搭建802.1X接入认证环境配置教程.doc

搭建802.1X接入认证环境配置教程目 录一、环境介绍2二、Radius服务器安装步骤32.1、安装前准备32.2、默认域安全设置52.3、配置Active Directory 用户和计算机62.4、设置自动申请证书122.5、配置Internet验证服务（IAS）142.5.1、配置Radius客户端152.5.2、配置远程访问记录162.5.3、配置远程访问策略172.5.4、配置连接请求策略222.6、配置Internet信息服务(IIS)管理器24三、测试Radius服务器253.1、测试253.2、查看日志26四、配置Radius认证客户端（交换机）27五、接入客户端配置28一、环境介绍在真实环境下，802.1x认证的网络拓布结构如下图：为了测试用，搭建Radius服务器测试环境如下图，Radius服务器采用Windows 2003系统，Radius客户端采用思科3550交换机：二、Radius服务器安装步骤2.1、安装前准备1、安装DNS服务（为安装活动目录做准备的，活动目录必须先安装DNS） 步骤：开始控制面板添加或删除程序添加/删除windows组件进入网络服务选中“域名系统（DNS）”。2、配置活动目录步骤：（没有特别描述，默认单击“下一步”即可）第一步：开始运行输入活动目录安装命令“dcpromo”，进入活动目录安装向导。第二步：设置新的域名，如本例“”。第三步：活动目录安装程序会检测系统是否已经安装DNS，若DNS已经安装，请选择第二项“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设置为这台计算机的首选DNS服务器”。否则，请先安装DNS服务。第四步：默认单击“下一步”后，系统开始安装并配置活动目录，这段时间比较长，请耐心等待。活动目录安装完毕，根据提示，重新启动计算机。3、安装证书颁发机构 步骤：开始控制面板添加或删除程序添加/删除windows组件选中“证书服务”下一步开始安装，安装过程中，需要输入“CA的公用名称”，自定义即可。注意：在活动目录和证书服务没有安装时，要先安装活动目录然后安装证书服务，如果此顺序翻了，证书服务中的企业根证书服务则不能选择安装。4、安装Internet验证服务（IAS） 步骤：开始控制面板添加或删除程序添加/删除windows组件进入网络服务选中“Internet验证服务”。5、安装Internet应用程序服务器 步骤：开始控制面板添加或删除程序添加/删除windows组件选中“应用程序服务器”。以上组件安装完毕，Radius服务器的配置工作正式开始。2.2、默认域安全设置目的：创建客户端密码时会省去一些设置密码的麻烦。 步骤：第一步：开始管理工具域安全策略进入默认域安全设置，展开安全设置账户策略密码策略。第二步：在右侧列出的策略中，右键点击“密码必须符合复杂性要求”选择“属性”，将这个策略设置成“已禁用”。2.3、配置Active Directory 用户和计算机目的：设置认证用户。步骤：第一步：开始管理工具打开Active Directory 用户和计算机展开根域在“USERS”中新建一个组。第二步：将新建的组归类到安全组，作用于全局，单击“确定”完成新建组。第三步：在“USERS”中新建一个用户。第四步：设置用户信息，用户登录名一定要记住，这是Radius服务器进行接入用户身份验证的根据。第五步：设置用户密码，密码需要符合一定的复杂度，并且登录不需要更改。第六步：右击所建账户guozhihui，单击“拨入”选项卡，在“远程访问权限”中，选择“允许访问”，“账户”选项卡中，开启“使用可逆的加密保存密码”，设置完毕，单击确定。第七步：将新建用户guozhihui添加到test组中。第八步：选择组时，单击“高级”单击“立即查找”，选择你想加入的组test，单击“确定”“确定”即可第九步：右击新建组test，单击“属性”，开始配置新建的组（新建用户guozhihui也在其中），单击“隶属于”选项卡。第十步：单击“添加”按钮，在“选择组”窗口中单击“高级”按钮，单击“立即查找”。第十一步：选择所有组（为了保险，最好全选），然后单击“确定”、“确定”，“隶属于”设置完毕。第十二步：在“test属性”窗口中，单击“管理者”选项卡，单击“更改”按钮。第十三步：采用上述添加组的方式，选择管理者为所建用户guozhihui。至此，AD这边的账户配置完成。2.4、设置自动申请证书目的：如何使用组策略管理单元，在默认组策略对象中创建自动申请证书。步骤：第一步：开始管理工具打开Active Directory 用户和计算机右击根域选择属性。第二步：在打开的根域属性的配置框，单击“组策略”选项卡，将“Default Domain Policy”选上，并单击“编辑”，就会进入“组策略编辑器”。第三步：在“组策略编辑器”中展开“计算机配置”Windows设置安全设置公钥策略自动证书申请设置单击右键新建自动证书申请，下面会进入自动证书申请向导中。第四步：在弹出的“自动证书申请向导”中，证书模板选用“计算机”。自动申请证书以后，在“组策略编辑器”的“自动申请证书”右侧框中会有一个申请成功的“计算机”。2.5、配置Internet验证服务（IAS）目的：这是配置Radius服务器的核心，用于设置Radius客户端、设置匹配策略等。在“开始”管理工具Internet验证服务，逐项配置“RADIUS客户端”、“远程访问记录”、“远程访问策略”、“连接请求处理”。配置前准备：在“Internet验证服务（本地）”单击右键，选择“在AD中注册服务器”。2.5.1、配置Radius客户端目的：将Radius客户端在Radius验证服务器中进行注册授权。步骤：第一步：右击“Radius”客户端，选择“新建RADIUS客户端”。第二步：输入客户端标识名称，以及所在IP地址，本例为。第三步：设置共享密钥，与Radius客户端建立安全通道，此处为测试用，测试密码为000000，务必牢记。客户端供应商保持默认即可。至此，Radius客户端完成。2.5.2、配置远程访问记录目的：记录远程访问的日志信息。步骤：第一步：单击“远程访问记录”，在日志记录方法中右键单击“本地文件”，单击“属性”，配置本地文件属性。第二步：“设置”选项卡里一般选择“身份验证请求”，如果还要求计帐，在选择“计帐请求”。说明：“日志文件”选项卡里格式选择“IAS”，可以每天创建日志文件，在不用数据库存储日志记录的情况下就不用采用SQL Server的日志记录方法了，所以不配置它。关于日志文件里的格式规则（记录RADIUS证书验证的各种信息），参看另一文档或帮助。客户端证书验证失败的日志记录是一个安全通道事件，默认情况下，在 IAS 服务器上处于未启用状态。将以下注册表项值从“1”（“REG_DWORD”类型，数据“0x00000001”）更改为“3”（“REG_DWORD”类型，数据“0x00000003”），可以启用其他安全通道事件：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELEventLogging至此，“远程访问记录”配置完成。2.5.3、配置远程访问策略目的：设置接入认证匹配规则，是Radius服务器的核心。步骤：第一步：右击“远程访问策略”，单击“新建远程访问策略”。第二步：设置策略方式和策略名。第三步：选择访问方法，这里我们选择“以太网”。第四步：添加授予访问权限的用户或组，为了方便，我们添加组，单击“添加”。第五步：选择组的方式跟前面相同，此处不再重复。第六步：设置身份验证方法，此处选择“受保护的EAP（PEAP）”第七步：策略设置完成后，还需要对策略进行编辑，右击该策略，选择“属性”。第八步：在策略属性中，单击“编辑”按钮。第九步：在左侧的可用类型中，将Async添加进来，添加完毕，单击“确定”。第十步：在策略属性对话框中，单击“编辑配置文件”按钮。第十一步：在配置文件窗口中，单击“身份验证”选项卡，全部选中。第十二步：单击“EAP方法”，添加“MD5-质询”类型，并且设置为第一。设置完毕，单击确定。至此，远程访问策略配置完毕。2.5.4、配置连接请求策略步骤：第一步：展开“连接请求处理”，右击“连接请求策略”，选择“新建连接请求策略”。第二步：配置请求策略方法，选择自定义策略，并设置策略名。第三步：添加策略状况，选择“Client-IP-Address”类型。第四步：输入通配符，此处输入相应策略名即可。至此，连接请求策略配置完毕。2.6、配置Internet信息服务(IIS)管理器步骤：第一步：开始管理工具信息服务管理工具打开展开“网站”右键单击“默认网站”打开默网站属性。第二步：在弹出的默认网站属性窗口中，选择“目录安全性”选项卡，单击“身份验证和访问控制”下的“编辑”按钮。第三步：在“身份验证方法”中，去点“启用匿名访问”选项，选择“Windows域服务器的摘要式身份验证”，在“领域”中，选择。第四步：设置完毕，单击“确定”，其它设置保持默认即可。三、测试Radius服务器3.1、测试Radius服务器测试工具，我们采用NTRadPing1.2工具，采用模拟客户端与服务器双击互联方式，模拟客户端向服务器发出认证请求。界面如下：（1）RADIUS Server/port：设置RADIUS服务器所在的IP地址，以及端口号，其中，1812端口负责认证，1813端口服务计费功能；（2）RADIUS Secret key：设置客户端与服务器进行通信的密钥，与2.5.1中设置的密码要一致，本例为000000；（3）User-Name：认证用户账户名，本例为guozhihui；（4）Password：用户密码，本例为AAAaaa111；（5）Additional RADIUS Attributes：设置客户端与服务器通信时的其他参数，为了保证通信成功，此处需要添加NAS-Port-Type参数，并设置参数值为Async。设置完毕，单击“Send”按钮，向服务器发出认证请求，在RADIUS Server reply中，将返回服务器作出的回应，其中，response字段的值为Access-Accept，请求接入认证成功。3.2、查看日志除了在C:WINDOWSsystem32LogFiles中的日志文件可以查看到日志记录外，我们还可以通过“事件查看器进行查询”访问记录情况。步骤： 第一步：右击我的电脑管理系统工具时间查看器选择系统，此处列出了来自于IAS的信息。第二步：双击信息，可以查看信息的具体内容，双击警告，reason项可以查看拒绝认证的原因。四、配置Radius认证客户端（交换机） 进入交换机全局配置模式，交换机配置命令如下：五、接入客户端配置 XP客户端需要首先开启Wired AutoConfig服务，开启方式：右击“我的电脑”管理展开“服务和应用程序”服务找到“Wired AutoConfig”服务，启动改服务，并将启动类型设置为“自动”。进入本地连接属性，配置IP地址，将IP配置为。 单击“身份验证