WAC 802.1x细节小结

用户名密码认证

证书认证：不需要输帐号密码

WAC自身：已申请公网证书。不需要自动配置工具了。

   如果外接的话，还是需要自动配置的。

WAC自身为radius：

单向认证（输用户名密码）

    验证服务器证书VS或者不验证。

    手工配置网络（自动下载根证书导入）

    手工下载根证书导入

    自动配置：

        如果启用证书自动注册（写模版），则会为每个用户自动颁发证书。

双向认证：（不用输密码）

    手工配置

        手工导入CA证书和个人证书

    自动配置

        安装根证书

        安装个人证书

二、外接radius

环境：server1：RootCA/AD  server2:radius

server1建立组策略，配置自动为AD中的计算机下发证书。

结果：server2个人证书里有了server2的证书，server2的受信任的证书里有RootCA。

执行：

配置IAS（radius）的时候，颁发给server2?

根证书导入到WAC,即server1的证书

为什么外接radius导证书？

由于802.1X和WPA都需要证书来用于IAS服务器认证及加密密钥的产生，所以必须要给IAS服务器安装一个证书，否则，在配置IAS的时候会出现无法找到证书的错误。

域的几个名词：

计算机：

用户：

安全组：

安全组里面分别有
1：软件设置
2：WINDOWS设置
3：管理模板

组织单位：如销售部，市场部，将对应的计算机放入组。将对应的用户-在该组织单元创建用户组（安全组），将用户放入对应的组别。

外接radius：

自动为域用户（无线用户）颁发证书。

装玩IAS后，向AD注册的目的是？

安装好之后，在“管理工具”里面就会看到“Internet验证服务”，打开之后，在AD中注册服务器，使IAS能够读取AD里面的帐号。

建立IAS策略的时候，允许AD中的哪些组为无线所用？

添加需要有无线访问权限的用户组

将服务器根证书导入WAC。目的是：每个NAS必须信任服务器。

802.1x和cisco的radius有区别。802.1x使用到了eap-tls，peap-tls。

结合外置raidus，win8 win10不需要运行自动配置工具。

加入域中的计算机不需要输入帐号密码，直接就能连接wifi。是因为加入域的计算机默认使用登录用户凭证去做wifi验证的。可以在组策略中wifi相关的组策略定义不使用本地用户凭证做wifi认证。