《IAS（Internet验证服务） RADIUS实现无线网络验证》的补充和总结

鉴于近期严峻的无线网络安全形势，本人决定把自己的AP由原来的WPA2 PSK AES变成WPA2 Dot1X AES。（很疯狂吧，哈哈，还嫌不够安全啊~）

 

既然要做Dot1X，就得有一台RADIUS服务器。上网寻觅了半天，找到了好多RADIUS服务器软件。

不过不是功能太简单，就是很难配置，或者干脆跟系统不兼容。（谁叫俺好事用着2008R2）

 

然后，网上找了一篇文章，说这个事的：

http://www.sharecenter.net/thread-152956-1-1.html

http://www.netexpert.cn/thread-15330-1-9.html

 

下面根据自己的实践经验补充几点：

1、用户组可以是本地的，IAS的功能跟域和AD无关；

2、IAS只支持PEAP，要求服务器有数字证书，否则是没法用的；

3、数字证书可以用IIS Toolkit中的SelfSSL来制作；

4、如果不想在客户端分发自认证证书到客户机的信任列表的话，可以在客户机上选择不验证服务器的证书；

5、IAS默认情况下，是不做多余设置的，客户机的IP地址仍然要由网络中的DHCP服务器指配；

6、Tomato中的无线安全选项设置为WPA2 Enterprise，下面的Shared Key，不是指无线网的Pre-Share key，而是指跟RADIUS服务器通信时用的Secret。

 

但是由于IAS不支持记账功能，还得再看看怎么给它加上一个外挂。。。额，外挂。。。