基于IEEE 802.1x认证系统的组成 一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器 3 部分(角色)组成。 认证客户端。认证客户端是最终用户所扮演的角色,一般是个人计算机。它请求对网络服务的访问,并对认证者的请求报文进行应答。认证客户端必须运行符合 IEEE 802.1x 客户端标准的软件,目前最典型的就是 Windows XP 操作系统自带的IEEE802.1x客户端支持。另外,一些网络设备制造商也开发了自己的IEEE 802.1x客户端软件。 认证者认证者一般为交换机等接入设备。该设备的职责是根据认证客户端当前的认证状态控制其与网络的连接状态。扮演认证者角色的设备有两种类型的端口:受控端口(controlled Port)和非受控端口(uncontrolled Port)。其中,连接在受控端口的用户只有通过认证才能访问网络资源;而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上,便可以实现对用户的控制;非受控端口主要是用来连接认证服务器,以便保证服务器与交换机的正常通讯。 认证服务器认证服务器通常为RADIUS 服务器。认证服务器在认证过程中与认证者配合,为用户提供认证服务。认证服务器保存了用户名及密码,以及相应的授权信息,一台认证服务器可以对多台认证者提供认证服务,这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的审计数据。微软公司的Windows Server 2003 操作系统自带有RADIUS服务器组件。 实验拓扑图 安装 RADIUS 服务器:如果这台计算机是一台 Windows Server 2003 的独立服务器(未升级成为域控制器,也未加入域),则可以利用 SAM 来管理用户账户信息;如果是一台Windows Server 2003 域控制器,则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用 SAM 来安全、稳定,但 RADIUS 服务器提供的认证功能相同。为便于实验,下面以一台运行 Window s Server 2003 的独立服务器为例进行介绍,该计算机的 IP 地址为 172.16.2.254。 在"控制面板"中双击"添加或删除程序",在弹出的对话框中选择"添加/删除 Window s 组件" 在弹出的"Window s 组件向导"中选择"网络服务"组件,单击"详细信息" 勾 选"Internet 验证服务"子组件,确定,然后单击"下一步"进行安装 在"控制面板"下的"管理工具"中打开"Internet 验证服务"窗口 创建用户账户 RADIUS 服务器安装好之后,需要为所...
