无线接入认证服务器,搭建基于AD和IAS的802.1X无线认证系统
最近實施了一個樓宇室內無線覆蓋項目,在無線用戶認證上客戶希望采用他們已經配置好的AD帳號,最終決定采用AD+IAS的802.1x認證方案,現在把配置過程記錄下來。
整個樓宇一共使用了50多個瘦AP,基本實現了全面覆蓋,這些AP由無線控制器統一管理。
其他方面的配置這里不多說,主要介紹認證方面的配置。
一、認證架構
1、 當無線客戶端在AP的覆蓋區域內,就會發現以SSID標識出來的無線信號,從中可以看到SSID名稱和加密類型,以便用戶判斷選擇。
2、
無線AP配置成只允許經過802.1X認證過的用戶登錄,當用戶嘗試連接時,AP會自動設置一條限制通道,只讓用戶和RADIUS服務器通
信,RADIUS服務器只接受信任的RADIUS客戶端(這里可以理解為AP或者無線控制器),用戶端會嘗試使用802.1X,通過那條限制通道和
RADIUS服務器進行認證。
3、
RADIUS收到認證請求之后,首先會在AD中檢查用戶密碼信息,如果通過密碼確認,RADIUS會收集一些信息,來確認該用戶是否有權限接入到無線網絡
中,包括用戶組信息和訪問策略的定義等來決定拒絕還是允許,RADIUS把這個決定傳給radius客戶端(在這里可以理解為AP或者無線控制器),如果
是拒絕,那客戶端將無法接入到無線網,如果允許,RADIUS還會把無線客戶端的KEY傳給RADIUS客戶端,客戶端和AP會使用這個KEY加密并解密
他們之間的無線流量。
4、 經過認證之后,AP會放開對該客戶端的限制,讓客戶端能夠自由訪問網絡上的資源,包括DHCP,獲取權限之后客戶端會向網絡上廣播他的DHCP請求,DHCP服務器會分配給他一個IP地址,該客戶端即可正常通信。
二、安裝活動目錄、建立帳號
這一步就不多說了。
三、安裝IAS
1、添加刪除程序—》添加刪除windows組件
2、選擇“網絡服務”,點擊“詳細信息”
3、選擇“Internet驗證服務”,點擊“確定”
4、點擊“下一步”,windows會自動安裝IAS。
5、安裝好之后,在“管理工具”里面就會看到“Internet驗證服務”,打開之后,在AD中注冊服務器,使IAS能夠讀取AD里面的帳號。
四、為IAS安裝證書
由于802.1X和WPA都需要證書來用于IAS服務器認證及加密密鑰的產生,所以必須要給IAS服務器安裝一個證書,否則,在配置IAS的時
候會出現無法找到證書的錯誤。獲取證書可以向商業CA申請,但需要不少花費,還可以自己假設CA服務器,這需要對PKI等只是有足夠的認識,還有一個簡便
的方法是,安裝“遠程管理(HTML)”后,系統會自動安裝一個有效期為一年的證書。
五、配置IAS
安裝好證書之后就可以配置IAS了
1、 添加RADIUS客戶端
在這里,如果使用的是一般的胖AP,RADIUS客戶端就是AP,如果使用的是瘦AP,RADIUS客戶端就是無線控制器,我這里是表示無線控制器。
打開“Internet驗證服務器”,右鍵“RADIUS客戶端”,選擇“新建RADIUS客戶端”
輸入名稱和radius客戶端的IP地址
設置共享機密,這個共享機密還要在RADIUS客戶端那兒輸入,一定要記住。點擊完成就添加好了。
2、 添加遠程訪問策略
右鍵單擊“遠程訪問策略”,選擇“新建遠程訪問策略”
輸入策略名稱
選擇“無線”
添加需要有無線訪問權限的用戶組
身份驗證方法選擇“受保護的EAP”,點擊配置
選擇上“啟用快速重連接”,點擊確定。
完成,如果在配置驗證方法那一步出現錯誤,就是因為沒有為服務器安裝證書。
3、 設置遠程接入權限
一個用戶能否登錄成功,除了取決于前面設置的遠程訪問策略之外,還受用戶的遠程接入權限設置。
默認情況下,遠程訪問權限是拒絕的,需要管理員手動調整,如果用戶過多,就可以采用下面方法。
在“Internet驗證服務”控制臺—》遠程訪問策略中找到剛才創建好的策略,查看屬性,點擊“編輯配置文件”
選擇“高級”選項卡,點擊“添加”
選擇“忽略用戶的撥入屬性”,點擊“添加”
選擇為“真”,默認是“假”
添加好之后
經過以上配置之后,即可忽略用戶屬性里面的撥入權限設置。
六、配置RADIUS客戶端
我這里的RADIUS客戶端是無線控制器,驗證方法選擇802.1X EAP,加密方法選擇WPA/WPA-TKIP,點擊802.1X的config,WPA/WPA-TKIP的config在這里無需配置。
在802.1X認證配置項里面填寫好IAS服務器的IP地址和共享機密
常見的胖AP配置也大同小異,這里以D-Link的一款無線AP為例,安全和加密方式選擇WPA-TKIP,填寫IAS服務器IP和共享機密。
七、無線客戶端設置
經過以上設置之后,在筆記本的無線網絡連接里面會看到一個經過WPA加密的SSID,點擊連接時,會出現無法找到證書的錯誤,這是因為windowsXP的默認設置不符合要求。
打開無線網絡連接的屬性—》無線網絡配置,選擇正確的SSID,點擊屬性
網絡驗證選擇WPA,數據加密TKIP
點擊“驗證”選項卡,選擇EAP類型為“受保護的EAP(PEAP),點擊屬性
勾掉“驗證服務器證書“選項,選擇”安全密碼(EAP-MSCHAP v2),點擊配置
勾掉“自動使用windows登錄名和密碼”
完成以上配置之后,就可以正常連接到IAS服務器,提示輸入用戶名密碼
連接成功
如果客戶端是域成員,可以通過組策略完成以上客戶端的配置。
非域成員需要單獨調整一下,另外,非域成員用戶密碼如何修改也需要在服務器上配置,這個問題接下來再補充。
總結
以上是生活随笔為你收集整理的无线接入认证服务器,搭建基于AD和IAS的802.1X无线认证系统的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 使用Vue+ElementUI实现的手机
- 下一篇: 安卓系统安全学习小结(二)