交换机+windows ias+windows ad服务实现802.1x身份验证(原创)

秋水微澜

还是蒙没有明白呀

diskeeper

这个东东看起来不错，晚上回去仔细看看

ioiioi

tianyayang
我目前正在测试802.1x + peap+freeradius+samba+win2k AD域验证的解决方案，我有个问题想问问你。
我看了很多文档，他们在用peap时都会牵扯到证书，而我又不想去管理那么多用户证书。
你的方案好像不用去管理的，请问你的这种peap是如何实现的？可以只用win2k AD的用户信息进行验证吗？

[ 本帖最后由 ioiioi 于 2005-12-1 19:29 编辑 ]

sleepycat

我按照你的方法做了一遍，但认证通不过呀，我的环境是win2003 ad + iAS,交换机是cisco的2950,在输入用户和密码后提示认证失败

vvfz

我也测试了一套，Cisco AP1231 + IAS ，先建立CA,配置cisco ap 为 Radius客户端。 配置远程访问策略。建立无线组，配置组策略，做计算机证书和用户证书，用户第一次需要连接在有线网络中web申请号证书，以后拿笔记本到处都可以登陆了，wpa, peap tkip加密.使用AD信息验证。

进一步还可以做mac的radius和vlan区分访客和员工。

这套东西下个月会实施，到时候把具体的配置贴图上来。

[ 本帖最后由 vvfz 于 2005-12-25 15:57 编辑 ]

chinatony

谢谢,我正在找主这样的资料,谢谢

vulgate

1、我们现在就在用这个东东
2、集成商做的，他们windows以前做的不多，但是压力就是动力，找了找，他们就实现了，推荐上海交大网管的文章，搜索一下吧
3、证书的问题，我们也实现过，但是后来又不要了，开始做的是基于计算机的，我们要基于用户的，现在不用证书做认证
4、关于802.1x的交换机上的配置，可以参考45系列的pdf，说的很详细，至少某些问题我猜错了，比如如果一个port接了一个hub，然后这个hub连接了N台计算机，如果一台计算机pass了，是否所有的机器都可以连接入网呢？书上说，有2中模式，单和多，多就是，一台让port pass了，别的机器也可以分享，单就是不可以，默认单
5、我们碰到的问题：认证速度蛮，至少1分钟多，在网卡有感叹号之后，闪烁一下，ok了。在和ms沟通


vulgatecn@msn.com
欢迎讨论

ioiioi

那如果windows本机的admin帐号呢？是不是旧不可以连网了？

soway

原帖由 ioiioi 于 2006-1-14 18:11 发表
那如果windows本机的admin帐号呢？是不是旧不可以连网了？

应该是这样的，因为本地的帐号登陆，没有去验证。交换机就没有打开你需要的端口。

学华

不知道有没有人看我原来发的关于802.1X的帖 想用微软的产品不是不可能只是不太好用,没有办法控制用户数的并发控制..有一款WIN RADUIS到是可以 只是不是共享软件呵呵