IAS服务器的配置

【IAS服务器配置详解】 IAS（Internet Authentication Service）服务器是Windows操作系统中的一个组件，主要用于网络访问控制，特别是802.1X认证。802.1X是一种基于端口的网络访问控制协议，广泛应用于无线网络和有线网络的访问控制。在本文中，我们将深入探讨如何配置IAS服务器，结合AD（Active Directory）域服务实现802.1X无线认证。 **认证架构** 1. 用户尝试连接无线网络时，通过SSID识别无线信号，SSID包含网络名称和加密类型。 2. 无线AP配置为仅允许经过802.1X认证的用户登录。当用户尝试连接时，AP与RADIUS（Remote Authentication Dial-In User Service）服务器通信，RADIUS仅接受信任的客户端（即AP或无线控制器）。 3. RADIUS服务器在AD中验证用户密码，然后根据用户组信息和访问策略决定是否允许接入。若允许，RADIUS将无线客户端的KEY发送给客户端和AP，用于加密无线流量。 4. 认证成功后，AP解除对客户端的限制，客户端可自由访问网络，包括获取DHCP分配的IP地址。 **安装活动目录和建立帐号** 这是基础步骤，不在此详述。通常需要创建AD域，并在域内创建用户账户。 **安装IAS** 1. 打开"添加或删除程序"，选择"添加/删除Windows组件"。 2. 在组件列表中选择"网络服务"，进一步选择"Internet验证服务"，然后点击"确定"。 3. 按照向导指示完成安装，IAS将出现在"管理工具"中。随后需在AD中注册IAS服务器，使其能读取AD中的用户账户。 **安装IAS证书** 802.1X和WPA协议需要证书进行服务器认证和加密密钥生成。可以购买商业CA的证书，也可以自建CA，或利用安装"远程管理(HTML)"时自动安装的一年有效期证书。 **配置IAS** 1. **添加RADIUS客户端**：在IAS管理界面，添加AP或无线控制器作为RADIUS客户端，输入名称和客户端IP地址，设置共享机密。 2. **创建远程访问策略**：新建策略，指定无线访问，添加允许无线访问的用户组，选择受保护的EAP（PEAP）作为身份验证方法。 3. **设置远程接入权限**：默认情况下，用户远程访问权限被拒绝，需要在策略中调整，可以选择忽略用户属性中的拨入权限设置。 **配置RADIUS客户端** 对于无线控制器，设置验证方法为802.1X EAP，加密方法为WPA/WPA-TKIP，并提供IAS服务器的IP地址和共享机密。对于胖AP，配置大致相同。 总结来说，配置IAS服务器与AD域结合实现802.1X无线认证，涉及的主要步骤包括安装和配置IAS，安装证书，设置RADIUS客户端和远程访问策略，以及调整用户远程访问权限。完成这些步骤后，无线网络将能够基于用户AD账户进行安全的认证和访问控制。