Hi anh !!! Anh có thể gởi câu hỏi qua mail sau : tranmyphuc@wimaxpro.org

Chúc anh vui !!!

Hi, cảm ơn các bạn đã trả lời, tôi gửi mail cho bạn tranmyphuc1988 rồi đó :)

RADIUS wireless

chào các bác!
em làm chứng thực wireless bằng RADIUS Server trên widows server 2003 trong môi trường domain thì thành công rồi nhưng em muốn hỏi là khi một máy của khách đến công ty họ muốn truy cấp wireless có chứng thực bằng RADIUS (máy client đó kô joint vào domain) thì làm như thế nào em làm mãi mà chưa được mong các bác giúp đỡ

theo như nô hình này(Client-------->AP---------->RADIUS Server--------->AD and Certificate Server.) thì những máy phải joint vào domain thì mới có thể chứng thực được bằng RADIUS Server còn những máy ko joint vào domain thì có thể chứng thực được ko, bác nào có tài liều thì cho mình xin với.

chào bạn
mính cũng làm theo mô hình trên và chứng thực bằng RADIUS server trên widows 2003 thì thành công rồi, nhưng cho mình hỏi là nếu một máy không joint vào domain thì có thể chứng thực được ko mình làm mãi mà chưa được mà cũng ko biết có được hay ko nữa mong các bạn chỉ bảo.

Các anh em ơi, giúp vụ này đi nào.
Tôi cũng đang mắc như bạn QuangIT đây.
Mong sớm nhận được thông tin từ các bạn.

- bạn đọc bài viết ở dưới đây, cũng vấn đề tương tự (cùng 1 SSID, và khó nhận IP từ DHCP server),... vấn đề có vẻ hơi "nan giải", mời các bờ rồ tham gia trợ giúp:

Hi

Tôi nghĩ rằng không nhất thiết phải join vào domain thì mới xác thực 802.1x thành công được. Phần "domain" trong hộp thoại 802.1x của máy client có thể để trống mà vẫn xác thực 802.1x thành công.

Em chào Anh!
Anh có thể hướng dẫn cụ thể được không nếu có hình ảnh thì càng tốt em loay hoay mãi mà chưa được mà công việc thì đang rất cần không còn thời gian nữa mong tất cả các bạn trong forum giúp đỡ.

HI ban!
Ban da dung Radius cua Windows ket hop voi AD thi viec xac thuc tu client bi yeu cau Domain la hien nhien.
Neu ban muon guest truy cap duoc thi ko nhat thiet phai kiem tra tai khoan va se dua guest vao vlan duoc kiem soat. Hoac neu ban muon kiem tra tai khoan truy cap cho Guest thi tren AP ban nen tro ra mot Radius khac voi local database_user, hoac Local Radius (neu Arionet 1100 or ...).
Mot so y kien.

Cấu hình xác thực bằng RADIUS server

Mạng WLAN bản thân nó là không bảo mật, tuy nhiên đối với mạng có dây nếu bạn không có 1 sự phòng ngừa hay cấu hình bảo vệ gì thì nó cũng chẳng bảo mật gì. Điểm mấu chốt để tạo ra 1 mạng WLAN bảo mật là phải triển khai các phương pháp bảo mật thiết yếu cho WLAN để giúp cho hệ thống mạng của mình được an toàn hơn.
Trong bài LAB này ta sẽ thảo luận các đặc điểm và cách cấu hình RADIUS server. Nhằm ngăn chặn những truy cập mạng trái phép mà mình không mong muốn. Khi đó client muốn truy cập vào mạng thì phải đăng nhập đúng user name và password hợp lợi. Quá trình xác thực này được điều khiển bởi RADIUS server.

Mô tả yêu cầu:
• Cấu hình RADIUS server trên Win 2003, tạo user và password cho các client dự định tham gia vào mạng
• Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet ( bằng webpage và CLI).
• Cho PC tham gia vào mạng, kiểm tra kết nối.

Thiết bị yêu cầu : 1 Access point Aironet 1131, 3 pc có gắn card wireless, 1 pc làm RADIUS server.

Các bước thực hiện :

1. Cấu hình RADIUS server trên win 2003:
• Cài đặt phần mềm Cisco Secure ACS v3.2 trên pc chạy win 2003 để làm server.
Double click vào file setup.exe trong thư mục chứa phần mềm ACS để tiến hành cài đặt. Màn hình setup hiện ra :
Check vào tất cả các mục để cài đặt ACS, tiếp theo nhấn Next :

Authenticate Users Using : chọn thiết bị tương ứng mà ta sử dụng. Ở đây do ta sử dung Access point là Aironet nên ta chọn là RADIUS (Cisco Aironet).
Access Server Name: tùy chọn đặt tên cho thiết bị. Ta nên đặt trùng tên với Access point mà ta muốn cấu hình để dễ phân biệt.
Access Server IP Address: Địa chỉ IP của AP mà ta cần cấu hình để PC server có thể truy cập tới AP. Trong trường hợp này địa chỉ của AP là 192.168.1.254
Windown Server IP Address: địa chỉ IP của Server làm RADIUS. Chẳng hạn như 192.168.1.1
TACACS + or RADIUS Key: đặt key cho RADIUS server phải trùng với key của AP.
Nhấn Next để sang bước tiếp theo.
Các tùy chọn trong ACS. Ta nên chọn hết để có thể sử dụng hết các tính năng của ACS.
Nhấn Next và tiếp theo nhấn Finish để hoàn thành quá trình cài đặt .
• Tạo User và password :
Giao diện chính của ACS:
Click vào nút User Setup để tạo user
Đặt tên user tuỳ chọn cho client sử dụng để truy cập. Nhấn vào nút Add/Edit để thêm vào cấu hình. Ta có thể add nhiều user tuỳ theo nhu cầu.
Đặt Password cho user vừa tạo. xong nhấn nút Submit để hoàn tất .
• Ngoài ra ta có thể thay đổi cấu hình mạng ban đầu đã thiết lập trong quá trình cài đặt hoặc thêm cấu hình tùy chọn. bằng cách nhấn vào nút Network Configuration.
Ta có thể tạo cấu hình tùy mục đích sử dụng ở đây. Sau khi tạo xong nhấn Submit+Restart để hoàn tất cài đặt.
Lưu ý : Phần mềm ACS đòi hỏi phải chạy trên môi trường Java. Do đó trước khi cài đặt yêu cầu phải cài Java Runtime Environment.
Sau khi setup ACS xong thì khi mở trình duyệt ACS vẫn chưa chạy. Khi đó ta chọn Tool > Internet Option > Security , chọn levlels Low để cho phép java start

2. Bật tính năng xác thực EAP Authentication với RADIUS server trên AP Aironet:

+Thực hiện trên webpage:
• Đặt địa chỉ IP của PC trùng với địa chỉ của AP. Trường hợp này địa chỉ của AP là 192.168.1.254, ta đặt cho PC là 192.168.1.2
• Kết nối giữa PC với AP thông qua cáp thẳng
• Mở trình duyệt web lên, điền địa chỉ của AP là 192.168.1.254 vào thanh địa chỉ, màn hiện đăng nhập hiện ra yêu cầu nhập user name và password. mặc định user name là Cisco, Password là Cisco
Hinh đăng nhập user name và pass
• Giao diện chính của AP

Hình giao dien chính của AP

Chọn mục EXPRESS SECURITY

Hình trong mục EXPRESS SECURITY

Chọn SSID là vnpro
Chon mục Broadcast Beacon để quảng bá SSID
Chọn mục radisus
Đặt IP của server là 192.168.1.1
Đặt Secrect key trùng với key của server pc
nhấn apply => hoàn tất cài đặt.

+Cấu hình bằng CLI:

• Vào mode config bật tính năng AAA

ap(config)# aaa new-model

• Định nghĩa AAA Server Groups

ap(config)#aaa group server radius rad_eap
ap(config-sg-radius)#server 192.168.1.1 auth-port 1645 acct-port 1646

• Cho phép xác thực trên RADIUS

ap(config)#aaa authentication login eap_methods group rad_eap

• Tạo SSID và cho phép SSID đó tham gia xác thực RADIUS, đồng thời quảng bá SSID đó qua ngoài

ap(config)#dot11 ssid ap1
ap(config-ssid)#authentication open eap eap_methods
ap(config-ssid)#authentication network-eap eap_methods
ap(config-ssid)#guest-mode

• Chỉ ra địa chỉ IP của server, port dùng để Authentication Request, port dùng để accounting request và key :

ap(config)# radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key 123456

• Vào mode interface bât tính năng xác thực trên interface và cho phép quảng bá ssid ra interface này

ap(config)#interface dot11radio 0
ap(config-if)#encryption mode wep mandatory
ap(config-if)#ssid ap1
ap(config-if)#no shut
ap(config-if)#end
ap#wr

Cấu hình tham khảo:

ap#sh running-config
Building configuration...

Current configuration : 2430 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$EdQk$vBu/6AkF37mOFlG07co6i1
!
ip subnet-zero
!
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.1.1 auth-port 1645 acct-port 1646
!
aaa authentication login eap_methods group rad_eap
aaa session-id common
!
dot11 ssid ap2
authentication open eap eap_methods
authentication network-eap eap_methods
guest-mode
!
power inline negotiation prestandard source
--More-- !
!
username Cisco password 7 047802150C2E
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode wep mandatory
!
ssid ap2
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
--More-- bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
--More-- duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 160 in
!
interface BVI1
ip address 192.168.1.254 255.255.255.0
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779...onfig/help/eag
ip radius source-interface BVI1
!
radius-server host 10.0.0.2 auth-port 1645 acct-port 1646 key 7 1446405858517C
!
control-plane
!
bridge 1 route ip
--More-- !
!
!
line con 0
line vty 0 4
!
end

3. kiểm tra kết nối :
Trước khi cho PC tham gia vào mạng, bật tín năng xác thực trên trên card wireless
Trên PC tạo kết nối với mạng có SSID là ap1 vừa được thiết lập.

Click vào nút Add

tên SSID của mạng mà mình muốn kết nối, chọn kiểu xác thực là LEAP và đánh dấu chọn vào mục Prompt for user name and password . Nhấn OK


1 kết nối được tạo ra với mạng có SSID là ap1. Để kết nối với mạng trên, ta click chuột phải và chọn conect. Khi đó server sẽ tiến hành xác thực và yêu cầu mình nhập user name và password.


Nếu client nhập sai user name và password thì sẽ không kết nối tới mạng được. khi đó trên màn hình CLI của AP sẽ báo Authentication Failed. Và bắt buộc client phải đăng nhập lại. sau khi nhập đúng user name và password thì sẽ kết nối được
Để kiểm tra kết nối ta sẽ tiến hành Ping tới server, đặt địa chỉ IP của client trùng lớp mạng với server.
=>ping thành công, kết nối hoàn tất

[ Nguồn: VnPro biên soạn ]

Hi
bạn có thể hướng dẫn cụ thể được kô mình đang rất cần

Nếu máy khách của bạn có sử dụng Wireless Utility cho loại card wireless đó thì bạn có thể sd LEAP trong Utility đó. Bạn tạo user cho khách và bỏ vào group cho phép access wireless là ok.
Nếu được bạn có thể cung cấp chi tiết các thiết bị cũng như software hiện tại của bạn k?

Hi
Mình đã cấu hình được theo mô hình chứng thực bằng RADIUS trên windows rồi nhưng có điều là môi khi wireless client kết nối thành công vào, lúc Disconnect ra và connect lại thì nó nhớ luôn user và mật khẩu lần đầu đăng nhập. mình muốn khi connect lại thì vẫn phải hiện lên cửa sổ yêu cầu gõ vào user và mật khẩu, ai đã làm và có kinh nghiệm thì xin chỉ giáo

sao mãi không thấy anh em nào giúp mình