使用Windows的安全802.11网络企业部署二
出处:本站收集于网络 作者:请作者联系 时间:2006-3-21 23:29:00
步骤 7:在无线客户端计算机上安装用于 EAP-TLS 的计算机证书
对于使用 EAP-TLS 的计算机身份验证,您必须在无线客户端计算机上安装一个计算机证书。
为了在运行 Windows Server 2003、Windows XP 或 Windows 2000 的无线客户端计算机上安装计算机证书,请使用一个 Ethernet 端口连接到公司 intranet,然后执行以下操作:
如果为域配置了计算机证书自动注册,属于该域成员的每台计算机都会在计算机“组策略”被刷新时请求一个计算机证书。 为了强制运行 Windows Server 2003 或 Windows XP 的计算机刷新一次计算机“组策略”,可重新启动计算机,或在命令提示符下键入 gpupdate /target:computer。 为了强制运行 Windows 2000 的计算机刷新一次计算机“组策略”,可重新启动计算机,或在命令提示符下键入 secedit /refreshpolicy machine_policy。
如果没有给域配置计算机证书自动注册,您可以使用“证书”管理单元来申请一个“计算机”证书,或者可以执行一个 CAPICOM 脚本来安装计算机证书。
企业组织的信息技术 (IT) 部门可以在将计算机(通常是便携式计算机)交付给用户之前安装计算机证书。
有关 CAPICOM 的信息,请在以下站点上搜索“CAPICOM”: http://msdn.microsoft.com/.
步骤 8:在无线客户端计算机上安装用于 EAP-TLS 的用户证书
对于使用 EAP-TLS 的用户身份验证,您必须使用本地安装的用户证书或智能卡。本地安装的用户证书必须通过以下方式来获得:自动注册、Web 注册、使用“证书”管理单元来申请证书、导入证书文件,或者运行一个 CAPICOM 程序或脚本。
最容易的用户证书安装方法假定网络连接总是存在,比如使用一个 Ethernet 端口。 当用户连接到 inranet 时,他们能够通过自动注册或者使用 Web 注册或证书管理器来提交一个用户证书申请,从而获得一个用户证书。 有关申请用户证书的更多信息,请参见本节中的“通过 Web 提交用户证书申请”和“申请证书”过程。
或者,用户可以运行网络管理员提供的 CAPICOM 程序或脚本。 CAPICOM 程序或脚本的执行可以通过用户登录脚本来自动化。
如果已经配置了用户证书自动注册,那么无线用户必须更新“用户配置组策略”来获得用户证书。
如果没有使用用户证书自动注册,可使用以下过程之一来获得用户证书。
通过 Web 提交用户证书申请
1.打开 Internet Explorer。
2.在 Internet Explorer 中,连接到 http://servername/certsrv,其中 servername 是您想要访问的 CA 所在的 Windows 2000 Web 服务器的名称。
3.单击申请一个证书,然后单击下一步。
4.在选择证书类型网页上,在用户证书申请下面,选择您想要申请的证书类型,然后单击下一步。
5.从识别信息网页上执行以下操作之一:
如果您看到消息“已经收集到所有需要的信息。 现在可以提交您的申请”,请单击提交。
输入您的证书申请的识别信息,然后单击提交。
6.如果您看到已颁发的证书网页,请单击安装此证书。
7.关闭 Internet Explorer。
申请一个证书
1.打开一个包含证书-当前用户的 MMC 控制台。
2.在控制台树中,右键单击个人,指向所有任务,然后单击申请新证书来启动“证书申请向导”。
3.在“证书申请向导”中,请选择以下信息:
想要申请的证书类型。
如果已经选中高级复选框:
您正在使用的加密服务提供程序 (CSP)。
与该证书关联的公钥的密钥长度(以位为单位)。
不要启用强私钥保护。
如果有多个 CA 可用,则选择将颁发证书的 CA 的名称。
4.为新证书键入一个好记的名称。
5.在“证书申请向导”成功完成之后,单击确定。
基于软盘的安装
另一种安装用户证书的方法是将用户证书导出到软盘上,然后再将它从软盘导入到无线客户端计算机上。 对于基于软盘的注册,请执行以下操作:
1.通过基于 Web 的注册从 CA 获得无线客户端的用户帐户的用户证书。 有关更多信息,请参见前面描述的“通过 Web 提交用户证书申请”过程。
2.将无线客户端的用户帐户的用户证书导出到一个 .pfx 文件。 有关更多信息,请参见本节中的“导出证书”过程。 在“证书管理器导出向导”中,导出私钥并选中如果导入成功,则删除该私钥。 将此文件保存到软盘,并将其交付给无线客户端计算机的用户。
3.在无线客户端计算机上导入用户证书。 有关更多信息,请参见本节中的“导入证书”过程。
导出证书
1.打开包含证书 – 当前用户的 MMC 控制台。
2.打开个人,然后打开证书。
3.在详细信息窗格中,右键单击您想要导出的证书,指向所有任务,然后单击导出。
4.在“证书导出向导”中,单击是,导出私钥。 (仅当私钥被标记为可导出的,并且您拥有私钥访问权限,这个选项才会出现。) 单击下一步。
5.选择个人信息交换 – PKCS (.PFX)作为导出文件格式,然后单击下一步。
6.在密码页面上,在密码和确认密码中键入密码来保护证书中的私钥,然后单击下一步。
7.在要导出的文件页面上,键入证书文件名或单击浏览来指定证书文件的名称和位置。 单击下一步。
8.在正在完成证书导出向导页面上,单击完成。
导入证书
1.打开包含证书 – 当前用户的 MMC 控制台。
2.打开个人,然后打开证书。
3.在详细信息窗格中,右键单击您想要导入的证书,指向所有任务,然后单击导入。
4.键入包含将要导入的证书的文件名。 (也可以单击浏览并导航到该文件。)
5.如果这是一个 PKCS #12 文件,请执行以下操作:
键入用于加密私钥的密码。
(可选)如果希望能够使用强私钥保护,请选中启用强私钥保护复选框。
(可选)如果希望在以后备份或传输密钥,请选中将密钥标记为可导出的复选框。
6.执行以下操作之一:
如果应该基于证书类型自动将证书放到某个证书存储区,请选择根据证书类型,自动选择证书存储区。
如果想要指定证书的存储位置,请选择将所有的证书放入下列存储区,然后单击浏览,选择要使用的证书存储区。
步骤 9:配置用于 EAP-TLS 的无线客户端
如果已经为无线网络配置了“无线网络 (IEEE 802.11) 策略组策略”设置并指定使用 EAP-TLS 身份验证(智能卡或其他证书 EAP 类型),那么运行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的无线客户端就不需要其他配置。
为了在运行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的无线客户端上配置 EAP-TLS 身份验证,请执行以下操作:
1.在“网络连接”文件夹中获得无线连接的属性。 单击无线网络选项卡,然后单击首选网络列表中的无线网络名称,再单击属性。
2.单击身份验证选项卡,选择启用使用 IEEE 802.1X 的网络访问控制和智能卡或其他证书 EAP 类型。 这个选项是默认启用的。
3.单击属性。 在智能卡或其他证书 EAP 类型的属性中,选择在此计算机上使用证书来使用基于注册表的用户证书,或选择使用我的智能卡来使用基于智能卡的用户证书。
如果想要验证 IAS 服务器的计算机证书,请选择验证服务器证书(默认是启用的)。 如果想要指定必须执行验证的身份验证服务器的名称,请选择连接到这些服务器并键入名称。
4.单击确定,以将更改保存到智能卡或其他证书 EAP 类型。
为了在不带 Service Pack 的 Windows XP 无线客户端上配置 EAP-TLS 身份验证,请执行以下操作:
1.在“网络连接”文件夹中获得无线连接的属性。 单击身份验证选项卡,然后选择启用使用 IEEE 802.1X 的网络访问控制和智能卡或其他证书 EAP 类型。 这个选项是默认启用的。
2.单击属性。 在智能卡和其他证书 EAP 类型的属性中,选择在此计算机上使用证书。
如果想要验证 IAS 服务器的计算机证书,请选择验证服务器证书(默认是启用的)。
如果想要确保服务器的 DNS 名称以特定的字符串结尾,请选择服务器名称结尾为如下时,才连接 ,并键入该字符串。 对于使用多个 IAS 服务器的典型部署,请键入所有 IAS 服务器共有的 DNS 名称部分。 例如,如果有两个分别名为 AS1.example.microsoft.com 和 IAS2.example.microsoft.com 的 IAS 服务器,则键入字符串“example.microsoft.com”。 请确保键入正确的字符串,否则,身份验证将会失败。
3.单击确定来将更改保存到智能卡或其他证书 EAP 类型。
为了在运行 Windows 2000 SP4 的无线客户端上配置 EAP-TLS 身份验证,请执行以下操作:
1.在“网络连接”文件夹中获得无线连接的属性。 单击身份验证选项卡,然后选择启用使用 IEEE 802.1X 的网络访问控制和智能卡或其他证书 EAP 类型。 这个选项是默认启用的。
2.单击属性。 在智能卡或其他证书 EAP 类型的属性中,选择在此计算机上使用证书来使用基于注册表的用户证书,或者选择使用我的智能卡来使用基于智能卡的证书。
如果想要验证 IAS 服务器的计算机证书,请选择验证服务器证书(默认是启用的)。 如果想要指定必须执行验证的身份验证服务器的名称,请选择连接到这些服务器 ,并键入名称。
3.单击确定来将更改保存到智能卡或其他证书 EAP 类型。
步骤 10:配置用于 PEAP-MS-CHAP v2 的无线客户端计算机
如果已经为无线网络配置了“无线网络 (IEEE 802.11)策略组策略”设置并指定使用 PEAP-MS-CHAP v2 身份验证(带受保护的密码 (EAP-MSCHAP v2) 方法的“受保护的 EAP (PEAP) 类型),那么运行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的无线客户端不需要其他配置。
为了在运行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的无线客户端上手动配置 PEAP-MS-CHAP v2 身份验证,请执行以下操作:
1.在“网络连接”文件夹中获得无线连接的属性。 单击无线网络选项卡,单击首选网络列表中的无线网络名称,然后单击属性。
2.单击身份验证选项卡,选择启用使用 IEEE 802.1X 的网络访问控制和受保护的 EAP EAP 类型。
3.单击属性。 在受保护的 EAP 属性 对话框中,选择验证服务器证书来验证 IAS 服务器的计算机证书(默认是启用的)。 如果想要指定必须执行验证的身份验证服务器的名称,请选择连接到这些服务器并键入名称。 在选择身份验证方法中,单击 受保护的密码 (EAP-MSCHAP v2)。
为了在运行 Windows 2000 SP4 的无线客户端上配置 PEAP-MS-CHAP v2 身份验证,请执行以下操作:
1.在“网络连接”文件夹中获得无线连接的属性。
2.单击身份验证选项卡,选择启用使用 IEEE 802.1X 的网络访问控制和受保护的 EAP EAP 类型。
3.单击属性。 在受保护的 EAP 属性对话框中,选择验证服务器证书来验证 IAS 服务器的计算机证书(默认是启用的)。 如果想要指定必须执行验证的身份验证服务器的名称,请选择连接到这些服务器并键入名称。 在选择身份验证方法中,单击受保护的密码 (EAP-MSCHAP v2)。
注意默认情况下,PEAP-MS-CHAP v2 身份验证使用 Windows 登录凭据来进行无线身份验证。 如果连接到使用 PEAP-MS-CHAP v2 的无线网络,并且您想指定不同的凭据,请单击配置并清除自动使用我的 Windows 登录名和密码复选框。
虽然 Windows XP SP1、Windows XP SP2、Windows Server 2003 和 Windows 2000 SP4 的受保护的 EAP 属性对话框有一个启用快速重连接复选框,但是 Windows 2000 中的 IAS 不支持快速重连。 Windows Server 2003 中的 IAS 支持快速重连。
如果安装在 IAS 服务器上的计算机证书的颁发者的根 CA 证书已经在无线客户端上安装为 CA 证书安装,则不需要其他配置。 如果颁发 CA 是一个 Windows 2000 Server 或 Windows Server 2003 联机根企业 CA,那么根 CA 证书将通过计算机配置“组策略”自动安装在每个域成员上。
要检验这点,可使用“证书”管理单元来获得 IAS 服务器上的计算机证书的属性,并从证书路径选项卡上查看证书链。 位于该路径顶部的证书就是根 CA 证书。 使用每种 Windows 操作系统的无线客户端的“证书”管理单元,确保这个证书在 Certificates (Local Computer)\Trusted Root Certification Authorities\Certificates 文件夹中的受信任的根证书颁发机构的列表中。
如果不在,您必须在没有包含它们的每种 Windows 操作系统无线客户端上安装 IAS 服务器的计算机证书的颁发者的根 CA 证书。
在无线客户端上安装根 CA 证书的最容易办法是执行以下过程:
1.在 IAS 服务器上使用“证书”管理单元,将 IAS 服务器上的计算机证书的颁发 CA 的根 CA 证书导出到一个文件(*.PB7)。 您可以在 Certificates (Local Computer)\Trusted Root Certification Authorities\Certificates 文件夹中找到根 CA 证书。
2.打开“Active Directory 用户和计算机”管理单元。
3.在控制台树中双击 Active Directory 用户和计算机,右键单击相应的域系统容器,然后单击属性。
4.在组策略选项卡上,单击相应的“组策略”对象(默认的对象是默认域策略),然后单击编辑。
5.在控制台树中,依次打开计算机配置、Windows 设置、安全设置和公钥策略。
6.右键单击受信任的根证书颁发机构,然后单击导入。
7.在“证书导入向导”中,指定步骤 1 中保存的文件。
8.对所有相应的系统容器重复步骤 3 至 7。
当无线客户端计算机下一次更新它们的计算机配置“组策略”时,IAS 服务器上的计算机证书的颁发 CA 的根 CA 证书将被安装到它们的本地计算机证书存储区中。
或者,您可以使用“证书”管理单元来将根 CA 证书导入每台无线客户端计算机上的 Certificates (Local Computer)\Trusted Root Certification Authorities\Certificates 文件夹。
附加 Intranet 无线部署配置
本节描述以下附加 intranet 部署配置:
用于业务合作伙伴的 Internet 访问
使用第三方 CA
跨林身份验证
使用 RADIUS 代理来扩展身份验证
用于业务合作伙伴的 Internet 访问下面是与如今使用的大多数无线 AP 接收“RADIUS 访问-接受”和“访问-拒绝”消息有关的行为:
当无线 AP 接收到一条“访问-接受”消息时,连接将被允许。
当无线 AP 接收到一条“访问-拒绝”消息时,连接将被拒绝。
为了允许业务合作伙伴、供应商或其他非雇员使用相同的无线基础结构(雇员用来访问组织的 intranet 的无线基础结构)访问单独的网络,连接请求必须从 RADIUS 服务器获得一条“访问-接受”消息。 为了从 RADIUS 服务器获得“访问-接受”消息,您或者必须使用来宾访问,或者业务合作伙伴、供应商或其他非雇员必须拥有有效的帐户和证书。
使用来宾访问
当无线客户端在没有发送用户身份的情况下建立连接时,就是在进行来宾访问。 无线客户端没有向无线 AP 提供用户名或凭据。 因此,无线 AP 没有在“访问-请求”消息中包括用户身份(User-Name 属性)或凭据属性。 当 IAS 服务器接收到一条没有包含用户身份或凭据属性的“访问-请求”消息时,它将检验与该连接尝试相匹配的远程访问策略是否启用了未经身份验证的访问。 如果没有包括用户身份属性,IAS 服务器将使用“来宾”帐户来获得用户帐户拨入属性和组成员关系。 如果包括了用户身份属性,但是没有包括凭据属性,IAS 服务器将使用指定的帐户来获得用户帐户拨入属性和组成员关系。
在无线 AP 上通过使用 IP 筛选或 VLAN 来支持来宾访问客户端的受限制的网络访问。 为了给未经身份验证的访问指定虚拟 LAN 标识符,请配置相应远程访问策略的高级属性上的 Tunnel-Type 和 Tunnel-Pvt-Group-ID 属性。
有关对 IAS 进行未经身份验证的来宾访问的更多信息,请参见 Windows 2000 Server“帮助”或 Windows Server 2003“帮助和支持中心”。
使用经过验证的访问
对于业务合作伙伴、供应商或其他非雇员的经过验证的访问,您必须创建计算机和用户帐户,并向每个业务合作伙伴、供应商或其他非雇员颁发证书。 接下来以这些帐户作为成员来创建组,以便能够使用基于组的远程访问策略来管理访问。 例如,创建一个 WirelessInternetUsers,它包含业务合作伙伴、供应商或其他非雇员用户和计算机帐户的全局组。
若要配置用于业务合作伙伴、供应商或其他非雇员 Internet 访问的无线远程访问策略,可使用以下设置创建一个用于无线 Internet 访问的新的自定义远程访问策略:
策略名称:Internet 无线访问(示例)
条件:NAS-Port-Type=Wireless-Other 或 Wireless-IEEE 802.11, Windows-Groups=WirelessInternetUsers
权限:选择授予远程访问权限。
配置文件,身份验证选项卡:对 于 Windows 2000 IAS,选择可扩展身份验证协议和智能卡或其他证书 EAP 类型。 清除其他所有复选框。 如果计算机上安装了多个计算机证书,请单击配置,然后选择相应的计算机证书。
对于 Windows Server 2003 IAS,则清除其他所有复选框。 单击 EAP 方法并添加智能卡或其他证书 EAP 类型。 如果 IAS 服务器上安装了多个计算机证书,请单击编辑,然后选择正确的计算机证书。
配置文件,加密选项卡:如果无线 AP 支持 MS-MPPE-Encryption-Policy 和 MS-MPPE-Encryption-Types RADIUS 属性,则清除除最强加密之外的其他所有复选框。 这样将强制所有无线连接使用 128-位加密。 如果不支持这些属性,则清除除无加密之外的其他所有复选框。
配置文件,高级选项卡(如果无线 AP 支持 VLAN):
添加 Tunnel-Type 属性,值为“Virtual LANs (VLAN)”。
添加 Tunnel-Pvt-Group-ID 属性,值为连接到 Internet 的 VLAN 的 VLAN ID 值。
如果无线 AP 需要特定供应商的属性 (VSA),您必须将那些 VSA 添加到相应的远程访问策略。 有关更多信息,请参见前面描述的“为远程访问策略配置特定供应商的属性”过程。
使用第三方 CA
可以使用第三方 CA 来颁发用于无线访问的证书——只要所安装的证书能够被验证并具有适当的属性。
IAS 服务器上的证书
对于安装在 IAS 服务器上的证书,以下条件必须为真:
它们必须被安装在“本地计算机”证书存储区中。
它们必须具有对应的私钥。 当您使用“证书”管理单元来查看证书的属性时,应该会在常规选项卡上看到文本您有一个与该证书对应的私钥 。
证书的加密服务提供程序支持 SChannel。 如果不支持,IAS 服务器就不能使用该证书,并且它在远程访问策略配置文件属性的身份验证选项卡上的智能卡或其他证书 EAP 类型的属性中是不可选择的。
它们必须包含“服务器身份验证”证书目的(也称为“增强的密钥用途 [EKU]”)。 EKU 使用一个对象标识符 (OID) 来标识。 “服务器身份验证”的 OID 是“1.3.6.1.5.5.7.3.1”。
它们必须在“使用者备用名称”(Subject Alternative Name) 属性中包含 IAS 服务器的计算机帐户的完全合格的域名(FQDN)。
此外,颁发无线客户端计算机和用户证书的 CA 的根 CA 证书必须安装在 Certificates (Local Computer)\Trusted Root Certification Authorities\Certificates 文件夹中。
无线客户端计算机上的证书
对于安装在无线客户端计算机上的用户和计算机证书,以下条件必须为真:
它们必须拥有对应的私钥。
它们必须包含“客户端身份验证 EKU”(OID 为“1.3.6.1.5.5.7.3.2”)
计算机证书必须安装在“本地计算机”证书存储区中。
计算机证书必须在“使用者备用名称”属性中包含无线客户端计算机帐户的 FQDN。
用户证书必须安装在“当前用户”证书存储区中。
用户证书必须在“使用者备用名称”属性中包含用户帐户的通用主体名称 (UPN)。
此外,颁发 IAS 服务器计算机证书的 CA 的根 CA 证书还必须安装在 Certificates (Local Computer)\Trusted Root Certification Authorities\Certificates or Certificates (Current User)\Trusted Root Certification Authorities\Certificates 文件夹中。
配置代理服务器设置
第三方 CA(比如 VeriSign, Inc.)颁发的证书能够获得一个指向 Internet 网站的证书吊销列表 (CRL) 统一资源定位器 (URL)。 如果 IAS 服务器无法访问 Internet 网站来执行证书吊销检查,它就不能验证它自己的计算机证书(对于 EAP-TLS 和 PEAP-MS-CHAP v2 身份验证)或无线客户端的证书(对于 EAP-TLS 身份验证)。
许多企业网络使用代理服务器(比如 Microsoft Internet Security and Acceleration Server,即 ISA)来访问 Internet 服务。 代理服务器设置的配置通常是通过动态主机配置协议 (DHCP) 选项来完成的。 然而,许多 IAS 服务器具有静态的 IP 地址配置,因而可能没有正确配置用于访问 Internet 的适当代理服务器设置。 这样的结果是 IAS 服务器无法对它自己的本地计算机证书或无线客户端证书执行证书吊销检查,所有无线连接的身份验证都可能会失败。
为了给 IAS 服务器配置适当的代理服务器设置,以便它能访问 Internet 服务,请执行以下操作:
1.在 IAS 服务器上,使用具有本地管理员权限的帐户进行登录。
2.打开命令提示符窗口。
3.在命令提示符下键入 time 然后按回车键。
4.在输入新时间:提示下,按回车键。
5.在命令提示符下键入 at [time+1 minute]/interactive "cmd.exe",然后按回车键。 如果步骤 4中的当前时间是 13:31,该命令将是 at 13:32/interactive "cmd.exe"。
6.一分钟之后,一个新的命令提示符窗口将打开。 在这个命令提示符窗口中运行的命令将在本地系统安全上下文中执行。 IAS 也在本地系统安全上下文中运行。 因此,您必须在本地系统安全上下文中配置代理服务器设置,以使它们应用于 IAS。 否则,代理服务器设置将仅应用于在步骤 1 中用于登录 IAS 服务器的用户帐户。
7.在新的命令提示符内,键入 "%programfiles%\Internet Explorer\Iexplore.exe"(包括引号),然后按回车键。 这样将在本地系统安全上下文中打开 Internet Explorer。
8.单击工具,然后单击 Internet 选项。
9.单击连接选项卡,然后单击 LAN 设置。
10.在代理服务器中,选择为 LAN 使用代理服务器。
11.在地址中键入代理服务器的名称和 IP 地址,然后在端口中键入 Web 端口号(通常是 80)。 例如,如果代理服务器的名称是 CorpProxy,并且将端口 80 用于 Web 流量, 您需要在地址中键入 corpproxy,在端口中键入 80。
12.单击确定来保存代理服务器设置。
13.单击确定关闭 Internet 选项对话框。
14.关闭 Internet Explorer。
15.关闭步骤 6中打开的新的命令提示符窗口。
配置代理服务器设置的另一种方法是在步骤 6 打开的命令提示符窗口中使用 ProxyCfg.exe。ProxyCfg.exe 包括在 Windows Server 2003 中。若想获得适用于 Windows 2000 Server 的 ProxyCfg.exe 版本,请参见 830605 - The Proxycfg.exe configuration tool is available for WinHTTP 5.1. 有关如何使用 ProxyCfg.exe 的更多信息,请参见 ProxyCfg.exe, a Proxy Configuration Tool.
跨林身份验证
由于 IAS 使用 Active Directory 来验证凭据以及获得用户和计算机帐户属性,当无线客户端计算机和用户的用户和计算机帐户存在于如下身份验证数据库中时,必须在无线 AP 和 IAS 服务器计算机之间放置一个 RADIUS 代理:
两个不同的 Active Directory 林。
互不信任的两个域。
具有单向信任的两个不同域。
下面的讨论假定针对的是一个跨林配置。
当访问客户端发送用户凭据时,通常会包括一个用户名。 该用户名中包括两个元素:
用户帐户名称标识
用户帐户位置标识
例如,对于用户名称 user1@microsoft.com,user1 是用户帐户名称,microsoft.com 是用户帐户位置。 用户帐户位置标识被称为领域 (realm)。 领域名称有不同的形式:
领域名称可以是前缀。
对于 microsoft\user1,“microsoft”是 Windows NT 4.0 域的名称。
领域名称可以是后缀。
对于 user1@microsoft.com,“microsoft.com”或者是 DNS 域名,或者是基于 Active Directory 的域。
注意如果使用 PEAP-MS-CHAP v2 和 Windows NT 4.0 样式的用户名(例如,microsoft\user1),您不需要使用 RADIUS 代理。
在连接尝试的身份验证阶段用户名会从无线客户端传递到无线 AP。 这个用户名将成为无线 AP 发送到为它配置的 RADIUS 服务器的“访问-请求”消息中的 User-Name RADIUS 属性,在此配置中,该服务器是一个 RADIUS 代理。 当 RADIUS 代理接收到“访问-请求”消息时,RADIUS 代理上配置的规则或策略就会判断要向其转发“访问-请求”消息的 IAS 服务器。 图 2 显示了用于在两个不同 Active Directory 林中的无线 AP 和多个 IAS 服务器之间转发 RADIUS 消息的 IAS RADIUS 代理。
图 2 将 IAS RADIUS 代理用于跨林身份验证
下面的配置用于使用以下技术的组织:
Active Directory 域。
Active Directory 域包含每个 IAS 服务器验证用户凭据和评估授权所需要的用户帐户、密码和拨入属性。
每个林中至少两个 IAS 服务器。
至少在每个林中使用两个 IAS 服务器(一个主要的,一个辅助的)来为基于 RADIUS 的身份验证、授权和记帐提供容错。 如果只配置了一个 RADIUS 服务器,则在它不可用时,该林的访问客户端就不能连接。 通过至少使用两个 IAS 服务器和同时为主要和辅助 IAS 服务器配置 IAS RADIUS 代理,IAS RADIUS 代理就能够在主 RADIUS 服务器不可用时检测到这点,并自动故障转移到辅助 IAS 服务器。
远程访问策略。
远程访问策略配置用于根据组成员关系为用户指定不同类型的连接约束。
至少两个 IAS RADIUS 代理。
至少使用两个 IAS RADIUS 代理来为无线 AP 发出的 RADIUS 请求提供容错。
为了给这个示例配置 IAS,请完成以下步骤:
1.配置用于帐户和组的 Active Directory 林。
2.在第一个林中的某台计算机上配置主 IAS 服务器。
3.在第一个林中的另一台计算机上配置辅助 IAS 服务器。
4.在第二个林中的一台计算机上配置主 IAS 服务器。
5.在第二个林中的另一台计算机上配置辅助 IAS 服务器。
6.配置主 IAS RADIUS 代理。
7.配置辅助 IAS RADIUS 代理。
8.在无线 AP 上配置 RADIUS 身份验证和记帐。
Windows 2000 的 IAS 不支持 RADIUS 代理。 不过,您可以使用 Windows Server 2003 中的 IAS 来充当本配置中的 RADIUS 代理。 有关更多信息,请参见 Windows Server 2003“帮助和支持中心”中标题为“跨林身份验证”的主题。
为帐户和组配置 Active Directory 林
为了给用户帐户和组配置 Active Directory,请执行以下操作:
1.在每台 Windows 2000 域控制器计算机上安装 Windows 2000 SP4。
2.确保正在建立无线连接的所有用户都有对应的用户帐户。 确保正在建立无线连接的所有计算机都有对应的计算机帐户。
3.将用户和计算机帐户上的远程访问权限设定为适当的设置。
4.将帐户组织到相应的组中,以便利用基于组的远程访问策略。
在第一个林中的一台计算机上安装主 IAS 服务器。
为了在第一个林中的一台计算机上配置主 IAS 服务器,请执行以下操作:
1.如果使用 Windows 2000 IAS,则在第一个林中的一台计算机上将 IAS 安装为一个可选的网络组件,然后再安装 Windows 2000 SP4。 如果使用 Windows Server 2003 IAS,则在第一个林中的某台计算机上将 IAS 安装为一个可选的网络组件。
2.配置 IAS 服务器计算机,使其可以读取域中的用户帐户属性。
3.如果 IAS 服务器在对其他域中的用户帐户的连接尝试进行身份验证,则检验其他域是否与 IAS 服务器计算机所属的域具有双向信任关系。 接下来配置 IAS 服务器计算机,使其可以读取其他域中的用户帐户属性。
4.如果需要,则启用记帐和身份验证事件的日志记录。
5.将 IAS RADIUS 代理添加为 IAS 服务器的 RADIUS 客户端。 检验您是否在配置正确的名称或 IP 地址以及共享的机密。
6.为第一个林中的无线客户端创建适当的远程访问策略。
在第一个林中的另一台计算机上配置辅助 IAS 服务器
为了在第一个林中的另一台计算机上配置辅助 IAS 服务器,请执行以下操作:
1.如果使用 Windows 2000 IAS,则在第一个林中的另一台计算机上将 IAS 安装为一个可选的网络组件,然后再安装 Windows 2000 SP4。 如果使用 Windows Server 2003 IAS,则在第一个林中的另一台计算机上将 IAS 安装为一个可选的网络组件。
2.配置辅助 IAS 服务器计算机来读取域中的用户帐户属性。
3.如果辅助 IAS 服务器对其他域中的用户帐户的连接尝试进行身份验证,则检验其他域是否与 IAS 服务器计算机所属的域具有双向信任关系。 接下来,配置辅助 IAS 服务器计算机,使其可以读取其他域中的用户帐户属性。
4.将主 IAS 服务器的配置复制到辅助 IAS 服务器。
在第二个林中的一台计算机上配置主 IAS 服务器。
为了在第二个林中的一台计算机上配置主 IAS 服务器,请执行以下操作:
1.如果在使用 Windows 2000 IAS,则在第二个林中的一台计算机上将 IAS 安装为一个可选的网络组件,然后再安装 Windows 2000 SP4。 如果使用 Windows Server 2003 IAS,则在第二个林中的某台计算机上将 IAS 安装为一个可选的网络组件。
2.配置主 IAS 服务器计算机,使其可以读取相应的域系统容器中的用户帐户属性。
3.如果 IAS 服务器对其他域中的用户帐户的连接尝试进行身份验证,则检验其他域是否与 IAS 服务器计算机所属的域具有双向信任关系。 接下来,配置 IAS 服务器计算机,使其可以读取其他域中的用户帐户属性。
4.如果需要,则启用记帐和身份验证事件的日志记录。
5.将 IAS RADIUS 代理添加为 IAS 服务器的 RADIUS 客户端。 检验您是否在配置正确的名称或 IP 地址以及共享的机密。
6.为第二个林中的无线客户端创建相应的远程访问策略。
在第二个林中的另一台计算机上配置辅助 IAS 服务器
为了在第二个林中的另一台计算机上配置辅助 IAS 服务器,请执行以下操作:
1.如果在使用 Windows 2000 IAS,则在第二个林中的另一台计算机上将 IAS 安装为一个可选的网络组件,然后再安装 Windows 2000 SP4。 如果在使用 Windows Server 2003 IAS,则在第二个林中的另一台计算机上将 IAS 安装为一个可选的网络组件。
2.配置辅助 IAS 服务器来读取相应的域系统容器中的用户帐户属性。
3.如果辅助 IAS 服务器对其他域中的用户帐户的连接尝试进行身份验证,则检验其他域是否与 IAS 服务器所属的域具有双向信任关系。 接下来,配置辅助 IAS 服务器计算机,使其可以读取其他域中的用户帐户属性。
4.将第二个林中的主 IAS 服务器的配置复制到辅助 IAS 服务器。
配置主 IAS RADIUS 代理
为了配置主 IAS RADIUS 代理,请执行以下操作:
1.在一台运行 Windows Server 2003 的计算机上将 IAS 安装为一个可选的网络组件。 不要求将安装了 IAS 的计算机专用于转发 RADIUS 消息。 例如,您可以在一个文件服务器上安装 IAS。
2.如果需要,则为无线 AP 发送的 RADIUS 消息配置附加的 UDP 端口。 默认情况下,IAS 将 UDP 端口 1812 和 1645 用于身份验证,将端口 1813 和1646 用于记帐。
3.将无线 AP 添加为 IAS RADIUS 代理的 RADIUS 客户端。 检验您是否在配置正确的名称或 IP 地址以及共享的机密。
4.创建一个将 RADIUS 请求消息(它们基于第一个林中的帐户的领域名称)转发给第一个林中的 IAS 服务器的连接请求策略。 使用“新建连接请求策略向导”来创建一个连接请求策略,它将连接请求转发给一个远程 RADIUS 服务器组,这个组的领域名称与第一个林中的用户帐户的领域名称相匹配。 清除如下复选框,该复选框删除用于身份验证的领域名称。 在“新建连接请求策略向导”中,使用“新建远程 RADIUS 服务器组向导”来创建一个远程 RADIUS 服务器组,其成员包括第一个林中的两个 IAS 服务器。
5.创建一个将 RADIUS 请求消息(它们基于第二个林中的帐户的领域名称)转发给第二个林中的 IAS 服务器的连接请求策略。 使用“新建连接请求策略向导”来创建一个连接请求策略,它将连接请求转发给一个远程 RADIUS 服务器组,该组的领域名称与第二个林中的用户帐户的领域名称相匹配。 清除如下复选框,该复选框删除用于身份验证的领域名称。 在“新建连接请求策略向导”中,使用“新建远程 RADIUS 服务器组向导”来创建一个远程 RADIUS 服务器组,其成员包括第二个林中的两个 IAS 服务器。
6.删除名为对所有用户使用 Windows 身份验证的默认连接请求策略。
配置辅助 IAS RADIUS 代理
为了在另一台计算机上配置辅助 IAS RADIUS 代理,请执行以下操作:
1.在运行 Windows Server 2003 另一台的计算机上,将 IAS 安装为一个可选的网络组件。
2.将主 IAS RADIUS 代理的配置复制到辅助 IAS RADIUS 代理。
在无线 AP 上配置 RADIUS 身份验证和记帐。
使用以下设置来配置第三方无线 AP 上的 RADIUS 设置:
1.主 RADIUS 服务器的 IP 地址或名称、公共的共享机密、用于身份验证和计帐的 UDP 端口以及故障检测设置。
2.辅助 RADIUS 服务器的 IP 地址或名称、公共的共享机密、用于身份验证和计帐的 UDP 端口以及故障检测设置。
为了平衡两个 IAS RADIUS 代理之间的 RADIUS 流量, 可将带有主 IAS RADIUS 代理的那一半无线 AP 配置为主 RADIUS 服务器,将辅助 IAS RADIUS 代理配置为辅助 RADIUS 服务器;将带有辅助 IAS RADIUS 代理的另一半无线 AP 配置为主 RADIUS 服务器,将主 IAS RADIUS 代理配置为辅助 RADIUIS 服务器。
有关更多信息,请参见无线 AP 的文档。 有关 Enterasys 无线 AP 的信息,请参见 http://www.enterasys.com/. 有关 Cisco 访问点的信息,请参见 Cisco 主页: http://www.cisco.com/. 有关 Agere Systems 访问点的信息,请参见 Agere 的 ORiNOCO Web 站点: http://www.orinocowireless.com/.
使用 RADIUS 代理来扩展身份验证
当使用 EAP-TLS 和证书来对大量无线客户端执行身份验证时,让无线客户端保持连接所需要的身份验证流量可能相当高。 在大规模的部署中,最好尽量在多个 IAS 服务器计算机之间分布身份验证流量负载。 由于不能依靠无线 AP 一致或充分地在多个 IAS 服务器之间分布它们的身份验证流量,可以使用中级 IAS RADIUS 代理来提供这种服务。
如果没有 RADIUS 代理,每个无线 AP将把其 RADIUS 请求发送到一个或多个 RADIUS 服务器,并检测不可用的 RADIUS 服务器。 无线 AP 可能会、也可能不会在多个 RADIUS 服务器之间平衡 RADIUS 流量的负载。 通过使用 IAS RADIUS 代理,组织中的所有 IAS 服务器之间分布身份验证、授权和记帐流量负载将使用一致的负载平衡。 此外,还有用于故障检测和 RADIUS 服务器故障转移和故障恢复的一致方案。
下面的配置用于使用以下技术的组织:
Active Directory 域。
Active Directory 域包含每个 IAS 服务器验证用户凭据和评估授权所需要的用户帐户、密码和拨入属性。
多个 IAS 服务器。
为了平衡 RADIUS 身份验证、授权和记帐流量,可以使用多个 IAS 服务器。
远程访问策略。
远程访问策略配置用于根据组成员关系为用户指定不同类型的连接约束。
两个 IAS RADIUS 代理。
两个 IAS RADIUS 代理用于为无线 AP 发送的 RADIUS 请求提供容错。
图 3 显示了如何使用两个 IAS RADIUS 代理在多个 IAS 服务器之间平衡来自无线 AP 的 RADIUS 流量负载。
图 3 使用 IAS RADIUS 代理来平衡身份验证流量负载
为了配置此例的 IAS,请执行以下步骤:
1.配置用于用户帐户和组的 Active Directory 林。
2.在多台计算机上将 IAS 配置为 RADIUS 服务器。
3.配置主 IAS RADIUS 代理。
4.配置辅助 IAS RADIUS 代理。
5.在无线 AP 上配置 RADIUS 身份验证和记帐。
Windows 2000 的 IAS 不支持 RADIUS 代理。 不过,您可以在此例中使用 Windwos Server 2003 中的 IAS 来充当 RADIUS 代理。 有关更多信息,请参见 Windows Server 2003“帮助和支持中心”中标题为“将 IAS 代理用于负载平衡”的主题。
为用户帐户和组配置 Active Directory。
为了给用户帐户和组配置 Active Directory,请执行以下操作:
1.在每个 Windows 2000 域控制器计算机上安装 Windows 2000 SP4。
2.确保正在建立无线连接的所有用户都有对应的用户帐户。 确保正在建立无线连接的所有计算机都有对应的计算机帐户。
3.将用户和计算机帐户上的远程访问权限设定为相应的设置。
4.将帐户组织到相应的组中,以便利用基于组的远程访问策略。
在多台计算机上将 IAS 配置为 RADIUS 服务器。
为了在每台计算机上将 IAS 配置为 RADIUS 服务器,请执行以下过程:
1.如果在使用 Windows 2000 IAS,则将 IAS 安装为一个可选的网络组件,然后再安装 Windows 2000 SP4。 如果使用 Windows Server 2003 IAS,则将 IAS 安装为一个可选的网络组件。
2.配置每个 IAS 服务器,使其可以读取相应域系统容器中的用户帐户属性。
3.如果需要,则启用记帐和身份验证事件的日志记录。
4.将 IAS RADIUS 代理添加为 RADIUS 客户端。 检验您是否在配置正确的名称或 IP 地址以及共享的机密。
5.创建用于无线网络访问的相应远程访问策略。
配置主 IAS RADIUS 代理
为了配置主 IAS RADIUS 代理,请执行以下过程:
1.在一台运行 Windows Server 2003 的计算机上,将 IAS 安装为一个可选的网络组件。 在其上安装 IAS 的计算机不需要专用于转发 RADIUS 消息。 例如,您可以在文件服务器上安装 IAS。
2.如果需要,可为无线 AP 发送的 RADIUS 消息配置附加的 UDP 端口。 默认情况下,IAS 将 UDP 端口 1812 和 1645 用于身份了验证,将端口 1813 和 1646 用于记帐。
3.将无线 AP 添加为 IAS 服务器的 RADIUS 客户端。 检验您是否在配置正确的名称或 IP 地址以及共享的机密。
4.使用“新建远程 RADIUS 服务器组向导”来创建一个自定义的远程 RADIUS 服务器组。 将每个 IAS RADIUS 服务器添加为该远程 RADIUS 服务器组的成员,并将每个组成员的优先级配置为 1,将权重配置为 50(默认设置)。
5.创建一个连接请求策略,该策略将 RADIUS 请求消息转发到一个领域名称与域中的帐户相匹配的 IAS 服务器。 使用“新建连接请求策略向导”来创建一个连接请求策略,该策略将连接请求转发到一个领域名称与林中的用户帐户的领域名称相匹配的远程 RADIUS 服务器。 清除如下复选框,该复选框删除用于身份验证的领域名称。 选择前面创建的远程 RADIUS 服务器组作为向其转发连接请求的组。
6.删除名为对所有用户使用 Windows 身份验证的默认连接请求策略。
配置辅助 IAS RADIUS 代理。
为了在另一台计算机上配置辅助 IAS RADIUS 代理,请执行以下过程:
1.在运行 Windows Server 2003的另一台计算机上,将 IAS 安装为一个可选的网络组件组件。
2.将主 IAS RADIUS 代理的配置复制到辅助 IAS RADIUS 代理。
在无线 AP 上配置 RADIUS 身份验证和记帐
在第三方无线 AP 上配置下列 RADIUS 设置:
1.主 RADIUS 服务器的 IP 地址或名称、公共的共享机密、用于身份验证和记帐的 UDP 端口,以及故障检测设置。
2.辅助 RADIUS 服务器的 IP 地址或名称、公共的共享机密、用于身份验证和记帐的 UDP 端口,以及故障检测设置。
为了在两个 IAS RADIUS 代理之间平衡 RADIUS 流量负载,可将带有主 IAS RADIUS 代理的那一半无线 AP 配置为主 RADIUS 服务器,将辅助 IAS RADIUS 代理配置为辅助 RADIUS 服务器;将带有辅助 IAS RADIUS 代理的另一半无线 AP 配置为主 RADIUS 服务器,将主 IAS RADIUS 代理配置为辅助 RADIUS 服务器。
有关更多信息,请参见无线 AP 的文档。 有关 Enterasys 无线 AP 的信息,请参见 http://www.enterasys.com/. 有关 Cisco 访问点的信息,请参见 Cisco 的主页: http://www.cisco.com/. 有关 Agere Systems 访问点的信息,请参见 Agere 的 ORiNOCO Web 站点: http://www.orinocowireless.com/.
附录 A:建议和最佳实践
下面是用于在大型企业中部署 IEEE 802.11 WLAN 的建议和最佳实践。
安全性
在设计安全的无线连接时,请使用以下最佳实践:
使用带 EAP-TLS 的 802.1X 来进行身份验证, 这是一个同时向所有无线客户端颁发计算机证书和用户证书的 PKI,并且它需要使用 WEP。
这个技术组合提供了不易受到离线字典攻击的强身份验证和每身份验证 (per-authentication) 的单播会话 WEP 密钥。 建议不要使用共享的密钥身份验证。
对于最强的身份验证配置,可在运行 Windows XP 的所有无线客户端上将 HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters\General\Global\AuthMode 设置为 1。
这个设置在用户成功登录运行 Windows XP 的计算机之后强制使用用户证书和用户身份验证。
为了防止恶意无线 AP 连接到您的有线网络(不管 SSID 如何),可使用支持对用户可访问的网络端口进行 802.1X 身份验证的交换机。
PKI
在安装 PKI 时,请使用以下最佳实践:
在部署 CA 之前规划 PKI。
根 CA 应该处于离线状态,其签名密钥应该使用硬件安全模块 (HSM) 进行保护,并保管在保险库中以最大限度地降低泄漏的可能性。
组织不应当直接从根 CA 向用户或计算机颁发证书,相反,应该部署:
一个离线的根 CA
离线的中级 CA
离线的颁发 CA(使用 Windows 2000 证书服务作为企业 CA)
这个 CA 基础结构提供了灵活性,杜绝了恶意用户危害根 CA 私钥的企图。 离线的 CA 和中级 CA 不必是 Windows 2000 CA。 颁发 CA 可以是第三方中级 CA 的从属 CA。 离线的 CA 需要在预设的时间段发布 CRL,或者在一切都停止的时候进行。
备份 CA 数据库、CA 证书和 CA 密钥,以防止关键数据丢失。 CA 的备份应该根据相同时间段内颁发的证书数量定期(每天、每周、每月)进行。 颁发的证书越多,CA 的备份就应该越频繁。
培训用户备份他们的密钥。 否则,他们将在映像(重复配置)新机器时遇到问题。
您应该仔细阅读 Windows 中关于安全权限和访问控制的概念,因为企业证书颁发机构基于证书申请者的安全权限来颁发证书。
对于用于无线访问的证书,请使用以下最佳实践:
为了安装计算机证书,请使用自动注册。
这需要在颁发者 CA 级使用 Windows 2000 或 Windows Server 2003“证书服务”服务器作为企业 CA。
为了安装用户证书,请使用自动注册。
这需要在颁发者 CA 级使用 Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition“证书服务”服务器作为企业 CA。
或者,为了安装用户证书,可使用 CAPICOM 脚本。
或者,可使用一个 CAPICOM 脚本来同时安装计算机和用户证书。
由于证书吊销检查可能由于证数链中每个证书的 CRL 不可用或过期而阻止无线访问,所以务必要为 CRL 的高可用性而设计 PKI。 例如,为证书层次结构中的每个 CA 配置多个 CRL 分发点,并配置发布计划以便最新的 CRL 始终可用。
无线 AP
在配置和部署无线 AP 时,请使用下列最佳实践:
使用支持 802.1X、128-位 WEP 和同时支持使用组播/全局和单播会话加密密钥的无线 AP。
更改无线 AP 的默认管理配置,比如管理级用户名和密码。
如果在通风区域(天花板瓷砖和天花板之间的空间)中安装无线 AP,你必须获得经通风认定的无线 AP以遵守防火规范。
为了最小化 S-Band ISM 频段中的 802.11b 无线频率上的串音,重叠覆盖区域应该具有五频道的隔离。 例如在美国,可使用频道 1、6 和 11。
如果使用 SNMP 来管理或配置无线 AP,可更改默认的 SNMP 社区名称。 如果可能,请使用支持 SNMPv2 的无线 AP。
无线网络适配器
在选择和部署无线网络适配器时,请使用以下最佳实践:
使用其驱动程序支持 Windows XP“无线自动配置”的无线网络适配器。
使用支持 128-位 WEP 加密密钥和同时支持组播/全局和单播会话密钥的无线网络适配器。
为了简化部署,可使用具有 Windows XP 已经附带的即插即用驱动程序或可通过 Windows Update 获得驱动程序的无线网络适配器。 (http://www.windowsupdate.com)。
避免安装随无线网络适配器一起提供的无线配置实用程序,而要使用 Windows XP“自动配置”。
Active Directory
在配置用于无线访问的 Active Directory 时,请使用以下最佳实践:
如果您有本机模式的域,并且在使用基于组的无线远程访问策略,可使用通用组和全局组来将无线帐户组织到一个组中。 此外,还要将计算机和用户帐户的远程访问权限设置为通过远程访问策略控制访问。
如果使用 Windows 2000 企业 CA 作为颁发 CA,可使用计算机配置自动证书申请设置组策略设置来自动向所有域成员颁发计算机证书。
确保为所有相应的域系统容器配置了计算机证书自动注册——不管是通过继承父系统容器的组策略设置,还是明确地配置。
RADIUS
在部署用于无线访问的 RADIUS 基础结构时,请使用以下最佳实践:
如果无线 AP 支持,可使用 Internet 协议安全 (IPSec) 和封装式安全措施负载 (ESP) 来为无线 AP 与 IAS 服务器之间以及 IAS 服务器与 IAS 服务器之间的 RADIUS 流量提供数据保密性。 如果可能,可将 3DES 加密证书用于“Internet 密钥交换”(IKE) 主模式身份验证。 IAS 服务器之间发送的 RADIUS 流量的 IPSec 设置可以使用组策略来配置,并在 Active Directory 系统容器级分配。 有关 IPSec 的更多信息,请参见 Windows Server 2003 IPSec 网站(http://www.microsoft.com/windowsserver2003/technologies/networking/ipsec/default.mspx)。
为了给未受保护的 RADIUS 流量提供最大限度的安全性,可选择至少 22 个键盘字符长度的大小写字母、数字和标点符号的随机序列的共享机密。
如果可能,可使用一个随机字符生成程序来确定要在 IAS 服务器和无线 AP 上配置的共享机密。
尽可能使用许多不同的 RADIUS 共享机密。 RADIUS 共享机密的实际数量取决于配置约束和管理考虑。
例如,IAS 允许每客户端或每服务器基础上的 RADIUS 共享机密配置。 然而,许多无线 AP 允许将单个 RADIUS 共享机密同时用于主要和辅助 RADIUS 服务器。 在这样的情况下,单个 RADIUS 共享机密将用于两个不同的“RADIUS 客户端-RADIUS 服务器”对:带主 RADIUS 服务器的无线 AP 和带辅助 RADIUS 服务器的无线 AP。 此外,如果使用 netsh aaaa show 和 netsh exec 命令来将一个 IAS 服务器(主 IAS 服务器)的配置复制到另一个(辅助 IAS 服务器),每个无线 AP/主 IAS 服务器对的 RADIUS 共享机密必须与每个无线 AP/辅助 IAS 服务器对的共享机密相同。
由于 Windows Server 2003, Enterprise Edition 和 Windows Server 2003, Datacenter Edition 版的 IAS 允许配置一系列的 IP 地址来定义单个 RADIUS 客户端(例如,在 Microsoft 的单栋建筑中的单个子网上的所有无线 AP),IAS RADIUS 客户端定义的所有无线 AP/IAS 服务器对都配置了相同的 RADIUS 共享机密。
如果存在单独的帐户数据库,比如没有双向信任的不同 Active Directory 林或域,您必须在无线 AP 和提供身份验证及授权处理的 RADIUS 服务器之间使用 RADIUS 代理。
Windows Server 2003 IAS 通过连接请求策略配置和远程 RADIUS 服务器组来支持 RADIUS 代理功能。 对于此例,创建连接请求策略是为了匹配对应于每个帐户数据库(比如不同的 Active Directory 林)的 User-Name RADIUS 属性的不同部分。 RADIUS 消息被转发给与连接请求策略相匹配的对应远程 RADIUS 服务器组的成员。
检查无线 AP 是否需要特定供应商的 RADIUS 属性 (VSA),并在远程访问策略配置期间在远程访问策略配置文件的高级选项卡上配置它们。
性能
在设计性能时,请使用以下最佳实践:
不要连接太多的无线客户端来使得无线 AP 超载。 虽然大多数无线 AP 能够支持数百个无线连接,但是实用的上限是 20 至 25 个客户端。 每个无线 AP 平均 2 至 4 个用户是在最大化性能的同时仍然有效利用无线 LAN 的理想平均数。
对于更高密度的场合,可降低无线 AP 信号强度来将小覆盖范围,从而允许特定空间能容纳更多无线 AP,以及向更多的无线客户端分配更多的无线带宽。
可伸缩性
在设计可伸缩性时,请使用以下最佳实践:
对于 Active Directory 林中大量的身份验证流量,可在无线 AP 和 RADIUS 服务器之间使用一个运行 Windows Server 2003 IAS 的 RADIUS 代理层。
默认情况下,IAS RADIUS 代理在每身份验证的基础上在远程 RADIUS 服务器组的所有成员之间平衡 RADIUS 流量的负载,并使用故障转移和故障恢复机制。 远程 RADIUS 服务器组的成员还可以单独地配置优先级和权重,以便 IAS 代理偏向某个特定的 RADIUS 服务器。
附录 B:使用仅计算机 (Computer-only) 身份验证
有些网络管理员希望仅使用计算机身份验证。 通过仅使用计算机身份验证,无线客户端计算机必须使用计算机证书(在使用 EAP-TLS 身份验证的时候)或计算机帐户的名称和密码(在使用 PEAP-MS-CHAP v2 身份验证的时候)来向无线 AP 执行计算机级 802.1X 身份验证,然后才能访问组织的网络。 对于仅计算机的身份验证,只有合法的计算机才能连接到无线网络。 在组织的域中没有帐户的计算机不能连接。 这样可以防止用户将计算机带回家,然后连接到组织的无线 LAN。 家庭计算机对组织的网络来说代表着威胁,因为它们的管理方式和成员计算机不同,可能会将病毒或其他恶意程序带到组织的网络中。
有关计算机身份验证和用户身份验证的更多信息,请参见“Windows XP Wireless Deployment Technology and Component Overview”,地址为: http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wificomp.mspx.
您可以使用“无线网络 (IEEE 802.11) 策略组策略”扩展或通过注册表来配置仅计算机的身份验证。
使用“无线网络 (IEEE 802.11) 策略组策略”扩展来配置仅计算机的身份验证
为了使用“无线网络 (IEEE 802.11) 策略组策略”扩展来配置仅计算机的身份验证,请在对应于无线网络的首选网络的 802.1x 选项卡上的计算机身份验证中选择仅计算机。 图 4 显示了一个示例。
图 4 在“无线网络 (IEEE 802.11) 策略组策略”扩展中选择仅计算机身份验证
有关更多信息,请参见“Configuring Wireless Settings Using Windows Server 2003 Group Policy”,地址为: http://www.microsoft.com/technet/community/columns/cableguy/cg0703.mspx.
使用注册表来启用仅计算机身份验证
为了通过注册表配置仅计算机身份验证,所有 Windows 客户端都必须具有下列注册表值设置:
HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters\General
\Global\AuthMode=2
将 AuthMode 设置设定为 2,则会尝试仅计算机身份验证。 用户身份验证则永远不会被尝试。
为了在运行 Windows 的所有计算机上添加这个注册表设置,可以使用下列工具:
Regini.exe(来自 Windows 2000 Server 资源工具包工具)
Reg.exe(来自 Windows Server 2003 资源工具包工具)
在这两种情况下,您都将创建一个由这些工具准备好的脚本文件来添加注册表设置。 这些工具必须在本地管理员帐户的安全上下文中运行。
或者,您可以使用网络管理软件来更改被管理的计算机上的注册表设置。
结束语
您可以使用 EAP-TLS 或 PEAP-MS-CHAP v2 来执行安全的无线身份验证和每会话的动态 WEP 密钥管理。 对于 EAP-TLS,您必须部署一个能够向 IAS 服务器颁发证书以及向无线客户端计算机和用户同时颁发计算机和用户证书的证书基础结构。 对于 PEAP-MS-CHAP v2,您只需在 IAS 服务器上安装计算机证书——只要无线客户端上已经安装了相应的根 CA 证书。 对于这两种情况,您都必须管理用于无线访问的 Active Directory 用户和计算机组,将 IAS 服务器配置为无线 AP 的 RADIUS 服务器,以及将无线 AP 配置为 IAS 服务器的 RADIUS 客户端。 您还可以配置用于业务合作伙伴的 Internet 访问,使用第三方 CA,以及使用 IAS RADIUS 代理来进行跨林身份验证或负载平衡。
对于使用 EAP-TLS 的计算机身份验证,您必须在无线客户端计算机上安装一个计算机证书。
为了在运行 Windows Server 2003、Windows XP 或 Windows 2000 的无线客户端计算机上安装计算机证书,请使用一个 Ethernet 端口连接到公司 intranet,然后执行以下操作:
如果为域配置了计算机证书自动注册,属于该域成员的每台计算机都会在计算机“组策略”被刷新时请求一个计算机证书。 为了强制运行 Windows Server 2003 或 Windows XP 的计算机刷新一次计算机“组策略”,可重新启动计算机,或在命令提示符下键入 gpupdate /target:computer。 为了强制运行 Windows 2000 的计算机刷新一次计算机“组策略”,可重新启动计算机,或在命令提示符下键入 secedit /refreshpolicy machine_policy。
如果没有给域配置计算机证书自动注册,您可以使用“证书”管理单元来申请一个“计算机”证书,或者可以执行一个 CAPICOM 脚本来安装计算机证书。
企业组织的信息技术 (IT) 部门可以在将计算机(通常是便携式计算机)交付给用户之前安装计算机证书。
有关 CAPICOM 的信息,请在以下站点上搜索“CAPICOM”: http://msdn.microsoft.com/.
步骤 8:在无线客户端计算机上安装用于 EAP-TLS 的用户证书
对于使用 EAP-TLS 的用户身份验证,您必须使用本地安装的用户证书或智能卡。本地安装的用户证书必须通过以下方式来获得:自动注册、Web 注册、使用“证书”管理单元来申请证书、导入证书文件,或者运行一个 CAPICOM 程序或脚本。
最容易的用户证书安装方法假定网络连接总是存在,比如使用一个 Ethernet 端口。 当用户连接到 inranet 时,他们能够通过自动注册或者使用 Web 注册或证书管理器来提交一个用户证书申请,从而获得一个用户证书。 有关申请用户证书的更多信息,请参见本节中的“通过 Web 提交用户证书申请”和“申请证书”过程。
或者,用户可以运行网络管理员提供的 CAPICOM 程序或脚本。 CAPICOM 程序或脚本的执行可以通过用户登录脚本来自动化。
如果已经配置了用户证书自动注册,那么无线用户必须更新“用户配置组策略”来获得用户证书。
如果没有使用用户证书自动注册,可使用以下过程之一来获得用户证书。
通过 Web 提交用户证书申请
1.打开 Internet Explorer。
2.在 Internet Explorer 中,连接到 http://servername/certsrv,其中 servername 是您想要访问的 CA 所在的 Windows 2000 Web 服务器的名称。
3.单击申请一个证书,然后单击下一步。
4.在选择证书类型网页上,在用户证书申请下面,选择您想要申请的证书类型,然后单击下一步。
5.从识别信息网页上执行以下操作之一:
如果您看到消息“已经收集到所有需要的信息。 现在可以提交您的申请”,请单击提交。
输入您的证书申请的识别信息,然后单击提交。
6.如果您看到已颁发的证书网页,请单击安装此证书。
7.关闭 Internet Explorer。
申请一个证书
1.打开一个包含证书-当前用户的 MMC 控制台。
2.在控制台树中,右键单击个人,指向所有任务,然后单击申请新证书来启动“证书申请向导”。
3.在“证书申请向导”中,请选择以下信息:
想要申请的证书类型。
如果已经选中高级复选框:
您正在使用的加密服务提供程序 (CSP)。
与该证书关联的公钥的密钥长度(以位为单位)。
不要启用强私钥保护。
如果有多个 CA 可用,则选择将颁发证书的 CA 的名称。
4.为新证书键入一个好记的名称。
5.在“证书申请向导”成功完成之后,单击确定。
基于软盘的安装
另一种安装用户证书的方法是将用户证书导出到软盘上,然后再将它从软盘导入到无线客户端计算机上。 对于基于软盘的注册,请执行以下操作:
1.通过基于 Web 的注册从 CA 获得无线客户端的用户帐户的用户证书。 有关更多信息,请参见前面描述的“通过 Web 提交用户证书申请”过程。
2.将无线客户端的用户帐户的用户证书导出到一个 .pfx 文件。 有关更多信息,请参见本节中的“导出证书”过程。 在“证书管理器导出向导”中,导出私钥并选中如果导入成功,则删除该私钥。 将此文件保存到软盘,并将其交付给无线客户端计算机的用户。
3.在无线客户端计算机上导入用户证书。 有关更多信息,请参见本节中的“导入证书”过程。
导出证书
1.打开包含证书 – 当前用户的 MMC 控制台。
2.打开个人,然后打开证书。
3.在详细信息窗格中,右键单击您想要导出的证书,指向所有任务,然后单击导出。
4.在“证书导出向导”中,单击是,导出私钥。 (仅当私钥被标记为可导出的,并且您拥有私钥访问权限,这个选项才会出现。) 单击下一步。
5.选择个人信息交换 – PKCS (.PFX)作为导出文件格式,然后单击下一步。
6.在密码页面上,在密码和确认密码中键入密码来保护证书中的私钥,然后单击下一步。
7.在要导出的文件页面上,键入证书文件名或单击浏览来指定证书文件的名称和位置。 单击下一步。
8.在正在完成证书导出向导页面上,单击完成。
导入证书
1.打开包含证书 – 当前用户的 MMC 控制台。
2.打开个人,然后打开证书。
3.在详细信息窗格中,右键单击您想要导入的证书,指向所有任务,然后单击导入。
4.键入包含将要导入的证书的文件名。 (也可以单击浏览并导航到该文件。)
5.如果这是一个 PKCS #12 文件,请执行以下操作:
键入用于加密私钥的密码。
(可选)如果希望能够使用强私钥保护,请选中启用强私钥保护复选框。
(可选)如果希望在以后备份或传输密钥,请选中将密钥标记为可导出的复选框。
6.执行以下操作之一:
如果应该基于证书类型自动将证书放到某个证书存储区,请选择根据证书类型,自动选择证书存储区。
如果想要指定证书的存储位置,请选择将所有的证书放入下列存储区,然后单击浏览,选择要使用的证书存储区。
步骤 9:配置用于 EAP-TLS 的无线客户端
如果已经为无线网络配置了“无线网络 (IEEE 802.11) 策略组策略”设置并指定使用 EAP-TLS 身份验证(智能卡或其他证书 EAP 类型),那么运行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的无线客户端就不需要其他配置。
为了在运行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的无线客户端上配置 EAP-TLS 身份验证,请执行以下操作:
1.在“网络连接”文件夹中获得无线连接的属性。 单击无线网络选项卡,然后单击首选网络列表中的无线网络名称,再单击属性。
2.单击身份验证选项卡,选择启用使用 IEEE 802.1X 的网络访问控制和智能卡或其他证书 EAP 类型。 这个选项是默认启用的。
3.单击属性。 在智能卡或其他证书 EAP 类型的属性中,选择在此计算机上使用证书来使用基于注册表的用户证书,或选择使用我的智能卡来使用基于智能卡的用户证书。
如果想要验证 IAS 服务器的计算机证书,请选择验证服务器证书(默认是启用的)。 如果想要指定必须执行验证的身份验证服务器的名称,请选择连接到这些服务器并键入名称。
4.单击确定,以将更改保存到智能卡或其他证书 EAP 类型。
为了在不带 Service Pack 的 Windows XP 无线客户端上配置 EAP-TLS 身份验证,请执行以下操作:
1.在“网络连接”文件夹中获得无线连接的属性。 单击身份验证选项卡,然后选择启用使用 IEEE 802.1X 的网络访问控制和智能卡或其他证书 EAP 类型。 这个选项是默认启用的。
2.单击属性。 在智能卡和其他证书 EAP 类型的属性中,选择在此计算机上使用证书。
如果想要验证 IAS 服务器的计算机证书,请选择验证服务器证书(默认是启用的)。
如果想要确保服务器的 DNS 名称以特定的字符串结尾,请选择服务器名称结尾为如下时,才连接 ,并键入该字符串。 对于使用多个 IAS 服务器的典型部署,请键入所有 IAS 服务器共有的 DNS 名称部分。 例如,如果有两个分别名为 AS1.example.microsoft.com 和 IAS2.example.microsoft.com 的 IAS 服务器,则键入字符串“example.microsoft.com”。 请确保键入正确的字符串,否则,身份验证将会失败。
3.单击确定来将更改保存到智能卡或其他证书 EAP 类型。
为了在运行 Windows 2000 SP4 的无线客户端上配置 EAP-TLS 身份验证,请执行以下操作:
1.在“网络连接”文件夹中获得无线连接的属性。 单击身份验证选项卡,然后选择启用使用 IEEE 802.1X 的网络访问控制和智能卡或其他证书 EAP 类型。 这个选项是默认启用的。
2.单击属性。 在智能卡或其他证书 EAP 类型的属性中,选择在此计算机上使用证书来使用基于注册表的用户证书,或者选择使用我的智能卡来使用基于智能卡的证书。
如果想要验证 IAS 服务器的计算机证书,请选择验证服务器证书(默认是启用的)。 如果想要指定必须执行验证的身份验证服务器的名称,请选择连接到这些服务器 ,并键入名称。
3.单击确定来将更改保存到智能卡或其他证书 EAP 类型。
步骤 10:配置用于 PEAP-MS-CHAP v2 的无线客户端计算机
如果已经为无线网络配置了“无线网络 (IEEE 802.11)策略组策略”设置并指定使用 PEAP-MS-CHAP v2 身份验证(带受保护的密码 (EAP-MSCHAP v2) 方法的“受保护的 EAP (PEAP) 类型),那么运行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的无线客户端不需要其他配置。
为了在运行 Windows XP SP1、Windows XP SP2 或 Windows Server 2003 的无线客户端上手动配置 PEAP-MS-CHAP v2 身份验证,请执行以下操作:
1.在“网络连接”文件夹中获得无线连接的属性。 单击无线网络选项卡,单击首选网络列表中的无线网络名称,然后单击属性。
2.单击身份验证选项卡,选择启用使用 IEEE 802.1X 的网络访问控制和受保护的 EAP EAP 类型。
3.单击属性。 在受保护的 EAP 属性 对话框中,选择验证服务器证书来验证 IAS 服务器的计算机证书(默认是启用的)。 如果想要指定必须执行验证的身份验证服务器的名称,请选择连接到这些服务器并键入名称。 在选择身份验证方法中,单击 受保护的密码 (EAP-MSCHAP v2)。
为了在运行 Windows 2000 SP4 的无线客户端上配置 PEAP-MS-CHAP v2 身份验证,请执行以下操作:
1.在“网络连接”文件夹中获得无线连接的属性。
2.单击身份验证选项卡,选择启用使用 IEEE 802.1X 的网络访问控制和受保护的 EAP EAP 类型。
3.单击属性。 在受保护的 EAP 属性对话框中,选择验证服务器证书来验证 IAS 服务器的计算机证书(默认是启用的)。 如果想要指定必须执行验证的身份验证服务器的名称,请选择连接到这些服务器并键入名称。 在选择身份验证方法中,单击受保护的密码 (EAP-MSCHAP v2)。
注意默认情况下,PEAP-MS-CHAP v2 身份验证使用 Windows 登录凭据来进行无线身份验证。 如果连接到使用 PEAP-MS-CHAP v2 的无线网络,并且您想指定不同的凭据,请单击配置并清除自动使用我的 Windows 登录名和密码复选框。
虽然 Windows XP SP1、Windows XP SP2、Windows Server 2003 和 Windows 2000 SP4 的受保护的 EAP 属性对话框有一个启用快速重连接复选框,但是 Windows 2000 中的 IAS 不支持快速重连。 Windows Server 2003 中的 IAS 支持快速重连。
如果安装在 IAS 服务器上的计算机证书的颁发者的根 CA 证书已经在无线客户端上安装为 CA 证书安装,则不需要其他配置。 如果颁发 CA 是一个 Windows 2000 Server 或 Windows Server 2003 联机根企业 CA,那么根 CA 证书将通过计算机配置“组策略”自动安装在每个域成员上。
要检验这点,可使用“证书”管理单元来获得 IAS 服务器上的计算机证书的属性,并从证书路径选项卡上查看证书链。 位于该路径顶部的证书就是根 CA 证书。 使用每种 Windows 操作系统的无线客户端的“证书”管理单元,确保这个证书在 Certificates (Local Computer)\Trusted Root Certification Authorities\Certificates 文件夹中的受信任的根证书颁发机构的列表中。
如果不在,您必须在没有包含它们的每种 Windows 操作系统无线客户端上安装 IAS 服务器的计算机证书的颁发者的根 CA 证书。
在无线客户端上安装根 CA 证书的最容易办法是执行以下过程:
1.在 IAS 服务器上使用“证书”管理单元,将 IAS 服务器上的计算机证书的颁发 CA 的根 CA 证书导出到一个文件(*.PB7)。 您可以在 Certificates (Local Computer)\Trusted Root Certification Authorities\Certificates 文件夹中找到根 CA 证书。
2.打开“Active Directory 用户和计算机”管理单元。
3.在控制台树中双击 Active Directory 用户和计算机,右键单击相应的域系统容器,然后单击属性。
4.在组策略选项卡上,单击相应的“组策略”对象(默认的对象是默认域策略),然后单击编辑。
5.在控制台树中,依次打开计算机配置、Windows 设置、安全设置和公钥策略。
6.右键单击受信任的根证书颁发机构,然后单击导入。
7.在“证书导入向导”中,指定步骤 1 中保存的文件。
8.对所有相应的系统容器重复步骤 3 至 7。
当无线客户端计算机下一次更新它们的计算机配置“组策略”时,IAS 服务器上的计算机证书的颁发 CA 的根 CA 证书将被安装到它们的本地计算机证书存储区中。
或者,您可以使用“证书”管理单元来将根 CA 证书导入每台无线客户端计算机上的 Certificates (Local Computer)\Trusted Root Certification Authorities\Certificates 文件夹。
附加 Intranet 无线部署配置
本节描述以下附加 intranet 部署配置:
用于业务合作伙伴的 Internet 访问
使用第三方 CA
跨林身份验证
使用 RADIUS 代理来扩展身份验证
用于业务合作伙伴的 Internet 访问下面是与如今使用的大多数无线 AP 接收“RADIUS 访问-接受”和“访问-拒绝”消息有关的行为:
当无线 AP 接收到一条“访问-接受”消息时,连接将被允许。
当无线 AP 接收到一条“访问-拒绝”消息时,连接将被拒绝。
为了允许业务合作伙伴、供应商或其他非雇员使用相同的无线基础结构(雇员用来访问组织的 intranet 的无线基础结构)访问单独的网络,连接请求必须从 RADIUS 服务器获得一条“访问-接受”消息。 为了从 RADIUS 服务器获得“访问-接受”消息,您或者必须使用来宾访问,或者业务合作伙伴、供应商或其他非雇员必须拥有有效的帐户和证书。
使用来宾访问
当无线客户端在没有发送用户身份的情况下建立连接时,就是在进行来宾访问。 无线客户端没有向无线 AP 提供用户名或凭据。 因此,无线 AP 没有在“访问-请求”消息中包括用户身份(User-Name 属性)或凭据属性。 当 IAS 服务器接收到一条没有包含用户身份或凭据属性的“访问-请求”消息时,它将检验与该连接尝试相匹配的远程访问策略是否启用了未经身份验证的访问。 如果没有包括用户身份属性,IAS 服务器将使用“来宾”帐户来获得用户帐户拨入属性和组成员关系。 如果包括了用户身份属性,但是没有包括凭据属性,IAS 服务器将使用指定的帐户来获得用户帐户拨入属性和组成员关系。
在无线 AP 上通过使用 IP 筛选或 VLAN 来支持来宾访问客户端的受限制的网络访问。 为了给未经身份验证的访问指定虚拟 LAN 标识符,请配置相应远程访问策略的高级属性上的 Tunnel-Type 和 Tunnel-Pvt-Group-ID 属性。
有关对 IAS 进行未经身份验证的来宾访问的更多信息,请参见 Windows 2000 Server“帮助”或 Windows Server 2003“帮助和支持中心”。
使用经过验证的访问
对于业务合作伙伴、供应商或其他非雇员的经过验证的访问,您必须创建计算机和用户帐户,并向每个业务合作伙伴、供应商或其他非雇员颁发证书。 接下来以这些帐户作为成员来创建组,以便能够使用基于组的远程访问策略来管理访问。 例如,创建一个 WirelessInternetUsers,它包含业务合作伙伴、供应商或其他非雇员用户和计算机帐户的全局组。
若要配置用于业务合作伙伴、供应商或其他非雇员 Internet 访问的无线远程访问策略,可使用以下设置创建一个用于无线 Internet 访问的新的自定义远程访问策略:
策略名称:Internet 无线访问(示例)
条件:NAS-Port-Type=Wireless-Other 或 Wireless-IEEE 802.11, Windows-Groups=WirelessInternetUsers
权限:选择授予远程访问权限。
配置文件,身份验证选项卡:对 于 Windows 2000 IAS,选择可扩展身份验证协议和智能卡或其他证书 EAP 类型。 清除其他所有复选框。 如果计算机上安装了多个计算机证书,请单击配置,然后选择相应的计算机证书。
对于 Windows Server 2003 IAS,则清除其他所有复选框。 单击 EAP 方法并添加智能卡或其他证书 EAP 类型。 如果 IAS 服务器上安装了多个计算机证书,请单击编辑,然后选择正确的计算机证书。
配置文件,加密选项卡:如果无线 AP 支持 MS-MPPE-Encryption-Policy 和 MS-MPPE-Encryption-Types RADIUS 属性,则清除除最强加密之外的其他所有复选框。 这样将强制所有无线连接使用 128-位加密。 如果不支持这些属性,则清除除无加密之外的其他所有复选框。
配置文件,高级选项卡(如果无线 AP 支持 VLAN):
添加 Tunnel-Type 属性,值为“Virtual LANs (VLAN)”。
添加 Tunnel-Pvt-Group-ID 属性,值为连接到 Internet 的 VLAN 的 VLAN ID 值。
如果无线 AP 需要特定供应商的属性 (VSA),您必须将那些 VSA 添加到相应的远程访问策略。 有关更多信息,请参见前面描述的“为远程访问策略配置特定供应商的属性”过程。
使用第三方 CA
可以使用第三方 CA 来颁发用于无线访问的证书——只要所安装的证书能够被验证并具有适当的属性。
IAS 服务器上的证书
对于安装在 IAS 服务器上的证书,以下条件必须为真:
它们必须被安装在“本地计算机”证书存储区中。
它们必须具有对应的私钥。 当您使用“证书”管理单元来查看证书的属性时,应该会在常规选项卡上看到文本您有一个与该证书对应的私钥 。
证书的加密服务提供程序支持 SChannel。 如果不支持,IAS 服务器就不能使用该证书,并且它在远程访问策略配置文件属性的身份验证选项卡上的智能卡或其他证书 EAP 类型的属性中是不可选择的。
它们必须包含“服务器身份验证”证书目的(也称为“增强的密钥用途 [EKU]”)。 EKU 使用一个对象标识符 (OID) 来标识。 “服务器身份验证”的 OID 是“1.3.6.1.5.5.7.3.1”。
它们必须在“使用者备用名称”(Subject Alternative Name) 属性中包含 IAS 服务器的计算机帐户的完全合格的域名(FQDN)。
此外,颁发无线客户端计算机和用户证书的 CA 的根 CA 证书必须安装在 Certificates (Local Computer)\Trusted Root Certification Authorities\Certificates 文件夹中。
无线客户端计算机上的证书
对于安装在无线客户端计算机上的用户和计算机证书,以下条件必须为真:
它们必须拥有对应的私钥。
它们必须包含“客户端身份验证 EKU”(OID 为“1.3.6.1.5.5.7.3.2”)
计算机证书必须安装在“本地计算机”证书存储区中。
计算机证书必须在“使用者备用名称”属性中包含无线客户端计算机帐户的 FQDN。
用户证书必须安装在“当前用户”证书存储区中。
用户证书必须在“使用者备用名称”属性中包含用户帐户的通用主体名称 (UPN)。
此外,颁发 IAS 服务器计算机证书的 CA 的根 CA 证书还必须安装在 Certificates (Local Computer)\Trusted Root Certification Authorities\Certificates or Certificates (Current User)\Trusted Root Certification Authorities\Certificates 文件夹中。
配置代理服务器设置
第三方 CA(比如 VeriSign, Inc.)颁发的证书能够获得一个指向 Internet 网站的证书吊销列表 (CRL) 统一资源定位器 (URL)。 如果 IAS 服务器无法访问 Internet 网站来执行证书吊销检查,它就不能验证它自己的计算机证书(对于 EAP-TLS 和 PEAP-MS-CHAP v2 身份验证)或无线客户端的证书(对于 EAP-TLS 身份验证)。
许多企业网络使用代理服务器(比如 Microsoft Internet Security and Acceleration Server,即 ISA)来访问 Internet 服务。 代理服务器设置的配置通常是通过动态主机配置协议 (DHCP) 选项来完成的。 然而,许多 IAS 服务器具有静态的 IP 地址配置,因而可能没有正确配置用于访问 Internet 的适当代理服务器设置。 这样的结果是 IAS 服务器无法对它自己的本地计算机证书或无线客户端证书执行证书吊销检查,所有无线连接的身份验证都可能会失败。
为了给 IAS 服务器配置适当的代理服务器设置,以便它能访问 Internet 服务,请执行以下操作:
1.在 IAS 服务器上,使用具有本地管理员权限的帐户进行登录。
2.打开命令提示符窗口。
3.在命令提示符下键入 time 然后按回车键。
4.在输入新时间:提示下,按回车键。
5.在命令提示符下键入 at [time+1 minute]/interactive "cmd.exe",然后按回车键。 如果步骤 4中的当前时间是 13:31,该命令将是 at 13:32/interactive "cmd.exe"。
6.一分钟之后,一个新的命令提示符窗口将打开。 在这个命令提示符窗口中运行的命令将在本地系统安全上下文中执行。 IAS 也在本地系统安全上下文中运行。 因此,您必须在本地系统安全上下文中配置代理服务器设置,以使它们应用于 IAS。 否则,代理服务器设置将仅应用于在步骤 1 中用于登录 IAS 服务器的用户帐户。
7.在新的命令提示符内,键入 "%programfiles%\Internet Explorer\Iexplore.exe"(包括引号),然后按回车键。 这样将在本地系统安全上下文中打开 Internet Explorer。
8.单击工具,然后单击 Internet 选项。
9.单击连接选项卡,然后单击 LAN 设置。
10.在代理服务器中,选择为 LAN 使用代理服务器。
11.在地址中键入代理服务器的名称和 IP 地址,然后在端口中键入 Web 端口号(通常是 80)。 例如,如果代理服务器的名称是 CorpProxy,并且将端口 80 用于 Web 流量, 您需要在地址中键入 corpproxy,在端口中键入 80。
12.单击确定来保存代理服务器设置。
13.单击确定关闭 Internet 选项对话框。
14.关闭 Internet Explorer。
15.关闭步骤 6中打开的新的命令提示符窗口。
配置代理服务器设置的另一种方法是在步骤 6 打开的命令提示符窗口中使用 ProxyCfg.exe。ProxyCfg.exe 包括在 Windows Server 2003 中。若想获得适用于 Windows 2000 Server 的 ProxyCfg.exe 版本,请参见 830605 - The Proxycfg.exe configuration tool is available for WinHTTP 5.1. 有关如何使用 ProxyCfg.exe 的更多信息,请参见 ProxyCfg.exe, a Proxy Configuration Tool.
跨林身份验证
由于 IAS 使用 Active Directory 来验证凭据以及获得用户和计算机帐户属性,当无线客户端计算机和用户的用户和计算机帐户存在于如下身份验证数据库中时,必须在无线 AP 和 IAS 服务器计算机之间放置一个 RADIUS 代理:
两个不同的 Active Directory 林。
互不信任的两个域。
具有单向信任的两个不同域。
下面的讨论假定针对的是一个跨林配置。
当访问客户端发送用户凭据时,通常会包括一个用户名。 该用户名中包括两个元素:
用户帐户名称标识
用户帐户位置标识
例如,对于用户名称 user1@microsoft.com,user1 是用户帐户名称,microsoft.com 是用户帐户位置。 用户帐户位置标识被称为领域 (realm)。 领域名称有不同的形式:
领域名称可以是前缀。
对于 microsoft\user1,“microsoft”是 Windows NT 4.0 域的名称。
领域名称可以是后缀。
对于 user1@microsoft.com,“microsoft.com”或者是 DNS 域名,或者是基于 Active Directory 的域。
注意如果使用 PEAP-MS-CHAP v2 和 Windows NT 4.0 样式的用户名(例如,microsoft\user1),您不需要使用 RADIUS 代理。
在连接尝试的身份验证阶段用户名会从无线客户端传递到无线 AP。 这个用户名将成为无线 AP 发送到为它配置的 RADIUS 服务器的“访问-请求”消息中的 User-Name RADIUS 属性,在此配置中,该服务器是一个 RADIUS 代理。 当 RADIUS 代理接收到“访问-请求”消息时,RADIUS 代理上配置的规则或策略就会判断要向其转发“访问-请求”消息的 IAS 服务器。 图 2 显示了用于在两个不同 Active Directory 林中的无线 AP 和多个 IAS 服务器之间转发 RADIUS 消息的 IAS RADIUS 代理。
图 2 将 IAS RADIUS 代理用于跨林身份验证
下面的配置用于使用以下技术的组织:
Active Directory 域。
Active Directory 域包含每个 IAS 服务器验证用户凭据和评估授权所需要的用户帐户、密码和拨入属性。
每个林中至少两个 IAS 服务器。
至少在每个林中使用两个 IAS 服务器(一个主要的,一个辅助的)来为基于 RADIUS 的身份验证、授权和记帐提供容错。 如果只配置了一个 RADIUS 服务器,则在它不可用时,该林的访问客户端就不能连接。 通过至少使用两个 IAS 服务器和同时为主要和辅助 IAS 服务器配置 IAS RADIUS 代理,IAS RADIUS 代理就能够在主 RADIUS 服务器不可用时检测到这点,并自动故障转移到辅助 IAS 服务器。
远程访问策略。
远程访问策略配置用于根据组成员关系为用户指定不同类型的连接约束。
至少两个 IAS RADIUS 代理。
至少使用两个 IAS RADIUS 代理来为无线 AP 发出的 RADIUS 请求提供容错。
为了给这个示例配置 IAS,请完成以下步骤:
1.配置用于帐户和组的 Active Directory 林。
2.在第一个林中的某台计算机上配置主 IAS 服务器。
3.在第一个林中的另一台计算机上配置辅助 IAS 服务器。
4.在第二个林中的一台计算机上配置主 IAS 服务器。
5.在第二个林中的另一台计算机上配置辅助 IAS 服务器。
6.配置主 IAS RADIUS 代理。
7.配置辅助 IAS RADIUS 代理。
8.在无线 AP 上配置 RADIUS 身份验证和记帐。
Windows 2000 的 IAS 不支持 RADIUS 代理。 不过,您可以使用 Windows Server 2003 中的 IAS 来充当本配置中的 RADIUS 代理。 有关更多信息,请参见 Windows Server 2003“帮助和支持中心”中标题为“跨林身份验证”的主题。
为帐户和组配置 Active Directory 林
为了给用户帐户和组配置 Active Directory,请执行以下操作:
1.在每台 Windows 2000 域控制器计算机上安装 Windows 2000 SP4。
2.确保正在建立无线连接的所有用户都有对应的用户帐户。 确保正在建立无线连接的所有计算机都有对应的计算机帐户。
3.将用户和计算机帐户上的远程访问权限设定为适当的设置。
4.将帐户组织到相应的组中,以便利用基于组的远程访问策略。
在第一个林中的一台计算机上安装主 IAS 服务器。
为了在第一个林中的一台计算机上配置主 IAS 服务器,请执行以下操作:
1.如果使用 Windows 2000 IAS,则在第一个林中的一台计算机上将 IAS 安装为一个可选的网络组件,然后再安装 Windows 2000 SP4。 如果使用 Windows Server 2003 IAS,则在第一个林中的某台计算机上将 IAS 安装为一个可选的网络组件。
2.配置 IAS 服务器计算机,使其可以读取域中的用户帐户属性。
3.如果 IAS 服务器在对其他域中的用户帐户的连接尝试进行身份验证,则检验其他域是否与 IAS 服务器计算机所属的域具有双向信任关系。 接下来配置 IAS 服务器计算机,使其可以读取其他域中的用户帐户属性。
4.如果需要,则启用记帐和身份验证事件的日志记录。
5.将 IAS RADIUS 代理添加为 IAS 服务器的 RADIUS 客户端。 检验您是否在配置正确的名称或 IP 地址以及共享的机密。
6.为第一个林中的无线客户端创建适当的远程访问策略。
在第一个林中的另一台计算机上配置辅助 IAS 服务器
为了在第一个林中的另一台计算机上配置辅助 IAS 服务器,请执行以下操作:
1.如果使用 Windows 2000 IAS,则在第一个林中的另一台计算机上将 IAS 安装为一个可选的网络组件,然后再安装 Windows 2000 SP4。 如果使用 Windows Server 2003 IAS,则在第一个林中的另一台计算机上将 IAS 安装为一个可选的网络组件。
2.配置辅助 IAS 服务器计算机来读取域中的用户帐户属性。
3.如果辅助 IAS 服务器对其他域中的用户帐户的连接尝试进行身份验证,则检验其他域是否与 IAS 服务器计算机所属的域具有双向信任关系。 接下来,配置辅助 IAS 服务器计算机,使其可以读取其他域中的用户帐户属性。
4.将主 IAS 服务器的配置复制到辅助 IAS 服务器。
在第二个林中的一台计算机上配置主 IAS 服务器。
为了在第二个林中的一台计算机上配置主 IAS 服务器,请执行以下操作:
1.如果在使用 Windows 2000 IAS,则在第二个林中的一台计算机上将 IAS 安装为一个可选的网络组件,然后再安装 Windows 2000 SP4。 如果使用 Windows Server 2003 IAS,则在第二个林中的某台计算机上将 IAS 安装为一个可选的网络组件。
2.配置主 IAS 服务器计算机,使其可以读取相应的域系统容器中的用户帐户属性。
3.如果 IAS 服务器对其他域中的用户帐户的连接尝试进行身份验证,则检验其他域是否与 IAS 服务器计算机所属的域具有双向信任关系。 接下来,配置 IAS 服务器计算机,使其可以读取其他域中的用户帐户属性。
4.如果需要,则启用记帐和身份验证事件的日志记录。
5.将 IAS RADIUS 代理添加为 IAS 服务器的 RADIUS 客户端。 检验您是否在配置正确的名称或 IP 地址以及共享的机密。
6.为第二个林中的无线客户端创建相应的远程访问策略。
在第二个林中的另一台计算机上配置辅助 IAS 服务器
为了在第二个林中的另一台计算机上配置辅助 IAS 服务器,请执行以下操作:
1.如果在使用 Windows 2000 IAS,则在第二个林中的另一台计算机上将 IAS 安装为一个可选的网络组件,然后再安装 Windows 2000 SP4。 如果在使用 Windows Server 2003 IAS,则在第二个林中的另一台计算机上将 IAS 安装为一个可选的网络组件。
2.配置辅助 IAS 服务器来读取相应的域系统容器中的用户帐户属性。
3.如果辅助 IAS 服务器对其他域中的用户帐户的连接尝试进行身份验证,则检验其他域是否与 IAS 服务器所属的域具有双向信任关系。 接下来,配置辅助 IAS 服务器计算机,使其可以读取其他域中的用户帐户属性。
4.将第二个林中的主 IAS 服务器的配置复制到辅助 IAS 服务器。
配置主 IAS RADIUS 代理
为了配置主 IAS RADIUS 代理,请执行以下操作:
1.在一台运行 Windows Server 2003 的计算机上将 IAS 安装为一个可选的网络组件。 不要求将安装了 IAS 的计算机专用于转发 RADIUS 消息。 例如,您可以在一个文件服务器上安装 IAS。
2.如果需要,则为无线 AP 发送的 RADIUS 消息配置附加的 UDP 端口。 默认情况下,IAS 将 UDP 端口 1812 和 1645 用于身份验证,将端口 1813 和1646 用于记帐。
3.将无线 AP 添加为 IAS RADIUS 代理的 RADIUS 客户端。 检验您是否在配置正确的名称或 IP 地址以及共享的机密。
4.创建一个将 RADIUS 请求消息(它们基于第一个林中的帐户的领域名称)转发给第一个林中的 IAS 服务器的连接请求策略。 使用“新建连接请求策略向导”来创建一个连接请求策略,它将连接请求转发给一个远程 RADIUS 服务器组,这个组的领域名称与第一个林中的用户帐户的领域名称相匹配。 清除如下复选框,该复选框删除用于身份验证的领域名称。 在“新建连接请求策略向导”中,使用“新建远程 RADIUS 服务器组向导”来创建一个远程 RADIUS 服务器组,其成员包括第一个林中的两个 IAS 服务器。
5.创建一个将 RADIUS 请求消息(它们基于第二个林中的帐户的领域名称)转发给第二个林中的 IAS 服务器的连接请求策略。 使用“新建连接请求策略向导”来创建一个连接请求策略,它将连接请求转发给一个远程 RADIUS 服务器组,该组的领域名称与第二个林中的用户帐户的领域名称相匹配。 清除如下复选框,该复选框删除用于身份验证的领域名称。 在“新建连接请求策略向导”中,使用“新建远程 RADIUS 服务器组向导”来创建一个远程 RADIUS 服务器组,其成员包括第二个林中的两个 IAS 服务器。
6.删除名为对所有用户使用 Windows 身份验证的默认连接请求策略。
配置辅助 IAS RADIUS 代理
为了在另一台计算机上配置辅助 IAS RADIUS 代理,请执行以下操作:
1.在运行 Windows Server 2003 另一台的计算机上,将 IAS 安装为一个可选的网络组件。
2.将主 IAS RADIUS 代理的配置复制到辅助 IAS RADIUS 代理。
在无线 AP 上配置 RADIUS 身份验证和记帐。
使用以下设置来配置第三方无线 AP 上的 RADIUS 设置:
1.主 RADIUS 服务器的 IP 地址或名称、公共的共享机密、用于身份验证和计帐的 UDP 端口以及故障检测设置。
2.辅助 RADIUS 服务器的 IP 地址或名称、公共的共享机密、用于身份验证和计帐的 UDP 端口以及故障检测设置。
为了平衡两个 IAS RADIUS 代理之间的 RADIUS 流量, 可将带有主 IAS RADIUS 代理的那一半无线 AP 配置为主 RADIUS 服务器,将辅助 IAS RADIUS 代理配置为辅助 RADIUS 服务器;将带有辅助 IAS RADIUS 代理的另一半无线 AP 配置为主 RADIUS 服务器,将主 IAS RADIUS 代理配置为辅助 RADIUIS 服务器。
有关更多信息,请参见无线 AP 的文档。 有关 Enterasys 无线 AP 的信息,请参见 http://www.enterasys.com/. 有关 Cisco 访问点的信息,请参见 Cisco 主页: http://www.cisco.com/. 有关 Agere Systems 访问点的信息,请参见 Agere 的 ORiNOCO Web 站点: http://www.orinocowireless.com/.
使用 RADIUS 代理来扩展身份验证
当使用 EAP-TLS 和证书来对大量无线客户端执行身份验证时,让无线客户端保持连接所需要的身份验证流量可能相当高。 在大规模的部署中,最好尽量在多个 IAS 服务器计算机之间分布身份验证流量负载。 由于不能依靠无线 AP 一致或充分地在多个 IAS 服务器之间分布它们的身份验证流量,可以使用中级 IAS RADIUS 代理来提供这种服务。
如果没有 RADIUS 代理,每个无线 AP将把其 RADIUS 请求发送到一个或多个 RADIUS 服务器,并检测不可用的 RADIUS 服务器。 无线 AP 可能会、也可能不会在多个 RADIUS 服务器之间平衡 RADIUS 流量的负载。 通过使用 IAS RADIUS 代理,组织中的所有 IAS 服务器之间分布身份验证、授权和记帐流量负载将使用一致的负载平衡。 此外,还有用于故障检测和 RADIUS 服务器故障转移和故障恢复的一致方案。
下面的配置用于使用以下技术的组织:
Active Directory 域。
Active Directory 域包含每个 IAS 服务器验证用户凭据和评估授权所需要的用户帐户、密码和拨入属性。
多个 IAS 服务器。
为了平衡 RADIUS 身份验证、授权和记帐流量,可以使用多个 IAS 服务器。
远程访问策略。
远程访问策略配置用于根据组成员关系为用户指定不同类型的连接约束。
两个 IAS RADIUS 代理。
两个 IAS RADIUS 代理用于为无线 AP 发送的 RADIUS 请求提供容错。
图 3 显示了如何使用两个 IAS RADIUS 代理在多个 IAS 服务器之间平衡来自无线 AP 的 RADIUS 流量负载。
图 3 使用 IAS RADIUS 代理来平衡身份验证流量负载
为了配置此例的 IAS,请执行以下步骤:
1.配置用于用户帐户和组的 Active Directory 林。
2.在多台计算机上将 IAS 配置为 RADIUS 服务器。
3.配置主 IAS RADIUS 代理。
4.配置辅助 IAS RADIUS 代理。
5.在无线 AP 上配置 RADIUS 身份验证和记帐。
Windows 2000 的 IAS 不支持 RADIUS 代理。 不过,您可以在此例中使用 Windwos Server 2003 中的 IAS 来充当 RADIUS 代理。 有关更多信息,请参见 Windows Server 2003“帮助和支持中心”中标题为“将 IAS 代理用于负载平衡”的主题。
为用户帐户和组配置 Active Directory。
为了给用户帐户和组配置 Active Directory,请执行以下操作:
1.在每个 Windows 2000 域控制器计算机上安装 Windows 2000 SP4。
2.确保正在建立无线连接的所有用户都有对应的用户帐户。 确保正在建立无线连接的所有计算机都有对应的计算机帐户。
3.将用户和计算机帐户上的远程访问权限设定为相应的设置。
4.将帐户组织到相应的组中,以便利用基于组的远程访问策略。
在多台计算机上将 IAS 配置为 RADIUS 服务器。
为了在每台计算机上将 IAS 配置为 RADIUS 服务器,请执行以下过程:
1.如果在使用 Windows 2000 IAS,则将 IAS 安装为一个可选的网络组件,然后再安装 Windows 2000 SP4。 如果使用 Windows Server 2003 IAS,则将 IAS 安装为一个可选的网络组件。
2.配置每个 IAS 服务器,使其可以读取相应域系统容器中的用户帐户属性。
3.如果需要,则启用记帐和身份验证事件的日志记录。
4.将 IAS RADIUS 代理添加为 RADIUS 客户端。 检验您是否在配置正确的名称或 IP 地址以及共享的机密。
5.创建用于无线网络访问的相应远程访问策略。
配置主 IAS RADIUS 代理
为了配置主 IAS RADIUS 代理,请执行以下过程:
1.在一台运行 Windows Server 2003 的计算机上,将 IAS 安装为一个可选的网络组件。 在其上安装 IAS 的计算机不需要专用于转发 RADIUS 消息。 例如,您可以在文件服务器上安装 IAS。
2.如果需要,可为无线 AP 发送的 RADIUS 消息配置附加的 UDP 端口。 默认情况下,IAS 将 UDP 端口 1812 和 1645 用于身份了验证,将端口 1813 和 1646 用于记帐。
3.将无线 AP 添加为 IAS 服务器的 RADIUS 客户端。 检验您是否在配置正确的名称或 IP 地址以及共享的机密。
4.使用“新建远程 RADIUS 服务器组向导”来创建一个自定义的远程 RADIUS 服务器组。 将每个 IAS RADIUS 服务器添加为该远程 RADIUS 服务器组的成员,并将每个组成员的优先级配置为 1,将权重配置为 50(默认设置)。
5.创建一个连接请求策略,该策略将 RADIUS 请求消息转发到一个领域名称与域中的帐户相匹配的 IAS 服务器。 使用“新建连接请求策略向导”来创建一个连接请求策略,该策略将连接请求转发到一个领域名称与林中的用户帐户的领域名称相匹配的远程 RADIUS 服务器。 清除如下复选框,该复选框删除用于身份验证的领域名称。 选择前面创建的远程 RADIUS 服务器组作为向其转发连接请求的组。
6.删除名为对所有用户使用 Windows 身份验证的默认连接请求策略。
配置辅助 IAS RADIUS 代理。
为了在另一台计算机上配置辅助 IAS RADIUS 代理,请执行以下过程:
1.在运行 Windows Server 2003的另一台计算机上,将 IAS 安装为一个可选的网络组件组件。
2.将主 IAS RADIUS 代理的配置复制到辅助 IAS RADIUS 代理。
在无线 AP 上配置 RADIUS 身份验证和记帐
在第三方无线 AP 上配置下列 RADIUS 设置:
1.主 RADIUS 服务器的 IP 地址或名称、公共的共享机密、用于身份验证和记帐的 UDP 端口,以及故障检测设置。
2.辅助 RADIUS 服务器的 IP 地址或名称、公共的共享机密、用于身份验证和记帐的 UDP 端口,以及故障检测设置。
为了在两个 IAS RADIUS 代理之间平衡 RADIUS 流量负载,可将带有主 IAS RADIUS 代理的那一半无线 AP 配置为主 RADIUS 服务器,将辅助 IAS RADIUS 代理配置为辅助 RADIUS 服务器;将带有辅助 IAS RADIUS 代理的另一半无线 AP 配置为主 RADIUS 服务器,将主 IAS RADIUS 代理配置为辅助 RADIUS 服务器。
有关更多信息,请参见无线 AP 的文档。 有关 Enterasys 无线 AP 的信息,请参见 http://www.enterasys.com/. 有关 Cisco 访问点的信息,请参见 Cisco 的主页: http://www.cisco.com/. 有关 Agere Systems 访问点的信息,请参见 Agere 的 ORiNOCO Web 站点: http://www.orinocowireless.com/.
附录 A:建议和最佳实践
下面是用于在大型企业中部署 IEEE 802.11 WLAN 的建议和最佳实践。
安全性
在设计安全的无线连接时,请使用以下最佳实践:
使用带 EAP-TLS 的 802.1X 来进行身份验证, 这是一个同时向所有无线客户端颁发计算机证书和用户证书的 PKI,并且它需要使用 WEP。
这个技术组合提供了不易受到离线字典攻击的强身份验证和每身份验证 (per-authentication) 的单播会话 WEP 密钥。 建议不要使用共享的密钥身份验证。
对于最强的身份验证配置,可在运行 Windows XP 的所有无线客户端上将 HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters\General\Global\AuthMode 设置为 1。
这个设置在用户成功登录运行 Windows XP 的计算机之后强制使用用户证书和用户身份验证。
为了防止恶意无线 AP 连接到您的有线网络(不管 SSID 如何),可使用支持对用户可访问的网络端口进行 802.1X 身份验证的交换机。
PKI
在安装 PKI 时,请使用以下最佳实践:
在部署 CA 之前规划 PKI。
根 CA 应该处于离线状态,其签名密钥应该使用硬件安全模块 (HSM) 进行保护,并保管在保险库中以最大限度地降低泄漏的可能性。
组织不应当直接从根 CA 向用户或计算机颁发证书,相反,应该部署:
一个离线的根 CA
离线的中级 CA
离线的颁发 CA(使用 Windows 2000 证书服务作为企业 CA)
这个 CA 基础结构提供了灵活性,杜绝了恶意用户危害根 CA 私钥的企图。 离线的 CA 和中级 CA 不必是 Windows 2000 CA。 颁发 CA 可以是第三方中级 CA 的从属 CA。 离线的 CA 需要在预设的时间段发布 CRL,或者在一切都停止的时候进行。
备份 CA 数据库、CA 证书和 CA 密钥,以防止关键数据丢失。 CA 的备份应该根据相同时间段内颁发的证书数量定期(每天、每周、每月)进行。 颁发的证书越多,CA 的备份就应该越频繁。
培训用户备份他们的密钥。 否则,他们将在映像(重复配置)新机器时遇到问题。
您应该仔细阅读 Windows 中关于安全权限和访问控制的概念,因为企业证书颁发机构基于证书申请者的安全权限来颁发证书。
对于用于无线访问的证书,请使用以下最佳实践:
为了安装计算机证书,请使用自动注册。
这需要在颁发者 CA 级使用 Windows 2000 或 Windows Server 2003“证书服务”服务器作为企业 CA。
为了安装用户证书,请使用自动注册。
这需要在颁发者 CA 级使用 Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition“证书服务”服务器作为企业 CA。
或者,为了安装用户证书,可使用 CAPICOM 脚本。
或者,可使用一个 CAPICOM 脚本来同时安装计算机和用户证书。
由于证书吊销检查可能由于证数链中每个证书的 CRL 不可用或过期而阻止无线访问,所以务必要为 CRL 的高可用性而设计 PKI。 例如,为证书层次结构中的每个 CA 配置多个 CRL 分发点,并配置发布计划以便最新的 CRL 始终可用。
无线 AP
在配置和部署无线 AP 时,请使用下列最佳实践:
使用支持 802.1X、128-位 WEP 和同时支持使用组播/全局和单播会话加密密钥的无线 AP。
更改无线 AP 的默认管理配置,比如管理级用户名和密码。
如果在通风区域(天花板瓷砖和天花板之间的空间)中安装无线 AP,你必须获得经通风认定的无线 AP以遵守防火规范。
为了最小化 S-Band ISM 频段中的 802.11b 无线频率上的串音,重叠覆盖区域应该具有五频道的隔离。 例如在美国,可使用频道 1、6 和 11。
如果使用 SNMP 来管理或配置无线 AP,可更改默认的 SNMP 社区名称。 如果可能,请使用支持 SNMPv2 的无线 AP。
无线网络适配器
在选择和部署无线网络适配器时,请使用以下最佳实践:
使用其驱动程序支持 Windows XP“无线自动配置”的无线网络适配器。
使用支持 128-位 WEP 加密密钥和同时支持组播/全局和单播会话密钥的无线网络适配器。
为了简化部署,可使用具有 Windows XP 已经附带的即插即用驱动程序或可通过 Windows Update 获得驱动程序的无线网络适配器。 (http://www.windowsupdate.com)。
避免安装随无线网络适配器一起提供的无线配置实用程序,而要使用 Windows XP“自动配置”。
Active Directory
在配置用于无线访问的 Active Directory 时,请使用以下最佳实践:
如果您有本机模式的域,并且在使用基于组的无线远程访问策略,可使用通用组和全局组来将无线帐户组织到一个组中。 此外,还要将计算机和用户帐户的远程访问权限设置为通过远程访问策略控制访问。
如果使用 Windows 2000 企业 CA 作为颁发 CA,可使用计算机配置自动证书申请设置组策略设置来自动向所有域成员颁发计算机证书。
确保为所有相应的域系统容器配置了计算机证书自动注册——不管是通过继承父系统容器的组策略设置,还是明确地配置。
RADIUS
在部署用于无线访问的 RADIUS 基础结构时,请使用以下最佳实践:
如果无线 AP 支持,可使用 Internet 协议安全 (IPSec) 和封装式安全措施负载 (ESP) 来为无线 AP 与 IAS 服务器之间以及 IAS 服务器与 IAS 服务器之间的 RADIUS 流量提供数据保密性。 如果可能,可将 3DES 加密证书用于“Internet 密钥交换”(IKE) 主模式身份验证。 IAS 服务器之间发送的 RADIUS 流量的 IPSec 设置可以使用组策略来配置,并在 Active Directory 系统容器级分配。 有关 IPSec 的更多信息,请参见 Windows Server 2003 IPSec 网站(http://www.microsoft.com/windowsserver2003/technologies/networking/ipsec/default.mspx)。
为了给未受保护的 RADIUS 流量提供最大限度的安全性,可选择至少 22 个键盘字符长度的大小写字母、数字和标点符号的随机序列的共享机密。
如果可能,可使用一个随机字符生成程序来确定要在 IAS 服务器和无线 AP 上配置的共享机密。
尽可能使用许多不同的 RADIUS 共享机密。 RADIUS 共享机密的实际数量取决于配置约束和管理考虑。
例如,IAS 允许每客户端或每服务器基础上的 RADIUS 共享机密配置。 然而,许多无线 AP 允许将单个 RADIUS 共享机密同时用于主要和辅助 RADIUS 服务器。 在这样的情况下,单个 RADIUS 共享机密将用于两个不同的“RADIUS 客户端-RADIUS 服务器”对:带主 RADIUS 服务器的无线 AP 和带辅助 RADIUS 服务器的无线 AP。 此外,如果使用 netsh aaaa show 和 netsh exec 命令来将一个 IAS 服务器(主 IAS 服务器)的配置复制到另一个(辅助 IAS 服务器),每个无线 AP/主 IAS 服务器对的 RADIUS 共享机密必须与每个无线 AP/辅助 IAS 服务器对的共享机密相同。
由于 Windows Server 2003, Enterprise Edition 和 Windows Server 2003, Datacenter Edition 版的 IAS 允许配置一系列的 IP 地址来定义单个 RADIUS 客户端(例如,在 Microsoft 的单栋建筑中的单个子网上的所有无线 AP),IAS RADIUS 客户端定义的所有无线 AP/IAS 服务器对都配置了相同的 RADIUS 共享机密。
如果存在单独的帐户数据库,比如没有双向信任的不同 Active Directory 林或域,您必须在无线 AP 和提供身份验证及授权处理的 RADIUS 服务器之间使用 RADIUS 代理。
Windows Server 2003 IAS 通过连接请求策略配置和远程 RADIUS 服务器组来支持 RADIUS 代理功能。 对于此例,创建连接请求策略是为了匹配对应于每个帐户数据库(比如不同的 Active Directory 林)的 User-Name RADIUS 属性的不同部分。 RADIUS 消息被转发给与连接请求策略相匹配的对应远程 RADIUS 服务器组的成员。
检查无线 AP 是否需要特定供应商的 RADIUS 属性 (VSA),并在远程访问策略配置期间在远程访问策略配置文件的高级选项卡上配置它们。
性能
在设计性能时,请使用以下最佳实践:
不要连接太多的无线客户端来使得无线 AP 超载。 虽然大多数无线 AP 能够支持数百个无线连接,但是实用的上限是 20 至 25 个客户端。 每个无线 AP 平均 2 至 4 个用户是在最大化性能的同时仍然有效利用无线 LAN 的理想平均数。
对于更高密度的场合,可降低无线 AP 信号强度来将小覆盖范围,从而允许特定空间能容纳更多无线 AP,以及向更多的无线客户端分配更多的无线带宽。
可伸缩性
在设计可伸缩性时,请使用以下最佳实践:
对于 Active Directory 林中大量的身份验证流量,可在无线 AP 和 RADIUS 服务器之间使用一个运行 Windows Server 2003 IAS 的 RADIUS 代理层。
默认情况下,IAS RADIUS 代理在每身份验证的基础上在远程 RADIUS 服务器组的所有成员之间平衡 RADIUS 流量的负载,并使用故障转移和故障恢复机制。 远程 RADIUS 服务器组的成员还可以单独地配置优先级和权重,以便 IAS 代理偏向某个特定的 RADIUS 服务器。
附录 B:使用仅计算机 (Computer-only) 身份验证
有些网络管理员希望仅使用计算机身份验证。 通过仅使用计算机身份验证,无线客户端计算机必须使用计算机证书(在使用 EAP-TLS 身份验证的时候)或计算机帐户的名称和密码(在使用 PEAP-MS-CHAP v2 身份验证的时候)来向无线 AP 执行计算机级 802.1X 身份验证,然后才能访问组织的网络。 对于仅计算机的身份验证,只有合法的计算机才能连接到无线网络。 在组织的域中没有帐户的计算机不能连接。 这样可以防止用户将计算机带回家,然后连接到组织的无线 LAN。 家庭计算机对组织的网络来说代表着威胁,因为它们的管理方式和成员计算机不同,可能会将病毒或其他恶意程序带到组织的网络中。
有关计算机身份验证和用户身份验证的更多信息,请参见“Windows XP Wireless Deployment Technology and Component Overview”,地址为: http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wificomp.mspx.
您可以使用“无线网络 (IEEE 802.11) 策略组策略”扩展或通过注册表来配置仅计算机的身份验证。
使用“无线网络 (IEEE 802.11) 策略组策略”扩展来配置仅计算机的身份验证
为了使用“无线网络 (IEEE 802.11) 策略组策略”扩展来配置仅计算机的身份验证,请在对应于无线网络的首选网络的 802.1x 选项卡上的计算机身份验证中选择仅计算机。 图 4 显示了一个示例。
图 4 在“无线网络 (IEEE 802.11) 策略组策略”扩展中选择仅计算机身份验证
有关更多信息,请参见“Configuring Wireless Settings Using Windows Server 2003 Group Policy”,地址为: http://www.microsoft.com/technet/community/columns/cableguy/cg0703.mspx.
使用注册表来启用仅计算机身份验证
为了通过注册表配置仅计算机身份验证,所有 Windows 客户端都必须具有下列注册表值设置:
HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters\General
\Global\AuthMode=2
将 AuthMode 设置设定为 2,则会尝试仅计算机身份验证。 用户身份验证则永远不会被尝试。
为了在运行 Windows 的所有计算机上添加这个注册表设置,可以使用下列工具:
Regini.exe(来自 Windows 2000 Server 资源工具包工具)
Reg.exe(来自 Windows Server 2003 资源工具包工具)
在这两种情况下,您都将创建一个由这些工具准备好的脚本文件来添加注册表设置。 这些工具必须在本地管理员帐户的安全上下文中运行。
或者,您可以使用网络管理软件来更改被管理的计算机上的注册表设置。
结束语
您可以使用 EAP-TLS 或 PEAP-MS-CHAP v2 来执行安全的无线身份验证和每会话的动态 WEP 密钥管理。 对于 EAP-TLS,您必须部署一个能够向 IAS 服务器颁发证书以及向无线客户端计算机和用户同时颁发计算机和用户证书的证书基础结构。 对于 PEAP-MS-CHAP v2,您只需在 IAS 服务器上安装计算机证书——只要无线客户端上已经安装了相应的根 CA 证书。 对于这两种情况,您都必须管理用于无线访问的 Active Directory 用户和计算机组,将 IAS 服务器配置为无线 AP 的 RADIUS 服务器,以及将无线 AP 配置为 IAS 服务器的 RADIUS 客户端。 您还可以配置用于业务合作伙伴的 Internet 访问,使用第三方 CA,以及使用 IAS RADIUS 代理来进行跨林身份验证或负载平衡。
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |