Windows域与802.1X协议统一认证解决方案.docx

1、Windows域与 802.1X协议统一认证解决方案本帖最后由 网络精灵 于 2010-1-3 13:52 编辑 Windows域与 802.1X协议统一认证解决方案【课程星级】【实验名称】Windows 域与 802.1X协议统一认证解决方案【实验目的】使管理人员了解 Windows域与 802.1X协议结合进行统一认证的配置方法。【背景描述】随着局域网的迅速发展,办公用户的网络安全问题日益突出。目前,各企业面临的安全威胁之一就是外围设备非法接入到内部网络后的破坏性攻击行为。在许多企业的 IT 管理过程中,往往注重对来自因特网的外部威胁防御,忽略了来自内部的非法访问威胁。这种威胁在大中型企业

2、的 IT 环境中影响尤其明显。因此,建立内部网络接入防御体系势在必行。很多企事业单位已经建立了基于 Windows域的信息管理系统，通过 Windows域管理用户访问权限和应用执行权限。然而，基于 Windows的权限控制只能作用到应用层，而无法实现对用户的物理访问权限的控制，比如对网络接入权限的控制，非法用户可随意接入用户网络，这就给企业网的网络和应用安全带来很多隐患。为了更加有效地控制和管理网络资源，提高网络接入的安全性，很多政府和企业网络的管理者希望通过 802.1x认证实现对接入用户的身份识别和权限控制。通过 802.1x 协议和活动目录技术相结合的方案,来实现设备接入的合法验证和管理

3、。只有通过了内部域用户验证的计算机才能正常进行网络通讯,否则其接入端口数据将被阻隔。下面我们就来看一下 Windows域与 802.1X协议统一认证解决方案的实现过程。【实验拓扑】实验环境说明：本实验需要用到 Windows 2003 Server,并且在 Windows 2003 Server安装DNS、AD、DHCP、CA、IAS 等组件，并且要求交换机支持 802.1X协议与 Guest VLAN功能。本文详细地记录了配置 Windows 2003 Server和交换机每一个步骤的实现过程，并力求层次清晰。但还是希望没有接触过 Windows 2003 Server的读者了解 Windo

4、ws 2003 ServerDNS、 AD、DHCP、CA 和 IAS的相关知识，请参考相关书籍和网站。拓扑说明：Windows 2003 Server IP:192.168.0.254交换机 IP：192.168.0.250路由器 LAN接口 IP:192.168.0.1橘红色端口所属的 VLAN为 Guest VLAN,名称为 V10, VID为 10蓝色端口所属的 VLAN名称为 V20, VID为 20绿色端口为需要进行 802.1X认证的端口测试计算机的 IP为从 Windows 2003 Server 自动获取根据上面的拓扑环境，测试 PC通过了 windows域的认证以后，自动在

5、交换机端口上进行802.1X认证，认证通过以后，PC 被交换机自动分配到了 V20里面，从而可以接入到互联网中。若 PC没有通过 802.1X认证，则只能访问 Guest VLAN里面的资源。【实验设备】Windows 2003 Server 1 台，DES-3526 1 台，路由器 1台，测试 PC1台，网线若干。【实验步骤】一 配置 Windows 2003 Server1. 安装 Windows 2003 Server AD（活动目录）在 Windows 2003 Server上，点击“开始”-“运行”，输入“dcpromo”,点“确定”,启动“活动目录安装向导”。如下图：此处选择“新域

6、的域控制器”，使此计算机作为此域的域控制器（DC）。此处选择“在新林中的域”。输入“”作为新建域的域名。设置 NetBIOS域名，此处使用默认的“TEST”。设置数据库和日志文件的保存路径，此处选择默认设置。设置共享的系统卷，此处使用默认设置。DNS注册诊断，由于此服务器还没有安装 DNS服务器组件，因此显示诊断失败，这里选择“在这台计算机安装并配置 DNS服务器，并将这台 DNS服务器设为计算机的首选 DNS服务器”。设置用户和组对象的默认权限，此处选择默认设置。设置目录还原模式的管理员密码。开始安装和配置活动目录。活动目录安装完毕。点击“立即重新启动”，重启 windows 2003 se

7、rver。2. 安装并配置 windows 2003 server DHCP服务器进入控制面板界面。选择“添加或删除程序”。选择“添加/删除 windows组件”。选中“网络服务”，点击“详细信息”。选择“动态主机配置协议（DHCP）”。进行 DHCP组件的安装。完成安装。在 windows 2003 server 管理工具中选择 DHCP。这台 DHCP服务器未经授权，不能为网络中的计算机提供服务，因此要对此 DHCP服务器进行授权。右键点击“DHCP”,选择“管理授权的服务器”。输入 DHCP的 IP地址。确认授权。重新启动 DHCP服务以后，DHCP 服务器附带的状态标识由红色的向下的箭

8、头转换为绿色的向上的箭头，说明 DHCP服务器已经成功授权。右键单击 DHCP服务器，选择“新建作用域”。输入作用域名称。输入各项参数。添加默认网关的 IP地址。选择现在激活作用域。完成新建域向导。右键单击“作用域选项”，选择“配置选项”。选中“DNS”服务器，添加 192.168.0.254和 192.168.0.1两个地址。这样就完成了 DHCP服务器的配置工作。3. 安装并配置证书服务器（CA）IEEE 802.1X在允许网络客户端访问网络之前使用 EAP来对其进行身份验证。EAP 最初设计用于点对点协议（PPP）连接，它允许用户创建任意身份验证模式来验证网络访问。请求访问的客户端和进行

9、身份验证的服务器必须首先协商特定 EAP身份验证模式（称为 EAP类型）的使用。在就 EAP类型达成一致之后，EAP 允许访问客户端和身份验证服务器（通常是一个 RADIUS服务器）之间进行无限制的对话。在基于 802.1X的认证协议中，我们采用的是 PEAP（Protected Extensible Authentication Protocol）的验证方式。这是一种基于密码的验证协议，可以帮助企业实现简单、安全的验证功能。PEAP是一种 EAP类型，它首先创建同时被加密和使用传输层安全（TLS）来进行完整性保护的安全通道。然后进行另一种 EAP类型的新的 EAP协商，从而对客户端的网络访问

10、尝试进行身份验证。由于 TLS通道保护网络访问尝试的 EAP协商和身份验证，因此可以将通常容易受到脱机字典攻击的基于密码的身份验证协议可用于在安全的网络环境中执行身份验证。PEAP是一种通过 TLS来进一步增强其它 EAP身份验证方法安全性的身份验证机制。面向Microsoft 802.1X身份验证客户端的 PEAP提供了针对 TLS（PEAP-TLS，同时在服务器身份验证过程与客户端身份验证过程中使用证书）与 Microsoft质询握手身份验证协议 2.0版（PEAP-MS-CHAP v2，在服务器身份验证过程中使用证书，而在客户端身份验证过程中使用基于口令的授权凭证。若客户端希望对网络进行

11、认证，必须下载证书）的支持能力。MS-CHAP v2是一种基于密码的质询-响应式相互身份验证协议，使用工业标准的“信息摘要 4（Message Digest 4，MD4)”和数据加密标准（Data Encryption Standard，DES）算法来加密响应。身份验证服务器质询接入客户端，然后接入客户端又质询身份验证服务器。如果其中任一质询没有得到正确的回答，连接就被拒绝。通过上面的介绍，我们可以得出结论：不管对无线连接使用哪种身份验证方法（PEAP-TLS 或 PEAP-MS-CHAP v2），都必须在 IAS 服务器上安装计算机证书。安装一种证书服务即指定一个证书颁发机构 (CA)，证书

12、可以从第三方的 CA机构获取，比如 VeriSign，或者从企业内部的 CA机构颁发。这两种方案在传统意义上都是可行的，但是对于小型企业来说并不现实，因为小型企业不愿意每年花很多额外的钱购买第三方认证机构的证书，因此可以考虑在企业内部自己架设 CA 服务器。我们这里采取的是在 IAS服务器和客户端上都需要安装证书，以完成双方的互相认证。客户端通过 web从 CA上下载证书，首先需要安装 IIS。在“windows 组件向导”选择“应用程序服务器”，点击“详细信息”。完成 IIS服务安装。接下来安装证书服务。在“windows 组件向导”选择“证书服务”，点击“详细信息”。点击是，选中“证书服务”和“证书服务 Web注册支持”。选择“企业根 CA”。输入 CA公钥名称。出现生成公钥过程，并提示设置证书数据库。