扫一扫
关注微信公众号

Cisco无线AP在复杂企业环境配置指南(3)
2008-05-14   中国IT实验室

认证服务器的配置:

      为服务器安装IAS服务。

      将IAS服务器嵌入Active Directory中。只有做过这个配置,IAS才能到AD目录中去验证用户的真伪。

      在IAS的Action菜单中,选择Register Server in Active Directory,即完成了注册。

  为IAS服务器配置证书(这一步非常关键):

      首先在AD域中配置证书服务器

      然后为IAS服务器申请证书,证书类型为Computer或Server,不能是User或DC等。

      证书申请完成后,将申请下来的证书导入IAS服务器,重启一次。

  新建RADIUS客户端

      在RADIUS Clients中,选择新建客户端。

      为该客户端起一个好记的名字,通常就是AP的Hostname.然后填入AP的IP地址或者FQDN.

      Client-Vendor选择Cisco,或者RADIUS Standard,都可以的。

      填入Shared secret,必须和在AP中填入的一致。

 

 点击确定即可完成客户端的新建。

  新建策略

      在Remote Access Policies中,选择新建。

      为策略起一个好记的名字,这里我们用Temp.

      在Access Method中,选择Wireless.

      在用户或组的选择中,选择用户或组。

      如果选择用户,那么请到AD的用户管理中,为该用户开通远程拨入权限。

      如果选择组,那么请事先建好一个用户组,将所有要使用无线登录的用户帐号加入该组。

      推荐使用组模式。

      Authentication Methods中,选择PEAP,并点击配置以检查IAS服务器的证书是否安装完成。如果没有安装证书,这里是无法配置的。

 

      建完策略后,需对该策略进行进一步配置。进入该策略的属性,选择Edit Profile,在认证页中,勾选上MS-CHAP v2,即可。

      如果该策略只是对一个用户开设,那么还可以添加上对用户无线网卡的MAC地址的绑定。在策略条件中,加入一个形如“12356790AB”的Calling-Station-id即可。

  完成配置

  用户端的配置:

      在用户无线网卡上,新建一个无线网络。

      输入SSID名,网络认证选择WPA,数据加密选择TKIP,密钥为自动获取。

      认证页中,勾选801x,选择PEAP,并点击其属性。

      在PEAP的属性中,不勾选“验证服务器证书”,认证方法选择MS-CHAP v2,并点击配置,将“自动使用Windows登录名和密码验证前面的勾去掉”(重要)。

      允许快速重连。

      其他默认即可。

热词搜索:

上一篇:Cisco无线AP在复杂企业环境配置指南(2)
下一篇:EAD:无线接入用户终端安全问题如何保障(1)

分享到: 收藏