RADIUS服务器搭建

802.1X认证完整配置过程说明

802.1x认证的网络拓布结构如下图：

我们的认证客户端采用无线客户端，无线接入点是用cisco2100 wireless controller，服务器安装windows Server 2003 sp1；所以完整的配置方案应该对这三者都进行相关配置，思路是首先配置RADIUS server 端，其次是配置无线接入点，最后配置无线客户端，这三者的配置先后顺序是无所谓的。 配置如下： 配置 RADIUS Server Access Pointer Wireless Client DHCP自动获得 IP Address 192.168.1.188 192.168.1.201 Operate System Windows Server 2003 CISCO Wireless controller Windows XP

配置RADIUS server步骤：

配置RADIUS server 的前提是要在服务器上安装Active Directory ,IAS（internet验证服务），IIS管理器（internet信息服务管理器），和证书颁发机构； 如果没有安装AD，在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”，然后按照提示安装就可以了；

如果没有安装证书颁发机构，就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装； 如果没有安装IAS和IIS，就在就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”的组件中选择“网络服务”按提示完成安装； 在AD和证书服务没有安装时，要先安装AD然后安装证书服务，如果此顺序翻了，证

书服务中的企业根证书服务则不能选择安装；

在这四个管理部件都安装的条件下，可以配置RADIUS服务器了。

默认域安全设置

进入“开始”—〉“管理工具”—〉“域安全策略”，进入默认域安全设置，展开“安全设置”—〉“账户策略”—〉“密码策略”，在右侧列出的策略中，右键点击“密码必须符合复杂性要求”选择“属性”，将这个策略设置成“已禁用”，

在完成此设置后，后面创建客户端密码时会省去一些设置密码的麻烦。

配置Active Directory用户和计算机

在“开始”—〉“管理工具”中打开“Active Directory”，展开根域zhanggc.com（根域的命名方式见帮助），在“USERS”中新建一个组

将新建的组归类到安全组，作用于全局，点击确定即完成新建组

再在“USERS”中新建一个用户，这个用户的的姓名一定要记住，它是在无线客户端证书验证时要用的名字

点击下一步，输入密码，这个密码一定要记住，它是在无线客户端要用的密码，单击下一步完成新创建用户。

将新建用户zgongchang加入到新建的组test1中

选择组时，用“高级”—“立即查找”，选择你想加入的组，以后点击“确定”—“确定”即可

右键单击新建组test1，点击“属性”，开始配置新建的组（新建用户zgongchang也在其中），点击“隶属于”选项卡，点击“添加”，在选择组中点击“高级”，

“立即查找”选择所有组（在保险情况下，最好全选），然后“确定”“确定”，“隶属于”设置完毕

点击“管理者”，和上面相似，选择被“zgongchang”管理。

至此，AD这边的配置完成。

设置自动申请证书

下面是说明如何使用组策略管理单元，在默认组策略对象中创建自动申请证书； 进入“开始”—〉“管理工具”—〉“Active Directory用户和计算机”，会显示在根域下的各个单元，右键单击根域（zhanggc.com），点击“属性”

会打开根域属性的配置框，点击“组策略”选项卡，将“Default Domain Policy”选上，并点击“编辑”，就会进入“组策略编辑器”，展开“计算机配置”—〉“Windows设置”—〉“安全设置”—〉“公钥策略”—〉“自动申请证书”，点击右键，“新建”“自动证书申请”，下面会进入自动证书申请向导中，“证书模版”一般选用“计算机”，点击下一步即可完成自动申请证书。

自动申请证书以后，在“组策略编辑器”的“自动申请证书”右侧框中会有一个申请成功的“计算机”。

配置internet验证服务（IAS）

在“开始”—〉“管理工具”中打开“Internet验证服务”，逐项配置“RADIUS客户端”“远程访问记录”“远程访问策略”“连接请求处理”，图示如下

配置“RADIUS客户端”

在我们的配置环境中，就是配置无线接入点（192.168.1.201）

RADIUS客户端的IP地址一定是无线接入点的IP地址，这一点最重要

“客户端-供应商”一般选择RADIUS Standard，“共享的机密”中随便输入你记住的密码

至此，RADIUS客户端配置完成。

配置“远程访问记录”

左键单击“远程访问记录”，在日志记录方法中右键单击“本地文件”，单击“属性”，配置本地文件属性

“设置”选项卡里一般选择“身份验证请求”，如果还要求计帐，在选择“计帐请求”，

“日志文件”选项卡里格式选择“IAS”，可以每天创建日志文件，

在不用数据库存储日志记录的情况下就不用采用SQL Server的日志记录方法了，所以不配置它。关于日志文件里的格式规则（记录RADIUS证书验证的各种信息），参看另一文档或帮助。

客户端证书验证失败的日志记录是一个安全通道事件，默认情况下，在 IAS 服务器上处于未启用状态。将以下注册表项值从“1”（“REG_DWORD”类型，数据“0x00000001”）更改为“3”（“REG_DWORD”类型，数据“0x00000003”），可以启用其他安全通道事件：HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\EventLogging 至此，“远程访问记录”配置完成。

配置“远程访问策略”

进入远程访问策略配置向导，策略名就用好记的字串就可以，如：cisco2100，访问方法一定要用“无线”

给所建的组test1授予访问权限，下面设置身份验证方法，点击“配置”设置PEAP的属性，我们使用EAP-MSCHAP(V2)，点击“编辑”身份验证充实次数一般用2；点击确定-确定

点击“完成”，至此远程访问策略设置完毕。

配置“连接请求策略”

至此，连接请求策略配置完成。

配置IIS（internet信息服务管理器）

点击“开始”—〉“管理工具”—〉“ｉｎｔｅｒｎｅｔ信息服务管理工具”，打开ＩＩＳ，展开“网站”，右键单击“默认网站”打开默网站属性

在属性选项卡中点击“目录安全性”，在“身份验证和访问控制”选框中点击“编辑”进入身份验证方法

不要选用“启用匿名访问”，在“用户访问须经过身份验证”对话框中选择“ｗｉｎｄｏｗｓ域服务器的摘要式身份验证”，在“领域”中“选择”服务器的根域，如：ｚｈａｎｇｇｃ．ｃｏｍ，以后就点击“确定”“确定”；此属性选项卡中的其它卡项都可以保持默认设置； 至此ＩＩＳ设置完毕。

查看记录

在设置完毕ＡＤ、ＩＡＳ和ＩＩＳ三个部件后，ＲＡＤＩＵＳ Ｓｅｒｖｅｒ端的设置算是大功告成，如果想随时看客户端验证过程的记录信息，可以看远程访问记录，默认下，记录文档放在C:\\WINDOWS\\system32\\LogFiles中，其中保存有验证信息

还可以按以下方式打开： 右键单击桌面的“我的电脑”，选择“管理”，打开“计算机管理”，展开“系统工具”中的“事件查看器”，点击“系统”，可以查看客户端验证过程的信息。

由于篇幅原因，我把ＡＰ和Ｃｌｉｅｎｔ的配置过程放在另外一个文档，关于无线接入点和无线客户端的设置，见另外一个ｗｏｒｄ文档。

本文来源：https://www.bwwdw.com/article/741w.html