Cisco Switch學習筆記: 802.1X Port-Based驗證II
之前提到EAP的三種選擇, 並且介紹了EAP-MD5, 接下來談談PEAP及EAP-TLS:
這兩種EAP都要使用憑證, 所以和之前的環境一樣外, 還要再加入兩個機制:
1. CA 憑證授權中心
2. 群組原則
在微軟的環境中, 最簡單的用法就是全都用AD來整合, 方法很簡單, 只要安裝在DC就可以了。先介紹一篇文章: 利用PEAP及密碼來保障無線區域網路的安全 此文中有許多細節的介紹, 還提供了一些小工具, 可以簡化整個環境的建置過程。這裡要談的就是其中的第三及第四章, 可以交互參考。(之前發現文章連結斷掉,是因為微軟網站把文章搬家了,現已修正,若再發現這種情況,讀者可以自行使用google尋找,只要輸入文章名當關鍵字即可)
請依第三章說明將小工具裝好, 再利用其中的工具來安裝CA(自己手動安裝也可以)
再依第四章說明將群組原則滙入(IAS Server Security Policies), 並使用群組原則管理工具將該原則套用到網域, 不要忘了gpupdate。
記得PEAP要使用憑證吧! 最主要的設定就是RADIUS主機要設好其電腦憑證(這是我所看到的文章的說法), 實際作法如下:
1. 因為我們的IAS就裝在DC上, 所以要先有該DC主機的電腦憑證
如果群組原則有設好, 應該重開主機就會自動取得電腦憑證
如果一直沒拿到, 就手動取得, 在執行, 打mmc, 在檔案, 選新增/移除嵌入管理單元, 按新增, 選憑證, 按新增, 再選電腦憑證, 按完成, 確定.... 就會有一個可以管理憑證的工具可以用了。展開憑證(本機電腦)->個人->憑證, 如果看不到該主機的憑證就表示其電腦憑證尚未取得! 記得前面我們已經將CA安裝好了, 所以只要在憑證節點上按滑鼠右鍵, 選所有工作->要求新憑證, 再依提示進行, 就可以取得DC主機的電腦憑證。
2. 將IAS裡的"遠端存取原則"設好
打開IAS, 展開遠端存取原則, 在連線到其他存取伺服器原則上按滑鼠右鍵, 選內容, 即出現其內容視窗; 再按編輯設定檔, 即出現編輯撥入設定檔視窗。在此視窗選取驗證頁面, 再按EAP方法, 在出現的視窗中, 選取PEAP(如果沒有此項, 請按新增, 先將其加入), 再按編輯, 即出現受保護的EAP內容視窗。於此, 可以選取前面取得的電腦憑證。到此大功告成!
最後只要在用戶端電腦的網路卡內容視窗, 設定驗證頁面的選項為PEAP, 再將電腦重開, 並以網域的使用者帳號登入, 網路在連線時, 就會使用801.1X的規範, 先以PEAP封包框架進行驗證身份; 而其中的憑證部份會和AD整合, 使用者不用另外再輸入帳號密碼, 即可完成身份驗證, 交換器此時即授予其存取網路的權限。
同樣地, 另一個EAP(EAP-TLS)的設定方式也一樣, 只要在IAS的遠端存取原則裡把電腦憑證設好, 在用戶端電腦的網路卡內容視窗的驗證頁面設好對應的選項及內容即可。
閱讀更多,參考以下連結:
Cisco Switch學習筆記: 802.1X Port-Based驗證 III
這兩種EAP都要使用憑證, 所以和之前的環境一樣外, 還要再加入兩個機制:
1. CA 憑證授權中心
2. 群組原則
在微軟的環境中, 最簡單的用法就是全都用AD來整合, 方法很簡單, 只要安裝在DC就可以了。先介紹一篇文章: 利用PEAP及密碼來保障無線區域網路的安全 此文中有許多細節的介紹, 還提供了一些小工具, 可以簡化整個環境的建置過程。這裡要談的就是其中的第三及第四章, 可以交互參考。(之前發現文章連結斷掉,是因為微軟網站把文章搬家了,現已修正,若再發現這種情況,讀者可以自行使用google尋找,只要輸入文章名當關鍵字即可)
請依第三章說明將小工具裝好, 再利用其中的工具來安裝CA(自己手動安裝也可以)
再依第四章說明將群組原則滙入(IAS Server Security Policies), 並使用群組原則管理工具將該原則套用到網域, 不要忘了gpupdate。
記得PEAP要使用憑證吧! 最主要的設定就是RADIUS主機要設好其電腦憑證(這是我所看到的文章的說法), 實際作法如下:
1. 因為我們的IAS就裝在DC上, 所以要先有該DC主機的電腦憑證
如果群組原則有設好, 應該重開主機就會自動取得電腦憑證
如果一直沒拿到, 就手動取得, 在執行, 打mmc, 在檔案, 選新增/移除嵌入管理單元, 按新增, 選憑證, 按新增, 再選電腦憑證, 按完成, 確定.... 就會有一個可以管理憑證的工具可以用了。展開憑證(本機電腦)->個人->憑證, 如果看不到該主機的憑證就表示其電腦憑證尚未取得! 記得前面我們已經將CA安裝好了, 所以只要在憑證節點上按滑鼠右鍵, 選所有工作->要求新憑證, 再依提示進行, 就可以取得DC主機的電腦憑證。
2. 將IAS裡的"遠端存取原則"設好
打開IAS, 展開遠端存取原則, 在連線到其他存取伺服器原則上按滑鼠右鍵, 選內容, 即出現其內容視窗; 再按編輯設定檔, 即出現編輯撥入設定檔視窗。在此視窗選取驗證頁面, 再按EAP方法, 在出現的視窗中, 選取PEAP(如果沒有此項, 請按新增, 先將其加入), 再按編輯, 即出現受保護的EAP內容視窗。於此, 可以選取前面取得的電腦憑證。到此大功告成!
最後只要在用戶端電腦的網路卡內容視窗, 設定驗證頁面的選項為PEAP, 再將電腦重開, 並以網域的使用者帳號登入, 網路在連線時, 就會使用801.1X的規範, 先以PEAP封包框架進行驗證身份; 而其中的憑證部份會和AD整合, 使用者不用另外再輸入帳號密碼, 即可完成身份驗證, 交換器此時即授予其存取網路的權限。
同樣地, 另一個EAP(EAP-TLS)的設定方式也一樣, 只要在IAS的遠端存取原則裡把電腦憑證設好, 在用戶端電腦的網路卡內容視窗的驗證頁面設好對應的選項及內容即可。
閱讀更多,參考以下連結:
Cisco Switch學習筆記: 802.1X Port-Based驗證 III
留言