| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 开发工具 -> [技术分享]使用Windows Server 2003 R2构建的IAS(Internet验证服务)做RADIUS服务器,为无线AP提供802.1X认证和交换机端口802.1X认证 -> 正文阅读 |
|
[开发工具][技术分享]使用Windows Server 2003 R2构建的IAS(Internet验证服务)做RADIUS服务器,为无线AP提供802.1X认证和交换机端口802.1X认证 |
目录 使用优倍快(UBNT)Unifi UAP-AC-LR来验证效果: 需求简介:由于现有软路由的机能有限,塞不下一个Windows Server 2012 或者2016 来作为RADIUS服务器了,所以这次翻出以前的系统盘,打算在Windows Server 2003 R2 系统上安装RADIUS服务器,看看需要消耗多少计算资源。 准备环境:Windows Server 2003 R2, Enterprise Edition with SP2 开始安装:安装Windows Server 2003 R2开始使用最传统的方式安装Windows Server 2003 ? ?在安装好系统之后,首先要将这台Windows Server服务器提升为域控制器,才能做基于用户名密码的802.1X认证 安装域控制器:?开始-管理您的服务器-添加或删除角色-域控制器(Active Directory) 写一个域名,我这里使用eastskyy.org来举例,其他保持默认,在接下来的先决条件检查中,他会提示没有DNS服务器,这里然他自动安装并配置就好 ?安装过程中他会提示插入Windows Server 2003 R2的原版安装光盘,插入之后会自动继续 安装Internet信息服务?接下来安装Internet信息服务,一会儿做证书服务器用得上 安装证书服务?接下来安装证书服务,设置上保持默认就可以 安装Internet验证服务最后安装Internet验证服务,也就是后期在Windows Server 2012或2016上的网络策略服务器的前身。? 配置服务器:新建用户和加组:? 首先在管理工具-Active Directory用户和计算机中建立2个组织容器,以及对应的用户组和对应的测试用户。 这里是建立了2个组织容器,分别是企业内的用户ES-Users(VLAN112)和VIP用户ES-VVV-Users(VLAN113) ?将建立好的用户加入对应的组内。并在拨入选项卡中选择“允许访问”。 ?对于测试用户的建立和设置到此结束。 对证书服务器的配置:?管理工具-证书颁发机构,证书颁发机构(本地)-EASTSKYY-证书模板-右键-管理 先复制用户模板(用于之后的身份验证服务实验)用户-右键-复制模板 ?给模板改一个好记的名字 ?在“使用者名称”选项卡,取消“在使用者名称中包括电子邮件名”和“电子邮件名”复选框。 ?再复制计算机模板,计算机-右键-复制模板 ?在“使用者名称”选项卡-使用者名称格式-完全可分辨名称(用于之后计算机认证实验) ?关掉这个窗口,在空白处右击-新建-要颁发的证书模板 ?把刚才的2个模板都加进来。 ?开始-运行-mmc-文件-添加/删除管理单元-添加-证书-我的用户账户-完成 ??证书-计算机账户-完成-确定 ?选择刚才的个人用户模板“ES-用户” ? ?用户证书颁发完成 ?展开-证书(本地计算机)-个人-证书-右键-所有任务-申请新证书 ?选择“域控制器”(图上有误) ?计算机证书颁发完成。?对证书服务器的配置到此结束。 Internet验证服务的配置:?管理工具-Internet验证服务-在Internet验证服务(本地)-右键-在Active Directory中注册服务器。 ?RADIUS客户端-右键-新建RADIUS客户端,把所有需要RADIUS身份验证的设备都加进来 ?远程访问策略-右键-新建远程访问策略 ?首先来加无线的策略,写名称-无线-添加用户组-受保护的EAP(PEAP)-完成 在刚才的那条策略上右键-属性。确定上面的内容是“无线-其他”和“无线802.11”以及正确的用户组。然后点击“编辑配置文件” ?在“IP”选项卡选择“客户端可以请求一个IP地址” ?在“身份验证”选项卡把前4的复选框都勾选上,然后点击“EAP方法”按钮。 ?在弹出的对话框里点击“编辑” ?勾选“启用快速连接”,确定,确定 ?在“高级”选项卡点击“添加”,使框框里有如下5项
?然后使用相同步骤添加另一个无线网的用户组。 ?之后再添加有线802.1X认证的2条,依然是一条用户的,一条VIP用户的。注意在向导中选择“以太网”, ?注意有线最好在NAS-Port-Type里面添加“电缆”选项,可以避免一些问题,其他的设置和无线保持一致就行。 ?最后的结果就是这样,一个4条,分别是2条无线网的,2条有线网的。 实机测试RADIUS服务器:使用思科无线AP-CAP-3602i来验证效果:?进入胖AP的网页管理界面,SECURITY-Server Manager-Corporate Servers里面添加刚才配置好的RADIUS服务器。 ?并在下方把认证、授权、记账的方式都调整为刚才新配置的Server2003服务器 当手机上输入了正确的用户名密码之后,会弹出服务器证书的提示, ?在思科的AP上,也可以看到连接上了1台客户端,并且给他授权了VLAN ?当我们换成另一个用户组的账号,看到对应的也授权另一个VLAN。 ?使用思科无线AP-CAP-3602i来验证效果成功。 使用优倍快(UBNT)Unifi UAP-AC-LR来验证效果:?首先在Unifi的管理界面点击左下角的设置(小齿轮)图标-Profiles-RADIUS-Create New RADIUS Profile。 ?并在Wireless Networks里面选择创建WiFi,选择WPA2企业认证方式,并选择刚才创建的新RADIUS配置文件。 手机上测试结果和刚才思科AP的效果一致。 ?可以从RADIUS正常授权VLAN信息。 思科交换机WS-C2950-24验证效果:本次参演的还有一台Windows10的PC ?在思科交换机中,首先定义RADIUS服务器的地址,端口号以及秘钥
?并在全局下定义认证模板:
?在接口下配置:
之后就可以把电脑插在端口上测试了, ?别忘了在电脑的“服务”里面把Wired AutoConfig打开 ?一般情况下电脑会自动弹出输入用户名+密码的框框,如果没有自动弹出,也可以点击网卡-右键-属性-身份验证-高级设置-保存凭据,在这里面输入用户名密码 ?可以看到效果,输入了正确的用户名密码之后,会直接被分配给正确的VLAN。 思科交换机WS-C2950-24验证效果成功。 RADIUS日志的查询方法:另外在RADIUS服务器上也是可以看到认证日志的,具体位置在管理工具-日志查看器-系统,来源自IAS的日志就是认证的日志了。 题外话:?有一说一,Windows Server 2003的资源占用真的低。 本文在新浪博客和CSND[陈天靖的博客]首发,转载请注明出处,谢谢。 http://blog.sina.com.cn/s/blog_4d7f24990102z8jl.html https://mp.csdn.net/mp_blog/creation/editor/120229445 参考资料: Cisco 2950G 802.1X+AD+CA+IAS进行802.1x身份验证 通过Windows NPS,配置有线802.1x认证 补充:关于802.1X身份验证中CA证书的配置 |
|
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/23 5:02:55- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |