鉴于近期严峻的无线网络安全形势,本人决定把自己的AP由原来的WPA2 PSK AES变成WPA2 Dot1X AES。(很疯狂吧,哈哈,还嫌不够安全啊~)
既然要做Dot1X,就得有一台RADIUS服务器。上网寻觅了半天,找到了好多RADIUS服务器软件。
不过不是功能太简单,就是很难配置,或者干脆跟系统不兼容。(谁叫俺好事用着2008R2)
然后,网上找了一篇文章,说这个事的:
http://www.sharecenter.net/thread-152956-1-1.html
http://www.netexpert.cn/thread-15330-1-9.html
下面根据自己的实践经验补充几点:
1、用户组可以是本地的,IAS的功能跟域和AD无关;
2、IAS只支持PEAP,要求服务器有数字证书,否则是没法用的;
3、数字证书可以用IIS Toolkit中的SelfSSL来制作;
4、如果不想在客户端分发自认证证书到客户机的信任列表的话,可以在客户机上选择不验证服务器的证书;
5、IAS默认情况下,是不做多余设置的,客户机的IP地址仍然要由网络中的DHCP服务器指配;
6、Tomato中的无线安全选项设置为WPA2 Enterprise,下面的Shared Key,不是指无线网的Pre-Share key,而是指跟RADIUS服务器通信时用的Secret。
但是由于IAS不支持记账功能,还得再看看怎么给它加上一个外挂。。。额,外挂。。。