无线802.X计算机认证和用户认证With.PDFVIP

无线802.X 计算机认证与用户认证With FortiAuthenticator and Widonws AD 版本 1.0 时间 2015 年9 月 支持的版本 Fortios v5.0.x 及以上版本 作者 李威峰 状态 草稿 反馈 support_cn@ 特别的提示 目录 介绍3 测试拓扑3 组件4 认证原理4 配置过程5 FortiAC 配置5 FAC 配置6 1.配置远程LDAP 服务器和 把FAC 自身加入Windows 域7 2.修改本地DNS 指向与域集成的那台DNS8 3.EAP 服务器证书9 4.配置Radius 服务client 10 Windows AD 配置12 计算机认证测试12 1.连接该SSID 时，需要手工点击该SSID 连接。12 2.在FortiAC 上观察，此认证已经通过13 3. 在FAC 上观察，Windows Device Logins 下显示计算身份认证成功的 计算机13 4.抓包分析13 5.认证通过后客户端自动生成的配置15 6.重启windows ，开机后观察802.1X 计算机认证状态16 普通Windons 使用域上帐号认证测试17 1.连接该SSID 17 2.FortiAC 上能够看到用户认证通过19 3.抓包分析19 加入域的计算机单点登录认证测试20 使用手机连接802.1x21 总结23 参考文档23 Fortinet 公司 第 2 页 / 共23 页 介绍 在《无线802.1X 计算机认证与用户认证with Windows IAS （NPS）》中， 已经介绍了802.1X认证的搭配，其中一段话 “如果MS-CHAP-V2 内层身份认证后， 就要求Radius 能够访问用户密码的MD4 散列值，也要求密码是MD4 散列值方式 存储。当然也可以通过 “巧妙的设计”进行变通访问，详细见其它文章。” 本文就详细介绍在不安装 Windows IAS (NPS) 的情况如何使用 FortiAuthenticator （以下简称FAC）外挂Windows DC 实现 “变通的访问”， 确切的说，是拿着Radius 中认证客户端提供MS-CHAP-V2 的Radius-Request 中 质询响应和质询值到Windows DC 上去认证（NETLOGON ）。 FortiAuthenticator 是Fortinet 公司强大的认证和授权服务器，能够实现 复杂的需求，并能够外挂远程的Radius 和LDAP 服务器，在复杂的认证场景下强 烈推荐使用。 另外：在802.1X 认证中，如果认证客户端提供密码不使用明文方式，（如 MS-CHAP-V2 提供的是质询响应和质询值），在FortiAC 通过LDAP 服务器方式无 法实现认证。 测试拓扑 Fortinet 公司 第 3 页 / 共23 页 如上图所示，要求的基础配置如下： 1. FAP注册到FortiAC, FAP 发布的SSID 启用本地转发（隧道模式也可） 模式。 2. FAP 发布的SSID 下的认证方式配置为WPA-Enterprise 企业认证。 3. WPA-Enterprise 认证数据库选择Radius。 4. FAC 配置外挂远