无线接入认证服务器,搭建基于AD和IAS的802.1X无线认证系统
最近實(shí)施了一個(gè)樓宇室內(nèi)無(wú)線覆蓋項(xiàng)目,在無(wú)線用戶認(rèn)證上客戶希望采用他們已經(jīng)配置好的AD帳號(hào),最終決定采用AD+IAS的802.1x認(rèn)證方案,現(xiàn)在把配置過(guò)程記錄下來(lái)。
整個(gè)樓宇一共使用了50多個(gè)瘦AP,基本實(shí)現(xiàn)了全面覆蓋,這些AP由無(wú)線控制器統(tǒng)一管理。
其他方面的配置這里不多說(shuō),主要介紹認(rèn)證方面的配置。
一、認(rèn)證架構(gòu)
1、 當(dāng)無(wú)線客戶端在AP的覆蓋區(qū)域內(nèi),就會(huì)發(fā)現(xiàn)以SSID標(biāo)識(shí)出來(lái)的無(wú)線信號(hào),從中可以看到SSID名稱和加密類型,以便用戶判斷選擇。
2、
無(wú)線AP配置成只允許經(jīng)過(guò)802.1X認(rèn)證過(guò)的用戶登錄,當(dāng)用戶嘗試連接時(shí),AP會(huì)自動(dòng)設(shè)置一條限制通道,只讓用戶和RADIUS服務(wù)器通
信,RADIUS服務(wù)器只接受信任的RADIUS客戶端(這里可以理解為AP或者無(wú)線控制器),用戶端會(huì)嘗試使用802.1X,通過(guò)那條限制通道和
RADIUS服務(wù)器進(jìn)行認(rèn)證。
3、
RADIUS收到認(rèn)證請(qǐng)求之后,首先會(huì)在AD中檢查用戶密碼信息,如果通過(guò)密碼確認(rèn),RADIUS會(huì)收集一些信息,來(lái)確認(rèn)該用戶是否有權(quán)限接入到無(wú)線網(wǎng)絡(luò)
中,包括用戶組信息和訪問(wèn)策略的定義等來(lái)決定拒絕還是允許,RADIUS把這個(gè)決定傳給radius客戶端(在這里可以理解為AP或者無(wú)線控制器),如果
是拒絕,那客戶端將無(wú)法接入到無(wú)線網(wǎng),如果允許,RADIUS還會(huì)把無(wú)線客戶端的KEY傳給RADIUS客戶端,客戶端和AP會(huì)使用這個(gè)KEY加密并解密
他們之間的無(wú)線流量。
4、 經(jīng)過(guò)認(rèn)證之后,AP會(huì)放開(kāi)對(duì)該客戶端的限制,讓客戶端能夠自由訪問(wèn)網(wǎng)絡(luò)上的資源,包括DHCP,獲取權(quán)限之后客戶端會(huì)向網(wǎng)絡(luò)上廣播他的DHCP請(qǐng)求,DHCP服務(wù)器會(huì)分配給他一個(gè)IP地址,該客戶端即可正常通信。
二、安裝活動(dòng)目錄、建立帳號(hào)
這一步就不多說(shuō)了。
三、安裝IAS
1、添加刪除程序—》添加刪除windows組件
2、選擇“網(wǎng)絡(luò)服務(wù)”,點(diǎn)擊“詳細(xì)信息”
3、選擇“Internet驗(yàn)證服務(wù)”,點(diǎn)擊“確定”
4、點(diǎn)擊“下一步”,windows會(huì)自動(dòng)安裝IAS。
5、安裝好之后,在“管理工具”里面就會(huì)看到“Internet驗(yàn)證服務(wù)”,打開(kāi)之后,在AD中注冊(cè)服務(wù)器,使IAS能夠讀取AD里面的帳號(hào)。
四、為IAS安裝證書
由于802.1X和WPA都需要證書來(lái)用于IAS服務(wù)器認(rèn)證及加密密鑰的產(chǎn)生,所以必須要給IAS服務(wù)器安裝一個(gè)證書,否則,在配置IAS的時(shí)
候會(huì)出現(xiàn)無(wú)法找到證書的錯(cuò)誤。獲取證書可以向商業(yè)CA申請(qǐng),但需要不少花費(fèi),還可以自己假設(shè)CA服務(wù)器,這需要對(duì)PKI等只是有足夠的認(rèn)識(shí),還有一個(gè)簡(jiǎn)便
的方法是,安裝“遠(yuǎn)程管理(HTML)”后,系統(tǒng)會(huì)自動(dòng)安裝一個(gè)有效期為一年的證書。
五、配置IAS
安裝好證書之后就可以配置IAS了
1、 添加RADIUS客戶端
在這里,如果使用的是一般的胖AP,RADIUS客戶端就是AP,如果使用的是瘦AP,RADIUS客戶端就是無(wú)線控制器,我這里是表示無(wú)線控制器。
打開(kāi)“Internet驗(yàn)證服務(wù)器”,右鍵“RADIUS客戶端”,選擇“新建RADIUS客戶端”
輸入名稱和radius客戶端的IP地址
設(shè)置共享機(jī)密,這個(gè)共享機(jī)密還要在RADIUS客戶端那兒輸入,一定要記住。點(diǎn)擊完成就添加好了。
2、 添加遠(yuǎn)程訪問(wèn)策略
右鍵單擊“遠(yuǎn)程訪問(wèn)策略”,選擇“新建遠(yuǎn)程訪問(wèn)策略”
輸入策略名稱
選擇“無(wú)線”
添加需要有無(wú)線訪問(wèn)權(quán)限的用戶組
身份驗(yàn)證方法選擇“受保護(hù)的EAP”,點(diǎn)擊配置
選擇上“啟用快速重連接”,點(diǎn)擊確定。
完成,如果在配置驗(yàn)證方法那一步出現(xiàn)錯(cuò)誤,就是因?yàn)闆](méi)有為服務(wù)器安裝證書。
3、 設(shè)置遠(yuǎn)程接入權(quán)限
一個(gè)用戶能否登錄成功,除了取決于前面設(shè)置的遠(yuǎn)程訪問(wèn)策略之外,還受用戶的遠(yuǎn)程接入權(quán)限設(shè)置。
默認(rèn)情況下,遠(yuǎn)程訪問(wèn)權(quán)限是拒絕的,需要管理員手動(dòng)調(diào)整,如果用戶過(guò)多,就可以采用下面方法。
在“Internet驗(yàn)證服務(wù)”控制臺(tái)—》遠(yuǎn)程訪問(wèn)策略中找到剛才創(chuàng)建好的策略,查看屬性,點(diǎn)擊“編輯配置文件”
選擇“高級(jí)”選項(xiàng)卡,點(diǎn)擊“添加”
選擇“忽略用戶的撥入屬性”,點(diǎn)擊“添加”
選擇為“真”,默認(rèn)是“假”
添加好之后
經(jīng)過(guò)以上配置之后,即可忽略用戶屬性里面的撥入權(quán)限設(shè)置。
六、配置RADIUS客戶端
我這里的RADIUS客戶端是無(wú)線控制器,驗(yàn)證方法選擇802.1X EAP,加密方法選擇WPA/WPA-TKIP,點(diǎn)擊802.1X的config,WPA/WPA-TKIP的config在這里無(wú)需配置。
在802.1X認(rèn)證配置項(xiàng)里面填寫好IAS服務(wù)器的IP地址和共享機(jī)密
常見(jiàn)的胖AP配置也大同小異,這里以D-Link的一款無(wú)線AP為例,安全和加密方式選擇WPA-TKIP,填寫IAS服務(wù)器IP和共享機(jī)密。
七、無(wú)線客戶端設(shè)置
經(jīng)過(guò)以上設(shè)置之后,在筆記本的無(wú)線網(wǎng)絡(luò)連接里面會(huì)看到一個(gè)經(jīng)過(guò)WPA加密的SSID,點(diǎn)擊連接時(shí),會(huì)出現(xiàn)無(wú)法找到證書的錯(cuò)誤,這是因?yàn)閣indowsXP的默認(rèn)設(shè)置不符合要求。
打開(kāi)無(wú)線網(wǎng)絡(luò)連接的屬性—》無(wú)線網(wǎng)絡(luò)配置,選擇正確的SSID,點(diǎn)擊屬性
網(wǎng)絡(luò)驗(yàn)證選擇WPA,數(shù)據(jù)加密TKIP
點(diǎn)擊“驗(yàn)證”選項(xiàng)卡,選擇EAP類型為“受保護(hù)的EAP(PEAP),點(diǎn)擊屬性
勾掉“驗(yàn)證服務(wù)器證書“選項(xiàng),選擇”安全密碼(EAP-MSCHAP v2),點(diǎn)擊配置
勾掉“自動(dòng)使用windows登錄名和密碼”
完成以上配置之后,就可以正常連接到IAS服務(wù)器,提示輸入用戶名密碼
連接成功
如果客戶端是域成員,可以通過(guò)組策略完成以上客戶端的配置。
非域成員需要單獨(dú)調(diào)整一下,另外,非域成員用戶密碼如何修改也需要在服務(wù)器上配置,這個(gè)問(wèn)題接下來(lái)再補(bǔ)充。
總結(jié)
以上是生活随笔為你收集整理的无线接入认证服务器,搭建基于AD和IAS的802.1X无线认证系统的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 使用Vue+ElementUI实现的手机
- 下一篇: 安卓系统安全学习小结(二)