Radius认证服务器的配置与应用讲解
RADIUS认证配置实列
创新联杰RADIUS认证配置实列实验图如:一案列分析1、当无线客户端在AP的覆盖区域内,就会发现以SSID标识出来的无线信号,从中可以看到SSID名称和加密类型,以便用户判断选择。
2、无线AP配置成只允许经过802.1X认证过的用户登录,当用户尝试连接时,AP会自动设置一条限制通道,只让用户和RADIUS服务器通信,RADIUS服务器只接受信任的RADIUS客户端(这里可以理解为AP或者无线控制器),用户端会尝试使用802.1X,通过那条限制通道和RADIUS服务器进行认证。
3、RADIUS收到认证请求之后,首先会在AD中检查用户密码信息,如果通过密码确认,RADIUS会收集一些信息,来确认该用户是否有权限接入到无线网络中,包括用户组信息和访问策略的定义等来决定拒绝还是允许,RADIUS把这个决定传给radius客户端(在这里可以理解为AP或者无线控制器),如果是拒绝,那客户端将无法接入到无线网,如果允许,RADIUS还会把无线客户端的KEY传给RADIUS客户端,客户端和AP会使用这个KEY加密并解密他们之间的无线流量。
4、经过认证之后,AP会放开对该客户端的限制,让客户端能够自由访问网络上的资源,包括DHCP,获取权限之后客户端会向网络上广播他的DHCP请求,DHCP服务器会分配给他一个IP地址,该客户端即可正常通信。
二安装活动目录建帐号三安装IAS、添加删除程序—》添加删除windows组件2、选择“网络服务”,点击“详细信息”3、选择“Internet验证服务”,点击“确定”4、点击“下一步”,windows会自动安装IAS。
5、安装好之后,在“管理工具”里面就会看到“Internet验证服务”,打开之后,在AD中注册服务器,使IAS能够读取AD里面的帐号。
四、为IAS安装证书由于802.1X和WPA都需要证书来用于IAS服务器认证及加密密钥的产生,所以必须要给IAS服务器安装一个证书,否则,在配置IAS的时候会出现无法找到证书的错误。
radius服务器与SQL连接配置
radius服务器与SQL连接配置一、介绍在网络环境中,Radius服务器是一种用于身份认证、授权和账号管理的服务。
而与之配合使用的SQL连接则是为了方便存储和管理账号和认证信息。
本文将介绍如何正确配置Radius服务器与SQL连接,以实现高效的身份认证和访问控制。
二、确定数据库类型在开始Radius服务器与SQL连接配置之前,首先需要确定数据库类型。
目前常用的数据库类型有MySQL、Oracle、SQL Server等。
根据实际情况选择合适的数据库类型,并确保已经安装了相应的数据库软件。
三、安装Radius服务器1. 下载和安装Radius服务器软件,常用的有FreeRADIUS和Microsoft Network Policy Server(NPS)等。
根据实际需求选择合适的软件,并按照官方文档进行安装。
四、创建数据库和表格1. 登录数据库管理工具,创建一个新的数据库,例如命名为"radius"。
2. 在新创建的数据库中,创建一个名为"users"的表格,用于存储用户认证信息。
五、配置Radius服务器1. 打开Radius服务器配置文件,通常是"radius.conf"或"radiusd.conf"。
根据实际软件和版本的不同,配置文件所在位置可能有所不同。
2. 找到以下配置项:auth_backend = "sql"sql_driver = "mysql"sql_server = "localhost"sql_port = 3306sql_database = "radius"sql_username = "root"sql_password = "password"sql_table = "users"修改这些配置项的值,以匹配实际的数据库信息和账号密码。
RADIUS安全协议的认证与授权流程
RADIUS安全协议的认证与授权流程RADIUS(Remote Authentication Dial-In User Service)是一种广泛应用于网络认证和授权的协议。
它被广泛应用于提供网络访问服务的系统中,特别是在企业和服务提供商网络中。
RADIUS协议通过提供一种标准化的认证和授权机制,确保网络中用户的安全和身份验证。
本文将介绍RADIUS协议的认证与授权流程,并探讨其在网络安全中的重要性。
认证流程:1. 用户请求访问:当用户想要访问网络资源时,他们首先必须进行身份验证。
用户通过拨号、无线接入点或VPN客户端等方式向RADIUS服务器发起访问请求。
2. 认证请求传输:RADIUS客户端(例如接入点或VPN服务器)将用户的认证请求传输到RADIUS服务器。
这些请求通常包含用户的用户名和密码等凭据信息。
3. RADIUS服务器响应:RADIUS服务器接收到认证请求后,根据用户名和密码等凭据信息进行验证。
如果凭据与服务器中存储的用户信息匹配,服务器将返回认证成功的响应。
4. 认证成功:RADIUS客户端接收到认证成功的响应后,允许用户访问网络资源。
同时,RADIUS服务器将为该用户生成并发送一个会话密钥,用于后续的安全通信。
授权流程:5. 授权请求传输:经过认证的用户在访问网络资源时,RADIUS客户端会向RADIUS服务器发送授权请求。
此请求包含用户访问的资源和相关权限等信息。
6. RADIUS服务器处理:RADIUS服务器接收到授权请求后,会检查用户的访问权限和所请求资源的规则。
如果用户被授权访问资源,服务器将返回授权成功的响应。
7. 授权成功:RADIUS客户端收到授权成功的响应后,用户将被允许访问所请求的资源。
此时,用户可以开始使用网络服务和应用程序。
RADIUS协议在认证和授权过程中的重要性:RADIUS协议在网络安全中起着至关重要的作用。
它提供了一种中心化的身份验证和访问控制机制,帮助组织有效地管理和控制用户对网络资源的访问。
RADIUS协议的账号管理配置
RADIUS协议的账号管理配置RADIUS(远程身份验证拨号用户服务)是一种用于网络接入认证、授权和账号管理的协议。
它被广泛应用于企业、教育机构和服务提供商等不同场景中。
本文将介绍如何进行RADIUS协议的账号管理配置,帮助网络管理员更好地管理用户账号。
一、概述在网络环境中,为了保障网络资源的安全和有效使用,账号管理是必不可少的一项工作。
RADIUS协议通过将认证、授权和账号管理集中在一台或多台RADIUS服务器上,为网络管理员提供了更加灵活和可控的用户账号管理方式。
二、配置RADIUS服务器1. 安装和配置RADIUS服务器软件RADIUS服务器软件有多种选择,例如FreeRADIUS、Microsoft NPS等。
根据实际需求选择并安装合适的软件,然后按照软件提供的配置文档进行配置。
2. 创建RADIUS客户端在RADIUS服务器上创建一个客户端,用于与接入设备通信。
配置客户端时,需要指定一个共享密钥,该密钥将用于客户端和服务器之间的认证。
3. 配置认证方法RADIUS支持多种认证方法,包括PAP、CHAP、MS-CHAP等。
根据网络环境和需求选择合适的认证方法,并进行相应的配置。
4. 配置账号管理策略RADIUS服务器通常支持不同的账号管理策略,如账号锁定、密码策略等。
根据实际情况配置账号管理策略,以提高账号的安全性和管理效率。
三、接入设备配置1. 配置RADIUS服务器地址在接入设备上配置RADIUS服务器的地址和端口号,以便设备能够与RADIUS服务器进行通信。
2. 配置共享密钥将与RADIUS服务器配置的客户端共享密钥配置到接入设备上,确保设备和服务器之间的通信得到有效认证。
3. 配置认证方式根据RADIUS服务器的配置,选择合适的认证方式进行配置,以便设备能够正确地与服务器进行认证。
四、用户账号管理1. 添加用户账号通过RADIUS服务器的管理界面或命令行工具,添加用户账号信息,包括用户名、密码、权限等。
RADIUS协议远程身份验证和授权的协议
RADIUS协议远程身份验证和授权的协议RADIUS(Remote Authentication Dial-In User Service)是一种用于远程身份验证和授权的网络协议。
它被广泛应用于各种网络环境中,包括企业网络、互联网服务提供商(ISP)以及无线接入网络等。
本文将从RADIUS协议的背景、工作原理、应用场景以及安全性等方面对该协议进行介绍。
一、背景和起源RADIUS协议最早由Livingston Enterprises开发,旨在提供一种集中式的用户身份验证和授权服务。
在过去的几十年里,随着网络的迅猛发展和用户数量的不断增加,简单的用户名和密码已经无法满足对网络资源的安全访问需求。
因此,RADIUS协议应运而生,为网络管理员提供了一种高效可靠的身份验证和授权方案。
二、工作原理RADIUS协议的工作原理可以总结为以下几个步骤:1. 认证请求:用户通过拨号或无线接入等方式向访问服务器(Access Server)发起连接请求,并提供用户名和密码等认证信息。
2. 认证请求传递:访问服务器收到认证请求后,将其转发给RADIUS服务器(RADIUS Server)进行用户身份验证。
传递过程中使用的是网络层协议(如UDP)和RADIUS协议格式规定的数据包。
3. 用户身份验证:RADIUS服务器接收到认证请求后,根据事先配置的认证策略(如用户名密码对应关系),对用户提供的用户名和密码进行验证。
如果验证通过,RADIUS服务器会向访问服务器发送认证成功的响应消息,否则发送认证失败的响应消息。
4. 会计和授权:RADIUS服务器在认证过程中还可以记录用户的账户信息、连接时间等用于会计和计费,并向访问服务器发送授权信息。
访问服务器根据授权信息为用户提供访问特定网络资源的权限。
三、应用场景RADIUS协议在各种网络环境中都有广泛的应用,以下是一些常见的应用场景:1. 企业网络:在企业内部网络中,RADIUS协议被用于实现员工远程访问网关、无线接入控制和VPN等功能。
使用RADIUS身份验证
使用RADIUS身份验证
使用 RADIUS 身份验证
打开路由和远程访问。
右键单击要配置RADIUS 身份验证的服务器名,然后单击“属性”。
在“安全”选项卡上的“验证提供程序”内,单击“RADIUS 身份验证”,然后单击“配置”。
在“RADIUS 身份验证”对话框中,单击“添加”。
在“添加 RADIUS 服务器”对话框中,配置 RADIUS 身份验证服务器的设置,然后单击“确定”。
当添加一台 RADIUS 服务器时,必须配置以下内容:
服务器名称
运行 RADIUS 服务器进程的计算机主机名称和 IP 地址。
机密
RADIUS 客户机(运行Windows 2000 的远程访问服务器)和RADIUS 服务器共享机密,这个机密用于加密二者之间发送的消息。
必须配置 RADIUS 客户机和 RADIUS 服务器以使用相同的共享机密。
端口
RADIUS 客户机必须将它的身份验证请求发送到RADIUS 服务器正在监听的 UDP 端口。
默认值 1812 基于 RFC 2138、“远程身份验证拨入用户服务(RADIUS)”。
对于某些老式RADIUS 服务器,端口应设置为 1645。
radius认证原理(一)
radius认证原理(一)•Radius是一种用于认证、授权和帐单处理的网络协议,由Livingston Enterprises, Inc. 开发,目前已经成为一种广泛应用的认证协议。
•Radius首先在Unix系统中得到应用,并早期被认为是远程用户身份认证(Remote User Dial-In User Service)的标准。
•Radius基于客户/服务器模型,有一个中心的Radius 服务器和许多Radius客户端。
•它主要是通过网络上的Radius客户端向Radius服务器提出认证请求,然后协议在服务器上进行身份验证,并返回所需权限的结果。
•身份验证和授权信息被存储在服务器端的数据库中,以便通过多个服务器进行分布式身份验证和访问控制。
•首先,客户端需要输入用户名和密码来请求访问网络资源。
•第二,Radius客户端会将认证请求打包成网络协议,并将其发送到Radius服务器。
•第三,Radius服务器会验证用户提供的信息,并与其身份验证数据库进行比较。
•第四,如果验证成功,服务器会将Radius配置文件中规定的属性发送给客户端,告诉其它网络服务器哪个服务由该用户使用。
•第五,最后,客户端可以使用验证方式访问网络上的资源。
•具有高度的可扩展性,Radius服务器可以处理大量的请求。
•提供良好的安全性,只有经过验证的用户才能访问数据和应用。
•身份认证信息和授权信息分离,解耦性好。
•支持多种验证协议,如 CHAP、MS-CHAP、PAP 等。
•WAN接入认证:通过Radius认证控制用户的拨号或ADSL接入。
•VPN接入认证:用户通过VPN接入服务器时需要身份验证和授权。
•无线网络:使用radius对无线网卡进行认证,防止未授权的客户端接入无线网络。
•Web认证:Radius可以和Web服务器进行集成,来控制和管理访问权限。
总之,Radius认证协议已成为企业网络安全中重要的一环,具备高度的可扩展性和良好的安全性。
Radius工作原理与Radius认证服务
Radius工作原理与Radius认证服务Radius工作原理RADIUS原先的目的是为拨号用户进行认证和计费。
后来经过多次改进,形成了一项通用的认证计费协议。
RADIUS是一种C/S结构的协议,它的客户端最初就是NAS服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。
RADIUS的基本工作原理:用户接入NAS,NAS向RADIUS服务器使用Access-Require 数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。
RADIUS还支持代理和漫游功能。
简单地说,代理就是一台服务器,可以作为其他RADIUS服务器的代理,负责转发RADIUS认证和计费数据包。
所谓漫游功能,就是代理的一个具体实现,这样可以让用户通过本来和其无关的RADIUS服务器进行认证。
RADIUS服务器和NAS服务器通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作。
采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中,使用UDP更加快捷方便。
RADIUS协议还规定了重传机制。
如果NAS向某个RADIUS服务器提交请求没有收到返回信息,那么可以要求备份RADIUS服务器重传。
由于有多个备份RADIUS服务器,因此NAS进行重传的时候,可以采用轮询的方法。
配置RADIUS远程认证服务
j
程 访 问 ,可 以 让 可 以快捷 方便地 访 问 内网资源。但是 ,如何对这 些 VPN i Directory管 理
用 户 在 任 何 位 置 访 问进行安全认证,是维护网络运作不可忽视的问题。} 中 心 中 的 “User”
I
都 可 快 捷 方 便 使 用 RADIUS服 务 器 ,就 可 以很 好 地 完 成 这 一任 务 。本 文 j 中 双 击 “RAS and
如 果 输 入 的 是 计 算 机 名 称 ,需 要 点 击 “验 证 ”按 钮 ,来 检 测 是 否 可 以 解 析 到 VPN服 务 器 的 IP地 址 。
在 “共 享 机 密 ”栏 中 ig择 “手 动 ”项 ,可 以手 工 输 入 密 码 。 也 可 以 选 择 “生 成 ”项 , 让 系 统 自 动 创 建 密 码 。 注 意 ,密 码 是 区 分 大 小 写 的 ,在 RADIUS客 户 端 也 需 要 设 _置 相 同 的 密 码 , 否 则 R A DIUS服 务 器 将 拒 绝 接 受 客户 端 发 送 来 的 各 种 请 求 信 息 。
器 左 侧 点 击 “角 色 ”项 ,在 右 registeredserver’’命 令 ,来 栏 中 输 入 客 广】端 名 称 (例 如
侧 点 击 “添 加 角 色 ”链 接 ,在 实 现 同样 的 效 果 。
“VPN服 务 ”),在 “地 址 (IP或
向 导 界 面 中 点 击 “下 一 步 ”,
— — —.., .—
— .. . — — .. . ..一 .... ,.,,— —
..一 .... 一 一 , 一.. ..一
一 ..,... 一 一 一 — — — ..一
学习笔记--Radius服务及其搭建过程
学习笔记--Radius服务及其搭建过程1RADIUS服务1.1radius工作原理RADIUS(Remote Authentication Dial In User Service)远程认证拨号用户服务,是在网络访问服务器(Network Access Server,NAS)和集中存放认证信息的Radius服务器之间传输认证、授权和配置信息的协议。
RADIUS以Client/Server方式工作,实现了对远程电话拨号用户的身份认证、授权和计费功能。
其Client端多为通过拨号方式实现的NAS,主要用来将用户信息传递给服务器;RADIUS服务器则对用户进行认证,并返回用户的配置信息。
为了保证传输的安全性,在Client 和Server之间传送的数据均以MD5方式加密。
在RADIUS的Server端和Client端之间的通信主要有两种情况;一种是接入认证;另一种是计费请求。
使用RADIUS可以实现集中化的认证和记费功能,可以减少管理的负担和费用,同时还可以实现很多扩展的功能,如用户拨号时间的限定、用户拨号时间的配额、根据用户分配特定IP地址等等。
RADIUS是一种基于UDP协议的上层协议,认证服务的监听端口号为1812,记费服务的监听端口号为1813。
RADIUS的工作流程是:(1)用户拨入NAS; (2)NAS向RADIUS服务器发送一系列加密的“属性/值”; (3)RADIUS服务器检查用户是否存在、属性/值是否匹配;(4)RADIUS 服务器发送回“接受“或“拒绝“给NAS。
RADIUS服务器通常是基于数据库来实现的。
对于大型ISP,通常会使用诸如Oracle之类的大型后台数据库。
而对于中小型应用使用mySQL这样的数据库就足够了。
RADIUS的身份验证也可以通过LDAP来实现,但其应用不如数据库那么广泛。
2FREERADIUS安装FREERADIUS是一套开源免费的完全兼容RADIUS协议的RADIUS服务器/客户端软件,可以用它对用户的接入和访问特定的网络进行有效的控制、授权、计费等等,它支持多种验证,包括文件、LDAP以及主流的支持SQL的数据库(ORACLE,MYSQL,DB2等等)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Radius认证服务器的配置与应用(802.1x) IEEE802.1x协议 IEEE802.1x是一个基于端口的网络访问控制协议,该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而实现认证与业务的分离,保证了网络传输的效率。IEEE802系列局域网(LAN)标准占据着目前局域网应用的主要份额,但是传统的IEEE802体系定义的局域网不提供接入认证,只要用户能接入集线器、交换机等控制设备,用户就可以访问局域网中其他设备上的资源,这是一个安全隐患,同时也不便于实现对局域网接入用户的管理。IEEE802.1x是一种基于端口的网络接入控制技术,在局域网设备的物理接入级对接入设备(主要是计算机)进行认证和控制。连接在交换机端口上的用户设备如果能通过认证,就可以访问局域网内的资源,也可以接入外部网络(如Internet);如果不能通过认证,则无法访问局域网内部的资源,同样也无法接入Internet,相当于物理上断开了连接。
IEEE802.1x协议采用现有的可扩展认证协议(ExtensibleAuthenticationProtocol,EAP),它是IETF提出的PPP协议的扩展,最早是为解决基于IEEE802.11标准的无线局域网的认证而开发的。虽然IEEE802.1x定义了基于端口的网络接入控制协议,但是在实际应用中该协议仅适用于接入设备与接入端口间的点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。典型的应用方式有两种:一种是以太网交换机的一个物理端口仅连接一个计算机;另一种是基于无线局域网(WLAN)的接入方式。其中,前者是基于物理端口的,而后者是基于逻辑端口的。目前,几乎所有的以太网交换机都支持IEEE802.1x协议。
RADIUS服务器 RADIUS(RemoteAuthenticationDialInUserService,远程用户拨号认证服务)服务器提供了三种基本的功能:认证(Authentication)、授权(Authorization)和审计(Accounting),即提供了3A功能。其中审计也称为“记账”或“计费”。
RADIUS协议采用了客户机/服务器(C/S)工作模式。网络接入服务器(NetworkAccessServer,NAS)是RADIUS的客户端,它负责将用户的验证信息传递给指定的RADIUS服务器,然后处理返回的响应。RADIUS服务器负责接收用户的连接请求,并验证用户身份,然后返回所有必须要配置的信息给客户端用户,也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。服务器和客户端之间传输的所有数据通过使用共享密钥来验证,客户端和RADIUS服务器之间的用户密码经过加密发送,提供了密码使用的安全性。
基于IEEE802.1x认证系统的组成 一个完整的基于IEEE802.1x的认证系统由认证客户端、认证者和认证服务器3部分(角色)组成。
认证客户端。认证客户端是最终用户所扮演的角色,一般是个人计算机。它请求对网络服务的访问,并对认证者的请求报文进行应答。认证客户端必须运行符合IEEE802.1x客户端标准的软件,目前最典型的就是WindowsXP操作系统自带的IEEE802.1x客户端支持。另外,一些网络设备制造商也开发了自己的IEEE802.1x客户端软件。
认证者认证者一般为交换机等接入设备。该设备的职责是根据认证客户端当前的认证状态控制其与网络的连接状态。扮演认证者角色的设备有两种类型的端口:受控端口(controlledPort)和非受控端口(uncontrolledPort)。其中,连接在受控端口的用户只有通过认证才能访问网络资源;而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上,便可以实现对用户的控制;非受控端口主要是用来连接认证服务器,以便保证服务器与交换机的正常通讯。
认证服务器认证服务器通常为RADIUS服务器。认证服务器在认证过程中与认证者配合,为用户提供认证服务。认证服务器保存了用户名及密码,以及相应的授权信息,一台认证服务器可以对多台认证者提供认证服务,这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的审计数据。微软公司的WindowsServer2003操作系统自带有RADIUS服务器组件。
实验拓扑图 安装RADIUS服务器 如果这台计算机是一台WindowsServer2003的独立服务器(未升级成为域控制器,也未加入域),则可以利用SAM来管理用户账户信息;如果是一台WindowsServer2003域控制器,则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定,但RADIUS服务器提供的认证功能相同。为便于实验,下面以一台运行WindowsServer 在"控制面板"中双击"添加或删除程序",在弹出的对话框中选择"添加/删除Windows组件" 在弹出的"Windows组件向导"中选择"网络服务"组件,单击"详细信息" 勾选"Internet验证服务"子组件,确定,然后单击"下一步"进行安装 在"控制面板"下的"管理工具"中打开"Internet验证服务"窗口 创建用户账户 RADIUS服务器安装好之后,需要为所有通过认证才能够访问网络的用户在RADIUS服务器中创建账户。这样,当用户的计算机连接到启用了端口认证功能的交换机上的端口上时,启用了IEEE802.1x认证功能的客户端计算机需要用户输入正确的账户和密码后,才能够访问网络中的资源。
在"控制面板"下的"管理工具"中打开"计算机管理",选择"本地用户和组" 为了方便管理,我们创建一个用户组"802.1x"专门用于管理需要经过IEEE802.1x认证的用户账户。鼠标右键单击"组",选择"新建组",输入组名后创建组。
在添加用户之前,必须要提前做的是,打开"控制面板"-"管理工具"下的"本地安全策略",依次选择"账户策略"-"密码策略",启用"用可还原的加密来储存密码"策略项。 否则以后认证的时候将会出现以下错误提示。 设置远程访问策略 在RADIUS服务器的”Internet验证服务”窗口中,需要为Cisco2950交换机以及通过该交换机进行认证的用户设置远程访问策略。具体方法如下:
新建远程访问策略,鼠标右键单击"远程访问策略",选择"新建远程访问策略" 选择配置方式,这里我们使用向导模式 选择访问方法,以太网 选择授权方式,将之前添加的"802.1x"用户组加入许可列表 选择身份验证方法,"MD5-质询" 确认设置信息 只保留新建的访问策略,删掉其他的 创建RADIUS客户端 需要说明的是,这里要创建的RADIUS客户端,是指类似于图3中的交换机设备,在实际应用中也可以是VPN服务器、无线AP等,而不是用户端的计算机。RADIUS服务器只会接受由RADIUS客户端设备发过来的请求,为此需要在RADIUS服务器上来指定RADIUS客户端。以图3的网络拓扑为例,具体步骤如下:
新建RADIUS客户端。鼠标右键单击"RADIUS客户端",选择"新建RADIUS客户端" 设置共享密钥和认证方式。认证方式选择"RADIUSStandard",密钥请记好,等会配置交换机的时候这个密钥要相同。 显示已创建的RADIUS客户端 在交换机上启用认证机制 现在对支持IEEE802.1x认证协议的交换机进行配置,使它能够接授用户端的认证请求,并将请求转发给RADIUS服务器进行认证,最后将认证结果返回给用户端。在拓扑图中:
因此我们实验时只对FastEthernet0/5端口进行认证,其他端口可不进行设置。具体操作如下: 使用Console口登陆交换机,设置交换机的管理IP地址 Cisco2950>enable Cisco2950#configureterminal Cisco2950(config)#interfacevlan1(配置二层交换机管理接口IP地址) Cisco2950(config-if)#ipaddressshutdown Cisco2950(config-if)#end Cisco2950#wr 在交换机上启用AAA认证
Cisco2950#configureterminal Cisco2950(config)#aaanew-model(启用AAA认证) Cisco2950(config)#aaaauthenticationdot1xdefaultgroupradius(启用dot1x认证) Cisco2950(config)#dot1xsystem-auth-control(启用全局dot1x认证) 指定RADIUS服务器的IP地址和交换机与RADIUS服务器之间的共享密钥
Cisco2950(config)#radius-serverhostkeyslyar.com(设置验证服务器IP及密钥) Cisco2950(config)#radius-serverretransmit3(设置与RADIUS服务器尝试连接次数为3次) 配置交换机的认证端口,可以使用interfacerange命令批量配置端口,这里我们只对FastEthernet0/5启用IEEE802.1x认证
Cisco2950(config)#interfacefastEthernet0/5 Cisco2950(config-if)#switchportmodeaccess(设置端口模式为access) Cisco2950(config-if)#dot1xport-controlauto(设置802.1x认证模式为自动) Cisco2950(config-if)#dot1xtimeoutquiet-period10(设置认证失败重试时间为10秒) Cisco2950(config-if)#dot1xtimeoutreauth-period30(设置认证失败重连时间为30秒) Cisco2950(config-if)#dot1xreauthentication(启用802.1x认证) Cisco2950(config-if)#spanning-treeportfast(开启端口portfast特性) Cisco2950(config-if)#end Cisco2950#wr 测试802.1x认证接入 2、在"本地连接"的"验证"标签栏中启用IEEE802.1x验证,EAP类型设置为"MD5-质询",其余选项可不选。
3、如果之前配置没有问题,过一会即可看到托盘菜单弹出要求点击进行验证 为保证计算机支持802.1x验证,请确认WirelessConfiguration服务正常开启。 6、可以通过"控制面板"-"管理工具"中的"事件查看器"-"系统"子选项观察802.1x的验证日志。