户端采用思科3550交换机:
二、
2Baidu Nhomakorabea1
1、安装DNS服务(为安装活动目录做准备的,活动目录必须先安装DNS)
3、安装证书颁发机构
[步骤]:
开始→控制面板→添加或删除程序→添加/删除windows组件→选中“证书服务”→下一步开始安装,安装过程中,需要输入“CA的公用名称”,自定义即可。
注意:在活动目录和证书服务没有安装时,要先安装活动目录然后安装证书服务,如果此顺序翻了,证书服务中的企业根证书服务则不能选择安装。
(4)Password:用户密码,本例为AAAaaa111;
(5)Additional RADIUS Attributes:设置客户端与服务器通信时的其他参数,为了保证通信成功,此处需要添加NAS-Port-Type参数,并设置参数值为Async。
设置完毕,单击“Send”按钮,向服务器发出认证请求,在RADIUS Server reply中,将返回服务器作出的回应,其中,response字段的值为Access-Accept,请求接入认证成功。
第三步:添加策略状况,选择“Client-IP-Address”类型。
第四步:输入通配符,此处输入相应策略名即可。
至此,连接请求策略配置完毕。
2.6
[步骤]:
第一步:开始→管理工具→internet信息服务管理工具→打开IIS→展开“网站”→右键单击“默认网站”打开默网站属性。
第二步:在弹出的默认网站属性窗口中,选择“目录安全性”选项卡,单击“身份验证和访问控制”下的“编辑”按钮。
3.2
除了在C:\WINDOWS\system32\LogFiles中的日志文件可以查看到日志记录外,我们还可以通过“事件查看器进行查询”访问记录情况。
[步骤]:
第一步:右击我的电脑→管理→系统工具→时间查看器→选择系统,此处列出了来自于IAS的信息。
第二步:双击信息,可以查看信息的具体内容,双击警告,reason项可以查看拒绝认证的原因。
第十一步:在配置文件窗口中,单击“身份验证”选项卡,全部选中。
第十二步:单击“EAP方法”,添加“MD5-质询”类型,并且设置为第一。设置完毕,单击确定。
至此,远程访问策略配置完毕。
2.5.4
[步骤]:
第一步:展开“连接请求处理”,右击“连接请求策略”,选择“新建连接请求策略”。
第二步:配置请求策略方法,选择自定义策略,并设置策略名。
如果发现如下提示:
解决办法:将所建的用户的密码重新修改即可。
添加其他用户的办法,请参照章节2.3。
第七步:将新建用户guozhihui添加到test组中。
第八步:选择组时,单击“高级”→单击“立即查找”,选择你想加入的组test,单击“确定”→“确定”即可
第九步:右击新建组test,单击“属性”,开始配置新建的组(新建用户guozhihui也在其中),单击“隶属于”选项卡。
第十步:单击“添加”按钮,在“选择组”窗口中单击“高级”按钮,单击“立即查找”。
第十一步:选择所有组(为了保险,最好全选),然后单击“确定”、“确定”,“隶属于”设置完毕。
第十二步:在“test属性”窗口中,单击“管理者”选项卡,单击“更改”按钮。
第十三步:采用上述添加组的方式,选择管理者为所建用户guozhihui。
至此,AD这边的账户配置完成。
2.4
目的:如何使用组策略管理单元,在默认组策略对象中创建自动申请证书。
(1)RADIUS Server/port:设置RADIUS服务器所在的IP地址,以及端口号,其中,1812端口负责认证,1813端口服务计费功能;
(2)RADIUS Secret key:设置客户端与服务器进行通信的密钥,与2.5.1中设置的密码要一致,本例为000000;
(3)User-Name:认证用户账户名,本例为guozhihui;
[步骤]:
开始→控制面板→添加或删除程序→添加/删除windows组件→进入网络服务→选中“域名系统(DNS)”。
2、配置活动目录
[步骤]:(没有特别描述,默认单击“下一步”即可)
第一步:开始→运行→输入活动目录安装命令“dcpromo”,进入活动目录安装向导。
第二步:设置新的域名,如本例“zhihuiguo.com”。
至此,“远程访问记录”配置完成。
2.5.3
目的:设置接入认证匹配规则,是Radius服务器的核心。
[步骤]:
第一步:右击“远程访问策略”,单击“新建远程访问策略”。
第二步:设置策略方式和策略名。
第三步:选择访问方法,这里我们选择“以太网”。
第四步:添加授予访问权限的用户或组,为了方便,我们添加组,单击“添加”。
单击“身份验证选项卡”,并配置验证方式为“MD5-质询”。
将交换机f0/2端口通过网线与接入客户端网卡相连,观察XP右下角任务栏的本地连接图标,会弹出要求输入用户名和密码的提示框,单击展开输入框。
在输入框中输入正确的用户名、密码、域名,Radius服务器验证正确后,连接网络成功。
【注意】:如果输入正确的用户名和密码,却不能接入网络,在Radiu服务器“计算机管理”→展开“事件查看器”→“系统”中,进行查看。
第五步:选择组的方式跟前面相同,此处不再重复。
第六步:设置身份验证方法,此处选择“受保护的EAP(PEAP)”
第七步:策略设置完成后,还需要对策略进行编辑,右击该策略,选择“属性”。
第八步:在策略属性中,单击“编辑”按钮。
第九步:在左侧的可用类型中,将Async添加进来,添加完毕,单击“确定”。
第十步:在策略属性对话框中,单击“编辑配置文件”按钮。
第二步:“设置”选项卡里一般选择“身份验证请求”,如果还要求计帐,在选择“计帐请求”。
说明:“日志文件”选项卡里格式选择“IAS”,可以每天创建日志文件,
在不用数据库存储日志记录的情况下就不用采用SQL Server的日志记录方法了,所以不配置它。关于日志文件里的格式规则(记录RADIUS证书验证的各种信息),参看另一文档或帮助。
第二步:将新建的组归类到安全组,作用于全局,单击“确定”完成新建组。
第三步:在“USERS”中新建一个用户。
第四步:设置用户信息,用户登录名一定要记住,这是Radius服务器进行接入用户身份验证的根据。
第五步:设置用户密码,密码需要符合一定的复杂度,并且登录不需要更改。
第六步:右击所建账户guozhihui,单击“拨入”选项卡,在“远程访问权限”中,选择“允许访问”,“账户”选项卡中,开启“使用可逆的加密保存密码”,设置完毕,单击确定。
第三步:在“身份验证方法”中,去点“启用匿名访问”选项,选择“Windows域服务器的摘要式身份验证”,在“领域”中,选择zhihuiguo.com。
第四步:设置完毕,单击“确定”,其它设置保持默认即可。
三、测试
3.1
Radius服务器测试工具,我们采用NTRadPing1.2工具,采用模拟客户端与服务器双击互联方式,模拟客户端向服务器发出认证请求。界面如下:
[步骤]:
第一步:开始→管理工具→打开Active Directory用户和计算机→右击根域zhihuiguo.com→选择属性。
第二步:在打开的根域属性的配置框,单击“组策略”选项卡,将“Default Domain Policy”选上,并单击“编辑”,就会进入“组策略编辑器”。
第三步:在“组策略编辑器”中→展开“计算机配置”→Windows设置→安全设置→公钥策略→自动证书申请设置→单击右键→新建→自动证书申请,下面会进入自动证书申请向导中。
客户端证书验证失败的日志记录是一个安全通道事件,默认情况下,在IAS服务器上处于未启用状态。将以下注册表项值从“1”(“REG_DWORD”类型,数据“0x00000001”)更改为“3”(“REG_DWORD”类型,数据“0x00000003”),可以启用其他安全通道事件:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogging
第四步:在弹出的“自动证书申请向导”中,证书模板选用“计算机”。
自动申请证书以后,在“组策略编辑器”的“自动申请证书”右侧框中会有一个申请成功的“计算机”。
2.5
目的:这是配置Radius服务器的核心,用于设置Radius客户端、设置匹配策略等。
在“开始”→管理工具→Internet验证服务,逐项配置“RADIUS客户端”、“远程访问记录”、“远程访问策略”、“连接请求处理”。
4、安装Internet验证服务(IAS)
[步骤]:
开始→控制面板→添加或删除程序→添加/删除windows组件→进入网络服务→选中“Internet验证服务”。
5、安装Internet应用程序服务器
[步骤]:
开始→控制面板→添加或删除程序→添加/删除windows组件→选中“应用程序服务器”。
以上组件安装完毕,Radius服务器的配置工作正式开始。
第三步:设置共享密钥,与Radius客户端建立安全通道,此处为测试用,测试密码为000000,务必牢记。客户端供应商保持默认即可。
至此,Radius客户端完成。
2.5.2
目的:记录远程访问的日志信息。
[步骤]:
第一步:单击“远程访问记录”,在日志记录方法中右键单击“本地文件”,单击“属性”,配置本地文件属性。
进入交换机全局配置模式,交换机配置命令如下:
五、
XP客户端需要首先开启Wired AutoConfig服务,开启方式:右击“我的电脑”→管理→展开“服务和应用程序”→服务→找到“Wired AutoConfig”服务,启动改服务,并将启动类型设置为“自动”。
进入本地连接属性,配置IP地址,将IP配置为192.168.1.3。
第三步:活动目录安装程序会检测系统是否已经安装DNS,若DNS已经安装,请选择第二项“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设置为这台计算机的首选DNS服务器”。否则,请先安装DNS服务。
第四步:默认单击“下一步”后,系统开始安装并配置活动目录,这段时间比较长,请耐心等待。活动目录安装完毕,根据提示,重新启动计算机。
配置前准备:在“Internet验证服务(本地)”单击右键,选择“在AD中注册服务器”。
2.5.1
目的:将Radius客户端在Radius验证服务器中进行注册授权。
[步骤]:
第一步:右击“Radius”客户端,选择“新建RADIUS客户端”。
第二步:输入客户端标识名称,以及所在IP地址,本例为192.168.1.1。
2.2
目的:创建客户端密码时会省去一些设置密码的麻烦。
[步骤]:
第一步:开始→管理工具→域安全策略→进入默认域安全设置,展开安全设置→账户策略→密码策略。
第二步:在右侧列出的策略中,右键点击“密码必须符合复杂性要求”选择“属性”,将这个策略设置成“已禁用”。
2.3
目的:设置认证用户。
[步骤]:
第一步:开始→管理工具→打开Active Directory用户和计算机→展开根域zhihuiguo.com→在“USERS”中新建一个组。
搭建802.1X接入认证环境配置教程
一、环境介绍
在真实环境下,802.1x认证的网络拓布结构如下图:
为了测试用,搭建Radius服务器测试环境如下图,Radius服务器采用Windows 2003系统,Radius客户端采用思科3550交换机:
二、
2Baidu Nhomakorabea1
1、安装DNS服务(为安装活动目录做准备的,活动目录必须先安装DNS)
3、安装证书颁发机构
[步骤]:
开始→控制面板→添加或删除程序→添加/删除windows组件→选中“证书服务”→下一步开始安装,安装过程中,需要输入“CA的公用名称”,自定义即可。
注意:在活动目录和证书服务没有安装时,要先安装活动目录然后安装证书服务,如果此顺序翻了,证书服务中的企业根证书服务则不能选择安装。
(4)Password:用户密码,本例为AAAaaa111;
(5)Additional RADIUS Attributes:设置客户端与服务器通信时的其他参数,为了保证通信成功,此处需要添加NAS-Port-Type参数,并设置参数值为Async。
设置完毕,单击“Send”按钮,向服务器发出认证请求,在RADIUS Server reply中,将返回服务器作出的回应,其中,response字段的值为Access-Accept,请求接入认证成功。
第三步:添加策略状况,选择“Client-IP-Address”类型。
第四步:输入通配符,此处输入相应策略名即可。
至此,连接请求策略配置完毕。
2.6
[步骤]:
第一步:开始→管理工具→internet信息服务管理工具→打开IIS→展开“网站”→右键单击“默认网站”打开默网站属性。
第二步:在弹出的默认网站属性窗口中,选择“目录安全性”选项卡,单击“身份验证和访问控制”下的“编辑”按钮。
3.2
除了在C:\WINDOWS\system32\LogFiles中的日志文件可以查看到日志记录外,我们还可以通过“事件查看器进行查询”访问记录情况。
[步骤]:
第一步:右击我的电脑→管理→系统工具→时间查看器→选择系统,此处列出了来自于IAS的信息。
第二步:双击信息,可以查看信息的具体内容,双击警告,reason项可以查看拒绝认证的原因。
第十一步:在配置文件窗口中,单击“身份验证”选项卡,全部选中。
第十二步:单击“EAP方法”,添加“MD5-质询”类型,并且设置为第一。设置完毕,单击确定。
至此,远程访问策略配置完毕。
2.5.4
[步骤]:
第一步:展开“连接请求处理”,右击“连接请求策略”,选择“新建连接请求策略”。
第二步:配置请求策略方法,选择自定义策略,并设置策略名。
如果发现如下提示:
解决办法:将所建的用户的密码重新修改即可。
添加其他用户的办法,请参照章节2.3。
第七步:将新建用户guozhihui添加到test组中。
第八步:选择组时,单击“高级”→单击“立即查找”,选择你想加入的组test,单击“确定”→“确定”即可
第九步:右击新建组test,单击“属性”,开始配置新建的组(新建用户guozhihui也在其中),单击“隶属于”选项卡。
第十步:单击“添加”按钮,在“选择组”窗口中单击“高级”按钮,单击“立即查找”。
第十一步:选择所有组(为了保险,最好全选),然后单击“确定”、“确定”,“隶属于”设置完毕。
第十二步:在“test属性”窗口中,单击“管理者”选项卡,单击“更改”按钮。
第十三步:采用上述添加组的方式,选择管理者为所建用户guozhihui。
至此,AD这边的账户配置完成。
2.4
目的:如何使用组策略管理单元,在默认组策略对象中创建自动申请证书。
(1)RADIUS Server/port:设置RADIUS服务器所在的IP地址,以及端口号,其中,1812端口负责认证,1813端口服务计费功能;
(2)RADIUS Secret key:设置客户端与服务器进行通信的密钥,与2.5.1中设置的密码要一致,本例为000000;
(3)User-Name:认证用户账户名,本例为guozhihui;
[步骤]:
开始→控制面板→添加或删除程序→添加/删除windows组件→进入网络服务→选中“域名系统(DNS)”。
2、配置活动目录
[步骤]:(没有特别描述,默认单击“下一步”即可)
第一步:开始→运行→输入活动目录安装命令“dcpromo”,进入活动目录安装向导。
第二步:设置新的域名,如本例“zhihuiguo.com”。
至此,“远程访问记录”配置完成。
2.5.3
目的:设置接入认证匹配规则,是Radius服务器的核心。
[步骤]:
第一步:右击“远程访问策略”,单击“新建远程访问策略”。
第二步:设置策略方式和策略名。
第三步:选择访问方法,这里我们选择“以太网”。
第四步:添加授予访问权限的用户或组,为了方便,我们添加组,单击“添加”。
单击“身份验证选项卡”,并配置验证方式为“MD5-质询”。
将交换机f0/2端口通过网线与接入客户端网卡相连,观察XP右下角任务栏的本地连接图标,会弹出要求输入用户名和密码的提示框,单击展开输入框。
在输入框中输入正确的用户名、密码、域名,Radius服务器验证正确后,连接网络成功。
【注意】:如果输入正确的用户名和密码,却不能接入网络,在Radiu服务器“计算机管理”→展开“事件查看器”→“系统”中,进行查看。
第五步:选择组的方式跟前面相同,此处不再重复。
第六步:设置身份验证方法,此处选择“受保护的EAP(PEAP)”
第七步:策略设置完成后,还需要对策略进行编辑,右击该策略,选择“属性”。
第八步:在策略属性中,单击“编辑”按钮。
第九步:在左侧的可用类型中,将Async添加进来,添加完毕,单击“确定”。
第十步:在策略属性对话框中,单击“编辑配置文件”按钮。
第二步:“设置”选项卡里一般选择“身份验证请求”,如果还要求计帐,在选择“计帐请求”。
说明:“日志文件”选项卡里格式选择“IAS”,可以每天创建日志文件,
在不用数据库存储日志记录的情况下就不用采用SQL Server的日志记录方法了,所以不配置它。关于日志文件里的格式规则(记录RADIUS证书验证的各种信息),参看另一文档或帮助。
第二步:将新建的组归类到安全组,作用于全局,单击“确定”完成新建组。
第三步:在“USERS”中新建一个用户。
第四步:设置用户信息,用户登录名一定要记住,这是Radius服务器进行接入用户身份验证的根据。
第五步:设置用户密码,密码需要符合一定的复杂度,并且登录不需要更改。
第六步:右击所建账户guozhihui,单击“拨入”选项卡,在“远程访问权限”中,选择“允许访问”,“账户”选项卡中,开启“使用可逆的加密保存密码”,设置完毕,单击确定。
第三步:在“身份验证方法”中,去点“启用匿名访问”选项,选择“Windows域服务器的摘要式身份验证”,在“领域”中,选择zhihuiguo.com。
第四步:设置完毕,单击“确定”,其它设置保持默认即可。
三、测试
3.1
Radius服务器测试工具,我们采用NTRadPing1.2工具,采用模拟客户端与服务器双击互联方式,模拟客户端向服务器发出认证请求。界面如下:
[步骤]:
第一步:开始→管理工具→打开Active Directory用户和计算机→右击根域zhihuiguo.com→选择属性。
第二步:在打开的根域属性的配置框,单击“组策略”选项卡,将“Default Domain Policy”选上,并单击“编辑”,就会进入“组策略编辑器”。
第三步:在“组策略编辑器”中→展开“计算机配置”→Windows设置→安全设置→公钥策略→自动证书申请设置→单击右键→新建→自动证书申请,下面会进入自动证书申请向导中。
客户端证书验证失败的日志记录是一个安全通道事件,默认情况下,在IAS服务器上处于未启用状态。将以下注册表项值从“1”(“REG_DWORD”类型,数据“0x00000001”)更改为“3”(“REG_DWORD”类型,数据“0x00000003”),可以启用其他安全通道事件:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogging
第四步:在弹出的“自动证书申请向导”中,证书模板选用“计算机”。
自动申请证书以后,在“组策略编辑器”的“自动申请证书”右侧框中会有一个申请成功的“计算机”。
2.5
目的:这是配置Radius服务器的核心,用于设置Radius客户端、设置匹配策略等。
在“开始”→管理工具→Internet验证服务,逐项配置“RADIUS客户端”、“远程访问记录”、“远程访问策略”、“连接请求处理”。
4、安装Internet验证服务(IAS)
[步骤]:
开始→控制面板→添加或删除程序→添加/删除windows组件→进入网络服务→选中“Internet验证服务”。
5、安装Internet应用程序服务器
[步骤]:
开始→控制面板→添加或删除程序→添加/删除windows组件→选中“应用程序服务器”。
以上组件安装完毕,Radius服务器的配置工作正式开始。
第三步:设置共享密钥,与Radius客户端建立安全通道,此处为测试用,测试密码为000000,务必牢记。客户端供应商保持默认即可。
至此,Radius客户端完成。
2.5.2
目的:记录远程访问的日志信息。
[步骤]:
第一步:单击“远程访问记录”,在日志记录方法中右键单击“本地文件”,单击“属性”,配置本地文件属性。