作者 主題: [求助]請問如何在win2000 server下架設radius server  (閱讀 15236 次)

0 會員 與 1 訪客 正在閱讀本文。

Smilesha

  • 可愛的小學生
  • *
  • 文章數: 3
    • 檢視個人資料
請各位高手幫幫忙,如果可以,請告知詳細的步驟,感激不盡。

小弟用win2000 server架設,網卡部分設定802.1x md5驗證
但是每次架設完後,都會出現client端無法通過認證(windows找不到憑證)
的問題,明明帳號都設定了。在網路上一直都找不到windows的設定文件,
反而linux的文件還比較多,難道windows下沒有高手ㄇ,不過不管
怎麼說,還是希望有人能救救我阿。

小穎

  • 俺是博士!
  • *****
  • 文章數: 1005
    • 檢視個人資料
[求助]請問如何在win2000 server下架設radius server
« 回覆 #1 於: 2003-04-24 13:17 »
能否把您的整個架構跟設定說明一下!
RAS、RADIUS甚至AD(如果有的話).....

Smilesha

  • 可愛的小學生
  • *
  • 文章數: 3
    • 檢視個人資料
Win2000 radius server 設定流程
« 回覆 #2 於: 2003-04-28 10:37 »
小弟是用下列步驟設定的,有錯的話請不吝指教:

首先:1.在win2000下的執行執行dcpromo.exe這個檔,也就是安裝AD(必須在  NTFS下)
       2.安裝後會要求 a.domain controller type -->我選擇第一項
                                                      domain controller for a new domain  
                                      b.create tree or child domain -->選擇第一項
                                                       create a new domain tree
                                      c.create or join forest -->選第一項
                                                       create a new forest of domain trees
                             d.接著輸入 new domain name
                              如 wireless.yourdomain.tw
                             e.設定netbios name :WIRELESS
                             f.設定路徑
                                      g.設定完後,會出現警告,我不理他
                                      h.設定config DNS -->選是
                                      i. permission -->選第一項  准許re-server
                            j. 設定密碼:這裡密碼如AP or management 上的
                                      k.重開        
     3.在控制台,新增移除程式安裝如下服務
                                      a.Certificate Service
                                 這裡我安裝 第一項 enterprisre root CA
                            b.IIS-->world wide web server
                            c.network servicer -->internet authentication service
     4.設定CA
                   •Click on the Start Button -> Programs ->  Administrative
                     Tools -> Certification Authority
                   •Right-click Policy Settings under your Certificate Authority  
                    server, select New -> Certificate to Issue
                   •Select Authenticated Session and Smartcard Logon
                   •Click on the start Button -> Programs -> Administrative
                     Tools -> Active Directory User and Computers
                   •Right-click on your Active Directory domain, and select “內
                           容
                          •Select the 群組原則 tab, ensure that the Default Domain
                      Policy is highlighted, and click 編輯
                          •Under 電腦設定 -> Windows 設定 -> 安全性設定 -> 公開金鑰
                            原則, right-click 自動憑證要求設定, Select 新增, then 自動憑證
                            要求
                           •Select the Computer certificate template, and click Next
                    •開啟Dos視窗,鍵入” secedit/refreshpolicy machine_policy “
          5.設定IAS
                    •Click on the Start Button -> Programs -> Administrative
                    Tools -> Internet Authentication Service Right-click on 用戶
                           端, and Select 新增用戶端
                           •Enter a name for your Access Point, and click Next
                    •Enter the IP address of your Access Point, and set a 共用密
                             碼(shared secret). Select Finish
                    •Right-click on 遠端存取原則, and Select 新增遠端存取原則
                           •Name the policy CiscoAP_MD5(自己取名), and select Next
                    •Click 新增….自己選擇屬性來當作Policy..例如選NAS-IP-
                      Address
                    •按新增填入IP(這是指定AP必須是這個IP才符合這個Policy)
                    •選擇授與遠端存取使用權限.and Next
                    •選擇編輯設定檔,在驗證欄位中,勾選可延伸驗證通訊協定(並選擇
                            驗證方式) 這裡我設MD5
       6.設定enable remote access login for user
                    •進入Active Directory使用者及電腦,選擇User後按右鍵新增使用
                            者 -->輸入帳號密碼-->確認後選擇剛剛建立的帳號,按右鍵選擇內
                            容-->在帳戶的選擇欄內,勾選”使用可回復加密來存放密碼”-->
                     在撥入欄位中,勾選允許存取。
         
我的設定大概如上流程和步驟,其實這裡linux高手比較多,不過我還是希望有人能回答我的問題,感激不盡。

Smilesha

  • 可愛的小學生
  • *
  • 文章數: 3
    • 檢視個人資料
win2000 radius server 設備
« 回覆 #3 於: 2003-04-28 10:47 »
忘了po環境了

我用 一台win2000 server + AP(有支援radius) + 一台winXP(未更新sp1)
   
      或  一台win2000 server + management(有支援radius) + 一台winXP(未更新sp1)

      AP or management 內設定 開啟802.1x
                                            radius IP
                                            密碼
        大概就是這樣。

AnsonShen

  • 懷疑的國中生
  • **
  • 文章數: 59
    • 檢視個人資料
[求助]請問如何在win2000 server下架設radius server
« 回覆 #4 於: 2003-08-22 18:22 »
小弟看起來應該是參考這份文件的
http://www.cs.umd.edu/~mvanopst/8021x/howto/

這部小弟已經實作出來,但是每每對於產品測試時
最常遇到的問題是在於ap的功能有問題,
至少小弟遇到的是這樣
建議您找一台cisco AP350做對照組

不過給你一些方向,
檢查windows 2000 even log ,
1.有時ap送出來的nas-ip有錯誤
2.使用md5時(這是不需ca憑證),請檢查ias及Client 設定

<:+++<
剛好小弟之前有做相關的測試,如有任何問題,也許小弟可以幫的上忙
如果可以的話請把windows even log 和 cisco Ap350 Log post 出來
可以幫忙看看

chrishuang

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
使用freeradiusd來跟現存的 2000 AD 作帳號認證 ?
« 回覆 #5 於: 2004-02-22 14:43 »
目前想要試做這個東西,不曉得有其他的人有類似的經驗嗎?
我這邊的情況:母公司提供的solution是 certificate-based
但是我們不想跟母公司一樣使用certificate
所以想使用類似清華,政大校園以 id ,passsword的方式來做 AAA.
而不要使用certificate的方式。

目前想到的兩種方法:
[list=1]
  • 用freeradius + LDAP去跟現有的 Windows 2000 AD做驗證
  • 直接在 freeradius的 users file 中提供帳號與密碼做為帳號的資料

遇到的問題是驗證時,freeradius都顯示:
     no User-Password attribute in the request.
  • 用stand-alone的Windows 2000 IAS 以及本機帳號做為帳號的資料

所遇到的問題是 stand-alone 的 IAS 本身沒有 certificate
會有錯誤訊息,若client端換一個authenticate method
(如Smartcard換成 PEAP),會顯示 unauthorized authenicate method.
但IAS中MS-CHAPv2 ,CHAP ,PAP 等都已開啟
[/list:o]

我的 client 端目前使用Windows XP sp1 ,
無線網卡為 Cisco Aironet 350 , AP為 Cisco Aironet 1200
有人可以我一些經驗或是方向嗎?
先謝了.

引述: "AnsonShen"
小弟看起來應該是參考這份文件的
http://www.cs.umd.edu/~mvanopst/8021x/howto/

這部小弟已經實作出來,但是每每對於產品測試時
最常遇到的問題是在於ap的功能有問題,
至少小弟遇到的是這樣
建議您找一台cisco AP350做對照組

不過給你一些方向,
檢查windows 2000 even log ,
1.有時ap送出來的nas-ip有錯誤
2.使用md5時(這是不需ca憑證),請檢查ias及Client 設定

<:+++<
剛好小弟之前有做相關的測試,如有任何問題,也許小弟可以幫的上忙
如果可以的話請把windows even log 和 cisco Ap350 Log post 出來
可以幫忙看看