802.1x認證AD域自動下發客戶端配置指導書
這篇文檔不再描述radius 服務器和AD 域的搭建過程,只說明通過域下發802.1X客戶端配置(即對域的配置過程)
適用的服務器:Win Server2008 radius 服務器
注意:這里不是802.1x認證成功后,通過AD域下發802.1x客戶端配置:
正確的情況是:終端只要加入域,即可進行下發802.1x客戶端配置,配置完成后才能進行802.1x認證;
-
從開始菜單中,運行"服務器管理器"。
-
點擊"功能->組策略管理->林:example.domain.com->域"節點。
-
找到要編輯的組策略,例如編輯"Default Domain Policy",這將對所有的域計算機生效。
-
右鍵點擊組策略,然后選擇編輯。
-
找到無線網絡(IEEE 802.11)策略,位置:"計算機配置->策略->Windows設置->安全設置->無線網絡(IEEE 802.11)策略"。
-
在右邊的策略列表中,點擊右鍵,然后選擇"創建一個新的 Windows Vista 策略"或者"創建新的 Windows XP 策略"。需要說明的是 Windows Vista 策略對 Windows 7 同樣生效。如果加入域的計算機既有 Windows XP,也有 Windows Vista 或 Windows 7,則需要分別創建多個平台的策略。
6.1創建Windows Vista策略
填寫策略名稱、勾選客戶端使用Windows無線局域網自動配置服務並點擊添加按鈕,選擇添加結構;
接下來我們進行連接選項的配置:配置無線SSID名稱,並點擊添加按鈕;
注意:配置無線SSID的時候要與WAC配置的WPA/WPA2企業認證的SSID上保持一致,如果不一致,即使下發成功了,認證也是失敗的,這里要注意;例如:WAC上配置的企業認證wlan(ssid)為 Sundray_WiFi;那么這里的SSID就應該寫為Sundray_WiFi;
繼續進行安全選項的配置:身份驗證類型選擇:WPA2-企業、加密方式為AES、選擇網絡身份驗證方法為:Microsoft:受保護的EAP(PEAP)、身份驗證模式選擇:用戶或計算機驗證
此部分配置完成后,點擊屬性按鈕,進行屬性相關配置:取消服務器證書驗證和windows用戶名和密碼認證
6.2配置文件到此即添加成功,按照相同配置參數進行創建新的 Windows XP 策略
7、需要特別注意:最后我們回到Default Domain Policy策略,在右側視圖中勾選強制及勾選已啟用鏈接(如不勾選此兩項,則配置不會自動下方至客戶端)
8、最后一步,記得刷新組策略:CMD窗口中執行:gpupdate /force,最后提示:用戶策略更新成功完成,則我們大功告成;
注意:這一步是在加入域的終端上執行的,是下發配置組策略;如果下發配置成功,以win7系統為例,在"管理無線網絡"中,是可以看到與WAC上配置的wlan(ssid)一樣的一個wlan(ssid);
- 9.建議用戶使用我們的WAC自帶的802.1x自動配置工具,配置簡單,使用方便快捷