Windows2000server下radius服务器安装配置指南.docx

Windows 2000 server下radius服务器 安装配置指南 编制：孙广伟 日期：2007-12-19 审核： 日期： 批准： 日期： 章节目录 1．radius基本介绍..............................................................................................1 1.1 radius简介.............................................................................................2 1.2 radius的基本工作原理...................................................................3 2. 术语介绍.............................................................................................................4 3. 安装介绍..............................................................................................................5 4. 安装internet信息服务（IIS）.................................................................6 5. 安装域名系统(DNS) ......................................................................................7 6. 配置DNS服务............................................................. ....................................8 7. 安装活动目录(active directory) ......................... ....................................9 8. 配置AD.............................................................................................................10 9. 安装证书服务..................................................................................................11 10. 安装internet验证服务.............................................................................12 11. 配置internet验证服务.............................................................................13 12. 配置验证客户端..........................................................................................14 1. radius基本介绍： TOP 1.1 radius简介： RADIUS: Remote Authentication Dial In User Service，远程用户拨号认证系统 由RFC2865，RFC2866定义，是目前应用最广泛的AAA协议，RADIUS协议最初是由Livingston公司提出的，原先的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议。 1.2 RADIUS的基本工作原理： 用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account- Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。 2. 术语介绍： TOP AAA Authentication, Authorization and Accounting 身份认证（或鉴别）、授权和计帐 CA Certification Authority 证书颁发机构 EAP Extensible Authentication Protocol 可扩展认证协议 EAPOL EAP Over LAN 通过LAN 传输的EAP EAP-MD5 Message-Digest Algorithm verion 5 基于消息摘要算法版本5 的EAP EAP-PEAP Protected EAP 受保护的EAP NAS Network Access Server 网络访问服务器 3．安装介绍： TOP 2.1 在win2000下安装radius服务器需要安装下列服务： a> internet信息服务（IIS） b> 域名系统（DNS） c> 活动目录（AD） d> internet验证服务 e> 证书服务 说明：其中活动目录需要DNS的支持，而验证身份的证书需要通过WEB获取，所以这几个服务缺少任何一个radius服务器都不能配置成功，建议安装这几个服务的光盘和安装操作系统的光盘是同一张光盘，以免系统文件被安装文件替换成系统不可识别的版本从而影响操作系统稳定性。 4. 安装internet信息服务（IIS）： TOP 把win2000的安装光盘放入光驱，依次点击：开始à控制面板à添加删除程序à添加删除windows组件会出现windows组件向导对话框： 图4-1 安装IIS服务------选中IIS点击详细信息 图4-2 安装IIS服务------确认选中所要安装的组件点击确定继续安装 图4-3 安装IIS服务-------确认选中IIS点击下一步继续安装 图4-4 安装IIS服务------完成安装 安装完成后在浏览器地址栏中输入http://127.0.0.1回车后出现iis欢迎页面则说明安装成功。 5.安装域名系统(DNS) TOP 依次点击开始à控制面板à添加删除程序à添加删除windows组件 图5-1 安装DNS服务------选中网络服务点击详细信息 图5-2 安装DNS服务-----确认选中域名系统复选框后点击确定 图5-3 安装DNS服务-----完成安装 6. 配置DNS服务： TOP 因为在安装active directory 时需要建好一个域，因此在安装active directory以前首先要配置好DNS服务。依次电击开始à程序à管理工具àDNS，出现DNS主控制台： 图6-1 配置DNS服务-----右击正向搜索区域选择新建区域 图6-2 配置DNS服务-----新建区域向导 图6-3 配置DNS服务-----继续配置 图6-4 配置DNS服务------继续配置 图6-5 配置DNS服务-----新建域名 图6-6 配置DNS服务-----使用默认 图6-7 配置DNS服务----完成创建新域，右击新域选择属性 图6-8配置DNS服务-----允许动态更新，确定 7. 安装活动目录(active directory) TOP 要注意AD必须安装NTFS5.0的卷上。依次点击开始à程序à管理工具à配置服务器： 图7-1 安装AD-----点击active directory 图7-2 安装AD-----点击启动来启动active directory向导 图7-3 安装AD-----继续安装 图7-4 安装AD------选择默认，继续安装 图7-5 安装AD----继续安装 图7-6 安装AD -----继续安装 图7-7 安装AD-----新域的DNS全名要写在DNS里建的域 图7-8 安装AD------使用默认继续安装 图7-9 安装AD------使用默认继续安装 图7-10 安装AD------使用默认继续安装 图7-11 安装AD------输入管理员密码 图7-12 安装AD-----确认无误后继续安装 图7-13 安装AD-----等待服务器配置AD 图7-14 安装AD-----完成安装 8. 配置AD TOP 依次点击开始à程序à管理工具àActive Directory用户和计算机： 图8-1 配置AD -----右击users新建用户 图8-2 配置AD-----创建用户名 图8-3 配置AD-----定义密码策略 图8-4 配置AD------确认无误后完成创建 图8-5配置AD---确认创建用户 9. 安装证书服务： TOP 依次点击开始à控制面板à添加删除程序à添加删除windows组件： 图9-1 安装证书服务-----选中证书服务点击下一步 图9-2 安装证书服务------选中企业根CA(E) 图9-3 安装证书服务-------填写CA标识信息 图9-4 安装证书服务-----使用默认继续安装 图9-5 安装证书服务------完成安装 图9-6 安装证书服务------在管理工具中查看证书办法机构 图9-7 安装证书服务------查看证书 图9-8 安装证书服务-----确认证书信息 10. 安装internet验证服务： TOP 依次点击开始à控制面板à添加删除程序à添加删除windows组件à网络服务： 图10-1 安装internet验证服务-----确认选择internet验证服务 图10-2 安装internet验证服务------完成安装 11. 配置internet验证服务： TOP 在管理工具中打开internet验证服务： 图11-1 配置internet验证服务-----右击客户端选择新建客户端 图11-2 配置internet验证服务-------指派客户端名称 图11-3 配置internet验证服务-------填写客户端信息 图11-4 配置internet验证服务-----完成添加客户端 图11-5 配置internet验证服务-----配置远程访问策略 图11-6 配置internet验证服务----选择授予远程访问权限点击编辑配置文件 图11-7 配置internet验证服务-----选择EAP类型为受保护的EAP点击确定完成配置 至此服务器的安装和配置完毕，用一个操作系统为XP的PC和一个支持802.1x的交换机 和服务器连接起来。交换机的配置省略： 12. 配置验证客户端： TOP 在浏览器的地址栏中输入http://服务器IP/certsrv 图12-1 配置验证客户端------申请证书 图12-2 配置验证客户端-----选择申请类型 图12-3 配置验证客户端------填写证书模板 图12-4 配置验证客户端----确认提交申请 图12-5 配置验证客户端-----选择“是“ 图12-6 配置验证客户端------证书申请成功安装证书 图12-7 配置验证客户端------选择“是“ 图12-8 配置验证客户端-----确认证书安装成功 图12-9 配置验证客户端-----打开本地连接属性点击验证 图12-10 配置验证客户端------起用IEEE802.1x验证，EAP类型选择受保护的EAP 客户端的配置完毕，这时把PC连到交换机的认证口上就可以用WINXP自带的客户端进行验证。