none
IAS+AP,不需使用憑證的認證方式 RRS feed

  • 問題

  • 小弟的公司最近想導入Wireless的管理,所以買了一台可用Radius認證的AP
    查了許多網路上的資料,發現均需透過憑證來做認證
    小弟只是想單純讓使用者透過Domain的帳號/密碼來認證
    不知有沒有這樣的方式?

    2008年11月3日 上午 01:21

解答

  • 你好~根據你的問題,剛好小弟最近有測試過
    先依照分類來處理問題
    1.AP段:
    a.要支援radius認證機制,設定radius伺服器IP位置,Port:1812,與IAS用戶端認證的密碼
    b.AP認證端設定WPA-Auto+Enterprise,我用ASUS RT-N11,不用輸入密碼,有些AP要輸入密碼,你就輸入與IAS用戶端認證的密碼
    c.AP要使用橋接模式

    2.Radius端:
    a.架設根憑證,這是架設IAS必備
    b設定IAS用戶端設定,就設定AP在你網域裡的IP位置,還有設定要與AP認證的密碼
    c.遠端存取原則設定,要設定可以連線的群組,記得在AD裡建立新的群組,並且把要使用wifi的用戶加入(非常重要)
    d設定EAP類型-選PERP
    e設定PERP,勾選啟用快速重新連線,認證選EAP-MSCHAP v2
     
    3.AD使用者與電腦,記得要使用者的撥入選項,選允許撥入,還有要把使用者加入你允許使用wifi的群組

    4.GPO
    a.我是預設網域裡面可以自動更新使用者憑證,所以沒時間問題
    bGPO裡的電腦設定=>安全性設定=>無線網路設定=>新建原則,這部不可以自動幫使用者建立連線的基地台,這樣就不用一台一台NB去設定,不過我沒用,因為測試起來有一點問題,應該是我的問題,設定選項就跟下面使用這設定的慣用網路設定一樣。

    5.使用者
    a.選擇網路連線,找到無線網卡=>右件內容=>Tab選無線網路,就可以自建慣用的連線
    b.輸入AP的SSID,網路內容的TAB=>資料加密:TKIP,網路驗證:WPA
    c.IEEE 802.1x Tab=>EAP類型:受保護的PEAP=>啟用快速重新連線=>認證選EAP-MSCHAP v2=>勾選自動使用我的Windows登入名稱與密碼

    6.你就可以測試登入了,基本上這就是不採用憑證,而是使用使用者在網域的帳號密碼作為認證

    我講的有一點少,因為全靠記憶寫的,有遺漏的地方,請多多測試,因為我參考的資料跟我設定出來的,也是有一點出入,

    花了不少時間進行測試,大致上就是這樣,謝謝大家觀賞^^

    2010年3月17日 下午 12:24

所有回覆

  • 市面上的AP如果搭配Radius做認證,驗證方式多是使用EAP-TLS也就是要有憑證。或許你可以反過在AP那邊不要求驗證,但是在取得IP要上網時在閘道端要求做驗證。閘道端做驗證的話市面上就有不少可以整合AD的設備,用戶在上網時會先導向一個要求輸入Domain的帳號/密碼的網頁。

    2008年11月3日 上午 06:52
  • 感謝回覆,那是不是說,不管是WPA或WPA2、Radius with 802.1x都是需要透過憑證來認證的?
    2008年11月3日 上午 07:52
  • WPA或WPA2有兩種模式,一種是只需要密碼的PSK模式;另一種就是你說的要用到憑證的EAP-TLS(有些廠商稱呼WPA-Enterprise或是WPA-802.1x)模式。或許你可以使用WPA2-PSK搭配支援AD整合驗證的閘道端設備來做驗證。

    2008年11月4日 上午 02:05
  • 不好意思,這個小弟不太明白,可否請教一下neverkonw前輩,關於你說的有沒有什麼文件可以參考的?
    這幾天快被憑證給搞死了
    因為之前公司就有CA,但CLIENT連上AP透過IAS做驗證時,都會顯示類似沒有可通過驗證的憑證之類的提示
    小弟是先架好IAS,設好POLICY,再用IAS申請一個電腦憑證,而CLIENT是先接有線網路同時也連無線來驗證
    不知道這樣的做法有錯嗎?
    又,如果都是需要憑證,那是不是需要先將憑證匯出至USB,然後再匯入到CLIENT電腦上,因為大部份的NB都沒加入網域
    2008年11月4日 上午 02:21
  • 你後來還是打算採用由AP負責做驗證嗎?我個人比較不喜歡這種方式,因為還要維護憑證;要幫使用者裝憑證而且1年就要RENEW一次。採用這方式的話使用者需要申請一張範本是個人憑證的憑證,然後匯入到他的電腦。你大部分NB都沒加入網域這樣你還得替使用者把AD的憑證伺服器加入到他電腦的信任根伺服器集區。再來IAS那邊就設定一下你AP的IP跟SECRET,最後定好POLICY就可以用了。看起來很麻煩吧?所以我會選擇在砸道端驗證,AP端設定用WPA-PSK的方式;讓此用者有密碼就能先連上AP,至於之後要存取網路再要求AD帳號驗證

    2008年11月4日 上午 05:26
  • 之後要存取網路再要求AD帳號驗證」
    小弟就是這邊不懂
    是先設好IAS的POLICY,讓所有要存取網路的人都要經過驗證
    還是??
    如果是上述的方法,是不是也可以透過ISA來管理?
    2008年11月4日 上午 08:47
  • 上述的方法不需要IAS跟憑證,只靠AD驗證。但是你要找一台支援AD驗證的閘道設備;一般這種設備多半是資安廠商推出的硬體設備,軟體的話微軟有出個叫做ISA Server的東西。

     

    2008年11月4日 上午 09:42
  • 這個小弟的公司最近也買了

    不過因為已經有了FIREWALL,所以大概只會拿來當做PROXY使用

    想請問一下,如何透過ISA來做這樣的驗證?

    是不是要裝FIREWALL CLIENT?

    2008年11月4日 上午 10:57
  • ISA我記得是要裝沒錯,而資安廠商推出的硬體式設備就不需要在用戶端裝東西了。我是比較不喜歡在用戶端裝東西,比較麻煩。你那些NB沒加入網域,ISA的CLIENT軟體不能透過網域派送;只好一個個手動幫她們裝

    2008年11月5日 上午 01:45
  • 所以neverknow前輩說的是

    讓NB Client先用密碼連上AP

    然後要上網的話,還是再透過ISA來做帳號的控管,是吧?

    那這樣有辨法管到使用者登入內部網路嗎?

    2008年11月5日 上午 05:09
  •  

    是的,再來所謂的使用者登入內部網路是指什麼狀況呢? 像ISA這種閘道端的驗證方式必須把這台設備當作GATEWAY,我的話會切一個網段給無線網路的使用者使用,只要是用無線網路的人必經此GATEWAY;只要經此GATEWAY不管你要去哪裡都要做AD驗證。唯一管不到的就是用無線網路的人她們互相連線,因為沒經過GATEWAY
    2008年11月5日 上午 05:25
  •  Cftzeng 寫信:
    小弟的公司最近想導入Wireless的管理,所以買了一台可用Radius認證的AP
    查了許多網路上的資料,發現均需透過憑證來做認證
    小弟只是想單純讓使用者透過Domain的帳號/密碼來認證
    不知有沒有這樣的方式?

    我想你會需要部署方式應該是使用NACNAP 技術。

    NAP 是Windows Server 2008提供的功能,但是部署上有一些限制,比如用戶端OS至少要XP SP3以上之版本才有支援。

     

    而NAC 就比較簡單但還要花一筆錢,在不需要變動網路的環境下利用一台硬體設備,對欲存取網路的電腦做驗證控管。只要是非網域或者非核可網路卡號的電腦,就會直接做封鎖,甚至在開啟網頁時會出現要求使用者做登入動作。無線網路的部分就可以直接開放匿名存取,甚至只使用一組通用密碼,身份驗證則交由NAC設備向AD要相關資訊作處理。

    2008年11月5日 上午 06:29
    版主
  • 請問 大大們 有沒有一些資料 可以給我參考??
    小弟現在也被憑證給搞到抓狂了
    原來可以不用憑證也行
    但小弟是新手 希望可以有些資料參考
    thank you!!

    2010年1月21日 上午 08:11
  • 你好~根據你的問題,剛好小弟最近有測試過
    先依照分類來處理問題
    1.AP段:
    a.要支援radius認證機制,設定radius伺服器IP位置,Port:1812,與IAS用戶端認證的密碼
    b.AP認證端設定WPA-Auto+Enterprise,我用ASUS RT-N11,不用輸入密碼,有些AP要輸入密碼,你就輸入與IAS用戶端認證的密碼
    c.AP要使用橋接模式

    2.Radius端:
    a.架設根憑證,這是架設IAS必備
    b設定IAS用戶端設定,就設定AP在你網域裡的IP位置,還有設定要與AP認證的密碼
    c.遠端存取原則設定,要設定可以連線的群組,記得在AD裡建立新的群組,並且把要使用wifi的用戶加入(非常重要)
    d設定EAP類型-選PERP
    e設定PERP,勾選啟用快速重新連線,認證選EAP-MSCHAP v2
     
    3.AD使用者與電腦,記得要使用者的撥入選項,選允許撥入,還有要把使用者加入你允許使用wifi的群組

    4.GPO
    a.我是預設網域裡面可以自動更新使用者憑證,所以沒時間問題
    bGPO裡的電腦設定=>安全性設定=>無線網路設定=>新建原則,這部不可以自動幫使用者建立連線的基地台,這樣就不用一台一台NB去設定,不過我沒用,因為測試起來有一點問題,應該是我的問題,設定選項就跟下面使用這設定的慣用網路設定一樣。

    5.使用者
    a.選擇網路連線,找到無線網卡=>右件內容=>Tab選無線網路,就可以自建慣用的連線
    b.輸入AP的SSID,網路內容的TAB=>資料加密:TKIP,網路驗證:WPA
    c.IEEE 802.1x Tab=>EAP類型:受保護的PEAP=>啟用快速重新連線=>認證選EAP-MSCHAP v2=>勾選自動使用我的Windows登入名稱與密碼

    6.你就可以測試登入了,基本上這就是不採用憑證,而是使用使用者在網域的帳號密碼作為認證

    我講的有一點少,因為全靠記憶寫的,有遺漏的地方,請多多測試,因為我參考的資料跟我設定出來的,也是有一點出入,

    花了不少時間進行測試,大致上就是這樣,謝謝大家觀賞^^

    2010年3月17日 下午 12:24
  • 請問 skycru
    你的方法可以令noo-domain 的電腦使用wireless 嗎?
    你我方法是不是不用CA 呢??
    因為我設施好反只有domaim 電腦可以用 AD 的user account login AP
    而non-domain 電腦 就不可以!!
    多謝
    2010年3月17日 下午 02:45
  • Hello~

    因為考量到安全性的問題,所以我的設定基本上是以登入者的帳號密碼去做認證,

    如果要non-domain 電腦,基本上只要在上述第五項的設定做更改即可。

    就是下面粗體那一行,取消打勾即可,不過至少要有網域的帳號,

    這樣電腦在嘗試登入時,桌面右下角的無線網路圖示會跳出XP的氣泡式告知,

    要求使用者輸入帳號密碼或是可提供驗證的憑證,

    只要點下去輸入網域的帳號密碼即可,

    不過這種做法不建議給予外面來的來賓使用,

    會有安全性的問題,謝謝。

    5.使用者
    a.選擇網路連線,找到無線網卡=>右件內容=>Tab選無線網路,就可以自建慣用的連線
    b.輸入AP的SSID,網路內容的TAB=>資料加密:TKIP,網路驗證:WPA
    c.IEEE 802.1x Tab=>EAP類型:受保護的PEAP=>啟用快速重新連線=>認證選EAP-MSCHAP v2=>勾選自動使用我的Windows登入名稱與密碼

    2010年3月23日 上午 09:27
  • 多謝 skycru 的指導
    我以成功用AD 的 account 登入了 AP

    但是不能拿到IP 我在DHCP server 有設置一個一個subnet 是給WiFi 的
    也在AP 用 ip helper-address x.x.x.x 是指定DHCP server
    但還是拿不到IP
    不知是什麼 問題呢?

    2010年4月7日 上午 09:40