无线网络安全指南：IAS RADIUS实现无线网络验证（下）

添加RADIUS 客户

RADIUS的“客户”并不是我们所想象的“用户”。RADIUS的客户实际上是指无线接入点、路由器、交换机、网络防火墙或者一个VPN集线器。任何可以提供网络接入功能，并需要AAA（接入、认证和审计）的设备，对于RADIUS服务器来说都是RADIUS客户。在本文中，我们只建立一个接入点作为一个RADIUS客户。

要建立RADIUS客户，我们需要右键点击“RADIUS Clients”，然后选择“New RADIUS Client”，如图XX所示。

图XX 建立Radius客户

接下来我们会看到如图YY所示的窗口，在该窗口中，我们需要命名该接入设备，然后设置该接入设备的IP地址。在本文中，这个接入设备是一个无线接入点。需要注意的是，如果接入设备是路由器或防火墙，因为这类设备都具有多个接口，因此会包含多个IP地址。此时你应该在这里输入距离RADIUS服务器最近的一个端口的IP地址。这是由于RADIUS请求会来自多端口设备中距离RADIUS服务器最近的端口，如果设置错误，那么RADIUS服务器将无法与该设备进行通信。

图YY 命名新RADIUS客户并输入IP

接下去我们要设置RADIUS类型和RADIUS密码。一般来说， RADIUS类型部分总是设置为“RADIUS Standard”。而Cisco的设备是一个例外，如果你所要连接的设备是来自Cisco的，那么在“Client-Vendor”区域必须选择“Cisco”。不过Cisco的无线交换机并不在此例外中，因为Cisco的无线交换机其实是2005年收购Airespace后来自Airespace的产品。

Airespace的无线交换机可以使用“RADIUS Standard”方式，就和其他厂商的产品一样。“shared secret”是RADIUS服务器与其他接入设备共享的密码（如图ZZ所示）。我们应该使用字母和数字混合密码，并且长度应该大于十位。另外不要使用空格和特殊符号作为密码，因为这些字符可能与某些设备或软件产生兼容性问题，而要找到此类问题的根源却相当麻烦。

图ZZ 设置共享密码

点击"Finish"完成此设置。如果你有多个接入设备，则需要重复这一过程。

添加远程访问策略

现在我们需要建立一个远程访问策略，对试图访问接入设备的用户进行验证和授权。首先我们右键点击“Remote Access Policies”项，然后选择“New Remote Access Policy”。如图AAA所示。

图AAA 新建远程访问策略

点击"Next"转到下一窗口。如图BBB所示。

图BBB 策略向导

为策略命名，并选择通过向导建立策略。然后点击"Next"。如图CCC所示。

图CCC 命名策略

选择"Wireless" 然后点击 "Next"，如图DDD所示。

图DDD 选择无线接入

对用户和计算机进行接入授权。点击"Add"。如图EEE所示。

图EEE 按组进行授权

这里我们需要对需要授权的域的位置进行定位。点击"Locations"。如图FFF所示。

图FFF 选择组

选择需要授权的域，并点击“OK”。需要注意的是， IAS服务器必须加入到该域，或者必须为于该域的信任域中。如图GGG所示。

图GGG 选择位置

输入“Domain Users”和“Domain Computers”，并用分号分隔。如图HHH所示。然后点击“Check Names”强制对输入内容进行校验。由于该选项是允许任何域用户和域计算机访问无线局域网，因此你可能还需要对一小部分用户或计算机进行限制。接着点击OK。

图HHH 输入域名

需要注意的是，“Domain Computers”是用来验证你的计算机的“机器验证”，也就是说，不论用户是否登录，都会先验证用户所使用的计算机是否具有接入资格。这种方式模拟了无线局域网环境中所出现的情况，因此是一种非常有效的验证手段。

如果“机器验证”没有进行，那么组策略以及登录脚本将不会执行。另外，只有已经存在于无线接入计算机中的用户才能够正常登录，因为如果用户之前从未使用过该计算机登录无线网络，将无法对其进行域验证。正因如此，我总是建议Windows用户使用Windows无线网络客户端，并且建议管理员采用自动部署方式完成对客户端的无线网络配置。

在图III中，我们会看到我们所允许访问的用户组和计算机组。需要注意的是，这两个组之间的关系是“或”，即符合其中任何一项，都可以成功接入。下面我们点击“Next”

图III 定义访问组

选择"Protected EAP (PEAP)" 认证，然后点击"Configure"。如图JJJ所示。
 

图JJJ 验证

在处理下一个窗口前，你必须具有一个合法的来自CA机构的Machine Certificate（机器证书），或者你已经拥有了自签名（self-signed）证书。其余部分保持不变，如图KKK所示。然后点击OK键。

图KKK PEAP属性

现在我们就完成了一个新的无线认证策略的制定。下面我们就开始进行具体的配置工作。