|
|
使用Windows的安全802.11网络企业部署
运行 Windows 的无线客户端计算机。
Windows XP和 Windows Server 2003 具有对 Wi-Fi (IEEE 802.11b) 无线访问和使用可扩展身份验证协议 (EAP) 的 IEEE 802.1X 身份验证的内置支持。 当安装了 Windows 2000Service Pack 4 (SP4) 或 Windows 2000 Service Pack 3 (SP3) 和 Microsoft 802.1X Authentication Client 后,Windows 2000 支持 IEEE 802.1X 身份验证 (推荐安装 Windows 2000 SP4 )。
至少两个 Internet 验证服务 (IAS) 服务器。
至少使用两个 IAS 服务器(一个主要的,一个辅助助的)来为基于远程身份验证拨入用户服务 (RADIUS) 的身份验证提供容错。 如果仅配置一个 RADIUS 服务器,则在该服务器不可用时,无线访问客户端将无法连接。 通过使用两个 IAS 服务器,同时为主要和辅助 IAS 服务器配置所有无线访问点 (AP)(RADIUS 客户端),RADIUS 客户端就能够在主 RADIUS 服务器不可用时检测到这个情况,并自动故障转移 (fail over) 到辅助助 IAS 服务器。
您可以使用 Windows Server 2003 或 Windows 2000 Server IAS。 运行 Windows 2000 的 IAS 服务器必须安装 SP4 或 带 Microsoft 802.1X Authentication Client 的 SP3(推荐安装 Windows 2000 SP4)。 IAS 没有包括在 Windows Server 2003 Web Edition 中。
Active Directory 服务域。
Active Directory 域包含每个 IAS 服务器验证凭据和评价授权所必需的用户帐户、计算机帐户和拨入属性。 虽然不是必需的,但是为了同时优化 IAS 身份验证和授权响应时间以及最小化网络流量,IAS 应该安装在 Active Directory 域控制器上。 您可以使用 Windows Server 2003 或 Windows 2000 Server 域控制器。 Windows 2000 域控制器必须安装 SP3 或 SP4。
安装在 IAS 服务器上的计算机证书
无论使用哪种无线身份验证方法,都必须在 IAS 服务器上安装计算机证书。
对于 EAP-TLS 身份验证,则需要一个证书基础结构。
当在无线客户端上与计算机和用户证书一起使用“可扩展身份验证协议传输级别安全性”(EAP-TLS) 身份验证协议时,则需要一个证书基础结构(也称为公钥基础结构,PKI)来颁发证书。
对于带“Microsoft 咨询握手身份验证协议第2版”(MS-CHAP v2) 身份验证的受保护的 EAP (PEAP),每个无线客户端上需要根证书颁发机构 (CA)。
PEAP-MS-CHAP v2 是用于无线连接的基于密码的安全身份验证方法。 取决于 IAS 服务器计算机证书的颁发者,您可能还必须在每个无线客户端上安装根 CA 证书。
无线远程访问策略。
远程访问策略是为无线连接配置的,以便雇员能够访问组织的 intranet。
多个无线 AP。
多个第三方无线 AP 在企业的不同建筑物中提供无线访问。 这些无线 AP 必须支持 IEEE 802.1X、RADIUS和有线对等保密 (WEP)。
图 1 显示了一个典型的企业无线配置。
图 1 企业无线配置
有关安全无线身份验证的技术、组件和过程的背景信息,请参见文章“Windows XP Wireless Deployment Technology and Component Overview”,地址为: http://www.microsoft.com/technet ... tain/wificomp.mspx.
Intranet 无线部署步骤
对于此配置,请完成以下步骤:
1.配置证书基础结构。
2.配置用于帐户和组的 Active Directory。
3.在一台计算机上配置主要 IAS 服务器。
4.在另一台计算机上配置辅助 IAS 服务器。
5.部署和配置无线 AP。
6.配置“无线网络 (IEEE 802.11) 策略组策略”设置。
7.在无线客户端计算机上安装计算机证书 (EAP-TLS)。
8.在无线客户端计算机上安装用户证书(EAP-TLS)。
9.为 EAP-TLS 配置无线客户端计算机。
10.为 PEAP-MS-CHAP v2 配置无线客户端计算机。
步骤 1:配置证书基础结构
表 1 总结了不同类型的身份验证所需要的证书。
表 1 身份验证类型和证书
不管对无线连接使用哪种身份验证方法(EAP-TLS 或 PEAP-MS-CHAP v2),您都必须在 IAS 服务器上安装计算机证书。
对于 PEAP-MS-CHAP v2,您不必部署证书基础结构来为每台无线客户端计算机颁发计算机和用户证书。 相反,您可以通过商业证书颁发机构为企业中的每个 IAS 服务器获得单独的证书,并将它们安装在 IAS 服务器上。 有关更多信息,请参见本文中的“步骤 3:配置主 IAS 服务器”和“步骤 4:配置辅助助 IAS 服务器”。 Windows 无线客户端包括许多知名和受信任的商业 CA 的根 CA 证书。 如果从已经为其安装了根 CA 证书的商业 CA 获得计算机证书,Windows 无线客户端上就不需要安装附加的证书。 如果从还没有为其安装根 CA 证书的商业 CA 获得计算机证书,您必须在每个 Windows 无线客户端上安装 IAS 服务器上安装的计算机证书的颁发者的根 CA 证书。 有关更多信息,请参见本文中的“步骤 10:为 PEAP-MS-CHAP v2 配置无线客户端计算机”。
对于使用 EAP-TLS 的计算机身份验证,您必须在无线客户端计算机上安装计算机证书(也称为机器证书)。 安装在无线客户端计算机上的计算机证书用于对无线客户端计算机进行身份验证,以便该计算机能够在用户登录之前,获得到企业 intranet 的网络连接和计算机配置“组策略”更新。 对于使用 EAP-TLS 的用户身份验证,在建立网络连接和用户登录之后,您必须在无线客户端计算机上使用用户证书。
计算机证书安装在 IAS 服务器上,以便在 EAP-TLS 身份验证期间,IAS 服务器有一个证书来发送到无线客户端以进行相互身份验证,而不管该无线客户端计算机是使用计算机证书还是用户证书来进行身份验证。 无线客户端和 IAS 服务器在 EAP-TLS 身份验证期间提交的计算机证书和用户证书必须符合本文“使用第三方 CA”中规定的要求。
在 Windows Server 2003、Windows XP 和 Windows 2000 中,您可以从“证书”管理单元中证书属性的证书路径选项卡查看证书链。您可以在 Trusted Root Certification Authorities\Certificates 文件夹中查看已安装的根 CA 证书,在 Intermediate Certification Authorities\Certificates 文件夹中查看中级 CA 证书。
在典型的企业部署中,证书基础结构是使用一个包含根 CA/中级 CA/颁发 CA 的三层结构中的单个根 CA 来配置的。 颁发 CA 配置用于颁发计算机证书和用户证书。 当在无线客户端上安装计算机证书或用户证书时,同时也会安装颁发 CA 证书、中级 CA 证书和根 CA 证书。 当在 IAS 服务器计算机上安装计算机证书时,同时也会安装颁发 CA 证书、中级 CA 证书和根 CA 证书。 IAS 服务器证书的颁发 CA 可以不同于无线客户端证书的颁发 CA。 在这样的情况下,无线客户端和 IAS 服务器计算机都有所有必需的证书,用以执行 EAP-TLS 身份验证的证书验证。
最佳实践 如果使用 EAP-TLS 身份验证,请同时将用户证书和计算机证书用于用户身份验证和计算机身份验证。
如果使用 EAP-TLS 身份验证,则不要同时使用 PEAP-TLS。 同时允许同类网络连接的受保护和未受保护的身份验证流量,将会使得受保护的身份验证流量易于受到欺骗攻击。
如果已经有一个用于 EAP-TLS 身份验证的证书基础结构,并且正在将 RADIUS 用于拨号或虚拟专用网 (VPN) 远程访问连接,您可以跳过一些证书基础结构步骤。 您可以将相同的证书基础结构用于无线连接。 然而,您必须确保安装计算机证书来进行计算机身份验证。 对于不带 Service Pack 的 Windows XP 计算机,您必须在该计算机上存储用户证书以进行用户身份验证(而不是使用智能卡)。 对于运行 Windows Server 2003、Windows XP SP1、Windows XP SP2 或 Windows 2000 的计算机,您可以使用存储在计算机上的用户证书或智能卡来进行用户身份验证。
步骤 1a:安装证书基础结构
在安装证书基础结构时,请遵循以下最佳实践:
在部署 CA 之前规划公钥基础结构 (PKI)。
根 CA 应该处于离线状态,它的签名密钥应使用硬件安全模块 (HSM) 进行保护,并保管在保险库中以最小化潜在的密钥泄漏风险。
企业组织不应当直接从根 CA 向用户或计算机颁发证书,而是应该部署以下内容:
一个离线的根 CA
离线的中级 CA
离线的颁发 CA(使用 Windows Server 2003 或 Windows 2000 证书服务作为企业 CA)
这种 CA 层次结构提供了灵活性,杜绝了恶意用户危害根 CA 私钥的企图。 离线的根和中级 CA 不必是 Windows Server 2003 或 Windows 2000 CA。 颁发 CA 可以是某个第三方中级 CA 的从属 CA。
备份 CA 数据库、CA 证书和 CA 密钥对于防止关键数据丢失是非常必要的。 应该根据相同时间段内颁发的证书数量定期(每天、每周、每月)对 CA 进行备份。 颁发的证书越多,对 CA 的备份就应该越频繁。
您应该仔细阅读 Windows 中关于安全权限和访问控制的概念,因为企业 CA 根据证书申请者的安全权限来颁发证书。
此外,如果想要利用计算机证书自动注册,请使用 Windows 2000 或 Windows Server 2003 证书服务,并在颁发者 CA 级创建企业 CA。 如果想要利用用户证书自动注册,请使用 Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 证书服务,并在颁发者 CA 级创建企业 CA。
有关更多信息,请参见 Windows 2000 Server“帮助”标题为“清单:为 intranet 部署证书颁发机构和 PKI”,或 Windows Server 2003“帮助和支持中心”中标题为“清单:创建带离线的根证书颁发机构的证书层次结构”的主题。
有关 PKI 和 Windows 2000 证书服务的附加信息,包括部署指导和最佳实践,请参见“Windows 2000 Security Services”网站,地址为: http://www.microsoft.com/windows ... curity/default.asp. 有关 Windows Server 2003 安全服务的附加信息,请参见“Windows Server 2003 Security Services”网站,地址为: http://www.microsoft.com/windows ... urity/default.mspx.
默认情况下,IAS 服务器在 EAP-TLS 身份验证过程中检查无线客户端发送的证书链中的所有证书的证书吊销情况。 如果该证书链中的任何证书的证书吊销失败,连接尝试将不会通过身份验证,从而被拒绝。 针对证书的证书吊销检查失败可能是因为以下原因:
该证书已经被吊销。
证书的颁发者已经明确吊销该证书。
该证书的证书吊销列表 (CRL) 无法获得或不可用。
CA 维护 CRL 并将它们发布到特定的 CRL 分发点。 CRL 分发点包括在证书的“CRL 分发点”(CRL Distribution Points) 属性中。 如果无法联系 CRL 分发点以检查证书吊销情况,那么证书吊销检查就会失败。
此外,如果证书中没有 CRL 分发点,IAS 服务器就不能检验证书是否已经被吊销,证书吊销检查就会失败。
CRL 的发布者没有颁发该证书。
CRL 中包括的是发布 CA。 如果 CRL 的发布 CA 和正在接受吊销情况检查的证书的颁发 CA 不匹配,那么证书吊销检查就会失败。
CRL 已过期
每个已发布的 CRL 有不同的有效期。 如果 CRL 下一次更新日期已过期,该 CRL 就被认为是无效的,证书吊销检查就会失败。 新的 CRL 应该在上次发布的 CRL 过期之前发布。
IAS 服务器的证书吊销检查行为可以使用注册表设置来修改。 有关更多信息,请参见文章“Troubleshooting Windows XP IEEE 802.11 Wireless Access”,地址为: http://www.microsoft.com/technet ... tain/wifitrbl.mspx.
由于证书吊销检查可能由于证书链中每个证书的 CRL 不可用或过期而阻止无线访问,所以要为 CRL 的高可用性而设计您的 PKI。 例如,为证书层次结构中的每个 CA 配置多个 CRL 分发点,同时配置能够确保最新的 CRL 始终可用的发布计划。
证书吊销检查仅准确到上次发布的 CRL。 例如,如果某个证书被吊销,默认情况下,包含新近吊销的证书的 CRL 不会自动发布。 CRL 通常根据可配置的计划来发布。 这意味着已吊销的证书仍然可用于身份验证,因为已发布的 CRL 不是最新的;它没有包含这个已撤销的证书,因此该证书仍然可用于创建无线连接。 为了防止这种情况发生,网络管理员必须手动发布具有新近吊销的证书的新 CRL。
默认情况下,IAS 服务器使用证书中的 CRL 分发点。. 然而,也可以在 IAS 服务器上存储 CRL 的一个本地拷贝。 在这种情况下,本地 CRL 将在证书吊销检查期间使用。 如果手动将新的 CRL 发布到 Active Directory,IAS 服务器上的本地 CRL 不会得到更新。 本地 CRL 将在它过期时被更新。 这样可能导致如下情形,即其中的某个证书已被吊销,CRL 被手动发布,但是 IAS 服务器仍然允许连接,因为本地 CRL 还没有得到更新。
步骤 1b:安装计算机证书
如果使用 Windows Server 2003 或 Windows 2000 证书服务企业 CA 作为颁发 CA ,您可以为 Active Directory 系统容器中的计算机配置计算机证书自动注册“组策略”,从而在 ISA 服务器上安装计算机证书。
为企业 CA 配置计算机证书自动注册
1.打开“Active Directory 用户和计算机”管理单元。
2.在控制台树中双击 Active Directory 用户和计算机,右键单击您的 CA 所属的域名,然后单击属性。
3.在组策略选项卡上,单击相应的“组策略”对象(默认的对象是默认域策略),然后单击编辑。
4.在控制台树中,打开计算机配置,接着依次打开 Windows 设置、安全设置、 公钥策略和自动证书申请设置。
5.右键单击自动证书申请设置,指向新建,然后单击自动证书申请设置。
6.“自动证书申请”向导将出现。 单击下一步。
7.在证书模板中,单击计算机,然后单击下一步。
您的企业 CA 将出现在列表上。
8.单击该企业 CA,再单击下一步,然后单击完成。
9.为了立即获得运行 Windows 2000 Server 的 CA 的计算机证书,请在命令提示符下键入以下命令:
secedit /refreshpolicy machine_policy
10.为了立即获得运行 Windows Server 2003 的 CA 的计算机证书,请在命令提示符下进入以下命令:
gpupdate /target:computer
在为域配置好自动注册之后,属于该域成员的每台计算机都会在计算机“组策略”被刷新时申请一个计算机证书。 默认情况下,Winlogon 服务每90分钟轮询一次“组策略”中的变化。 为了强制计算机“组策略”刷新,可重新启动计算机或在命令提示符下键入 secedit /refreshpolicy machine_policy(用于运行 Windows 2000 的计算机)或 gpupdate /target:computer(用于运行 Winsows XP 或 Windows Server 2003 的计算机)。
相应地对每个域系统容器执行此过程。
最佳实践如果使用 Windows Server 2003 或 Windows 2000 企业 CA 作为颁发 CA,请配置计算机证书自动注册以便在所有计算机上安装计算机证书。 确保为所有相应的域系统容器配置了计算机证书自动注册——不管是通过继承父系统容器的组策略设置还是明确地配置。
步骤 1c:安装用户证书
如果使用 Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 企业 CA 作为颁发 CA,您可以通过自动注册安装用户证书。 只有 Windows XP 和 Windows Server 2003 无线客户端才支持用户证书自动注册。
为企业 CA 配置用户证书自动注册
1.单击开始,单击运行,键入 mmc,然后单击确定。
2.在文件菜单上,单击添加/删除管理单元然后单击 添加。
3.在管理单元下面,双击证书模板,单击关闭,然后单击确定。
4.在控制台树中,单击证书模板。 所有证书模板将显示在详细信息窗格中。
5.在详细信息窗格中,单击用户 模板。
6.在操作菜单上,单击复制模板。
7.在显示名称 字段中,键入 WirelessUser(示例名称)。
8.确保选中在 Active Directory 中发布证书复选框。
9.单击安全选项卡。
10.在组或用户名称 字段中,单击域用户。
11.在域用户权限列表中,选中注册和自动注册权限复选框,然后单击确定。
12.打开“证书颁发机构”管理单元。
13.在控制台树中,打开证书颁发机构,然后打开 CA 名称,再打开证书模板。
14.在操作菜单上,指向新建,然后单击要颁发的证书。
15.单击 WirelessUser (示例)然后单击确定。
16.打开“Active Directory 用户和计算机”管理单元。
17.在控制台树中,双击 Active Directory 用户和计算机,右键单击包含无线用户帐户的域系统容器,然后单击属性。
18.在组策略选项卡上,单击相应的“组策略”对象(默认对象是默认域策略),然后单击编辑。
19.在控制台树中,打开用户配置,然后打开 Windows 设置,再打开安全设置,最后打开 公钥策略。
20.在详细信息窗格中,双击自动注册设置。
21.单击自动注册证书。
22.选中续订过期证书、更新未决证书并删除吊销的证书复选框。
23.选中更新使用证书模板的证书复选框,然后单击确定。
相应地对每个域系统容器执行步骤 17 至 23。
最佳实践如果使用 Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 企业 CA 作为颁发 CA,则配置用户证书自动注册以便在所有计算机上安装用户证书。 确保为所有相应的域系统容器配置了用户证书自动注册——不管是通过继承某个父系统容器的组策略设置还是通过明确的配置。
步骤 2:配置 Active Directory 帐户和组
为了配置用于无线访问的 Active Directory 用户和计算机帐户和组,请执行以下操作:
1.如果使用 Windows 2000 域控制器,则在所有域控制器上安装 Windows 2000 SP3 或 SP4。
2.确保正在建立无线连接的所有用户都有一个对应的用户帐户。
3.确保正在建立无线连接的所有计算机都有一个对应的计算机帐户。
4.将用户和计算机帐户的权限设定为适当的设置(允许访问或通过远程访问策略控制访问)。 远程访问权限设置位于“Active Directory 用户和计算机”管理单元中的用户或计算机帐户属性的拨入选项卡上。
5.将无线访问用户和计算机帐户组织到相应的组中。 对于本机模式的域,您可以使用通用全局组或嵌套的全局组。 例如,创建一个名为 WirelessUsers 的通用组,它包含用于 intranet 访问的全局无线用户和计算机帐户组。
最佳实践使用本机模式的域和通用组来将无线帐户组织到单个组中。
步骤 3:配置主 IAS 服务器
在计算机上配置主 IAS 服务器涉及到以下操作:
配置 IAS,使其能够访问帐户信息、日志、UDP 端口和对应于无线 AP 的 RADIUS 客户端。
配置用于无线访问的远程访问策略。
步骤 3a:配置 IAS
为了在计算机上配置主 IAS 服务器,请执行以下操作:
1.如果您在使用计算机证书自动注册和 Windows 2000 IAS,则在命令提示符下键入 secedit /refreshpolicy machine_policy 来强制刷新一次计算机“组策略”。 如果您在使用计算机自动注册和 Windows Server 2003 IAS,则在命令提示符下键入 gpupdate /target:computer 来强制刷新一次计算机“组策略”。
2.如果您在使用 PEAP-MS-CHAP v2 身份验证,并且已经从某个商业 CA 获得了计算机证书,则使用“证书”管理单元来将它导入 Certificates (Local Computer)\ Personal\Certificates 文件夹。 为了执行此过程,您必须是本地计算机上的“管理员”组的成员,或者已经被委托了适当的权限。 也可以通过双击存储在某个文件夹中或是在电子邮件消息中发送的证书文件来导入证书。 虽然这种方法对于使用 Windows CA 创建的证书可以起到作用,但对第三方 CA 却无效。 推荐的证书导入方法是使用“证书”管理单元。有关如何安装用于PEAP-MS-CHAP v2 身份验证的 VeriSign, Inc. 证书的更多信息,请参见 Obtaining and Installing a VeriSign WLAN Server Certificate for PEAP-MS-CHAP v2 Wireless Authentication.
3.将 IAS 安装为一个可选的网络组件。
4.如果使用 Windows 2000 IAS,则安装 Windows 2000 SP4。
5.主 IAS 服务器计算机必须能够访问相应域中的帐户属性。 如果将 IAS 安装在域控制器上,则不需要附加配置,IAS 就能访问该域控制器所在的域中的帐户属性。
如果不是将 IAS 安装在域控制器上,您必须配置主 IAS 服务器计算机,以便可以读取域中的用户帐户信息。 有关更多信息,请参见本节中的“使 IAS 服务器能够读取 Active Directory 中的用户帐户”过程。
如果 IAS 服务器验证并批准其他域中的用户帐户的无线连接尝试,则请检验其他域是否与 IAS 服务器计算机所属的域具有双向信任关系。 接下来,配置 IAS 服务器计算机,使其可以读取其他域中的用户帐户属性。 有关更多信息,请参见本节中的“使 IAS 服务器能够读取 Active Directory 中的用户对象”过程。
如果其他域中有帐户,而那些域与 IAS 服务器所属的域没有双向信任关系,您必须在两个不存在双向信任的域之间配置一个 RADIUS 代理。 如果其他 Active Directory 林中有帐户,您必须在林之间配置一个 RADIUS 代理。 有关更多信息,请参见本文中“跨林身份验证”。
6.如果想要存储身份验证和记帐信息以用于连接分析和安全调查目的,则启用记帐和身份验证事件的日志记录。 Windows 2000 IAS 能够将信息记录到本地文件。 Windows Server 2003 IAS 能够将信息记录到本地文件和结构化查询语言 (SQL) 服务器数据库中。 有关更多信息,请参见 Windows 2000“帮助”中标题为“配置日志文件属性”和 Windows Server 2003 “帮助和支持中心”中标题为“配置用户身份验证和记帐的日志记录”的主题。
7.如果需要,可以为身份验证和 RADIUS 客户端(无线 AP)发送的记帐消息配置附加的 UDP 端口。 有关更多信息,请参见本节中的“配置 IAS 端口信息”过程。 默认情况下,IAS 将 UDP 端口 1812 和 1645 用于身份验证消息,将 UDP 端口 1813 和 1646 用于记帐消息。
8.将无线 AP 添加为 IAS 服务器的 RADIUS 客户端。 有关更多信息,请参见本节中的“添加 RADIUS 客户端”过程。 检验您是否在为每个无线 AP 配置正确的名称或 IP 地址以及共享的机密。
对每个无线 AP 使用不同的共享机密。 每个共享的机密应该是至少 22 个字符长度的大小写字母、数字和标点符号的随机序列。为确保随机性,可使用随机字符生成程序来创建要在 IAS 服务器和无线 AP上配置的共享机密。
为最大限度地确保 RADIUS 消息的安全性,推荐您对证书身份验证使用 Internet 协议安全性 (IPSec) 封装式安全措施负载 (ESP),以便为 IAS 服务器和无线 AP 之间发送的 RADIUS 流量提供数据保密性、数据完整性和数据起源身份验证。 Windows 2000 和 Windows Server 2003 支持 IPSec。 无线 AP 也必须支持 IPSec。
使 IAS 服务器能够访问 Active Directory 中的用户帐户
使用“Internet 验证服务”在默认域中注册 IAS 服务器:
1.使用一个具有域管理员权限的帐户登录到 IAS 服务器。
2.打开“Internet 验证服务”管理单元。
3.右键单击“Internet 验证服务”,然后单击在 Active Directory 中注册服务器。 当在 Active Directory 中注册 Internet 验证服务对话框出现时,单击确定。
使用 netsh 工具在默认域中注册 IAS 服务器:
1.使用一个具有域管理员权限的帐户登录到 IAS 服务器。
2.打开命令提示符。
3.在命令提示符下键入:netsh ras add registeredserver
使用“Active Directory 用户和计算机”在默认域中注册 IAS 服务器:
1.使用一个具有域管理员权限的帐户登录 IAS 服务器。
2.打开“Active Directory 用户和计算机”管理单元。
3.在控制台树中单击相应域中的用户 文件夹。
4.在详细信息窗格中,右键单击 RAS 和 IAS 服务器,然后单击属性。
5.在 RAS 和 IAS 属性对话框中,在成员选项卡上添加 IAS 服务器。
使用“Active Directory 用户和计算机”在另一个域中注册 IAS 服务器:
1.使用一个具有域管理员权限的帐户登录 IAS 服务器。
2.打开“Active Directory 用户和计算机”管理单元。
3.在控制台树中,单击相应域中的用户文件夹。
4.在详细信息窗格中,右键单击 RAS 和 IAS 服务器,然后单击属性。
5.在 RAS 和 IAS 属性对话框中,在成员 选项卡上添加每个相应的 IAS 服务器。
使用 netsh 工具在另一个域中注册 IAS 服务器:
1.使用一个具有域管理员权限的帐户登录 IAS 服务器。
2.打开命令提示符。
3.在命令提示符下键入:netsh ras add registeredserverDomain IASServer
其中 Domain 是该域的 DNS 域名,而 IASServer 是IAS 服务器计算机的名称。
配置 IAS 端口信息
1.打开“Internet 验证服务”管理单元。
2.右键单击 Internet 验证服务,然后单击属性。
3.对于 Windows 2000 IAS,单击 RADIUS 选项卡。 对于 Windows Server 2003,单击端口选项卡。 检查端口的设置。 如果您的 RADIUS 身份验证和 RADIUS 记帐 UDP 端口不同于默认提供的值(1812 和1645 用于身份验证,1813 和 1646 用于记帐), 请在身份验证和记帐中键入端口设置。
为了将多个端口用于身份验证或记帐请求,请用逗号分隔那些端口。
添加 RADIUS 客户端
1.打开“Internet 验证服务”管理单元。
2.对于 Windows 2000 IAS,在控制台树中右键单击客户端,然后单击新建客户端。 对于 Windows Server 2003 IAS,在控制台树中右键单击 RADIUS 客户端,然后单击新建 RADIUS 客户端。
3.在友好名称中,键入一个描述性名称。
4.在协议中,单击 RADIUS,然后单击下一步。
5.在客户端地址(IP 或 DNS)中,键入客户端的 DNS 名称或 IP 地址。 如果使用 DNS 名称,请单击检验。 在解析 DNS 名称对话框中,单击 解析,然后从搜索结果中选择希望与该名称关联的 IP 地址。
6.如果出于配置目的而计划使用特定于 AP 的远程访问策略(例如,包含特定供应商的属性的远程访问策略),请单击客户端供应商,然后选择厂商的名称。 如果不知道厂商或者它不再列表中,请单击 RADIUS 标准。
7.在共享的机密中,键入该客户端的共享机密,然后在确认共享的机密中再次键入它。
8.单击完成。
最佳实践如果可能,应使用 IPSec ESP 来为无线 AP 和 IAS 服务器之间的 RADIUS 流量提供数据保密性。 至少应该将 3DES 加密和证书(如果可能的话)用于 Internet 密钥交换 (IKE) 主要模式身份验证。
使用包含至少 22 个字符长度的大小写字母、数字和标点符号的随机序列的共享机密,并对每个无线 AP 使用不同的共享机密。 如果可能,应使用随机字符串生成计算机程序来创建共享的机密。
步骤 3b:配置无线远程访问策略
为了给主 IAS 服务器配置无线远程访问策略,请执行以下操作:
1.对于 Windows 2000 IAS,请使用以下设置来创建一个用于无线 intranet 访问的新的远程访问策略:
策略名称:无线访问 intranet(示例)
条件:NAS-Port-Type=Wireless-Other and Wireless-IEEE 802.11, Windows-Groups=WirelessUsers
权限:选择授予远程访问权限。
配置文件,身份验证选项卡:如果使用 EAP-TLS 身份验证,请选择可扩展身份验证协议和智能卡或其他证书 EAP 类型。 清除其他所有复选框。 如果 IAS 服务器上安装了多个计算机证书,请单击配置,然后选择相应的计算机证书。 如果想要的计算机证书没有显示出来,这说明它不支持 SChannel。
如果使用 PEAP-MS-CHAP v2 身份验证,请选择可扩展身份验证协议和受保护的 EAP (PEAP) EAP 类型,然后单击配置。 在受保护的 EAP 属性对话框中,选择相应的计算机证书并确保选择受保护的密码(EAP-MSCHAP v2) 作为 EAP 类型。
配置文件,加密选项卡:清除除最强加密之外的其他所有复选框。 这样将强制所有无线连接使用 128-位加密。 加密选项卡上的设置对应于 MS-MPPE-Encryption-Policy 和 MS-MPPE-Encryption-Types RADIUS 属性,并且可能受无线 AP 的支持。 如果这些属性不受支持,则清除除无加密之外的其他所有复选框。
有关更多信息,请参见本节中的“添加远程访问策略”过程。
2.对于 Windows Server 2003 IAS,请使用“新建远程访问策略向导”来创建一个具有以下设置的公共远程访问策略:
策略名称:无线访问 intranet(示例)
访问方法:无线
用户访问或组访问:组访问,其中选中了 WirelessUsers 组(示例组名称)
身份验证方法: 智能卡或其他证书类型(对于 EAP-TLS)或受保护的 EAP (PEAP) 类型(对于 EAP-MS-CHAP v2)
3.如果无线 AP 需要特定供应商的属性 (VSA),您必须把那些 VSA 添加到远程访问策略中。 有关更多信息,请参见本节中的“为远程访问策略配置特定供应商的属性”过程。
4.对于 Windows 2000 IAS,请删除名为如果启用了拨入权限,则允许访问的默认远程访问策略。 为了删除远程访问策路,请在“Internet 验证服务”管理单元中右键单击策略名称,然后单击删除。
最佳实践 如果在每帐户的基础上管理用户和计算机帐户的远程访问权限,请使用指定了连接类型的远程访问策略。 如果通过远程访问策略管理远程访问权限,请使用指定了连接类型和组的远程访问策略。 推荐的方法是通过远程访问策略管理远程访问权限。
添加远程访问策略
1.打开“Internet 验证服务”管理单元。
2.在控制台树中,右键单击远程访问策略,然后单击新建远程访问策略。
为远程访问策略配置特定供应商的属性
1.打开“Internet 验证服务”管理单元。
2.在控制台树中单击 远程访问策略。
3.在详细信息窗格中,双击您想要为其配置特定供应商的属性 (VSA) 的策略。
4.单击编辑配置文件,单击高级选项卡,然后单击添加。
5.查看特定供应商的属性是否已经在可用的 RADIUS 属性列表中。 如果是,则双击它,然后按照无线 AP 文档中的规定来配置它。
6.如果特定供应商的属性不在可用的 RAIDUS 属性列表中,请单击特定供应商属性,然后单击 添加。
7.在多值属性信息对话框中,单击添加。
8.指定无线 AP 的供应商。 为了从列表中选择名称来指定供应商,请单击从列表中选择,然后选择您在为其配置 VSA 的无线 AP 的供应商。 如果没有列出该供应商,请键入供应商代码来指定供应商。
9.为了通过键入供应商代码来指定供应商,请单击输入供应商代码,然后在所提供的空白区域中键入供应商代码。 请参见 RFC 1007,以获得“SMI 网络管理专用企业代码”(SMI Network Management Private Enterprise Code) 的列表。
10.指定该属性是否符合 RFC 2865 中规定的 VSA 格式。如果不能确定,请参见您的无线 AP 文档。
11.如果您的属性符合规定的格式,请单击符合,然后单击配置属性。 在供应商分配的属性号中,键入分配给该属性的编号(这个编号应该是从 0 到 255 的整数)。 在属性格式中,指定该属性的格式,然后在属性值中,键入您分配给该属性的值。
12.如果该属性不符合规定的格式,请单击不符合,然后单击配置属性。 在十六进制属性值中,键入该属性的值。
最佳实践 检查无线 AP 是否需要 VSA,并在远程访问策略的配置过程中配置它们。 如果在配置无线 AP 之后配置 VSA,您必须重新将主 IAS 服务器的配置与辅助 IAS 服务器同步。
步骤 4:配置辅助 IAS 服务器
要在另外的计算机上配置辅助 ISA 服务器,请执行以下操作:
1.如果使用计算机证书自动注册和 Windows 2000 IAS,请在命令提示符下键入 secedit /refreshpolicy machine_policy 来强制刷新一次计算机“组策略”。 如果使用计算机证书自动注册和 Windows Server 2003 IAS,则在命令提示符下键入 gpupdate /target:computer 来强制刷新一次计算机“组策略”。
2.如果使用 PEAP-MS-CHAP v2 身份验证,并且已经从某个商业 CA 获得了计算机证书,则使用“证书”管理单元来将它导入 Certificates (Local Computer)\ Personal\Certificates 文件夹。
3.将 IAS 安装为一个可选的网络组件。
4.如果您在使用 Windows 2000 IAS,请安装 Windows 2000 SP4。
5.辅助 IAS 服务器计算机必须能够访问相应域中的帐户属性。 如果将 IAS 安装在域控制器上,则不需要附加的配置,IAS 就能访问该域控制器所在的域中的帐户属性。
如果 IAS 不是安装在域控制器上,您必须配置辅助 IAS 服务器计算机才能读取域中的用户帐户属性。 有关更多信息,请参见前面描述的“使 IAS 服务器能够读取 Active Directory 中的用户帐户”过程。
如果辅助 IAS 服务器验证并批准其他域中的用户的连接尝试,则检验其他域是否与辅助 IAS 服务器计算机所属的域具有双向信任关系。 接下来,配置辅助 IAS 服务器计算机,使其可以读取其他域中的用户帐户属性。 有关更多信息,请参见前面描述的“使 IAS 服务器能够读取 Active Directory 中的用户对象”过程。
如果其他域中有帐户,而那些域与辅助 IAS 服务器计算机所属的域没有双向信任关系,您必须在两个不存在双向信任的域之间配置一个 RADIUS 代理。如果其他 Active Directory 林中有帐户,您必须在林之间配置一个 RADIUS 代理。 有关更多信息,请参见本文中的“跨林身份验证”。
6.为了将主 IAS 服务器的配置复制到辅助 IAS 服务器,请在主 IAS 服务器上的命令提示符下键入 netsh aaaa show config>path\file.txt。 这样将在一个文本文件中存储配置设置,包括注册表设置。 其中的路径可以是相对路径、绝对路径或网络路径。
7.将步骤 7 中创建的文件复制到辅助 IAS 服务器。 在辅助 IAS 服务器上的命令提示符下键入 netsh execpath\file.txt。 这个命令将把主 IAS 服务器上配置的所有设置导入辅助 IAS 服务器。
注意不能将 IAS 设置从运行 Windows Server 2003 的 IAS 服务器复制到运行 Windows 2000 Server 的 IAS 服务器。
最佳实践如果要以任何方式更改 IAS 服务器配置,请使用“Internet 验证服务”管理单元来更改主 IAS 服务器的配置,然后在辅助 IAS 服务器上同步那些变更。
步骤 5:部署和配置无线 AP
部署无线 AP,为您的无线网络提供覆盖所有领域的覆盖范围。 配置无线网络以支持 WEP 加密和 802.1X 身份验证。 此外,请使用以下设置来配置无线 AP 上的 RADIUS 设置:
1.主 RADIUS 服务器的名称或 IP 地址、共享的机密、用于身份验证和记帐的 UDP 端口,以及故障检测设置。
2.辅助 RADIUS 服务器的 IP 地址或名称、共享的机密、用于身份验证和记帐的 UDP 端口,以及故障检测设置。
为了平衡两个 IAS 服务器之间的 RADIUS 流量负载,可将带主 IAS 服务器的一半无线 AP 配置为主 RADIUS 服务器,将辅助 IAS 服务器配置为辅助 RADIUS 服务器;将带辅助 IAS 服务器的另一半无线 AP 配置为主 RADIUS 服务器,将主 IAS 服务器配置为辅助 RADIUS 服务器。
有关更多信息,请参见无线 AP 的文档。 有关 Enterasys 无线 AP 的信息,请参见 http://www.enterasys.com/. 有关 Cisco 访问点的信息,请参见 Cisco 的主页: http://www.cisco.com/. 有关 Agere Systems 访问点的信息,请参见 Agere 的 ORiNOCO Web 站点: http://www.orinocowireless.com/.
如果无线 AP 需要特定供应商的属性 (VSA),您必须将那些 VSA 添加到 ISA 服务器的远程访问策略。 有关更多信息,请参见前面描述的“为远程访问策略配置特定供应商的属性”过程。 如果向主 IAS 服务器上的远程访问策略添加 VSA,请执行“步骤 4:配置辅助 IAS 服务器”小节的步骤 7 和 8 来将主 IAS 服务器配置复制到辅助 IAS 服务器。
步骤 6:配置“无线网络 (IEEE 802.11) 策略组策略”设置
对于 Windows Server 2003 中提供的的“无线网络 (IEEE 802.11) 策略组策略”扩展,您可以指定一个首选的网络及其设置的列表,以便自动为运行 Windows XP、Windows XP SP2 或 Windows Server 2003 的无线客户端配置无线 LAN 设置。对于每个首选的网络,您可以指定关联设置(比如 SSID 和 WEP 用法)和身份验证设置(比如 802.1X 身份验证和身份验证协议的使用)。
为了配置“无线网络 (IEEE 802.11) 策略组策略”设置,请执行以下操作:
1.打开“Active Directory 用户和计算机”管理单元。
2.在控制台树中,双击 Active Directory 用户和计算机,右键单击包含无线计算机帐户的域系统容器,然后单击属性。
3.在组策略选项卡上,单击相应的“组策略”对象(默认的对象是默认域策略),然后单击编辑。
4.在控制台树中,依次打开计算机配置、Windows 设置、 安全设置和无线网络 (IEEE 802.11) 策略。
5.右键单击无线网络 (IEEE 802.11) 策略,然后单击创建无线网络策略。 在“无线网络策略向导”中,键入一个名称和描述。
6.在详细信息窗格中,双击新创建的无线网络策略。
7.按需要更改常规选项卡上的设置。
8.单击首选网络选项卡。 单击添加来添加一个首选网络。
9.在网络属性选项卡上,键入无线网络名称 (SSID) ,并按需要更改 WEP 设置。
10.单击 IEEE 802.1x 选项卡。 按需要更改 802.1X 设置,包括指定和配置正确的 EAP 类型。 单击确定两次来保存更改。
当Windows XP SP1、Windows XP SP2 和 Windows Server 2003 无线客户端下一次更新计算机配置“组策略”时,它们的无线网络配置将自动得到配置。
注意 Windows Server 2003 附带的“无线网络 (IEEE 802.11) 策略组策略”扩展版本不支持“Wi-Fi 受保护的访问”(WPA) 身份验证和加密设置,而运行 Windows XP SP1 的计算机和 Windows XP 中的“WPA 无线安全更新”(Microsoft 推出的一个免费下载组件)则支持它们。 因此,即使您可能已经将无线 AP、网络适配器驱动程序和基于 Windows XP 的计算机升级到了 WPA,目前也没有用于在企业中部署 WPA 设置的解决方案。 在 Windows Server 2003 和 Windows XP 的未来更新中,正在考虑将 WPA 设置添加到“无线网络 (IEEE 802.11) 策略组策略”扩展中,以及在基于 Windows XP 或 Windwos Server 2003 的计算机上增加对那些设置的支持。
为了在 Windows 2000 Active Directory 域中获得新的“无线网络 (IEEE 802.11) 策略组策略”扩展,必须升级 Active Directory 架构以使其包括新的扩展。 为了升级 Windows 2000 Active Directory 架构,您必须在运行 Windows Server 2003 的 Windows 2000 Active Directory 域中至少安装一个域控制器。完成这个任务之后,您必须从运行 Windows Server 2003 的任何域成员计算机上使用“组策略”管理单元来配置“无线网络 (IEEE 802.11) 策略”设置。
[ 本帖最后由 garnett_wu 于 2006-9-20 11:16 编辑 ] |
|
发表于 2006-9-20 11:15:20