集成 Radius 认证
目 录
1. Radius 服务器配置.............................................................................................................................................3
. Internet 验证服务配置 ...........................................................................................................................3
. 组策略配置 .............................................................................................................................................7
. 查看认证状态 .........................................................................................................................................8
. 新建访问用户 .........................................................................................................................................9
2. Radius 客户端配置.............................................................................................................................................9
3. 恳求者配置 ..........................................................................................................................................10
. 恳求者配置 ...........................................................................................................................................10
. 恳求者登录 ...........................................................................................................................................11
1. Radius 服务器配置
验证服务配置
通过 windows2003
的组件安装向导,安装
网络服务的 Internet 验
证服务。
安装完毕 Internet
验证服务,请打开管理
控制台,在 Radius 客户
端下 新建 Radius 客户
端。
在 相 应 的 位 置 输
入 Radius 客户端的 IP
地址及共享密钥。
在远程访问策略下
删除原有策略配置,新
建一条新的策略。
选择 使用向导来
设置普通情况下的典型
策略
访问方法视网络连
接方式而定,例如:内
部网络测试,选择以太
网或无线。
给予用户或组的授
权访问权限。
选 择 使 用 此 策 略
的 EAP 类型,例如我们
选择 MD5-质询
远程访问策略建立
完毕。
可以点击属性来查
看和编辑访问策略。
点击编辑配置文件
例如修改身份认证
方法,点击 EAP 方法
确认已经包括需要
使用的身份认证方法。
.组策略配置
在组策略编辑器内,
选 择 计 算 机 配 置
---windows 设置---安全设
置---帐户策略---密码策略,
编辑右侧的密码策略,启
用:用可还原的加密来存
储密码
.查看认证状态
在 windows 事件查
看 器 内 , 查 看 通 过
Internet 验证服务验证
的状态。
.新建访问用户
新建 windows 系统
帐号,打开用户属性,
确认用户具有远程访问
权限。
2. Radius 客户端配置
!
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
dot1x system-auth-control
!
interface FastEthernet0/1
switchport mode access
dot1x port-control auto
dot1x timeout quiet-period 30
dot1x timeout reauth-period 30
dot1x timeout supp-timeout 2
dot1x max-req 10
dot1x guest-vlan 2
dot1x reauthentication
spanning-tree portfast
!
interface Vlan1
以 Cisco Catalyst 交
换机作为 Radius 客户端
为例。
启用 AAA 认证
全局启用 dot1X 认证
在接口模式下,配置
FastEthernet0/1 使 用
配置交换机管理地址。
ip address
no ip route-cache
!
radius-server host auth-port 1812 acct-port 1813 key q1w2e3r4
radius-server retransmit 3
!
配 置 Radius 服务 器
地址、通讯端口、协商密
钥
3. 恳求者配置
.恳求者配置
选择本地网络适配器,
选择属性
选择认证页面。启用
认证,并选择 EAP
类型,例如:以本次实验
为例,我们选择 MD5-质
询。
.恳求者登录
本地网络连接提示,
点击进入认证页面
输入用户名和密码作
为验证信息
连接成功,本地网络
将提示连接成功。
说明
本实验以 Windows2003 作为身份验证服务器平台,安装了 Internet 身份验证组件,未启用域功能。
本实验中恳求者未使用服务器证书验证和恳求者证书验证功能。
