《补充资料-网络安全-第6章-使用windows系统ias服务搭建aaa服务器-v1.0》由会员分享,可在线阅读,更多相关《补充资料-网络安全-第6章-使用windows系统ias服务搭建aaa服务器-v1.0(8页珍藏版)》请在金锄头文库上搜索。
1、使用使用 Windows 系统系统 IAS 服服 务搭建务搭建 AAA 服务器服务器实现实现 802.1x 认证认证2网络安全高级应用6在课程中讲解了使用ACS软件搭建AAA服务器实现802.1x认证。那么,如果有些公司不想使用ACS软件搭建AAA服务器进行认证,有没有其他的方法来配置AAA服务器呢?下面将要讲解的是使用Windows Serve系统中提供的IAS服务来构建AAA服务器。在一个使用Windows域管理的公司中,如果使用IAS搭建AAA服务器可以直接使用AD中的账户和组而不必另外重新配置组合账号。在用户登陆的过程中将用户登陆的账号和密码发送到AAA服务器进行认证,如果登陆成功则认
2、证也会成功,AAA服务器就会为主机授权(VLAN、IP等);如果登录失败认证也会失败。这样在用户登陆的过程中就完成了认证过程。使用IAS服务搭建AAA服务器的配置过程如下:1、安装 Windows 相关服务主要包括 Windows 域、IIS、CA、IAS,在安装时需要按照上述所排顺序进行安装。可以最后安装 DHCP 服务器,并配置地址池。具体服务器与客户端的安装和配置如下所示:1)安装域,域名为:;添加用户 benet,密码 test;新建组 vlan 7;将 benet 加入 vlan7;然后配置域策略。2)将域策略中“计算机配置Windows 设置安全设置账户策略密码策略”,启用“用可还
3、原的加密来储存密码”图图 6.1 配置域配置域 1图图 6.2 配置域配置域 23)配置 benet 用户属性,在账户选项中选中使用可逆的加密保存密码。4)配置 benet 用户,允许其进行拨入访问。36使用 Windows 系统 IAS 服务搭建 AAA 服务器图图 6.3 配置用户配置用户 1图图 6.4 配置用户配置用户 25)安装 IIS 和 CA 服务器,参考Windows 网络服务相关章节6)安装 IAS(Internet 验证服务)图图 6.5 安装安装 IAS7)配置 IAS 服务8)建立新的 Radius 客户端(即接入设备):填入 IP 地址。4网络安全高级应用6图图 6.
4、6 新建新建 RADIUS 客户端客户端 1图图 6.7 新建新建 RADIUS 客户端客户端 29)建立新的 Radius 客户端:选择使用的协议,此处选择 RADIUS Standard,并配置共享密码10)建立新的访问策略图图 6.8 新建新建 RADIUS 客户端客户端 3图图 6.9 新建远程访问策略新建远程访问策略 111)命名策略名为 vlan 712)选择以太网连接56使用 Windows 系统 IAS 服务搭建 AAA 服务器图图 6.10 新建远程访问策略新建远程访问策略 2图图 6.11 新建远程访问策略新建远程访问策略 313)选择组并添加在域中创建的组 vlan 7,
5、表示组中包含的用户名和密码都可以通过认证。14)选择策略的 EAP 类型,这里选择受保护的EAP(PEAP)图图 6.12 新建远程访问策略新建远程访问策略 4图图 6.13 新建远程访问策略新建远程访问策略 515)修改远程访问策略属性,右击策略选择属性16)修改策略属性,点击编辑图图 6.14 修改远程访问策略属性修改远程访问策略属性 1图图 6.15 修改远程访问策略属性修改远程访问策略属性 217)选择允许客户端申请一个地址18)在高级中配置,Tunnel Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID。6网络安全高级应
6、用6图图 6.16 修改远程访问策略属性修改远程访问策略属性 3图图 6.17 修改远程访问策略属性修改远程访问策略属性 419)在添加中分别,找到以上三个属性,并配置Tunnel Tunnel-Type 选择 VLAN;Tunnel-Medium-Type 选择 802;Tunnel-Private-Group-ID填入分配的 VLAN 值 7。20)配置完成的,远程访问策略属性图图 6.18 修改远程访问策略属性修改远程访问策略属性 5图图 6.19 修改远程访问策略属性修改远程访问策略属性 621)配置完成 IAS 后,在服务器上安装 DHCP 服务并配置22)客户端在登录域后在浏览器上
7、键入 http:/服务器 IP 地址/certsrv 进入证书 WEB 申请页面,登录用户采用域管理用户账号.。选择下载一个 CA 证书,证书链或 CRL下载 CA 证书点击下载的76使用 Windows 系统 IAS 服务搭建 AAA 服务器证书安装,按下一步结束证书安装。图图 6.20 客户端安装证书客户端安装证书 123)下载证书图图 6.21 客户端安装证书客户端安装证书 224)安装证书8网络安全高级应用6图图 6.22 客户端安装证书客户端安装证书 325)在网卡的连接属性中选择“验证为此网络启用 IEEE 802.1x 验证”,EAP 类型选为“受保护的(PEAP)”,勾选“当计
8、算机信息可用时验证为计算机”,然后再点“属性”,在 EAP 属性窗口中选择“确认服务器认证”,同时在“在受信任的目录授权认证单位”窗口中选择对应的 CA,这里为 test,认证方法选成“EAP-MSCHAP v2”。再点“配置”按钮勾选选项即可。图图 6.23 在客户端设置在客户端设置 802.1x 认证认证需要注意,WIN XP 和 WIN 2003 自带 802.1x 认证。如果是 WIN 2000 需要在“开始” “设定” “控制台” “系统管理工具” “服务”中把 Wireless Configuration 服务打开,此服务默认状态下启动类型是“手动”,把它改为“自动” 即可。这样的话在网卡内容中才会有“验证”选项。3、在交换机上配置 802.1x,可以课程中配置相同4、在客户端上进行登陆验证 802.1x 认证
