802.1X认证完整配置过程说明

802.1x认证的网络拓布结构如下图:

我们的认证客户端采用无线客户端,无线接入点是用cisco2100 wireless controller,服务器安装windows Server 2003 sp1;所以完整的配置方案应该对这三者都进行相关配置,思路是首先配置RADIUS server 端,其次是配置无线接入点,最后配置无线客户端,这三者的配置先后顺序是无所谓的。

配置如下:

配置

RADIUS Server

Access Pointer

Wireless Client

IP Address

192.168.1.188

192.168.1.201

DHCP自动获得

Operate System

Windows Server 2003

CISCO Wireless controller

Windows XP

 

配置RADIUS server步骤:

配置RADIUS server 的前提是要在服务器上安装Active Directory ,IASinternet验证服务),IIS管理器(internet信息服务管理器),和证书颁发机构;

如果没有安装AD,在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”,然后按照提示安装就可以了;

如果没有安装证书颁发机构,就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装;

如果没有安装IASIIS,就在就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”的组件中选择“网络服务”按提示完成安装;

AD和证书服务没有安装时,要先安装AD然后安装证书服务,如果此顺序翻了,证书服务中的企业根证书服务则不能选择安装;

在这四个管理部件都安装的条件下,可以配置RADIUS服务器了。

默认域安全设置

进入“开始”—〉“管理工具”—〉“域安全策略”,进入默认域安全设置,展开“安全设置”—〉“账户策略”—〉“密码策略”,在右侧列出的策略中,右键点击“密码必须符合复杂性要求”选择“属性”,将这个策略设置成“已禁用”,

在完成此设置后,后面创建客户端密码时会省去一些设置密码的麻烦。

配置Active Directory用户和计算机

在“开始”—〉“管理工具”中打开“Active Directory”,展开根域zhanggc.com(根域的命名方式见帮助),在“USERS”中新建一个组

将新建的组归类到安全组,作用于全局,点击确定即完成新建组

再在“USERS”中新建一个用户,这个用户的的姓名一定要记住,它是在无线客户端证书验证时要用的名字

点击下一步,输入密码,这个密码一定要记住,它是在无线客户端要用的密码,单击下一步完成新创建用户。

将新建用户zgongchang加入到新建的组test1

选择组时,用“高级”—“立即查找”,选择你想加入的组,以后点击“确定”—“确定”即可

 

右键单击新建组test1,点击“属性”,开始配置新建的组(新建用户zgongchang也在其中),点击“隶属于”选项卡,点击“添加”,在选择组中点击“高级”,

“立即查找”选择所有组(在保险情况下,最好全选),然后“确定”“确定”,“隶属于”设置完毕

点击“管理者”,和上面相似,选择被“zgongchang”管理。

至此,AD这边的配置完成。

设置自动申请证书

下面是说明如何使用组策略管理单元,在默认组策略对象中创建自动申请证书;

进入“开始”—〉“管理工具”—〉“Active Directory用户和计算机”,会显示在根域下的各个单元,右键单击根域(zhanggc.com),点击“属性”

会打开根域属性的配置框,点击“组策略”选项卡,将“Default Domain Policy”选上,并点击“编辑”,就会进入“组策略编辑器”,展开“计算机配置”—〉“Windows设置”—〉“安全设置”—〉“公钥策略”—〉“自动申请证书”,点击右键,“新建”“自动证书申请”,下面会进入自动证书申请向导中,“证书模版”一般选用“计算机”,点击下一步即可完成自动申请证书。

自动申请证书以后,在“组策略编辑器”的“自动申请证书”右侧框中会有一个申请成功的“计算机”。

配置internet验证服务(IAS

在“开始”—〉“管理工具”中打开“Internet验证服务”,逐项配置“RADIUS客户端”“远程访问记录”“远程访问策略”“连接请求处理”,图示如下

配置“RADIUS客户端”

在我们的配置环境中,就是配置无线接入点(192.168.1.201

RADIUS客户端的IP地址一定是无线接入点的IP地址,这一点最重要

“客户端-供应商”一般选择RADIUS Standard,“共享的机密”中随便输入你记住的密码

至此,RADIUS客户端配置完成。

配置“远程访问记录”

左键单击“远程访问记录”,在日志记录方法中右键单击“本地文件”,单击“属性”,配置本地文件属性

“设置”选项卡里一般选择“身份验证请求”,如果还要求计帐,在选择“计帐请求”,

“日志文件”选项卡里格式选择“IAS”,可以每天创建日志文件,

在不用数据库存储日志记录的情况下就不用采用SQL Server的日志记录方法了,所以不配置它。关于日志文件里的格式规则(记录RADIUS证书验证的各种信息),参看另一文档或帮助。

客户端证书验证失败的日志记录是一个安全通道事件,默认情况下,在 IAS 服务器上处于未启用状态。将以下注册表项值从“1”“REG_DWORD”类型,数据“0x00000001”)更改为“3”“REG_DWORD”类型,数据“0x00000003”),可以启用其他安全通道事件:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogging

至此,“远程访问记录”配置完成。

配置“远程访问策略”

进入远程访问策略配置向导,策略名就用好记的字串就可以,如:cisco2100,访问方法一定要用“无线”

给所建的组test1授予访问权限,下面设置身份验证方法,点击“配置”设置PEAP的属性,我们使用EAP-MSCHAP(V2),点击“编辑”身份验证充实次数一般用2;点击确定-确定

点击“完成”,至此远程访问策略设置完毕。

配置“连接请求策略”

至此,连接请求策略配置完成。

 

配置IISinternet信息服务管理器)

点击“开始”—〉“管理工具”—〉“internet信息服务管理工具”,打开IIS,展开“网站”,右键单击“默认网站”打开默网站属性

在属性选项卡中点击“目录安全性”,在“身份验证和访问控制”选框中点击“编辑”进入身份验证方法

不要选用“启用匿名访问”,在“用户访问须经过身份验证”对话框中选择“windows域服务器的摘要式身份验证”,在“领域”中“选择”服务器的根域,如:zhanggc.com,以后就点击“确定”“确定”;此属性选项卡中的其它卡项都可以保持默认设置;

至此IIS设置完毕。

 

查看记录

在设置完毕AD、IAS和IIS三个部件后,RADIUS Server端的设置算是大功告成,如果想随时看客户端验证过程的记录信息,可以看远程访问记录,默认下,记录文档放在C:\WINDOWS\system32\LogFiles中,其中保存有验证信息

还可以按以下方式打开:

右键单击桌面的“我的电脑”,选择“管理”,打开“计算机管理”,展开“系统工具”中的“事件查看器”,点击“系统”,可以查看客户端验证过程的信息。

由于篇幅原因,我把AP和Client的配置过程放在另外一个文档,关于无线接入点和无线客户端的设置,见另外一个word文档。