使用PEAP实现802.1X

使用EAP-TLS（智能卡与证书）实现802.1X－－－－验证服务器和交换机相关配置

采用系统为Windows2003，必须安装AD,DNS,IAS,CA

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

下表列出了不同的认证方式需要用到的证书：

Authentication Type

Certificates on Wired client

Certificates on IAS Server

PEAP-MS-CHAP v2

Root CA certificates for issuers of    IAS server computer certificates

Computer certificates

EAP-TLS

User certificates

Root CA certificates for issuers of    wired client computer and user certificates

EAP-MD5 CHAP

None

开始配置......

该文档演示PEAP进行验证的方式：

1、配置 CA

A、使用共享文件夹会保留证书的副本方便后面导入证书的操作（该证书为CA的根证书Root CA）

B、配置用户证书：证书颁发机构-》管理证书模板-》复制模板“用户”到一新建模板LAN Access。

LAN Access的属性为：使用者名称-》不选择“电子邮件名”&“在使用者名称中部不包含电子邮件名”

安全：选择对应的用户具有自动注册的权限。

C、新建要颁发的证书模板-》选择我们刚刚新建的LAN Access

2、配置IAS

A、先将IAS在AD注册

B、设置IAS属性，端口必须和交换机上设置一致

C、新建RADIUS客户端，客户端IP地址为交换机IP地址（Authenticator），共享的密码也和交换机上所设置密码一致

D、新建远程访问策略，在用户或组访问我们采用用户访问方式进行测试，在EAP类型选择智能卡与证书

E、设置策略属性，授予远程访问权限，编辑配置文件，选择客户端请求IP地址

3、配置AD

A、组策略-》Windows 设置-》帐户策略-》密码策略-》启用可还原的加密来储存密码

B、添加用户，该用户是分配给接入客户端的用户。在这里，我们以admin为例，用户密码和所接入计算机用户admin密码一致。

C、修改用户属性，远程访问权限设置为允许访问。

D、在客户端计算机上设置将计算机加入此域中。加入后可以在Computers上查看到。

E、使用MD5进行认证的话，修改用户属性，远程访问权限设置为允许访问。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

4、配置AD组策略属性

A、在计算机配置－》windows设置－》安全设置配置公钥策略

新建自动证书申请类型为“计算机”

B、设置受信任的根证书颁发机构，导入我们最开始建立的证书（Root CA）。

C、在用户配置－》windows设置－》安全设置－》配置公钥策略－》自动注册证书，选择“续订过期证书、更新未证书并删除吊销的证书”&“更新使用证书模板的证书”

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

5、客户端配置

A、本地连接-》属性-》验证-》启用此网络的IEEE 802.1X验证

B、EAP类型：PEAP

C、PEAP的属性—在此计算机上使用证书，使用简单证书选择，验证服务器证书—〉受信任的根证书颁发机构：选择Root CA.

因为各个交换机上的配置配置命令可能不是一样的，我们仅将注意事项给大家说明一下：

A 交换机上指定Radius服务器的地址，既我们IAS服务器的地址；

B 正确配置于Radius的密钥；

C 配置Vlan name 以及Vlan 信息。

部分中文参考网站：

<a href="/linux/salon_doc/How_to_Configure_PEAP_on_FreeRADIUSnew.pdf%5B/url%5D">[url]http://www.www.lslnet.com/linux/salon_doc/How_to_Configure_PEAP_on_FreeRADIUSnew.pdf[/url]</a>

<a href="http://happy-net.cn/net/37116.htm">[url]http://happy-net.cn/net/37116.htm[/url]</a>

<a href="http://www.winos.cn/forum/archiver/tid-4668.html">[url]http://www.winos.cn/forum/archiver/tid-4668.html[/url]</a>

<a href="http://www.microsoft.com/china/technet/webcasts/ondemand/episode.aspx?newsID=msft073106vxam">[url]http://www.microsoft.com/china/technet/webcasts/ondemand/episode.aspx?newsID=msft073106vxam[/url]</a>

<a href="http://www.microsoft.com/china/technet/security/guidance/secmod163.mspx">[url]http://www.microsoft.com/china/technet/security/guidance/secmod163.mspx[/url]</a>

<a href="http://support.intel.com/support/wireless/wlan/sb/cs-008413.htm">[url]http://support.intel.com/support/wireless/wlan/sb/cs-008413.htm[/url]</a>

部分英文参考网站：See the following resources for further information:

本文转自bruce.huang 51CTO博客，原文链接:

http://blog.51cto.com/chinaitnews/87062