受保护的.pdfVIP

配置交换机与Windows IAS 实现MD5-质询、受保护的 EAP(PEAP)、智能卡或其它证书的三种身份验证实验手册 V2.0 NETGEAR 中国区客户服务部 技术支持工程师 王旋 2008-5-16 目 录 一、知识简介 3 1、802.1x 身份验证3 2、身份验证方法4 2.1、MD5-质询4 2.2、受保护的 EAP (PEAP)4 2.3、智能卡和其他证书身份验证8 3、用可还原的加密来储存密码8 二、网络拓扑： 9 三、配置交换机(CLI) 10 四、配置Windows IAS服务器： 11 1、环境：11 2、配置过程：11 五、工作站： 19 1、工作环境：19 2、配置过程：19 2.1、MD5-质询19 2.2、受保护的EAP(PEAP)21 2.3、智能卡或其它证书24 一、知识简介 1、802.1x 身份验证 IEEE 802.1x 标准允许对 802.11 无线网络和有线以太网进行身份验证和 访问。 当用户希望通过某个本地局域网 (LAN) 端口访问服务时，该端口可以承担 两个角色中的一个：“身份验证器”或者“被验证方” 。作为身份验证器，LAN 端口 在允许用户访问之前强制执行身份验证。作为被验证方，LAN 端口请求访问用 户要访问的服务。“身份验证服务器”检查被验证方的凭据，让身份验证方知道被 验证方是否获得了访问身份验证方的服务的授权。 IEEE 802.1x 使用标准安全协议来授权用户访问网络资源。用户身份验证、 授权和记帐是由“远程验证拨号用户服务 (RADIUS)”服务器执行的。RADIUS 是 支持对网络访问进行集中式身份验证、授权和记帐的协议。RADIUS 服务器接 收和处理由 RADIUS 客户端发送的连接请求。 此外，IEEE 802.1x 还通过自动生成、分发和管理加密密钥，利用有线等效 保密 (WEP) 加密来解决许多问题。 为了增强安全性，您可以启用 IEEE 802.1x 身份验证，它可以确保对 802.11 无线网络和有线以太网的访问都通过了身份验证。IEEE 802.1x 身份验 证最大限度地减少了无线网络安全风险，例如，对网络资源进行未经授权的访问 及窃听。它提供了用户和计算机标识、集中的身份验证和动态密钥管理。利用 IEEE 802.1x 为“可扩展的身份验证协议”(EAP) 安全类型提供的支持，您可以使 用诸如智能卡、证书这样的身份验证方法。EAP 安全类型包括 EAP-TLS 、具 有 EAP-TLS 的受保护的 EAP (PEAP) 和 Microsoft 质询握手身份验证协议 版本 2 (MS-CHAPv2) 。 如果计算机要求访问网络资源而不考虑用户是否登录网络，您就可以利用 IEEE 802.1x 身份验证指定计算机是否尝试该网络的身份验证。例如，管理远程 管理服务器的数据中心操作员可以指定服务器应该尝试访问网络资源的身份验 证。您也可以指定如果用户或计算机信息不可用时，计算机是否尝试该网络的身 份验证。例如，“Internet 服务提供商”(ISP) 可以使用此身份验证选项允许用户 访问免费的 Internet 服务或可以订购的 Internet 服务。公司可向访问者授予有 限的来宾访问权限，这样他们就可以访问 Internet ，但不能访问保密的网络资源。 2、身份验证方法 2.1、MD5-质询 “消息摘要 5 质询 (MD5-质询)”是一种必要的 EAP 类型，它使用与基 于 PPP 的 CHAP 相同的质询握手协议，但是其质询和应答都是以 EAP 消息 传送的。 MD5 质询的典型应用是：通过使用用户名和密码安全系统来验证远程访问 客户端的凭据。也可以使用 MD5 质询来测试 EAP