Windows域與802.1X協議統一認證解決方案
【課程星級】★★★★★
【實驗名稱】Windows域與802.1X協議統一認證解決方案
【實驗目的】使管理人員瞭解Windows域與802.1X協議結合進行統一認證的配置方法。
【背景描述】
隨着局域網的迅速發展,辦公用戶的網絡安全問題日益突出。目前,各企業面臨的安全威脅之一就是外圍設備非法接入到內部網絡後的破壞性***行爲。在許多企業的IT 管理過程中,往往注重對來自因特網的外部威脅防禦,忽略了來自內部的非法訪問威脅。
這種威脅在大中型企業的IT 環境中影響尤其明顯。因此,建立內部網絡接入防禦體系勢在必行。很多企事業單位已經建立了基於Windows域的信息管理系統,通過Windows域管理用戶訪問權限和應用執行權限。然而,基於Windows的權限控制只能作用到應用層,而無法實現對用戶的物理訪問權限的控制,比如對網絡接入權限的控制,非法用戶可隨意接入用戶網絡,這就給企業網的網絡和應用安全帶來很多隱患。爲了更加有效地控制和管理網絡資源,提高網絡接入的安全性,很多政府和企業網絡的管理者希望通過802.1x認證實現對接入用戶的身份識別和權限控制。
通過802.1x 協議和活動目錄技術相結合的方案,來實現設備接入的合法驗證和管理。只有通過了內部域用戶驗證的計算機才能正常進行網絡通訊,否則其接入端口數據將被阻隔。
下面我們就來看一下Windows域與802.1X協議統一認證解決方案的實現過程。
【實驗拓撲】
實驗環境說明:本實驗需要用到Windows 2003 Server,並且在Windows 2003 Server安裝DNS、AD、DHCP、CA、IAS等組件,並且要求交換機支持802.1X協議與Guest VLAN功能。
本文詳細地記錄了配置Windows 2003 Server和交換機每一個步驟的實現過程,併力求層次清晰。但還是希望沒有接觸過Windows 2003 Server的讀者瞭解Windows 2003 ServerDNS、 AD、DHCP、CA和IAS的相關知識,請參考相關書籍和網站。
拓撲說明:Windows 2003 Server IP:192.168.0.254
交換機IP:192.168.0.250
路由器LAN接口IP:192.168.0.1
橘紅色端口所屬的VLAN爲Guest VLAN,名稱爲V10, VID爲10
藍色端口所屬的VLAN名稱爲V20, VID爲20
綠色端口爲需要進行802.1X認證的端口
測試計算機的IP爲從Windows 2003 Server 自動獲取
根據上面的拓撲環境,測試PC通過了windows域的認證以後,自動在交換機端口上進行802.1X認證,認證通過以後,PC被交換機自動分配到了V20裏面,從而可以接入到互聯網中。若PC沒有通過802.1X認證,則只能訪問Guest VLAN裏面的資源。
【實驗設備】Windows 2003 Server 1臺,DES-3526 1臺,路由器1臺,測試PC1臺,網線若干。
【實驗步驟】
一. 配置Windows 2003 Server
1. 安裝Windows 2003 Server AD(活動目錄)
在Windows 2003 Server上,點擊“開始”----“運行”,輸入“dcpromo”,點“確定”,啓動“活動目錄安裝嚮導”。如下圖:
此處選擇“新域的域控制器”,使此計算機作爲此域的域控制器(DC)。
此處選擇“在新林中的域”。
輸入“test.com”作爲新建域的域名。
設置NetBIOS域名,此處使用默認的“TEST”。
設置數據庫和日誌文件的保存路徑,此處選擇默認設置。
設置共享的系統卷,此處使用默認設置。
DNS註冊診斷,由於此服務器還沒有安裝DNS服務器組件,因此顯示診斷失敗,這裏選擇“在這臺計算機安裝並配置DNS服務器,並將這臺DNS服務器設爲計算機的首選DNS服務器”。
設置用戶和組對象的默認權限,此處選擇默認設置。
設置目錄還原模式的管理員密碼。
開始安裝和配置活動目錄。
活動目錄安裝完畢。
點擊“立即重新啓動”,重啓windows 2003 server。
2. 安裝並配置windows 2003 server DHCP服務器
進入控制面板界面。
選擇“添加或刪除程序”。
選擇“添加/刪除windows組件”。
選中“網絡服務”,點擊“詳細信息”。
選擇“動態主機配置協議(DHCP)”。
進行DHCP組件的安裝。
完成安裝。
在windows 2003 server 管理工具中選擇DHCP。
這臺DHCP服務器未經授權,不能爲網絡中的計算機提供服務,因此要對此DHCP服務器進行授權。
右鍵點擊“DHCP”,選擇“管理授權的服務器”。
輸入DHCP的IP地址。
確認授權。
重新啓動DHCP服務以後,DHCP服務器附帶的狀態標識由紅色的向下的箭頭轉換爲綠色的向上的箭頭,說明DHCP服務器已經成功授權。
右鍵單擊DHCP服務器,選擇“新建作用域”。
輸入作用域名稱。
輸入各項參數。
添加默認網關的IP地址。
選擇現在激活作用域。
完成新建域嚮導。
右鍵單擊“作用域選項”,選擇“配置選項”。
選中“DNS”服務器,添加192.168.0.254和192.168.0.1兩個地址。
這樣就完成了DHCP服務器的配置工作。
3. 安裝並配置證書服務器(CA)
IEEE 802.1X在允許網絡客戶端訪問網絡之前使用EAP來對其進行身份驗證。EAP最初設計用於點對點協議(PPP)連接,它允許用戶創建任意身份驗證模式來驗證網絡訪問。請求訪問的客戶端和進行身份驗證的服務器必須首先協商特定EAP身份驗證模式(稱爲EAP類型)的使用。在就EAP類型達成一致之後,EAP允許訪問客戶端和身份驗證服務器(通常是一個RADIUS服務器)之間進行無限制的對話。
在基於802.1X的認證協議中,我們採用的是PEAP(Protected Extensible Authentication Protocol)的驗證方式。這是一種基於密碼的驗證協議,可以幫助企業實現簡單、安全的驗證功能。
PEAP是一種EAP類型,它首先創建同時被加密和使用傳輸層安全(TLS)來進行完整性保護的安全通道。然後進行另一種EAP類型的新的 EAP協商,從而對客戶端的網絡訪問嘗試進行身份驗證。由於TLS通道保護網絡訪問嘗試的EAP協商和身份驗證,因此可以將通常容易受到脫機字典***的基於密碼的身份驗證協議可用於在安全的網絡環境中執行身份驗證。
PEAP是一種通過TLS來進一步增強其它EAP身份驗證方法安全性的身份驗證機制。面向Microsoft 802.1X身份驗證客戶端的PEAP提供了針對TLS(PEAP-TLS,同時在服務器身份驗證過程與客戶端身份驗證過程中使用證書)與 Microsoft質詢握手身份驗證協議2.0版(PEAP-MS-CHAP v2,在服務器身份驗證過程中使用證書,而在客戶端身份驗證過程中使用基於口令的授權憑證。若客戶端希望對網絡進行認證,必須下載證書)的支持能力。
MS-CHAP v2是一種基於密碼的質詢-響應式相互身份驗證協議,使用工業標準的“信息摘要 4(Message Digest 4,MD4)”和數據加密標準(Data Encryption Standard,DES)算法來加密響應。身份驗證服務器質詢接入客戶端,然後接入客戶端又質詢身份驗證服務器。如果其中任一質詢沒有得到正確的回答,連接就被拒絕。
通過上面的介紹,我們可以得出結論:不管對無線連接使用哪種身份驗證方法(PEAP-TLS 或 PEAP-MS-CHAP v2),都必須在 IAS 服務器上安裝計算機證書。
安裝一種證書服務即指定一個證書頒發機構 (CA),證書可以從第三方的CA機構獲取,比如VeriSign,或者從企業內部的CA機構頒發。這兩種方案在傳統意義上都是可行的,但是對於小型企業來說並不現實,因爲小型企業不願意每年花很多額外的錢購買第三方認證機構的證書,因此可以考慮在企業內部自己架設 CA服務器。
我們這裏採取的是在IAS服務器和客戶端上都需要安裝證書,以完成雙方的互相認證。客戶端通過web從CA上下載證書,首先需要安裝IIS。
在“windows組件嚮導”選擇“應用程序服務器”,點擊“詳細信息”。
完成IIS服務安裝。接下來安裝證書服務。
在“windows組件嚮導”選擇“證書服務”,點擊“詳細信息”。
點擊是,選中“證書服務”和“證書服務Web註冊支持”。
選擇“企業根CA”。
輸入CA公鑰名稱。
出現生成公鑰過程,並提示設置證書數據庫。
完成CA的安裝。
4. 安裝IAS服務器
在“添加/刪除Windows組件”中,選擇“網絡服務”,單擊“詳細信息”
選擇“Internet驗證服務”,單擊“確定”。
然後返回原對話框,點擊“下一步”。
點擊完成按鈕。
接下來開始爲IAS服務器申請證書,如果將DC(域控制器)和IAS服務器安裝在同一臺計算機上,DC會自動爲此IAS服務器頒發一個證書。爲了使大家明白IAS服務器計算機證書的安裝過程,特給大家進行演示操作。
在IAS服務器上點擊“開始”----“運行”,輸入“mmc”,點擊“確定”。
在控制檯上,選擇“文件”----“添加/刪除管理單元”。
在控制檯根節點下點擊“添加”按鈕。
在添加獨立管理單元選擇“證書”,點擊添加按鈕。
選擇“計算機帳戶”,點擊“下一步”。
選擇“本地計算機”,點擊“完成”。
點擊確定。
在控制檯根節點下,展開“證書”,右鍵單擊“個人”----“所有任務”----“申請新證書”。
證書類型選擇“域控制器”。
輸入證書的名稱。
完成IAS服務器證書的申請。
提示證書申請成功。
在控制檯根節點下,查看個人證書,可以看到剛纔申請的證書,以及自動爲此計算機頒發的證書。
5. 建立域用戶帳戶
進入活動目錄用戶和計算機。
右鍵單擊“test.com”選擇“新建”----“用戶”。
建立一個登錄名爲“liming”的用戶帳戶。
爲“liming”這個賬戶創建密碼,選擇“用戶不能更改密碼”。
創建用戶帳戶完成。
右鍵單擊新建的“liming”用戶帳戶,選擇“屬性”。
在“撥入”選項卡中“遠程訪問權限”賦予此用戶“允許訪問”權限,點擊“應用”。
在“隸屬於”選項卡,可以看到這個賬戶屬於“Domain Users”這個用戶組。
6. 配置IAS服務器
如果用戶是利用活動目錄內的用戶帳戶來連接網絡,則IAS服務器必須向域控制器詢問用戶帳戶的信息,才能決定用戶是否有權連接。首先必須將IAS服務器註冊到活動目錄中,IAS服務器才能夠讀取活動目錄的用戶帳戶信息。
選擇“Internet驗證服務”。
右擊“Internet驗證服務(本地)”,選擇“在Active Directory中註冊服務器”。
接下來配置IAS服務器,包括配置IAS客戶端和遠程訪問策略。
輸入客戶端的名稱和IP地址。注意:這裏的客戶端指的是交換機。
客戶端供應商這裏選擇的是“RADIUS Standard”,“共享機密”指的是IAS服務器和交換機上設置的預共享密鑰。只有雙方密鑰相同時,IAS服務器纔會接受RADIUS客戶端傳來的驗證、授權和記賬請求。此處密鑰區分大小寫。
RADIUS客戶端建立完成後,出現如上的顯示。
然後新建遠程訪問策略。
選擇“lan access”,右鍵“屬性”。
選擇“編輯配置文件”。
高級選項卡里面的高級屬性類型如上。
確保此策略“授予遠程訪問權限”,點擊“確定”完成IAS服務器配置。
二.配置DES-3526交換機
“config vlan default delete 1-26” 將1-26 端口從默認的VLAN刪除
“create vlan v10 tag 10” 創建VLAN 10,名稱:v10
“create vlan v20 tag 20” 創建VLAN 20,名稱:v20
“config vlan v10 add untagged 1-16” 將交換機的1-16端口以非標籤的形式添加到V10 裏面
“config vlan v20 add untagged 17-26” 將交換機的17-26端口以非標籤的形式添加到V20 裏面
將交換機的IP地址改爲192.168.0.250,並將它指定到V10裏面。PC要進行認證,IAS 服務器和交換機之間必須是能夠進行正常通信的。我們將IAS服務器放在V10裏面,交換機的IP 地址在默認情況下是屬於default VLAN 的,必須將它指定到V10裏面。
默認情況下,交換機的802.1X協議時關閉的,可以使用“enable 802.1x”命令來啓用它。創建Guest VLAN,將V10指定爲Guest VLAN,然後將交換機的1-16端口的Guest VLAN功能開啓。
將交換機的第1-8 端口設置爲需要認證的端口,連接到這些端口的計算機必須通過認證才能夠接入網絡,否則只能夠與同在Guest VLAN裏面的計算機進行通信。
使用“config radius add 1 192.168.0.254 key 123456 default”將IP地址爲192.168.0.254的認證服務器(IAS服務器)添加到交換機,交換機接收到認證請求信息之後將把認證請求發送到認證服務器上。
命令中的參數“1”表示的是RADIUS服務器的序號;參數“123456”是交換機和認證服務器之間通信時的預共享祕鑰,雙方設置必須一致;默認情況下“1812”和“1813”是UDP協議用的兩個端口,“1812”是認證端口,“1813”是計費端口,這兩個端口設置交換機和認證服務器雙方也要一致,這裏使用交換機默認配置。
以上就完成了交換機的配置。
三. 配置客戶端
將一臺計算機接入到交換機的第一個端口,然後設置此計算機加入到前面新建的test.com域。
在計算機桌面上,右鍵單擊“我的電腦”,選擇“屬性”。
點擊“更改”按鈕。
在隸屬於下面的“域”填入新建的test.com。
輸入域管理員帳號和密碼。
提示已經加入test.com域,然後重新啓動計算機。
計算機重新啓動以後,使用“liming”來進行登錄到test域中。
登錄到域以後,通過WEB方式從CA上下載數字證書。
在瀏覽器中輸入:192.168.0.254/certsrv,在彈出的對話框中輸入用戶名和密碼。
選擇“申請一個證書”。
選擇用戶證書。
點擊“提交”。
點擊“是”申請證書。
點擊“安裝此證書”。
點擊“是”。
顯示證書已經成功安裝。
接下來設置身份驗證屬性。
我的電腦,右鍵單擊“屬性”。
此計算機的OS 版本是Windows XP SP 3。
Wired Autoconfig 服務是在以太網口上執行IEEE 802.1x 身份認證,而Service
Pack3 默認將XP 的Wired Autoconfig 的啓動類型設置爲手動,所以需要更改爲
自動並確保該服務的狀態是啓動。方法如下:
控制面板中選擇“管理工具”。
選擇“服務”。
啓動類型選擇“自動”,點擊“啓動”按鈕。
注意:以上問題在windows xp sp2上不存在。
本地連接屬性選擇“身份驗證”選項卡。
網絡身份驗證方法選擇“受保護的EAP”,點擊“設置”按鈕。
勾選“驗證服務器證書”,“連接到這些服務器”中的內容爲空。在“受信任的證書頒發機構”中選擇“lan”,這是我們建立的CA服務器的名稱。在通過身份驗證以後,客戶端會自動在“連接到這些服務器”填入服務器的名稱。
在“選擇身份驗證方法”中選擇“安全的密碼(EAP-MSCHAP v2)”,然後點擊“配置”
勾選“自動使用Windows登錄名和密碼”,這樣用戶在登錄的時候只需要輸入一次域的用戶帳戶和密碼就可以完成域和802.1X的雙重認證。
回到原對話框,點擊“確定”完成身份驗證的設置,彈出下面的信息:
點擊彈出的信息,出現下面的對話框。
![clip_p_w_picpath314]()
點擊“查看服務器證書”。
狀態爲“該證書沒有問題”,在驗證完服務器的證書後,客戶端會自動將此信息添加到“連接到這些服務器”裏面,以便下次進行自動驗證。用戶就不會再重複確認上面的信息了。
以上就完成了對客戶端的設置。
四:配置驗證
在完成了以上三個部分的配置以後,下面我們來測試一下配置效果
在用戶登過程中,交換機的顯示信息如下(用戶計算機連接到交換機第1個端口):
客戶端已經連接,還沒有開始認證。
客戶端正在進行認證。
客戶端沒有通過認證時的VLAN端口情況。
客戶端已經通過認證。
客戶端通過認證以後,交換機會自動把客戶端所連接的端口1劃分到V20裏面。這樣客戶端計算機就可以通過路由器接入到Internet了。
通過上面的測試我們可以得出如下結論:
沒有通過認證前,客戶端屬於Guest VLAN(V10),只能與Windows 2003 server通信。在通過認證以後,客戶端屬於所指定的V20,也就可以通過路由器訪問Internet了。以上證明前面的配置是正確的。
五:注意事項
1. 客戶端的IP地址設置爲自動獲取,這樣客戶端可以自動從Windows 2003服務器提供DHCP獲取IP地址。
2. 使用 MS-CHAPv2,可以配置用戶計算機,使用 Windows Domain 的用戶名和密碼來進行 802.1X 登入。當用戶完成 Windows 登錄, Windows 會自動開始 802.1X MS-CHAPv2 對交換機端口做認證。注意:必須將 AD 放在 Guest VLAN, 所以在端口未認證前,用戶仍能登入網域。
3. 使用域的賬戶和密碼登錄到域中時,可能有時候計算機的某些設置不允許普通的域用戶進行修改,例如SP3中的啓動802.1X身份驗證功能等,這就需要賦予域用戶更多的對登錄計算機操作的權限。請參考微軟的相關資料。
4. 文檔中的配置參考了大量的微軟官方網站的資料,主要資料鏈接如下:
[url]http://www.microsoft.com/china/technet/security/guidance/secmod163.mspx[/url](使用 802.1X 實現無線 LAN 安全性)
[url]http://www.microsoft.com/china/technet/prodtechnol/winxppro/deploy/ed80211.mspx[/url](使用 Microsoft Windows 的安全 802.11 網絡企業部署)
此外還包括Windows 2003 server的相關功能配置以及大量此議題相關的網絡資料。
六:總結
通過以上的統一認證流程,用戶只需按照正常的域登錄操作,即可同時完成802. 1x 接入認證和Windows 域登錄認證,達到了統一認證和單點登錄的目的。在應用Windows 域與802. 1x 統一認證方案後,企業內部網絡的安全性極大增強。具體來說,實現Windows 域與802. 1x 統一認證有以下優點:
(1) 結合交換機Guest VLAN功能,增強了網絡接入的安全性,有效杜絕了非法用戶接入,實現了對非法用戶的物理隔離。
(2) 透明的統一認證流程與通常的域認證過程完全一致,無需附加認證過程。
(3) 實現了網絡接入與Windows 域的單點登錄,方便用戶的使用與操作,減少用戶同時記憶兩套用戶名與密碼的煩瑣。
(4) 實現用戶密碼的統一、集中維護(由域控制器維護),提高了用戶密碼安全性。