补充资料-网络安全-第6章-使用Windows系统IAS服务搭建AAA服务器-V1.0.docVIP

使用Windows系统IAS服务搭建AAA服务器 ——实现802.1x认证 在课程中讲解了使用ACS软件搭建AAA服务器实现802.1x认证。那么，如果有些公司不想使用ACS软件搭建AAA服务器进行认证，有没有其他的方法来配置AAA服务器呢？下面将要讲解的是使用Windows Serve系统中提供的IAS服务来构建AAA服务器。 在一个使用Windows域管理的公司中，如果使用IAS搭建AAA服务器可以直接使用AD中的账户和组而不必另外重新配置组合账号。 在用户登陆的过程中将用户登陆的账号和密码发送到AAA服务器进行认证，如果登陆成功则认证也会成功，AAA服务器就会为主机授权（VLAN、IP等）；如果登录失败认证也会失败。这样在用户登陆的过程中就完成了认证过程。 使用IAS服务搭建AAA服务器的配置过程如下： 1、安装Windows相关服务 主要包括Windows域、IIS、CA、IAS，在安装时需要按照上述所排顺序进行安装。可以最后安装DHCP服务器，并配置地址池。 具体配置如下所示： 1安装域，域名为：；添加用户benet，密码test；新建组vlan 7；将benet加入vlan7；然后配置域策略。 2）将域策略中计算机配置→Windows设置→安全设置→账户策略→密码策略，启用用可还原的加密来储存密码 图6.1 配置域1 图6.2 配置域2 3）配置benet用户属性，在账户选项中选中使用可逆的加密保存密码。 配置benet用户，允许其进行拨入访问。 图6.3 配置用户1 图6.4 配置用户2 5）安装IIS和CA服务器， 6）安装IAS（Internet 验证服务） 图6.5 安装IAS 7）配置IAS服务 建立新的Radius客户端（即接入设备）：填入IP地址。 图6.6 新建RADIUS客户端1 图6.7 新建RADIUS客户端2 9）建立新的Radius客户端：选择使用的协议，此处选择RADIUS Standard，并配置共享密码 10建立新的访问策略 图6.8 新建RADIUS客户端3 图6.9 新建远程访问策略1 11）命名策略名为vlan 7 12）选择以太网 图6.10 新建远程访问策略2 图6.11 新建远程访问策略3 13）选择组并添加在域中创建的组vlan 7，表示组中的用户名和密码都可以通过认证。 选择策略的EAP类型，这里选择受保护的EAP（PEAP） 图6.12 新建远程访问策略4 图6.13 新建远程访问策略5 15）修改远程访问策略属性，右击策略选择属性 修改策略属性，点击编辑 图6.14 修改远程访问策略属性1 图6.15 修改远程访问策略属性2 17）选择允许客户端申请一个地址 18）在高级中配置，Tunnel Tunnel-Type、Tunnel-Medium-Type和Tunnel-Private-Group-ID。 图6.16 修改远程访问策略属性3 图6.17 修改远程访问策略属性4 19）在添加中分别，找到以上三个属性，并配置Tunnel Tunnel-Type选择VLAN；Tunnel-Medium-Type选择802；Tunnel-Private-Group-ID填入分配的VLAN值7。 配置完成的，远程访问策略属性 图6.18 修改远程访问策略属性5 图6.19 修改远程访问策略属性6 21）配置完成IAS后，在服务器上安装DHCP服务并配置 22登录域后在浏览器上键入http://服务器IP地址/certsrv进入证书WEB申请页面登录用户采用域管理用户账号.选择下载一个CA证书，证书链或CRL→下载CA证书→点击下载的证书安装，按下一步结束证书安装。 23）下载证书 24）安装证书 在网卡的连接属性中选择验证→为此网络启用?IEEE?802.1x?验证EAP?类型选为受保护的(PEAP)勾选当计算机信息可用时验证为计算机然后再点属性在EAP属性窗口中选择确认服务器认证同时在在受信任的目录授权认证单位窗口中选择对应的CA这里为test认证方法选成EAP-MSCHAP?v2”。再点配置按钮勾选选项即可。 802.1x认证 8 7 6 网络安全高级应用 使用Windows系统IAS服务搭建AAA服务器 6