搭建802.1X接入认证环境配置教程SOP

1、搭建802.1X接入认证环境配置教程Jean.h_wang(1006568)2014-12-18Revision HistoryRevDateDocument update logPIC1.02014/12/12Build document.Jean.h_wang目 录1.环境介绍52. Radius服务器端的搭建和配置62.1 EAP-PEAP认证服务器环境搭建62.1.1 安装前准备62.1.2 默认域安全设置82.1.3 配置Active Directory 用户和计算机92.1.4 设置自动申请证书162.1.5 配置Internet验证服务（IAS）192.1.5-1 配置Radiu

2、s客户端202.1.5-2 配置远程访问记录212.1.5-3 配置远程访问策略222.1.5-4 配置连接请求策略282.1.6 配置Radius认证客户端（TP-Link路由器）292.1.7 Mobile-PEAP验证302.2 EAP-TLS认证服务器搭建312.2.1 创建访问策略312.2.2 编辑访问策略342.2.3 创建访问用户362.2.4 生成用户证书372.2.5 导出CA证书和User证书382.2.6 Mobile-TLS验证392.3 EAP-TTLS认证服务器搭建402.3.1 安装Odyssey server402.3.2 配置Odyssey server41

3、2.3.3 Mobile-TTLS验证44 1. 环境介绍在真实环境下，802.1x认证的网络拓扑结构如下图：为了测试用，搭建Radius服务器测试环境如下图，Radius服务器采用Windows 2003系统，Radius客户端采用TP-Link路由器：2. Radius服务器端的搭建和配置2.1 EAP-PEAP认证服务器环境搭建2.1.1 安装前准备A) 安装DNS服务（为安装活动目录做准备的，活动目录必须先安装DNS）步骤：开始控制面板添加或删除程序添加/删除windows组件进入网络服务选中“域名系统（DNS）”。B) 配置活动目录 步骤：（没有特别描述，默认单击“下一步”即可）第一

4、步：开始运行输入活动目录安装命令“dcpromo”，进入活动目录安装向导。第二步：设置新的域名，如本例“”。 第三步：活动目录安装程序会检测系统是否已经安装DNS，若DNS已经安装，请选择第二项“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设置为这台计算机的首选DNS服务器”。否则，请先安装DNS服务。第四步：默认单击“下一步”后，系统开始安装并配置活动目录，这段时间比较长，请耐心等待。活动目录安装完毕，根据提示，重新启动计算机。C) 安装证书颁发机构 步骤：开始控制面板添加或删除程序添加/删除windows组件选中“证书服务”下一步开始安装，安装过程中，需要输入“CA的公用名称

5、”，自定义即可。注意：在活动目录和证书服务没有安装时，要先安装活动目录然后安装证书服务，如果此顺序反了，证书服务中的企业根证书服务则不能选择安装。D) 安装Internet验证服务（IAS） 步骤： 开始控制面板添加或删除程序添加/删除windows组件进入网络服务选中“Internet验证服务”。E) 安装Internet应用程序服务器 步骤：开始控制面板添加或删除程序添加/删除windows组件选中“应用程序服务器”。以上组件安装完毕，Radius服务器的配置工作正式开始。2.1.2 默认域安全设置目的：创建客户端密码时会省去一些设置密码的麻烦。 步骤：第一步：开始管理工具域安全策略进入默

6、认域安全设置，展开安全设置账户策略密码策略。第二步：在右侧列出的策略中，右键点击“密码必须符合复杂性要求”选择“属性”，将这个策略设置成“已禁用”。2.1.3 配置Active Directory 用户和计算机目的：设置认证用户。步骤：第一步：开始管理工具打开Active Directory 用户和计算机展开根域在“USERS”中新建一个组8021x。第二步：将新建的组归类到安全组，作用于全局，单击“确定”完成新建组。第三步：在“USERS”中新建一个用户gpd peap。第四步：设置用户信息，用户登录名一定要记住，这是Radius服务器进行接入用户身份验证的根据。第五步：设置用户密码，密码需

7、要符合一定的复杂度，并且登录不需要更改。第六步：右击所建账户gpd peap，单击“拨入”选项卡，在“远程访问权限”中，选择“允许访问”，“账户”选项卡中，开启“使用可逆的加密保存密码”，设置完毕，单击确定。第七步：将新建用户gpd peap添加到8021x组中。第八步：选择组时，单击“高级”单击“立即查找”，选择你想加入的组8021x，单击“确定”“确定”即可。第九步：右击新建组8021x，单击“属性”，开始配置新建的组（新建用户gpd peap也在其中），单击“隶属于”选项卡。第十步：单击“添加”按钮，在“选择组”窗口中单击“高级”按钮，单击“立即查找”。第十一步：选择所有组（为了保险，最

8、好全选），然后单击“确定”、“确定”，“隶属于”设置完毕。第十二步：在“8021x属性”窗口中，单击“管理者”选项卡，单击“更改”按钮。第十三步：采用上述添加组的方式，选择管理者为所建用户gpd peap。至此，AD这边的账户配置完成。2.1.4 设置自动申请证书 目的：如何使用组策略管理单元，在默认组策略对象中创建自动申请证书。 步骤：第一步：开始管理工具打开Active Directory 用户和计算机右击根域选择属性。第二步：在打开的根域属性的配置框，单击“组策略”选项卡，将“Default Domain Policy”选上，并单击“编辑”，就会进入“组策略编辑器”。第三步：在“组策略编

9、辑器”中展开“计算机配置”Windows设置安全设置公钥策略自动证书申请设置单击右键新建自动证书申请，下面会进入自动证书申请向导中。第四步：在弹出的“自动证书申请向导”中，证书模板选用“计算机”。自动申请证书以后，在“组策略编辑器”的“自动申请证书”右侧框中会有一个申请成功的“计算机”。2.1.5 配置Internet验证服务（IAS）目的：这是配置Radius服务器的核心，用于设置Radius客户端、设置匹配策略等。在“开始”管理工具Internet验证服务，逐项配置“RADIUS客户端”、“远程访问记录”、“远程访问策略”、“连接请求处理”。配置前准备：在“Internet验证服务（本地）

10、”单击右键，选择“在AD中注册服务器”。2.1.5-1 配置Radius客户端目的：将Radius客户端在Radius验证服务器中进行注册授权。步骤：第一步：右击“Radius”客户端，选择“新建RADIUS客户端”。第二步：输入客户端标识名称，以及所在IP地址，本例为。第三步：设置共享密钥，与Radius客户端建立安全通道，此处为测试用，测试密码为qwerty，务必牢记。客户端供应商保持默认即可。至此，Radius客户端配置完成。2.1.5-2 配置远程访问记录目的：记录远程访问的日志信息。步骤：第一步：单击“远程访问记录”，在日志记录方法中右键单击“本地文件”，单击“

11、属性”，配置本地文件属性。第二步：“设置”选项卡里一般选择“身份验证请求”。至此，“远程访问记录”配置完成。2.1.5-3 配置远程访问策略目的：设置接入认证匹配规则，是Radius服务器的核心。步骤：第一步：右击“远程访问策略”，单击“新建远程访问策略”。第二步：设置策略方式和策略名。第三步：选择访问方法，这里我们选择“Wireless”。第四步：添加授予访问权限的用户或组，为了方便，我们添加组，单击“添加”。第五步：选择组的方式跟前面相同，此处不再重复。第六步：设置身份验证方法，此处选择“受保护的EAP（PEAP）”第七步：策略设置完成后，还需要对策略进行编辑，右击该策略，选择“属性”。第

12、八步：在策略属性中，单击“编辑”按钮。第九步：在左侧的可用类型中，将Async添加进来，添加完毕，单击“确定”。第十步：在策略属性对话框中，单击“编辑配置文件”按钮。第十一步：在配置文件窗口中，单击“身份验证”选项卡，全部选中。至此，远程访问策略配置完毕。2.1.5-4 配置连接请求策略步骤：第一步：展开“连接请求处理”，右击“连接请求策略”，选择“新建连接请求策略”。第二步：配置请求策略方法，选择自定义策略，并设置策略名。第三步：添加策略状况，选择“Client-IP-Address”类型。第四步：输入通配符，此处输入相应策略名即可。至此，连接请求策略配置完毕。2.1.6 配置Radius认

13、证客户端（TP-Link路由器） 打开浏览器输入，登陆路由器管理员账号和密码admin进入TP-Link路由器的设置页面，具体设置如下图：至此，EAP-PEAP认证服务器环境搭建完成。2.1.7 Mobile-PEAP验证手机测试时，打开WLAN，选择对应的无线网络进行编辑。身份：gpdpeap 密码：Ab123456EAP方法：PEAP 阶段2验证：MSCHAPV2 CA证书：N/A 匿名身份：N/A 2.2 EAP-TLS认证服务器搭建2.2.1 创建访问策略步骤：第一步：右击“远程访问策略”，单击“新建远程访问策略”。第二步：设置策略方式和策略名。第三步：选择访问方

14、法，这里我们选择“Wireless”。 第四步：添加授予访问权限的用户或组，为了方便，我们添加组，单击“添加”。 第五步：选择组的方式跟前面相同，此处不再重复。第六步：设置身份验证方法，此处选择“受保护的EAP（PEAP）”2.2.2 编辑访问策略 第一步：策略设置完成后，还需要对策略进行编辑，右击该策略，选择“属性”。 第二步：点击身份验证->EAP方法->添加智能卡或其他证书，确定。第三步：选择智能卡或其他证书->编辑->选择CA证书，确定。2.2.3 创建访问用户如EAP-PEAP创建访问用户步骤一致，创建新用户gpd tls,密码Ab123456。创建好用户后，

15、查看用户属性，拨入->远程访问权限选择允许访问。账户->账户选项选择使用可逆的加密保存密码。2.2.4 生成用户证书地址栏输入/certsrv，输入申请用户名gpdtls，密码Ab123456，不要记住密码。点击申请一个证书，点击用户证书，提交，安装此证书。注：如果无法访问，在命令行输入certutil vroot即可。2.2.5 导出CA证书和User证书IE->工具->Internet选项->内容->证书在受信任的根证书颁发机构中可以找到CA证书8021x，导出CA证书命名为ca，在个人中我们可以找到刚才申请的证书gpd

16、tls,导出，选择导出私钥，输入加密密码，命名为user 。2.2.6 Mobile-TLS验证将导出的user证书重命名为user.p12和ca证书一同放到sd卡根目录，安装证书。手机测试时，打开WLAN，选择对应的无线网络进行编辑。 身份：gpdtlsEAP方法：TLS CA证书：ca证书：用户证书：user证书 2.3 EAP-TTLS认证服务器搭建2.3.1 安装Odyssey server 点击OdysseyServer.msi,默认安装，输入key即可（此软件以及相关的key需要联系台湾的Antony_Chiu申请使用，不可外传）。2.3.2 配置Odyssey server安装完成后，启动Odyssey Server，进行配置。A) Domains设置如下：B) Settings选项下需要重点配置以下参数。C）Access Points