Cisco Switch學習筆記: 802.1X Port-Based驗證II
之前提到EAP的三種選擇, 並且介紹了EAP-MD5, 接下來談談PEAP及EAP-TLS: 這兩種EAP都要使用憑證, 所以和之前的環境一樣外, 還要再加入兩個機制: 1. CA 憑證授權中心 2. 群組原則 在微軟的環境中, 最簡單的用法就是全都用AD來整合, 方法很簡單, 只要安裝在DC就可以了。先介紹一篇文章: 利用PEAP及密碼來保障無線區域網路的安全 此文中有許多細節的介紹, 還提供了一些小工具, 可以簡化整個環境的建置過程。這裡要談的就是其中的第三及第四章, 可以交互參考。(之前發現文章連結斷掉,是因為微軟網站把文章搬家了,現已修正,若再發現這種情況,讀者可以自行使用google尋找,只要輸入文章名當關鍵字即可) 請依第三章說明將小工具裝好, 再利用其中的工具來安裝CA(自己手動安裝也可以) 再依第四章說明將群組原則滙入(IAS Server Security Policies), 並使用群組原則管理工具將該原則套用到網域, 不要忘了gpupdate。 記得PEAP要使用憑證吧! 最主要的設定就是RADIUS主機要設好其電腦憑證(這是我所看到的文章的說法), 實際作法如下: 1. 因為我們的IAS就裝在DC上, 所以要先有該DC主機的電腦憑證 如果群組原則有設好, 應該重開主機就會自動取得電腦憑證 如果一直沒拿到, 就手動取得, 在執行, 打mmc, 在檔案, 選新增/移除嵌入管理單元, 按新增, 選憑證, 按新增, 再選電腦憑證, 按完成, 確定.... 就會有一個可以管理憑證的工具可以用了。展開憑證(本機電腦)->個人->憑證, 如果看不到該主機的憑證就表示其電腦憑證尚未取得! 記得前面我們已經將CA安裝好了, 所以只要在憑證節點上按滑鼠右鍵, 選所有工作->要求新憑證, 再依提示進行, 就可以取得DC主機的電腦憑證。 2. 將IAS裡的"遠端存取原則"設好 打開IAS, 展開遠端存取原則, 在連線到其他存取伺服器原則上按滑鼠右鍵, 選內容, 即出現其內容視窗; 再按編輯設定檔, 即出現編輯撥入設定檔視窗。在此視窗選取驗證頁面, 再按EAP方法, 在出現的視窗中, 選取PEAP(如果沒有此項, 請按新增, 先將其加入), 再按編輯, 即出現受保護的EAP內容視窗。於此, ...