AD+MAC+IAS的802.1x无线认证局域网

- 1 - 集思广益集思广益集思广益集思广益布署布署布署布署 AD + MAC + IASAD + MAC + IASAD + MAC + IASAD + MAC + IAS 的的的的 802.1x802.1x802.1x802.1x 无线认证无线认证无线认证无线认证局域网局域网局域网局域网 概要概要概要概要 之前在网上看过相关的文章介绍，要实现 AD + MAC + IAS 的 802.1x 无线认证，要么交换机要支持 802.1x 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 ，要么无线 AP 或无线控制器要支持基于 Radius 的 MAC 地址认证功能。现在本文就简单介绍一下，在交换 机不支持 802.1x 协议，无线 AP 或无线控制器不支持基于 Radius 的 MAC 地址认证功能的情况下，布署 AD + MAC + IAS 的 802.1x 无线认证企业局域网。我们只要在 IAS 服务上登记无线 PC 客户端的 MAC 地址，授权其 AD 用 户的接入权，就可以让它们安全地登录到无线网络了。为增加安全性，无线设备的 SSIDS 设置隐藏，因此用户 无法自行选择 SSID，必须由管理员或用户在其 PC 上配置无线网络。 认证原理认证原理认证原理认证原理 1. 拓扑图 2. 当无线 PC 客户端在 AP 的覆盖区域内，就会发现以 SSID 标识出来的无线信号，从中可以看到 SSID 名 称和加密类型，以便用户判断选择。 3. 无线 AP 配置成只允许经过 802.1X 认证过的客户端登录，当客户端尝试连接时，AP 会自动设置一条限 制信道，只让客户端和 IAS 服务器通信，IAS 服务器只接受信任的 IAS 客户端（这里可以理解为 AP 或者无线控制器），客户端会尝试使用 802.1X，通过那条限制通道和 IAS 服务器进行认证。 4. IAS 服务器收到认证请求之后，对客户端进行规则匹配，以确定客户端是否合法，过程如下. a. 判断客户端是否与建立的连接请求策略规则相匹配（这里以 MAC 地址作请求规则），匹配失败， 将断开客户端连接。 b. 匹配成功，将对请求的客户端再进行远程访问策略规则相匹配（这里以 AD 群组用戶作远程访问 规则）， 在这个匹配过程中，IAS 服务通过在 AD 中检查该用户的账号、密码、群组以及访问策略的 定义等信息，来决定该用户是否有权接入到无线网络中，IAS 服务再把这个决定传给 IAS 客户端（在 这里可以理解为 AP 或者其无线控制器），如果是拒绝，那客户端将无法接入到无线网络，如果允许， IAS 服务还会把无线客户端的 KEY 传给 IAS 客户端，客户端和 AP 会使用这个 KEY 加密并解密他们之 间的无线流量。 5. 经过认证之后，AP 会放开对该客户端的限制，让客户端能够自由访问网络上的资源。如果域中存在 DHCP 服务，那么无线客户端获取接入权限之后，会向网络上广播他的 DHCP 请求，DHCP 服务器会 分配给他一个 IP 地址，该客户端即可正常通信。 - 2 - 配置需配置需配置需配置需求求求求 用户目录：与企业的 Microsoft Active Directory 目录整合 IAS 服务：Windows 2003 所带的 Internet Authentication Service（IAS） 无线设备：Wireless AP 或 Wireless Router SSID 隐藏：是 加密协议：WPA-Enterprise 或 WPA2-Enterprise 加密算法：AES 或 TKIP 认证协定：802.1x 下的 PEAP 环境搭建环境搭建环境搭建环境搭建 局域网：网域� Pylocal.Domain，网域 NetBIOS� Pylocal 认证服务器：IP 地址 10.7.200.9，Windows 2003 Server With SP2，角色为 AD 域控制器，IAS 服务，IIS 服务。 无线 AP：IP 地址 10.7.200.254，Linksys WAP54G，SSID @Wap54g 无线 PC：机器名 PYedp_Vista Windows XP with SP2 无线网卡为 Intel PRO Wireless LAN 2200GB PCI Adapter MAC 地址是 00-1c-bf-78-f8-e4 说明：机器 MAC 地址会在 IAS 服务中进行连接请求策略规则匹配， 以判断该机器是否有权接入无线网络，这是布署该无线证认网络的第一个验证条件。 认证服务器的配置认证服务器的配置认证服务器的配置认证服务器的配置 一、安装 AD 活动目录 (这一步就不多说了)，在 AD 中建立相关的群组及账号，并设置相关属性，如. 群组：WirelessGroup 说明：无线授权接入群组，在 IAS 服务中进行远程访问策略规则匹配，以判断组成员 账号是否有权接入无线网络，这是布署该无线证认网络的第二个验证条件。 用户：Vista 说明：用户 Vista 隶属于 WirelessGroup 群组 设置用户的“远程访问权限（拔入或 VPN）”为允许访问 - 3 - 二、安装 IAS 服务组件 1.开始—》控制面板—》添加删除程序—》添加删除 windows 组件 2、选择网络服务—》详细信息—》Internet 验证服务—》确定—》下一步，Windows 会自动安装 IAS 服务。 ３. 安装好之后，在系统管理工具里面就会找到 Internet验证服务，打开 Internet验证服务管理器，在 AD 中注册服务器，使 IAS 能够读取 AD 里面的帐号信息。右键点击 Internet 验证服务—》在 Active Directory 中注册 服务器. 1 2 - 4 - 三、安装 IIS 服务相关组件，为 IAS 服务安装证书 由于 802.1X 和 WPA 都需要证书来用于 IAS 服务器认证及加密密钥的产生，所以必须要给 IAS 服务器安装 一个证书，否则，在配置 IAS 的时候会出现无法找到证书的错误。获取证书可以向商业 CA 申请，但需要不少 花费，还可以自己假设 CA 服务器，这需要对 PKI 等只是有足够的认识，还有一个简便的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 是，安装“远程 管理（HTML）”后，系统会自动安装一个有效期为一年的证书。 1.开始—》控制面板—》添加删除程序—》添加删除 windows 组件 - 5 - 2、选择网络服务—》应用程序服务器—》详细信息—》Internet 信息服务(IIS)—》详细信息—》万维网服 务—》详细信息—》远程管理（HTML）—》确定—》确定—》确定—》下一步，Windows 会自动安装 IIS 服务， 并成功添加远程管理（HTML）组件。 四、打开 Internet 验证服务管理器，配置 IAS 服务，这里 IAS 服务器的 IP 地址是 10.7.200.9 1. 添加 RADIUS 客户端。右键点击 RADIUS 客户端，选择新建 RADIUS 客户端. - 6 - 2. 添加连接请求策略，利用 Calling-Station-Id 属性，设置无线 PC 客户端的 MAC 地址验证匹配规则。展开 连接请求处理菜单，右键点击连接请求策略，选择新建连接请求策略. 1 2 3 4 输入 Radius 客户端的 IP 地址, 这里请输 入无线 AP 的 IP 地址 10.7.200.254 设置共享密匙 Secret.ap ,该密匙还要在 Radius 客户端即无线 AP 里输入 新建 Radius 客户端完成. - 7 - 1 2 3 4 5 策略名称命名：PC 名_AD 账号 PC 的 MAC 地址 如：PYedp_Vista 00-1c-bf-78-f8-e4 输入允许匹配策略的无线 PC 客户端 MAC 地址，如 00-1c-bf-78-f8-e4 - 8 - ３. 添加远程访问策略，利用 Windows-Groups 属性，授權接入無線網絡的 AD 群组 WirelessGroup，以建立 无线 PC 客户端的 AD 账号验证匹配规则。右键点击远程访问策略，选择新建远程访问策略. 6 7 8 新建连接请求策略完成 1 2 - 9 - 添加在 AD 中建立的无线 接入群组 WirelessGroup 8 6 7 4 5 3 輸入策略名稱: WirelessAccess - 10 - 注意，如果在配置验证方法那一步出现错误，是因为没有为服务器安装证书。 策略向导完成后，需对该策略进一步配置。右键点击该策略 WirelessAccess，选择属性，选择编辑配置文件， 在身份验证页中，分别勾选上 MS-CHAP V2, MS-CHAP 加密身份验证，点击确定按钮即可。IASIASIASIAS 服务配置完成服务配置完成服务配置完成服务配置完成。。。。 9 10 1 3 2 - 11 - 无线无线无线无线 APAPAPAP 的配置的配置的配置的配置 ( ( ( ( 即即即即 RadiusRadiusRadiusRadius 客户端客户端客户端客户端 ) ) ) ) 1. 这里无线 AP 的 IP 是 10.7.200.254，进入 AP 的 Security 管理页面，对相关功能选项进行适当设置。这里 设置如下： Security Mode [ WPA-Enterprise ] Encryption [ AES ] RADIUS Server [ 10.7.200.9 ] 说明：这里是 IAS 服务器的 IP 地址 RADIUS Port [ 1812 ] 说明：这里是 IAS 服务器的连接端口 Shared Secret [ Secret.ap ] 说明：这里输入的 AP 共享密匙必须与 IAS 服务器上对应的 Radius 客户端共 享密匙相同 2. 进入 AP 的 Basic Wireless Settings 管理页面，对相关功能选项进行适当设置。这里设置如下： Mode [ Mixed ] Network Name( SSID ) [ @Wap54g ] Channel [ 11-2.462GHz ] SSID Broadcast [ Disabled ] - 12 - ３. 经过上面两步的设置，无线 AP 的配置完成。 无线无线无线无线 PCPCPCPC 客户端客户端客户端客户端的的的的设置设置设置设置 客户端操作平台 机器名：PYedp_Vista 系统：Windows XP with SP2 无线网卡：Intel PRO Wireless LAN 2200GB PCI Adapter MAC 地址：00-1c-bf-78-f8-e4 １. 首先，将 PC 或 Notebook 的无线接收开关打开，确保它能正常接收到无线信号。开始—》运行—》输 入 Services.msc，打开服务管理器。 1 2 - 13 - ２. 在打开的服务管理器中，找到 Wireless Zero Configuratiion 服务后，双击它弹出“Wireless Zero Configuratiion 属性”窗体，设置启动类型为自动，点击启动按钮，使服务状态变为已启动。再点击确定按钮并 关闭所有窗体，设置生效。 ３. 开始—》控制面板，点击窗体左边的切换到经典视图，然后在右边寻找网络连接图标，双击打开进入 网络连接窗体，开始新增无线网络接入的配置信息。 1 2 1 2 3 - 14 - 右键点击“无线网络连接”图标，在弹出的菜单中选择属性。 在无线网络连接属性窗体中，选择“无线网络配置”选项卡，勾上“用 Windows 配置我的无线网络设置”， 点击高级按钮，在高级窗体中，选中任何可用的网络（首选访问点）选项，然后点击关闭按钮，回到无线网络 连接属性窗体中。 1 2 - 15 - 点击添加..按钮，在弹出的无线网络属性窗体中，点击“关联”选项卡，输入关联信息： 网络名（SSID）：@Wag54g 网络验证：WPA 数据加密：AES 点击“验证”选项卡，选择 EAP 类型为“受保护的 EAP（PEAP）”；点击属性按扭，在弹出的受保护的 EAP 属性窗体中，勾掉“验证服务器证书”选项， 选择验证方法“安全密码（EAP-MSCHAP v2）”并选中启用 快速重新连接选项； 点击配置按钮，在弹出的 EAP MSCHAPv2 属性窗体中，勾掉“自动使用 windows 登录名 和密码”,点击确定按钮 N 次后，返回到无线网络连接属性窗体。 1 2 1 2 3 - 16 - 完成以上配置后，802.1 认证的无线网络接入配置信息，设置完成，按确定按钮，使其设置生效。 现在无线 PC 客户端可以正常连接到 IAS 服务器了，等待数秒后，在桌面右下角的无线连接图标上，出现 提示“无线网络连接，单击此处选择连接到网络的证书或其它凭据@Wap54g”，请单击该提示。 - 17 - 在弹出的“输入凭据”窗体中，输入已授权接入无线网络的 AD 用户信息，并点击确定按钮。 用户名：Vistar 密码：******** 登录域：PYLOCAL 等待数秒后，认证通过，无线 PC 客户端成功接入局域网并且可访问网络上的资源了。 - 18 - 备份和恢复备份和恢复备份和恢复备份和恢复 IASIASIASIAS 策略策略策略策略 在做完了以上一系列工作后，我们还希望能够备份 IAS 服务配置，并在必要的时候将其恢复到冗余 IAS 服 务器上。其实这个任务很好实现。微软给了我们一个简单的命令行来导出和导入 IAS 服务配置信息。要执行备 份操作，我们只需要输入以下命令： netsh aaaa show config > c:\IAS.txt 这里要注意的是，所保存的文件名前缀可以是任意合法的文件名，如果不小心搞乱了 IAS 配置，就可以直 接用这个本地文件恢复配置。如果你需要在另一台 IAS 服务器上应用相同的配置，也可以方便的将其恢复到该 服务器上。从文本文件恢复 IAS 设置，也只需要一个简单的命令。 netsh exec c:\IAS.txt 这种方式可以让我们快速的配置多个冗余的 IAS 服务器，同时也可以让我们快速恢复 IAS 服务器的设置。 总结总结总结总结 全文简单介绍了布署 AD + MAC + IAS 的 802.1x 无线认证局域网的方法。在 IAS 服务中，“连接访问策略” 规则，利用 Calling-Station-Id 属性，负责验证无线 PC 客户端的 MAC 地址;“远程访问策略”规则，利用 Windows-Groups 属性，负责验证无线 PC 客户端的用户授权信息及密匙信息，当这两个条件成立后，无线 PC 客 户端才能认证通过，成功接入局域网。 环境操作实例： 在现有环境中添加 N 台无线 AP 或无线控制器，在无线信号范围内，使无线 PC 客户端能应用同一个无 线网络配置文件，通过 IAS 服务认证接入网络。 １. 以上面介绍的无线 AP 配置为准，分别为新增的 N 台无线 AP 或无线控制器作相同的配置，包括 SSID 要相同，安全验证类型，Radius 服务器地址等等）。 ２. 以上面介绍的 IAS 服务配置为准，分别为新增的 N 台无线 AP 或无线控制器，添加对应的 Radius 客户端信息。 ３. 在无线信号范围内，无线 PC 客户端使用现有的无线网络配置信息进行无线接入，认证通过并成 功接入网络。 授权 N 台无线 PC 客户端接入无线局域网。 １. 分别为 N 台无线 PC 客户端的使用者建立 AD 用户，设置用户的远程访问权限（拔入或 VPN） 为允许访问，并加入到 WirelessGroup 群组中，授权用户接入。 ２. 在 IAS 服务上分别为 N 台无线 PC 客户端，建立对应的“连接请求策略”规则,利用 Calling-Station-Id 属性登记它们的 MAC 地址，授权连接。 ３. 以上面介绍的无线 PC 客户端设置为准，在 N 台无线 PC 客户端上，配置无线网络信息进行无线 接入，认证通过并成功接入网络。 2009/2/172009/2/172009/2/172009/2/17 (^oo^)t.BoyS(^oo^)t.BoyS(^oo^)t.BoyS(^oo^)t.BoyS comxyz@qq.comcomxyz@qq.comcomxyz@qq.comcomxyz@qq.com