Radius認證服務器的配置與應用(802.1x)

Radius認證服務器的配置與應用(802.1x)

做者：北京師範大學珠海分校 - 信息技術學院 - 姜南

環境：Windows 2003 Radius服務器+Cisco 2950交換機+Windows XP/2003客戶端

IEEE 802.1x協議

IEEE 802.1x是一個基於端口的網絡訪問控制協議，該協議的認證體系結構中採用了「可控端口」和「不可控端口」的邏輯功能，從而實現認證與業務的分離，保證 了網絡傳輸的效率。IEEE 802系列局域網（LAN）標準佔據着目前局域網應用的主要份額，可是傳統的IEEE 802體系定義的局域網不提供接入認證，只要用戶能接入集線器、交換機等控制設備，用戶就能夠訪問局域網中其餘設備上的資源，這是一個安全隱患，同時也不 便於實現對局域網接入用戶的管理。IEEE 802.1x是一種基於端口的網絡接入控制技術，在局域網設備的物理接入級對接入設備（主要是計算機）進行認證和控制。鏈接在交換機端口上的用戶設備若是 能經過認證，就能夠訪問局域網內的資源，也能夠接入外部網絡（如Internet）；若是不能經過認證，則沒法訪問局域網內部的資源，一樣也沒法接入 Internet，至關於物理上斷開了鏈接。

IEEE 802. 1x協議採用現有的可擴展認證協議（Extensible Authentication Protocol，EAP），它是IETF提出的PPP協議的擴展，最先是爲解決基於IEEE 802.11標準的無線局域網的認證而開發的。雖然IEEE802.1x定義了基於端口的網絡接入控制協議，可是在實際應用中該協議僅適用於接入設備與接 入端口間的點到點的鏈接方式，其中端口能夠是物理端口，也能夠是邏輯端口。典型的應用方式有兩種：一種是以太網交換機的一個物理端口僅鏈接一個計算機；另 一種是基於無線局域網（WLAN）的接入方式。其中，前者是基於物理端口的，然後者是基於邏輯端口的。目前，幾乎全部的以太網交換機都支持IEEE 802.1x協議。

RADIUS服務器

RADIUS（Remote Authentication Dial In User Service，遠程用戶撥號認證服務）服務器提供了三種基本的功能：認證（Authentication）、受權（Authorization）和審計 （Accounting），即提供了3A功能。其中審計也稱爲「記帳」或「計費」。

RADIUS協議採用了客戶機/服務器（C/S）工做模式。網絡接入服務器（Network Access Server，NAS）是RADIUS的客戶端，它負責將用戶的驗證信息傳遞給指定的RADIUS服務器，而後處理返回的響應。RADIUS服務器負責接 收用戶的鏈接請求，並驗證用戶身份，而後返回全部必需要配置的信息給客戶端用戶，也能夠做爲其餘RADIUS服務器或其餘類認證服務器的代理客戶端。服務 器和客戶端之間傳輸的全部數據經過使用共享密鑰來驗證，客戶端和RADIUS服務器之間的用戶密碼通過加密發送，提供了密碼使用的安全性。

基於IEEE 802.1x認證系統的組成

一個完整的基於IEEE 802.1x的認證系統由認證客戶端、認證者和認證服務器3部分（角色）組成。

認證客戶端。認證客戶端是最終用戶所扮演的角色，通常是我的計算機。它請求對網絡服務的訪問，並對認證者的請求報文進行應答。認證客戶端必須運行符 合IEEE 802.1x 客戶端標準的軟件，目前最典型的就是Windows XP操做系統自帶的IEEE802.1x客戶端支持。另外，一些網絡設備製造商也開發了本身的IEEE 802.1x客戶端軟件。

認證者認證者通常爲交換機等接入設備。該設備的職責是根據認證客戶端當前的認證狀態控制其與網絡的鏈接狀態。扮演認證者角色的設備有兩種類型的端 口：受控端口（controlled Port）和非受控端口（uncontrolled Port）。其中，鏈接在受控端口的用戶只有經過認證才能訪問網絡資源；而鏈接在非受控端口的用戶無須通過認證即可以直接訪問網絡資源。把用戶鏈接在受控 端口上，即可以實現對用戶的控制；非受控端口主要是用來鏈接認證服務器，以便保證服務器與交換機的正常通信。

認證服務器認證服務器一般爲RADIUS服務器。認證服務器在認證過程當中與認證者配合，爲用戶提供認證服務。認證服務器保存了用戶名及密碼，以及相 應的受權信息，一臺認證服務器能夠對多臺認證者提供認證服務，這樣就能夠實現對用戶的集中管理。認證服務器還負責管理從認證者發來的審計數據。微軟公司的 Windows Server 2003操做系統自帶有RADIUS服務器組件。

實驗拓撲圖

安裝RADIUS服務器

若是這臺計算機是一臺Windows Server 2003的獨立服務器（未升級成爲域控制器，也未加入域），則能夠利用SAM來管理用戶帳戶信息；若是是一臺Windows Server 2003域控制器，則利用活動目錄數據庫來管理用戶帳戶信息。雖然活動目錄數據庫管理用戶帳戶信息要比利用SAM來安全、穩定，但RADIUS服務器提供 的認證功能相同。爲便於實驗，下面以一臺運行Windows Server 2003的獨立服務器爲例進行介紹，該計算機的IP地址爲172.16.2.254。

在"控制面板"中雙擊"添加或刪除程序"，在彈出的對話框中選擇"添加/刪除Windows組件"

在彈出的"Windows組件嚮導"中選擇"網絡服務"組件，單擊"詳細信息"

勾選"Internet驗證服務"子組件，肯定，而後單擊"下一步"進行安裝

在"控制面板"下的"管理工具"中打開"Internet驗證服務"窗口

建立用戶帳戶

RADIUS服務器安裝好以後，須要爲全部經過認證纔可以訪問網絡的用戶在RADIUS服務器中建立帳戶。這樣，當用戶的計算機鏈接到啓用了端口認 證功能的交換機上的端口上時，啓用了IEEE 802.1x認證功能的客戶端計算機須要用戶輸入正確的帳戶和密碼後，纔可以訪問網絡中的資源。

在"控制面板"下的"管理工具"中打開"計算機管理"，選擇"本地用戶和組"

爲了方便管理，咱們建立一個用戶組"802.1x"專門用於管理須要通過IEEE 802.1x認證的用戶帳戶。鼠標右鍵單擊"組"，選擇"新建組"，輸入組名後建立組。

在添加用戶以前，必需要提早作的是，打開"控制面板"-"管理工具"下的"本地安全策略"，依次選擇"帳戶策略"-"密碼策略"，啓用"用可還原的加密來儲存密碼"策略項。

不然之後認證的時候將會出現如下錯誤提示。

接下來咱們添加用戶帳戶"0801010047"，設置密碼"123"。鼠標右鍵單擊"用戶"，選擇"新用戶"，輸入用戶名和密碼，建立用戶。

將用戶"0801010047"加入到"802.1x"用戶組中。鼠標右鍵單擊用戶"0801010047"，選擇"屬性"。在彈出的對話框中選擇"隸屬於"，而後將其加入"802.1x"用戶組中。

設置遠程訪問策略

在RADIUS服務器的」Internet驗證服務」窗口中，須要爲Cisco2950交換機以及經過該交換機進行認證的用戶設置遠程訪問策略。具體方法以下：

新建遠程訪問策略，鼠標右鍵單擊"遠程訪問策略"，選擇"新建遠程訪問策略"

選擇配置方式，這裏咱們使用嚮導模式

選擇訪問方法，以太網

選擇受權方式，將以前添加的"802.1x"用戶組加入許可列表

選擇身份驗證方法，"MD5-質詢"

確認設置信息

只保留新建的訪問策略，刪掉其餘的

建立RADIUS客戶端

須要說明的是，這裏要建立的RADIUS客戶端，是指相似於圖3中的交換機設備，在實際應用中也能夠是×××服務器、無線AP等，而不是用戶端的計 算機。RADIUS服務器只會接受由RADIUS客戶端設備發過來的請求，爲此須要在RADIUS服務器上來指定RADIUS客戶端。以圖3的網絡拓撲爲 例，具體步驟以下：

新建RADIUS客戶端。鼠標右鍵單擊"RADIUS客戶端"，選擇"新建RADIUS客戶端"

設置RADIUS客戶端的名稱和IP地址。客戶端IP地址即交換機的管理IP地址，咱們這裏是172.17.2.250，等會說明如何配置。

設置共享密鑰和認證方式。認證方式選擇"RADIUS Standard"，密鑰請記好，等會配置交換機的時候這個密鑰要相同。

顯示已建立的RADIUS客戶端

在交換機上啓用認證機制

如今對支持IEEE 802.1x認證協議的交換機進行配置，使它可以接授用戶端的認證請求，並將請求轉發給RADIUS服務器進行認證，最後將認證結果返回給用戶端。在拓撲圖中：

RADIUS認證服務器的IP地址爲172.17.2.254/24
交換機的管理IP地址爲172.16.2.250/24
須要認證的計算機接在交換機的FastEthernet0/5端口上

所以咱們實驗時只對FastEthernet0/5端口進行認證，其餘端口可不進行設置。具體操做以下：

使用Console口登錄交換機，設置交換機的管理IP地址

Cisco2950>enable
Cisco2950#configure terminal
Cisco2950(config)#interface vlan 1 (配置二層交換機管理接口IP地址)
Cisco2950(config-if)#ip address 172.17.2.250 255.255.255.0
Cisco2950(config-if)#no shutdown
Cisco2950(config-if)#end
Cisco2950#wr

在交換機上啓用AAA認證

Cisco2950#configure terminal
Cisco2950(config)#aaa new-model (啓用AAA認證)
Cisco2950(config)#aaa authentication dot1x default group radius (啓用dot1x認證)
Cisco2950(config)#dot1x system-auth-control (啓用全局dot1x認證)

指定RADIUS服務器的IP地址和交換機與RADIUS服務器之間的共享密鑰

Cisco2950(config)#radius-server host 172.17.2.254 key slyar.com (設置驗證服務器IP及密鑰)
Cisco2950(config)#radius-server retransmit 3 (設置與RADIUS服務器嘗試鏈接次數爲3次)

配置交換機的認證端口，可使用interface range命令批量配置端口，這裏咱們只對FastEthernet0/5啓用IEEE 802.1x認證

Cisco2950(config)#interface fastEthernet 0/5
Cisco2950(config-if)#switchport mode access (設置端口模式爲access)
Cisco2950(config-if)#dot1x port-control auto (設置802.1x認證模式爲自動)
Cisco2950(config-if)#dot1x timeout quiet-period 10 (設置認證失敗重試時間爲10秒)
Cisco2950(config-if)#dot1x timeout reauth-period 30 (設置認證失敗重連時間爲30秒)
Cisco2950(config-if)#dot1x reauthentication (啓用802.1x認證)
Cisco2950(config-if)#spanning-tree portfast (開啓端口portfast特性)
Cisco2950(config-if)#end
Cisco2950#wr

測試802.1x認證接入

一、將要進行認證接入的計算機接入交換機的FastEthernet0/5端口，設置IP地址爲172.17.2.5(隨便設置，只要不跟認證服務器IP及交換機管理IP衝突便可)

二、在"本地鏈接"的"驗證"標籤欄中啓用IEEE 802.1x驗證，EAP類型設置爲"MD5-質詢"，其他選項可不選。

三、若是以前配置沒有問題，過一會便可看到托盤菜單彈出要求點擊進行驗證

四、點擊以後會彈出相似銳捷客戶端同樣的登錄框，要求輸入用戶名和密碼。這裏咱們輸入以前配置的用戶名"0801010047"，密碼"123"，肯定。

五、驗證成功後能夠ping一下172.17.2.254進行驗證，同時能夠觀察到交換機FastEthernet0/5端口指示燈已經由***變爲綠色。

爲保證計算機支持802.1x驗證，請確認Wireless Configuration服務正常開啓。

六、能夠經過"控制面板"-"管理工具"中的"事件查看器"-"系統"子選項觀察802.1x的驗證日誌。

本文轉載自：http://www.slyar.com/blog/radius-server-8021x.html
聲明：文章做者：姜南(Slyar) 文章來源：Slyar Home (www.slyar.com) 轉載請註明，謝謝合做。