1、如何 Windows2003 Radius 服务器搭建1 目的为测试提供指导,加快测试效率,并为 WLAN 产品积累相应的测试案例。2 范围1)适用于 802.1x Radius 测试。4 术语和定义AP Access Point,接入点AC Access Controller,接入控制器WLAN Wireless Local Access Network,无线局域网VLAN Virtual Local Area Network,虚拟局域网5 windows2003 Radius 服务器安装步骤5.1 IIS 安装在【控制面板-添加或删除程序-添加/删除 Windows 组件-应用程序服务器】
2、中勾选“ASP.NET” , “Internet 信息服务(IIS) ”, “启用网络 COM+访问” 。点击 ,插入Windows2003 安装盘,点击,完成 IIS 安装。图 5-1 IIS 安装选项5.2 IAS(Internet 验证服务) 安装在【控制面板-添加或删除程序-添加/删除 Windows 组件-网络服务】中勾选“Internet 验证服务 ”, “域名系统 (DNS)”。点击 ,插入 Windows2003 安装盘,点击,完成 IAS 安装。图 5-2 IAS 安装选项5.3 Active Directory 安装1、在运行栏输入“dcpromo ”,进入 AD 安装向导
3、。图 5-3 输入运行命令2、在安装向导页面点击。图 5-4 开始安装向导3、点击 ,继续安装。图 5-5 操作系统兼容性信息4、选择 ,点击。图 5-6 域控制类型5、选择 ,点击。图 5-7 创建新域6、输入新的域名,点击。图 5-8 新域名7、点击 ,继续安装。图 5-9 NetBIOS 域名8、按默认路径,点击。图 5-10 数据库和日志文件保存路径9、按默认路径,点击。图 5-11 共享的系统卷10、选择“我将在以后通过手动配置 DNS 来更正这个问题” ,点击图 5-12 DNS 注册诊断11、选择“只与 Windows2000 或 Windows Server 2003 操作系统
4、兼容的权限” ,点击图 5-13 默认权限12、输入的密码可以和操作系统输入密码一致,如本例输入:zaq1XSW2(123456) ,点击。图 5-14 目录服务还原模式的管理员密码13、点击 ,等待安装。图 5-15 摘要信息14、点击 ,完成安装向导。图 5-16 完成向导安装15、按操作系统提示,点击,重启操作系统,完成 AD 安装。图 5-16 重启操作系统5.4 密码安全策略1)在【管理工具-域安全策略】的【帐号策略-密码策略】中,按以下要求修改密码安全策略。图 5-17 密码策略修改5.5 创建用户组和用户1、创建用户组1)右键点击【管理工具- Active Directory 用
5、户和计算机】的【-Users】的【新建-组】 ,创建一个用户组。图 5-18 新建组2)输入组名信息。图 5-19 组名信息2、创建用户1)右键点击【管理工具- Active Directory 用户和计算机】的【-Users】的【新建-用户】 ,创建一个用户。图 5-20 新建用户2)输入用户名信息,点击图 5-21 用户信息3)输入用户密码(123456)和勾选“用户不能更改密码” , “密码永不过期” 。图 5-22 用户密码4)点击 ,完成用户创建。图 5-23 完成用户创建5)修改用户远程访问权限选择新建用户 root,点击右键选择属性,在拨入页面,勾选“允许访问”图 5-24 远程
6、访问权限设置3、用户加入组1)选择新建用户组 802.1x,点击右键选择【属性】 ,选择【成员】页面,点击,在【输入对象名称来选择】的栏中,输入 root,点击,点击。图 5-25 添加用户到组2)点击,完成用户加入 802.1x 组。图 5-26 组成员信息5.6 安装证书1)选择证书服务图 5-27 选择证书服务2)点击,再点击图 5-28 CA 类型3)输入 root,点击图 5-29 CA 别信息4)按默认,点击图 5-30 证书数据库设置5)提示需要停止 Internet 信息服务,点击 。图 5-31 安装提示6)提示启用 Active Server Page,点击。图 5-32
7、安装提示7)点击,结束安装, 图 5-33 完成组件安装8)重启操作系统,重新启动后,在 C 盘目录下,能看到证书。图 5-34 证书显示5.7 CA 的设置5.7.1 IAS 服务器证书模板的创建1)在【管理工具-证书颁发机构】 。图 5-35 进入证书模板管理2)复制模板图 5-36 复制模板3)修改新模板名称,勾选“在 Active Directory 中颁发证书”和“如果 Active Directory中有一个重复证书,不要自动重新注册”图 5-37 模板常规属性4)在“扩展”选项卡,选择【颁发策略】 ,点击。 图 5-38 模板扩展编辑图 5-39 添加颁发策略5)选择 ,点击,在
8、返回的页面也点击 。图 5-40 选择策略6)选择【应用程序策略】 ,点击,删除“客户端验证” 。图 5-41 删除应用程序策略图 5-42 使用者名称设置7)在“处理请求”选项卡上,单击。图 5-43 处理请求8)确保选择“请求必须是以下的一个 CSP”,并仅选择“ Microsoft RSA SChannel Cryptographic Provider”。图 5-44 CSP 选择9)在“安全”选项卡上,给予“RAS and IAS Servers”组“读取” , “注册” , “自动注册”权限 ;点击 完成设置。图 5-45 安全设置5.7.2 证书模板的颁发设置新建颁发证书模板图 5
9、-46 新建证书显示证书模板图 5-47 IAS 服务器证书5.8 Radius 服务器配置1) 在服务器(Windows 2003)操作系统的管理工具,双击 ,在RADIUS 客户端点击右键图 5-48 新建客户端2) 输入名称和 AC 服务器的 IP 地址。图 5-49 输入名称和地址3) 输入共享的机密:123456 和确认共享机密 :123456,点击返回。图 5-50 输入密码4) 在远程访问策略点击右键,图 5-51 新建远程访问策略5) 弹出新建远程访问策略向导图 5-52 开启向导6) 输入策略名图 5-53 输入策略名7) 选择以太网图 5-54 选择访问方式8) 选择组,点
10、击图 5-55 选择组在【输入对象名称来选择】中输入 802.1x,点击,点击图 5-56 添加访问用户组9) 选择受保护的 EAP(PEAP),点击下一步完成操作。图 5-57 选择身份验证方法10) 完成新建远程访问策略向导操作图 5-58 完成新建远程访问策略向导11) 选中 root,点击右键,在打开的窗口中,选择“NAS-Port-Type 匹配“Ethernet”AND”,点击,图 5-59 编辑 root 用户属性12) 在出现的窗口选择,点击,。图 5-60 添加无线模式13) 点击 ,在身份验证页面,选择如下配置,点击退出。图 5-61 编辑身份验证14) 在弹出的提示框,点击,确认返回。图 5-62 身份验证提示15)重新启动操作系统。
