科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道无线网络安全指南:IAS RADIUS实现无线网络验证(下)

无线网络安全指南:IAS RADIUS实现无线网络验证(下)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

对于系统管理员和企业CIO来说,企业无线局域网的安全问题一直是他们关注的重心。在4月份中,我们会连续关注企业无线局域网安全,今天我们将向大家介绍如何配置Windows Server 2003中附带的IAS RADIUS 服务器。

作者:ZDNet China 2007年4月12日

关键字: 无线局域网 安全管理 加密解密

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

添加RADIUS 客户

RADIUS的“客户”并不是我们所想象的“用户”。RADIUS的客户实际上是指无线接入点、路由器、交换机、网络防火墙或者一个VPN集线器。任何可以提供网络接入功能,并需要AAA(接入、认证和审计)的设备,对于RADIUS服务器来说都是RADIUS客户。在本文中,我们只建立一个接入点作为一个RADIUS客户。

要建立RADIUS客户,我们需要右键点击“RADIUS Clients”,然后选择“New RADIUS Client”,如图XX所示。

无线网络安全指南:IAS RADIUS实现无线网络验证(下)

图XX 建立Radius客户

接下来我们会看到如图YY所示的窗口,在该窗口中,我们需要命名该接入设备,然后设置该接入设备的IP地址。在本文中,这个接入设备是一个无线接入点。需要注意的是,如果接入设备是路由器或防火墙,因为这类设备都具有多个接口,因此会包含多个IP地址。此时你应该在这里输入距离RADIUS服务器最近的一个端口的IP地址。这是由于RADIUS请求会来自多端口设备中距离RADIUS服务器最近的端口,如果设置错误,那么RADIUS服务器将无法与该设备进行通信。

无线网络安全指南:IAS RADIUS实现无线网络验证(下)

图YY 命名新RADIUS客户并输入IP

接下去我们要设置RADIUS类型和RADIUS密码。一般来说, RADIUS类型部分总是设置为“RADIUS Standard”。而Cisco的设备是一个例外,如果你所要连接的设备是来自Cisco的,那么在“Client-Vendor”区域必须选择“Cisco”。不过Cisco的无线交换机并不在此例外中,因为Cisco的无线交换机其实是2005年收购Airespace后来自Airespace的产品。

Airespace的无线交换机可以使用“RADIUS Standard”方式,就和其他厂商的产品一样。“shared secret”是RADIUS服务器与其他接入设备共享的密码(如图ZZ所示)。我们应该使用字母和数字混合密码,并且长度应该大于十位。另外不要使用空格和特殊符号作为密码,因为这些字符可能与某些设备或软件产生兼容性问题,而要找到此类问题的根源却相当麻烦。

无线网络安全指南:IAS RADIUS实现无线网络验证(下)

图ZZ 设置共享密码

点击"Finish"完成此设置。如果你有多个接入设备,则需要重复这一过程。

添加远程访问策略

现在我们需要建立一个远程访问策略,对试图访问接入设备的用户进行验证和授权。首先我们右键点击“Remote Access Policies”项,然后选择“New Remote Access Policy”。如图AAA所示。

无线网络安全指南:IAS RADIUS实现无线网络验证(下)

图AAA 新建远程访问策略

点击"Next"转到下一窗口。如图BBB所示。

无线网络安全指南:IAS RADIUS实现无线网络验证(下)

图BBB 策略向导

为策略命名,并选择通过向导建立策略。然后点击"Next"。如图CCC所示。

无线网络安全指南:IAS RADIUS实现无线网络验证(下)

图CCC 命名策略

选择"Wireless" 然后点击 "Next",如图DDD所示。

无线网络安全指南:IAS RADIUS实现无线网络验证(下)

图DDD 选择无线接入

对用户和计算机进行接入授权。点击"Add"。如图EEE所示。

无线网络安全指南:IAS RADIUS实现无线网络验证(下)

图EEE 按组进行授权

这里我们需要对需要授权的域的位置进行定位。点击"Locations"。如图FFF所示。

无线网络安全指南:IAS RADIUS实现无线网络验证(下)

图FFF 选择组

选择需要授权的域,并点击“OK”。需要注意的是, IAS服务器必须加入到该域,或者必须为于该域的信任域中。如图GGG所示。

无线网络安全指南:IAS RADIUS实现无线网络验证(下)

图GGG 选择位置

输入“Domain Users”和“Domain Computers”,并用分号分隔。如图HHH所示。然后点击“Check Names”强制对输入内容进行校验。由于该选项是允许任何域用户和域计算机访问无线局域网,因此你可能还需要对一小部分用户或计算机进行限制。接着点击OK。

无线网络安全指南:IAS RADIUS实现无线网络验证(下)

图HHH 输入域名

需要注意的是,“Domain Computers”是用来验证你的计算机的“机器验证”,也就是说,不论用户是否登录,都会先验证用户所使用的计算机是否具有接入资格。这种方式模拟了无线局域网环境中所出现的情况,因此是一种非常有效的验证手段。

如果“机器验证”没有进行,那么组策略以及登录脚本将不会执行。另外,只有已经存在于无线接入计算机中的用户才能够正常登录,因为如果用户之前从未使用过该计算机登录无线网络,将无法对其进行域验证。正因如此,我总是建议Windows用户使用Windows无线网络客户端,并且建议管理员采用自动部署方式完成对客户端的无线网络配置。

在图III中,我们会看到我们所允许访问的用户组和计算机组。需要注意的是,这两个组之间的关系是“或”,即符合其中任何一项,都可以成功接入。下面我们点击“Next”

无线网络安全指南:IAS RADIUS实现无线网络验证(下)

图III 定义访问组

选择"Protected EAP (PEAP)" 认证,然后点击"Configure"。如图JJJ所示。
 
无线网络安全指南:IAS RADIUS实现无线网络验证(下)

图JJJ 验证

在处理下一个窗口前,你必须具有一个合法的来自CA机构的Machine Certificate(机器证书),或者你已经拥有了自签名(self-signed)证书。其余部分保持不变,如图KKK所示。然后点击OK键。

无线网络安全指南:IAS RADIUS实现无线网络验证(下)

图KKK PEAP属性

现在我们就完成了一个新的无线认证策略的制定。下面我们就开始进行具体的配置工作。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章