集思广益集思广益布署布署AD + MAC + IAS 的802.1x 无线认证无线认证局域网局域网局域网概要概要之前在网上看过相关的文章介绍,要实现AD + MAC + IAS 的802.1x 无线认证,要么交换机要支持802.1x 协议,要么无线AP 或无线控制器要支持基于Radius 的MAC 地址认证功能。
现在本文就简单介绍一下,在交换机不支持802.1x 协议,无线AP 或无线控制器不支持基于Radius 的MAC 地址认证功能的情况下,布署AD + MAC + IAS 的802.1x 无线认证企业局域网。
我们只要在IAS 服务上登记无线PC 客户端的MAC 地址,授权其AD 用户的接入权,就可以让它们安全地登录到无线网络了。
为增加安全性,无线设备的SSIDS 设置隐藏,因此用户无法自行选择SSID,必须由管理员或用户在其PC 上配置无线网络。
认证原理认证原理1. 拓扑图2. 当无线PC 客户端在AP 的覆盖区域内,就会发现以SSID 标识出来的无线信号,从中可以看到SSID 名称和加密类型,以便用户判断选择。
3. 无线AP 配置成只允许经过802.1X 认证过的客户端登录,当客户端尝试连接时,AP 会自动设置一条限制信道,只让客户端和IAS 服务器通信,IAS 服务器只接受信任的IAS 客户端(这里可以理解为AP 或者无线控制器),客户端会尝试使用802.1X,通过那条限制通道和 IAS 服务器进行认证。
4. IAS 服务器收到认证请求之后,对客户端进行规则匹配,以确定客户端是否合法,过程如下.a. 判断客户端是否与建立的连接请求策略规则相匹配(这里以MAC 地址作请求规则),匹配失败,将断开客户端连接。
b. 匹配成功,将对请求的客户端再进行远程访问策略规则相匹配(这里以AD 群组用戶作远程访问规则), 在这个匹配过程中,IAS 服务通过在AD 中检查该用户的账号、密码、群组以及访问策略的定义等信息,来决定该用户是否有权接入到无线网络中,IAS 服务再把这个决定传给IAS 客户端(在这里可以理解为AP 或者其无线控制器),如果是拒绝,那客户端将无法接入到无线网络,如果允许,IAS 服务还会把无线客户端的KEY 传给IAS 客户端,客户端和AP 会使用这个KEY 加密并解密他们之间的无线流量。
5. 经过认证之后,AP 会放开对该客户端的限制,让客户端能够自由访问网络上的资源。
如果域中存在DHCP 服务,那么无线客户端获取接入权限之后,会向网络上广播他的DHCP 请求,DHCP 服务器会分配给他一个IP 地址,该客户端即可正常通信。
配置需配置需求求用户目录:与企业的Microsoft Active Directory 目录整合IAS 服务:Windows 2003所带的Internet Authentication Service(IAS) 无线设备:Wireless AP 或 Wireless Router SSID 隐藏:是加密协议:WPA-Enterprise 或 WPA2-Enterprise 加密算法:AES 或 TKIP 认证协定:802.1x 下的PEAP 环境搭建环境搭建 局域网:网域 Pylocal.Domain,网域NetBIOS Pylocal认证服务器:IP 地址10.7.200.9,Windows 2003 Server With SP2,角色为AD 域控制器,IAS 服务,IIS 服务。
无线AP:IP 地址10.7.200.254,Linksys WAP54G,SSID @Wap54g 无线PC:机器名PYedp_Vista Windows XP with SP2无线网卡为Intel PRO Wireless LAN 2200GB PCI AdapterMAC 地址是00-1c-bf-78-f8-e4 说明:机器MAC 地址会在IAS 服务中进行连接请求策略规则匹配,以判断该机器是否有权接入无线网络,这是布署该无线证认网络的第一个验证条件。
认证服务器的配置一、安装AD 活动目录 (这一步就不多说了),在AD 中建立相关的群组及账号,并设置相关属性,如.群组:WirelessGroup 说明:无线授权接入群组,在IAS 服务中进行远程访问策略规则匹配,以判断组成员账号是否有权接入无线网络,这是布署该无线证认网络的第二个验证条件。
用户:Vista 说明:用户Vista 隶属于WirelessGroup 群组设置用户的“远程访问权限(拔入或VPN)”为允许访问二、安装IAS 服务组件1.开始—》控制面板—》添加删除程序—》添加删除windows组件2、选择网络服务—》详细信息—》Internet 验证服务—》确定—》下一步,Windows 会自动安装IAS 服务。
3. 安装好之后,在系统管理工具里面就会找到Internet 验证服务,打开Internet 验证服务管理器,在AD中注册服务器,使IAS 能够读取AD 里面的帐号信息。
右键点击Internet 验证服务—》在Active Directory 中注册服务器. 12三、安装IIS服务相关组件,为IAS服务安装证书由于802.1X和WPA都需要证书来用于IAS服务器认证及加密密钥的产生,所以必须要给IAS服务器安装一个证书,否则,在配置IAS的时候会出现无法找到证书的错误。
获取证书可以向商业CA申请,但需要不少花费,还可以自己假设CA服务器,这需要对PKI等只是有足够的认识,还有一个简便的方法是,安装“远程管理(HTML)”后,系统会自动安装一个有效期为一年的证书。
1.开始—》控制面板—》添加删除程序—》添加删除windows组件2、选择网络服务—》应用程序服务器—》详细信息—》Internet信息服务(IIS)—》详细信息—》万维网服务—》详细信息—》远程管理(HTML)—》确定—》确定—》确定—》下一步,Windows会自动安装IIS服务,并成功添加远程管理(HTML)组件。
四、打开Internet验证服务管理器,配置IAS服务,这里IAS服务器的IP地址是10.7.200.91. 添加RADIUS客户端。
右键点击RADIUS客户端,选择新建RADIUS客户端.2. 添加连接请求策略,利用Calling-Station-Id 属性,设置无线PC 客户端的MAC 地址验证匹配规则。
展开连接请求处理菜单,右键点击连接请求策略,选择新建连接请求策略.134输入Radius 客户端的IP 地址, 这里请输入无线AP 的IP 地址10.7.200.254设置共享密匙Secret.ap ,该密匙还要在Radius 客户端即无线AP 里输入新建Radius 客户端完成.1345输入允许匹配策略的无线PC 客户端MAC 地址,如00-1c-bf-78-f8-e46 7新建连接请求策略完成83. 添加远程访问策略,利用Windows-Groups属性,授權接入無線網絡的AD群组WirelessGroup,以建立无线PC客户端的AD 账号验证匹配规则。
右键点击远程访问策略,选择新建远程访问策略.1 2添加在AD 中建立的无线接入群组WirelessGroup867 453輸入策略名稱: WirelessAccess9 10注意,如果在配置验证方法那一步出现错误,是因为没有为服务器安装证书。
策略向导完成后,需对该策略进一步配置。
右键点击该策略WirelessAccess,选择属性,选择编辑配置文件,。
服务配置完成。
在身份验证页中,分别勾选上MS-CHAP V2, MS-CHAP加密身份验证,点击确定按钮即可。
IASIAS服务配置完成123客户端 ))的配置 ( 即Radius客户端无线AP的配置1. 这里无线AP的IP是10.7.200.254,进入AP的Security管理页面,对相关功能选项进行适当设置。
这里设置如下:Security Mode [ WPA-Enterprise ]Encryption [ AES ]RADIUS Server [ 10.7.200.9 ] 说明:这里是IAS服务器的IP地址RADIUS Port [ 1812 ] 说明:这里是IAS服务器的连接端口Shared Secret [ Secret.ap ] 说明:这里输入的AP共享密匙必须与IAS服务器上对应的Radius客户端共享密匙相同2. 进入AP的Basic Wireless Settings管理页面,对相关功能选项进行适当设置。
这里设置如下:Mode [ Mixed ]Network Name( SSID ) [ @Wap54g ]Channel [ 11-2.462GHz ]SSID Broadcast [ Disabled ]3. 经过上面两步的设置,无线AP的配置完成。
的设置设置客户端的无线PC客户端客户端操作平台机器名:PYedp_Vista 系统:Windows XP with SP2无线网卡:Intel PRO Wireless LAN 2200GB PCI AdapterMAC地址:00-1c-bf-78-f8-e41. 首先,将PC或Notebook的无线接收开关打开,确保它能正常接收到无线信号。
开始—》运行—》输入Services.msc,打开服务管理器。
1 22. 在打开的服务管理器中,找到Wireless Zero Configuratiion服务后,双击它弹出“Wireless Zero Configuratiion属性”窗体,设置启动类型为自动,点击启动按钮,使服务状态变为已启动。
再点击确定按钮并关闭所有窗体,设置生效。
1 23. 开始—》控制面板,点击窗体左边的切换到经典视图,然后在右边寻找网络连接图标,双击打开进入网络连接窗体,开始新增无线网络接入的配置信息。
1 23右键点击“无线网络连接”图标,在弹出的菜单中选择属性。
在无线网络连接属性窗体中,选择“无线网络配置”选项卡,勾上“用Windows配置我的无线网络设置”,点击高级按钮,在高级窗体中,选中任何可用的网络(首选访问点)选项,然后点击关闭按钮,回到无线网络连接属性窗体中。
1 2点击添加..按钮,在弹出的无线网络属性窗体中,点击“关联”选项卡,输入关联信息:网络名(SSID):@Wag54g 网络验证:WPA 数据加密:AES1 2点击“验证”选项卡,选择EAP类型为“受保护的EAP(PEAP)”;点击属性按扭,在弹出的受保护的EAP属性窗体中,勾掉“验证服务器证书”选项, 选择验证方法“安全密码(EAP-MSCHAP v2)”并选中启用快速重新连接选项; 点击配置按钮,在弹出的EAP MSCHAPv2属性窗体中,勾掉“自动使用windows登录名和密码”,点击确定按钮N 次后,返回到无线网络连接属性窗体。
