组建基于AD和IAS的802.1x无线认证网络..doc

组建基于AD和IAS的802.1x无线认证网络 认证原理 网络拓扑图 当无线PC 客户端在AP的覆盖区域内，就会发现以SSID 标识出来的无线信号，从中可以看到SSID 名称和加密类型，以便用户判断选择。 无线AP 配置成只允许经过802.1X 认证过的客户端登录，当客户端尝试连接时，AP 会自动设置一条限制信道，只让客户端和IAS 服务器通信，IAS 服务器只接受信任的IAS 客户端（这里可以理解为AP或者无线路由器），客户端会尝试使用802.1X，通过那条限制通道和 IAS 服务器进行认证。 IAS 服务器收到认证请求之后，对客户端进行规则匹配，以确定客户端是否合法，过程如下： a. 判断客户端是否与建立的连接请求策略规则相匹配，匹配失败将断开客户端连接。 b. 匹配成功，将对请求的客户端再进行远程访问策略规则相匹配（这里以AD 群组用户作远程访问规则）， 在这个匹配过程中，IAS 服务器通过在AD 中检查该用户的账号、密码、群组以及访问策略的定义等信息，来决定该用户是否有权接入到无线网络中，IAS 服务再把这个决定传给IAS 客户端（在这里可以理解为AP 或者无线路由器），如果是拒绝，那客户端将无法接入到无线网络，如果允许，IAS 服务还会把无线客户端的KEY 传给IAS 客户端，客户端和AP 会使用这个KEY 加密并解密他们之间的无线流量。 经过认证之后，AP 会放开对该客户端的限制，让客户端能够自由访问网络上的资源。如果域中存在DHCP 服务，那么无线客户端获取接入权限之后，会向网络上广播他的DHCP 请求，DHCP 服务器会分配给他一个IP 地址，该客户端即可正常通信。（在本例，域中没有开放DHCP服务，经过认证成功后由无线路由器分配IP、网关等信息） 配置需求 Server操作系统：Windows 2003（AD活动目录、IAS服务） Client操作系统：Windows XP（带有无线客户端） 无线设备：Tenda 307R 认证服务器的配置 安装AD 活动目录 (这一步就不多说了)，在AD 中建立相关的群组及账号，并设置相关属性。如： 群组：wuxian 说明：无线授权接入群组，在IAS 服务中进行远程访问策略规则匹配，以判断组成员账号是否有权接入无线网络。 用户：bb 说明：用户bb 隶属于wuxian群组。 设置用户bb的“远程访问权限（拔入或VPN）”为允许访问。 安装IAS服务组件 安装好之后，在系统管理工具里面就会找到Internet 验证服务，打开Internet 验证服务管理器，在AD中注册服务器，使IAS 能够读取AD 里面的账号信息。右键点击Internet 验证服务选择在Active Directory 中注册服务器。 安装IIS 服务相关组件，为IAS 服务安装证书由于802.1X 和WPA 都需要证书来用于IAS 服务器认证及加密密钥的产生，所以必须要给IAS 服务器安装一个证书，否则在配置IAS 的时候会出现无法找到证书的错误。获取证书可以向商业CA 申请，但需要不少花费，还可以自己架设CA 服务器，这里还有一个简便的方法是，安装“远程管理（HTML）”后，系统会自动安装一个有效期为一年的证书。 控制面板—添加删除程序—添加删除windows 组件 打开Internet 验证服务管理器，配置IAS 服务，这里IAS 服务器的IP 地址是192.168.113.12， 添加RADIUS 客户端。右键点击RADIUS 客户端，选择新建RADIUS 客户端。 RADIUS客户端的名字可以随便设置，这里我们设置为ap，RADIUS客户端IP这里应该输入无线路由器的IP地址192.168.113.113（也就是无线路由器的管理IP）。设置共享的机密（这里设置为123456）,该密钥还要在Radius 客户端即无线路由器里输入。 添加远程访问策略，利用AD组属性，授权的AD 群组wuxian，以建立无线PC 客户端的AD 账号验证匹配规则。右键点击远程访问策略，选择新建远程访问策略。 注意，如果在配置验证方法那一步出现错误，是因为没有为服务器安装证书。 策略向导完成后，需对该策略进一步配置。右键点击该策略wireless，选择属性，选择编辑配置文件，在身份验证页中，分别勾选MS-CHAP V2, MS-CHAP 加密身份验证，点击确定按钮即可。IAS 服务配置完成。 四、无线AP（无线路由器）的配置 这里无线路由器的IP地址是192.168.113.113，进入无线路由的管理界面选择“无线设置”?“安全设置”?“安全模式”，选择“WPA-企业”；WPA加密规则选择TKIP（为了获得安全的加密效果，可以选择AES）；密钥更新周期保持默