802.1x认证测试指导书二_Radius认证20140405
- 格式:docx
- 大小:2.49 MB
- 文档页数:46
SANGFOR无线802.1X认证指导书二——Radius认证802.1X—Radius认证1.1.802.1x认证的网络拓布结构如下图:我们的认证客户端采用线PC自带无线认证客户端,无线接入点是用Wireless Access (Pointer)Controller,服务器安装windows Server 2003 sp2;所以完整的配置方案应该对这三者都进行相关配置,思路是首先配置RADIUS server 端,其次是配置无线接入点,最后配置无线客户端,这三者的配置先后顺序是无所谓的。
(单纯的AD域控是不支持802.1X的方式认证的,需要配置为Radius服务器才支持802.1X认证。
)配置如下:配置RADIUS Server Access Pointer Wireless Client IP Address192.200.200.156192.200.200.3DHCP自动获得Operate System Windows Server 2003Wireless ACCESS Controller Windows 7和手机配置RADIUS server步骤:2.1.配置思路配置RADIUS server 的前提是要在服务器上安装1.Active Directory2.IIS管理器(internet信息服务管理器)3.IAS(internet验证服务),4.证书颁发机构1)如果没有安装AD,在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”,然后按照提示安装就可以了;2)如果没有安装IIS和,就在就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”的组件中双击“应用程序服务器”按提示完成安装;3)如果没有安装IAS,就在就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”的组件中双击“网络服务”按提示完成安装;4)如果没有安装证书颁发机构,就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装注意:在AD和证书服务没有安装时,要先安装AD然后安装证书服务,如果此顺序翻了,证书服务中的企业根证书服务则不能选择安装;在这四个管理部件都安装的条件下,才可以配置windows2003为RADIUS服务器。
安装服务时需提示采用WIN2003_SP2的光盘安装,上图采用虚拟机光盘镜像文件方式操作。
2.2.修改默认域安全设置进入“开始”—〉“管理工具”—〉“域安全策略”,进入默认域安全设置,展开“安全设置”—〉“账户策略”—〉“密码策略”,在右侧列出的策略中,右键点击“密码必须符合复杂性要求”选择“属性”,将这个策略设置成“已禁用”,并修改密码长度最小值,在完成此设置后,后面创建客户端密码时会省去一些设置密码的麻烦。
2.3.配置Active Directory用户和计算机配置全局安全组和用户在“开始”—〉“管理工具”中打开“Active Directory”,展开根域,在“USERS”中新建一个组”test1”将新建的组归类到安全组,作用于全局,点击确定即完成新建组新增用户再在“USERS”中新建一个用户,这个用户的的姓名一定要记住,它是在无线客户端证书验证时要用的名字,tzm1/tzm1点击下一步,输入密码,这个密码一定要记住,它是在无线客户端要用的密码,并设置为永不过期,单击下一步完成新创建用户添加用户到安全组将新建用户tzm1加入到新建的组test1中选择组时,用“高级”—“立即查找”,选择你想加入的组,以后点击“确定”—“确定”即可设置安全组隶属范围及管理权限右键单击新建组test1,点击“属性”,开始配置新建的组(新建用户tzm1也在其中),点击“隶属于”选项卡,点击“添加”,在选择组中点击“高级”。
“立即查找”选择所有组(在保险情况下,最好全选),然后“确定”“确定”,“隶属于”设置完毕点击“管理者”,和上面相似,选择被“tzm1”管理(该步骤非必须操作,按需选择)。
至此,AD这边的配置完成。
2.4.设置自动申请证书下面是说明如何使用组策略管理单元,在默认组策略对象中创建自动申请证书;进入“开始”—〉“管理工具”—〉“Active Directory用户和计算机”,会显示在根域下的各个单元,右键单击根域(),点击“属性”会打开根域属性的配置框,点击“组策略”选项卡,将“Default Domain Policy”选上,并点击“编辑”,就会进入“组策略编辑器”,展开“计算机配置”—〉“Windows设置”—〉“安全设置”—〉“公钥策略”—〉“自动申请证书”,点击右键,“新建”“自动证书申请”,下面会进入自动证书申请向导中,“证书模版”一般选用“计算机”,点击下一步即可完成自动申请证书。
自动申请证书以后,在“组策略编辑器”的“自动申请证书”右侧框中会有一个申请成功的“计算机”。
2.5.配置internet验证服务(IAS)在“开始”—〉“管理工具”中打开“Internet验证服务”,逐项配置“RADIUS客户端”“远程访问记录”“远程访问策略”“连接请求处理”,图示如下配置“RADIUS客户端”在我们的配置环境中,就是配置无线接入点(192.200.200.3)RADIUS客户端的IP地址一定是无线接入点(无线控制器WAC)的IP地址,这一点最重要。
“客户端-供应商”一般选择RADIUS Standard,“共享的机密”中随便输入你记住的密码“sangfor”,至此,RADIUS客户端配置完成。
配置“远程访问记录”左键单击“远程访问记录”,在日志记录方法中右键单击“本地文件”,单击“属性”,配置本地文件属性“设置”选项卡里一般选择“身份验证请求”,如果还要求计帐,在选择“计帐请求”。
“日志文件”选项卡里格式选择“IAS”,可以“每天”创建日志文件,在不用数据库存储日志记录的情况下就不用采用SQL Server的日志记录方法了,所以不配置它。
客户端证书验证失败的日志记录是一个安全通道事件,默认情况下,在IAS 服务器上处于未启用状态。
将以下注册表项值从“1”(“REG_DWORD”类型,数据“0x00000001”)更改为“3”(“REG_DWORD”类型,数据“0x00000003”),可以启用其他安全通道事件:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogging至此,“远程访问记录”配置完成。
配置“远程访问策略”进入远程访问策略配置向导,策略名就用好记的字串就可以,如:wac_wireless,访问方法一定要用“无线”给所建的组test1授予访问权限,下面设置身份验证方法,点击“配置”设置PEAP 的属性,我们使用EAP-MSCHAP(V2),点击“编辑”身份验证充实次数一般用2;点击确定-确定点击“完成”,至此远程访问策略设置完毕。
配置“连接请求策略”连接请求设置的Client-IP-Address必须是WAC的IP地址:192.200.200.3至此,连接请求策略配置完成。
2.6.配置IIS(internet信息服务管理器)点击“开始”—〉“管理工具”—〉“internet信息服务管理工具”,打开IIS,展开“网站”,右键单击“默认网站”打开默网站属性在属性选项卡中点击“目录安全性”,在“身份验证和访问控制”选框中点击“编辑”进入身份验证方法不要选用“启用匿名访问”,在“用户访问须经过身份验证”对话框中选择“windows 域服务器的摘要式身份验证”,在“领域”中“选择”服务器的根域,如: 以后就点击“确定”“确定”;此属性选项卡中的其它卡项都可以保持默认设置;至此IIS 设置完毕2.7.开启用户远程访问权限右键用户”tzm1”选择属性,点击拨入选项卡,远程访问权限设置为“允许访问”在WAC上用”tzm1”测试Radius服务器的有效性,结果为“服务可用”。
如果没有开启测试服务器会出现如下报错:2.8.查看记录在设置完毕AD、IAS和IIS三个部件后,Radius Server端的设置算是大功告成,如果想随时看客户端验证过程的记录信息,可以看远程访问记录,默认下,记录文档放在C:\WINDOWS\system32\LogFiles中,其中保存有验证信息还可以按以下方式打开:右键单击桌面的“我的电脑”,选择“管理”,打开“计算机管理”,展开“系统工具”中的“事件查看器”,点击“系统”,可以查看客户端验证过程的信息。
WAC上的配置添加LDAP服务添加LDAP认证服务器“ldap156”,IP地址为:192.200.200.156;测试LDAP服务器的有效性须为:服务可用添加Radius服务器添加Raidus服务器,”server2092”,IP地址为:192.200.200.156;并配置用户数据库为LDAP 服务器“ldap156”。
测试Radius服务器须为:“服务可用”。
配置网络为认证方式为:企业认证添加SSID:radius_test等基本配置。
选择radius认证服务器选择帐号认证方式为“radius中继”,认证服务器为”server2092”。
其他配置VLAN,角色等配置,接口、路由、NAT等配置。
3.2.PC上的配置当PC搜索到无线网络时,此时直接点击认证输入用户名和密码是无法通过认证的,因为此时windows7系统默认是要去验证服务器的,需要提供证书,而PC是没有安装证书,这时需要在PC上手动配置取消掉证书验证,步骤如下设置新的连接或网络手动连接到无线网络配置SSID,认证类型和加密类型修改配置取消证书验证和自动登录名配置802.1X认证采用用户身份认证配置802.1X认证采用用户身份认证方法,配置如下图手动下载证书导入PC在服务器上可以导出证书,然后再导入到PC上,导入到“受信任的根证书颁发机构”,采用该证书来验证服务器,也是可行。
自动配置工具方式配置无线网络为了更加智能的配置无线网络,推荐采用自动配置工具的方式配置无线网络:选择SSID,身份认证方式PEAP MS CHAP V2,验证模式:用户身份认证。
(具体配置步骤参考802.1X认证测试指导书一)不要勾选验证服务器证书3.3.手机上配置在IOS手机上可以直接点击认证,用户名和密码认证通过后,手机会自动接受服务器证书,并进行加密隧道安全建立连接,如下图:点击证书接受后,就可以获取IP,并正常上网了动态VLAN配置4.1.根据LDAP用户名或安全组划分VLAN在配置为外部认证时,除了可以根据接入点AP位置,还可以根据LDAP用户名与安全组的方式动态划分VLAN,如下图配置:。