使用 Microsoft Windows 的安全 802.11 网络企业部署
摘要
本文描述如何使用无线访问点、运行 Windows XP、Windows Server 2003 或 Windows 2000 的无线客户端计算机和包含 Windows Server 2003 或 Windows 2000 Active Directory 域控制器、证书颁发中心和 Internet 验证服务服务器的无线身份验证基础结构,部署采用 IEEE 802.1X 身份验证的安全 IEEE 802.11 无线访问。
简介
本文描述如何创建一个用于身份验证、授权和记帐的基础结构,以便使用 Windows 无线客户端来建立到组织的安全无线连接。 这是使用如下技术的组织的典型配置:
l 运行 Windows 的无线客户端计算机。
Windows XP 和 Windows Server 2003 具有对 Wi-Fi (IEEE 802.11b) 无线访问和使用可扩展身份验证协议 (EAP) 的 IEEE 802.1X 身份验证的内置支持。 当安装了 Windows 2000 Service Pack 4 (SP4) 或 Windows 2000 Service Pack 3 (SP3) 和 Microsoft 802.1X Authentication Client 后,Windows 2000 支持 IEEE 802.1X 身份验证 (推荐安装 Windows 2000 SP4 )。
l 至少两个 Internet 验证服务 (IAS) 服务器。
至少使用两个 IAS 服务器(一个主要的,一个辅助的)来为基于远程身份验证拨入用户服务 (RADIUS) 的身份验证提供容错。 如果仅配置一个 RADIUS 服务器,则在该服务器不可用时,无线访问客户端将无法连接。 通过使用两个 IAS 服务器,同时为主要和辅助 IAS 服务器配置所有无线访问点 (AP)(RADIUS 客户端),RADIUS 客户端就能够在主 RADIUS 服务器不可用时检测到这个情况,并自动故障转移 (fail over) 到辅助助 IAS 服务器。
您可以使用 Windows Server 2003 或 Windows 2000 Server IAS。 运行 Windows 2000 的 IAS 服务器必须安装 SP4 或 带 Microsoft 802.1X Authentication Client 的 SP3(推荐安装 Windows 2000 SP4)。 IAS 没有包括在 Windows Server 2003 Web Edition 中。
l Active Directory 服务域。
Active Directory 域包含每个 IAS 服务器验证凭据和评价授权所必需的用户帐户、计算机帐户和拨入属性。 虽然不是必需的,但是为了同时优化 IAS 身份验证和授权响应时间以及最小化网络流量,IAS 应该安装在 Active Directory 域控制器上。 您可以使用 Windows Server 2003 或 Windows 2000 Server 域控制器。 Windows 2000 域控制器必须安装 SP3 或 SP4。
l 安装在 IAS 服务器上的计算机证书
无论使用哪种无线身份验证方法,都必须在 IAS 服务器上安装计算机证书。
l 对于 EAP-TLS 身份验证,则需要一个证书基础结构。
当在无线客户端上与计算机和用户证书一起使用“可扩展身份验证协议传输级别安全性”(EAP-TLS) 身份验证协议时,则需要一个证书基础结构(也称为公钥基础结构,PKI)来颁发证书。
l 对于带“Microsoft 咨询握手身份验证协议第2版”(MS-CHAP v2) 身份验证的受保护的 EAP (PEAP),每个无线客户端上需要根证书颁发机构 (CA)。
PEAP-MS-CHAP v2 是用于无线连接的基于密码的安全身份验证方法。 取决于 IAS 服务器计算机证书的颁发者,您可能还必须在每个无线客户端上安装根 CA 证书。
l 无线远程访问策略。
远程访问策略是为无线连接配置的,以便雇员能够访问组织的 intranet。
l 多个无线 AP。
多个第三方无线 AP 在企业的不同建筑物中提供无线访问。 这些无线 AP 必须支持 IEEE 802.1X、RADIUS和有线对等保密 (WEP)。
图 1 显示了一个典型的企业无线配置。
Intranet 无线部署步骤
| 1. | 配置证书基础结构。 |
| 2. | 配置用于帐户和组的 Active Directory。 |
| 3. | 在一台计算机上配置主要 IAS 服务器。 |
| 4. | 在另一台计算机上配置辅助 IAS 服务器。 |
| 5. | 部署和配置无线 AP。 |
| 6. | 配置“无线网络 (IEEE 802.11) 策略组策略”设置。 |
| 7. | 在无线客户端计算机上安装计算机证书 (EAP-TLS)。 |
| 8. | 在无线客户端计算机上安装用户证书(EAP-TLS)。 |
| 9. | 为 EAP-TLS 配置无线客户端计算机。 |
| 10. | 为 PEAP-MS-CHAP v2 配置无线客户端计算机。 |
步骤 1:配置证书基础结构
表 1 总结了不同类型的身份验证所需要的证书。
| 身份验证类型 | 无线客户端上的证书 | IAS 服务器上的证书 |
| EAP-TLS | 计算机证书 用户证书 IAS 服务器计算机证书颁发者的根 CA 证书 | 计算机证书 无线客户端计算机和用户证书颁发者的根 CA 证书 |
| PEAP-MS-CHAP v2 | IAS 服务器计算机证书颁发者的根 CA 证书 | 计算机证书 |
表 1 身份验证类型和证书
不管对无线连接使用哪种身份验证方法(EAP-TLS 或 PEAP-MS-CHAP v2),您都必须在 IAS 服务器上安装计算机证书。
对于 PEAP-MS-CHAP v2,您不必部署证书基础结构来为每台无线客户端计算机颁发计算机和用户证书。 相反,您可以通过商业证书颁发机构为企业中的每个 IAS 服务器获得单独的证书,并将它们安装在 IAS 服务器上。 有关更多信息,请参见本文中的“步骤 3:配置主 IAS 服务器”和“步骤 4:配置辅助助 IAS 服务器”。 Windows 无线客户端包括许多知名和受信任的商业 CA 的根 CA 证书。 如果从已经为其安装了根 CA 证书的商业 CA 获得计算机证书,Windows 无线客户端上就不需要安装附加的证书。 如果从还没有为其安装根 CA 证书的商业 CA 获得计算机证书,您必须在每个 Windows 无线客户端上安装 IAS 服务器上安装的计算机证书的颁发者的根 CA 证书。 有关更多信息,请参见本文中的“步骤 10:为 PEAP-MS-CHAP v2 配置无线客户端计算机”。
对于使用 EAP-TLS 的计算机身份验证,您必须在无线客户端计算机上安装计算机证书(也称为机器证书)。 安装在无线客户端计算机上的计算机证书用于对无线客户端计算机进行身份验证,以便该计算机能够在用户登录之前,获得到企业 intranet 的网络连接和计算机配置“组策略”更新。 对于使用 EAP-TLS 的用户身份验证,在建立网络连接和用户登录之后,您必须在无线客户端计算机上使用用户证书。
计算机证书安装在 IAS 服务器上,以便在 EAP-TLS 身份验证期间,IAS 服务器有一个证书来发送到无线客户端以进行相互身份验证,而不管该无线客户端计算机是使用计算机证书还是用户证书来进行身份验证。 无线客户端和 IAS 服务器在 EAP-TLS 身份验证期间提交的计算机证书和用户证书必须符合本文“使用第三方 CA”中规定的要求。
在 Windows Server 2003、Windows XP 和 Windows 2000 中,您可以从“证书”管理单元中证书属性的证书路径选项卡查看证书链。您可以在 Trusted Root Certification Authorities/Certificates 文件夹中查看已安装的根 CA 证书,在 Intermediate Certification Authorities/Certificates 文件夹中查看中级 CA 证书。
在典型的企业部署中,证书基础结构是使用一个包含根 CA/中级 CA/颁发 CA 的三层结构中的单个根 CA 来配置的。 颁发 CA 配置用于颁发计算机证书和用户证书。 当在无线客户端上安装计算机证书或用户证书时,同时也会安装颁发 CA 证书、中级 CA 证书和根 CA 证书。 当在 IAS 服务器计算机上安装计算机证书时,同时也会安装颁发 CA 证书、中级 CA 证书和根 CA 证书。 IAS 服务器证书的颁发 CA 可以不同于无线客户端证书的颁发 CA。 在这样的情况下,无线客户端和 IAS 服务器计算机都有所有必需的证书,用以执行 EAP-TLS 身份验证的证书验证。
最佳实践 如果使用 EAP-TLS 身份验证,请同时将用户证书和计算机证书用于用户身份验证和计算机身份验证。
如果使用 EAP-TLS 身份验证,则不要同时使用 PEAP-TLS。 同时允许同类网络连接的受保护和未受保护的身份验证流量,将会使得受保护的身份验证流量易于受到欺骗攻击。
如果已经有一个用于 EAP-TLS 身份验证的证书基础结构,并且正在将 RADIUS 用于拨号或虚拟专用网 (VPN) 远程访问连接,您可以跳过一些证书基础结构步骤。 您可以将相同的证书基础结构用于无线连接。 然而,您必须确保安装计算机证书来进行计算机身份验证。 对于不带 Service Pack 的 Windows XP 计算机,您必须在该计算机上存储用户证书以进行用户身份验证(而不是使用智能卡)。 对于运行 Windows Server 2003、Windows XP SP1、Windows XP SP2 或 Windows 2000 的计算机,您可以使用存储在计算机上的用户证书或智能卡来进行用户身份验证。
步骤 1a:安装证书基础结构(省略)
步骤 1b:安装计算机证书
如果使用 Windows Server 2003 或 Windows 2000 证书服务企业 CA 作为颁发 CA ,您可以为 Active Directory 系统容器中的计算机配置计算机证书自动注册“组策略”,从而在 ISA 服务器上安装计算机证书。
为企业 CA 配置计算机证书自动注册
| 1. | 打开“Active Directory 用户和计算机”管理单元。 |
| 2. | 在控制台树中双击 Active Directory 用户和计算机,右键单击您的 CA 所属的域名,然后单击属性。 |
| 3. | 在组策略选项卡上,单击相应的“组策略”对象(默认的对象是默认域策略),然后单击编辑。 |
| 4. | 在控制台树中,打开计算机配置,接着依次打开 Windows 设置、安全设置、 公钥策略和自动证书申请设置。 |
| 5. | 右键单击自动证书申请设置,指向新建,然后单击自动证书申请设置。 |
| 6. | “自动证书申请”向导将出现。 单击下一步。 |
| 7. | 在证书模板中,单击计算机,然后单击下一步。 您的企业 CA 将出现在列表上。 |
| 8. | 单击该企业 CA,再单击下一步,然后单击完成。 |
| 9. | 为了立即获得运行 Windows 2000 Server 的 CA 的计算机证书,请在命令提示符下键入以下命令: secedit /refreshpolicy machine_policy |
| 10. | 为了立即获得运行 Windows Server 2003 的 CA 的计算机证书,请在命令提示符下进入以下命令: gpupdate /target:computer |
在为域配置好自动注册之后,属于该域成员的每台计算机都会在计算机“组策略”被刷新时申请一个计算机证书。 默认情况下,Winlogon 服务每90分钟轮询一次“组策略”中的变化。 为了强制计算机“组策略”刷新,可重新启动计算机或在命令提示符下键入 secedit /refreshpolicy machine_policy(用于运行 Windows 2000 的计算机)或 gpupdate /target:computer(用于运行 Winsows XP 或 Windows Server 2003 的计算机)。
相应地对每个域系统容器执行此过程。
最佳实践如果使用 Windows Server 2003 或 Windows 2000 企业 CA 作为颁发 CA,请配置计算机证书自动注册以便在所有计算机上安装计算机证书。 确保为所有相应的域系统容器配置了计算机证书自动注册——不管是通过继承父系统容器的组策略设置还是明确地配置。
步骤 1c:安装用户证书
如果使用 Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 企业 CA 作为颁发 CA,您可以通过自动注册安装用户证书。 只有 Windows XP 和 Windows Server 2003 无线客户端才支持用户证书自动注册。
为企业 CA 配置用户证书自动注册
| 1. | 单击开始,单击运行,键入 mmc,然后单击确定。 |
| 2. | 在文件菜单上,单击添加/删除管理单元然后单击 添加。 |
| 3. | 在管理单元下面,双击证书模板,单击关闭,然后单击确定。 |
| 4. | 在控制台树中,单击证书模板。 所有证书模板将显示在详细信息窗格中。 |
| 5. | 在详细信息窗格中,单击用户 模板。 |
| 6. | 在操作菜单上,单击复制模板。 |
| 7. | 在显示名称 字段中,键入 WirelessUser(示例名称)。 |
| 8. | 确保选中在 Active Directory 中发布证书复选框。 |
| 9. | 单击安全选项卡。 |
| 10. | 在组或用户名称 字段中,单击域用户。 |
| 11. | 在域用户权限列表中,选中注册和自动注册权限复选框,然后单击确定。 |
| 12. | 打开“证书颁发机构”管理单元。 |
| 13. | 在控制台树中,打开证书颁发机构,然后打开 CA 名称,再打开证书模板。 |
| 14. | 在操作菜单上,指向新建,然后单击要颁发的证书。 |
| 15. | 单击 WirelessUser (示例)然后单击确定。 |
| 16. | 打开“Active Directory 用户和计算机”管理单元。 |
| 17. | 在控制台树中,双击 Active Directory 用户和计算机,右键单击包含无线用户帐户的域系统容器,然后单击属性。 |
| 18. | 在组策略选项卡上,单击相应的“组策略”对象(默认对象是默认域策略),然后单击编辑。 |
| 19. | 在控制台树中,打开用户配置,然后打开 Windows 设置,再打开安全设置,最后打开 公钥策略。 |
| 20. | 在详细信息窗格中,双击自动注册设置。 |
| 21. | 单击自动注册证书。 |
| 22. | 选中续订过期证书、更新未决证书并删除吊销的证书复选框。 |
| 23. | 选中更新使用证书模板的证书复选框,然后单击确定。 |
相应地对每个域系统容器执行步骤 17 至 23。
最佳实践如果使用 Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 企业 CA 作为颁发 CA,则配置用户证书自动注册以便在所有计算机上安装用户证书。 确保为所有相应的域系统容器配置了用户证书自动注册——不管是通过继承某个父系统容器的组策略设置还是通过明确的配置。
步骤 2:配置 Active Directory 帐户和组
为了配置用于无线访问的 Active Directory 用户和计算机帐户和组,请执行以下操作:
| 1. | 如果使用 Windows 2000 域控制器,则在所有域控制器上安装 Windows 2000 SP3 或 SP4。 |
| 2. | 确保正在建立无线连接的所有用户都有一个对应的用户帐户。 |
| 3. | 确保正在建立无线连接的所有计算机都有一个对应的计算机帐户。 |
| 4. | 将用户和计算机帐户的权限设定为适当的设置(允许访问或通过远程访问策略控制访问)。 远程访问权限设置位于“Active Directory 用户和计算机”管理单元中的用户或计算机帐户属性的拨入选项卡上。 |
| 5. | 将无线访问用户和计算机帐户组织到相应的组中。 对于本机模式的域,您可以使用通用全局组或嵌套的全局组。 例如,创建一个名为 WirelessUsers 的通用组,它包含用于 intranet 访问的全局无线用户和计算机帐户组。 最佳实践使用本机模式的域和通用组来将无线帐户组织到单个组中。 |
步骤 3:配置主 IAS 服务器
在计算机上配置主 IAS 服务器涉及到以下操作:
| • | 配置 IAS,使其能够访问帐户信息、日志、UDP 端口和对应于无线 AP 的 RADIUS 客户端。 |
| • | 配置用于无线访问的远程访问策略。 |
步骤 3a:配置 IAS
为了在计算机上配置主 IAS 服务器,请执行以下操作:
| 1. | 如果您在使用计算机证书自动注册和 Windows 2000 IAS,则在命令提示符下键入 secedit /refreshpolicy machine_policy 来强制刷新一次计算机“组策略”。 如果您在使用计算机自动注册和 Windows Server 2003 IAS,则在命令提示符下键入 gpupdate /target:computer 来强制刷新一次计算机“组策略”。 |
| 2. | 如果您在使用 PEAP-MS-CHAP v2 身份验证,并且已经从某个商业 CA 获得了计算机证书,则使用“证书”管理单元来将它导入 Certificates (Local Computer)/ Personal/Certificates 文件夹。 为了执行此过程,您必须是本地计算机上的“管理员”组的成员,或者已经被委托了适当的权限。 也可以通过双击存储在某个文件夹中或是在电子邮件消息中发送的证书文件来导入证书。 虽然这种方法对于使用 Windows CA 创建的证书可以起到作用,但对第三方 CA 却无效。 推荐的证书导入方法是使用“证书”管理单元。有关如何安装用于PEAP-MS-CHAP v2 身份验证的 VeriSign, Inc. 证书的更多信息,请参见 Obtaining and Installing a VeriSign WLAN Server Certificate for PEAP-MS-CHAP v2 Wireless Authentication. |
| 3. | 将 IAS 安装为一个可选的网络组件。 |
| 4. | 如果使用 Windows 2000 IAS,则安装 Windows 2000 SP4。 |
| 5. | 主 IAS 服务器计算机必须能够访问相应域中的帐户属性。 如果将 IAS 安装在域控制器上,则不需要附加配置,IAS 就能访问该域控制器所在的域中的帐户属性。 如果不是将 IAS 安装在域控制器上,您必须配置主 IAS 服务器计算机,以便可以读取域中的用户帐户信息。 有关更多信息,请参见本节中的“使 IAS 服务器能够读取 Active Directory 中的用户帐户”过程。 如果 IAS 服务器验证并批准其他域中的用户帐户的无线连接尝试,则请检验其他域是否与 IAS 服务器计算机所属的域具有双向信任关系。 接下来,配置 IAS 服务器计算机,使其可以读取其他域中的用户帐户属性。 有关更多信息,请参见本节中的“使 IAS 服务器能够读取 Active Directory 中的用户对象”过程。 如果其他域中有帐户,而那些域与 IAS 服务器所属的域没有双向信任关系,您必须在两个不存在双向信任的域之间配置一个 RADIUS 代理。 如果其他 Active Directory 林中有帐户,您必须在林之间配置一个 RADIUS 代理。 有关更多信息,请参见本文中“跨林身份验证”。 |
| 6. | 如果想要存储身份验证和记帐信息以用于连接分析和安全调查目的,则启用记帐和身份验证事件的日志记录。 Windows 2000 IAS 能够将信息记录到本地文件。 Windows Server 2003 IAS 能够将信息记录到本地文件和结构化查询语言 (SQL) 服务器数据库中。 有关更多信息,请参见 Windows 2000“帮助”中标题为“配置日志文件属性”和 Windows Server 2003 “帮助和支持中心”中标题为“配置用户身份验证和记帐的日志记录”的主题。 |
| 7. | 如果需要,可以为身份验证和 RADIUS 客户端(无线 AP)发送的记帐消息配置附加的 UDP 端口。 有关更多信息,请参见本节中的“配置 IAS 端口信息”过程。 默认情况下,IAS 将 UDP 端口 1812 和 1645 用于身份验证消息,将 UDP 端口 1813 和 1646 用于记帐消息。 |
| 8. | 将无线 AP 添加为 IAS 服务器的 RADIUS 客户端。 有关更多信息,请参见本节中的“添加 RADIUS 客户端”过程。 检验您是否在为每个无线 AP 配置正确的名称或 IP 地址以及共享的机密。 对每个无线 AP 使用不同的共享机密。 每个共享的机密应该是至少 22 个字符长度的大小写字母、数字和标点符号的随机序列。为确保随机性,可使用随机字符生成程序来创建要在 IAS 服务器和无线 AP上配置的共享机密。 为最大限度地确保 RADIUS 消息的安全性,推荐您对证书身份验证使用 Internet 协议安全性 (IPSec) 封装式安全措施负载 (ESP),以便为 IAS 服务器和无线 AP 之间发送的 RADIUS 流量提供数据保密性、数据完整性和数据起源身份验证。 Windows 2000 和 Windows Server 2003 支持 IPSec。 无线 AP 也必须支持 IPSec。 |
步骤 3b:配置无线远程访问策略
为了给主 IAS 服务器配置无线远程访问策略,请执行以下操作:
| 1. | 对于 Windows 2000 IAS,请使用以下设置来创建一个用于无线 intranet 访问的新的远程访问策略: 策略名称:无线访问 intranet(示例) 条件:NAS-Port-Type=Wireless-Other and Wireless-IEEE 802.11, Windows-Groups=WirelessUsers 权限:选择授予远程访问权限。 配置文件,身份验证选项卡:如果使用 EAP-TLS 身份验证,请选择可扩展身份验证协议和智能卡或其他证书 EAP 类型。 清除其他所有复选框。 如果 IAS 服务器上安装了多个计算机证书,请单击配置,然后选择相应的计算机证书。 如果想要的计算机证书没有显示出来,这说明它不支持 SChannel。 如果使用 PEAP-MS-CHAP v2 身份验证,请选择可扩展身份验证协议和受保护的 EAP (PEAP) EAP 类型,然后单击配置。 在受保护的 EAP 属性对话框中,选择相应的计算机证书并确保选择受保护的密码(EAP-MSCHAP v2) 作为 EAP 类型。 配置文件,加密选项卡:清除除最强加密之外的其他所有复选框。 这样将强制所有无线连接使用 128-位加密。 加密选项卡上的设置对应于 MS-MPPE-Encryption-Policy 和 MS-MPPE-Encryption-Types RADIUS 属性,并且可能受无线 AP 的支持。 如果这些属性不受支持,则清除除无加密之外的其他所有复选框。 有关更多信息,请参见本节中的“添加远程访问策略”过程。 |
| 2. | 对于 Windows Server 2003 IAS,请使用“新建远程访问策略向导”来创建一个具有以下设置的公共远程访问策略: 策略名称:无线访问 intranet(示例) 访问方法:无线 用户访问或组访问:组访问,其中选中了 WirelessUsers 组(示例组名称) 身份验证方法: 智能卡或其他证书类型(对于 EAP-TLS)或受保护的 EAP (PEAP) 类型(对于 EAP-MS-CHAP v2) |
| 3. | 如果无线 AP 需要特定供应商的属性 (VSA),您必须把那些 VSA 添加到远程访问策略中。 有关更多信息,请参见本节中的“为远程访问策略配置特定供应商的属性”过程。 |
| 4. | 对于 Windows 2000 IAS,请删除名为如果启用了拨入权限,则允许访问的默认远程访问策略。 为了删除远程访问策路,请在“Internet 验证服务”管理单元中右键单击策略名称,然后单击删除。 最佳实践 如果在每帐户的基础上管理用户和计算机帐户的远程访问权限,请使用指定了连接类型的远程访问策略。 如果通过远程访问策略管理远程访问权限,请使用指定了连接类型和组的远程访问策略。 推荐的方法是通过远程访问策略管理远程访问权限。 |
添加远程访问策略
| 1. | 打开“Internet 验证服务”管理单元。 |
| 2. | 在控制台树中,右键单击远程访问策略,然后单击新建远程访问策略。 |
为远程访问策略配置特定供应商的属性
| 1. | 打开“Internet 验证服务”管理单元。 |
| 2. | 在控制台树中单击 远程访问策略。 |
| 3. | 在详细信息窗格中,双击您想要为其配置特定供应商的属性 (VSA) 的策略。 |
| 4. | 单击编辑配置文件,单击高级选项卡,然后单击添加。 |
| 5. | 查看特定供应商的属性是否已经在可用的 RADIUS 属性列表中。 如果是,则双击它,然后按照无线 AP 文档中的规定来配置它。 |
| 6. | 如果特定供应商的属性不在可用的 RAIDUS 属性列表中,请单击特定供应商属性,然后单击 添加。 |
| 7. | 在多值属性信息对话框中,单击添加。 |
| 8. | 指定无线 AP 的供应商。 为了从列表中选择名称来指定供应商,请单击从列表中选择,然后选择您在为其配置 VSA 的无线 AP 的供应商。 如果没有列出该供应商,请键入供应商代码来指定供应商。 |
| 9. | 为了通过键入供应商代码来指定供应商,请单击输入供应商代码,然后在所提供的空白区域中键入供应商代码。 请参见 RFC 1007,以获得“SMI 网络管理专用企业代码”(SMI Network Management Private Enterprise Code) 的列表。 |
| 10. | 指定该属性是否符合 RFC 2865 中规定的 VSA 格式。如果不能确定,请参见您的无线 AP 文档。 |
| 11. | 如果您的属性符合规定的格式,请单击符合,然后单击配置属性。 在供应商分配的属性号中,键入分配给该属性的编号(这个编号应该是从 0 到 255 的整数)。 在属性格式中,指定该属性的格式,然后在属性值中,键入您分配给该属性的值。 |
| 12. | 如果该属性不符合规定的格式,请单击不符合,然后单击配置属性。 在十六进制属性值中,键入该属性的值。 最佳实践 检查无线 AP 是否需要 VSA,并在远程访问策略的配置过程中配置它们。 如果在配置无线 AP 之后配置 VSA,您必须重新将主 IAS 服务器的配置与辅助 IAS 服务器同步。 |
步骤 4:配置辅助 IAS 服务器
要在另外的计算机上配置辅助 ISA 服务器,请执行以下操作:
| 1. | 如果使用计算机证书自动注册和 Windows 2000 IAS,请在命令提示符下键入 secedit /refreshpolicy machine_policy 来强制刷新一次计算机“组策略”。 如果使用计算机证书自动注册和 Windows Server 2003 IAS,则在命令提示符下键入 gpupdate /target:computer 来强制刷新一次计算机“组策略”。 |
| 2. | 如果使用 PEAP-MS-CHAP v2 身份验证,并且已经从某个商业 CA 获得了计算机证书,则使用“证书”管理单元来将它导入 Certificates (Local Computer)/ Personal/Certificates 文件夹。 |
| 3. | 将 IAS 安装为一个可选的网络组件。 |
| 4. | 如果您在使用 Windows 2000 IAS,请安装 Windows 2000 SP4。 |
| 5. | 辅助 IAS 服务器计算机必须能够访问相应域中的帐户属性。 如果将 IAS 安装在域控制器上,则不需要附加的配置,IAS 就能访问该域控制器所在的域中的帐户属性。 如果 IAS 不是安装在域控制器上,您必须配置辅助 IAS 服务器计算机才能读取域中的用户帐户属性。 有关更多信息,请参见前面描述的“使 IAS 服务器能够读取 Active Directory 中的用户帐户”过程。 如果辅助 IAS 服务器验证并批准其他域中的用户的连接尝试,则检验其他域是否与辅助 IAS 服务器计算机所属的域具有双向信任关系。 接下来,配置辅助 IAS 服务器计算机,使其可以读取其他域中的用户帐户属性。 有关更多信息,请参见前面描述的“使 IAS 服务器能够读取 Active Directory 中的用户对象”过程。 如果其他域中有帐户,而那些域与辅助 IAS 服务器计算机所属的域没有双向信任关系,您必须在两个不存在双向信任的域之间配置一个 RADIUS 代理。如果其他 Active Directory 林中有帐户,您必须在林之间配置一个 RADIUS 代理。 有关更多信息,请参见本文中的“跨林身份验证”。 |
| 6. | 为了将主 IAS 服务器的配置复制到辅助 IAS 服务器,请在主 IAS 服务器上的命令提示符下键入 netsh aaaa show config>path/file.txt。 这样将在一个文本文件中存储配置设置,包括注册表设置。 其中的路径可以是相对路径、绝对路径或网络路径。 |
| 7. | 将步骤 7 中创建的文件复制到辅助 IAS 服务器。 在辅助 IAS 服务器上的命令提示符下键入 netsh execpath/file.txt。 这个命令将把主 IAS 服务器上配置的所有设置导入辅助 IAS 服务器。 注意不能将 IAS 设置从运行 Windows Server 2003 的 IAS 服务器复制到运行 Windows 2000 Server 的 IAS 服务器。 最佳实践如果要以任何方式更改 IAS 服务器配置,请使用“Internet 验证服务”管理单元来更改主 IAS 服务器的配置,然后在辅助 IAS 服务器上同步那些变更。 |
步骤 5:部署和配置无线 AP
部署无线 AP,为您的无线网络提供覆盖所有领域的覆盖范围。 配置无线网络以支持 WEP 加密和 802.1X 身份验证。 此外,请使用以下设置来配置无线 AP 上的 RADIUS 设置:
| 1. | 主 RADIUS 服务器的名称或 IP 地址、共享的机密、用于身份验证和记帐的 UDP 端口,以及故障检测设置。 |
| 2. | 辅助 RADIUS 服务器的 IP 地址或名称、共享的机密、用于身份验证和记帐的 UDP 端口,以及故障检测设置。 |
为了平衡两个 IAS 服务器之间的 RADIUS 流量负载,可将带主 IAS 服务器的一半无线 AP 配置为主 RADIUS 服务器,将辅助 IAS 服务器配置为辅助 RADIUS 服务器;将带辅助 IAS 服务器的另一半无线 AP 配置为主 RADIUS 服务器,将主 IAS 服务器配置为辅助 RADIUS 服务器。
有关更多信息,请参见无线 AP 的文档。 有关 Enterasys 无线 AP 的信息,请参见 http://www.enterasys.com/. 有关 Cisco 访问点的信息,请参见 Cisco 的主页: http://www.cisco.com/. 有关 Agere Systems 访问点的信息,请参见 Agere 的 ORiNOCO Web 站点: http://www.orinocowireless.com/.
如果无线 AP 需要特定供应商的属性 (VSA),您必须将那些 VSA 添加到 ISA 服务器的远程访问策略。 有关更多信息,请参见前面描述的“为远程访问策略配置特定供应商的属性”过程。 如果向主 IAS 服务器上的远程访问策略添加 VSA,请执行“步骤 4:配置辅助 IAS 服务器”小节的步骤 7 和 8 来将主 IAS 服务器配置复制到辅助 IAS 服务器。
步骤 6:配置“无线网络 (IEEE 802.11) 策略组策略”设置
对于 Windows Server 2003 中提供的的“无线网络 (IEEE 802.11) 策略组策略”扩展,您可以指定一个首选的网络及其设置的列表,以便自动为运行 Windows XP、Windows XP SP2 或 Windows Server 2003 的无线客户端配置无线 LAN 设置。对于每个首选的网络,您可以指定关联设置(比如 SSID 和 WEP 用法)和身份验证设置(比如 802.1X 身份验证和身份验证协议的使用)。
为了配置“无线网络 (IEEE 802.11) 策略组策略”设置,请执行以下操作:
| 1. | 打开“Active Directory 用户和计算机”管理单元。 |
| 2. | 在控制台树中,双击 Active Directory 用户和计算机,右键单击包含无线计算机帐户的域系统容器,然后单击属性。 |
| 3. | 在组策略选项卡上,单击相应的“组策略”对象(默认的对象是默认域策略),然后单击编辑。 |
| 4. | 在控制台树中,依次打开计算机配置、Windows 设置、 安全设置和无线网络 (IEEE 802.11) 策略。 |
| 5. | 右键单击无线网络 (IEEE 802.11) 策略,然后单击创建无线网络策略。 在“无线网络策略向导”中,键入一个名称和描述。 |
| 6. | 在详细信息窗格中,双击新创建的无线网络策略。 |
| 7. | 按需要更改常规选项卡上的设置。 |
| 8. | 单击首选网络选项卡。 单击添加来添加一个首选网络。 |
| 9. | 在网络属性选项卡上,键入无线网络名称 (SSID) ,并按需要更改 WEP 设置。 |
| 10. | 单击 IEEE 802.1x 选项卡。 按需要更改 802.1X 设置,包括指定和配置正确的 EAP 类型。 单击确定两次来保存更改。 |
当Windows XP SP1、Windows XP SP2 和 Windows Server 2003 无线客户端下一次更新计算机配置“组策略”时,它们的无线网络配置将自动得到配置。
注意 Windows Server 2003 附带的“无线网络 (IEEE 802.11) 策略组策略”扩展版本不支持“Wi-Fi 受保护的访问”(WPA) 身份验证和加密设置,而运行 Windows XP SP1 的计算机和 Windows XP 中的“WPA 无线安全更新”(Microsoft 推出的一个免费下载组件)则支持它们。 因此,即使您可能已经将无线 AP、网络适配器驱动程序和基于 Windows XP 的计算机升级到了 WPA,目前也没有用于在企业中部署 WPA 设置的解决方案。 在 Windows Server 2003 和 Windows XP 的未来更新中,正在考虑将 WPA 设置添加到“无线网络 (IEEE 802.11) 策略组策略”扩展中,以及在基于 Windows XP 或 Windwos Server 2003 的计算机上增加对那些设置的支持。
为了在 Windows 2000 Active Directory 域中获得新的“无线网络 (IEEE 802.11) 策略组策略”扩展,必须升级 Active Directory 架构以使其包括新的扩展。 为了升级 Windows 2000 Active Directory 架构,您必须在运行 Windows Server 2003 的 Windows 2000 Active Directory 域中至少安装一个域控制器。完成这个任务之后,您必须从运行 Windows Server 2003 的任何域成员计算机上使用“组策略”管理单元来配置“无线网络 (IEEE 802.11) 策略”设置。
步骤 7:在无线客户端计算机上安装用于 EAP-TLS 的计算机证书
对于使用 EAP-TLS 的计算机身份验证,您必须在无线客户端计算机上安装一个计算机证书。
为了在运行 Windows Server 2003、Windows XP 或 Windows 2000 的无线客户端计算机上安装计算机证书,请使用一个 Ethernet 端口连接到公司 intranet,然后执行以下操作:
| • | 如果为域配置了计算机证书自动注册,属于该域成员的每台计算机都会在计算机“组策略”被刷新时请求一个计算机证书。 为了强制运行 Windows Server 2003 或 Windows XP 的计算机刷新一次计算机“组策略”,可重新启动计算机,或在命令提示符下键入 gpupdate /target:computer。 为了强制运行 Windows 2000 的计算机刷新一次计算机“组策略”,可重新启动计算机,或在命令提示符下键入 secedit /refreshpolicy machine_policy。 |
| • | 如果没有给域配置计算机证书自动注册,您可以使用“证书”管理单元来申请一个“计算机”证书,或者可以执行一个 CAPICOM 脚本来安装计算机证书。 |
企业组织的信息技术 (IT) 部门可以在将计算机(通常是便携式计算机)交付给用户之前安装计算机证书。
有关 CAPICOM 的信息,请在以下站点上搜索“CAPICOM”: http://msdn.microsoft.com/.
步骤 8:在无线客户端计算机上安装用于 EAP-TLS 的用户证书
对于使用 EAP-TLS 的用户身份验证,您必须使用本地安装的用户证书或智能卡。本地安装的用户证书必须通过以下方式来获得:自动注册、Web 注册、使用“证书”管理单元来申请证书、导入证书文件,或者运行一个 CAPICOM 程序或脚本。
最容易的用户证书安装方法假定网络连接总是存在,比如使用一个 Ethernet 端口。 当用户连接到 inranet 时,他们能够通过自动注册或者使用 Web 注册或证书管理器来提交一个用户证书申请,从而获得一个用户证书。 有关申请用户证书的更多信息,请参见本节中的“通过 Web 提交用户证书申请”和“申请证书”过程。
或者,用户可以运行网络管理员提供的 CAPICOM 程序或脚本。 CAPICOM 程序或脚本的执行可以通过用户登录脚本来自动化。
如果已经配置了用户证书自动注册,那么无线用户必须更新“用户配置组策略”来获得用户证书。
如果没有使用用户证书自动注册,可使用以下过程之一来获得用户证书。
通过 Web 提交用户证书申请
| 1. | 打开 Internet Explorer。 |
| 2. | 在 Internet Explorer 中,连接到 http://servername/certsrv,其中 servername 是您想要访问的 CA 所在的 Windows 2000 Web 服务器的名称。 |
| 3. | 单击申请一个证书,然后单击下一步。 |
| 4. | 在选择证书类型网页上,在用户证书申请下面,选择您想要申请的证书类型,然后单击下一步。 |
| 5. | 从识别信息网页上执行以下操作之一: 如果您看到消息“已经收集到所有需要的信息。 现在可以提交您的申请”,请单击提交。 输入您的证书申请的识别信息,然后单击提交。 |
| 6. | 如果您看到已颁发的证书网页,请单击安装此证书。 |
| 7. | 关闭 Internet Explorer。 |
申请一个证书
| 1. | 打开一个包含证书-当前用户的 MMC 控制台。 | ||||||||
| 2. | 在控制台树中,右键单击个人,指向所有任务,然后单击申请新证书来启动“证书申请向导”。 | ||||||||
| 3. | 在“证书申请向导”中,请选择以下信息: 想要申请的证书类型。 如果已经选中高级复选框:
| ||||||||
| 4. | 为新证书键入一个好记的名称。 | ||||||||
| 5. | 在“证书申请向导”成功完成之后,单击确定。 |
基于软盘的安装
另一种安装用户证书的方法是将用户证书导出到软盘上,然后再将它从软盘导入到无线客户端计算机上。 对于基于软盘的注册,请执行以下操作:
| 1. | 通过基于 Web 的注册从 CA 获得无线客户端的用户帐户的用户证书。 有关更多信息,请参见前面描述的“通过 Web 提交用户证书申请”过程。 |
| 2. | 将无线客户端的用户帐户的用户证书导出到一个 .pfx 文件。 有关更多信息,请参见本节中的“导出证书”过程。 在“证书管理器导出向导”中,导出私钥并选中如果导入成功,则删除该私钥。 将此文件保存到软盘,并将其交付给无线客户端计算机的用户。 |
| 3. | 在无线客户端计算机上导入用户证书。 有关更多信息,请参见本节中的“导入证书”过程。 |
导出证书
| 1. | 打开包含证书 – 当前用户的 MMC 控制台。 |
| 2. | 打开个人,然后打开证书。 |
| 3. | 在详细信息窗格中,右键单击您想要导出的证书,指向所有任务,然后单击导出。 |
| 4. | 在“证书导出向导”中,单击是,导出私钥。 (仅当私钥被标记为可导出的,并且您拥有私钥访问权限,这个选项才会出现。) 单击下一步。 |
| 5. | 选择个人信息交换 – PKCS (.PFX)作为导出文件格式,然后单击下一步。 |
| 6. | 在密码页面上,在密码和确认密码中键入密码来保护证书中的私钥,然后单击下一步。 |
| 7. | 在要导出的文件页面上,键入证书文件名或单击浏览来指定证书文件的名称和位置。 单击下一步。 |
| 8. | 在正在完成证书导出向导页面上,单击完成。 |
导入证书
| 1. | 打开包含证书 – 当前用户的 MMC 控制台。 |
| 2. | 打开个人,然后打开证书。 |
| 3. | 在详细信息窗格中,右键单击您想要导入的证书,指向所有任务,然后单击导入。 |
| 4. | 键入包含将要导入的证书的文件名。 (也可以单击浏览并导航到该文件。) |
| 5. | 如果这是一个 PKCS #12 文件,请执行以下操作: 键入用于加密私钥的密码。 (可选)如果希望能够使用强私钥保护,请选中启用强私钥保护复选框。 (可选)如果希望在以后备份或传输密钥,请选中将密钥标记为可导出的复选框。 |
| 6. | 执行以下操作之一: 如果应该基于证书类型自动将证书放到某个证书存储区,请选择根据证书类型,自动选择证书存储区。 如果想要指定证书的存储位置,请选择将所有的证书放入下列存储区,然后单击浏览,选择要使用的证书存储区。 |
步骤 9:配置用于 EAP-TLS 的无线客户端
如果已经为无线网络配置了“无线网络 (IEEE 802.11) 策略组策略”设置并指定使用 EAP-TLS 身份验证(智能卡或其他证书 EAP 类型),那么运行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的无线客户端就不需要其他配置。
为了在运行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的无线客户端上配置 EAP-TLS 身份验证,请执行以下操作:
| 1. | 在“网络连接”文件夹中获得无线连接的属性。 单击无线网络选项卡,然后单击首选网络列表中的无线网络名称,再单击属性。 |
| 2. | 单击身份验证选项卡,选择启用使用 IEEE 802.1X 的网络访问控制和智能卡或其他证书 EAP 类型。 这个选项是默认启用的。 |
| 3. | 单击属性。 在智能卡或其他证书 EAP 类型的属性中,选择在此计算机上使用证书来使用基于注册表的用户证书,或选择使用我的智能卡来使用基于智能卡的用户证书。 如果想要验证 IAS 服务器的计算机证书,请选择验证服务器证书(默认是启用的)。 如果想要指定必须执行验证的身份验证服务器的名称,请选择连接到这些服务器并键入名称。 |
| 4. | 单击确定,以将更改保存到智能卡或其他证书 EAP 类型。 |
为了在不带 Service Pack 的 Windows XP 无线客户端上配置 EAP-TLS 身份验证,请执行以下操作:
| 1. | 在“网络连接”文件夹中获得无线连接的属性。 单击身份验证选项卡,然后选择启用使用 IEEE 802.1X 的网络访问控制和智能卡或其他证书 EAP 类型。 这个选项是默认启用的。 |
| 2. | 单击属性。 在智能卡和其他证书 EAP 类型的属性中,选择在此计算机上使用证书。 如果想要验证 IAS 服务器的计算机证书,请选择验证服务器证书(默认是启用的)。 如果想要确保服务器的 DNS 名称以特定的字符串结尾,请选择服务器名称结尾为如下时,才连接 ,并键入该字符串。 对于使用多个 IAS 服务器的典型部署,请键入所有 IAS 服务器共有的 DNS 名称部分。 例如,如果有两个分别名为 AS1.example.microsoft.com 和 IAS2.example.microsoft.com 的 IAS 服务器,则键入字符串“example.microsoft.com”。 请确保键入正确的字符串,否则,身份验证将会失败。 |
| 3. | 单击确定来将更改保存到智能卡或其他证书 EAP 类型。 |
为了在运行 Windows 2000 SP4 的无线客户端上配置 EAP-TLS 身份验证,请执行以下操作:
| 1. | 在“网络连接”文件夹中获得无线连接的属性。 单击身份验证选项卡,然后选择启用使用 IEEE 802.1X 的网络访问控制和智能卡或其他证书 EAP 类型。 这个选项是默认启用的。 |
| 2. | 单击属性。 在智能卡或其他证书 EAP 类型的属性中,选择在此计算机上使用证书来使用基于注册表的用户证书,或者选择使用我的智能卡来使用基于智能卡的证书。 如果想要验证 IAS 服务器的计算机证书,请选择验证服务器证书(默认是启用的)。 如果想要指定必须执行验证的身份验证服务器的名称,请选择连接到这些服务器 ,并键入名称。 |
| 3. | 单击确定来将更改保存到智能卡或其他证书 EAP 类型。 |
步骤 10:配置用于 PEAP-MS-CHAP v2 的无线客户端计算机
如果已经为无线网络配置了“无线网络 (IEEE 802.11)策略组策略”设置并指定使用 PEAP-MS-CHAP v2 身份验证(带受保护的密码 (EAP-MSCHAP v2) 方法的“受保护的 EAP (PEAP) 类型),那么运行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的无线客户端不需要其他配置。
为了在运行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的无线客户端上手动配置 PEAP-MS-CHAP v2 身份验证,请执行以下操作:
| 1. | 在“网络连接”文件夹中获得无线连接的属性。 单击无线网络选项卡,单击首选网络列表中的无线网络名称,然后单击属性。 |
| 2. | 单击身份验证选项卡,选择启用使用 IEEE 802.1X 的网络访问控制和受保护的 EAP EAP 类型。 |
| 3. | 单击属性。 在受保护的 EAP 属性 对话框中,选择验证服务器证书来验证 IAS 服务器的计算机证书(默认是启用的)。 如果想要指定必须执行验证的身份验证服务器的名称,请选择连接到这些服务器并键入名称。 在选择身份验证方法中,单击 受保护的密码 (EAP-MSCHAP v2)。 |
为了在运行 Windows 2000 SP4 的无线客户端上配置 PEAP-MS-CHAP v2 身份验证,请执行以下操作:
| 1. | 在“网络连接”文件夹中获得无线连接的属性。 |
| 2. | 单击身份验证选项卡,选择启用使用 IEEE 802.1X 的网络访问控制和受保护的 EAP EAP 类型。 |
| 3. | 单击属性。 在受保护的 EAP 属性对话框中,选择验证服务器证书来验证 IAS 服务器的计算机证书(默认是启用的)。 如果想要指定必须执行验证的身份验证服务器的名称,请选择连接到这些服务器并键入名称。 在选择身份验证方法中,单击受保护的密码 (EAP-MSCHAP v2)。 注意默认情况下,PEAP-MS-CHAP v2 身份验证使用 Windows 登录凭据来进行无线身份验证。 如果连接到使用 PEAP-MS-CHAP v2 的无线网络,并且您想指定不同的凭据,请单击配置并清除自动使用我的 Windows 登录名和密码复选框。 虽然 Windows XP SP1、Windows XP SP2、Windows Server 2003 和 Windows 2000 SP4 的受保护的 EAP 属性对话框有一个启用快速重连接复选框,但是 Windows 2000 中的 IAS 不支持快速重连。 Windows Server 2003 中的 IAS 支持快速重连。 |
如果安装在 IAS 服务器上的计算机证书的颁发者的根 CA 证书已经在无线客户端上安装为 CA 证书安装,则不需要其他配置。 如果颁发 CA 是一个 Windows 2000 Server 或 Windows Server 2003 联机根企业 CA,那么根 CA 证书将通过计算机配置“组策略”自动安装在每个域成员上。
要检验这点,可使用“证书”管理单元来获得 IAS 服务器上的计算机证书的属性,并从证书路径选项卡上查看证书链。 位于该路径顶部的证书就是根 CA 证书。 使用每种 Windows 操作系统的无线客户端的“证书”管理单元,确保这个证书在 Certificates (Local Computer)/Trusted Root Certification Authorities/Certificates 文件夹中的受信任的根证书颁发机构的列表中。
如果不在,您必须在没有包含它们的每种 Windows 操作系统无线客户端上安装 IAS 服务器的计算机证书的颁发者的根 CA 证书。
在无线客户端上安装根 CA 证书的最容易办法是执行以下过程:
| 1. | 在 IAS 服务器上使用“证书”管理单元,将 IAS 服务器上的计算机证书的颁发 CA 的根 CA 证书导出到一个文件(*.PB7)。 您可以在 Certificates (Local Computer)/Trusted Root Certification Authorities/Certificates 文件夹中找到根 CA 证书。 |
| 2. | 打开“Active Directory 用户和计算机”管理单元。 |
| 3. | 在控制台树中双击 Active Directory 用户和计算机,右键单击相应的域系统容器,然后单击属性。 |
| 4. | 在组策略选项卡上,单击相应的“组策略”对象(默认的对象是默认域策略),然后单击编辑。 |
| 5. | 在控制台树中,依次打开计算机配置、Windows 设置、安全设置和公钥策略。 |
| 6. | 右键单击受信任的根证书颁发机构,然后单击导入。 |
| 7. | 在“证书导入向导”中,指定步骤 1 中保存的文件。 |
| 8. | 对所有相应的系统容器重复步骤 3 至 7。 |
当无线客户端计算机下一次更新它们的计算机配置“组策略”时,IAS 服务器上的计算机证书的颁发 CA 的根 CA 证书将被安装到它们的本地计算机证书存储区中。
或者,您可以使用“证书”管理单元来将根 CA 证书导入每台无线客户端计算机上的 Certificates (Local Computer)/Trusted Root Certification Authorities/Certificates 文件夹。
5938
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
