IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 开发工具 -> [技术分享]使用Windows Server 2003 R2构建的IAS(Internet验证服务)做RADIUS服务器,为无线AP提供802.1X认证和交换机端口802.1X认证 -> 正文阅读

[开发工具][技术分享]使用Windows Server 2003 R2构建的IAS(Internet验证服务)做RADIUS服务器,为无线AP提供802.1X认证和交换机端口802.1X认证

目录

需求简介:

准备环境:

开始安装:

安装Windows Server 2003 R2

安装域控制器:

安装Internet信息服务

安装证书服务

安装Internet验证服务

配置服务器:

新建用户和加组:

对证书服务

器的配置:

Internet验证服务的配置:

实机测试RADIUS服务器:

使用思科无线AP-CAP-3602i来验证效果:

使用优倍快(UBNT)Unifi UAP-AC-LR来验证效果:

思科交换机WS-C2950-24验证效果:

RADIUS日志的查询方法:

题外话:


需求简介:

由于现有软路由的机能有限,塞不下一个Windows Server 2012 或者2016 来作为RADIUS服务器了,所以这次翻出以前的系统盘,打算在Windows Server 2003 R2 系统上安装RADIUS服务器,看看需要消耗多少计算资源。

准备环境:

Windows Server 2003 R2, Enterprise Edition with SP2
测试设备:
思科交换机WS-C2950-24(用来测试有线802.1X)
思科无线AP-CAP-3602i(用来测试无线802.1X)
优倍快(UBNT)Unifi UAP-AC-LR(用来测试无线802.1X)

开始安装:

安装Windows Server 2003 R2

开始使用最传统的方式安装Windows Server 2003
?

?

?在安装好系统之后,首先要将这台Windows Server服务器提升为域控制器,才能做基于用户名密码的802.1X认证

安装域控制器:

?开始-管理您的服务器-添加或删除角色-域控制器(Active Directory)

写一个域名,我这里使用eastskyy.org来举例,其他保持默认,在接下来的先决条件检查中,他会提示没有DNS服务器,这里然他自动安装并配置就好
?

?安装过程中他会提示插入Windows Server 2003 R2的原版安装光盘,插入之后会自动继续

安装Internet信息服务

?接下来安装Internet信息服务,一会儿做证书服务器用得上

安装证书服务

?接下来安装证书服务,设置上保持默认就可以

安装Internet验证服务

最后安装Internet验证服务,也就是后期在Windows Server 2012或2016上的网络策略服务器的前身。?

配置服务器:

新建用户和加组:

?

首先在管理工具-Active Directory用户和计算机中建立2个组织容器,以及对应的用户组和对应的测试用户。

这里是建立了2个组织容器,分别是企业内的用户ES-Users(VLAN112)和VIP用户ES-VVV-Users(VLAN113)
?

?将建立好的用户加入对应的组内。并在拨入选项卡中选择“允许访问”。
?

?对于测试用户的建立和设置到此结束。
?

对证书服务

器的配置:

?管理工具-证书颁发机构,证书颁发机构(本地)-EASTSKYY-证书模板-右键-管理

先复制用户模板(用于之后的身份验证服务实验)用户-右键-复制模板
?

?给模板改一个好记的名字

?在“使用者名称”选项卡,取消“在使用者名称中包括电子邮件名”和“电子邮件名”复选框。

?再复制计算机模板,计算机-右键-复制模板

?在“使用者名称”选项卡-使用者名称格式-完全可分辨名称(用于之后计算机认证实验)

?关掉这个窗口,在空白处右击-新建-要颁发的证书模板

?把刚才的2个模板都加进来。

?开始-运行-mmc-文件-添加/删除管理单元-添加-证书-我的用户账户-完成

??证书-计算机账户-完成-确定

?选择刚才的个人用户模板“ES-用户”

?

?用户证书颁发完成

?展开-证书(本地计算机)-个人-证书-右键-所有任务-申请新证书

?选择“域控制器”(图上有误)

?计算机证书颁发完成。?对证书服务器的配置到此结束。

Internet验证服务的配置:

?管理工具-Internet验证服务-在Internet验证服务(本地)-右键-在Active Directory中注册服务器。

?RADIUS客户端-右键-新建RADIUS客户端,把所有需要RADIUS身份验证的设备都加进来

?远程访问策略-右键-新建远程访问策略

?首先来加无线的策略,写名称-无线-添加用户组-受保护的EAP(PEAP)-完成

在刚才的那条策略上右键-属性。确定上面的内容是“无线-其他”和“无线802.11”以及正确的用户组。然后点击“编辑配置文件”
?

?在“IP”选项卡选择“客户端可以请求一个IP地址”

?在“身份验证”选项卡把前4的复选框都勾选上,然后点击“EAP方法”按钮。

?在弹出的对话框里点击“编辑”

?勾选“启用快速连接”,确定,确定

?在“高级”选项卡点击“添加”,使框框里有如下5项

Framed-Protocol-->PPP
Service-Type-->Framed
Tunnel-Medium-Type-->802(includes all 802 media.....)
Tunnel-Pvt-Group-ID-->112(按照自己的需求填写)
Tunnel-Type-->Virtual LANs (VLAN)

?然后使用相同步骤添加另一个无线网的用户组。

?之后再添加有线802.1X认证的2条,依然是一条用户的,一条VIP用户的。注意在向导中选择“以太网”,

?注意有线最好在NAS-Port-Type里面添加“电缆”选项,可以避免一些问题,其他的设置和无线保持一致就行。

?最后的结果就是这样,一个4条,分别是2条无线网的,2条有线网的。

实机测试RADIUS服务器:

使用思科无线AP-CAP-3602i来验证效果:

?进入胖AP的网页管理界面,SECURITY-Server Manager-Corporate Servers里面添加刚才配置好的RADIUS服务器。

?并在下方把认证、授权、记账的方式都调整为刚才新配置的Server2003服务器

当手机上输入了正确的用户名密码之后,会弹出服务器证书的提示,
?

?在思科的AP上,也可以看到连接上了1台客户端,并且给他授权了VLAN

?当我们换成另一个用户组的账号,看到对应的也授权另一个VLAN。

?使用思科无线AP-CAP-3602i来验证效果成功。

使用优倍快(UBNT)Unifi UAP-AC-LR来验证效果:

?首先在Unifi的管理界面点击左下角的设置(小齿轮)图标-Profiles-RADIUS-Create New RADIUS Profile。

?并在Wireless Networks里面选择创建WiFi,选择WPA2企业认证方式,并选择刚才创建的新RADIUS配置文件。

手机上测试结果和刚才思科AP的效果一致。
?

?可以从RADIUS正常授权VLAN信息。
使用优倍快(UBNT)Unifi UAP-AC-LR来验证效果成功
?

思科交换机WS-C2950-24验证效果:

本次参演的还有一台Windows10的PC

?在思科交换机中,首先定义RADIUS服务器的地址,端口号以及秘钥

radius-server host 10.10.10.39 auth-port 1812 acct-port 1813 key ******
radius-server retransmit 3
radius-server vsa send accounting
radius-server vsa send authentication
!

?并在全局下定义认证模板:

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
!

?在接口下配置:

interface FastEthernet0/23
 switchport mode access
 dot1x port-control auto 
 dot1x host-mode multi-host 
 dot1x guest-vlan 119
 spanning-tree portfast
!

之后就可以把电脑插在端口上测试了,
?

?别忘了在电脑的“服务”里面把Wired AutoConfig打开

?一般情况下电脑会自动弹出输入用户名+密码的框框,如果没有自动弹出,也可以点击网卡-右键-属性-身份验证-高级设置-保存凭据,在这里面输入用户名密码

?可以看到效果,输入了正确的用户名密码之后,会直接被分配给正确的VLAN。

思科交换机WS-C2950-24验证效果成功。
?

RADIUS日志的查询方法:

另外在RADIUS服务器上也是可以看到认证日志的,具体位置在管理工具-日志查看器-系统,来源自IAS的日志就是认证的日志了。

题外话:

?有一说一,Windows Server 2003的资源占用真的低。

本文在新浪博客和CSND[陈天靖的博客]首发,转载请注明出处,谢谢。

http://blog.sina.com.cn/s/blog_4d7f24990102z8jl.html

https://mp.csdn.net/mp_blog/creation/editor/120229445

参考资料:
【逗老师带你学IT】Windows Server NPS服务构建基于AD域控的radius认证
https://blog.csdn.net/ytlzq0228/article/details/104758242

Cisco 2950G 802.1X+AD+CA+IAS进行802.1x身份验证
https://blog.csdn.net/weixin_34032779/article/details/92098499

通过Windows NPS,配置有线802.1x认证
https://blog.csdn.net/a371933136/article/details/118103430

补充:关于802.1X身份验证中CA证书的配置
https://blog.csdn.net/deflag/article/details/1830990

  开发工具 最新文章
Postman接口测试之Mock快速入门
ASCII码空格替换查表_最全ASCII码对照表0-2
如何使用 ssh 建立 socks 代理
Typora配合PicGo阿里云图床配置
SoapUI、Jmeter、Postman三种接口测试工具的
github用相对路径显示图片_GitHub 中 readm
Windows编译g2o及其g2o viewer
解决jupyter notebook无法连接/ jupyter连接
Git恢复到之前版本
VScode常用快捷键
上一篇文章      下一篇文章      查看所有文章
加:2021-09-11 19:01:24  更:2021-09-11 19:01:42 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/23 5:02:55-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计