Cisco无线AP在复杂企业环境配置指南(3)

认证服务器的配置：

    　　为服务器安装IAS服务。

    　　将IAS服务器嵌入Active Directory中。只有做过这个配置，IAS才能到AD目录中去验证用户的真伪。

    　　在IAS的Action菜单中，选择Register Server in Active Directory，即完成了注册。

　　为IAS服务器配置证书（这一步非常关键）：

    　　首先在AD域中配置证书服务器

    　　然后为IAS服务器申请证书，证书类型为Computer或Server，不能是User或DC等。

    　　证书申请完成后，将申请下来的证书导入IAS服务器，重启一次。

　　新建RADIUS客户端

    　　在RADIUS Clients中，选择新建客户端。

    　　为该客户端起一个好记的名字，通常就是AP的Hostname.然后填入AP的IP地址或者FQDN.

    　　Client-Vendor选择Cisco，或者RADIUS Standard，都可以的。

    　　填入Shared secret，必须和在AP中填入的一致。

 点击确定即可完成客户端的新建。

　　新建策略

    　　在Remote Access Policies中，选择新建。

    　　为策略起一个好记的名字，这里我们用Temp.

    　　在Access Method中，选择Wireless.

    　　在用户或组的选择中，选择用户或组。

    　　如果选择用户，那么请到AD的用户管理中，为该用户开通远程拨入权限。

    　　如果选择组，那么请事先建好一个用户组，将所有要使用无线登录的用户帐号加入该组。

    　　推荐使用组模式。

    　　Authentication Methods中，选择PEAP，并点击配置以检查IAS服务器的证书是否安装完成。如果没有安装证书，这里是无法配置的。

    　　建完策略后，需对该策略进行进一步配置。进入该策略的属性，选择Edit Profile，在认证页中，勾选上MS-CHAP v2，即可。

    　　如果该策略只是对一个用户开设，那么还可以添加上对用户无线网卡的MAC地址的绑定。在策略条件中，加入一个形如“12356790AB”的Calling-Station-id即可。

　　完成配置

　　用户端的配置：

    　　在用户无线网卡上，新建一个无线网络。

    　　输入SSID名，网络认证选择WPA，数据加密选择TKIP，密钥为自动获取。

    　　认证页中，勾选801x，选择PEAP，并点击其属性。

    　　在PEAP的属性中，不勾选“验证服务器证书”，认证方法选择MS-CHAP v2，并点击配置，将“自动使用Windows登录名和密码验证前面的勾去掉”（重要）。

    　　允许快速重连。

    　　其他默认即可。

转载地址：http://ads.it168.com/default.aspx

（编辑：ASP站长网）