Radius认证服务器的配置与应用讲解
- 格式:doc
- 大小:1.29 MB
- 文档页数:16
文档推荐
-
RADIUS服务器进行MAC验证页数:11
-
radius认证服务器配置页数:13
-
配置采用RADIUS协议进行认证页数:9
-
搭建radius服务器(全)页数:34
-
Radius认证服务器的配置与应用讲解页数:16
-
H3C AAA认证配置页数:6
下载文档原格式
合集下载
RADIUS认证配置实列
创新联杰RADIUS认证配置实列实验图如:一案列分析1、当无线客户端在AP的覆盖区域内,就会发现以SSID标识出来的无线信号,从中可以看到SSID名称和加密类型,以便用户判断选择。
2、无线AP配置成只允许经过802.1X认证过的用户登录,当用户尝试连接时,AP会自动设置一条限制通道,只让用户和RADIUS服务器通信,RADIUS服务器只接受信任的RADIUS客户端(这里可以理解为AP或者无线控制器),用户端会尝试使用802.1X,通过那条限制通道和RADIUS服务器进行认证。
3、RADIUS收到认证请求之后,首先会在AD中检查用户密码信息,如果通过密码确认,RADIUS会收集一些信息,来确认该用户是否有权限接入到无线网络中,包括用户组信息和访问策略的定义等来决定拒绝还是允许,RADIUS把这个决定传给radius客户端(在这里可以理解为AP或者无线控制器),如果是拒绝,那客户端将无法接入到无线网,如果允许,RADIUS还会把无线客户端的KEY传给RADIUS客户端,客户端和AP会使用这个KEY加密并解密他们之间的无线流量。
4、经过认证之后,AP会放开对该客户端的限制,让客户端能够自由访问网络上的资源,包括DHCP,获取权限之后客户端会向网络上广播他的DHCP请求,DHCP服务器会分配给他一个IP地址,该客户端即可正常通信。
二安装活动目录建帐号三安装IAS、添加删除程序—》添加删除windows组件2、选择“网络服务”,点击“详细信息”3、选择“Internet验证服务”,点击“确定”4、点击“下一步”,windows会自动安装IAS。
5、安装好之后,在“管理工具”里面就会看到“Internet验证服务”,打开之后,在AD中注册服务器,使IAS能够读取AD里面的帐号。
四、为IAS安装证书由于802.1X和WPA都需要证书来用于IAS服务器认证及加密密钥的产生,所以必须要给IAS服务器安装一个证书,否则,在配置IAS的时候会出现无法找到证书的错误。
RADIUS安全协议的认证与授权流程
RADIUS安全协议的认证与授权流程RADIUS(Remote Authentication Dial-In User Service)是一种广泛应用于网络认证和授权的协议。
它被广泛应用于提供网络访问服务的系统中,特别是在企业和服务提供商网络中。
RADIUS协议通过提供一种标准化的认证和授权机制,确保网络中用户的安全和身份验证。
本文将介绍RADIUS协议的认证与授权流程,并探讨其在网络安全中的重要性。
认证流程:1. 用户请求访问:当用户想要访问网络资源时,他们首先必须进行身份验证。
用户通过拨号、无线接入点或VPN客户端等方式向RADIUS服务器发起访问请求。
2. 认证请求传输:RADIUS客户端(例如接入点或VPN服务器)将用户的认证请求传输到RADIUS服务器。
这些请求通常包含用户的用户名和密码等凭据信息。
3. RADIUS服务器响应:RADIUS服务器接收到认证请求后,根据用户名和密码等凭据信息进行验证。
如果凭据与服务器中存储的用户信息匹配,服务器将返回认证成功的响应。
4. 认证成功:RADIUS客户端接收到认证成功的响应后,允许用户访问网络资源。
同时,RADIUS服务器将为该用户生成并发送一个会话密钥,用于后续的安全通信。
授权流程:5. 授权请求传输:经过认证的用户在访问网络资源时,RADIUS客户端会向RADIUS服务器发送授权请求。
此请求包含用户访问的资源和相关权限等信息。
6. RADIUS服务器处理:RADIUS服务器接收到授权请求后,会检查用户的访问权限和所请求资源的规则。
如果用户被授权访问资源,服务器将返回授权成功的响应。
7. 授权成功:RADIUS客户端收到授权成功的响应后,用户将被允许访问所请求的资源。
此时,用户可以开始使用网络服务和应用程序。
RADIUS协议在认证和授权过程中的重要性:RADIUS协议在网络安全中起着至关重要的作用。
它提供了一种中心化的身份验证和访问控制机制,帮助组织有效地管理和控制用户对网络资源的访问。
RADIUS协议的账号管理配置
RADIUS协议的账号管理配置RADIUS(远程身份验证拨号用户服务)是一种用于网络接入认证、授权和账号管理的协议。
它被广泛应用于企业、教育机构和服务提供商等不同场景中。
本文将介绍如何进行RADIUS协议的账号管理配置,帮助网络管理员更好地管理用户账号。
一、概述在网络环境中,为了保障网络资源的安全和有效使用,账号管理是必不可少的一项工作。
RADIUS协议通过将认证、授权和账号管理集中在一台或多台RADIUS服务器上,为网络管理员提供了更加灵活和可控的用户账号管理方式。
二、配置RADIUS服务器1. 安装和配置RADIUS服务器软件RADIUS服务器软件有多种选择,例如FreeRADIUS、Microsoft NPS等。
根据实际需求选择并安装合适的软件,然后按照软件提供的配置文档进行配置。
2. 创建RADIUS客户端在RADIUS服务器上创建一个客户端,用于与接入设备通信。
配置客户端时,需要指定一个共享密钥,该密钥将用于客户端和服务器之间的认证。
3. 配置认证方法RADIUS支持多种认证方法,包括PAP、CHAP、MS-CHAP等。
根据网络环境和需求选择合适的认证方法,并进行相应的配置。
4. 配置账号管理策略RADIUS服务器通常支持不同的账号管理策略,如账号锁定、密码策略等。
根据实际情况配置账号管理策略,以提高账号的安全性和管理效率。
三、接入设备配置1. 配置RADIUS服务器地址在接入设备上配置RADIUS服务器的地址和端口号,以便设备能够与RADIUS服务器进行通信。
2. 配置共享密钥将与RADIUS服务器配置的客户端共享密钥配置到接入设备上,确保设备和服务器之间的通信得到有效认证。
3. 配置认证方式根据RADIUS服务器的配置,选择合适的认证方式进行配置,以便设备能够正确地与服务器进行认证。
四、用户账号管理1. 添加用户账号通过RADIUS服务器的管理界面或命令行工具,添加用户账号信息,包括用户名、密码、权限等。
路由系统的radius认证应用
RADIUS是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。
RADIUS认证服务器负责接收用户的连接请求、认证用户,然后返回客户机所有必要的配置信息以将服务发送到用户。
路由系统在提供pppoe服务时,都需要启动与第三方RADIUS认证服务器之间的RADIUS认证服务,下面就秒开加速路由系统与常用的计费软件之间如何实现RADIUS认证服务。
1.海蜘蛛计费系统第一步:计费系统上的配置,添加NAS(路由)第二步:然后创建套餐,及用户账号第三步:路由系统上的配置注意事项:如果计费系统在外网,路由的外网是动态IP或多线,通常“NAS 服务器IP”设为‘0.0.0.0’,如果计费系统在内网(如IP为192.168.10.100),NAS 服务器IP设为和计费系统同网段的IP (如192.168.10.254)。
第四步:对接测试首先在路由上使用测试账号进行对接测试然后在用户电脑上使用pppoe拨号测试2.蓝海卓越计费系统第一步:计费系统上的配置,进入“计费设置”-“NAS管理”,添加NAS设备第二步:配置好区域项目和产品管理后,进入“用户管理”-“添加用户”第三步:路由系统上的设置第四步:对接测试首先在路由上使用测试账号进行对接测试然后在用户电脑上使用pppoe拨号测试3. 卓迈计费系统第一步:计费系统上的配置,进入“模板配置”-“NAS管理”,添加新NAS第二步:然后创建套餐,进入“模板配置”-“计费模板”,添加新模板第三步:创建用户账号,进入“用户管理”-“用户开户”第四步:路由系统上的设置第五步:对接测试在路由上使用测试账号进行对接测试然后在电脑上使用pppoe拨号时,计费会出现在线用户3.第三方RAIDUS认证计费系统支持一览表计费软件限速地址池到期管理RADIUS 强制踢下线选择设备类型蓝海支持支持支持支持Mikrotik/ROS 凌风支持支持支持支持Mikrotik/ROSRadius Manager 3.9 支持支持不支持下一版支持Mikrotik/ROSRadius Manager 4.X 即将支持即将支持即将支持即将支持即将支持安腾支持不支持不支持暂不支持Mikrotik/ROS(END)。
搭建radius服务器(2024)
引言概述:在网络管理和安全领域,Radius (RemoteAuthenticationDialInUserService)服务器是一种用于认证、授权和计费的协议。
它可以帮助组织有效地管理网络用户的访问,并提供安全可靠的认证机制。
搭建Radius服务器是一项重要的任务,本文将详细介绍搭建Radius服务器的步骤和一些注意事项。
正文内容:1.确定服务器需求a.确定您的网络环境中是否需要Radius服务器。
如果您有大量用户需要认证和授权访问网络资源,Radius服务器将成为必不可少的工具。
b.考虑您的网络规模和性能需求,以确定是否需要单独的物理服务器或虚拟服务器来运行Radius服务。
2.选择合适的Radius服务器软件a.有多种Radius服务器软件可供选择,如FreeRADIUS、MicrosoftIAS、CiscoSecureACS等。
根据您的特定需求和预算,在这些选项中选择一个最合适的服务器软件。
b.考虑软件的功能和特性,例如支持的认证方法、计费功能、日志功能等。
3.安装和配置Radius服务器软件a.安装选定的Radius服务器软件,并确保它与您的操作系统和其他网络设备兼容。
b.进行服务器的基本配置,包括设置服务器名称、IP地质、监听端口等。
c.配置认证和授权方法,例如使用用户名/密码、证书、OTP 等。
d.设置计费和日志功能,以便记录用户的访问和使用情况。
4.集成Radius服务器与其他网络设备a.配置网络设备(例如交换机、无线接入点)以使用Radius服务器进行认证和授权。
b.确保网络设备与Radius服务器之间的通信正常,并测试认证和授权功能是否正常工作。
c.配置Radius服务器以与目标网络设备进行通信,例如设置共享密钥或证书。
5.安全和监控a.配置适当的安全措施,例如使用SSL/TLS加密通信、限制访问Radius服务器的IP地质等。
b.监控Radius服务器的性能和日志,检测异常活动和可能的安全威胁。
Radius认证服务器的配置与应用讲解
也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。服务器和客户端之间传输的所有
客户端和RADIUS服务器之间的用户密码经过加密发送,提供了密码使用
IEEE 802.1x认证系统的组成
IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分(角色)组成。
IEEE 802.1x 客户端标准的软件,目前最典型的
"0801010047",密码"123",确定。
、验证成功后可以ping一下172.17.2.254进行验证,同时可以观察到交换机FastEthernet0/5端口
802.1x验证,请确认Wireless Configuration服务正常开启。
、可以通过"控制面板"-"管理工具"中的"事件查看器"-"系统"子选项观察802.1x的验证日志。
认证服务器的配置与应用(802.1x)
协议
是一个基于端口的网络访问控制协议,该协议的认证体系结构中采用了“可控端口”和“不可
”的逻辑功能,从而实现认证与业务的分离,保证了网络传输的效率。IEEE 802系列局域网(LAN)
IEEE 802体系定义的局域网不提供接入认证,只要
交换机等控制设备,用户就可以访问局域网中其他设备上的资源,这是一个安全隐患,
"0801010047"加入到"802.1x"用户组中。鼠标右键单击用户"0801010047",选择"属性"。在
"隶属于",然后将其加入"802.1x"用户组中。
RADIUS服务器的”Internet验证服务”窗口中,需要为Cisco2950交换机以及通过该交换机进行认证
客户端和RADIUS服务器之间的用户密码经过加密发送,提供了密码使用
IEEE 802.1x认证系统的组成
IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分(角色)组成。
IEEE 802.1x 客户端标准的软件,目前最典型的
"0801010047",密码"123",确定。
、验证成功后可以ping一下172.17.2.254进行验证,同时可以观察到交换机FastEthernet0/5端口
802.1x验证,请确认Wireless Configuration服务正常开启。
、可以通过"控制面板"-"管理工具"中的"事件查看器"-"系统"子选项观察802.1x的验证日志。
认证服务器的配置与应用(802.1x)
协议
是一个基于端口的网络访问控制协议,该协议的认证体系结构中采用了“可控端口”和“不可
”的逻辑功能,从而实现认证与业务的分离,保证了网络传输的效率。IEEE 802系列局域网(LAN)
IEEE 802体系定义的局域网不提供接入认证,只要
交换机等控制设备,用户就可以访问局域网中其他设备上的资源,这是一个安全隐患,
"0801010047"加入到"802.1x"用户组中。鼠标右键单击用户"0801010047",选择"属性"。在
"隶属于",然后将其加入"802.1x"用户组中。
RADIUS服务器的”Internet验证服务”窗口中,需要为Cisco2950交换机以及通过该交换机进行认证
第10讲 Radius认证服务器的配置与应用
图3
实验拓扑
10.2.4 基于 基于IEEE 802.1x认证系统的组成 认证系统的组成 由图3所示,一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者 由图 所示,一个完整的基于 的认证系统由认证客户端、 所示 的认证系统由认证客户端 和认证服务器3部分(角色)组成。 和认证服务器 部分(角色)组成。 部分 1.认证客户端。 .认证客户端。 认证客户端是最终用户所扮演的角色,一般是个人计算机。 认证客户端是最终用户所扮演的角色,一般是个人计算机。它请求对网络服 务的访问,并对认证者的请求报文进行应答。认证客户端必须运行符合 务的访问,并对认证者的请求报文进行应答。认证客户端必须运行符合IEEE 802.1x 客户端标准的软件,目前最典型的就是 客户端标准的软件,目前最典型的就是Windows XP操作系统自带的 操作系统自带的 IEEE802.1x客户端支持。另外,一些网络设备制造商也开发了自己的IEEE 客户端支持。另外,一些网络设备制造商也开发了自己的 客户端支持 802.1x客户端软件。 客户端软件。 客户端软件
4.2 PKI的概念和组成 的概念和组成 10.1.2 认证、授权与审计 认证、 在计算机网络安全领域,将认证、授权与审计统称为 在计算机网络安全领域,将认证、授权与审计统称为AAA或3A,即英文 或 , Authentication(认证)、 (认证)、Authorization(授权)和Accounting(审计)。 )、 (授权) (审计)。 1. 认证 . 认证是一个解决确定某一个用户或其他实体是否被允许访问特定的系统或资 源的问题。 源的问题。 2. 授权 . 授权是指当用户或实体的身份被确定为合法后, 授权是指当用户或实体的身份被确定为合法后,赋予该用户的系统访问或资 源使用权限。 源使用权限。
RADIUS服务器认证流程调试技巧
RADIUS服务器认证流程调试技巧在网络领域中,RADIUS(Remote Authentication Dial-In User Service)服务器起着至关重要的作用。
它负责验证和授权用户的网络访问请求,并记录相关事件。
为了确保RADIUS服务器的有效运行,开发人员和网络管理员经常需要调试该认证流程,以解决潜在问题。
本文将介绍一些RADIUS服务器认证流程调试技巧,帮助您更好地了解RADIUS服务器工作原理和调试流程。
1. 理解RADIUS认证流程在调试RADIUS服务器之前,首先需要了解其认证流程。
通常,认证流程包括以下步骤:a. 用户请求认证:用户通过网络设备(如无线路由器)连接到服务器,并发送认证请求。
b. 认证请求传输:认证请求通过网络传输到RADIUS服务器,该服务器通常位于网络运营商或企业中心。
c. 用户验证:RADIUS服务器接收到认证请求后,会验证用户提供的凭据(用户名和密码)。
d. 认证结果通知:RADIUS服务器根据验证结果向网络设备发送认证通过或失败的通知。
e. 授权:如果认证通过,RADIUS服务器还可以对用户进行授权,例如分配特定的网络资源。
2. 使用RADIUS调试工具在调试RADIUS服务器时,可以使用各种工具来帮助捕获和分析认证流程中的数据包。
以下是几个常用的RADIUS调试工具:a. Wireshark:Wireshark是一款强大的网络协议分析工具,可以捕获和分析RADIUS数据包。
通过检查数据包的内容和标头信息,您可以查看认证请求和响应,以及任何潜在的错误或问题。
b. Radtest:Radtest是一个用于测试RADIUS认证服务器的命令行实用程序。
它模拟了一个RADIUS客户端,可以发送认证请求并接收服务器的响应。
通过执行Radtest命令,您可以检查RADIUS服务器是否正确响应认证请求。
c. RADIUS工具集:RADIUS工具集(FreeRADIUS)是一个开源软件套件,提供了各种用于调试和分析RADIUS服务器的工具和实用程序。
搭建radius服务器(全)
搭建radius服务器(全)搭建radius服务器(全)一、介绍Radius(Remote Authentication Dial-In User Service)是一种用于认证、授权和帐号管理的网络协议。
在网络中,常用于实现拨号认证、无线网络认证等功能。
该文档将详细介绍搭建Radius 服务器的步骤。
二、准备工作1·确定服务器系统:选择一个适合的服务器操作系统,如Linux、Windows Server等。
2·硬件要求:确保服务器的硬件配置满足最低系统要求和预期的性能需求。
3·安装操作系统:按照操作系统提供的文档和指南进行系统安装。
三、安装Radius服务器软件1·Radius服务器软件:从官方网站或其他可靠的来源最新版本的Radius服务器软件。
2·安装服务器软件:按照软件提供的安装指南进行安装,并完成相关配置。
四、配置Radius服务器1·配置认证方式:确定要使用的认证方式,如PAP、CHAP等,并进行相应的配置。
2·配置用户数据库:选择适合的用户数据库,如MySQL、LDAP 等,创建相应的用户账号和密码,并将其与Radius服务器进行关联。
3·配置网络设备:将需要认证的网络设备与Radius服务器建立连接,并进行相应的配置。
五、测试和调试1·连接测试:确保Radius服务器和网络设备的连接正常,并能够正常认证用户。
2·认证测试:使用不同的用户账号和密码进行认证测试,确保认证功能正常。
3·错误排查:在测试过程中出现的错误进行排查,并根据错误信息进行相应的修复和调试。
六、安全性配置1·防火墙配置:为了保护服务器和网络设备的安全,配置合适的防火墙规则,限制对Radius服务器的访问。
2·日志记录:配置日志记录功能,记录所有认证和授权的日志信息,以便于后续的审计和故障排查。
RADIUS认证服务器的安装与配置实训
RADIUS认证服务器的安装与配置实训RADIUS(Remote Authentication Dial-In User Service)是一种广泛应用于企业网络中的认证和授权服务。
它通过提供集中化的身份认证和授权管理,使得多个网络设备可以共享同一个认证服务器,从而简化了网络管理和用户访问的控制。
在本篇文章中,我们将介绍如何安装和配置一个RADIUS认证服务器。
首先,我们需要选择适合自己需求的操作系统来安装RADIUS 服务器。
常用的操作系统选择包括Linux、Windows和FreeBSD等。
在本实训中,我们将选择使用Linux操作系统来安装和配置RADIUS服务器。
我们选择的Linux发行版是Ubuntu Server。
1. 安装Ubuntu Server:首先,在物理或虚拟机上安装Ubuntu Server操作系统。
下载最新的Ubuntu Server ISO镜像文件,并使用它创建一个启动USB或光盘。
启动计算机,并按照提示进行操作系统安装。
2. 安装FreeRADIUS:在Ubuntu Server上安装RADIUS服务器,我们将使用FreeRADIUS。
在终端中运行以下命令,以安装FreeRADIUS:```sudo apt-get updatesudo apt-get install freeradius```3. 配置FreeRADIUS:安装完成后,我们需要对FreeRADIUS进行配置。
首先,编辑`/etc/freeradius/users`文件,该文件包含用户的认证信息。
添加以下示例行,其中用户名为`testuser`,密码为`testpassword`:```testuser Cleartext-Password := "testpassword"```4. 配置FreeRADIUS服务器参数:接下来,我们需要编辑`/etc/freeradius/clients.conf`文件,该文件包含了RADIUS服务器的配置信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IEEE 802.1x协议IEEE 802.1x是一个基于端口的网络访问控制协议,该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而实现认证与业务的分离,保证了网络传输的效率。
IEEE 802系列局域网(LAN)标准占据着目前局域网应用的主要份额,但是传统的IEEE 802体系定义的局域网不提供接入认证,只要用户能接入集线器、交换机等控制设备,用户就可以访问局域网中其他设备上的资源,这是一个安全隐患,同时也不便于实现对局域网接入用户的管理。
IEEE 802.1x是一种基于端口的网络接入控制技术,在局域网设备的物理接入级对接入设备(主要是计算机)进行认证和控制。
连接在交换机端口上的用户设备如果能通过认证,就可以访问局域网内的资源,也可以接入外部网络(如Internet);如果不能通过认证,则无法访问局域网内部的资源,同样也无法接入Internet,相当于物理上断开了连接。
IEEE 802. 1x协议采用现有的可扩展认证协议(Extensible Authentication Protocol,EAP),它是IETF提出的PPP协议的扩展,最早是为解决基于IEEE 802.11标准的无线局域网的认证而开发的。
虽然IEEE802.1x定义了基于端口的网络接入控制协议,但是在实际应用中该协议仅适用于接入设备与接入端口间的点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。
典型的应用方式有两种:一种是以太网交换机的一个物理端口仅连接一个计算机;另一种是基于无线局域网(WLAN)的接入方式。
其中,前者是基于物理端口的,而后者是基于逻辑端口的。
目前,几乎所有的以太网交换机都支持IEEE 802.1x协议。
RADIUS服务器RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证服务)服务器提供了三种基本的功能:认证(Authentication)、授权(Authorization)和审计(Accounting),即提供了3A功能。
其中审计也称为“记账”或“计费”。
RADIUS协议采用了客户机/服务器(C/S)工作模式。
网络接入服务器(Network Access Server,NAS)是RADIUS的客户端,它负责将用户的验证信息传递给指定的RADIUS服务器,然后处理返回的响应。
RADIUS服务器负责接收用户的连接请求,并验证用户身份,然后返回所有必须要配置的信息给客户端用户,也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。
服务器和客户端之间传输的所有数据通过使用共享密钥来验证,客户端和RADIUS服务器之间的用户密码经过加密发送,提供了密码使用的安全性。
基于IEEE 802.1x认证系统的组成一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分(角色)组成。
认证客户端。
认证客户端是最终用户所扮演的角色,一般是个人计算机。
它请求对网络服务的访问,并对认证者的请求报文进行应答。
认证客户端必须运行符合IEEE 802.1x 客户端标准的软件,目前最典型的就是Windows XP操作系统自带的IEEE802.1x客户端支持。
另外,一些网络设备制造商也开发了自己的IEEE 802.1x客户端软件。
认证者认证者一般为交换机等接入设备。
该设备的职责是根据认证客户端当前的认证状态控制其与网络的连接状态。
扮演认证者角色的设备有两种类型的端口:受控端口(controlled Port)和非受控端口(uncontrolled Port)。
其中,连接在受控端口的用户只有通过认证才能访问网络资源;而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。
把用户连接在受控端口上,便可以实现对用户的控制;非受控端口主要是用来连接认证服务器,以便保证服务器与交换机的正常通讯。
认证服务器认证服务器通常为RADIUS服务器。
认证服务器在认证过程中与认证者配合,为用户提供认证服务。
认证服务器保存了用户名及密码,以及相应的授权信息,一台认证服务器可以对多台认证者提供认证服务,这样就可以实现对用户的集中管理。
认证服务器还负责管理从认证者发来的审计数据。
微软公司的Windows Server 2003操作系统自带有RADIUS服务器组件。
实验拓扑图安装RADIUS服务器如果这台计算机是一台Windows Server 2003的独立服务器(未升级成为域控制器,也未加入域),则可以利用SAM来管理用户账户信息;如果是一台Windows Server 2003域控制器,则利用活动目录数据库来管理用户账户信息。
虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定,但RADIUS 服务器提供的认证功能相同。
为便于实验,下面以一台运行Windows Server 2003的独立服务器为例进行介绍,该计算机的IP地址为172.16.2.254。
在"控制面板"中双击"添加或删除程序",在弹出的对话框中选择"添加/删除Windows组件"在弹出的"Windows组件向导"中选择"网络服务"组件,单击"详细信息" 勾选"Internet验证服务"子组件,确定,然后单击"下一步"进行安装在"控制面板"下的"管理工具"中打开"Internet验证服务"窗口创建用户账户RADIUS服务器安装好之后,需要为所有通过认证才能够访问网络的用户在RADIUS服务器中创建账户。
这样,当用户的计算机连接到启用了端口认证功能的交换机上的端口上时,启用了IEEE 802.1x认证功能的客户端计算机需要用户输入正确的账户和密码后,才能够访问网络中的资源。
在"控制面板"下的"管理工具"中打开"计算机管理",选择"本地用户和组"为了方便管理,我们创建一个用户组"802.1x"专门用于管理需要经过IEEE 802.1x认证的用户账户。
鼠标右键单击"组",选择"新建组",输入组名后创建组。
在添加用户之前,必须要提前做的是,打开"控制面板"-"管理工具"下的"本地安全策略",依次选择"账户策略"-"密码策略",启用"用可还原的加密来储存密码"策略项。
否则以后认证的时候将会出现以下错误提示。
接下来我们添加用户账户"0801010047",设置密码"123"。
鼠标右键单击"用户",选择"新用户",输入用户名和密码,创建用户。
将用户"0801010047"加入到"802.1x"用户组中。
鼠标右键单击用户"0801010047",选择"属性"。
在弹出的对话框中选择"隶属于",然后将其加入"802.1x"用户组中。
设置远程访问策略在RADIUS服务器的”Internet验证服务”窗口中,需要为Cisco2950交换机以及通过该交换机进行认证的用户设置远程访问策略。
具体方法如下:新建远程访问策略,鼠标右键单击"远程访问策略",选择"新建远程访问策略"选择配置方式,这里我们使用向导模式选择访问方法,以太网选择授权方式,将之前添加的"802.1x"用户组加入许可列表选择身份验证方法,"MD5-质询" 确认设置信息只保留新建的访问策略,删掉其他的创建RADIUS客户端需要说明的是,这里要创建的RADIUS客户端,是指类似于图3中的交换机设备,在实际应用中也可以是VPN服务器、无线AP等,而不是用户端的计算机。
RADIUS服务器只会接受由RADIUS客户端设备发过来的请求,为此需要在RADIUS服务器上来指定RADIUS客户端。
以图3的网络拓扑为例,具体步骤如下:新建RADIUS客户端。
鼠标右键单击"RADIUS客户端",选择"新建RADIUS客户端"设置RADIUS客户端的名称和IP地址。
客户端IP地址即交换机的管理IP地址,我们这里是172.17.2.250,等会说明如何配置。
设置共享密钥和认证方式。
认证方式选择"RADIUS Standard",密钥请记好,等会配置交换机的时候这个密钥要相同。
显示已创建的RADIUS客户端在交换机上启用认证机制现在对支持IEEE 802.1x认证协议的交换机进行配置,使它能够接授用户端的认证请求,并将请求转发给RADIUS服务器进行认证,最后将认证结果返回给用户端。
在拓扑图中:RADIUS认证服务器的IP地址为172.17.2.254/24交换机的管理IP地址为172.16.2.250/24需要认证的计算机接在交换机的FastEthernet0/5端口上因此我们实验时只对FastEthernet0/5端口进行认证,其他端口可不进行设置。
具体操作如下:使用Console口登陆交换机,设置交换机的管理IP地址Cisco2950>enableCisco2950#configure terminalCisco2950(config)#interface vlan 1 (配置二层交换机管理接口IP地址)Cisco2950(config-if)#ip address 172.17.2.250 255.255.255.0Cisco2950(config-if)#no shutdownCisco2950(config-if)#endCisco2950#wr在交换机上启用AAA认证Cisco2950#configure terminalCisco2950(config)#aaa new-model (启用AAA认证)Cisco2950(config)#aaa authentication dot1x default group radius (启用dot1x认证)Cisco2950(config)#dot1x system-auth-control (启用全局dot1x认证)指定RADIUS服务器的IP地址和交换机与RADIUS服务器之间的共享密钥Cisco2950(config)#radius-server host 172.17.2.254 key (设置验证服务器IP及密钥) Cisco2950(config)#radius-server retransmit 3 (设置与RADIUS服务器尝试连接次数为3次)配置交换机的认证端口,可以使用interface range命令批量配置端口,这里我们只对FastEthernet0/5启用IEEE 802.1x认证Cisco2950(config)#interface fastEthernet 0/5Cisco2950(config-if)#switchport mode access (设置端口模式为access)Cisco2950(config-if)#dot1x port-control auto (设置802.1x认证模式为自动)Cisco2950(config-if)#dot1x timeout quiet-period 10 (设置认证失败重试时间为10秒)Cisco2950(config-if)#dot1x timeout reauth-period 30 (设置认证失败重连时间为30秒)Cisco2950(config-if)#dot1x reauthentication (启用802.1x认证)Cisco2950(config-if)#spanning-tree portfast (开启端口portfast特性)Cisco2950(config-if)#endCisco2950#wr测试802.1x认证接入1、将要进行认证接入的计算机接入交换机的FastEthernet0/5端口,设置IP地址为172.17.2.5(随便设置,只要不跟认证服务器IP及交换机管理IP冲突即可)2、在"本地连接"的"验证"标签栏中启用IEEE 802.1x验证,EAP类型设置为"MD5-质询",其余选项可不选。