Windows域與802.1X協議統一認證解決方案
阿新 • • 發佈:2020-10-09
轉載自:http://yonggang.blog.51cto.com/94083/106347
Windows域與802.1X協議統一認證解決方案 【課程星級】★★★★★ 【實驗名稱】Windows域與802.1X協議統一認證解決方案 【實驗目的】使管理人員瞭解Windows域與802.1X協議結合進行統一認證的配置方法。 【背景描述】 隨著區域網的迅速發展,辦公使用者的網路安全問題日益突出。目前,各企業面臨的安全威脅之一就是外圍裝置非法接入到內部網路後的破壞性***行為。在許多企業的IT 管理過程中,往往注重對來自因特網的外部威脅防禦,忽略了來自內部的非法訪問威脅。 這種威脅在大中型企業的IT 環境中影響尤其明顯。因此,建立內部網路接入防禦體系勢在必行。很多企事業單位已經建立了基於Windows域的資訊管理系統,通過Windows域管理 使用者訪問許可權和應用執行許可權。然而,基於Windows的許可權控制只能作用到應用層,而無法實現對使用者的物理訪問許可權的控制,比如對網路接入許可權的控制, 非法使用者可隨意接入使用者網路,這就給企業網的網路和應用安全帶來很多隱患。為了更加有效地控制和管理網路資源,提高網路接入的安全性,很多政府和企業網路 的管理者希望通過802.1x認證實現對接入使用者的身份識別和許可權控制。 通過802.1x 協議和活動目錄技術相結合的方案,來實現裝置接入的合法驗證和管理。只有通過了內部域使用者驗證的計算機才能正常進行網路通訊,否則其接入埠資料將被阻隔。 下面我們就來看一下Windows域與802.1X協議統一認證解決方案的實現過程。 【實驗拓撲】 實驗環境說明:本實驗需要用到Windows 2003 Server,並且在Windows 2003 Server安裝DNS、AD、DHCP、CA、IAS等元件,並且要求交換機支援802.1X協議與Guest VLAN功能。 本文詳細地記錄了配置Windows 2003 Server和交換機每一個步驟的實現過程,併力求層次清晰。但還是希望沒有接觸過Windows 2003 Server的讀者瞭解Windows 2003 ServerDNS、 AD、DHCP、CA和IAS的相關知識,請參考相關書籍和網站。
此處選擇“新域的域控制器”,使此計算機作為此域的域控制器(DC)。
此處選擇“在新林中的域”。
輸入“test.com”作為新建域的域名。
設定NetBIOS域名,此處使用預設的“TEST”。
設定資料庫和日誌檔案的儲存路徑,此處選擇預設設定。
設定共享的系統卷,此處使用預設設定。
DNS註冊診斷,由於此伺服器還沒有安裝DNS伺服器元件,因此顯示診斷失敗,這裡選擇“在這臺計算機安裝並配置DNS伺服器,並將這臺DNS伺服器設為計算機的首選DNS伺服器”。
設定使用者和組物件的預設許可權,此處選擇預設設定。
設定目錄還原模式的管理員密碼。
開始安裝和配置活動目錄。
活動目錄安裝完畢。
點選“立即重新啟動”,重啟windows 2003 server。
2. 安裝並配置windows 2003 server DHCP伺服器
進入控制面板介面。
選擇“新增或刪除程式”。
選擇“新增/刪除windows元件”。
選中“網路服務”,點選“詳細資訊”。
選擇“動態主機配置協議(DHCP)”。
進行DHCP元件的安裝。
完成安裝。
在windows 2003 server 管理工具中選擇DHCP。
這臺DHCP伺服器未經授權,不能為網路中的計算機提供服務,因此要對此DHCP伺服器進行授權。
右鍵點選“DHCP”,選擇“管理授權的伺服器”。
輸入DHCP的IP地址。
確認授權。
重新啟動DHCP服務以後,DHCP伺服器附帶的狀態標識由紅色的向下的箭頭轉換為綠色的向上的箭頭,說明DHCP伺服器已經成功授權。
右鍵單擊DHCP伺服器,選擇“新建作用域”。
輸入作用域名稱。
輸入各項引數。
新增預設閘道器的IP地址。
選擇現在啟用作用域。
完成新建域嚮導。
右鍵單擊“作用域選項”,選擇“配置選項”。
選中“DNS”伺服器,新增192.168.0.254和192.168.0.1兩個地址。
這樣就完成了DHCP伺服器的配置工作。
3. 安裝並配置證書伺服器(CA)
IEEE
802.1X在允許網路客戶端訪問網路之前使用EAP來對其進行身份驗證。EAP最初設計用於點對點協議(PPP)連線,它允許使用者建立任意身份驗證模式
來驗證網路訪問。請求訪問的客戶端和進行身份驗證的伺服器必須首先協商特定EAP身份驗證模式(稱為EAP型別)的使用。在就EAP型別達成一致之
後,EAP允許訪問客戶端和身份驗證伺服器(通常是一個RADIUS伺服器)之間進行無限制的對話。
在基於802.1X的認證協議中,我們採用的是PEAP(Protected Extensible Authentication Protocol)的驗證方式。這是一種基於密碼的驗證協議,可以幫助企業實現簡單、安全的驗證功能。
PEAP是一種EAP型別,它首先建立同時被加密和使用傳輸層安全(TLS)來進行完整性保護的安全通道。然後進行另一種EAP型別的新的
EAP協商,從而對客戶端的網路訪問嘗試進行身份驗證。由於TLS通道保護網路訪問嘗試的EAP協商和身份驗證,因此可以將通常容易受到離線字典***的基
於密碼的身份驗證協議可用於在安全的網路環境中執行身份驗證。
PEAP是一種通過TLS來進一步增強其它EAP身份驗證方法安全性的身份驗證機制。面向Microsoft
802.1X身份驗證客戶端的PEAP提供了針對TLS(PEAP-TLS,同時在伺服器身份驗證過程與客戶端身份驗證過程中使用證書)與
Microsoft質詢握手身份驗證協議2.0版(PEAP-MS-CHAP
v2,在伺服器身份驗證過程中使用證書,而在客戶端身份驗證過程中使用基於口令的授權憑證。若客戶端希望對網路進行認證,必須下載證書)的支援能力。
MS-CHAP v2是一種基於密碼的質詢-響應式相互身份驗證協議,使用工業標準的“資訊摘要 4(Message Digest
4,MD4)”和資料加密標準(Data Encryption
Standard,DES)演算法來加密響應。身份驗證伺服器質詢接入客戶端,然後接入客戶端又質詢身份驗證伺服器。如果其中任一質詢沒有得到正確的回答,
連線就被拒絕。
通過上面的介紹,我們可以得出結論:不管對無線連線使用哪種身份驗證方法(PEAP-TLS 或 PEAP-MS-CHAP v2),都必須在 IAS 伺服器上安裝計算機證書。
安裝一種證書服務即指定一個證書頒發機構
(CA),證書可以從第三方的CA機構獲取,比如VeriSign,或者從企業內部的CA機構頒發。這兩種方案在傳統意義上都是可行的,但是對於小型企業
來說並不現實,因為小型企業不願意每年花很多額外的錢購買第三方認證機構的證書,因此可以考慮在企業內部自己架設 CA伺服器。
我們這裡採取的是在IAS伺服器和客戶端上都需要安裝證書,以完成雙方的互相認證。客戶端通過web從CA上下載證書,首先需要安裝IIS。
在“windows元件嚮導”選擇“應用程式伺服器”,點選“詳細資訊”。
完成IIS服務安裝。接下來安裝證書服務。
在“windows元件嚮導”選擇“證書服務”,點選“詳細資訊”。
點選是,選中“證書服務”和“證書服務Web註冊支援”。
選擇“企業根CA”。
輸入CA公鑰名稱。
出現生成公鑰過程,並提示設定證書資料庫。
完成CA的安裝。 4. 安裝IAS伺服器
在“新增/刪除Windows元件”中,選擇“網路服務”,單擊“詳細資訊”
選擇“Internet驗證服務”,單擊“確定”。
然後返回原對話方塊,點選“下一步”。
點選完成按鈕。
接下來開始為IAS伺服器申請證書,如果將DC(域控制器)和IAS伺服器安裝在同一臺計算機上,DC會自動為此IAS伺服器頒發一個證書。為了使大家明白IAS伺服器計算機證書的安裝過程,特給大家進行演示操作。
在IAS伺服器上點選“開始”----“執行”,輸入“mmc”,點選“確定”。
在控制檯上,選擇“檔案”----“新增/刪除管理單元”。
在控制檯根節點下點選“新增”按鈕。
在新增獨立管理單元選擇“證書”,點選新增按鈕。
選擇“計算機帳戶”,點選“下一步”。
選擇“本地計算機”,點選“完成”。
點選確定。
在控制檯根節點下,展開“證書”,右鍵單擊“個人”----“所有任務”----“申請新證書”。
證書型別選擇“域控制器”。
輸入證書的名稱。
完成IAS伺服器證書的申請。
提示證書申請成功。
在控制檯根節點下,檢視個人證書,可以看到剛才申請的證書,以及自動為此計算機頒發的證書。
5. 建立域使用者帳戶
進入活動目錄使用者和計算機。
右鍵單擊“test.com”選擇“新建”----“使用者”。
建立一個登入名為“liming”的使用者帳戶。
為“liming”這個賬戶建立密碼,選擇“使用者不能更改密碼”。
建立使用者帳戶完成。
右鍵單擊新建的“liming”使用者帳戶,選擇“屬性”。
在“撥入”選項卡中“遠端訪問許可權”賦予此使用者“允許訪問”許可權,點選“應用”。
在“隸屬於”選項卡,可以看到這個賬戶屬於“Domain Users”這個使用者組。
6. 配置IAS伺服器
如果使用者是利用活動目錄內的使用者帳戶來連線網路,則IAS伺服器必須向域控制器詢問使用者帳戶的資訊,才能決定使用者是否有權連線。首先必須將IAS伺服器註冊到活動目錄中,IAS伺服器才能夠讀取活動目錄的使用者帳戶資訊。
選擇“Internet驗證服務”。
右擊“Internet驗證服務(本地)”,選擇“在Active Directory中註冊伺服器”。
接下來配置IAS伺服器,包括配置IAS客戶端和遠端訪問策略。
輸入客戶端的名稱和IP地址。注意:這裡的客戶端指的是交換機。
客戶端供應商這裡選擇的是“RADIUS Standard”,“共享機密”指的是IAS伺服器和交換機上設定的預共享金鑰。只有雙方金鑰相同時,IAS伺服器才會接受RADIUS客戶端傳來的驗證、授權和記賬請求。此處金鑰區分大小寫。
RADIUS客戶端建立完成後,出現如上的顯示。
然後新建遠端訪問策略。
選擇“lan access”,右鍵“屬性”。
選擇“編輯配置檔案”。
高階選項卡里面的高階屬性型別如上。
確保此策略“授予遠端訪問許可權”,點選“確定”完成IAS伺服器配置。
二.配置DES-3526交換機
“config vlan default delete 1-26” 將1-26 埠從預設的VLAN刪除
“create vlan v10 tag 10” 建立VLAN 10,名稱:v10
“create vlan v20 tag 20” 建立VLAN 20,名稱:v20
“config vlan v10 add untagged 1-16” 將交換機的1-16埠以非標籤的形式新增到V10 裡面
“config vlan v20 add untagged 17-26” 將交換機的17-26埠以非標籤的形式新增到V20 裡面
將交換機的IP地址改為192.168.0.250,並將它指定到V10裡面。PC要進行認證,IAS
伺服器和交換機之間必須是能夠進行正常通訊的。我們將IAS伺服器放在V10裡面,交換機的IP 地址在預設情況下是屬於default VLAN
的,必須將它指定到V10裡面。
預設情況下,交換機的802.1X協議時關閉的,可以使用“enable 802.1x”命令來啟用它。建立Guest VLAN,將V10指定為Guest VLAN,然後將交換機的1-16埠的Guest VLAN功能開啟。
將交換機的第1-8 埠設定為需要認證的埠,連線到這些埠的計算機必須通過認證才能夠接入網路,否則只能夠與同在Guest VLAN裡面的計算機進行通訊。
使用“config radius add 1 192.168.0.254 key 123456 default”將IP地址為192.168.0.254的認證伺服器(IAS伺服器)新增到交換機,交換機接收到認證請求資訊之後將把認證請求傳送到認證伺服器上。
命令中的引數“1”表示的是RADIUS伺服器的序號;引數“123456”是交換機和認證伺服器之間通訊時的預共享祕鑰,雙方設定必須一致;
預設情況下“1812”和“1813”是UDP協議用的兩個埠,“1812”是認證埠,“1813”是計費埠,這兩個埠設定交換機和認證伺服器雙
方也要一致,這裡使用交換機預設配置。
以上就完成了交換機的配置。
三. 配置客戶端
將一臺計算機接入到交換機的第一個埠,然後設定此計算機加入到前面新建的test.com域。
在計算機桌面上,右鍵單擊“我的電腦”,選擇“屬性”。
點選“更改”按鈕。
在隸屬於下面的“域”填入新建的test.com。
輸入域管理員帳號和密碼。
提示已經加入test.com域,然後重新啟動計算機。
計算機重新啟動以後,使用“liming”來進行登入到test域中。
登入到域以後,通過WEB方式從CA上下載數字證書。
在瀏覽器中輸入:192.168.0.254/certsrv,在彈出的對話方塊中輸入使用者名稱和密碼。
選擇“申請一個證書”。
選擇使用者證書。
點選“提交”。
點選“是”申請證書。
點選“安裝此證書”。
點選“是”。
顯示證書已經成功安裝。
接下來設定身份驗證屬性。
我的電腦,右鍵單擊“屬性”。
此計算機的OS 版本是Windows XP SP 3。
Wired Autoconfig 服務是在乙太網口上執行IEEE 802.1x 身份認證,而Service
Pack3 預設將XP 的Wired Autoconfig 的啟動型別設定為手動,所以需要更改為
自動並確保該服務的狀態是啟動。方法如下:
控制面板中選擇“管理工具”。
選擇“服務”。
啟動型別選擇“自動”,點選“啟動”按鈕。
注意:以上問題在windows xp sp2上不存在。
本地連線屬性選擇“身份驗證”選項卡。
網路身份驗證方法選擇“受保護的EAP”,點選“設定”按鈕。
勾選“驗證伺服器證書”,“連線到這些伺服器”中的內容為空。在“受信任的證書頒發機構”中選擇“lan”,這是我們建立的CA伺服器的名稱。在通過身份驗證以後,客戶端會自動在“連線到這些伺服器”填入伺服器的名稱。
在“選擇身份驗證方法”中選擇“安全的密碼(EAP-MSCHAP v2)”,然後點選“配置”
勾選“自動使用Windows登入名和密碼”,這樣使用者在登入的時候只需要輸入一次域的使用者帳戶和密碼就可以完成域和802.1X的雙重認證。
回到原對話方塊,點選“確定”完成身份驗證的設定,彈出下面的資訊:
點選彈出的資訊,出現下面的對話方塊。
點選“檢視伺服器證書”。
狀態為“該證書沒有問題”,在驗證完伺服器的證書後,客戶端會自動將此資訊新增到“連線到這些伺服器”裡面,以便下次進行自動驗證。使用者就不會再重複確認上面的資訊了。
以上就完成了對客戶端的設定。
四:配置驗證
在完成了以上三個部分的配置以後,下面我們來測試一下配置效果
在使用者登過程中,交換機的顯示資訊如下(使用者計算機連線到交換機第1個埠):
客戶端已經連線,還沒有開始認證。
客戶端正在進行認證。
客戶端沒有通過認證時的VLAN埠情況。
客戶端已經通過認證。
客戶端通過認證以後,交換機會自動把客戶端所連線的埠1劃分到V20裡面。這樣客戶端計算機就可以通過路由器接入到Internet了。
通過上面的測試我們可以得出如下結論:
沒有通過認證前,客戶端屬於Guest VLAN(V10),只能與Windows 2003 server通訊。在通過認證以後,客戶端屬於所指定的V20,也就可以通過路由器訪問Internet了。以上證明前面的配置是正確的。
五:注意事項
1. 客戶端的IP地址設定為自動獲取,這樣客戶端可以自動從Windows 2003伺服器提供DHCP獲取IP地址。
2. 使用 MS-CHAPv2,可以配置使用者計算機,使用 Windows Domain 的使用者名稱和密碼來進行 802.1X
登入。當用戶完成 Windows 登入, Windows 會自動開始 802.1X MS-CHAPv2 對交換機埠做認證。注意:必須將 AD
放在 Guest VLAN, 所以在埠未認證前,使用者仍能登入網域。
3. 使用域的賬戶和密碼登入到域中時,可能有時候計算機的某些設定不允許普通的域使用者進行修改,例如SP3中的啟動802.1X身份驗證功能等,這就需要賦予域使用者更多的對登入計算機操作的許可權。請參考微軟的相關資料。
4. 文件中的配置參考了大量的微軟官方網站的資料,主要資料連結如下:
[url]http://www.microsoft.com/china/technet/security/guidance/secmod163.mspx[/url](使用 802.1X 實現無線 LAN 安全性)
[url]http://www.microsoft.com/china/technet/prodtechnol/winxppro/deploy/ed80211.mspx[/url](使用 Microsoft Windows 的安全 802.11 網路企業部署)
此外還包括Windows 2003 server的相關功能配置以及大量此議題相關的網路資料。
六:總結
通過以上的統一認證流程,使用者只需按照正常的域登入操作,即可同時完成802. 1x 接入認證和Windows
域登入認證,達到了統一認證和單點登入的目的。在應用Windows 域與802. 1x
統一認證方案後,企業內部網路的安全性極大增強。具體來說,實現Windows 域與802. 1x 統一認證有以下優點:
(1) 結合交換機Guest VLAN功能,增強了網路接入的安全性,有效杜絕了非法使用者接入,實現了對非法使用者的物理隔離。
(2) 透明的統一認證流程與通常的域認證過程完全一致,無需附加認證過程。
(3) 實現了網路接入與Windows 域的單點登入,方便使用者的使用與操作,減少使用者同時記憶兩套使用者名稱與密碼的煩瑣。
(4) 實現使用者密碼的統一、集中維護(由域控制器維護),提高了使用者密碼安全性。
Windows域與802.1X協議統一認證解決方案 【課程星級】★★★★★ 【實驗名稱】Windows域與802.1X協議統一認證解決方案 【實驗目的】使管理人員瞭解Windows域與802.1X協議結合進行統一認證的配置方法。 【背景描述】 隨著區域網的迅速發展,辦公使用者的網路安全問題日益突出。目前,各企業面臨的安全威脅之一就是外圍裝置非法接入到內部網路後的破壞性***行為。在許多企業的IT 管理過程中,往往注重對來自因特網的外部威脅防禦,忽略了來自內部的非法訪問威脅。 這種威脅在大中型企業的IT 環境中影響尤其明顯。因此,建立內部網路接入防禦體系勢在必行。很多企事業單位已經建立了基於Windows域的資訊管理系統,通過Windows域管理 使用者訪問許可權和應用執行許可權。然而,基於Windows的許可權控制只能作用到應用層,而無法實現對使用者的物理訪問許可權的控制,比如對網路接入許可權的控制, 非法使用者可隨意接入使用者網路,這就給企業網的網路和應用安全帶來很多隱患。為了更加有效地控制和管理網路資源,提高網路接入的安全性,很多政府和企業網路 的管理者希望通過802.1x認證實現對接入使用者的身份識別和許可權控制。 通過802.1x 協議和活動目錄技術相結合的方案,來實現裝置接入的合法驗證和管理。只有通過了內部域使用者驗證的計算機才能正常進行網路通訊,否則其接入埠資料將被阻隔。 下面我們就來看一下Windows域與802.1X協議統一認證解決方案的實現過程。 【實驗拓撲】 實驗環境說明:本實驗需要用到Windows 2003 Server,並且在Windows 2003 Server安裝DNS、AD、DHCP、CA、IAS等元件,並且要求交換機支援802.1X協議與Guest VLAN功能。 本文詳細地記錄了配置Windows 2003 Server和交換機每一個步驟的實現過程,併力求層次清晰。但還是希望沒有接觸過Windows 2003 Server的讀者瞭解Windows 2003 ServerDNS、 AD、DHCP、CA和IAS的相關知識,請參考相關書籍和網站。
此處選擇“新域的域控制器”,使此計算機作為此域的域控制器(DC)。
此處選擇“在新林中的域”。
輸入“test.com”作為新建域的域名。
設定NetBIOS域名,此處使用預設的“TEST”。
設定資料庫和日誌檔案的儲存路徑,此處選擇預設設定。
設定共享的系統卷,此處使用預設設定。
DNS註冊診斷,由於此伺服器還沒有安裝DNS伺服器元件,因此顯示診斷失敗,這裡選擇“在這臺計算機安裝並配置DNS伺服器,並將這臺DNS伺服器設為計算機的首選DNS伺服器”。
設定使用者和組物件的預設許可權,此處選擇預設設定。
設定目錄還原模式的管理員密碼。
開始安裝和配置活動目錄。
活動目錄安裝完畢。
點選“立即重新啟動”,重啟windows 2003 server。
2. 安裝並配置windows 2003 server DHCP伺服器
進入控制面板介面。
選擇“新增或刪除程式”。
選擇“新增/刪除windows元件”。
選中“網路服務”,點選“詳細資訊”。
選擇“動態主機配置協議(DHCP)”。
進行DHCP元件的安裝。
完成安裝。
在windows 2003 server 管理工具中選擇DHCP。
這臺DHCP伺服器未經授權,不能為網路中的計算機提供服務,因此要對此DHCP伺服器進行授權。
右鍵點選“DHCP”,選擇“管理授權的伺服器”。
輸入DHCP的IP地址。
確認授權。
重新啟動DHCP服務以後,DHCP伺服器附帶的狀態標識由紅色的向下的箭頭轉換為綠色的向上的箭頭,說明DHCP伺服器已經成功授權。
右鍵單擊DHCP伺服器,選擇“新建作用域”。
輸入作用域名稱。
輸入各項引數。
新增預設閘道器的IP地址。
選擇現在啟用作用域。
完成新建域嚮導。
右鍵單擊“作用域選項”,選擇“配置選項”。
選中“DNS”伺服器,新增192.168.0.254和192.168.0.1兩個地址。
這樣就完成了DHCP伺服器的配置工作。
3. 安裝並配置證書伺服器(CA)
IEEE
802.1X在允許網路客戶端訪問網路之前使用EAP來對其進行身份驗證。EAP最初設計用於點對點協議(PPP)連線,它允許使用者建立任意身份驗證模式
來驗證網路訪問。請求訪問的客戶端和進行身份驗證的伺服器必須首先協商特定EAP身份驗證模式(稱為EAP型別)的使用。在就EAP型別達成一致之
後,EAP允許訪問客戶端和身份驗證伺服器(通常是一個RADIUS伺服器)之間進行無限制的對話。
在基於802.1X的認證協議中,我們採用的是PEAP(Protected Extensible Authentication Protocol)的驗證方式。這是一種基於密碼的驗證協議,可以幫助企業實現簡單、安全的驗證功能。
PEAP是一種EAP型別,它首先建立同時被加密和使用傳輸層安全(TLS)來進行完整性保護的安全通道。然後進行另一種EAP型別的新的
EAP協商,從而對客戶端的網路訪問嘗試進行身份驗證。由於TLS通道保護網路訪問嘗試的EAP協商和身份驗證,因此可以將通常容易受到離線字典***的基
於密碼的身份驗證協議可用於在安全的網路環境中執行身份驗證。
PEAP是一種通過TLS來進一步增強其它EAP身份驗證方法安全性的身份驗證機制。面向Microsoft
802.1X身份驗證客戶端的PEAP提供了針對TLS(PEAP-TLS,同時在伺服器身份驗證過程與客戶端身份驗證過程中使用證書)與
Microsoft質詢握手身份驗證協議2.0版(PEAP-MS-CHAP
v2,在伺服器身份驗證過程中使用證書,而在客戶端身份驗證過程中使用基於口令的授權憑證。若客戶端希望對網路進行認證,必須下載證書)的支援能力。
MS-CHAP v2是一種基於密碼的質詢-響應式相互身份驗證協議,使用工業標準的“資訊摘要 4(Message Digest
4,MD4)”和資料加密標準(Data Encryption
Standard,DES)演算法來加密響應。身份驗證伺服器質詢接入客戶端,然後接入客戶端又質詢身份驗證伺服器。如果其中任一質詢沒有得到正確的回答,
連線就被拒絕。
通過上面的介紹,我們可以得出結論:不管對無線連線使用哪種身份驗證方法(PEAP-TLS 或 PEAP-MS-CHAP v2),都必須在 IAS 伺服器上安裝計算機證書。
安裝一種證書服務即指定一個證書頒發機構
(CA),證書可以從第三方的CA機構獲取,比如VeriSign,或者從企業內部的CA機構頒發。這兩種方案在傳統意義上都是可行的,但是對於小型企業
來說並不現實,因為小型企業不願意每年花很多額外的錢購買第三方認證機構的證書,因此可以考慮在企業內部自己架設 CA伺服器。
我們這裡採取的是在IAS伺服器和客戶端上都需要安裝證書,以完成雙方的互相認證。客戶端通過web從CA上下載證書,首先需要安裝IIS。
在“windows元件嚮導”選擇“應用程式伺服器”,點選“詳細資訊”。
完成IIS服務安裝。接下來安裝證書服務。
在“windows元件嚮導”選擇“證書服務”,點選“詳細資訊”。
點選是,選中“證書服務”和“證書服務Web註冊支援”。
選擇“企業根CA”。
輸入CA公鑰名稱。
出現生成公鑰過程,並提示設定證書資料庫。
完成CA的安裝。 4. 安裝IAS伺服器
在“新增/刪除Windows元件”中,選擇“網路服務”,單擊“詳細資訊”
選擇“Internet驗證服務”,單擊“確定”。
然後返回原對話方塊,點選“下一步”。
點選完成按鈕。
接下來開始為IAS伺服器申請證書,如果將DC(域控制器)和IAS伺服器安裝在同一臺計算機上,DC會自動為此IAS伺服器頒發一個證書。為了使大家明白IAS伺服器計算機證書的安裝過程,特給大家進行演示操作。
在IAS伺服器上點選“開始”----“執行”,輸入“mmc”,點選“確定”。
在控制檯上,選擇“檔案”----“新增/刪除管理單元”。
在控制檯根節點下點選“新增”按鈕。
在新增獨立管理單元選擇“證書”,點選新增按鈕。
選擇“計算機帳戶”,點選“下一步”。
選擇“本地計算機”,點選“完成”。
點選確定。
在控制檯根節點下,展開“證書”,右鍵單擊“個人”----“所有任務”----“申請新證書”。
證書型別選擇“域控制器”。
輸入證書的名稱。
完成IAS伺服器證書的申請。
提示證書申請成功。
在控制檯根節點下,檢視個人證書,可以看到剛才申請的證書,以及自動為此計算機頒發的證書。
5. 建立域使用者帳戶
進入活動目錄使用者和計算機。
右鍵單擊“test.com”選擇“新建”----“使用者”。
建立一個登入名為“liming”的使用者帳戶。
為“liming”這個賬戶建立密碼,選擇“使用者不能更改密碼”。
建立使用者帳戶完成。
右鍵單擊新建的“liming”使用者帳戶,選擇“屬性”。
在“撥入”選項卡中“遠端訪問許可權”賦予此使用者“允許訪問”許可權,點選“應用”。
在“隸屬於”選項卡,可以看到這個賬戶屬於“Domain Users”這個使用者組。
6. 配置IAS伺服器
如果使用者是利用活動目錄內的使用者帳戶來連線網路,則IAS伺服器必須向域控制器詢問使用者帳戶的資訊,才能決定使用者是否有權連線。首先必須將IAS伺服器註冊到活動目錄中,IAS伺服器才能夠讀取活動目錄的使用者帳戶資訊。
選擇“Internet驗證服務”。
右擊“Internet驗證服務(本地)”,選擇“在Active Directory中註冊伺服器”。
接下來配置IAS伺服器,包括配置IAS客戶端和遠端訪問策略。
輸入客戶端的名稱和IP地址。注意:這裡的客戶端指的是交換機。
客戶端供應商這裡選擇的是“RADIUS Standard”,“共享機密”指的是IAS伺服器和交換機上設定的預共享金鑰。只有雙方金鑰相同時,IAS伺服器才會接受RADIUS客戶端傳來的驗證、授權和記賬請求。此處金鑰區分大小寫。
RADIUS客戶端建立完成後,出現如上的顯示。
然後新建遠端訪問策略。
選擇“lan access”,右鍵“屬性”。
選擇“編輯配置檔案”。
高階選項卡里面的高階屬性型別如上。
確保此策略“授予遠端訪問許可權”,點選“確定”完成IAS伺服器配置。
二.配置DES-3526交換機
“config vlan default delete 1-26” 將1-26 埠從預設的VLAN刪除
“create vlan v10 tag 10” 建立VLAN 10,名稱:v10
“create vlan v20 tag 20” 建立VLAN 20,名稱:v20
“config vlan v10 add untagged 1-16” 將交換機的1-16埠以非標籤的形式新增到V10 裡面
“config vlan v20 add untagged 17-26” 將交換機的17-26埠以非標籤的形式新增到V20 裡面
將交換機的IP地址改為192.168.0.250,並將它指定到V10裡面。PC要進行認證,IAS
伺服器和交換機之間必須是能夠進行正常通訊的。我們將IAS伺服器放在V10裡面,交換機的IP 地址在預設情況下是屬於default VLAN
的,必須將它指定到V10裡面。
預設情況下,交換機的802.1X協議時關閉的,可以使用“enable 802.1x”命令來啟用它。建立Guest VLAN,將V10指定為Guest VLAN,然後將交換機的1-16埠的Guest VLAN功能開啟。
將交換機的第1-8 埠設定為需要認證的埠,連線到這些埠的計算機必須通過認證才能夠接入網路,否則只能夠與同在Guest VLAN裡面的計算機進行通訊。
使用“config radius add 1 192.168.0.254 key 123456 default”將IP地址為192.168.0.254的認證伺服器(IAS伺服器)新增到交換機,交換機接收到認證請求資訊之後將把認證請求傳送到認證伺服器上。
命令中的引數“1”表示的是RADIUS伺服器的序號;引數“123456”是交換機和認證伺服器之間通訊時的預共享祕鑰,雙方設定必須一致;
預設情況下“1812”和“1813”是UDP協議用的兩個埠,“1812”是認證埠,“1813”是計費埠,這兩個埠設定交換機和認證伺服器雙
方也要一致,這裡使用交換機預設配置。
以上就完成了交換機的配置。
三. 配置客戶端
將一臺計算機接入到交換機的第一個埠,然後設定此計算機加入到前面新建的test.com域。
在計算機桌面上,右鍵單擊“我的電腦”,選擇“屬性”。
點選“更改”按鈕。
在隸屬於下面的“域”填入新建的test.com。
輸入域管理員帳號和密碼。
提示已經加入test.com域,然後重新啟動計算機。
計算機重新啟動以後,使用“liming”來進行登入到test域中。
登入到域以後,通過WEB方式從CA上下載數字證書。
在瀏覽器中輸入:192.168.0.254/certsrv,在彈出的對話方塊中輸入使用者名稱和密碼。
選擇“申請一個證書”。
選擇使用者證書。
點選“提交”。
點選“是”申請證書。
點選“安裝此證書”。
點選“是”。
顯示證書已經成功安裝。
接下來設定身份驗證屬性。
我的電腦,右鍵單擊“屬性”。
此計算機的OS 版本是Windows XP SP 3。
Wired Autoconfig 服務是在乙太網口上執行IEEE 802.1x 身份認證,而Service
Pack3 預設將XP 的Wired Autoconfig 的啟動型別設定為手動,所以需要更改為
自動並確保該服務的狀態是啟動。方法如下:
控制面板中選擇“管理工具”。
選擇“服務”。
啟動型別選擇“自動”,點選“啟動”按鈕。
注意:以上問題在windows xp sp2上不存在。
本地連線屬性選擇“身份驗證”選項卡。
網路身份驗證方法選擇“受保護的EAP”,點選“設定”按鈕。
勾選“驗證伺服器證書”,“連線到這些伺服器”中的內容為空。在“受信任的證書頒發機構”中選擇“lan”,這是我們建立的CA伺服器的名稱。在通過身份驗證以後,客戶端會自動在“連線到這些伺服器”填入伺服器的名稱。
在“選擇身份驗證方法”中選擇“安全的密碼(EAP-MSCHAP v2)”,然後點選“配置”
勾選“自動使用Windows登入名和密碼”,這樣使用者在登入的時候只需要輸入一次域的使用者帳戶和密碼就可以完成域和802.1X的雙重認證。
回到原對話方塊,點選“確定”完成身份驗證的設定,彈出下面的資訊:
點選彈出的資訊,出現下面的對話方塊。 
點選“檢視伺服器證書”。
狀態為“該證書沒有問題”,在驗證完伺服器的證書後,客戶端會自動將此資訊新增到“連線到這些伺服器”裡面,以便下次進行自動驗證。使用者就不會再重複確認上面的資訊了。
以上就完成了對客戶端的設定。
四:配置驗證
在完成了以上三個部分的配置以後,下面我們來測試一下配置效果
在使用者登過程中,交換機的顯示資訊如下(使用者計算機連線到交換機第1個埠):
客戶端已經連線,還沒有開始認證。
客戶端正在進行認證。
客戶端沒有通過認證時的VLAN埠情況。
客戶端已經通過認證。
客戶端通過認證以後,交換機會自動把客戶端所連線的埠1劃分到V20裡面。這樣客戶端計算機就可以通過路由器接入到Internet了。
通過上面的測試我們可以得出如下結論:
沒有通過認證前,客戶端屬於Guest VLAN(V10),只能與Windows 2003 server通訊。在通過認證以後,客戶端屬於所指定的V20,也就可以通過路由器訪問Internet了。以上證明前面的配置是正確的。
五:注意事項
1. 客戶端的IP地址設定為自動獲取,這樣客戶端可以自動從Windows 2003伺服器提供DHCP獲取IP地址。
2. 使用 MS-CHAPv2,可以配置使用者計算機,使用 Windows Domain 的使用者名稱和密碼來進行 802.1X
登入。當用戶完成 Windows 登入, Windows 會自動開始 802.1X MS-CHAPv2 對交換機埠做認證。注意:必須將 AD
放在 Guest VLAN, 所以在埠未認證前,使用者仍能登入網域。
3. 使用域的賬戶和密碼登入到域中時,可能有時候計算機的某些設定不允許普通的域使用者進行修改,例如SP3中的啟動802.1X身份驗證功能等,這就需要賦予域使用者更多的對登入計算機操作的許可權。請參考微軟的相關資料。
4. 文件中的配置參考了大量的微軟官方網站的資料,主要資料連結如下:
[url]http://www.microsoft.com/china/technet/security/guidance/secmod163.mspx[/url](使用 802.1X 實現無線 LAN 安全性)
[url]http://www.microsoft.com/china/technet/prodtechnol/winxppro/deploy/ed80211.mspx[/url](使用 Microsoft Windows 的安全 802.11 網路企業部署)
此外還包括Windows 2003 server的相關功能配置以及大量此議題相關的網路資料。
六:總結
通過以上的統一認證流程,使用者只需按照正常的域登入操作,即可同時完成802. 1x 接入認證和Windows
域登入認證,達到了統一認證和單點登入的目的。在應用Windows 域與802. 1x
統一認證方案後,企業內部網路的安全性極大增強。具體來說,實現Windows 域與802. 1x 統一認證有以下優點:
(1) 結合交換機Guest VLAN功能,增強了網路接入的安全性,有效杜絕了非法使用者接入,實現了對非法使用者的物理隔離。
(2) 透明的統一認證流程與通常的域認證過程完全一致,無需附加認證過程。
(3) 實現了網路接入與Windows 域的單點登入,方便使用者的使用與操作,減少使用者同時記憶兩套使用者名稱與密碼的煩瑣。
(4) 實現使用者密碼的統一、集中維護(由域控制器維護),提高了使用者密碼安全性。