Сценарий ...
У меня есть беспроводная сеть, которую студенты используют для доступа в Интернет. У каждого студента есть учетная запись Active Directory. Можно ли настроить мои точки доступа таким образом, чтобы они требовали от них использования учетных данных AD для подключения к сети? Если да, то требуются ли для этого сертификаты на сервере или на компьютерах? Я бы хотел по возможности избежать этого, потому что не хочу управлять их компьютерами.
У меня есть сервер Win2k3 с установленной службой IAS и AP 3Com (3CRWE454G72).
Есть ли какие-нибудь программные продукты, чтобы автоматизировать это или упростить?
То, о чем вы говорите, - это то, что мы делаем на нескольких сайтах клиентов (включая школьный округ, который, похоже, делает именно то, что вы хотите).
Это не руководство по щелчку мыши, но если вы не против немного поиграть с инструментами, я думаю, вы обнаружите, что они довольно понятны.
Серверу IAS потребуется установленный сертификат в качестве предварительного условия для выполнения EAP. Если вы не против использования самозаверяющего сертификата (который мы делаем везде без серьезных проблем), вы можете установить Центр сертификации Microsoft, и машина IAS запросит сертификат автоматически (при условии, что машина, на которой размещен IAS, присоединена к домен в лесу с центром сертификации). Читая о лучшие практики предложенный Microsoft re: центр сертификации - хорошая идея (особенно части о том, что не может измениться после создания вашего CA), но если все, для чего вы используете свой CA, это EAP, вам, вероятно, удастся списать его и начать все сначала, если вам когда-нибудь понадобится
После установки сертификата на машине IAS вам необходимо настроить сервер RADIUS для приема запросов от точек беспроводного доступа (клиентов RADIUS). Сервер Microsoft RADIUS (по крайней мере, в W2K3) не очень хорошо справляется с ошибками поиска DNS, поэтому, как бы я не хотел это говорить, я бы рекомендовал использовать IP-адреса AP при создании записей клиента RADIUS на сервер IAS. «Общий секрет» - это значение, которое клиент RADIUS (AP) использует для аутентификации на сервере RADIUS (IAS). Убедитесь, что вы вводите его одинаково как на AP, так и на сервере IAS.
Вам нужно будет создать политику удаленного доступа на машине IAS после того, как вы определили свои AP как клиенты RADIUS. Встроенный мастер может хорошо создать политику за вас. По сути, вам нужна политика, соответствующая «Беспроводная связь - IEEE 802.11 ИЛИ Беспроводная связь - Другое», и, при желании, конкретная группа Windows, содержащая пользователей, которым будет предоставлен доступ (например, «Компьютеры домена» или «Пользователи домена»). Мастер поможет вам в этом процессе.
После того, как вы создали политику, вы можете попытаться подключиться с клиента вручную. Я обсуждаю здесь только настройку встроенной в Windows службы Wireless Zero Configuration (ха!). Если у вашей сетевой карты WLAN есть сторонний менеджер конфигурации, и вы можете обойтись без него, я бы сделал это. Использование встроенной службы Windows значительно увеличивает шансы на то, что сетевая карта подключится и пройдет проверку подлинности во время загрузки (при условии, что вы разрешите доступ «Компьютеры домена» в своей политике RADIUS). (Я могу вам сказать, что у меня есть большое количество беспроводных клиентов на сайте моего школьного округа, которые никогда не подключаются к проводному Ethernet, но могут без проблем обрабатывать групповую политику и т. Д.).
Процедура немного различается между Windows XP и Windows Vista / 7, но в основном мы говорим о переходе к списку беспроводных сетей, добавлении SSID новой защищенной WPA-RADIUS сети (удалите старую, если вы повторно -используя ваш существующий SSID) и убедитесь, что некоторые свойства установлены правильно. «Сетевая аутентификация» должна быть установлена на любую комбинацию WPA / WPA2 и AES / TKIP, которую вы настроили на своей точке доступа. (Лично я бы использовал WPA2-AES, если вы можете, но WPA-TKIP является наименьшим общим знаменателем и поддерживается более старыми клиентами.)
Убедитесь, что в свойствах аутентификации для нового SSID в качестве типа EAP выбран «Защищенный EAP (PEAP)». Если клиент не является членом вашего домена, перейдите в диалоговое окно «Свойства» для PEAP, снимите флажок «Проверить сертификат сервера», перейдите в диалоговое окно «Настроено» для параметра «Выбрать метод проверки подлинности» и снимите флажок «Автоматически использовать мой Имя и пароль для входа в Windows (и домен, если есть) »и снимите флажок« Аутентифицировать как компьютер, когда информация о компьютере доступна »в свойствах« Аутентификация »нового SSID. Это заставит Windows запрашивать учетные данные на компьютере, не входящем в домен.
После того, как клиент «заговорит», я бы порекомендовал развернуть настройки SSID, используя групповая политика так что вам не придется «трогать» клиентов. я люблю эту функциональность и успешно использовали на многих сайтах. Пока новому клиентскому компьютеру, входящему в домен, разрешено применять групповую политику один раз в проводной сети, он будет «просто работать» после того, как попадет в зону действия беспроводной сети. Нирвана!
Для устройств, отличных от Windows (iPod, нетбуки Linux, телефоны Android и т. Д.), Вам придется самостоятельно настраивать соединение. Но это не так уж и плохо. У нас есть множество устройств, аутентифицирующих себя в WLAN, настроенных таким образом, очень хорошо.
Редактировать:
На компьютерах, не являющихся членами домена, вы захотите снять отметки с пунктов, которые я описал выше, чтобы клиент не проверял сертификат сервера и не пытался пройти автоматическую аутентификацию. Пользователь должен будет вручную ввести свои учетные данные.
Что касается автоматического развертывания профиля конфигурации для клиентов, не являющихся членами домена, вы можете использовать "Netsh Wlan" команда в Windows Vista и Windows 7.
В Windows XP развертывание конфигурации WLAN без групповой политики действительно аналогичен Vista, но требует установки программного обеспечения.
Да, WPA Enterprise использует EAP для аутентификация. Он поддерживает аутентификацию по паролю и сертификату.