返回
基于域的无线安全认证方案及配置(ad+ias)

基于域的无线安全认证方案及配置(ad+ias)

ID:14227099

大小:1.09 MB

页数:33页

时间:2018-07-27

基于域的无线安全认证方案及配置(ad+ias)_第1页
基于域的无线安全认证方案及配置(ad+ias)_第2页
基于域的无线安全认证方案及配置(ad+ias)_第3页
基于域的无线安全认证方案及配置(ad+ias)_第4页
基于域的无线安全认证方案及配置(ad+ias)_第5页
资源描述:

《基于域的无线安全认证方案及配置(ad+ias)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、基于域的无线安全认证方案1前言:目前,大多数公司在管理内部计算机及用户时,多采用微软的活动目录,而且大部分公司在进行无线网络搭建时,多倾向于使用现有的域结构对用户和计算机进行认证,本文详细的说明了基于现有域基础上的无线认证,H3C无线控制器与微软IAS(备注1)结合,实现了将无线网络无缝的嵌入到用户现有域结构中,并实现在用户登录域过程中,完成无线连接,域计算机认证,域用户认证等多项功能。2组网图3需要的设备:Windowsserver2003(非web版)(一台)域控制器,DNS服务器,IAS服务器均在这台server上wind

2、owsserver2003安装光盘IIS6.0resourcekit(备注2)33PC(一台)配置一块无线网卡AC(任意型号)(一台)AP(任意型号)(若干)4详细配置:4.1Windowsserver2003端配置:由于本文讲的是在已存在域上进行相关设置,所以建立域的过程省略。安装IASWindowsserver2003默认安装时不会安装任何的附加安全组件,因此用户需要手动安装IAS,此过程需要windowsserver2003安装光盘。打开控制面板,点击添加删除程序,并选择“添加/删除windows组件”,向下拉动滚动条,找

3、到“网络服务”项,双击进入,找到internet验证服务,选中,点击确定,并依次点击下一步,完成IAS安装。33安装IAS后,可以通过管理工具或开始菜单来启动IAS启动后界面如下图:33首先要做的是检查并设置日志策略,右键点击internet验证服务(本地),选择属性33选中红框内的2个选项后,就可以通过windows的时间服务器查看登录信息,这对定位登录问题很有帮助,建议勾选。端口标签显示了默认的radius端口,微软IAS会监听这2套端口,较低的端口号是传统的端口号码,微软偏向于使用较高的端口号码。33下面是设置访问日志,分

4、为本地日志和SQL日志,本文不涉及SQL日志设置。点击远程访问记录,在右侧窗口中的本地文件上点右键,选择属性。在设置标签中,你可以选择需要记录的事件,建议全选。33日志文件标签中,可以设置日志的文件和文件的体积限制。建立radius用户,这里用户的概念是指无线交换机(AC)。添加好接入设备的名称和IP地址33Radius协议选择RADIUSStandard,在AC上也要设置为standard(如果两端设置不同,可能会导致异常),共享的机密IAS和AC上要设置相同,否则AC与IAS将无法通信。点击完成,完成添加RADIUS用户操作

5、。添加远程访问策略33远程访问策略是对试图接入的用户进行验证和授权33添加一个策略名,点击下一步选择无线,点击下一步33我们要对计算机和用户进行授权,点击“添加”在空白处输入domaincomputer后,点击检查名称,然后再输入domainusers后,点击检查名称。33需要注意的是,domaincomputer是用来验证你的计算机的“机器验证“,也就是说,不论用户是否登录,都会先验证用户的计算机是否具有接入资格,这种方式模拟了无线局域网环境中所出现的问题,因此是一种非常有效的验证手段。如果“机器验证“没有进行,那么组策略以及

6、登录脚本就不会执行,另外,只有已存在于无线接入计算机中的用户才能够正常登录,因此,如果用户之前从未使用该计算机登录无线网络,将无法对其进行域认证。正因为如此,我们建议windows客户使用windows无线网络客户端,并且建议管理员采用自动部署方式完成对客户端的无线网络配置。33注意,上图中我们看到允许访问的计算机组和用户组,这两个组之间的关系是“或“,即符合其中任意一项都可以成功接入,如果仅想使用计算机验证,则删除掉用户组验证就可以。反之亦然。点击下一步在点击下一步前,请先进行备注2的操作,备注2的操作是为了生成一个自签名证书

7、,按照备注2操作完成后,点击配置(如果没有进行操作2,则会报告未找到证书)。33点击确定,并完成向导。调整远程接入策略完成上述步骤后,我们会看到一个与之前命名一致的远程接入策略出现在窗口中,其余的2个是默认的策略。在默认状态下,新建立的策略是禁用的,因此需要编辑该策略,右键点击选择属性。33我们可以看到,窗口中有2个策略状况,这2者之间是and的关系,即如果某一接入状况同时符合这2个规定,则可以通过,否则就无法通过该策略,并会被转到下一个“远程接入策略”,在我们的例子中,策略状态表中的第一个策略仅允许使用802.11方式接入的用

8、户,第二个策略状态是检查该用户是否符合我们上面设置的用户组或计算机组.33点击“编辑配置文件”“拨入限制”标签允许我们设置拨号接入和线程约束条件。33“加密”标签可以设置加密强度,出于对安全性的考虑,建议只勾选“MPPE128位”33其余标签保持默认即可,点击确

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。