搭建基于AD和IAS的802.1X无线认证.docxVIP

搭建基于AD和IAS的802.1X无线认证IAS, 无线, 认证转贴请注明来源，该文章是在查阅了网上的众多资料之后写的，在此感谢那些前辈。本人Blog：最近实施了一个楼宇室内无线覆盖项目，在无线用户认证上客户希望采用他们已经配置好的AD帐号，最终决定采用AD+IAS的802.1x认证方案，现在把配置过程记录下来。整个楼宇一共使用了50多个瘦AP，基本实现了全面覆盖，这些AP由无线控制器统一管理。其他方面的配置这里不多说，主要介绍认证方面的配置。一、? ? ? ? 认证架构1、? ? ? ? 当无线客户端在AP的覆盖区域内，就会发现以SSID标识出来的无线信号，从中可以看到SSID名称和加密类型，以便用户判断选择。2、? ? ? ? 无线AP配置成只允许经过802.1X认证过的用户登录，当用户尝试连接时，AP会自动设置一条限制通道，只让用户和RADIUS服务器通信，RADIUS服务器只接受信任的RADIUS客户端（这里可以理解为AP或者无线控制器），用户端会尝试使用802.1X，通过那条限制通道和RADIUS服务器进行认证。3、? ? ? ? RADIUS收到认证请求之后，首先会在AD中检查用户密码信息，如果通过密码确认，RADIUS会收集一些信息，来确认该用户是否有权限接入到无线网络中，包括用户组信息和访问策略的定义等来决定拒绝还是允许，RADIUS把这个决定传给radius客户端（在这里可以理解为AP或者无线控制器），如果是拒绝，那客户端将无法接入到无线网，如果允许，RADIUS还会把无线客户端的KEY传给RADIUS客户端，客户端和AP会使用这个KEY加密并解密他们之间的无线流量。4、? ? ? ? 经过认证之后，AP会放开对该客户端的限制，让客户端能够自由访问网络上的资源，包括DHCP，获取权限之后客户端会向网络上广播他的DHCP请求，DHCP服务器会分配给他一个IP地址，该客户端即可正常通信。二、? ? ? ? 安装活动目录、建立帐号这一步就不多说了。三、? ? ? ? 安装IAS1、添加删除程序—》添加删除windows组件2、选择“网络服务”，点击“详细信息”3、选择“Internet验证服务”，点击“确定”4、点击“下一步”，windows会自动安装IAS。5、安装好之后，在“管理工具”里面就会看到“Internet验证服务”，打开之后，在AD中注册服务器，使IAS能够读取AD里面的帐号。四、? ? ? ? 为IAS安装证书由于802.1X和WPA都需要证书来用于IAS服务器认证及加密密钥的产生，所以必须要给IAS服务器安装一个证书，否则，在配置IAS的时候会出现无法找到证书的错误。获取证书可以向商业CA申请，但需要不少花费，还可以自己假设CA服务器，这需要对PKI等只是有足够的认识，还有一个简便的方法是，安装“远程管理（HTML）”后，系统会自动安装一个有效期为一年的证书。五、? ? ? ? 配置IAS安装好证书之后就可以配置IAS了1、? ? ? ? 添加RADIUS客户端在这里，如果使用的是一般的胖AP，RADIUS客户端就是AP，如果使用的是瘦AP，RADIUS客户端就是无线控制器，我这里是表示无线控制器。打开“Internet验证服务器”，右键“RADIUS客户端”，选择“新建RADIUS客户端”输入名称和radius客户端的IP地址设置共享机密，这个共享机密还要在RADIUS客户端那儿输入，一定要记住。点击完成就添加好了。2、? ? ? ? 添加远程访问策略右键单击“远程访问策略”，选择“新建远程访问策略”输入策略名称选择“无线”添加需要有无线访问权限的用户组身份验证方法选择“受保护的EAP”，点击配置选择上“启用快速重连接”，点击确定。完成，如果在配置验证方法那一步出现错误，就是因为没有为服务器安装证书。3、? ? ? ? 设置远程接入权限一个用户能否登录成功，除了取决于前面设置的远程访问策略之外，还受用户的远程接入权限设置。默认情况下，远程访问权限是拒绝的，需要管理员手动调整，如果用户过多，就可以采用下面方法。在“Internet验证服务”控制台—》远程访问策略中找到刚才创建好的策略，查看属性，点击“编辑配置文件”选择“高级”选项卡，点击“添加”选择“忽略用户的拨入属性”，点击“添加”选择为“真”，默认是“假”添加好之后经过以上配置之后，即可忽略用户属性里面的拨入权限设置。六、? ? ? ? 配置RADIUS客户端我这里的RADIUS客户端是无线控制器，验证方法选择802.1X EAP，加密方法选择WPA/WPA-TKIP，点击802.1X的config，WPA/WPA-TKIP的config在这里无需配置。在802.1X认证配置项里面填写好IAS服务器的IP地址和共享机密常见的胖AP配置也大同小