导读:
摘要
运行 Microsoft? Windows Vista? 的无线客户端计算机可以使用临时无线配置文件来获取与安全无线网络的连接,并加入到 Active Directory 域。此临时无线配置文件称为启动无线配置文件,它需要进行连接的用户手动指定其域用户帐户凭据,而不验证“远程身份验证拨号用户服务”(RADIUS) 服务器的证书。加入域后,无线客户端会使用新的无线配置文件,该配置文件会自动利用计算机和用户帐户凭据并验证 RADIUS 服务器的凭据。本文介绍配置启动无线网络配置文件的三种方法。
导言
无线客户端需要域凭据(名称/密码)或证书来执行身份验证,以确保无线访问的安全。要加入域并获得域凭据或证书,无线客户端计算机需要成功连接到包含该域的域控制器的无线网络。要访问安全无线网络并将一台计算机加入域,无线客户端用户必须手动提供其域用户名和密码。连接到无线网络后,无线客户端用户即可将计算机加入域。
在经过 802.1X 身份验证的无线网络中,无线客户端需要提供经过 RADIUS 服务器进行身份验证的安全凭据。这些凭据可包括用户名和密码(用于受保护的 EAP [PEAP]-Microsoft 质询握手身份验证协议版本 2 [MS-CHAP v2])或证书(用于 EAP- 传输层安全性 [TLS])。对于 PEAP-MS-CHAP v2 或 EAP-TLS,无线客户端还会验证在身份验证过程中 RADIUS 服务器发送的计算机证书。这是 Windows 无线客户端的默认行为。可以禁用这一行为,但在生产环境中不推荐这样做。
如果 RADIUS 服务器使用商业公钥基础结构 (PKI)(如 VeriSign, Inc.)提供的计算机证书,并且无线客户端上已经安装了 RADIUS 服务器计算机证书的根认证机构证书,则无线客户端可以验证 RADIUS 服务器的计算机证书,不管该无线客户端是否已经加入到 Active Directory 域。
如果 RADIUS 服务器使用私有 PKI 提供的与 Active Directory 集成的计算机证书(如基于 Windows Server? 2003 证书服务的证书),则尚未加入域的无线客户端不会具有 RADIUS 服务器计算机证书的根 CA 证书,默认情况下,身份验证过程将失败。无线客户端加入域后,会自动安装 RADIUS 服务器计算机证书的根 CA 证书。
本文介绍这样的方法:使用无线配置文件配置基于 Windows Vista 的无线客户端,以执行手动 PEAP-MS-CHAP v2 身份验证,但不验证 RADIUS 服务器计算机证书。连接到无线网络后,无线客户端计算机会加入域并获得相应的根 CA 证书。计算机用户(手动)或 IT 管理员(通过组策略)可以配置无线配置文件,以便使 PEAP-MS-CHAP v2 身份验证可以验证 RADIUS 服务器的计算机证书,并自动使用域凭据。
将无线客户端加入域的方法
本部分介绍以下用于将无线客户端加入域的方法:
IT 人员将无线计算机加入域,并配置单一登录启动无线配置文件
用户使用 XML 文件通过启动无线配置文件来配置其无线计算机,并加入域
用户通过启动无线配置文件手动配置其无线计算机并加入域
IT 人员将无线计算机加入域,并配置单一登录启动无线配置文件
在此方法中,IT 管理员要在将无线计算机分发给用户之前将其加入域。用户启动计算机后,会使用为用户登录而手动指定的凭据建立与无线网络的连接并登录到域。
执行此方法的步骤如下:
IT 管理员将新的无线计算机加入域(例如,通过不需要 IEEE 802.1X 身份验证的以太网连接),并将具有以下设置的启动无线配置文件添加到该计算机中:
PEAP-MS-CHAP v2 身份验证
禁用 RADIUS 服务器证书验证
启用单一登录
单一登录是为 Windows Vista 无线客户端新增的功能,可以在用户登录过程中根据网络安全配置执行 802.1X 身份验证。对于此启动无线配置文件,IT 管理员需指定单一登录在用户即将登录前执行 802.1X 身份验证。
IT 管理员将新的无线计算机分发给用户。
用户启动该计算机时,Windows Vista 将提示用户输入其域用户帐户名和密码。由于启用了单一登录,计算机会使用域用户帐户凭据首先建立与无线网络的连接,然后登录到域。
此启动无线配置文件需要单一登录,因为尽管计算机已经加入域中,但用户仍然从未登录到该计算机。如果在用户首次尝试登录时计算机尚未连接到网络,则登录将失败,因为计算机无法通过域控制器验证用户帐户凭据。因此,必须首先建立网络连接。单一登录会使用相同的用户帐户凭据来建立无线连接并登录到域。用户成功登录后,以后进行的用户登录即可以利用缓存的凭据。
用户使用 XML 文件通过启动无线配置文件来配置其无线计算机,并加入域
在此方法中,用户将使用已由 IT 管理员配置的 XML 文件和脚本,通过启动无线配置文件配置其无线计算机。由 XML 文件配置的启动无线配置文件允许用户建立无线连接,然后加入域。
执行此方法的步骤如下:
IT 管理员使用启动无线配置文件来配置另一台基于 Windows Vista 的无线计算机,该配置文件在禁用 RADIUS 服务器证书验证的情况下使用 PEAP-MS-CHAP v2 身份验证。
IT 管理员使用netsh wlan export profile 命令将启动无线配置文件提取到一个 XML 文件(请参阅本文中的“附录 A:配置启动无线配置文件”),并创建执行时将会在用户计算机上添加该配置文件的脚本文件。
IT 管理员使用相应的方法将新的无线计算机、包含该启动无线配置文件的 XML 文件和脚本文件分发给用户。脚本文件包含netsh wlan add profileXML_File_Name Connection_Name 命令。
例如,该 XML 文件可以与脚本一起存储在 USB 闪存驱动器上,以便用户可以运行以添加启动无线配置文件。
用户启动计算机并使用本地计算机帐户进行登录。
用户运行脚本文件以添加启动无线配置文件。
脚本运行后,Windows Vista 会尝试连接到无线网络。由于启动无线配置文件的设置指定用户必须提供凭据,因此 Windows Vista 会提示用户输入帐户名和密码。
用户键入其域用户帐户名和密码,于是 Windows Vista 客户端计算机连接到无线网络。
用户加入到 Active Directory 域。有关详细信息,请参阅本文中的“附录 B:将 Windows Vista 客户端加入域”。
用户通过启动配置文件手动配置无线计算机,并加入域
在此方法中,用户将根据 IT 管理员的指示,通过启动无线配置文件手动配置其无线计算机。启动无线配置文件允许用户建立无线连接,然后加入域。
执行此方法的步骤如下:
IT 管理员向用户分发用于配置启动无线配置文件的指示,该配置文件在禁用 RADIUS 服务器证书验证的情况下使用 PEAP-MS-CHAP v2 身份验证。
用户启动计算机并使用本地计算机帐户进行登录。
用户执行指示中所述的步骤来配置启动无线配置文件(请参阅本文中的“附录 A:配置启动无线配置文件”)。
配置完启动无线配置文件后,Windows Vista 会尝试连接到无线网络。由于启动无线配置文件的设置指定用户必须提供凭据,因此 Windows Vista 会提示用户输入帐户名和密码。
用户键入其域用户帐户名和密码,于是 Windows Vista 客户端计算机连接到无线网络。
用户加入到 Active Directory 域。有关详细信息,请参阅本文中的“附录 B:将 Windows Vista 客户端加入域”。
附录 A:配置启动无线配置文件
要配置启动无线配置文件,请执行以下操作:
在Connect to a network(连接到网络) 对话框中,单击I don't see what I want to connect to(我没有发现要连接的对象)。您可以从 Windows Vista 中的许多位置访问Connect to a network(连接到网络) 对话框,其中包括:
通过桌面的通知区域中的无线连接图标
通过“Control Panel”(控制面板)-“Network Connections”(网络连接)中的 Connect/disconnect wireless networks(连接/断开无线网络)链接
通过“Control Panel”(控制面板)-“Network Connections”(网络连接)中的无线网络适配器的上下文菜单
在Select a connection option(选择连接选项) 页面上,单击Set up a network(建立网络)。
在Enter information for the wireless network you want to add(为要添加的无线网络输入信息) 页面上,配置下列内容:
Network name(网络名称) 键入无线网络的名称。
Security type(安全类型) 选择用来验证到无线网络的连接的方法(WEP (802.1x)、WPA-Enterprise 或 WPA2-Enterprise)。
Encryption type(加密类型) 选择用来加密通过无线网络发送的数据帧的方法(WEP、TKIP 或 AES)。
单击Next(下一页)。
单击Change connection settings(更改连接设置)。
单击Security(安全性) 选项卡,然后在Choose a network authentication method(选择网络身份验证方法)下 选择Protected EAP (PEAP)(受保护的 EAP (PEAP))。 单击Settings(设置)。
在Protected EAP (PEAP) Properties(受保护的 EAP (PEAP) 属性) 对话框中,清除Validate server certificate(验证服务器证书) 复选框。
单击OK(确定) 两次,然后单击Close(关闭)。
要将此启动无线配置文件的设置导出到 XML 文件,请键入以下命令:
netsh wlan export profileXML_File_Name Profile_Name Connection_Name
XML_File_Name 是将存储无线配置文件设置的 XML 文件的名称。
Profile_Name 是要导出的无线配置文件的名称。
Connection_Name 是配置了无线配置文件的无线适配器的名称。
附录 B:将 Windows Vista 客户端加入域
成功连接到安全无线网络后,使用“Control Panel”(控制面板)-“System”(系统)执行以下操作:
在Computer name, domain, and workgroup settings(计算机名称、域和工作组设置)下,单击 Change settings(更改设置)。
在System Properties(系统属性) 对话框中,单击Change(变更)。
在Computer Name Changes(计算机名称变更) 对话框中,在Computer name(计算机名称)内键入计算机名称。单击 Domain(域), 并键入 Active Directory 域名。
单击OK(确定)。
出现提示时,键入您的域名和密码,将计算机加入域中。
出现提示时重新启动计算机。
计算机重新启动后,它会自动使用计算机的域帐户凭据或证书验证无线网络。
本文转自
http://www.yangzhip.net.cn/article.asp?id=13
摘要
运行 Microsoft? Windows Vista? 的无线客户端计算机可以使用临时无线配置文件来获取与安全无线网络的连接,并加入到 Active Directory 域。此临时无线配置文件称为启动无线配置文件,它需要进行连接的用户手动指定其域用户帐户凭据,而不验证“远程身份验证拨号用户服务”(RADIUS) 服务器的证书。加入域后,无线客户端会使用新的无线配置文件,该配置文件会自动利用计算机和用户帐户凭据并验证 RADIUS 服务器的凭据。本文介绍配置启动无线网络配置文件的三种方法。
导言
无线客户端需要域凭据(名称/密码)或证书来执行身份验证,以确保无线访问的安全。要加入域并获得域凭据或证书,无线客户端计算机需要成功连接到包含该域的域控制器的无线网络。要访问安全无线网络并将一台计算机加入域,无线客户端用户必须手动提供其域用户名和密码。连接到无线网络后,无线客户端用户即可将计算机加入域。
在经过 802.1X 身份验证的无线网络中,无线客户端需要提供经过 RADIUS 服务器进行身份验证的安全凭据。这些凭据可包括用户名和密码(用于受保护的 EAP [PEAP]-Microsoft 质询握手身份验证协议版本 2 [MS-CHAP v2])或证书(用于 EAP- 传输层安全性 [TLS])。对于 PEAP-MS-CHAP v2 或 EAP-TLS,无线客户端还会验证在身份验证过程中 RADIUS 服务器发送的计算机证书。这是 Windows 无线客户端的默认行为。可以禁用这一行为,但在生产环境中不推荐这样做。
如果 RADIUS 服务器使用商业公钥基础结构 (PKI)(如 VeriSign, Inc.)提供的计算机证书,并且无线客户端上已经安装了 RADIUS 服务器计算机证书的根认证机构证书,则无线客户端可以验证 RADIUS 服务器的计算机证书,不管该无线客户端是否已经加入到 Active Directory 域。
如果 RADIUS 服务器使用私有 PKI 提供的与 Active Directory 集成的计算机证书(如基于 Windows Server? 2003 证书服务的证书),则尚未加入域的无线客户端不会具有 RADIUS 服务器计算机证书的根 CA 证书,默认情况下,身份验证过程将失败。无线客户端加入域后,会自动安装 RADIUS 服务器计算机证书的根 CA 证书。
本文介绍这样的方法:使用无线配置文件配置基于 Windows Vista 的无线客户端,以执行手动 PEAP-MS-CHAP v2 身份验证,但不验证 RADIUS 服务器计算机证书。连接到无线网络后,无线客户端计算机会加入域并获得相应的根 CA 证书。计算机用户(手动)或 IT 管理员(通过组策略)可以配置无线配置文件,以便使 PEAP-MS-CHAP v2 身份验证可以验证 RADIUS 服务器的计算机证书,并自动使用域凭据。
将无线客户端加入域的方法
本部分介绍以下用于将无线客户端加入域的方法:
IT 人员将无线计算机加入域,并配置单一登录启动无线配置文件
用户使用 XML 文件通过启动无线配置文件来配置其无线计算机,并加入域
用户通过启动无线配置文件手动配置其无线计算机并加入域
IT 人员将无线计算机加入域,并配置单一登录启动无线配置文件
在此方法中,IT 管理员要在将无线计算机分发给用户之前将其加入域。用户启动计算机后,会使用为用户登录而手动指定的凭据建立与无线网络的连接并登录到域。
执行此方法的步骤如下:
IT 管理员将新的无线计算机加入域(例如,通过不需要 IEEE 802.1X 身份验证的以太网连接),并将具有以下设置的启动无线配置文件添加到该计算机中:
PEAP-MS-CHAP v2 身份验证
禁用 RADIUS 服务器证书验证
启用单一登录
单一登录是为 Windows Vista 无线客户端新增的功能,可以在用户登录过程中根据网络安全配置执行 802.1X 身份验证。对于此启动无线配置文件,IT 管理员需指定单一登录在用户即将登录前执行 802.1X 身份验证。
IT 管理员将新的无线计算机分发给用户。
用户启动该计算机时,Windows Vista 将提示用户输入其域用户帐户名和密码。由于启用了单一登录,计算机会使用域用户帐户凭据首先建立与无线网络的连接,然后登录到域。
此启动无线配置文件需要单一登录,因为尽管计算机已经加入域中,但用户仍然从未登录到该计算机。如果在用户首次尝试登录时计算机尚未连接到网络,则登录将失败,因为计算机无法通过域控制器验证用户帐户凭据。因此,必须首先建立网络连接。单一登录会使用相同的用户帐户凭据来建立无线连接并登录到域。用户成功登录后,以后进行的用户登录即可以利用缓存的凭据。
用户使用 XML 文件通过启动无线配置文件来配置其无线计算机,并加入域
在此方法中,用户将使用已由 IT 管理员配置的 XML 文件和脚本,通过启动无线配置文件配置其无线计算机。由 XML 文件配置的启动无线配置文件允许用户建立无线连接,然后加入域。
执行此方法的步骤如下:
IT 管理员使用启动无线配置文件来配置另一台基于 Windows Vista 的无线计算机,该配置文件在禁用 RADIUS 服务器证书验证的情况下使用 PEAP-MS-CHAP v2 身份验证。
IT 管理员使用netsh wlan export profile 命令将启动无线配置文件提取到一个 XML 文件(请参阅本文中的“附录 A:配置启动无线配置文件”),并创建执行时将会在用户计算机上添加该配置文件的脚本文件。
IT 管理员使用相应的方法将新的无线计算机、包含该启动无线配置文件的 XML 文件和脚本文件分发给用户。脚本文件包含netsh wlan add profileXML_File_Name Connection_Name 命令。
例如,该 XML 文件可以与脚本一起存储在 USB 闪存驱动器上,以便用户可以运行以添加启动无线配置文件。
用户启动计算机并使用本地计算机帐户进行登录。
用户运行脚本文件以添加启动无线配置文件。
脚本运行后,Windows Vista 会尝试连接到无线网络。由于启动无线配置文件的设置指定用户必须提供凭据,因此 Windows Vista 会提示用户输入帐户名和密码。
用户键入其域用户帐户名和密码,于是 Windows Vista 客户端计算机连接到无线网络。
用户加入到 Active Directory 域。有关详细信息,请参阅本文中的“附录 B:将 Windows Vista 客户端加入域”。
用户通过启动配置文件手动配置无线计算机,并加入域
在此方法中,用户将根据 IT 管理员的指示,通过启动无线配置文件手动配置其无线计算机。启动无线配置文件允许用户建立无线连接,然后加入域。
执行此方法的步骤如下:
IT 管理员向用户分发用于配置启动无线配置文件的指示,该配置文件在禁用 RADIUS 服务器证书验证的情况下使用 PEAP-MS-CHAP v2 身份验证。
用户启动计算机并使用本地计算机帐户进行登录。
用户执行指示中所述的步骤来配置启动无线配置文件(请参阅本文中的“附录 A:配置启动无线配置文件”)。
配置完启动无线配置文件后,Windows Vista 会尝试连接到无线网络。由于启动无线配置文件的设置指定用户必须提供凭据,因此 Windows Vista 会提示用户输入帐户名和密码。
用户键入其域用户帐户名和密码,于是 Windows Vista 客户端计算机连接到无线网络。
用户加入到 Active Directory 域。有关详细信息,请参阅本文中的“附录 B:将 Windows Vista 客户端加入域”。
附录 A:配置启动无线配置文件
要配置启动无线配置文件,请执行以下操作:
在Connect to a network(连接到网络) 对话框中,单击I don't see what I want to connect to(我没有发现要连接的对象)。您可以从 Windows Vista 中的许多位置访问Connect to a network(连接到网络) 对话框,其中包括:
通过桌面的通知区域中的无线连接图标
通过“Control Panel”(控制面板)-“Network Connections”(网络连接)中的 Connect/disconnect wireless networks(连接/断开无线网络)链接
通过“Control Panel”(控制面板)-“Network Connections”(网络连接)中的无线网络适配器的上下文菜单
在Select a connection option(选择连接选项) 页面上,单击Set up a network(建立网络)。
在Enter information for the wireless network you want to add(为要添加的无线网络输入信息) 页面上,配置下列内容:
Network name(网络名称) 键入无线网络的名称。
Security type(安全类型) 选择用来验证到无线网络的连接的方法(WEP (802.1x)、WPA-Enterprise 或 WPA2-Enterprise)。
Encryption type(加密类型) 选择用来加密通过无线网络发送的数据帧的方法(WEP、TKIP 或 AES)。
单击Next(下一页)。
单击Change connection settings(更改连接设置)。
单击Security(安全性) 选项卡,然后在Choose a network authentication method(选择网络身份验证方法)下 选择Protected EAP (PEAP)(受保护的 EAP (PEAP))。 单击Settings(设置)。
在Protected EAP (PEAP) Properties(受保护的 EAP (PEAP) 属性) 对话框中,清除Validate server certificate(验证服务器证书) 复选框。
单击OK(确定) 两次,然后单击Close(关闭)。
要将此启动无线配置文件的设置导出到 XML 文件,请键入以下命令:
netsh wlan export profileXML_File_Name Profile_Name Connection_Name
XML_File_Name 是将存储无线配置文件设置的 XML 文件的名称。
Profile_Name 是要导出的无线配置文件的名称。
Connection_Name 是配置了无线配置文件的无线适配器的名称。
附录 B:将 Windows Vista 客户端加入域
成功连接到安全无线网络后,使用“Control Panel”(控制面板)-“System”(系统)执行以下操作:
在Computer name, domain, and workgroup settings(计算机名称、域和工作组设置)下,单击 Change settings(更改设置)。
在System Properties(系统属性) 对话框中,单击Change(变更)。
在Computer Name Changes(计算机名称变更) 对话框中,在Computer name(计算机名称)内键入计算机名称。单击 Domain(域), 并键入 Active Directory 域名。
单击OK(确定)。
出现提示时,键入您的域名和密码,将计算机加入域中。
出现提示时重新启动计算机。
计算机重新启动后,它会自动使用计算机的域帐户凭据或证书验证无线网络。
本文转自
http://www.yangzhip.net.cn/article.asp?id=13
3027
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
