802.1x认证测试指导书二_Radius认证20140405概要.docxVIP

PAGE \* MERGEFORMAT46 SANGFOR无线 802.1X认证指导书二 ——Radius认证 802.1X—Radius认证 802.1x认证的网络拓布结构如下图： 我们的认证客户端采用线PC自带无线认证客户端，无线接入点是用Wireless Access （Pointer）Controller，服务器安装windows Server 2003 sp2；所以完整的配置方案应该对这三者都进行相关配置，思路是首先配置RADIUS server 端，其次是配置无线接入点，最后配置无线客户端，这三者的配置先后顺序是无所谓的。（单纯的AD域控是不支持802.1X的方式认证的，需要配置为Radius服务器才支持802.1X认证。） 配置如下： 配置RADIUS ServerAccess PointerWireless ClientIP Address56DHCP自动获得Operate SystemWindows Server 2003Wireless ACCESS ControllerWindows 7和手机 配置RADIUS server步骤： 配置思路 配置RADIUS server 的前提是要在服务器上安装 Active Directory IIS管理器（internet信息服务管理器） IAS（internet验证服务）， 证书颁发机构 如果没有安装AD，在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”，然后按照提示安装就可以了； 如果没有安装IIS和，就在就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”的组件中双击“应用程序服务器”按提示完成安装； 如果没有安装IAS，就在就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”的组件中双击“网络服务”按提示完成安装； 如果没有安装证书颁发机构，就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装 注意:在AD和证书服务没有安装时，要先安装AD然后安装证书服务，如果此顺序翻了，证书服务中的企业根证书服务则不能选择安装；在这四个管理部件都安装的条件下，才可以配置windows2003为RADIUS服务器。 安装服务时需提示采用WIN2003_SP2的光盘安装，上图采用虚拟机光盘镜像文件方式操作。 修改默认域安全设置 进入“开始”—〉“管理工具”—〉“域安全策略”，进入默认域安全设置，展开“安全设置”—〉“账户策略”—〉“密码策略”，在右侧列出的策略中，右键点击“密码必须符合复杂性要求”选择“属性”，将这个策略设置成“已禁用”，并修改密码长度最小值，在完成此设置后，后面创建客户端密码时会省去一些设置密码的麻烦。 配置Active Directory用户和计算机 配置全局安全组和用户 在“开始”—〉“管理工具”中打开“Active Directory”，展开根域，在“USERS”中新建一个组”test1” 将新建的组归类到安全组，作用于全局，点击确定即完成新建组 新增用户 再在“USERS”中新建一个用户，这个用户的的姓名一定要记住，它是在无线客户端证书验证时要用的名字，tzm1/tzm1 点击下一步，输入密码，这个密码一定要记住，它是在无线客户端要用的密码，并设置为永不过期，单击下一步完成新创建用户 添加用户到安全组 将新建用户tzm1加入到新建的组test1中 选择组时，用“高级”—“立即查找”，选择你想加入的组，以后点击“确定”—“确定”即可 设置安全组隶属范围及管理权限 右键单击新建组test1，点击“属性”，开始配置新建的组（新建用户tzm1也在其中），点击“隶属于”选项卡，点击“添加”，在选择组中点击“高级”。 “立即查找”选择所有组（在保险情况下，最好全选），然后“确定”“确定”，“隶属于”设置完毕 点击“管理者”，和上面相似，选择被“tzm1”管理（该步骤非必须操作，按需选择）。 至此，AD这边的配置完成。 设置自动申请证书 下面是说明如何使用组策略管理单元，在默认组策略对象中创建自动申请证书；进入“开始”—〉“管理工具”—〉“Active Directory用户和计算机”，会显示在根域下的各个单元，右键单击根域（），点击“属性” 会打开根域属性的配置框，点击“组策略”选项卡，将“Default Domain Policy”选上，并点击“编辑”，就会进入“组策略编辑器”，展开“计算机配置”—〉“Windows设置”—〉“安全设置”—〉“公钥策略”—〉“自动申请证书”，点击右键，“新建”“自动证书申请”，下面会进入