搭建802.1X接入认证环境配置教程SOP重点.docVIP

搭建802.1X接入认证环境配置教程 Jean.h_wang(1006568) 2014-12-18 Revision History Rev Date Document update log PIC 1.0 2014/12/12 Build document. Jean.h_wang 目 录 1. 环境介绍 5 2. Radius服务器端的搭建和配置 6 2.1 EAP-PEAP认证服务器环境搭建 6 2.1.1 安装前准备 6 2.1.2 默认域安全设置 8 2.1.3 配置Active Directory 用户和计算机 9 2.1.4 设置自动申请证书 16 2.1.5 配置Internet验证服务（IAS） 19 2.1.5-1 配置Radius客户端 20 2.1.5-2 配置远程访问记录 21 2.1.5-3 配置远程访问策略 22 2.1.5-4 配置连接请求策略 28 2.1.6 配置Radius认证客户端（TP-Link路由器） 29 2.1.7 Mobile-PEAP验证 30 2.2 EAP-TLS认证服务器搭建 31 2.2.1 创建访问策略 31 2.2.2 编辑访问策略 34 2.2.3 创建访问用户 36 2.2.4 生成用户证书 37 2.2.5 导出CA证书和User证书 38 2.2.6 Mobile-TLS验证 39 2.3 EAP-TTLS认证服务器搭建 40 2.3.1 安装Odyssey server 40 2.3.2 配置Odyssey server 41 2.3.3 Mobile-TTLS验证 44  环境介绍 在真实环境下，802.1x认证的网络拓扑结构如下图： 为了测试用，搭建Radius服务器测试环境如下图，Radius服务器采用Windows 2003系统，Radius客户端采用TP-Link路由器： 2. Radius服务器端的搭建和配置 2.1 EAP-PEAP认证服务器环境搭建 2.1.1 安装前准备 A) 安装DNS服务（为安装活动目录做准备的，活动目录必须先安装DNS） [步骤]：开始→控制面板→添加或删除程序→添加/删除windows组件→进入网络服务→选中“域名系统（DNS）”。 B) 配置活动目录 [步骤]：（没有特别描述，默认单击“下一步”即可） 第一步：开始→运行→输入活动目录安装命令“dcpromo”，进入活动目录安装向导。 第二步：设置新的域名，如本例“”。 第三步：活动目录安装程序会检测系统是否已经安装DNS，若DNS已经安装，请选择第二项“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设置为这台计算机的首选DNS服务器”。否则，请先安装DNS服务。 第四步：默认单击“下一步”后，系统开始安装并配置活动目录，这段时间比较长，请耐心等待。活动目录安装完毕，根据提示，重新启动计算机。 C) 安装证书颁发机构 [步骤]： 开始→控制面板→添加或删除程序→添加/删除windows组件→选中“证书服务”→下一步开始安装，安装过程中，需要输入“CA的公用名称”，自定义即可。 注意：在活动目录和证书服务没有安装时，要先安装活动目录然后安装证书服务，如果此顺序反了，证书服务中的企业根证书服务则不能选择安装。 D) 安装Internet验证服务（IAS） [步骤]： 开始→控制面板→添加或删除程序→添加/删除windows组件→进入网络服务→选中“Internet验证服务”。 E) 安装Internet应用程序服务器 [步骤]： 开始→控制面板→添加或删除程序→添加/删除windows组件→选中“应用程序服务器”。 以上组件安装完毕，Radius服务器的配置工作正式开始。 2.1.2 默认域安全设置 目的：创建客户端密码时会省去一些设置密码的麻烦。 [步骤]： 第一步：开始→管理工具→域安全策略→进入默认域安全设置，展开安全设置→账户策略→密码策略。 第二步：在右侧列出的策略中，右键点击“密码必须符合复杂性要求”选择“属性”，将这个策略设置成“已禁用”。 2.1.3 配置Active Directory 用户和计算机 目的：设置认证用户。 [步骤]： 第一步：开始→管理工具→打开Active Directory 用户和计算机→展开根域→在“USERS”中新建一个组8021x。 第二步：将新建的组归类到安全组，作用于全局，单击“确定”完成新建组。 第三步：在“USERS”中新建一个用户gpd peap。 第四步：设置用户信息，用户登录名一定要记住，这是Radius服务器进行接入用户身份验证的根据。 第五步：设置用