RADIUS服务器搭建.docVIP

802.1X认证完整配置过程说明802.1x认证的网络拓布结构如下图：我们的认证客户端采用无线客户端，无线接入点是用cisco2100 wireless controller，服务器安装windows Server 2003 sp1；所以完整的配置方案应该对这三者都进行相关配置，思路是首先配置RADIUS server 端，其次是配置无线接入点，最后配置无线客户端，这三者的配置先后顺序是无所谓的。配置如下：配置RADIUS ServerAccess PointerWireless ClientIP Address8801DHCP自动获得Operate SystemWindows Server 2003CISCO Wireless controllerWindows XP配置RADIUS server步骤：配置RADIUS server 的前提是要在服务器上安装Active Directory ,IAS（internet验证服务），IIS管理器（internet信息服务管理器），和证书颁发机构；如果没有安装AD，在“开始”“运行”命令框中输入命令“dcpromo”，然后按照提示安装就可以了；注：如果没有安装证书颁发机构，就在“控制面板”“添加删除程序”“添加/删除windows组件”“windows 组件向导”的组件中选择“证书服务”并按提示安装；如果没有安装IAS和IIS，就在就在“控制面板”“添加删除程序”“添加/删除windows组件”“windows组件向导”的组件中选择“网络服务”按提示完成安装；在AD和证书服务没有安装时，要先安装AD然后安装证书服务，如果此顺序反了，证书服务中的企业根证书服务则不能选择安装；在这四个管理部件都安装的条件下，可以配置RADIUS服务器了。默认域安全设置进入“开始”“管理工具”“域安全策略”，进入默认域安全设置，展开“安全设置”“账户策略”“密码策略”，在右侧列出的策略中，右键点击“密码必须符合复杂性要求”选择“属性”，将这个策略设置成“已禁用”，在完成此设置后，后面创建客户端密码时会省去一些设置密码的麻烦。配置Active Directory用户和计算机在“开始”“管理工具”中打开“Active Directory”，展开根域（根域的命名方式见帮助），在“USERS”中新建一个组将新建的组归类到安全组，作用于全局，点击确定即完成新建组再在“USERS”中新建一个用户，这个用户的的姓名一定要记住，它是在无线客户端证书验证时要用的名字点击下一步，输入密码，这个密码一定要记住，它是在无线客户端要用的密码，单击下一步完成新创建用户。将新建用户zgongchang加入到新建的组test1中选择组时，用“高级”“立即查找”，选择你想加入的组，以后点击“确定”“确定”即可右键单击新建组test1，点击“属性”，开始配置新建的组（新建用户zgongchang也在其中），点击“隶属于”选项卡，点击“添加”，在选择组中点击“高级”，“立即查找”选择所有组（在保险情况下，最好全选），然后“确定”“确定”，“隶属于”设置完毕点击“管理者”，和上面相似，选择被“zgongchang”管理。至此，AD这边的配置完成。设置自动申请证书下面是说明如何使用组策略管理单元，在默认组策略对象中创建自动申请证书；进入“开始”“管理工具”“Active Directory用户和计算机”，会显示在根域下的各个单元，右键单击根域（），点击“属性”会打开根域属性的配置框，点击“组策略”选项卡，将“Default Domain Policy”选上，并点击“编辑”，就会进入“组策略编辑器”，展开“计算机配置”“Windows设置”“安全设置”“公钥策略”“自动申请证书”，点击右键，“新建”“自动证书申请”，下面会进入自动证书申请向导中，“证书模版”一般选用“计算机”，点击下一步即可完成自动申请证书。自动申请证书以后，在“组策略编辑器”的“自动申请证书”右侧框中会有一个申请成功的“计算机”。配置internet验证服务（IAS）在“开始”“管理工具”中打开“Internet验证服务”，逐项配置“RADIUS客户端”“远程访问记录”“远程访问策略”“连接请求处理”，图示如下配置“RADIUS客户端”在我们的配置环境中，就是配置无线接入点（01）RADIUS客户端的IP地址一定是无线接入点的IP地址，这一点最重要“客户端-供应商”一般选择RADIUS Standard，“共享的机密”中随便输入你记住的密码至此，RADIUS客户端配置完成。配置“远程访问记录”左键单击“远程访问记录”，在日志记录方法中右键单击“本地文件”，单击“属性”，配置本地文件属性“设置”选项卡里一般选择“身份验证请求”，如果还要求计帐，在选择“计帐请求”，“日志文件”选项卡里格式选择“IAS”，可以每天创建日志文件，在不用数据库存储日志记录的情况下就不用采用SQL Server的日志记录方法了，所以不配置它。关于日志文件里的格式规则（记录RADIUS证书验证的各种信息），参看另一文档或帮助。客户端证书验证失败的日志记录是一个安全通道事件，默认情况下，在 IAS 服务器上处于未启用状态。将以下注册表项值从“1”（“REG_DWORD”类型，数据“0x00000001”）更改为“3”（“REG_DWORD”类型，数据“0x00000003”），可以启用其他安全通道事件：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELEventLogging至此，“远程访问记录”配置完成。配置“远程访问策略”进入远程访问策略配置向导，策略名就用好记的字串就可以，如：cisco2100，访问方法一定要用“无线”给所建的组test1授予访问权限，下面设置身份验证方法:点击“配置”设置PEAP的属性，我们使用EAP-MSCHAP(V2)，点击“编辑”身份验证充实次数一般用2；点击确定-确定点击“完成”，至此远程访问策略设置完毕。配置“连接请求策略”至此，连接请求策略配置完成。配置IIS（internet信息服务管理器）点击“开始”“管理工具”“信息服务管理工具”，打开，展开“网站”，右键单击“默认网站”打开默网站属性在属性选项卡中点击“目录安全性”，在“身份验证和访问控制”选框中点击“编辑”进入身份验证方法不要选用“启用匿名访问”，在“用户访问须经过身份验证”对话框中选择“域服务器的摘要式身份验证”，在“领域”中“选择”服务器的根域，如：，以后就点击“确定”“确定”；此属性选项卡中的其它卡项都可以保持默认设置；至此设置完毕。查看记录在设置完毕、和三个部件后，端的设置算是大功告成，如果想随时看客户端验证过程的记录信息，可以看远程访问记录，默认下，记录文档放在C:WINDOWSsyste