最近實施了一個樓宇室內無線覆蓋項目，在無線用戶認證上客戶希望采用他們已經配置好的AD帳號，最終決定采用AD+IAS的802.1x認證方案，現在把配置過程記錄下來。

整個樓宇一共使用了50多個瘦AP，基本實現了全面覆蓋，這些AP由無線控制器統一管理。

其他方面的配置這里不多說，主要介紹認證方面的配置。

一、認證架構

1、 當無線客戶端在AP的覆蓋區域內，就會發現以SSID標識出來的無線信號，從中可以看到SSID名稱和加密類型，以便用戶判斷選擇。

2、

無線AP配置成只允許經過802.1X認證過的用戶登錄，當用戶嘗試連接時，AP會自動設置一條限制通道，只讓用戶和RADIUS服務器通

信，RADIUS服務器只接受信任的RADIUS客戶端(這里可以理解為AP或者無線控制器)，用戶端會嘗試使用802.1X，通過那條限制通道和

RADIUS服務器進行認證。

3、

RADIUS收到認證請求之后，首先會在AD中檢查用戶密碼信息，如果通過密碼確認，RADIUS會收集一些信息，來確認該用戶是否有權限接入到無線網絡

中，包括用戶組信息和訪問策略的定義等來決定拒絕還是允許，RADIUS把這個決定傳給radius客戶端(在這里可以理解為AP或者無線控制器)，如果

是拒絕，那客戶端將無法接入到無線網，如果允許，RADIUS還會把無線客戶端的KEY傳給RADIUS客戶端，客戶端和AP會使用這個KEY加密并解密

他們之間的無線流量。

4、 經過認證之后，AP會放開對該客戶端的限制，讓客戶端能夠自由訪問網絡上的資源，包括DHCP，獲取權限之后客戶端會向網絡上廣播他的DHCP請求，DHCP服務器會分配給他一個IP地址，該客戶端即可正常通信。

二、安裝活動目錄、建立帳號

這一步就不多說了。

三、安裝IAS

1、添加刪除程序—》添加刪除windows組件

2、選擇“網絡服務”，點擊“詳細信息”

3、選擇“Internet驗證服務”，點擊“確定”

4、點擊“下一步”，windows會自動安裝IAS。

5、安裝好之后，在“管理工具”里面就會看到“Internet驗證服務”，打開之后，在AD中注冊服務器，使IAS能夠讀取AD里面的帳號。

四、為IAS安裝證書

由于802.1X和WPA都需要證書來用于IAS服務器認證及加密密鑰的產生，所以必須要給IAS服務器安裝一個證書，否則，在配置IAS的時

候會出現無法找到證書的錯誤。獲取證書可以向商業CA申請，但需要不少花費，還可以自己假設CA服務器，這需要對PKI等只是有足夠的認識，還有一個簡便

的方法是，安裝“遠程管理(HTML)”后，系統會自動安裝一個有效期為一年的證書。

五、配置IAS

安裝好證書之后就可以配置IAS了

1、 添加RADIUS客戶端

在這里，如果使用的是一般的胖AP，RADIUS客戶端就是AP，如果使用的是瘦AP，RADIUS客戶端就是無線控制器，我這里是表示無線控制器。

打開“Internet驗證服務器”，右鍵“RADIUS客戶端”，選擇“新建RADIUS客戶端”

輸入名稱和radius客戶端的IP地址

設置共享機密，這個共享機密還要在RADIUS客戶端那兒輸入，一定要記住。點擊完成就添加好了。

2、 添加遠程訪問策略

右鍵單擊“遠程訪問策略”，選擇“新建遠程訪問策略”

輸入策略名稱

選擇“無線”

添加需要有無線訪問權限的用戶組

身份驗證方法選擇“受保護的EAP”，點擊配置

選擇上“啟用快速重連接”，點擊確定。

完成，如果在配置驗證方法那一步出現錯誤，就是因為沒有為服務器安裝證書。

3、 設置遠程接入權限

一個用戶能否登錄成功，除了取決于前面設置的遠程訪問策略之外，還受用戶的遠程接入權限設置。

默認情況下，遠程訪問權限是拒絕的，需要管理員手動調整，如果用戶過多，就可以采用下面方法。

在“Internet驗證服務”控制臺—》遠程訪問策略中找到剛才創建好的策略，查看屬性，點擊“編輯配置文件”

選擇“高級”選項卡，點擊“添加”

選擇“忽略用戶的撥入屬性”，點擊“添加”

選擇為“真”，默認是“假”

添加好之后

經過以上配置之后，即可忽略用戶屬性里面的撥入權限設置。

六、配置RADIUS客戶端

我這里的RADIUS客戶端是無線控制器，驗證方法選擇802.1X EAP，加密方法選擇WPA/WPA-TKIP，點擊802.1X的config，WPA/WPA-TKIP的config在這里無需配置。

在802.1X認證配置項里面填寫好IAS服務器的IP地址和共享機密

常見的胖AP配置也大同小異，這里以D-Link的一款無線AP為例，安全和加密方式選擇WPA-TKIP，填寫IAS服務器IP和共享機密。

七、無線客戶端設置

經過以上設置之后，在筆記本的無線網絡連接里面會看到一個經過WPA加密的SSID，點擊連接時，會出現無法找到證書的錯誤，這是因為windowsXP的默認設置不符合要求。

打開無線網絡連接的屬性—》無線網絡配置，選擇正確的SSID，點擊屬性

網絡驗證選擇WPA，數據加密TKIP

點擊“驗證”選項卡，選擇EAP類型為“受保護的EAP(PEAP)，點擊屬性

勾掉“驗證服務器證書“選項，選擇”安全密碼(EAP-MSCHAP v2)，點擊配置

勾掉“自動使用windows登錄名和密碼”

完成以上配置之后，就可以正常連接到IAS服務器，提示輸入用戶名密碼

連接成功

如果客戶端是域成員，可以通過組策略完成以上客戶端的配置。

非域成員需要單獨調整一下，另外，非域成員用戶密碼如何修改也需要在服務器上配置，這個問題接下來再補充。

總結

以上是生活随笔為你收集整理的无线接入认证服务器,搭建基于AD和IAS的802.1X无线认证系统的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。