1、802.1X 认证完整配置过程说明802.1x 认证的网络拓布结构如下图:我们的认证客户端采用无线客户端,无线接入点是用 cisco2100 wireless controller,服务器安装 windows Server 2003 sp1;所以完整的配置方案应该对这三者都进行相关配置,思路是首先配置 RADIUS server 端,其次是配置无线接入点,最后配置无线客户端,这三者的配置先后顺序是无所谓的。配置如下:配置 RADIUS Server Access Pointer Wireless ClientIP Address 192.168.1.188 192.168.1.201 DHCP
2、 自动获得Operate System Windows Server 2003CISCO Wireless controllerWindows XP配置 RADIUS server 步骤:配置 RADIUS server 的前提是要在服务器上安装 Active Directory ,IAS(internet 验证服务) ,IIS 管理器(internet 信息服务管理器) ,和证书颁发机构 ;如果没有安装 AD,在“开始” “运行”命令框中输入命令 “dcpromo”,然后按照提示安装就可以了;注:如果没有安装证书颁发机构,就在“控制面板” “添加删除程序” “添加/删除 windows 组件
3、” “windows 组件向导”的组件中选择“证书服务”并按提示安装;如果没有安装 IAS 和 IIS,就在就在“控制面板” “添加删除程序” “添加/删除 windows 组件” “windows 组件向导”的组件中选择“网络服务”按提示完成安装;在 AD 和证书服务没有安装时,要先安装 AD 然后安装证书服务,如果此顺序反了,证书服务中的企业根证书服务则不能选择安装;在这四个管理部件都安装的条件下,可以配置 RADIUS 服务器了。默认域安全设置进入“开始” “管理工具” “域安全策略” ,进入默认域安全设置,展开“安全设置” “账户策略” “密码策略” ,在右侧列出的策略中,右键点击“密
4、码必须符合复杂性要求”选择“属性” ,将这个策略设置成“已禁用” ,在完成此设置后,后面创建客户端密码时会省去一些设置密码的麻烦。配置 Active Directory 用户和计算机在“开始” “管理工具”中打开“Active Directory”,展开根域 (根域的命名方式见帮助) ,在“USERS”中新建一个组将新建的组归类到安全组,作用于全局,点击确定即完成新建组再在“USERS”中新建一个用户,这个用户的的姓名一定要记住,它是在无线客户端证书验证时要用的名字点击下一步,输入密码,这个密码一定要记住,它是在无线客户端要用的密码,单击下一步完成新创建用户。将新建用户 zgongchang
5、加入到新建的组 test1 中选择组时,用“高级”“立即查找” ,选择你想加入的组,以后点击“确定”“确定”即可右键单击新建组 test1,点击“属性” ,开始配置新建的组(新建用户 zgongchang 也在其中) ,点击“隶属于”选项卡,点击“添加” ,在选择组中点击“高级” ,“立即查找”选择所有组(在保险情况下,最好全选) ,然后“确定” “确定” , “隶属于”设置完毕点击“管理者” ,和上面相似,选择被“zgongchang”管理。至此,AD 这边的配置完成。设置自动申请证书下面是说明如何使用组策略管理单元,在默认组策略对象中创建自动申请证书;进入“开始” “管理工具” “Acti
6、ve Directory 用户和计算机” ,会显示在根域下的各个单元,右键单击根域( ) ,点击“属性”会打开根域属性的配置框,点击“组策略”选项卡,将“Default Domain Policy”选上,并点击“编辑” ,就会进入“组策略编辑器” ,展开“计算机配置” “Windows 设置”“安全设置” “公钥策略” “自动申请证书” ,点击右键, “新建” “自动证书申请” ,下面会进入自动证书申请向导中, “证书模版”一般选用“计算机” ,点击下一步即可完成自动申请证书。自动申请证书以后,在“组策略编辑器”的“自动申请证书”右侧框中会有一个申请成功的“计算机” 。配置 internet
7、验证服务(IAS)在“开始” “管理工具”中打开“Internet 验证服务” ,逐项配置“RADIUS 客户端”“远程访问记录” “远程访问策略” “连接请求处理” ,图示如下配置“RADIUS 客户端”在我们的配置环境中,就是配置无线接入点(192.168.1.201)RADIUS 客户端的 IP 地址一定是无线接入点的 IP 地址,这一点最重要“客户端-供应商”一般选择 RADIUS Standard, “共享的机密”中随便输入你记住的密码至此,RADIUS 客户端配置完成。配置“远程访问记录”左键单击“远程访问记录” ,在日志记录方法中右键单击“本地文件” ,单击“属性” ,配置本地文
8、件属性“设置”选项卡里一般选择“身份验证请求” ,如果还要求计帐,在选择“计帐请求” ,“日志文件”选项卡里格式选择“IAS” ,可以每天创建日志文件,在不用数据库存储日志记录的情况下就不用采用 SQL Server 的日志记录方法了,所以不配置它。关于日志文件里的格式规则(记录 RADIUS 证书验证的各种信息) ,参看另一文档或帮助。客户端证书验证失败的日志记录是一个安全通道事件,默认情况下,在 IAS 服务器上处于未启用状态。将以下注册表项值从“1”(“REG_DWORD” 类型,数据“0x00000001”)更改为“3”(“REG_DWORD”类型,数据“0x00000003”) ,可
9、以启用其他安全通道事件:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELEventLogging至此, “远程访问记录”配置完成。配置“远程访问策略”进入远程访问策略配置向导,策略名就用好记的字串就可以,如:cisco2100,访问方法一定要用“无线”给所建的组 test1 授予访问权限,下面设置身份验证方法:点击“配置”设置 PEAP 的属性,我们使用 EAP-MSCHAP(V2),点击“编辑”身份验证充实次数一般用 2;点击确定-确定点击“完成” ,至此远程访问策略设置完毕。配置“连接请求策略
10、”至此,连接请求策略配置完成。配置 IIS(internet 信息服务管理器)点击“开始” “管理工具” “信息服务管理工具” ,打开,展开“网站” ,右键单击“默认网站”打开默网站属性在属性选项卡中点击“目录安全性” ,在“身份验证和访问控制”选框中点击“编辑”进入身份验证方法不要选用“启用匿名访问” ,在“用户访问须经过身份验证”对话框中选择“域服务器的摘要式身份验证” ,在“领域”中“选择”服务器的根域,如:,以后就点击“确定” “确定” ;此属性选项卡中的其它卡项都可以保持默认设置;至此设置完毕。查看记录在设置完毕、和三个部件后, 端的设置算是大功告成,如果想随时看客户端验证过程的记录信息,可以看远程访问记录,默认下,记录文档放在 C:WINDOWSsystem32LogFiles 中,其中保存有验证信息还可以按以下方式打开:右键单击桌面的“我的电脑” ,选择“管理” ,打开“计算机管理” ,展开“系统工具”中的“事件查看器” ,点击“系统” ,可以查看客户端验证过程的信息。由于篇幅原因,我把和的配置过程放在另外一个文档,关于无线接入点和无线客户端的设置,见另外一个文档。
