使用PEAP实现802.1X

使用 EAP-TLS （智能卡与证书）实现 802.1X －－－－验证服务器和交换机相关配置

 

采用系统为 Windows2003 ，必须安装 AD,DNS,IAS,CA
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

下表列出了不同的认证方式需要用到的证书：

Authentication Type	Certificates on Wired client	Certificates on IAS Server
PEAP-MS-CHAP v2	Root CA certificates for issuers of    IAS server computer certificates	Computer certificates
EAP-TLS	Computer certificates User certificates Root CA certificates for issuers of    IAS server computer certificates	Computer certificates Root CA certificates for issuers of    wired client computer and user certificates
EAP-MD5 CHAP	None	None

 

开始配置 ......

该文档演示 PEAP 进行验证的方式：

1 、配置 CA
A 、使用共享文件夹会保留证书的副本方便后面导入证书的操作（该证书为 CA 的根证书 Root CA ）

B 、配置用户证书：证书颁发机构 - 》管理证书模板 - 》复制模板“用户”到一新建模板 LAN Access 。

LAN Access 的属性为：使用者名称 - 》不选择“电子邮件名” & “在使用者名称中部不包含电子邮件名”

安全：选择对应的用户具有自动注册的权限。

C 、新建要颁发的证书模板 - 》选择我们刚刚新建的 LAN Access
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
2 、配置 IAS
A 、先将 IAS 在 AD 注册
B 、设置 IAS 属性，端口必须和交换机上设置一致
C 、新建 RADIUS 客户端，客户端 IP 地址为交换机 IP 地址（ Authenticator ），共享的密码也和交换机上所设置密码一致
D 、新建远程访问策略，在用户或组访问我们采用用户访问方式进行测试，在 EAP 类型选择智能卡与证书
E 、设置策略属性，授予远程访问权限，编辑配置文件，选择客户端请求 IP 地址
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

3 、配置 AD
A 、组策略 - 》 Windows 设置 - 》帐户策略 - 》密码策略 - 》 启用可还原的加密来储存密码

B 、添加用户，该用户是分配给接入客户端的用户。在这里，我们以 admin 为例，用户密码和所接入计算机用户 admin 密码一致。
C 、修改用户属性，远程访问权限设置为允许访问。
D 、在客户端计算机上设置将计算机加入此域中。加入后可以在 Computers 上查看到。

E 、使用 MD5 进行认证的话，修改用户属性，远程访问权限设置为允许访问。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
4 、配置 AD 组策略属性
A 、在计算机配置－》 windows 设置－》安全设置配置公钥策略
新建自动证书申请类型为 “ 计算机 ”
B 、设置受信任的根证书颁发机构，导入我们最开始建立的证书（ Root CA ）。

C 、在用户配置－》 windows 设置－》安全设置－》配置公钥策略－》自动注册证书，选择“续订过期证书、更新未证书并删除吊销的证书” & “更新使用证书模板的证书”

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

5 、客户端配置

A 、本地连接 - 》属性 - 》验证 - 》启用此网络的 IEEE 802.1X 验证

B 、 EAP 类型：PEAP

C 、PEAP的属性 ― 在此计算机上使用证书 ， 使用简单证书选择 ， 验证服务器证书 ― 〉受信任的根证书颁发机构：选择 Root CA .

 

因为各个交换机上的配置配置命令可能不是一样的，我们仅将注意事项给大家说明一下：

A 交换机上指定Radius服务器的地址，既我们IAS服务器的地址；

B 正确配置于Radius的密钥；

C 配置Vlan name 以及Vlan 信息。

 

部分中文参考网站：

 

[url]http://www.www.lslnet.com/linux/salon_doc/How_to_Configure_PEAP_on_FreeRADIUSnew.pdf[/url]

 

[url]http://happy-net.cn/net/37116.htm[/url]

 

[url]http://www.winos.cn/forum/archiver/tid-4668.html[/url]

 

[url]http://www.microsoft.com/china/technet/webcasts/ondemand/episode.aspx?newsID=msft073106vxam[/url]

 

[url]http://www.microsoft.com/china/technet/security/guidance/secmod163.mspx[/url]

 

[url]http://support.intel.com/support/wireless/wlan/sb/cs-008413.htm[/url]

 

部分英文参考网站： See the following resources for further information:

・         Windows 2000 Service Pack 4 (SP4) at [url]http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/default.asp[/url]

・         Internet Authentication Service Web site at [url]http://www.microsoft.com/windowsserver2003/technologies/ias/default.mspx[/url]

・         Security Services Web site at [url]http://www.microsoft.com/windowsserver2003/technologies/security/default.mspx.[/url]

・         Windows XP Wireless Deployment Technology and Component Overview at [url]http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wificomp.mspx.[/url]

・         Troubleshooting Windows XP IEEE 802.11 Wireless Access at [url]http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wifitrbl.mspx.[/url]