среда, 7 ноября 2012 г.

Wi-Fi сеть c Radius сервером в домене Windows Server 2008


Задача настроить Wifi сеть с применением стандарта WPA2-EAP(Enterprise) и Radius сервером  в домене в домене Windows Server 2008 RSP1.


В этом руководстве настраиваеться RADIUS функция сервера NPS. В частности, будет использовн протокол Extensible Authentication Protocol (EAP)'Protected EAP (PEAP). Такое использование проверки подлинности 802.1X требует сертификат безопасности на сервере, но не клиентах. Конечные пользователи входят, используя свои имена пользователей и пароли учетных записей, определенные в Active Directory на сервере Windows Server

Инфраструктура:
Есть устройство wi-fi router RTN56u
Сервер 2008 R2 SP1 Роли:
·         AD
·         DHCP
·         DNS
Ноутбук с Windows 7 SP1

11.       Добавляем Роль «Службы сертификатов» с параметрами по умолчанию















  2.       Создаём Универсальную группу Беспроводные пользователи

a.       Создаём  пользовательскую учетную запись WirelessUser
b.      Добавляем Wirelessuser в группу Беспроводные пользователи
  3.       Добавляем Роль «Службы политики сети и доступа» (Сервер политики сети ; службы маршрутизации и удаленного доступа)
                                 

a.       На странице  Выбор служб ролей устанавливаем флажок  «Сервер политики сети» и «Службы маршрутизации и удаленного доступа». Флажки «Служба удаленного доступа и Маршрутизация будут установлены автоматически»

b.      Нажимаем установить.
     

  4.       Далее конфигурируем  «Сервер политики сети» , чтобы точка беспроводного доступа работала как клиент RADIUS. В командной строке вводим nps.msc и жмем Enter
  5.       В панели сведений, в области стандартная конфигурация выбираем сценарий «Настройки  RADIUS-сервер для беспроводных или кабельных подключений 802.1x»
a.       На странице «Выберите тип подключений 802.1X» выбираем «Безопасные беспроводные подключения». Далее.

b.      На следующей странице добавляем RADIUS-клиент. Нажимаем добавить и вносим данные по нашей беспроводной точке доступа. Так же создаём общий секрет. Жмем ОК.  Жмем Далее

c.       На странице «Настройка проверки подлинности» выбираем «Защищенные EAP» жмем настроить. В окне настроек выбираем ранее созданный нами сертификат подлинности. Жмем ОК. Жмем далее

d.      На следующем шаге указываем ранее созданную Группу безопасности «Беспроводные пользователи». Жмем Далее

e.      На следующей странице так же жмем далее. И в конце жмем готово

  6.       В оснастке  nps.msc правой кнопкой щелкаем по объекту NPS в контекстом меню выбираем «Зарегистрировать сервер в  Active Directory».




  7.       Пришло время настроить беспроводные контроллеры или точки доступа (APs). Вызовите веб-интерфейс путем ввода IP адреса точек доступа или контроллеров в браузер. Затем перейдём в параметры беспроводной сети.
a.       Выбираем WPA-Enterprise или WPA2-Enteprise. Для типа шифрования выберите TKIP, если используется WPA (TKIP if using WPA) или AES, если используется WPA2 (AES if using WPA2).

b.      Затем вводим IP адрес RADIUS сервера, которым должна быть только что настроенная машина Windows Server. Вводим общий секрет, созданный ранее для этого контроллера/AP. Сохраните параметры.

c.       В WAN интерфейс подключена сеть с RADIUS сервером. Интерфейс имеет статический адрес.

Осталось только настроить wifi сеть и прописать проверочный сертификат  на клиенте. Это можно сделать вручную либо через групповые политики.

99.       Будем настраивать через  групповые политики.  Нас интересует следующая ветка: Конфигурация компьютера\политики\конфигурация Windows\параметры безопасности
a.       Открываем Политика беспроводной сети.  Жмем правой кнопкой – создание новой политики Windows VIsta.  На вкладке  Общие Жмем -Добавить  выбираем тип Инфраструктура.
Вводим имя профиля , а так же имя SSID нашей сети.

На вкладке Безопасность выбираем метод проверки подлинности Microsoft: Защищенные EAP.

Затем жмем дополнительно и устанавливаем там флажок Включить единую регистрацию для сети.
На вкладке Безопасность жмем Свойство и там настраиваем следующее.
Ставим флажок – Проверять Сертификат сервера.
Прописываем адрес сервера и указываем доверенные корневые сертификаты.

На этом настройка политики беспроводной сети закончена.
b.      Открываем Политики открытого ключа и настраиваем следующие пункты.
                                                               i.      Клиент служб сертификатов- политика регистрации сертификатов. Включаем политику с параметрами по умолчанию.

                                                             ii.      Параметры служб сертификатов.  Включаем политику с параметрами по умолчанию.


                                                            iii.      Клиент служб сертификации: автоматическая подача заявок.
Включаем и проставляем два флажка.

110.   Заходим в Роль Службы сертификации Active Directory – шаблоны сертификатов и ищем два шаблона Проверка подлинности контроллера домена и почтовая репликация каталогов. Заходим в свойства данных шаблонов и во вкладке Устаревшие шаблоны удаляем шаблон контроллер домена.

111.   Теперь можно тестировать нашу сетку. Все готово!




2 комментария:

  1. Здравствуйте.
    Статья интересная.
    Сделал все по алгоритму, но что то не получается войти. Интересует более подробная настройка IP адресов сервера (Windows Server 2012 R2), точки доступа (у меня DIR-825).

    Заранее благодарен.

    ОтветитьУдалить