无线网络安全认证[AD+Radius+CA]配置
我们公司属于商贸零售行业,办公室调整非常非常频繁,维护人员往往花费大量时间去配合办公室调整.
最近,我们打算更换无线办公网络来节省人力物力成本.我们使用了13个无线AP[fat],带150左右的客户端;在此呢考虑到,客户端需要实现无缝漫游,所有AP必须的SSID和密码必须相同.由于使用单一的密码认证方式有可能存在密码泄露的风险,考虑到无线网络的安全性,在此我们打算使用802.1x+AD+RADIUS+CA的认证方式,来保证无线网络接入安全;
在此列出配置详单.其中设备如下:
AP设备:H3C WA2220-AG 54MB
客户端:Pci 300MB无线网卡/windows xp
RADIUS认证服务器角色:IAS+CA +AD
1.AP配置说明.[型号为H3C WA2220-AG]
port-security enable ;启用端口安全
dot1x authentication-method eap ;认证方式为EAP
radius scheme sec ;创建sec的radius方案
server-type extended ;方案服务类型为extended
primary authentication 192.9.215.172;主认证服务器
primary accounting 192.9.215.172 ;主计费服务器
key authentication h3c ;认证共享密钥为h3c
key accounting h3c ;计费共享密钥为H3c
timer realtime-accounting 3 ;计费间隔为3分钟
user-name-format without-domain ;用户不携带域名进行RADIUS认证
undo stop-accounting-buffer enable ;缓存无响应则停止计费;
accounting-on enable ;启用accounting
c+Z ;返回配置模式
domain sec ;创建sec的ISP域
authentication lan-access radius-scheme sec ;在sec的域中,需要认证用户配置sec的认证方案
authorization lan-access radius-scheme sec ;在sec的域中,需要认证用户配置sec的授权方案
accounting lan-access radius-scheme sec ;在sec的域中,需要认证用户配置sec的计费方案
c+z ;回到配置模式
domain default enable sec ;设置sec域为默认域
interface WLAN-BSS2 ;进入无线接口
port-security port-mode userlogin-secure-ext ;配置端口安全模式为"userlogin-secure-ext"
port-security tx-key-type 11key ;密钥协商类型为11key
c+z ;回到配置模式
wlan service-template 2 crypto ;配置无线服务模板2.crypto类型.
ssid h3c-dot1x ;无线的SSID为h3c-dot1x
authentication-method open-system ;使用开放式认证
cipher-suite tkip ;使用tkip加密
security-ie wpa ;信标和探查帧wpa IE信息
service-template enable ;启用服务模板
c+z ;返回配置模式
interface WLAN-Radio 1/0/2 ;进入发频口
service-template 2 interface WLAN-BSS 2;配置无线口使用服务模板2
c+z ;返回配置模式
interface Vlan-interface1 ;进入vlan1
ip address 192.9.215.205 255.255.255.0;设置IP地址
c+z ;返回配置模式
ip route 0.0.0.0 0.0.0.0 192.9.215.254 ;默认路由
2.配置radius[ias ad ca] ;
系统版本为2003EEsp2. 域环境级别:2003域功能级别 ; ip: 192.9.215.172
首先RADIUS服务器需要安装windows2003三个内置组件 IIS ,CA证书服务,internet验证服务;
安装比较简单,在添加删除组件中选择相应组件,安装-插入2003光盘即可.就不详细说明了.
创建RADIUS客户端;
名称:随意 地址: AP的IP地址 客户端-供应商:最好选择RADIUS STANDARD. 共享密钥:和AP的配置相同为h3c
.创建远程访问策略:
使用向导-无线-组:domain user,即所有域用户-EAP类型-完成
3.windows Xp客户端配置;
客户端认证方式:
1,域用户账户及计算机账户认证;[分为手动输入用户帐号和密码和自动使用当前系统登录用户帐号]
2,使用CA证书认证.
1,使用EAP方式认证; [即使用域账户信息登录];
点击无线网卡属性-修改关联配置及认证方式
这个选择WPA TKIP就可以了!
点击 a 属性..
b:选择EAP类型. 这里的类型可以分为账户密码形式认证及使用计算机证书登录两种;这里我使用域内的账户登录,选择EAP方式.
点击d 属性..
c:这里比较明显了,点击此选项就自动使用ad信息登录! ;;;;;;这里我没有选择此项,使用手动登陆!
————————————————————————————————————————————————-
测试:
连接h3c-dot1x
提示需要登录凭证,点击此提示;
输入帐号和密码..
这里直接输入帐号和密码就可以了,不需要后缀域名和填入登录域;;;;;;;;这个选项关联H3C配置中的
user-name-format without-domain ;用户不携带域名进行RADIUS认证 ;
点击登录—————-
客户端成功获取;
RADIUS日志登录成功日志:
ap点-认证服务器-客户端全部配置完毕;
稍后我会把配置中遇到的错误以及解决方法发表出来;
转载于:https://blog.51cto.com/1821915/435822