基于域的无线安全认证方案及配置(AD+IAS).docxVIP

基于域的无线安全认证方案 1 前言： 目前，大多数公司在管理内部计算机及用户时，多采用微软的活动目录，而且大部 分公司在进行无线网络搭建时，多倾向于使用现有的域结构对用户和计算机进行认 证，本文详细的说明了基于现有域基础上的无线认证，H3C 无线控制器与微软 IAS（备注 1）结合，实现了将无线网络无缝的嵌入到用户现有域结构中，并实现 在用户登录域过程中，完成无线连接，域计算机认证，域用户认证等多项功能。 2 组网图 3 需要的设备： Windows server 2003 （非 web 版）（一台） 域控制器，DNS 服务器，IAS 服务器均在这台 server 上 windows server 2003 安装光盘 IIS 6.0 resource kit(备注 2) 1 PC（一台） 配置一块无线网卡 AC（任意型号）（一台） AP（任意型号）（若干） 4 详细配置： 4.1 Windows server 2003 端配置： 由于本文讲的是在已存在域上进行相关设置，所以建立域的过程省略。 安装 IAS Windows server 2003 默认安装时不会安装任何的附加安全组件，因此用户需要手 动安装 IAS，此过程需要 windows server 2003 安装光盘。打开控制面板，点击添 加删除程序，并选择“添加/删除 windows 组件”，向下拉动滚动条，找到“网络 服务”项，双击进入， 找到 internet 验证服务，选中，点击确定，并依次点击下一步，完成 IAS 安装。 2 安装 IAS 后，可以通过管理工具或开始菜单来启动 IAS 启动后界面如下图： 3 首先要做的是检查并设置日志策略，右键点击 internet 验证服务（本地），选择 属性 4 选中红框内的 2 个选项后，就可以通过 windows 的时间服务器查看登录信息，这对 定位登录问题很有帮助，建议勾选。 端口标签显示了默认的 radius 端口，微软 IAS 会监听这 2 套端口，较低的端口号 是传统的端口号码，微软偏向于使用较高的端口号码。 5 下面是设置访问日志，分为本地日志和 SQL 日志，本文不涉及 SQL 日志设置。点击 远程访问记录，在右侧窗口中的本地文件上点右键，选择属性。 在设置标签中，你可以选择需要记录的事件，建议全选。 6 日志文件标签中，可以设置日志的文件和文件的体积限制。 建立 radius 用户，这里用户的概念是指无线交换机（AC）。 添加好接入设备的名称和 IP 地址 7 Radius 协议选择 RADIUS Standard，在 AC 上也要设置为 standard（如果两端设置 不同，可能会导致异常），共享的机密 IAS 和 AC 上要设置相同，否则 AC 与 IAS 将 无法通信。 点击完成，完成添加 RADIUS 用户操作。 添加远程访问策略 8 远程访问策略是对试图接入的用户进行验证和授权 9 添加一个策略名,点击下一步 选择无线，点击下一步 10 我们要对计算机和用户进行授权，点击“添加” 在空白处输入 domain computer 后，点击检查名称，然后再输入 domain users 后， 点击检查名称。 11 需要注意的是，domain computer 是用来验证你的计算机的“机器验证“，也就是 说，不论用户是否登录，都会先验证用户的计算机是否具有接入资格，这种方式模 拟了无线局域网环境中所出现的问题，因此是一种非常有效的验证手段。 如果“机器验证“没有进行，那么组策略以及登录脚本就不会执行，另外，只有已 存在于无线接入计算机中的用户才能够正常登录，因此，如果用户之前从未使用该 计算机登录无线网络，将无法对其进行域认证。正因为如此，我们建议 windows 客 户使用 windows 无线网络客户端，并且建议管理员采用自动部署方式完成对客户端 的无线网络配置。 12 注意，上图中我们看到允许访问的计算机组和用户组，这两个组之间的关系是“或 “，即符合其中任意一项都可以成功接入，如果仅想使用计算机验证，则删除掉用 户组验证就可以。反之亦然。 点击下一步 在点击下一步前，请先进行备注 2 的操作，备注 2 的操作是为了生成一个自签名证 书，按照备注 2 操作完成后，点击配置（如果没有进行操作 2，则会报告未找到证 书）。 13 点击确定，并完成向导。 调整远程接入策略 完成上述步骤后，我们会看到一个与之前命名一致的远程接入策略出现在窗口中， 其余的 2 个是默认的策略。在默认状态下，新建立的策略是禁用的，因此需要编辑 该策略，右键点击选择属性。 14 我们可以看到，窗口中有 2 个策略状况，这 2 者之间是 and 的关系，即如果某一接 入状况同时符合这 2 个规定，则可以通过，否则就无法通过该策