使用PEAP實作802.1X

使用EAP-TLS（智能卡與證書）實作802.1X－－－－驗證伺服器和交換機相關配置

采用系統為Windows2003，必須安裝AD,DNS,IAS,CA

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

下表列出了不同的認證方式需要用到的證書：

Authentication Type

Certificates on Wired client

Certificates on IAS Server

PEAP-MS-CHAP v2

Root CA certificates for issuers of    IAS server computer certificates

Computer certificates

EAP-TLS

User certificates

Root CA certificates for issuers of    wired client computer and user certificates

EAP-MD5 CHAP

None

開始配置......

該文檔示範PEAP進行驗證的方式：

1、配置 CA

A、使用共享檔案夾會保留證書的副本友善後面導入證書的操作（該證書為CA的根證書Root CA）

B、配置使用者證書：證書頒發機構-》管理證書模闆-》複制模闆“使用者”到一建立模闆LAN Access。

LAN Access的屬性為：使用者名稱-》不選擇“電子郵件名”&“在使用者名稱中部不包含電子郵件名”

安全：選擇對應的使用者具有自動注冊的權限。

C、建立要頒發的證書模闆-》選擇我們剛剛建立的LAN Access

2、配置IAS

A、先将IAS在AD注冊

B、設定IAS屬性，端口必須和交換機上設定一緻

C、建立RADIUS用戶端，用戶端IP位址為交換機IP位址（Authenticator），共享的密碼也和交換機上所設定密碼一緻

D、建立遠端通路政策，在使用者或組通路我們采用使用者通路方式進行測試，在EAP類型選擇智能卡與證書

E、設定政策屬性，授予遠端通路權限，編輯配置檔案，選擇用戶端請求IP位址

3、配置AD

A、組政策-》Windows 設定-》帳戶政策-》密碼政策-》啟用可還原的加密來儲存密碼

B、添加使用者，該使用者是配置設定給接入用戶端的使用者。在這裡，我們以admin為例，使用者密碼和所接入計算機使用者admin密碼一緻。

C、修改使用者屬性，遠端通路權限設定為允許通路。

D、在用戶端計算機上設定将計算機加入此域中。加入後可以在Computers上檢視到。

E、使用MD5進行認證的話，修改使用者屬性，遠端通路權限設定為允許通路。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

4、配置AD組政策屬性

A、在計算機配置－》windows設定－》安全設定配置公鑰政策

建立自動證書申請類型為“計算機”

B、設定受信任的根證書頒發機構，導入我們最開始建立的證書（Root CA）。

C、在使用者配置－》windows設定－》安全設定－》配置公鑰政策－》自動注冊證書，選擇“續訂過期證書、更新未證書并删除吊銷的證書”&“更新使用證書模闆的證書”

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

5、用戶端配置

A、本地連接配接-》屬性-》驗證-》啟用此網絡的IEEE 802.1X驗證

B、EAP類型：PEAP

C、PEAP的屬性—在此計算機上使用證書，使用簡單證書選擇，驗證伺服器證書—〉受信任的根證書頒發機構：選擇Root CA.

因為各個交換機上的配置配置指令可能不是一樣的，我們僅将注意事項給大家說明一下：

A 交換機上指定Radius伺服器的位址，既我們IAS伺服器的位址；

B 正确配置于Radius的密鑰；

C 配置Vlan name 以及Vlan 資訊。

部分中文參考網站：

<a href="/linux/salon_doc/How_to_Configure_PEAP_on_FreeRADIUSnew.pdf%5B/url%5D">[url]http://www.www.lslnet.com/linux/salon_doc/How_to_Configure_PEAP_on_FreeRADIUSnew.pdf[/url]</a>

<a href="http://happy-net.cn/net/37116.htm">[url]http://happy-net.cn/net/37116.htm[/url]</a>

<a href="http://www.winos.cn/forum/archiver/tid-4668.html">[url]http://www.winos.cn/forum/archiver/tid-4668.html[/url]</a>

<a href="http://www.microsoft.com/china/technet/webcasts/ondemand/episode.aspx?newsID=msft073106vxam">[url]http://www.microsoft.com/china/technet/webcasts/ondemand/episode.aspx?newsID=msft073106vxam[/url]</a>

<a href="http://www.microsoft.com/china/technet/security/guidance/secmod163.mspx">[url]http://www.microsoft.com/china/technet/security/guidance/secmod163.mspx[/url]</a>

<a href="http://support.intel.com/support/wireless/wlan/sb/cs-008413.htm">[url]http://support.intel.com/support/wireless/wlan/sb/cs-008413.htm[/url]</a>

部分英文參考網站：See the following resources for further information:

本文轉自bruce.huang 51CTO部落格，原文連結:

http://blog.51cto.com/chinaitnews/87062