雨恩的生活日誌

之前提到EAP的三種選擇, 並且介紹了EAP-MD5, 接下來談談PEAP及EAP-TLS: 這兩種EAP都要使用憑證, 所以和之前的環境一樣外, 還要再加入兩個機制: 1. CA 憑證授權中心 2. 群組原則 在微軟的環境中, 最簡單的用法就是全都用AD來整合, 方法很簡單, 只要安裝在DC就可以了。先介紹一篇文章: 利用PEAP及密碼來保障無線區域網路的安全 此文中有許多細節的介紹, 還提供了一些小工具, 可以簡化整個環境的建置過程。這裡要談的就是其中的第三及第四章, 可以交互參考。(之前發現文章連結斷掉，是因為微軟網站把文章搬家了，現已修正，若再發現這種情況，讀者可以自行使用google尋找，只要輸入文章名當關鍵字即可) 請依第三章說明將小工具裝好, 再利用其中的工具來安裝CA(自己手動安裝也可以) 再依第四章說明將群組原則滙入(IAS Server Security Policies), 並使用群組原則管理工具將該原則套用到網域, 不要忘了gpupdate。 記得PEAP要使用憑證吧! 最主要的設定就是RADIUS主機要設好其電腦憑證(這是我所看到的文章的說法), 實際作法如下: 1. 因為我們的IAS就裝在DC上, 所以要先有該DC主機的電腦憑證 如果群組原則有設好, 應該重開主機就會自動取得電腦憑證 如果一直沒拿到, 就手動取得, 在執行, 打mmc, 在檔案, 選新增/移除嵌入管理單元, 按新增, 選憑證, 按新增, 再選電腦憑證, 按完成, 確定.... 就會有一個可以管理憑證的工具可以用了。展開憑證(本機電腦)->個人->憑證, 如果看不到該主機的憑證就表示其電腦憑證尚未取得! 記得前面我們已經將CA安裝好了, 所以只要在憑證節點上按滑鼠右鍵, 選所有工作->要求新憑證, 再依提示進行, 就可以取得DC主機的電腦憑證。 2. 將IAS裡的"遠端存取原則"設好 打開IAS, 展開遠端存取原則, 在連線到其他存取伺服器原則上按滑鼠右鍵, 選內容, 即出現其內容視窗; 再按編輯設定檔, 即出現編輯撥入設定檔視窗。在此視窗選取驗證頁面, 再按EAP方法, 在出現的視窗中, 選取PEAP(如果沒有此項, 請按新增, 先將其加入), 再按編輯, 即出現受保護的EAP內容視窗。於此,

802.1X是一個規範交換器管制網路存取權的方法, 通常有三個設備: 1. 使用端電腦 2. 具802.1X的交換器 3. 驗證主機(RADIUS, 通常是IAS) 當使用端電腦連接網路線時, 交換器會要求進行驗證, 在通過驗證後, 交換器才會把那個埠打開, 允許其他封包(框架)通過。沒有通過驗證前, 只允許EAP協定的封包通過。 使用端電腦也要具有802.1X的軟體支援, Windows XP有內建, Windows 2000必須先去微軟網站下載。 EAP協定目前有三種可以選擇: 1. PEAP 2. EAP-TLS 3. EAP-MD5 其中MD5不用憑證, 另外兩種都要使用憑證; 以下先說明MD5的設定過程: 交換器部份: A. 使用Cisco 3560交換器 B. 開啟802.1X驗證 aaa new-modelaaa authentication dot1x default group radius dot1x system-auth-control C. 設定要啟用802.1X的埠 interface FastEthernet0/2 switchport mode access dot1x port-control auto D. 設定RADIUS主機 radius-server host 10.1.10.8 key xxxxxx 使用端電腦部份: A. 打開網路連線, 在區域連線上按滑鼠右鍵, 出現區域連線內容視窗, 選到 驗證 頁面。驗證頁面必須在該網卡啟用的狀態下才會出現。 B. 勾選"為此網路啟用IEEE 802.1X驗證" C. EAP類型, 選取"MD5-Challenge" RADIUS部份: A. 先安裝IAS B. 設定用戶端, 在此即為交換器, 主要設定欄位: IP位址, 用戶端廠商(選取RADIUS Standard), 共用密碼(必須和交換器radius-server指令的key設定一致) C. 遠端存取原則->連線到其他存取伺服器->編輯設定檔->驗證頁面->EAP方法->新增MD5-Challenge D. 打開Active Directory使用者及電腦, 找到要設定的