忆龙2009:windows server 2003 + ACS 实现无线网络的PEAP认证(7)

最新推荐文章于 2009-12-19 12:40:00 发布
最新推荐文章于 2009-12-19 12:40:00 发布
阅读量4k 收藏
点赞数
分类专栏: 安全 文章标签: windows 网络 server authentication 服务器 network
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elong_2009/article/details/4831557
版权
使用Windows联接触配置PEAP客户端

在我们的实验中,客户端是一台运行Windows XP系统的电脑,它通过无线AP访问Intranet.按以下步骤完成无线客户端的配置过程.

执行基本的安装及配置

将客户端通过网线连接到HUB以访问企业网网段.

  1. 在客户端,将电脑安装 Windows XP Professional 系统,且将其配置成域 wirelessdemo.local domain 的成员.

  2. 请至少更新到 Windows XP Professional SP2. 这样才能够支持 PEAP 协议.

    注意: Windows XP Professional SP2会自动将防火墙打开,请不要将其关闭.

安装无线网络适配器

关闭客户计算机.

  1. 将计算机从Intranet网段中断开.

  2. 重新启动客户计算机,然后使用管理员账户登陆.

  3. 安装无线网络适配器.

    重要: 不要安装厂家提供的无线适配器配置软件,你应该通过添加新硬件向导来安装无线网络适配器.当提示输入驱动程序的位置时,请指定厂家提供的支持Windows XP Professional SP2的驱动程序.

配置无线网络连接

登出系统然后使用账号WirelessUser 登陆域 wirelessdemo.local .

  1. 选择 Start > Control Panel, 双击网络连接 (Network Connections), 然后右键点击无线网络连接 (Wireless Network Connection)

  2. 点击属性 (Properties), 转到无线网络选项卡, 确认 使用Windows来配置我的无线网络 (Use Windows to configure my wireless network settings )已经复选.

    peap-acs40-win2003-81.gif

  3. 点击添加 (Add)

  4. 在关联(Association)选项卡中, 在SSID栏输入Employee .

  5. 在网络认证(Network Authentication)选择 WPA ,并将数据加密(Data Encryption)设为 TKIP.

    peap-acs40-win2003-72.gif

  6. 转到认证 (Authentication)选项卡.

  7. 从EAP类型下拉列表中选择 Protected EAP (PEAP).

  8. 如果你想机器在登陆前被认证(它允许登陆脚本或组策略能够被强推生效)则请复选 当计算机信息有效时认证为计算机 (Authenticate as computer when computer information is available)

    peap-acs40-win2003-83.gif

  9. 点击属性 (Properties)

  10. 确认下图中有关PEAP属性的内容都已经选上了.

    peap-acs40-win2003-84.gif

  11. 点击 OK 三次.

  12. 右键点击无线网络连接图标然后点击 查看有效的无线网络 (View Available Wireless Networks)

  13. 点击无线网络 Employee 然后点击连接 (Connect).

    peap-acs40-win2003-85.gif

    如果能够连接成功,则会出现类似以下几张图所示的画面.

    peap-acs40-win2003-86.gif

    peap-acs40-win2003-87.gif

    peap-acs40-win2003-88.gif

    peap-acs40-win2003-89.gif

  14. 当认证成功之后, 使用网络连接来检查 TCP/IP 配置. 它应该从 DHCP 服务器中分配到了范围在 172.16.100.100-172.16.100.254 内的一个IP地址.

  15. 为了验证功能是否正常,可以打开浏览器并输入 http://wirelessdemoca (或者企业CA服务器的IP地址).

问题一: Odyssey 客户端在令牌认证平台上会提示三次

这个案例会发生在所有的Windows版本以及2.x解决方案.

典型的,XP中的无线服务会导致这个问题.

完成以下过程以解决这个问题:

  1. 选择 Start > Settings > Control Panel > Administrative Tools > Services.

  2. 去到列表的底部找到无线零配置 (Wireless Zero Configuration)

  3. 双击打开进行设置.

  4. 将此服务停止.

  5. 在启动类型上选择 disable.

    注意: 如果你只是停止了服务, 下次系统重启后这个服务又会自动开启,所以你需要关掉该服务以避免该问题再次出现.

  6. 保存设置然后关闭.

    peap-acs40-win2003-90.gif

问题二:用ACS服务器进行PEAP认证失败

当使用ACS服务器作为PEAP认证服务器而客户端认证失败时,请检查ACS菜单中小学Report and Activity - Failed attempts 是否能够找到 "NAS duplicated authentication attempt" 的错误信息.

如果你安装的是Windows XP SP2系统,当使用不是微软IAS作为认证服务器的第三方服务器时,你会收到这样的错误信息.实际上,ACS会使用与Windows XP不同的方法来计算EAP-TLV.因此会产生这个错误.微软正是利用这一点来识别客户端是否是XP的..

你可以联系微软得到一个热补丁,具体可以参考文件 KB885453. 下面介绍了客户端如何解决这个问题.在Windows客户端中,快速连接 (Fast Reconnect)功能默认情况下是关闭的.而这个功能在ACS上默认是打开的.为解决这个问题,你可以在ACS上关闭快速连接 (Fast Reconnect)功能.或者,你也可以在客户端打开快速连接功能.

peap-acs40-win2003-91.gif

忆龙2009
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Centos搭建OpenACS服务器所需包:JDK+Jboss+Mysql+Openacs
02-21
Centos搭建OpenACS服务器用到的包,包含jdk-8u311-linux-x64.rpm,mysql-connector-java-8.0.28.zip,jboss-4.2.2.GA.zip,openacs-bin-0.5.0.3.zip,是自己在搭建OpenACS服务器过程中真实用到的包,目前服务器已...
使用PEAP实现802.1X
weixin_34099526的博客
07-10 438
使用EAP-TLS(智能卡与证书)实现802.1X----验证服务器和交换机相关配置 采用系统为Windows2003,必须安装AD,DNS,IAS,CA------------------------------------ 下表列出了不同的认证方式需要用到的证书: Authentication Type Certificates on...
忆龙2009:windows server 2003 + ACS 实现无线网络PEAP认证(1)
忆龙2009
11-15 4353
      本文介绍了如何采用无线局域网络控制器、WINDOWS SERVER 2003ACSPEAP协议来实现安全的无线网络接入。      本文采用下面的网络拓补结构图:在DC_CA上安装Windows Enterprise 2003 IIS,证书服务,DNS,DHCP在DC_DA上按照以下步骤来成服务器的配置:执行基本的安装及配置把服务器配置成域控
忆龙2009:windows server 2003 + ACS 实现无线网络PEAP认证(6)
忆龙2009
11-18 3197
ACS 4.0 上安装证书在 ACS 服务器上, 在浏览器中输入微软CA服务器的网址 http://172.16.100.26 /certsrv. 在出现的任务列表中选择下载一个CA证书,证书链或CRL (Download a CA certificate, certificate chain or CRL). 在加密方法中选择 Base 64 然后点击下载CA证书
忆龙2009:windows server 2003 + ACS 实现无线网络PEAP认证(2)
忆龙2009
11-15 3450
Windows Standard 2003 上安装 Cisco Secure ACS 4.0Cisco的ACS 4.0是运行在Windows Standard Server 2003之上的一套提供认证授权功能的RADIUS系统,以下完成将ACS配置成RADIUS SERVER的过程。基本安装及配置首先安装一台属于域 wirelessdemo.local  名称为ACS的成员服务器,同
802.1X认证+DHCP+ACS+Server+Windows+XP
09-11
思科认证教程 认证设备:cisco 3550 交换机一台 认证服务器:Cisco ACS 4.0 认证客户端环境:Windows xp sp3
V7防火墙和思科ACS 实现radius认证
07-07
V7防火墙和思科ACS 实现radius认证
基于ACS的无线传感器网络区分服务路由算法
01-15
针对无线传感器网络中数据传输的不同要求,将QoS分为3类,根据无线链路的特点提供区分服务。利用博弈论分析了数据传输在延迟、可靠性与网络能量开销之间的关系,基于改进的蚁群优化算法ACS(ant colony system),设计...
基于51单片机+ACS712电流检测模块+AD采集芯片实现数字电流表电压表设计(包含源程序原理图等)
08-28
基于51单片机+ACS712电流检测模块+AD采集芯片实现数字电流表电压表设计(包含源程序原理图等)
忆龙2009:iNode客户端如何在线修改帐号密码
忆龙2009
12-18 8632
        iNode客户端提供了非常实用的在线修改用户密码的功能。其使用非常简单,当用户上线后,若要对用户进行密码修改,先选中连接图标,如图1所示的“我的Portal连接”。         然后,选择[操作]>[在线修改密码],此时会发现[在线修改密码]是可操作的,如不选择“我的Portal连接”图标,则这里是灰色不可操作的。 接下来进行密码修改即可。   注意:如果选
忆龙2009:快速配置iMC Portal服务器
忆龙2009
12-06 7795
配置Portal服务器 登录进入iMC管理平台,选择“业务”页签,单击导航树中的[Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。 输入Portal认证主页地址,形式为http://ip:port/portal,其中ip和port在安装iMC UAM的时候确定,一般使用缺省值即可。   配置IP地址组 单击导航树中的[Portal服务器管理/IP地址组配置]菜单项,进
忆龙2009:详解EAP-TLS验证的信息交换过程
忆龙2009
11-21 5901
       EAP-TLS认证协议是基于802.1x/EAP体系架构.这个架构是由三部分内容组成的:客户端(supplicant)/认证设备(authenticator)/认证服务器(authentication server).其中,客户端及认证服务器要求必须支持EAP-TLS协议.而对于认证设备(如交换机/AP等),则对EAP-TLS并不关心.      下图解释了EAP-TLS
忆龙2009:iMC中接入设备端口UP、DOWN告警过滤配置方法
忆龙2009
12-17 5070
       网络中接入交换机等设备由于直接连接用户的PC,端口的UP、DOWN变化比较频繁,而如果该设备配置了告警发送的功能会有大量的该类告警发到iMC服务器上,在iMC可以使用告警过滤的方式将这些告警进行过滤。      过滤方式有两种,一是按照up/down事件组进行过滤,由于这种过滤需要选择对应的设备接口或者所有接口都过滤,这样对接入设备使用该方式比较困难,所以本案例使用另外一种方
忆龙2009:ACS中导入私有RADIUS属性的方法
忆龙2009
11-13 4164
 在现网中有很多使用ACS作为RADIUS SERVER的案例,在这些ACS SERVE中,通常其默认配置中会缺少一些第三方的RADIUS属性,如果实际应用中需要使用到这些私有的RADIUS属性,该怎么办呢?    下面介绍一种向ACS中导入第三方私有RADIUS属性的方法。以H3C的私有属性为例,在一个实际项目中,需要对设备的telnet用户通过ACS Radius Server进行认证
忆龙2009:HWTACACS协议与RADIUS协议的区别
忆龙2009
12-06 4082
      HWTACACS协议与RADIUS协议都实现认证、授权、计费的功能,它们有很多相似点:结构上都采用客户端/服务器模式;都使用公共密钥对传输的用户信息进行加密;都有较好的灵活性和可扩展性。两者之间存在的主要区别如下所示。   HWTACACS RADIUS
忆龙2009:细节看802.1x supplicant 状态机
忆龙2009
12-19 3941
        本文以客户端周期性收到交换机的EAP-IDENTITY REQUEST报文为例,从细节看2001版本及2004版本的区别。这也顺带解答网友yangffjj的提问。       注意:本文讨论的是SUPPLICANT状态机,而不是AUTHENTICATOR状态机,也就是观察的角度是从客户端来看的,因此您需要特别注意您所处的角度,否则您一定会质疑本文所提到的流程。      
忆龙2009:PORTAL认证流程详解
忆龙2009
12-02 3802
1. 直接认证和三层Portal认证的流程(1) Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时,对于访问Portal服务器或设定的免费访问地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。(2) Portal服务器与接入设备之间进行
忆龙2009:通过TACACS修改Telnet管理用户密码
忆龙2009
11-28 3783
      下面我们将介绍在ASA上如何利用配置Cisco ACS TACACS 服务器以对TELNET管理用户的密码进行修改。      注意:以下方法对SSH及ASDM管理用户的密码修改无效。   ASA上的配置:1. 定义 TACACS aaa-server5580-20-1(config)# show runn aaa-server TACACS17aaa-serv
ACS5.x的认证、授权、审计
最新发布
06-12
ACS5.x是思科公司推出的一款网络访问控制(NAC)解决方案,它可以实现网络资源的认证、授权和审计。 认证ACS5.x可以通过多种方式对用户进行认证,例如基于用户名密码的认证、基于数字证书的认证、基于MAC地址的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值