如何在XP-Vista-Win7下开启802.1x网络认证radius

RADIUS（RemoteAuthenticationDialInUserService，远程用户拨号认证服务）服务器提供了三种基本的功能：认证（Authentication）、授权（Authorization）和审计（Accounting），即提供了3A功能。其中审计也称为“记账”或“计费”。RADIUS协议采用了客户机/服务器（C/S）工作模式。网络接入服务器（NetworkAccessServer，NAS）是RADIUS的客户端，它负责将用户的验证信息传递给指定的RADIUS服务器，然后处理返回的响应。RADIUS服务器负责接收用户的连接请求，并验证用户身份，然后返回所有必须要配置的信息给客户端用户，也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。服务器和客户端之间传输的所有数据通过使用共享密钥来验证，客户端和RADIUS服务器之间的用户密码经过加密发送，提供了密码使用的安全性。如果这台计算机是一台WindowsServer2003的独立服务器（未升级成为域控制器，也未加入域），则可以利用SAM来管理用户账户信息；如果是一台WindowsServer2003域控制器，则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定，但RADIUS服务器提供的认证功能相同。为便于实验，下面以一台运行WindowsServer2003的独立服务器为例进行介绍，该计算机的IP地址为172.16.2.254。1在"控制面板"中双击"添加或删除程序"，在d出的对话框中选择"添加/删除Windows组件"2在d出的"Windows组件向导"中选择"网络服务"组件，单击"详细信息".3勾选"Internet验证服务"子组件，确定，然后单击"下一步"进行安装4在"控制面板"下的"管理工具"中打开"Internet验证服务"窗口5创建用户账户.在"控制面板"下的"管理工具"中打开"计算机管理"，选择"本地用户和组".6为了方便管理，我们创建一个用户组"802.1x"专门用于管理需要经过IEEE802.1x认证的用户账户。鼠标右键单击"组"，选择"新建组"，输入组名后创建组。7在添加用户之前，必须要提前做的是，打开"控制面板"-"管理工具"下的"本地安全策略"，依次选择"账户策略"-"密码策略"，启用"用可还原的加密来储存密码"策略项。否则以后认证的时候将会出现以下错误提示。接下来我们添加用户账户"0801010047"，设置密码"123"。鼠标右键单击"用户"，选择"新用户"，输入用户名和密码，创建用户将用户"0801010047"加入到"802.1x"用户组中。鼠标右键单击用户"0801010047"，选择"属性"。在d出的对话框中选择"隶属于"，然后将其加入"802.1x"用户组中。设置远程访问策略,新建远程访问策略，鼠标右键单击"远程访问策略"，选择"新建远程访问策略".选择配置方式，这里我们使用向导模式选择访问方法，以太网选择授权方式，将之前添加的"802.1x"用户组加入许可列表选择身份验证方法，"MD5-质询"确认设置信息只保留新建的访问策略，删掉其他的

RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证服务）服务器提供了三种基本的功能：认证（Authentication）、授权（Authorization）和审计（Accounting），即提供了3A功能。其中审计也称为“记账”或“计费”。

RADIUS协议采用了客户机/服务器（C/S）工作模式。网络接入服务器（Network Access Server，NAS）是RADIUS的客户端，它负责将用户的验证信息传递给指定的RADIUS服务器，然后处理返回的响应。

搭建Radius服务器的方法：

用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account- Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关 *** 作。

RADIUS还支持代理和漫游功能。简单地说，代理就是一台服务器，可以作为其他RADIUS服务器的代理，负责转发RADIUS认证和计费数据包。所谓漫游功能，就是代理的一个具体实现，这样可以让用户通过本来和其无关的RADIUS服务器进行认证，用户到非归属运营商所在地也可以得到服务，也可以实现虚拟运营。

RADIUS服务器和NAS服务器通过UDP协议进行通信，RADIUS服务器的1812端口负责认证，1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中，使用UDP更加快捷方便，而且UDP是无连接的，会减轻RADIUS的压力，也更安全。

RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息，那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器，因此NAS进行重传的时候，可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同，则需要重新进行认证。

哈哈，今天刚解决了这个问题，跟楼主分享一下答案。用Windows自带的IAS（Internet验证服务）即可，不用AD支持，可以本机验证。这个东西支持RADIUS，但是本身不提供记账功能，需要再外联第三方服务器。不过就是有的验证方法（PEAP等），需要你弄一个数字证书。这个也好办，装个IIS，然后用IIS Toolkit，里面有一个selfssl，自认证证书，设置即可。 我做的是AP+RADIUS认证，不知道你要用什么方面的？

---