基于 2003 的radius server认证.docVIP

基于windows 2003 server 下的radius 认证方案 一、测试环境： 1．服务器：安装Windows service 2003（自带IAS服务，需手动安装） 2．交换机支持802.1X协议（这里使用的是H3C-S3100） 3．认证客户端（windows XP自带或者安装其他802.1X认证客户端） 二、环境搭建 1.在windows 2003 server上创建用户和组 a.创建一个radius组，用于用户的dot1x验证。 b.分别创建2个user用户，我们这里是xiaxg108647和aicc。将xiaxg108647加入radius组，aicc不加入任何组，以做后期的测试。 c. 用户属性-拨入，将2个用户的远程访问权限都设置为“通过远程策略访问控制策略访问”。 2.在windows 2003 server上通过gpedit.msc来运行组策略。编辑：“计算机配置-windows设置-安全设置-账号策略-密码策略”。如下图，将该子项策略设置为“已启用”。 3.在windows 2003 server上安装RADIUS服务器 服务器IP地址为172.18.33.135下面安装IAS：单击-控制面板-添加或删除程序-windows 组件，如下图：选择Internet 验证服务，单击确定，完成IAS的安装。 4．开始菜单-所有程序-管理工具-运行Internet验证服务。 5.新建一个radius客户端，这里的客户端指的是交换机。我们这里使用的是一 台H3C S3100-52P的交换机。名称可以随便取，地址则填入交换机的IP地址，具体设置如下图，这里共享密钥我们设置为123456. 6.编辑远程访问策略，这是比较关键的地方之一，因为radius是通过该策略 来验证客户端的合法性。我们新建一条策略，名字可以随便取，我们这里采用dot.1X。 7.添加策略，选择“NAS-Port-Type”。 8.将“NAS-Port-Type”的值置为“Ethernet”即可。 9.继续添加一条策略，选择“windows group”。 10.将我们之前新建的radius组添加进来即可。 11.如下图，我们完成了策略匹配条件的添加，注意下面也要指定当匹配策略条件后，授予用户的远程访问权限。 12.点击下面的“编辑配置文件”-在身份验证-EAP方法中选择MD5质询-外面的加密方法选择CHAP，即可，就这样我们完成了IAS的所有设置工作，接下来要进行交换机的配置。 13. 展开“远程请求处理”-连接请求策略-新建连接请求-策略命名，如下图，这里我们命名为客户端。该策略用来记录拨入账号的信息。 14.如下图，添加策略：“NAS-Port-Type”。 15.属性值依然设置为“Ethernet”。 16．最后确定，完成该策略。 17.交换机的配置： h3csys 进入系统视图 [h3c]sysname h3c-s3100 设备重命名 [h3c-s3100]user vty 0 4 进入vty (telnet)视图 [h3c-s3100-ui-vty0-4]user privilege level 1 设置进入vty视图时的默认权限为1及 [h3c-s3100-ui-vty0-4]authentication password telnet登入时的认证方式为本地密码 [h3c-s3100-ui-vty0-4]set authenticationpassword cipher **** 设置telnet登入时的密码为****，并以密文形式显示 [h3c-s3100-ui-vty0-4]quit 还回系统视图 [h3c-s3100]super password level 3 cipher ***** 设置系统权限切换的密码为：****，并以密文的形式显示。 [h3c-s3100]int vlan 1 进入VLAN 1 接口 [h3c-s3100-vlan-interface1]ip add 172.18.33.253 255.255.255.0 设置交换机的管理IP， IAS上客户端设置的交换机IP地址与该地址一致。 [h3c-s3100-vlan-interface1]quit 返回系统视图 [h3c-s3100]ip route 0.0.0.0 0.0.0.0 172.18.33.1 preference 60 设置一条静态路由