windows2003搭建RADIUS服务器..doc

windows2003下RADIUS服务器配置 概述： 802.1x 的认证的实现原理拓扑结构图如下： 由拓扑图可以看到，配置会涉及到无线客户端、ap、ac、radius四种设备。 各设备网络配置如下： 1、用无线网卡模拟无线客户端，ip地址由ac配置dhcp自动获取 2、ap配置静态ip地址： 3、ac vlan1配置管理地址： 4、radius由虚拟机运行windows 2003配置，虚拟机ip设为： 一、配置RADIUS server： 配置RADIUS server 前需要在windows 2003服务器上安装Active Directory ，IAS（internet验证服务），IIS管理器（internet信息服务管理器），和证书颁发机构； a)、安装AD（Active Directory），在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”开始进行安装。 b)、安装证书颁发机构，在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装； c)、安装IAS和IIS，在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“网络服务”并按提示安装。 d)、注：没有安装AD和证书服务时，要先安装AD然后再安装证书服务，如果此顺序相反，证书服务中的企业根证书服务则不能选择安装； 在这四个管理部件都安装的条件下，就可以开始进行RADIUS服务器配置。 1、默认域安全、默认域控制器安全设置 为了在配置客户端密码时省去一些麻烦，进行下面的配置： a)、进入“开始”—〉“管理工具”—〉“域安全策略”，进入默认域安全设置，展开“安全设置”—〉“账户策略”—〉“密码策略”，在右侧列出的策略中作如下设置： 右键点击“密码必须符合复杂性要求”选择“属性”，将这个策略设置成“已禁用”。 右键点击“密码最小长度值”选择“属性”，将此策略设置成“0个字符”。 右键点击“用可还原的加密来储存密码”选择“属性”，将此策略设置为“已启用”。 b)、以同样的方式设置“域控制器安全策略”。 “开始”—〉“管理工具”—〉“域控制器安全策略”。 2、配置Active Directory用户和计算机 a)、在“开始”—〉“管理工具”中打开“Active Directory”，展开根域 在“USERS”中新建一个组。 b)、把新建的组归类到安全组，作用于全局，点击确定即完成新建组。此处建立的组名为test_feng。 c)、在“USERS”中新建一个用户，并记住其用户名、密码。它是无线客户端需要用到的密码。此处创建的测试账号用户名：feng，密码：feng。 d) 把新建用户feng加入到新建的组test_feng中。 “feng”右键选择“添加组”。 选择组时，用“高级”—“立即查找”，选择你要加入的组test_feng，点击“确定”—“确定”。或直接输入要加入的组test_feng。 添加成功后，弹出“添加成功”对话框。 右键单击新建组test_feng，点击“属性”，配置新建的组（新建用户feng也在其中），点击“隶属于”选项卡，点击“添加”，在选择组中点击“高级”， “立即查找”选择所有组（最好全选），然后“确定”“确定”，“隶属于”设置完毕。 点击“管理者”，和上面相似，选择被“feng”管理。 3、配置Internet验证服务（IAS） 在“开始”－〉“管理工具”中打开“Internet验证服务”，配置“RADIUS客户端”“远程访问记录”“远程访问策略”“连接请求处理”。 配置“RADIUS客户端” 在“Internet验证服务”中选择“RADIUS客户端”，右键选择“新建”－〉“RADIUS客户端”。 此处我们创建的名称为“aaa”，IP地址为“”（必须是ac的管理IP）。 点击“下一步”，输入与ac共享的密码“test”，然后完成。 配置“远程访问策略” 在“Internet验证服务”中选择“远程访问策略”，右键选择“新建”－〉“远程访问策略。 进入向导模式，此处配置策略名为“1”。 选择访问方法“以太网”。 给新建的组“test_feng”增加访问权限。 选择“组”－〉“添加”－〉“test_feng”－〉“确定”。 设置身份验证方法，选择“受保护的EAP（PEAP）”。 点击“完成”结束“新建远程访问策略向导”。 配置“连接请求策略” 在“Internet验证服务”中选择“连接请求处理”－〉“连接请求策略”，右键