Windows2000server下radius服务器安装配置指南

Windows2000server下radius服务器安装配置指南编制：孙广伟日期：2007-12-19审核：日期：批准：日期：章节目录1．radius基本介绍..............................................................................................11.1radius简介.............................................................................................21.2radius的基本工作原理...................................................................32.术语介绍.............................................................................................................43.安装介绍..............................................................................................................54.安装internet信息服务（IIS）.................................................................65.安装域名系统(DNS)......................................................................................76.配置DNS服务.................................................................................................87.安装活动目录(activedirectory).............................................................98.配置AD.............................................................................................................109.安装证书服务..................................................................................................1110.安装internet验证服务.............................................................................1211.配置internet验证服务.............................................................................1312.配置验证客户端..........................................................................................141.radius基本介绍：TOP1.1radius简介：RADIUS:RemoteAuthenticationDialInUserService，远程用户拨号认证系统由RFC2865，RFC2866定义，是目前应用最广泛的AAA协议，RADIUS协议最初是由Livingston公司提出的，原先的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议。1.2RADIUS的基本工作原理：用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account-Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。2.术语介绍：TOPAAAAuthentication,AuthorizationandAccounting身份认证（或鉴别）、授权和计帐CACertificationAuthority证书颁发机构EAPExtensibleAuthenticationProtocol可扩展认证协议EAPOLEAPOverLAN通过LAN传输的EAPEAP-MD5Message-DigestAlgorithmverion5基于消息摘要算法版本5的EAPEAP-PEAPProtectedEAP受保护的EAPNASNetworkAccessServer网络访问服务器3．安装介绍：TOP2.1在win2000下安装radius服务器需要安装下列服务：ainternet信息服务（IIS）b域名系统（DNS）c活动目录（AD）dinternet验证服务e证书服务说明：其中活动目录需要DNS的支持，而验证身份的证书需要通过WEB获取，所以这几个服务缺少任何一个radius服务器都不能配置成功，建议安装这几个服务的光盘和安装操作系统的光盘是同一张光盘，以免系统文件被安装文件替换成系统不可识别的版本从而影响操作系统稳定性。4.安装internet信息服务（IIS）：TOP把win2000的安装光盘放入光驱，依次点击：开始控制面板添加删除程序添加删除windows组件会出现windows组件向导对话框：图4-1安装IIS服务------选中IIS点击详细信息图4-2安装IIS服务------确认选中所要安装的组件点击确定继续安装图4-3安装IIS服务-------确认选中IIS点击下一步继续安装图4-4安装IIS服务------完成安装安装完成后在浏览器地址栏中输入欢迎页面则说明安装成功。5.安装域名系统(DNS)TOP依次点击开始控制面板添加删除程序添加删除windows组件图5-1安装DNS服务------选中网络服务点击详细信息图5-2安装DNS服务-----确认选中域名系统复选框后点击确定图5-3安装DNS服务-----完成安装6.配置DNS服务：TOP因为在安装activedirectory时需要建好一个域，因此在安装activedirectory以前首先要配置好DNS服务。依次电击开始程序管理工具DNS，出现DNS主控制台：图6-1配置DNS服务-----右击正向搜索区域选择新建区域图6-2配置DNS服务-----新建区域向导图6-3配置DNS服务-----继续配置图6-4配置DNS服务------继续配置图6-5配置DNS服务-----新建域名图6-6配置DNS服务-----使用默认图6-7配置DNS服务----完成创建新域，右击新域选择属性图6-8配置DNS服务-----允许动态更新，确定7.安装活动目录(activedirectory)TOP要注意AD必须安装NTFS5.0的卷上。依次点击开始程序管理工具配置服务器：图7-1安装AD-----点击activedirectory图7-2安装AD-----点击启动来启动activedirectory向导图7-3安装AD-----继续安装图7-4安装AD------选择默认，继续安装图7-5安装AD----继续安装图7-6安装AD-----继续安装图7-7安装AD-----新域的DNS全名要写在DNS里建的域图7-8安装AD------使用默认继续安装图7-9安装AD------使用默认继续安装图7-10安装AD------使用默认继续安装图7-11安装AD------输入管理员密码图7-12安装AD-----确认无误后继续安装图7-13安装AD-----等待服务器配置AD图7-14安装AD-----完成安装8.配置ADTOP依次点击开始程序管理工具ActiveDirectory用户和计算机：图8-1配置AD-----右击users新建用户图8-2配置AD-----创建用户名图8-3配置AD-----定义密码策略图8-4配置AD------确认无误后完成创建图8-5配置AD---确认创建用户9.安装证书服务：TOP依次点击开始控制面板添加删除程序添加删除windows组件：图9-1安装证书服务-----选中证书服务点击下一步图9-2安装证书服务------选中企业根CA(E)图9-3安装证书服务-------填写CA标识信息图9-4安装证书服务-----使用默认继续安装图9-5安装证书服务------完成安装图9-6安装证书服务------在管理工具中查看证书办法机构图9-7安装证书服务------查看证书图9-8安装证书服务-----确认证书信息10.安装internet验证服务：TOP依次点击开始控制面板添加删除程序添加删除windows组件网络服务：图10-1安装internet验证服务-----确认选择internet验证服务图10-2安装internet验证服务------完成安装11.配置internet验证服务：TOP在管理工具中打开internet验证服务：图11-1配置internet验证服务-----右击客户端选择新建客户端图11-2配置internet验证服务-------指派客户端名称图11-3配置internet验证服务-------填写客户端信息图11-4配置internet验证服务-----完成添加客户端图11-5配置internet验证服务-----配置远程访问策略图11-6配置internet验证服务----选择授予远程访问权限点击编辑配置文件图11-7配置internet验证服务-----选择EAP类型为受保护的EAP点击确定完成配置至此服务器的安装和配置完毕，用一个操作系统为XP的PC和一个支持802.1x的交换机和服务器连接起来。交换机的配置省略：12.配置验证客户端：TOP在浏览器的地址栏中输入http://服务器IP/certsrv图12-1配置验证客户端------申请证书图12-2配置验证客户端-----选择申请类型图12-3配置验证客户端------填写证书模板图12-4配置验证客户端----确认提交申请图12-5配置验证客户端-----选择“是“图12-6配置验证客户端------证书申请成功安装证书图12-7配置验证客户端------选择“是“图12-8配置验证客户端-----确认证书安装成功图12-9配置验证客户端-----打开本地连接属性点击验证图12-10配置验证客户端------起用IEEE802.1x验证，EAP类型选择受保护的EAP客户端的配置完毕，这时把PC连到交换机的认证口上就可以用WINXP自带的客户端进行验证。