802.1X  Radius 服务器搭建

设备需求:

l 安装Microsoft Windows 2003 Enterprise Edition Service Pack 1的PC一台

l Wireless Router一台

步骤：

1 在 “管理您的服务器向导”中添加Active Directory（简称AD）服务器、DHCP服务器,、NS服务器

l 设定域的名称

l 添加授权的使用者与PC

l 提升域的等级

l Note:：在安装Active Directory 时，请确认Windows 2003 Enterprise Edition 的网卡是可用的（驱动程序是否已经正确安装）

在域控制器中添加一个无线组，及在无线组中添加一些用户及计算机，用户和计算机成                对使用.

2进入开始>控制台>新增或移除程序>新增/移除Windows元件, 添加以下Service

l 网际网络验证服务(IAS)

l 网际网络信息服务(IIS)

l Certificate Services:

l Note：添加Service 的同时，生成一个根证书

3 创建CA证书

l 在域服务器上注册此IAS服务器(在域控制器上右键单击)

l 点击 开始>执行,输入mmc, 打开控制台, 创建一个CA证书，Server会向加入此网域的PC颁发这个证书，使其获得网域的存取权限

l Note：域服务器上注册此IAS服务器目的是让域服务器上的用户可以有权限访问IAS服务器。

4 IAS服务器设定

l 新增RADIUS用户端

1 用户端为Wireless Router（这个是在路由器的IP地址，因为要和路由器交互）

2 设定共享密码

l 创建一个远端存取原则

1 添加授权群组

2  选择验证方式

l Note：

客户端设定

1 更改计算机名称

l 设置计算机名和无线组中添加的计算机机名称一致

l 先更改计算机名，再加入域，否则会提示账户已经存在

2  加入网域,

l 设置客户端为自动获取IP,查看客户端的DNS 地址是否是服务器的地址

l 加入域时，如果提示网络路径不存在，而必须启用NetBOIS hepler 服务）

l 客户端，运行－－－>services.msc---NetBOIS hepler 服务

3 确认已获取Server颁发的CA证书(可在Internet Explorer 内容中查看)

l 如果没有获得颁发的证书可以手动申请：

l http://serveraddress/certsrv

l 申请时，输入的用户名及密码，应该是服务器分配给本地计算机的用户名及密码

l 查看证书的颁发给的使用者是否正确

3  添加Server授权的使用者为本机管理员(可选)

l 在客户端，右击我的电脑－管理－用户和组－组－Administrator-将分配的用户添加到本地的管理员组，这样就有权限管理本地机器的一 些资源。

4  切换用户

l 用分配的用户名和密码在客户端登录到域

l 设置802.1x证书，既可进行连接

Router 设定

1 设置Router 的IP

l 设置router的IP地址和在IAS 中设置的Radius 客户端一致

2 设置802.1x

l 将Server IP 地址设置为Server 的实际IP

l 密码应该和IAS中设置的Radius 客户端一致

l 配置端口号

了解无线网络的 802.1X 身份验证

802.1X 是一个 IEEE 标准，用于对有线以太网和无线 802.11 网络进行经过身份验证的网络访问。IEEE 802.1X 通过提供对集中式用户标识、验证、动态密钥管理和记帐的支持来提高安全性和部署。

EAP、EAP-TLS、EAP-MS-CHAP v2 和 PEAP 身份验证

802.1X 为可扩展身份验证协议 (EAP) 类型提供的支持，允许您为无线客户端和服务器从多种身份验证方法中选择身份验证方法。

EAP

802.1X 使用 EAP 在身份验证过程中进行消息交换。通过 EAP，可以使用任意身份验证方法，例如，证书、智能卡或凭据。EAP 允许在 EAP 客户端（如无线计算机）和 EAP 服务器（例如 Internet 验证服务 (IAS) 服务器）之间进行两端开放对话。对话包含服务器对身份验证信息的请求以及客户端的响应。为使身份验证成功，客户端和服务器都必须使用同样的身份验证方法。

EAP-TLS

EAP 传输层安全性 (TLS) 是基于证书的安全环境中使用的一种 EAP 类型，它提供最强大的身份验证和密钥确定方法。EAP-TLS 提供客户端和验证服务器之间的相互身份验证、加密方法协商以及加密密钥确定。如果您要使用证书或智能卡进行用户和客户端计算机身份验证，您必须使用 EAP-TLS，或者为了增强安全性，同时使用 EAP-TLS 和受保护 EAP (PEAP)。

EAP-MS-CHAP v2

EAP-Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2)，是一种支持基于密码的用户或计算机身份验证的相互验证方法。在 EAP-MS-CHAP v2 身份验证过程中，服务器和客户端都必须证明它们具有使身份验证获得成功所需的用户密码知识。利用 EAP-MS-CHAP v2，用户可以在身份验证成功之后更改其密码，并可在其密码到期时获得通知。

注意

· EAP-MS-CHAP v2 仅可用于 PEAP。

PEAP

PEAP 是一种身份验证方法，它使用 TLS 增强其他 EAP 身份验证协议的安全性。PEAP 提供了以下好处：保护 PEAP 内运行的 EAP 方法的加密渠道、从 TLS 生成的动态密钥资料、快速重新连接（利用缓存的会话密钥重新连接到无线访问点的能力，这样就可以在无线访问点之间进行快速漫游），以及可用来防止部署未经授权的无线访问点的服务器身份验证。

PEAP 身份验证过程

PEAP 身份验证过程包含两个主要阶段：

1 服务器身份验证和 TLS 密码通道创建。服务器通过向客户端提供证书信息来向客户端标识其本身。客户端验证服务器的身份之后，就生成一个主安全信息。然后使用从主安全信息派生出来的会话密钥创建一个 TLS 加密通道，该加密通道加密服务器和无线客户端之间进行的所有后续通讯。

2 EAP 会话以及用户和客户端计算机身份验证。客户端和服务器之间的完整 EAP 会话，封装在 TLS 加密通道内。通过 PEAP，您可以使用多种 EAP 身份验证方法之一（如密码、智能卡和证书）验证用户和客户端计算机的身份。

在 PEAP 身份验证过程中生成的会话密钥，为有线等效隐私 (WEP) 加密密钥（该密钥用来加密在无线客户端和无线访问点之间传输的数据）提供了密钥材料。

您可以将 PEAP 与以下任何身份验证方法一起使用来进行无线身份验证：

· EAP-TLS，它使用服务器身份验证证书以及用户和客户端计算机身份验证证书或智能卡。

· EAP-MS-CHAP v2，它使用服务器身份验证证书和用户身份验证凭据。

· 非 Microsoft EAP 身份验证方法。

注意

· 不支持把 PEAP 与 EAP-MD5 一起使用。

· PEAP 可用作一种 802.11 无线客户端身份验证方法，但虚拟专用网 (VPN) 客户端或其他远程访问客户端不支持它。因此，只有在使用 Internet 验证服务 (IAS) 时，才可以把 PEAP 配置为远程访问策略的身份验证方法。

802.1X 如何影响 802.11 无线网络

802.1X 执行基于端口的网络访问控制。基于端口的网络访问控制使用交换的局域网 (LAN) 基础设施的物理特征来验证连接到 LAN 端口的设备，并防止访问身份验证进程已经失败的那个端口。

在基于端口的网络访问控制交互期间，LAN 端口采用两个角色之一：“身份验证者”或者“被验证方”。如果是验证者，LAN 端口在允许用户访问可以通过该端口访问的服务之前强制执行身份验证。如果是恳请者，LAN 端口请求访问可以通过验证者的端口访问的服务。“身份验证服务器”可以是单独实体或与验证者共存，它代表验证者检查恳请者的凭证。然后验证服务器答复验证者，指出恳请者是否已授权访问验证者的服务。

验证者的基于端口的网络访问控制，通过一个物理 LAN 端口，定义进入 LAN 的两个逻辑数据路径。第一个数据路径（不受控制的端口）允许在验证者和 LAN 上的计算设备之间进行数据交换，不管该设备的身份验证状态如何。这是 EAPOL (EAP over LAN) 消息采用的路径。第二个数据路径（受控端口）允许在经验证的 LAN 用户和验证者之间进行数据交换。这是在计算设备通过验证之后所有其他网络通讯采用的路径。

802.1X 和 IAS

要支持身份验证、授权以及无线网络连接记帐，您可以将 802.1X 与 IAS 一起使用。IAS 是远程身份验证拨号用户服务 (RADIUS) 服务器和代理服务器的 Microsoft 实现。执行 RADIUS 时，无线访问点阻止在没有有效身份验证密钥的情况下把数据通信转发到有线网络或另一个无线客户端。获取有效身份验证密钥的过程如下：

1 无线客户端在某个无线访问点的有效范围内时，该无线访问点质询客户端。

2 无线客户端把其标识发送到无线访问点，无线访问点再将此信息转发到 RADIUS 服务器。

3 RADIUS 服务器请求无线客户端的凭据来验证客户端的身份。作为此请求的组成部分，RADIUS 服务器指定所需凭据的类型。

4 无线客户端将其凭据发送到 RADIUS 服务器。

5 RADIUS 服务器验证无线客户端的凭据。如果凭据有效，RADIUS 服务器会把一个加密的身份验证密钥发送到无线访问点。

6 无线访问点使用此身份验证密钥，安全地把每站单播会话和多身份验证密钥传输到无线客户端。

概述

IEEE 802.1X标准定义了基于端口的网络访问控制，可用于为以太网络提供经过身份验证的网络访问。基于端口的网络访问控制使用交换局域网基础结构的物理特征来对连接到交换机端口的设备进行身份验证。如果身份验证过程失败，使用以太网交换机端口来发送和接收帧的能力就会被拒绝。虽然这个标准是为有线以太网络设计的，但是其已经过改编以便在IEEE 802.11无线局域网上应用。Windows XP支持对所有基于局域网的网络适配器使用IEEE 802.1X身份验证，包括以太网络适配器和无线网络适配器。

802.1X定义了以下术语：

端口访问实体

身份验证者（Authenticator）

申请者（Supplicant）

身份验证服务器

端口访问实体

端口访问实体（port access entity，PAE）也称为局域网端口，是一个与某个端口相关联的支持IEEE 802.1X协议的逻辑实体。局域网端口可以充当身份验证者或申请者的角色，或者同时充当这两个角色。

身份验证者

身份验证者是一个局域网端口，用以在允许访问可那些通过该端口进行访问的服务之前强制身份验证。对于无线连接，身份验证者是无线访问点（AP）上的逻辑局域网端口，操作在基础结构模式下的客户端就通过该端口访问有线网络。

申请者

申请者是一个局域网端口，用以请求访问那些通过身份验证者来访问的服务。对于无线连接，申请者就是无线局域网网络适配器上请求访问有线网络的逻辑局域网端口。它是通过首先与一个身份验证者关联，然后再验证自己的身份来完成访问请求的。

不管它们是用于无线连接还是用于有线以太网连接，申请者和身份验证者都由一个逻辑或物理的点对点局域网网段连接起来。

身份验证服务器

为了检验申请者的凭证，身份验证者使用了一个身份验证服务器。身份验证服务器代表身份验证者检查申请者的凭证，然后向身份验证者作出响应，指出申请者是否被授权访问身份验证者的服务。身份验证服务器可以是：

AP的一个组件。

AP必须使用一组对应于正在尝试连接的客户端的用户凭证集来配置。这对于无线AP来说通常是无法实现的。

一个单独的实体。

AP把用于连接尝试的凭证转发到一台单独的身份验证服务器。通常，无线AP使用“远程身份验证拔入服务（RADIUS）”协议将连接尝试的参数发送到一台RADIUS服务器。

本页内容

受控和不受控的端口可扩展身份验证协议Windows XP对IEEE 802.1X的支持更多信息

受控和不受控的端口

身份验证者基于端口的访问控制定义了以下类型的逻辑端口，这些逻辑端口通过单个物理局域网端口访问有线局域网：

不受控的端口

不受控的端口允许身份验证者（即无线AP）和有线网络上的其他网络设备之间进行不受控制的信息交换，而不管无线客户端的授权状态如何。对此，一个很好的例子就是无线AP和有线网络上的RADIUS服务器之间进行的RADIUS消息交换，这种交换提供无线连接的身份验证和授权。无线AP永远不会通过不受控的端口转发无线客户端发送的帧。

受控的端口

受控的端口允许在无线客户端和有线网络之间发送数据，但前提是该无线客户端必须经过身份验证。在进行身份验证之前，交换机是打开的，没有帧在无线客户端和有线网络之间发送。在无线客户端成功通过IEEE 802.1X身份验证之后，交换机就关闭了，帧将在无线客户端和有线网络上的节点之间转发。

受控和不受控的无线AP端口之间的关系如下图所示。

在进行身份验证的以太网交换机上，一旦完成身份验证，有线以太网客户端就能够向有线网络发送帧。交换机通过以太网客户端所连接到的物理端口来识别特定的有线以太网客户端的流量。通常，只有单个以太网客户端连接到以太网交往机上的一个物理端口。

由于多个无线客户端争用相同的通道来访问和发送数据，因此需要基本的IEEE 802.1X协议的一个扩展来允许无线AP识别特定无线客户端的安全流量。这是通过无线客户端和无线AP相互确认针对每个客户端的单播会话密钥来实现的。只有经过身份验证的无线客户才具有正确确定针对每个客户端的单播会话密钥。如果没有有效的单播会话密钥与成功的身份验证相联系，未经过身份验证的无线客户端发送的帧就会自动被无线AP丢弃。

返回页首

可扩展身份验证协议

为了给IEEE 802.1X提供标准身份验证机制，IEEE选择了可扩展身份验证协议（Extensible Authentication Protocol，EAP）。EAP是一种经改编以用于点对点局域网网段的基于点对点协议（Point-to-Point Protocol，PPP）的身份验证技术。由于EAP消息最初被定义作为PPP帧的有效载荷进行发送，IEEE 802.1X标准定义了LAN上的EAP（EAP over LAN，EAPOL），这是一种封装EAP消息的方法，以便EAP消息能够通过以太网或无线局域网网段来发送。

对于无线连接的身份验证，Windows XP使用EAP传输层协议（EAP-Transport Level Protocol，EAP-TLS）。EAP-TLS是在RFC 2716中定义的，用以在基于证书的安全环境中使用。EAP-TLS消息交换提供了无线客户端和身份验证服务器（RADIUS服务器）之间的相互身份验证、完整性保护密码套件协商以及加密和签名密钥材料的相互确定。在身份验证和授权之后，RADIUS服务器使用RADIUS Access-Accept消息来向无线AP发送加密和签名密钥。

由于如下原因，EAP-TLS与基于注册表的用户和计算机证书相结合，就形成了基于Windows XP的无线连接的身份验证方法：

EAP-TLS无需依赖于用户帐户密码。

EAP-TLS身份验证是自动进行的，不需要用户的介入。

EAP-TLS使用用户证书，从而提供一种强大的身份验证模式。