最近实施了一个楼宇室内无线覆盖项目,在无线用户认证上客户希望采用他们已经配置好的AD帐号,最终决定采用AD+IAS的802.1x认证方案,现在把配置过程记录下来。
整个楼宇一共使用了50多个瘦AP,基本实现了全面覆盖,这些AP由无线控制器统一管理。
其他方面的配置这里不多说,主要介绍认证方面的配置。
一、认证架构
1、 当无线客户端在AP的覆盖区域内,就会发现以SSID标识出来的无线信号,从中可以看到SSID名称和加密类型,以便用户判断选择。
2、 无线AP配置成只允许经过802.1X认证过的用户登录,当用户尝试连接时,AP会自动设置一条限制通道,只让用户和RADIUS服务器通 信,RADIUS服务器只接受信任的RADIUS客户端(这里可以理解为AP或者无线控制器),用户端会尝试使用802.1X,通过那条限制通道和 RADIUS服务器进行认证。
3、 RADIUS收到认证请求之后,首先会在AD中检查用户密码信息,如果通过密码确认,RADIUS会收集一些信息,来确认该用户是否有权限接入到无线网络 中,包括用户组信息和访问策略的定义等来决定拒绝还是允许,RADIUS把这个决定传给radius客户端(在这里可以理解为AP或者无线控制器),如果 是拒绝,那客户端将无法接入到无线网,如果允许,RADIUS还会把无线客户端的KEY传给RADIUS客户端,客户端和AP会使用这个KEY加密并解密 他们之间的无线流量。
4、 经过认证之后,AP会放开对该客户端的限制,让客户端能够自由访问网络上的资源,包括DHCP,获取权限之后客户端会向网络上广播他的DHCP请求,DHCP服务器会分配给他一个IP地址,该客户端即可正常通信。
二、安装活动目录、建立帐号
这一步就不多说了。
三、安装IAS
1、添加删除程序―》添加删除windows组件
2、选择“网络服务”,点击“详细信息”
3、选择“Internet验证服务”,点击“确定”
4、点击“下一步”,windows会自动安装IAS。
5、安装好之后,在“管理工具”里面就会看到“Internet验证服务”,打开之后,在AD中注册服务器,使IAS能够读取AD里面的帐号。
四、为IAS安装证书
由于802.1X和WPA都需要证书来用于IAS服务器认证及加密密钥的产生,所以必须要给IAS服务器安装一个证书,否则,在配置IAS的时 候会出现无法找到证书的错误。获取证书可以向商业CA申请,但需要不少花费,还可以自己假设CA服务器,这需要对PKI等只是有足够的认识,还有一个简便 的方法是,安装“远程管理(HTML)”后,系统会自动安装一个有效期为一年的证书。
五、配置IAS
安装好证书之后就可以配置IAS了
1、 添加RADIUS客户端
在这里,如果使用的是一般的胖AP,RADIUS客户端就是AP,如果使用的是瘦AP,RADIUS客户端就是无线控制器,我这里是表示无线控制器。
打开“Internet验证服务器”,右键“RADIUS客户端”,选择“新建RADIUS客户端”
输入名称和radius客户端的IP地址
设置共享机密,这个共享机密还要在RADIUS客户端那儿输入,一定要记住。点击完成就添加好了。
2、 添加远程访问策略
右键单击“远程访问策略”,选择“新建远程访问策略”
输入策略名称
选择“无线”
添加需要有无线访问权限的用户组
身份验证方法选择“受保护的EAP”,点击配置
选择上“启用快速重连接”,点击确定。
完成,如果在配置验证方法那一步出现错误,就是因为没有为服务器安装证书。
3、 设置远程接入权限
一个用户能否登录成功,除了取决于前面设置的远程访问策略之外,还受用户的远程接入权限设置。
默认情况下,远程访问权限是拒绝的,需要管理员手动调整,如果用户过多,就可以采用下面方法。
在“Internet验证服务”控制台―》远程访问策略中找到刚才创建好的策略,查看属性,点击“编辑配置文件”
选择“高级”选项卡,点击“添加”
选择“忽略用户的拨入属性”,点击“添加”
选择为“真”,默认是“假”
添加好之后
经过以上配置之后,即可忽略用户属性里面的拨入权限设置。
六、配置RADIUS客户端
我这里的RADIUS客户端是无线控制器,验证方法选择802.1X EAP,加密方法选择WPA/WPA-TKIP,点击802.1X的config,WPA/WPA-TKIP的config在这里无需配置。
在802.1X认证配置项里面填写好IAS服务器的IP地址和共享机密
常见的胖AP配置也大同小异,这里以D-Link的一款无线AP为例,安全和加密方式选择WPA-TKIP,填写IAS服务器IP和共享机密。
七、无线客户端设置
经过以上设置之后,在笔记本的无线网络连接里面会看到一个经过WPA加密的SSID,点击连接时,会出现无法找到证书的错误,这是因为windowsXP的默认设置不符合要求。
打开无线网络连接的属性―》无线网络配置,选择正确的SSID,点击属性
网络验证选择WPA,数据加密TKIP
点击“验证”选项卡,选择EAP类型为“受保护的EAP(PEAP),点击属性
勾掉“验证服务器证书“选项,选择”安全密码(EAP-MSCHAP v2),点击配置
勾掉“自动使用windows登录名和密码”
完成以上配置之后,就可以正常连接到IAS服务器,提示输入用户名密码
连接成功
如果客户端是域成员,可以通过组策略完成以上客户端的配置。
非域成员需要单独调整一下,另外,非域成员用户密码如何修改也需要在服务器上配置,这个问题接下来再补充。