- 1、本文档共59页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
IPAD通过802.1X+证书安全认证解决方案
实验拓扑
拓扑阐明:WindowsServerIP:36
WindowsServer网关:41
???????????????ACIP:40
???????????????AP管理IP:00
???????????????三层互换机和AP互联IP:
?三层互换机和AC互联IP:41
三层互换机针对VLAN20建立DHCP地址池:~00
网关54
环境阐明:本实验需要用到WindowsServer,并且在WindowsServer安装DNS、AD、CA、IAS等组件,采用CA为IAS以及终端颁发证书,AD域建立顾客,IAS作为radius服务器对终端顾客进行认证并对客户端证书进行有效性检测。在AC上对于无线接入启用802.1X认证,密钥认证方式为WPA+公司级。
依照上面拓扑环境,IPAD连接无线SSID后,输入顾客名和密码到windows进行顾客以及证书验证,验证通过后自动获取IP地址,并能PING通AC。
【实验设备】WindowsServer1台,AC1台,AP1台,三层互换机1台,测试IPAD1台,网线若干。
【实验环节】
一.配备WindowsServer
注:在配备前将WIN安装光盘放入光驱
1.安装WindowsServerAD(活动目录)
在WindowsServer上,点击“开始”----“运营”,输入“dcpromo”,点“拟定”,启动“活动目录安装向导”。如下图:
此处选取“新域域控制器”,使此计算机作为此域域控制器(DC)。
此处选取“在新林中域”。
输入“”作为新建域域名。
设立NetBIOS域名,此处使用默认“TEST”。
设立数据库和日记文献保存途径,此处选取默认设立。
设立共享系统卷,此处使用默认设立。
DNS注册诊断,由于此服务器还没有安装DNS服务器组件,因而显示诊断失败,这里选取“在这台计算机安装并配备DNS服务器,并将这台DNS服务器设为计算机首选DNS服务器”。
设立顾客和组对象默认权限,此处选取默认设立。
设立目录还原模式管理员密码。
开始安装和配备活动目录。
活动目录安装完毕。
点击“及时重新启动”,重启windowsserver。
2.安装并配备证书服务器(CA)
IEEE802.1X在容许网络客户端访问网络之前使用EAP来对其进行身份验证。EAP最初设计用于点对点合同(PPP)连接,它容许顾客创立任意身份验证模式来验证网络访问。祈求访问客户端和进行身份验证服务器必要一方面协商特定EAP身份验证模式(称为EAP类型)使用。在就EAP类型达到一致之后,EAP容许访问客户端和身份验证服务器(普通是一种RADIUS服务器)之间进行无限制对话。
在基于802.1X认证合同中,咱们采用是PEAP(ProtectedExtensibleAuthenticationProtocol)验证方式。这是一种基于密码验证合同,可以协助公司实现简朴、安全验证功能。
PEAP是一种EAP类型,它一方面创立同步被加密和使用传播层安全(TLS)来进行完整性保护安全通道。然后进行另一种EAP类型新EAP协商,从而对客户端网络访问尝试进行身份验证。由于TLS通道保护网络访问尝试EAP协商和身份验证,因而可以将普通容易受到脱机字典袭击基于密码身份验证合同可用于在安全网络环境中执行身份验证。
PEAP是一种通过TLS来进一步增强其他EAP身份验证办法安全性身份验证机制。面向Microsoft802.1X身份验证客户端PEAP提供了针对TLS(PEAP-TLS,同步在服务器身份验证过程与客户端身份验证过程中使用证书)与Microsoft质询握手身份验证合同2.0版(PEAP-MS-CHAPv2,在服务器身份验证过程中使用证书,而在客户端身份验证过程中使用基于口令授权凭证。若客户端但愿对网络进行认证,必要下载证书)支持能力。
MS-CHAPv2是一种基于密码质询-响应式互相身份验证合同,使用工业原则“信息摘要4(MessageDigest4,MD4)”和数据加密原则(DataEncryptionStandard,DES)算法来加密响应。身份验证服务器质询接入客户端,然后接入客户端又质询身份验证服务器。如果其中任一质询没有得到对的回答,连接就被回绝。
通过上面简介,咱们可以得出结论:不论对无线连接使用哪种身份验证办法(PEAP-TLS或PEAP-MS-CHAPv2),都必要在IAS服务器上安装计算机证书。
安装一种证书服务即指定一种证书颁发机构(CA),证书可以从第三方CA机构获取,例如VeriSign,或者从公司内部CA机构颁发。这
文档评论(0)