无线接入认证服务器 搭建基于AD和IAS的802.1X无线认证系统

最近实施了一个楼宇室内无线覆盖项目，在无线用户认证上客户希望采用他们已经配置好的AD帐号，最终决定采用AD+IAS的802.1x认证方案，现在把配置过程记录下来。

整个楼宇一共使用了50多个瘦AP，基本实现了全面覆盖，这些AP由无线控制器统一管理。

其他方面的配置这里不多说，主要介绍认证方面的配置。

一、认证架构

1、 当无线客户端在AP的覆盖区域内，就会发现以SSID标识出来的无线信号，从中可以看到SSID名称和加密类型，以便用户判断选择。

2、

无线AP配置成只允许经过802.1X认证过的用户登录，当用户尝试连接时，AP会自动设置一条限制通道，只让用户和RADIUS服务器通

信，RADIUS服务器只接受信任的RADIUS客户端(这里可以理解为AP或者无线控制器)，用户端会尝试使用802.1X，通过那条限制通道和

RADIUS服务器进行认证。

3、

RADIUS收到认证请求之后，首先会在AD中检查用户密码信息，如果通过密码确认，RADIUS会收集一些信息，来确认该用户是否有权限接入到无线网络

中，包括用户组信息和访问策略的定义等来决定拒绝还是允许，RADIUS把这个决定传给radius客户端(在这里可以理解为AP或者无线控制器)，如果

是拒绝，那客户端将无法接入到无线网，如果允许，RADIUS还会把无线客户端的KEY传给RADIUS客户端，客户端和AP会使用这个KEY加密并解密

他们之间的无线流量。

4、 经过认证之后，AP会放开对该客户端的限制，让客户端能够自由访问网络上的资源，包括DHCP，获取权限之后客户端会向网络上广播他的DHCP请求，DHCP服务器会分配给他一个IP地址，该客户端即可正常通信。

二、安装活动目录、建立帐号

这一步就不多说了。

三、安装IAS

1、添加删除程序—》添加删除windows组件

2、选择“网络服务”，点击“详细信息”

3、选择“Internet验证服务”，点击“确定”

4、点击“下一步”，windows会自动安装IAS。

5、安装好之后，在“管理工具”里面就会看到“Internet验证服务”，打开之后，在AD中注册服务器，使IAS能够读取AD里面的帐号。

四、为IAS安装证书

由于802.1X和WPA都需要证书来用于IAS服务器认证及加密密钥的产生，所以必须要给IAS服务器安装一个证书，否则，在配置IAS的时

候会出现无法找到证书的错误。获取证书可以向商业CA申请，但需要不少花费，还可以自己假设CA服务器，这需要对PKI等只是有足够的认识，还有一个简便

的方法是，安装“远程管理(HTML)”后，系统会自动安装一个有效期为一年的证书。

五、配置IAS

安装好证书之后就可以配置IAS了

1、 添加RADIUS客户端

在这里，如果使用的是一般的胖AP，RADIUS客户端就是AP，如果使用的是瘦AP，RADIUS客户端就是无线控制器，我这里是表示无线控制器。

打开“Internet验证服务器”，右键“RADIUS客户端”，选择“新建RADIUS客户端”

输入名称和radius客户端的IP地址

设置共享机密，这个共享机密还要在RADIUS客户端那儿输入，一定要记住。点击完成就添加好了。

2、 添加远程访问策略

右键单击“远程访问策略”，选择“新建远程访问策略”

输入策略名称

选择“无线”

添加需要有无线访问权限的用户组

身份验证方法选择“受保护的EAP”，点击配置

选择上“启用快速重连接”，点击确定。

完成，如果在配置验证方法那一步出现错误，就是因为没有为服务器安装证书。

3、 设置远程接入权限

一个用户能否登录成功，除了取决于前面设置的远程访问策略之外，还受用户的远程接入权限设置。

默认情况下，远程访问权限是拒绝的，需要管理员手动调整，如果用户过多，就可以采用下面方法。

在“Internet验证服务”控制台—》远程访问策略中找到刚才创建好的策略，查看属性，点击“编辑配置文件”

选择“高级”选项卡，点击“添加”

选择“忽略用户的拨入属性”，点击“添加”

选择为“真”，默认是“假”

添加好之后

经过以上配置之后，即可忽略用户属性里面的拨入权限设置。

六、配置RADIUS客户端

我这里的RADIUS客户端是无线控制器，验证方法选择802.1X EAP，加密方法选择WPA/WPA-TKIP，点击802.1X的config，WPA/WPA-TKIP的config在这里无需配置。

在802.1X认证配置项里面填写好IAS服务器的IP地址和共享机密

常见的胖AP配置也大同小异，这里以D-Link的一款无线AP为例，安全和加密方式选择WPA-TKIP，填写IAS服务器IP和共享机密。

七、无线客户端设置

经过以上设置之后，在笔记本的无线网络连接里面会看到一个经过WPA加密的SSID，点击连接时，会出现无法找到证书的错误，这是因为windowsXP的默认设置不符合要求。

打开无线网络连接的属性—》无线网络配置，选择正确的SSID，点击属性

网络验证选择WPA，数据加密TKIP

点击“验证”选项卡，选择EAP类型为“受保护的EAP(PEAP)，点击属性

勾掉“验证服务器证书“选项，选择”安全密码(EAP-MSCHAP v2)，点击配置

勾掉“自动使用windows登录名和密码”

完成以上配置之后，就可以正常连接到IAS服务器，提示输入用户名密码

连接成功

如果客户端是域成员，可以通过组策略完成以上客户端的配置。

非域成员需要单独调整一下，另外，非域成员用户密码如何修改也需要在服务器上配置，这个问题接下来再补充。