组建基于AD和IAS的802.1x无线认证网络

组建基于AD和IAS的802.1x无线认证网络 1、 认证原理 1. 网络拓扑图 2. 当无线PC 客户端在AP的覆盖区域内，就会发现以SSID 标识出来的无线信号，从中可以看到SSID 名称和加密类型，以便用户判断选择。 3. 无线AP 配置成只允许经过802.1X 认证过的客户端登录，当客户端尝试连接时，AP 会自动设置一条限制信道，只让客户端和IAS 服务器通信，IAS 服务器只接受信任的IAS 客户端（这里可以理解为AP或者无线路由器），客户端会尝试使用802.1X，通过那条限制通道和 IAS 服务器进行认证。 4. IAS 服务器收到认证请求之后，对客户端进行规则匹配，以确定客户端是否合法，过程如下： a. 判断客户端是否与建立的连接请求策略规则相匹配，匹配失败将断开客户端连接。 b. 匹配成功，将对请求的客户端再进行远程访问策略规则相匹配（这里以AD 群组用户作远程访问规则）， 在这个匹配过程中，IAS 服务器通过在AD 中检查该用户的账号、密码、群组以及访问策略的定义等信息，来决定该用户是否有权接入到无线网络中，IAS 服务再把这个决定传给IAS 客户端（在这里可以理解为AP 或者无线路由器），如果是拒绝，那客户端将无法接入到无线网络，如果允许，IAS 服务还会把无线客户端的KEY 传给IAS 客户端，客户端和AP 会使用这个KEY 加密并解密他们之间的无线流量。 5. 经过认证之后，AP 会放开对该客户端的限制，让客户端能够自由访问网络上的资源。如果域中存在DHCP 服务，那么无线客户端获取接入权限之后，会向网络上广播他的DHCP 请求，DHCP 服务器会分配给他一个IP 地址，该客户端即可正常通信。（在本例，域中没有开放DHCP服务，经过认证成功后由无线路由器分配IP、网关等信息） 2、 配置需求 Server操作系统：Windows 2003（AD活动 目录 工贸企业有限空间作业目录特种设备作业人员作业种类与目录特种设备作业人员目录1类医疗器械目录高值医用耗材参考目录 、IAS服务） Client操作系统：Windows XP（带有无线客户端） 无线设备：Tenda 307R 3、 认证服务器的配置 1、 安装AD 活动目录 (这一步就不多说了)，在AD 中建立相关的群组及账号，并设置相关属性。如： 群组：wuxian 说明：无线授权接入群组，在IAS 服务中进行远程访问策略规则匹配，以判断组成员账号是否有权接入无线网络。 用户：bb 说明：用户bb 隶属于wuxian群组。 设置用户bb的“远程访问权限（拔入或VPN）”为允许访问。 2、 安装IAS服务组件 3、 安装好之后，在系统管理工具里面就会找到Internet 验证服务，打开Internet 验证服务管理器，在AD中注册服务器，使IAS 能够读取AD 里面的账号信息。右键点击Internet 验证服务选择在Active Directory 中注册服务器。 4、 安装IIS 服务相关组件，为IAS 服务安装证 书 关于书的成语关于读书的排比句社区图书漂流公约怎么写关于读书的小报汉书pdf 由于802.1X 和WPA 都需要证书来用于IAS 服务器认证及加密密钥的产生，所以必须要给IAS 服务器安装一个证书，否则在配置IAS 的时候会出现无法找到证书的错误。获取证书可以向商业CA 申请，但需要不少花费，还可以自己架设CA 服务器，这里还有一个简便的方法是，安装“远程管理（HTML）”后，系统会自动安装一个有效期为一年的证书。 控制面板—>添加删除程序—>添加删除windows 组件 5、 打开Internet 验证服务管理器，配置IAS 服务，这里IAS 服务器的IP 地址是192.168.113.12， 添加RADIUS 客户端。右键点击RADIUS 客户端，选择新建RADIUS 客户端。 RADIUS客户端的名字可以随便设置，这里我们设置为ap，RADIUS客户端IP这里应该输入无线路由器的IP地址192.168.113.113（也就是无线路由器的管理IP）。设置共享的机密（这里设置为123456）,该密钥还要在Radius 客户端即无线路由器里输入。 6、 添加远程访问策略，利用AD组属性，授权的AD 群组wuxian，以建立无线PC 客户端的AD 账号验证匹配规则。右键点击远程访问策略，选择新建远程访问策略。 注意，如果在配置验证方法那一步出现错误，是因为没有为服务器安装证书。 策略向导完成后，需对该策略进一步配置。右键点击该策略wireless，选择属性，选择编辑配置文件，在身份验证页中，分别勾选MS-CHAP V2, MS-CHAP 加密身份验证，点击确定按钮即可。IAS 服务配置完成。 四、无线AP（无线路由器）的配置 这里无线路由器的IP地址是192.168.113.113，进入无线路由的管理界面选择“无线设置”(“安全设置”(“安全模式”，选择“WPA-企业”；WPA加密规则选择TKIP（为了获得安全的加密效果，可以选择AES）；密钥更新周期保持默认。 RADIUS服务器地址：IAS服务器的IP地址192.168.113.12 RADIUS服务端口：IAS服务器连接端口1812 共享密钥：这里输入的共享密钥必须与IAS服务器上对应的RADIUS客户端设置的共享密钥相同，也就是上文的第三部分第5步设置的共享机密123456。 经过以上设置无线AP设置完成。 五、无线客户端的设置 确定无线客户端搜索到该无线网络 选择更改高级设置(无线网络配置，在首选网络中选择该加密网络，单击属性选择关联，身份验证选择WPA，数据加密选择TKIP。 点击“验证”选项卡，选择EAP 类型为“受保护的EAP（PEAP）”，点击属性按扭，在弹出的受保护的EAP 属性窗体中，勾掉“验证服务器证书”选项， 选择验证方法“安全密码（EAP-MSCHAP v2）”并选中启用快速重新连接选项； 点击配置按钮，在弹出的EAP MSCHAPv2 属性窗体中，勾掉“自动使用windows 登录名和密码”,点击确定按钮次后，返回到无线网络连接属性窗体。 现在无线PC 客户端可以正常连接到IAS 服务器了，等待数秒后，在桌面右下角的无线连接图标上，出现提示“无线网络连接，单击此处选择连接到网络的证书或其它凭据tenda-1x”，请单击该提示。 在弹出的“输入凭据”窗体中，输入已授权接入无线网络的AD 用户信息，并点击确定按钮。 等待数秒后，认证通过，无线PC 客户端成功接入局域网并且可访问网络上的资源了。 6、 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf 全文简单介绍了组建AD 和 IAS 的802.1x 无线认证局域网的方法。在IAS 服务中，利用Windows-Groups 属性，负责验证无线PC 客户端的用户授权信息及密匙信息，当这个条件成立后，无线PC 客户端才能认证通过，成功接入局域网。为了进一步加强无线接入的安全性，用户还可以在“连接访问策略”规则中，利用其属性，负责验证无线PC 客户端的MAC 地址，及其无线客户端接入的时间权限设置等相关设置。由于篇幅有限读者可以自行操作！ 环境操作实例补充： 一、上文的组建环境是基于一台无线路由器，如果现实环境中有多台路由器，在无线信号范围内，使无线PC 客户端能应用同一个无线网络配置文件，通过IAS 服务认证接入网络。怎么设置呢？ 1、以上文介绍的无线路由器配置为准，分别为新增的N 台无线AP 或无线路由器作相同的配置，包括SSID 要相同，安全验证类型，Radius 服务器地址等等。 2、以上文介绍的IAS 服务配置为准，分别为新增的N 台无线AP 或无线控制器，添加对应的Radius客户端信息。 3、在无线信号范围内，无线PC 客户端使用现有的无线网络配置信息进行无线接入、认证。 二、上文设置环境中我们只授权了一台无线PC（用户bb），那么如何授权N 台无线PC 客户端接入无线局域网？ 1、分别为N 台无线PC 客户端的使用者建立AD 用户，设置用户的远程访问权限（拔入或VPN）为允许访问，并加入到wuxian群组中，授权用户接入。 2、 在IAS 服务上分别为N 台无线PC 客户端，建立对应的“连接请求策略”规则，授权连接。 3、 以上面介绍的无线PC 客户端设置为准，在N 台无线PC 客户端上，配置无线网络信息进行无线接入，认证通过并成功接入网络。