2022年radius认证服务器配置 .pdf

基于 IEEE 802.1x 认证系统的组成一个完整的基于IEEE 802.1x 的认证系统由认证客户端、认证者和认证服务器3 部分（角色）组成。认证客户端。认证客户端是最终用户所扮演的角色，一般是个人计算机。它请求对网络服务的访问，并对认证者的请求报文进行应答。认证客户端必须运行符合IEEE 802.1x 客户端标准的软件，目前最典型的就是Windows XP 操作系统自带的IEEE802.1x 客户端支持。另外，一些网络设备制造商也开发了自己的IEEE 802.1x 客户端软件。认证者认证者一般为交换机等接入设备。该设备的职责是根据认证客户端当前的认证状态控制 其与 网络的 连接 状态。扮演 认证 者角 色的设 备有 两种 类型的 端口：受 控端口（controlled Port）和非受控端口（uncontrolled Port）。其中，连接在受控端口的用户只有通过认证才能访问网络资源；而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上，便可以实现对用户的控制；非受控端口主要是用来连接认证服务器，以便保证服务器与交换机的正常通讯。认证服务器认证服务器通常为RADIUS 服务器。认证服务器在认证过程中与认证者配合，为用户提供认证服务。认证服务器保存了用户名及密码，以及相应的授权信息，一台认证服务器可以对多台认证者提供认证服务，这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的审计数据。微软公司的 Windows Server 2003 操作系统自带有RADIUS服务器组件。实验拓扑图安装 RADIUS 服务器：如果这台计算机是一台Windows Server 2003 的独立服务器（未升级成为域控制器，也未加入域），则可以利用SAM来管理用户账户信息；如果是一台Windows Server 2003 域控制器，则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM 来安全、稳定，但 RADIUS 服务器提供的认证功名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 13 页 -能相同。为便于实验，下面以一台运行Windows Server 2003的独立服务器为例进行介绍，该计算机的IP 地址为 172.16.2.254。在控制面板 中双击 添加或删除程序，在弹出的对话框中选择添加/删除Windows组件 在弹出的 Windows 组件向导 中选择 网络服务 组件，单击 详细信息 勾选Internet 验证服务 子组件，确定，然后单击下一步 进行安装名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 13 页 -在控制面板 下的 管理工具 中打开 Internet 验证服务 窗口创建用户账户RADIUS服务器安装好之后，需要为所有通过认证才能够访问网络的用户在RADIUS服务器中创建账户。这样，当用户的计算机连接到启用了端口认证功能的交换机上的端口上时，启用了IEEE 802.1x 认证功能的客户端计算机需要用户输入正确的账户和密码后，才能够访问网络中的资源。在控制面板 下的 管理工具 中打开 计算机管理，选择 本地用户和组 名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 13 页 -为了方便管理，我们创建一个用户组802.1x 专门用于管理需要经过IEEE 802.1x 认证的用户账户。鼠标右键单击组，选择 新建组，输入组名后创建组。在添加用户之前，必须要提前做的是，打开 控制面板-管理工具 下的 本地安全策略，依次选择 账户策略-密码策略，启用 用可还原的加密来储存密码策略项。名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 13 页 -否则以后认证的时候将会出现以下错误提示。接下来我们添加用户账户0801010047，设置密码 123。鼠标右键单击用户，选择 新用户，输入用户名和密码，创建用户。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 13 页 -将用户 0801010047加入到 802.1x 用户组中。鼠标右键单击用户0801010047，选择 属性。在弹出的对话框中选择隶属于，然后将其加入802.1x 用户组中。设置远程访问策略名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 13 页 -在 RADIUS 服务器的”Internet 验证服务”窗口中，需要为Cisco2950 交换机以及通过该交换机进行认证的用户设置远程访问策略。具体方法如下：新建远程访问策略，鼠标右键单击远程访问策略，选择 新建远程访问策略 选择配置方式，这里我们使用向导模式选择访问方法，以太网名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 13 页 -选择授权方式，将之前添加的802.1x 用户组加入许可列表选择身份验证方法，MD5-质询 名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 13 页 -确认设置信息只保留新建的访问策略，删掉其他的名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 13 页 -创建 RADIUS 客户端需要说明的是，这里要创建的RADIUS 客户端，是指类似于图3 中的交换机设备，在实际应用中也可以是VPN 服务器、无线AP 等，而不是用户端的计算机。RADIUS 服务器只会接受由RADIUS客户端设备发过来的请求，为此需要在RADIUS服务器上来指定RADIUS 客户端。以图3 的网络拓扑为例，具体步骤如下：新建 RADIUS 客户端。鼠标右键单击RADIUS客户端，选择 新建 RADIUS 客户端 设置 RADIUS 客户端的名称和IP 地址。客户端 IP 地址即交换机的管理IP 地址，我们这里是 172.17.2.250，等会说明如何配置。名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 13 页 -设置共享密钥和认证方式。认证方式选择RADIUS Standard，密钥请记好，等会配置交换机的时候这个密钥要相同。显示已创建的RADIUS 客户端名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 13 页 -在交换机上启用认证机制现在对支持IEEE 802.1x 认证协议的交换机进行配置，使它能够接授用户端的认证请求，并将请求转发给RADIUS服务器进行认证，最后将认证结果返回给用户端。在拓扑图中：RADIUS 认证服务器的IP 地址为 172.17.2.254/24 交换机的管理IP 地址为 172.16.2.250/24 需要认证的计算机接在交换机的FastEthernet0/5 端口上因此我们实验时只对FastEthernet0/5 端口进行认证，其他端口可不进行设置。具体操作如下：名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 13 页 -使用 Console 口登陆交换机，设置交换机的管理IP 地址Cisco2950enable Cisco2950#configure terminal Cisco2950(config)#interface vlan 1(配置二层交换机管理接口IP 地址)Cisco2950(config-if)#ip address 172.17.2.250 255.255.255.0 Cisco2950(config-if)#no shutdown Cisco2950(config-if)#end Cisco2950#wr 在交换机上启用AAA 认证Cisco2950#configure terminal Cisco2950(config)#aaa new-model(启用 AAA 认证)Cisco2950(config)#aaa authentication dot1x default group radius(启用 dot1x 认证)Cisco2950(config)#dot1x system-auth-control(启用全局 dot1x 认证)指定 RADIUS 服务器的IP 地址和交换机与RADIUS 服务器之间的共享密钥Cisco2950(config)#radius-server host 172.17.2.254 key (设置验证服务器IP 及密钥)Cisco2950(config)#radius-server retransmit 3(设置与 RADIUS 服务器尝试连接次数为3 次)配置交换机的认证端口，可以使用interface range 命令批量配置端口，这里我们只对FastEthernet0/5 启用 IEEE 802.1x 认证Cisco2950(config)#interface fastEthernet 0/5 Cisco2950(config-if)#switchport mode access(设置端口模式为access)Cisco2950(config-if)#dot1x port-control auto(设置 802.1x 认证模式为自动)Cisco2950(config-if)#dot1x timeout quiet-period 10(设置认证失败重试时间为10 秒)Cisco2950(config-if)#dot1x timeout reauth-period 30(设置认证失败重连时间为30 秒)Cisco2950(config-if)#dot1x reauthentication(启用 802.1x 认证)Cisco2950(config-if)#fontning-tree portfast(开启端口 portfast 特性)Cisco2950(config-if)#end Cisco2950#wr 名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页，共 13 页 -