windows認證-IPAD通過802.1X+證書安全認證解決方案

./IPAD通過802.1X+證書安全認證解決方案實驗拓撲拓撲說明：Windows2003ServerIPWindows2003ServerAC的IP：40AP的管理IP：.100三層交換機和AP的互聯(lián)IP：.1環(huán)境說明：本實驗需要用到Windows2003Server,并且在Windows2003Server安裝DNS、AD、CA、IAS等組件,采用CA為IAS以及終端頒發(fā)證書,AD域建立用戶,IAS作為radius服務(wù)器對終端用戶進行認證并對客戶端證書進行有效性檢測。在AC上對于無線接入啟用802.1X認證,密鑰認證方式為WPA+企業(yè)級。根據(jù)上面的拓撲環(huán)境,IPAD連接無線SSID后,輸入用戶名和密碼到windows2003進行用戶以及證書驗證,驗證通過后自動獲取IP地址,并能PING通AC。[實驗設(shè)備]Windows2003Server1臺,AC1臺,AP1臺,三層交換機1臺,測試IPAD1臺,網(wǎng)線若干。[實驗步驟]一．配置Windows2003Server注：在配置前將WIN2003安裝光盤放入光驅(qū)1.安裝Windows2003ServerAD〔活動目錄在Windows2003Server上,點擊"開始""運行",輸入"dcpromo",點"確定",啟動"活動目錄安裝向?qū)?。如下圖：此處選擇"新域的域控制器",使此計算機作為此域的域控制器〔DC。此處選擇"在新林中的域"。輸入"test."作為新建域的域名。設(shè)置NetBIOS域名,此處使用默認的"TEST"。設(shè)置數(shù)據(jù)庫和日志文件的保存路徑,此處選擇默認設(shè)置。設(shè)置共享的系統(tǒng)卷,此處使用默認設(shè)置。DNS注冊診斷,由于此服務(wù)器還沒有安裝DNS服務(wù)器組件,因此顯示診斷失敗,這里選擇"在這臺計算機安裝并配置DNS服務(wù)器,并將這臺DNS服務(wù)器設(shè)為計算機的首選DNS服務(wù)器"。設(shè)置用戶和組對象的默認權(quán)限,此處選擇默認設(shè)置。設(shè)置目錄還原模式的管理員密碼。開始安裝和配置活動目錄。活動目錄安裝完畢。點擊"立即重新啟動",重啟windows2003server。2.安裝并配置證書服務(wù)器〔CAIEEE802.1X在允許網(wǎng)絡(luò)客戶端訪問網(wǎng)絡(luò)之前使用EAP來對其進行身份驗證。EAP最初設(shè)計用于點對點協(xié)議〔PPP連接,它允許用戶創(chuàng)建任意身份驗證模式來驗證網(wǎng)絡(luò)訪問。請求訪問的客戶端和進行身份驗證的服務(wù)器必須首先協(xié)商特定EAP身份驗證模式〔稱為EAP類型的使用。在就EAP類型達成一致之后,EAP允許訪問客戶端和身份驗證服務(wù)器〔通常是一個RADIUS服務(wù)器之間進行無限制的對話。在基于802.1X的認證協(xié)議中,我們采用的是PEAP〔ProtectedExtensibleAuthenticationProtocol的驗證方式。這是一種基于密碼的驗證協(xié)議,可以幫助企業(yè)實現(xiàn)簡單、安全的驗證功能。PEAP是一種EAP類型,它首先創(chuàng)建同時被加密和使用傳輸層安全〔TLS來進行完整性保護的安全通道。然后進行另一種EAP類型的新的EAP協(xié)商,從而對客戶端的網(wǎng)絡(luò)訪問嘗試進行身份驗證。由于TLS通道保護網(wǎng)絡(luò)訪問嘗試的EAP協(xié)商和身份驗證,因此可以將通常容易受到脫機字典攻擊的基于密碼的身份驗證協(xié)議可用于在安全的網(wǎng)絡(luò)環(huán)境中執(zhí)行身份驗證。PEAP是一種通過TLS來進一步增強其它EAP身份驗證方法安全性的身份驗證機制。面向Microsoft802.1X身份驗證客戶端的PEAP提供了針對TLS〔PEAP-TLS,同時在服務(wù)器身份驗證過程與客戶端身份驗證過程中使用證書與Microsoft質(zhì)詢握手身份驗證協(xié)議2.0版〔PEAP-MS-CHAPv2,在服務(wù)器身份驗證過程中使用證書,而在客戶端身份驗證過程中使用基于口令的授權(quán)憑證。若客戶端希望對網(wǎng)絡(luò)進行認證,必須下載證書的支持能力。MS-CHAPv2是一種基于密碼的質(zhì)詢-響應(yīng)式相互身份驗證協(xié)議,使用工業(yè)標準的"信息摘要4〔MessageDigest4,MD4>"和數(shù)據(jù)加密標準〔DataEncryptionStandard,DES算法來加密響應(yīng)。身份驗證服務(wù)器質(zhì)詢接入客戶端,然后接入客戶端又質(zhì)詢身份驗證服務(wù)器。如果其中任一質(zhì)詢沒有得到正確的回答,連接就被拒絕。通過上面的介紹,我們可以得出結(jié)論：不管對無線連接使用哪種身份驗證方法〔PEAP-TLS或PEAP-MS-CHAPv2,都必須在IAS服務(wù)器上安裝計算機證書。安裝一種證書服務(wù)即指定一個證書頒發(fā)機構(gòu)<CA>,證書可以從第三方的CA機構(gòu)獲取,比如VeriSign,或者從企業(yè)部的CA機構(gòu)頒發(fā)。這兩種方案在傳統(tǒng)意義上都是可行的,但是對于小型企業(yè)來說并不現(xiàn)實,因為小型企業(yè)不愿意每年花很多額外的錢購買第三方認證機構(gòu)的證書,因此可以考慮在企業(yè)部自己架設(shè)CA服務(wù)器。我們這里采取的是在IAS服務(wù)器和客戶端上都需要安裝證書,以完成雙方的互相認證?？蛻舳送ㄟ^web從CA上下載證書,首先需要安裝IIS。在"windows組件向?qū)?選擇"應(yīng)用程序服務(wù)器",點擊"詳細信息"。完成IIS服務(wù)安裝。接下來安裝證書服務(wù)。在"windows組件向?qū)?選擇"證書服務(wù)",點擊"詳細信息"。點擊是,選中"證書服務(wù)"和"證書服務(wù)Web注冊支持"。選擇"企業(yè)根CA"。輸入CA公鑰名稱。出現(xiàn)生成公鑰過程,并提示設(shè)置證書數(shù)據(jù)庫。完成CA的安裝。4.安裝IAS服務(wù)器在"添加/刪除Windows組件"中,選擇"網(wǎng)絡(luò)服務(wù)",單擊"詳細信息"選擇"Internet驗證服務(wù)",單擊"確定"。然后返回原對話框,點擊"下一步"。點擊完成按鈕。接下來開始為IAS服務(wù)器申請證書。在IAS服務(wù)器上點擊"開始""運行",輸入"mmc",點擊"確定"。在控制臺上,選擇"文件""添加/刪除管理單元"。在控制臺根節(jié)點下點擊"添加"按鈕。在添加獨立管理單元選擇"證書",點擊添加按鈕。選擇"計算機",點擊"下一步"。選擇"本地計算機",點擊"完成"。點擊確定。在控制臺根節(jié)點下,展開"證書",右鍵單擊"個人""所有任務(wù)""申請新證書"。證書類型選擇"域控制器"。輸入證書的名稱。完成IAS服務(wù)器證書的申請。提示證書申請成功。在控制臺根節(jié)點下,查看個人證書,可以看到剛才申請的證書,以及自動為此計算機頒發(fā)的證書。5.建立域用戶進入活動目錄用戶和計算機。右鍵單擊"test."選擇"新建""用戶"。建立一個登錄名為"liming"的用戶。為"liming"這個賬戶創(chuàng)建密碼,選擇"用戶不能更改密碼"。創(chuàng)建用戶完成。右鍵單擊新建的"liming"用戶,選擇"屬性"。在"撥入"選項卡中"遠程訪問權(quán)限"賦予此用戶"允許訪問"權(quán)限,點擊"應(yīng)用"。在"隸屬于"選項卡,可以看到這個賬戶屬于"DomainUsers"這個用戶組。6.配置IAS服務(wù)器如果用戶是利用活動目錄的用戶來連接網(wǎng)絡(luò),則IAS服務(wù)器必須向域控制器詢問用戶的信息,才能決定用戶是否有權(quán)連接。首先必須將IAS服務(wù)器注冊到活動目錄中,IAS服務(wù)器才能夠讀取活動目錄的用戶信息。選擇"Internet驗證服務(wù)"。右擊"Internet驗證服務(wù)〔本地",選擇"在ActiveDirectory中注冊服務(wù)器"。接下來配置IAS服務(wù)器,包括配置IAS客戶端和遠程訪問策略。輸入客戶端的名稱和IP地址〔在本例中AC的地址為40。注意：這里的客戶端指的是AC?？蛻舳斯?yīng)商這里選擇的是"RADIUSStandard","共享"指的是IAS服務(wù)器和AC上設(shè)置的預(yù)共享密鑰。只有雙方密鑰相同時,IAS服務(wù)器才會接受RADIUS客戶端傳來的驗證、授權(quán)和記賬請求。此處密鑰區(qū)分大小寫。RADIUS客戶端建立完成后,出現(xiàn)如上的顯示。然后新建遠程訪問策略。注：這里選擇"無線"選擇"lanaccess",右鍵"屬性"。選擇"編輯配置文件"。高級選項卡里面的高級屬性類型如上。確保此策略"授予遠程訪問權(quán)限",點擊"確定"完成IAS服務(wù)器配置。二．配置IPAD1.獲取客戶端證書Windows證書服務(wù)器的默認URL為：[ip_address]/certsrv,[ip_address]填寫實際的IP地址。在本例中,URL為http://certsrv。進入URL之后,選擇"申請一個證書"等證書下載完畢后,安裝該證書：安裝時可能會出現(xiàn)如下提示,選擇"是"即可證書安裝成功此時,進入IE的"Internet選項",可以看到安裝的客戶端證書,被放在"個人"類別中112.如何將證書導入到IPAD中,并連接無線,通過證書認證為了將證書導入iPad,并在iPad上啟用證書認證,我們需要在PC上安裝iPhone配置實用工具〔iPhoneConfigurationUtility。這是蘋果官方發(fā)布的一個免費軟件,可以在其上下載到。將iPad連接到PC,啟動iPhone配置實用工具,選中左側(cè)欄的"配置描述文件",并點擊"新建"2121在"通用"中填寫配置描述文件的名稱,標識符,機構(gòu)以及描述1212選擇"憑證",點擊"配置",進行證書設(shè)置1212在彈出的"個人證書商店"窗口中,選擇lan證書客戶端證書對客戶端證書設(shè)置密碼,后續(xù)往iPad中安裝此配置描述文件的時候,需要進行密碼驗證注：該選項為自動彈出,若配置的時候沒有彈出則不用設(shè)置,直接按照下面步驟進行操作選擇"Wi-Fi",點擊"配置"2121在"服務(wù)集標識符〔SSID"下填寫SSID〔本例中為test666。在這里,如果在AC上將SSID設(shè)置為隱藏,則需要將"隱藏網(wǎng)絡(luò)"前面的勾選上。隨后,設(shè)置"安全類型"為WPA/WPS2企業(yè)級,并在"協(xié)議"中選擇PEAP43214321將選項卡切換至"鑒定",選擇"書"為前面步驟中配置CA服務(wù)器下發(fā)的用戶名密碼2121將選項卡切換至"信任",在"可信的證書"中把CA證書勾上2121至此,配置描述文件設(shè)置完畢,