无线网络概述3
作為?RADIUS?服務器的?IAS
IAS?可用作?RADIUS?服務器,為?RADIUS?客戶端執行身份驗證、授權和記帳。RADIUS?客戶端可以是一個訪問服務器,也可以是?RADIUS?代理。圖?16?顯示了作為?RADIUS?服務器的?IAS。
?
圖?16?作為?RADIUS?服務器的?IAS
查看大圖
當?IAS?作為?RADIUS?服務器使用時,它可以提供以下功能:
| ? | 為?RADIUS?客戶端發送的所有訪問請求提供集中身份驗證和授權服務?IAS?使用?Windows?NT?Server?4.0?域、基于?Active?Directory?的域或本地安全帳戶管理器?(SAM)?來驗證連接嘗試的用戶憑據。IAS?使用用戶帳戶的撥入屬性和遠程訪問策略對連接進行授權。 |
| ? | 為?RADIUS?客戶端發送的所有記帳請求提供集中計帳服務?記帳請求存儲在本地日志文件中以供分析。 |
在以下情況下可以將?IAS?用作?RADIUS?服務器:
| ? | 使用?Windows?NT?Server?4.0?域、基于?Active?Directory?的域或本地安全帳戶管理器?(SAM)?作為訪問客戶端的用戶帳戶數據庫。? |
| ? | 在多個撥號服務器、VPN?服務器或請求撥號路由器上使用?Windows?2000?路由和遠程訪問服務,并且想集中配置遠程訪問策略和連接登錄以便于計帳。? |
| ? | 將您的撥號訪問、VPN?訪問或無線訪問外包給服務提供商。訪問服務器使用?RADIUS?驗證和授權由您組織的成員進行的連接。? |
| ? | 希望對一組不同種類的訪問服務器集中進行身份驗證、授權和記帳。? |
作為?RADIUS?代理的?IAS
Internet?驗證服務?(IAS)?可以用作?RADIUS?代理,以便路由?RADIUS?客戶端(訪問服務器)和?RADIUS?服務器(對連接嘗試執行用戶身份驗證、授權和記帳)之間的?RADIUS?消息。當作為?RADIUS?代理使用時,IAS?是?RADIUS?訪問和記帳消息傳遞時通過的中央交換點或路由點。IAS?在記帳日志中記錄有關被轉發消息的信息。
圖?17?顯示了?IAS?作為?RADIUS?客戶端(訪問服務器)與?RADIUS?服務器或其他?RADIUS?代理之間的?RADIUS?代理。
圖?17?作為?RADIUS?代理的?IAS
查看大圖
在以下情況下可以將?IAS?用作?RADIUS?代理:
| ? | 您是一個服務提供商,向多個客戶提供外包撥號、虛擬專用網絡?(VPN)?或無線網絡訪問服務。? |
| ? | 您想為以下用戶帳戶提供身份驗證和授權:它既不是?IAS?服務器所屬域的成員,也不是與?IAS?服務器所屬域具有雙向信任關系的域的成員。? |
| ? | 您想使用?Windows?帳戶數據庫之外的數據庫執行身份驗證和授權。 |
| ? | 您想處理大量的連接請求。IAS?RADIUS?代理可以動態平衡多個?RADIUS?服務器之間的連接和記帳請求的負載,并且每秒可以處理更多的?RADIUS?客戶端和身份驗證。? |
| ? | 您想為外包服務提供商提供?RADIUS?身份驗證和授權,并最大限度地減少內部網的防火墻配置。? |
有關將?IAS?用作?RADIUS?代理的更多信息,請參見“Windows?Server?2003?幫助和支持”。
遠程訪問策略
對于?Windows?2000?Server?和?Windows?Server?2003?中的?IAS,網絡訪問是根據用戶帳戶的撥入屬性和遠程訪問進行授權的。遠程訪問策略是一組按順序排列的規則,定義授權或拒絕連接的方式。對于每個規則,都有一個或多個條件,一組配置文件設置和遠程訪問權限設置。
如果授權某個連接,遠程訪問策略配置文件將指定一組連接限制。用戶帳戶的撥入屬性也提供一組限制。如果適用,用戶帳戶連接限制將覆蓋遠程訪問策略配置文件的連接限制。
遠程訪問策略的條件和限制
遠程訪問策略在授權連接之前要驗證許多連接設置,其中包括:
| ? | 組成員身份? |
| ? | 連接類型? |
| ? | 時間? |
高級條件包括:?
| ? | 訪問服務器的身份? |
| ? | 訪問客戶端電話號碼或?MAC?地址? |
| ? | 是否允許未經身份驗證的訪問? |
在授權連接后,還可以使用遠程訪問策略來指定以下連接限制:
| ? | 空閑超時時間? | ||||
| ? | 最長會話時間? | ||||
| ? | 加密強度? | ||||
| ? | 身份驗證方法 | ||||
| ? | IP?數據包篩選器? | ||||
| ? | 高級限制:?
? |
此外,您也可以根據以下設置更改連接限制:
| ? | 組成員身份? |
| ? | 連接類型? |
| ? | 時間? |
| ? | 身份驗證方法? |
| ? | 訪問服務器的身份? |
| ? | 訪問客戶端電話號碼或?MAC?地址? |
| ? | 是否允許未經身份驗證的訪問? |
例如,您可以使用為不同類型的連接或組指定不同的最長會話時間的策略。此外,還可以為業務合作伙伴或未經身份驗證的連接指定受限制的訪問。
用戶帳戶或計算機帳戶的撥入屬性
在?Windows?2000?和?Windows?Server?2003?中,基于?Active?Directory?的服務器的用戶帳戶和計算機帳戶包含一組撥入屬性,這些屬性用于允許或拒絕某個連接嘗試。在基于?Active?Directory?的服務器上,您可以在“Active?Directory?用戶和計算機”管理單元中的“撥入”選項卡上為用戶帳戶和計算機帳戶設置撥入屬性。圖?18?顯示了“撥入”選項卡。
?
?
用戶帳戶和計算機帳戶的撥入屬性有:
| ? | 遠程訪問權限(撥入或?VPN)? 您可以使用此屬性將遠程訪問權限設置為明確允許、拒絕或通過遠程訪問策略確定。在所有情況下,遠程訪問策略都還用于授權連接嘗試。如果訪問被明確允許,遠程訪問策略條件、用戶帳戶屬性或配置文件屬性仍可以拒絕連接嘗試。“通過遠程訪問策略控制訪問”選項僅在本機模式域中的用戶帳戶和計算機帳戶上可用。 為本機模式域創建的新帳戶被設置為“通過遠程訪問策略控制訪問”。在混合模式域中創建的新帳戶被設置為“拒絕訪問”。 |
| ? | 驗證呼叫方?ID? 如果啟用此屬性,服務器將驗證呼叫方的電話號碼。如果呼叫方的電話號碼與配置的電話號碼不匹配,連接嘗試將被拒絕。 呼叫方、呼叫方和遠程訪問服務器之間的電話系統以及遠程訪問服務器必須支持呼叫方?ID。在運行路由和遠程訪問服務的計算機上,呼叫方?ID?支持包括呼叫應答設備(提供呼叫方?ID?信息)和適當的驅動程序(用于將呼叫方?ID?信息傳遞到路由和遠程訪問服務)。 如果為用戶配置了呼叫方?ID?電話號碼,但不支持將呼叫方?ID?信息從呼叫方傳遞到路由和遠程訪問服務,則連接嘗試將會被拒絕。 |
| ? | 回撥選項? 如果啟用此屬性,在連接過程中服務器將回叫呼叫方。服務器使用的電話號碼由呼叫方或網絡管理員設置。 |
| ? | 分配靜態?IP?地址? 在建立連接時,您可以使用此屬性向用戶分配一個特定的?IP?地址。 |
| ? | 應用靜態路由? 在建立連接時,您可以使用此屬性定義一系列靜態?IP?路由,這些路由會被添加到運行路由和遠程訪問服務的服務器的路由表中。此設置是針對?Windows?2000?路由器用于請求撥號路由的用戶帳戶設計的。 注意?僅當域控制器上安裝了?Windows?2000?Service?Pack?3?或更高版本后,Windows?2000?域中的計算機帳戶的撥入屬性才可用。 |
授權管理模型
使用遠程訪問策略進行授權的方式有兩種:
| 1. | 按用戶? |
| 2. | 按組? |
按用戶授權
如果按用戶管理授權,應將用戶帳戶或計算機帳戶的遠程訪問權限設置為“允許訪問”或“拒絕訪問”,也可以根據不同連接類型創建不同的遠程訪問策略。例如,您可能希望將一個遠程訪問策略用于撥號連接,將另一個遠程訪問策略用于無線連接。建議您僅在管理少量用戶帳戶或計算機帳戶時才按用戶管理授權。
如果按用戶管理授權,則授權連接嘗試的基本過程如下:
| 1. | 如果連接嘗試與所有策略條件都匹配,則檢查帳戶的遠程訪問權限設置。? |
| 2. | 如果遠程訪問權限設置為“允許訪問”,則應用策略配置文件和用戶帳戶的連接設置。? |
| 3. | 如果遠程訪問權限設置為“拒絕訪問”,則拒絕連接嘗試。? |
| 4. | 如果連接嘗試不與所有策略條件都匹配,則處理下一個遠程訪問策略。? |
| 5. | 如果連接嘗試不與任何遠程訪問策略的所有條件相匹配,則拒絕連接嘗試。 |
按組授權
如果按組管理授權,應將帳戶的遠程訪問權限設置為“通過遠程訪問策略控制訪問”,并創建基于不同連接類型和組成員身份的遠程訪問策略。例如,您可能希望將一個遠程訪問策略用于雇員(“雇員”組的成員)的撥號連接,將另一個遠程訪問策略用于承包商(“承包商”組的成員)的撥號連接。
如果按組管理授權,則授權連接嘗試的基本過程如下:
| 1. | 如果連接嘗試與所有策略條件都匹配,則檢查遠程訪問策略的遠程訪問權限。? |
| 2. | 如果遠程訪問權限設置為“授予遠程訪問權限”,則應用策略配置文件和用戶帳戶的連接設置。? |
| 3. | 如果遠程訪問權限設置為“拒絕遠程訪問權限”,則拒絕連接嘗試。? |
| 4. | 如果連接嘗試不與所有策略條件都匹配,則處理下一個遠程訪問策略。? |
| 5. | 如果連接嘗試不與任何遠程訪問策略的所有條件相匹配,則拒絕連接嘗試。 注意?“通過遠程訪問策略控制訪問”遠程訪問權限設置僅適用于本機模式域的帳戶。 |
?
返回頁首
證書
這一部分介紹以下主題:
| ? | 不建議將遠程訪問權限設置為“通過遠程訪問策略控制訪問”而不使用組來管理網絡訪問。? |
| ? | 計算機身份驗證和用戶身份驗證? |
| ? | 獲取?IEEE?802.1X?身份驗證的證書? |
| ? | 組策略和?IEEE?802.1X?身份驗證 |
計算機身份驗證和用戶身份驗證
為了成功地通過無線?AP?對?Windows?無線計算機進行身份驗證,您必須安裝計算機證書、用戶證書或者兩者都安裝。運行?Windows?XP、Windows?Server?2003?和?Windows?2000?的無線客戶端可以使用?EAP-TLS?驗證計算機或登錄到計算機上的用戶。?
為了對計算機進行身份驗證,Windows?無線計算機在?EAP-TLS?身份驗證期間會提交一份存儲在“本地計算機”證書存儲區中的計算機證書(連同證書鏈)。“本地計算機”證書存儲區始終可用,不管是否有用戶登錄到計算機,也不管是誰登錄到了計算機。更為重要的是,“本地計算機”證書存儲區在計算機的啟動過程中即已經可用。
為了對登錄到計算機的用戶進行身份驗證,Windows?無線計算機在?EAP-TLS?身份驗證期間會提交一份存儲在“當前用戶”證書存儲區中的用戶證書。用戶的證書存儲區只有在用戶使用適當的憑據成功登錄到計算機之后才可用。登錄到計算機的各個用戶都有各自的用戶證書存儲區。用戶證書在啟動過程中不可用。
如果沒有安裝計算機證書,在無線?AP?范圍之內啟動的?Windows?無線客戶端計算機將與它進行關聯,但身份驗證將會失敗。用戶可以使用緩存的憑據登錄到沒有無線局域網連接的計算機。一旦成功登錄,用戶的證書存儲區就可以使用,接下來使用安裝的用戶證書與無線?AP?進行的身份驗證將會成功。?
以下注冊表設置控制?Windows?XP?和?Windows?Server?2003?中的計算機和用戶身份驗證行為:
AuthMode
Key:?HKEY_LOCAL_MACHINE/Software/Microsoft/EAPOL/Parameters/General/Global?
Value?Type:?REG_DWORD?
Valid?Range:?0-2?
Default?value:?0?
Present?by?default:?No
值:?
| ? | 0?-?計算機身份驗證模式?如果計算機身份驗證成功,則不嘗試用戶身份驗證。如果在計算機身份驗證之前用戶登錄成功,則執行用戶身份驗證。這是沒有安裝?Service?Pack?的?Windows?XP?的默認設置。 |
| ? | 1?-?計算機身份驗證和重新身份驗證?如果計算機身份驗證成功完成,隨后的用戶登錄會導致使用用戶證書重新進行身份驗證。用戶登錄必須在?60?秒內完成,否則現有的網絡連接將會終止。用戶證書用于隨后的身份驗證或重新身份驗證。在用戶從計算機上注銷之前,不會再次嘗試進行計算機身份驗證。這是?Windows?XP?SP1、Windows?XP?SP2?和?Windows?Server?2003?的默認設置。 |
| ? | 2?-?僅計算機身份驗證?當用戶登錄時,不會對連接造成影響。僅使用計算機證書執行?802.1X?身份驗證。 |
此行為的例外情況是,如果用戶成功登錄,然后在無線?AP?之間進行漫游,則會執行用戶身份驗證。
要使對此設置的更改生效,請重新啟動?Windows?XP?的?Wireless?Zero?Configuration?服務和?Windows?Server?2003?的?Wireless?Configuration?服務。
獲取?IEEE?802.1X?身份驗證的證書
可以使用以下方法獲取?Windows?無線客戶端和?IAS?服務器計算機的證書:
| ? | 自動注冊 |
| ? | 通過?Web?申請證書 |
| ? | 使用“證書”管理單元申請證書 |
| ? | 使用“證書”管理單元導入證書 |
| ? | 使用?CAPICOM?創建程序或腳本 |
自動注冊
自動注冊是指根據組策略自動申請和頒發證書。自動注冊有兩種類型:
計算機證書的自動注冊通過“計算機配置”組策略完成。通過配置“自動證書申請設置”組策略設置(在“計算機配置/Windows?設置/安全設置/公鑰策略”下),您可以讓為其配置這些設置的域系統容器的成員計算機在“計算機”組策略設置刷新時自動申請特定類型的證書。
對于無線客戶端訪問和?IAS?服務器,可配置“自動證書申請設置”組策略設置來自動申請“計算機”證書。“計算機”證書(在自動證書申請設置向導的“證書模板”對話框中命名)存儲在成員計算機的“本地計算機”證書存儲區,并包含“用戶身份驗證”和“服務器身份驗證”兩個證書目的。證書目的又稱增強型密鑰用法?(EKU)。EKU?是使用對象標識符?(OID)?來標識的。服務器身份驗證的?OID?是“1.3.6.1.5.5.7.3.1”,客戶端身份驗證的?OID?是“1.3.6.1.5.5.7.3.2”。?
Windows?中的?EAP-TLS?要求身份驗證客戶端提供的用于驗證的證書包含“客戶端身份驗證”證書目的,身份驗證服務器提供的用于驗證的證書包含“服務器身份驗證”證書目的。如果不能同時滿足這兩個條件,身份驗證將會失敗。
因為自動注冊的“計算機”證書同時包含“客戶端身份驗證”和“服務器身份驗證”兩個證書目的,所以它既可以由?Windows?無線客戶端用來執行計算機身份驗證,又可以由?IAS?服務器用作身份驗證服務器。
用戶證書的自動注冊通過“用戶配置”組策略完成。通過配置“自動注冊設置”組策略設置(在“用戶配置/Windows?設置/安全設置/公鑰策略”下),您可以讓為其配置這些設置的域系統容器的成員用戶在“用戶”組策略設置刷新時自動申請特定類型的證書。
對于無線客戶端訪問,可配置“自動注冊設置”組策略設置以自動申請使用“證書模板”管理單元創建的用戶證書模板。有關為?Windows?Server?2003?Enterprise?Edition?CA?的用戶證書配置證書模板和自動注冊的更多信息,請參見“Windows?Server?2003?幫助和支持”中“清單:配置證書自動注冊”主題。
通過?Web?申請證書
通過?Web?申請證書又稱?Web?注冊,它通過?Internet?Explorer?完成。對于地址,請鍵入?http://服務器名/certsrv,其中服務器名?是?Windows?2000?CA?的計算機名。一個基于?Web?的向導將引導您完成申請證書的步驟。請注意,證書的存儲位置(“當前用戶”存儲區或“本地計算機”存儲區)由執行高級證書申請時是否選中“使用本地機器保存”復選框決定。默認情況下該選項被禁用,證書將存儲在“當前用戶”存儲區。您必須具有本地管理員特權才能將證書存儲在“本地計算機”存儲區。
使用“證書”管理單元申請證書
申請證書的另一方法是使用“證書”管理單元。要申請一個證書以將其存儲在“當前用戶”存儲區,請打開“證書-當前用戶/個人/證書”文件夾,右鍵單擊“證書”文件夾,指向“所有任務”,然后單擊“申請新證書”。證書申請向導將引導您完成申請證書的步驟。對于無線訪問,為“當前用戶”存儲區申請的證書必須具有“客戶端身份驗證”證書目的。
要申請一個證書以將其存儲在“本地計算機”存儲區,請打開“證書(本地計算機)/個人/證書”文件夾,右鍵單擊“證書”文件夾,指向“所有任務”,然后單擊“申請新證書”。證書申請向導將引導您完成申請證書的步驟。對于無線訪問,為“本地計算機”存儲區申請的證書必須具有“客戶端身份驗證”證書目的。對于?IAS?服務器的證書,為“本地計算機”存儲區申請的證書必須具有“服務器身份驗證”證書目的。
使用“證書”管理單元導入證書
上述所有證書申請方法均假定已存在網絡連接,例如使用便攜式計算機的以太網端口。對于那些只有無線網絡連接的配置(如果沒有證書就無法獲得無線連接),您也可使用“證書”管理單元從軟盤、光盤或其他可寫式介質導入證書文件。
要導入一個證書以將其存儲在“當前用戶”存儲區,請打開“證書-當前用戶/個人/證書”文件夾,右鍵單擊“證書”文件夾,指向“所有任務”,然后單擊“導入”。證書導入向導將引導您完成從證書文件導入證書的步驟。對于無線訪問,導入“當前用戶”存儲區的證書必須具有“客戶端身份驗證”證書目的。
要導入一個證書以將其存儲在“本地計算機”存儲區,請打開“證書(本地計算機)/個人/證書”文件夾,右鍵單擊“證書”文件夾,指向“所有任務”,然后單擊“導入”。證書導入向導將引導您完成從證書文件導入證書的步驟。對于無線訪問,導入“本地計算機”存儲區的證書必須具有“客戶端身份驗證”證書目的。對于?IAS?服務器的證書,導入“本地計算機”存儲區的證書必須具有“服務器身份驗證”證書目的。
如果使用?PEAP-MS-CHAP?v2,則可能必須安裝頒發您的?IAS?服務器上安裝的計算機證書的?CA?的根?CA?證書。要獲得根?CA?證書,請首先將?IAS?服務器上的“證書(本地計算機)/受信任的根證書頒發機構/證書”文件夾中的根?CA?證書導出到一個文件?(*.P7B)?中。然后,將該根?CA?證書文件導入無線客戶端上的“證書(本地計算機)/受信任的根證書頒發機構/證書”文件夾中。
注意?也可以通過雙擊文件夾中存儲的或在電子郵件中發送的證書文件來導入證書。這種方法對使用?Windows?CA?創建的證書可行,但對第三方?CA?卻不起作用。導入證書的推薦方法是使用“證書”管理單元。
使用?CAPICOM?創建程序或腳本
使用?Web?注冊或“證書”管理單元申請證書需要用戶干預。要自動執行證書分發過程,網絡管理員可以使用?CAPICOM?編寫一個可執行程序或腳本。CAPICOM?是一個支持自動操作的?COM?客戶端,它能夠使用?Microsoft??ActiveX??和?COM?對象執行加密函數?(CryptoAPI)。
CAPICOM?接口可用于執行基本的加密任務,其中包括:對數據進行簽名、驗證簽名、封裝消息、解密封裝的消息、加密數據、解密數據以及檢查數字證書的有效性。可以通過?Visual?Basic?、Visual?Basic?Scripting?Edition?和?C++?來使用?CAPICOM。
要執行用戶和計算機證書的企業部署,可以通過電子郵件分發?CAPICOM?程序或腳本,也可以將用戶指向包含?CAPICOM?程序或腳本鏈接的?Web?站點。或者,也可以將?CAPICOM?程序或腳本放在用戶的登錄腳本文件中以自動執行。用戶或計算機證書的存儲位置可以使用?CAPICOM?API?指定。
有關?CAPICOM?的信息,請在?http://msdn.microsoft.com?上搜索“CAPICOM”。
組策略和基于?EAP-TLS?的?IEEE?802.1X?身份驗證
組策略設置定義了需要由系統管理員管理的用戶桌面環境中的各種組件;例如,用戶可以使用的程序、出現在用戶桌面上的程序,以及“開始”菜單選項。您指定的組策略設置包含在一個組策略對象中,該組策略對象又與選定的?Active?Directory?容器對象站點、域或者組織單元關聯。組策略包括將影響用戶的“用戶配置”的設置,以及將影響計算機的“計算機配置”設置。?
IEEE?802.1X?和“計算機配置”組策略
當計算機啟動,獲得網絡連接,并找到域控制器時,就會對“計算機配置”組策略進行更新。計算機將基于它在域系統容器中的成員資格來嘗試下載最新的“計算機配置”組策略。
如果一個配置為使用?EAP-TLS?身份驗證的?Windows?無線客戶端沒有安裝計算機證書,那么它就不能通過無線?AP?的身份驗證,因而也就無法獲取無線局域網連接。因此,查找域控制器并下載最新的“計算機配置”組策略的嘗試也就會失敗。這一事件將記錄在事件日志中。?
解決這一問題的辦法是在?Windows?無線客戶端上安裝一個計算機證書,這樣在定位域控制器和下載“計算機配置”組策略期間就會具有無線局域網連接。
IEEE?802.1X?和“用戶配置”組策略
當一個用戶提供正確的憑據并登錄到域時,將會對“用戶配置”組策略進行更新。如果沒有安裝計算機證書(并且該計算機在無線?AP?上也沒有通過身份驗證),那么登錄就使用緩存的憑據來進行。該用戶的證書存儲區中的用戶證書可用之后,配置為使用?EAP-TLS?的?Windows?無線客戶端就會嘗試向無線?AP?進行身份驗證。根據無線身份驗證所花的時間長短情況,“用戶配置”組策略的下載也可能會失敗。這一事件將記錄在事件日志中。?
解決這一問題的辦法是在?Windows?無線客戶端上安裝一個計算機證書。安裝了計算機證書之后,Windows?無線客戶端就會在整個登錄過程中具有無線局域網連接,因此應該總是能夠下載最新的“用戶配置”組策略。
注意?使用?PEAP-MS-CHAP?v2?進行的計算機身份驗證是通過使用與該計算機的帳戶關聯的帳戶名和密碼完成的,該帳戶名和密碼是在創建計算機帳戶時自動分配的。計算機身份驗證的憑據始終可用,并在計算機啟動過程中用來獲取對無線網絡的訪問。使用?PEAP-MS-CHAP?v2?進行的用戶身份驗證是通過使用與計算機的用戶關聯的帳戶名和密碼完成的。默認情況下,用戶的登錄憑據(用戶名和密碼)在客戶端成功登錄到計算機上后自動用于執行用戶身份驗證。可以從?MS-CHAP?v2?PEAP?類型的屬性中配置自動使用用戶登錄憑據。
總結
- 上一篇: 一键还原软件 简简单单恢复你的系统
- 下一篇: pdf怎么转word?pdf转word方