为服务器安装IAS服务。
将IAS服务器嵌入Active Directory中。只有做过这个配置,IAS才能到AD目录中去验证用户的真伪。
在IAS的Action菜单中,选择Register Server in Active Directory,即完成了注册。
为IAS服务器配置证书(这一步非常关键):
首先在AD域中配置证书服务器
然后为IAS服务器申请证书,证书类型为Computer或Server,不能是User或DC等。
证书申请完成后,将申请下来的证书导入IAS服务器,重启一次。
新建RADIUS客户端
在RADIUS Clients中,选择新建客户端。
为该客户端起一个好记的名字,通常就是AP的Hostname.然后填入AP的IP地址或者FQDN.
Client-Vendor选择Cisco,或者RADIUS Standard,都可以的。
填入Shared secret,必须和在AP中填入的一致。
点击确定即可完成客户端的新建。
新建策略
在Remote Access Policies中,选择新建。
为策略起一个好记的名字,这里我们用Temp.
在Access Method中,选择Wireless.
在用户或组的选择中,选择用户或组。
如果选择用户,那么请到AD的用户管理中,为该用户开通远程拨入权限。
如果选择组,那么请事先建好一个用户组,将所有要使用无线登录的用户帐号加入该组。
推荐使用组模式。
Authentication Methods中,选择PEAP,并点击配置以检查IAS服务器的证书是否安装完成。如果没有安装证书,这里是无法配置的。
建完策略后,需对该策略进行进一步配置。进入该策略的属性,选择Edit Profile,在认证页中,勾选上MS-CHAP v2,即可。
如果该策略只是对一个用户开设,那么还可以添加上对用户无线网卡的MAC地址的绑定。在策略条件中,加入一个形如“12356790AB”的Calling-Station-id即可。
完成配置
用户端的配置:
在用户无线网卡上,新建一个无线网络。
输入SSID名,网络认证选择WPA,数据加密选择TKIP,密钥为自动获取。
认证页中,勾选801x,选择PEAP,并点击其属性。
在PEAP的属性中,不勾选“验证服务器证书”,认证方法选择MS-CHAP v2,并点击配置,将“自动使用Windows登录名和密码验证前面的勾去掉”(重要)。
允许快速重连。
其他默认即可。
