RADIUS服务器搭建Word文档格式.docx

RADIUS服务器搭建Word文档格式.docx

《RADIUS服务器搭建Word文档格式.docx》由会员分享，可在线阅读，更多相关《RADIUS服务器搭建Word文档格式.docx（25页珍藏版）》请在冰豆网上搜索。

AccessPointer

WirelessClient

IPAddress

192.168.1.188

192.168.1.201

DHCP自动获得

OperateSystem

WindowsServer2003

CISCOWirelesscontroller

WindowsXP

配置RADIUSserver步骤：

配置RADIUSserver的前提是要在服务器上安装ActiveDirectory,IAS（internet验证服务），IIS管理器（internet信息服务管理器），和证书颁发机构；

如果没有安装AD，在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”，然后按照提示安装就可以了；

注：

如果没有安装证书颁发机构，就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”的组件中选择“证书服务”并按提示安装；

如果没有安装IAS和IIS，就在就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”的组件中选择“网络服务”按提示完成安装；

在AD和证书服务没有安装时，要先安装AD然后安装证书服务，如果此顺序反了，证书服务中的企业根证书服务则不能选择安装；

在这四个管理部件都安装的条件下，可以配置RADIUS服务器了。

默认域安全设置

进入“开始”—〉“管理工具”—〉“域安全策略”，进入默认域安全设置，展开“安全设置”—〉“账户策略”—〉“密码策略”，在右侧列出的策略中，右键点击“密码必须符合复杂性要求”选择“属性”，将这个策略设置成“已禁用”，

在完成此设置后，后面创建客户端密码时会省去一些设置密码的麻烦。

配置ActiveDirectory用户和计算机

在“开始”—〉“管理工具”中打开“ActiveDirectory”，展开根域（根域的命名方式见帮助），在“USERS”中新建一个组

将新建的组归类到安全组，作用于全局，点击确定即完成新建组

再在“USERS”中新建一个用户，这个用户的的姓名一定要记住，它是在无线客户端证书验证时要用的名字

点击下一步，输入密码，这个密码一定要记住，它是在无线客户端要用的密码，单击下一步完成新创建用户。

将新建用户zgongchang加入到新建的组test1中

选择组时，用“高级”—“立即查找”，选择你想加入的组，以后点击“确定”—“确定”即可

右键单击新建组test1，点击“属性”，开始配置新建的组（新建用户zgongchang也在其中），点击“隶属于”选项卡，点击“添加”，在选择组中点击“高级”，

“立即查找”选择所有组（在保险情况下，最好全选），然后“确定”“确定”，“隶属于”设置完毕

点击“管理者”，和上面相似，选择被“zgongchang”管理。

至此，AD这边的配置完成。

设置自动申请证书

下面是说明如何使用组策略管理单元，在默认组策略对象中创建自动申请证书；

进入“开始”—〉“管理工具”—〉“ActiveDirectory用户和计算机”，会显示在根域下的各个单元，右键单击根域（），点击“属性”

会打开根域属性的配置框，点击“组策略”选项卡，将“DefaultDomainPolicy”选上，并点击“编辑”，就会进入“组策略编辑器”，展开“计算机配置”—〉“Windows设置”—〉“安全设置”—〉“公钥策略”—〉“自动申请证书”，点击右键，“新建”“自动证书申请”，下面会进入自动证书申请向导中，“证书模版”一般选用“计算机”，点击下一步即可完成自动申请证书。

自动申请证书以后，在“组策略编辑器”的“自动申请证书”右侧框中会有一个申请成功的“计算机”。

配置internet验证服务（IAS）

在“开始”—〉“管理工具”中打开“Internet验证服务”，逐项配置“RADIUS客户端”“远程访问记录”“远程访问策略”“连接请求处理”，图示如下

配置“RADIUS客户端”

在我们的配置环境中，就是配置无线接入点（192.168.1.201）

RADIUS客户端的IP地址一定是无线接入点的IP地址，这一点最重要

“客户端-供应商”一般选择RADIUSStandard，“共享的机密”中随便输入你记住的密码

至此，RADIUS客户端配置完成。

配置“远程访问记录”

左键单击“远程访问记录”，在日志记录方法中右键单击“本地文件”，单击“属性”，配置本地文件属性

“设置”选项卡里一般选择“身份验证请求”，如果还要求计帐，在选择“计帐请求”，

“日志文件”选项卡里格式选择“IAS”，可以每天创建日志文件，

在不用数据库存储日志记录的情况下就不用采用SQLServer的日志记录方法了，所以不配置它。

关于日志文件里的格式规则（记录RADIUS证书验证的各种信息），参看另一文档或帮助。

客户端证书验证失败的日志记录是一个安全通道事件，默认情况下，在IAS服务器上处于未启用状态。

将以下注册表项值从“1”（“REG_DWORD”类型，数据“0x00000001”）更改为“3”（“REG_DWORD”类型，数据“0x00000003”），可以启用其他安全通道事件：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogging

至此，“远程访问记录”配置完成。

配置“远程访问策略”

进入远程访问策略配置向导，策略名就用好记的字串就可以，如：

cisco2100，访问方法一定要用“无线”

给所建的组test1授予访问权限，下面设置身份验证方法:

点击“配置”设置PEAP的属性，我们使用EAP-MSCHAP（V2），点击“编辑”身份验证充实次数一般用2；

点击确定-确定

点击“完成”，至此远程访问策略设置完毕。

配置“连接请求策略”

至此，连接请求策略配置完成。

配置IIS（internet信息服务管理器）

点击“开始”—〉“管理工具”—〉“ｉｎｔｅｒｎｅｔ信息服务管理工具”，打开ＩＩＳ，展开“网站”，右键单击“默认网站”打开默网站属性

在属性选项卡中点击“目录安全性”，在“身份验证和访问控制”选框中点击“编辑”进入身份验证方法

不要选用“启用匿名访问”，在“用户访问须经过身份验证”对话框中选择“ｗｉｎｄｏｗｓ域服务器的摘要式身份验证”，在“领域”中“选择”服务器的根域，如：

ｚｈａｎｇｇｃ．ｃｏｍ，以后就点击“确定”“确定”；

此属性选项卡中的其它卡项都可以保持默认设置；

至此ＩＩＳ设置完毕。

查看记录

在设置完毕ＡＤ、ＩＡＳ和ＩＩＳ三个部件后，ＲＡＤＩＵＳ　Ｓｅｒｖｅｒ端的设置算是大功告成，如果想随时看客户端验证过程的记录信息，可以看远程访问记录，默认下，记录文档放在C:

\WINDOWS\system32\LogFiles中，其中保存有验证信息

还可以按以下方式打开：

右键单击桌面的“我的电脑”，选择“管理”，打开“计算机管理”，展开“系统工具”中的“事件查看器”，点击“系统”，可以查看客户端验证过程的信息。

由于篇幅原因，我把ＡＰ和Ｃｌｉｅｎｔ的配置过程放在另外一个文档，关于无线接入点和无线客户端的设置，见另外一个ｗｏｒｄ文档。