WLAN集成AD憑據(jù)管理

如今，在大部分的企業(yè)網(wǎng)絡(luò)中，都使用Active Directory來作為為IT營(yíng)運(yùn)的基礎(chǔ)建設(shè)，因此，對(duì)于網(wǎng)管人員來說，為了讓身分驗(yàn)證管理機(jī)制更有效率，往往會(huì)希望盡可能讓所有的網(wǎng)絡(luò)服務(wù)都連接于現(xiàn)有網(wǎng)域來進(jìn)行認(rèn)證，其中，集成無線局域網(wǎng)絡(luò)（WLAN）認(rèn)證的需求更是重要的一環(huán)。

RADIUS客戶端設(shè)置

其實(shí)，只要在Active Directory網(wǎng)域中，安裝網(wǎng)絡(luò)政策服務(wù)器角色，就可以在其管理界面，展開至“RADIUS客戶端及服務(wù)器→RADIUS客戶端”節(jié)點(diǎn)，在“動(dòng)作”窗格中點(diǎn)擊“新增”超鏈接。在“新增RADIUS客戶端”頁面中，首先請(qǐng)確認(rèn)已勾選了“啟用此RADIUS客戶端”，接著，建議您在“好記的名稱”字段中輸入無線局域網(wǎng)絡(luò)基站的廠牌名稱，然后輸入此基站的IP地址以及點(diǎn)擊“驗(yàn)證”按鈕來確定可以連接。最后，再設(shè)置一組共享密碼（手動(dòng)），關(guān)于這組共享密碼務(wù)必牢記，因?yàn)楹罄m(xù)將在基站的設(shè)置中輸入。請(qǐng)切換至“進(jìn)階”頁面繼續(xù)。

在“進(jìn)階”頁面中，請(qǐng)從“廠商名稱”下拉選單中選取相對(duì)的無線接入點(diǎn)的廠牌，或是直接選擇“RADIUS Standard”也是可以的。點(diǎn)擊“確定”，回到“RADIUS客戶端”節(jié)點(diǎn)頁面中，看到我們所創(chuàng)建的無線接入點(diǎn)連接設(shè)置。

值得注意的是，在這個(gè)頁面中是可以新增多個(gè)不同用途的RADIUS客戶端，例如，您可以將VPN等遠(yuǎn)程連接的服務(wù)，加入到同一部RADIUS服務(wù)器中來進(jìn)行驗(yàn)證。若需要修改任一RADIUS客戶端設(shè)置，只需要針對(duì)該項(xiàng)目點(diǎn)擊“屬性”即可。

設(shè)置連接政策

接下來請(qǐng)點(diǎn)擊至“政策→連接要求政策”節(jié)點(diǎn)下，在選取默認(rèn)現(xiàn)有的政策項(xiàng)目之后點(diǎn)擊“屬性”。開啟默認(rèn)的連接政策屬性之后，切換到“設(shè)置”頁面中，點(diǎn)擊至“驗(yàn)證方法”頁面，將“覆蓋網(wǎng)絡(luò)政策驗(yàn)證設(shè)置”、“Microsoft加密驗(yàn)證版”項(xiàng)目以及旗下的“用戶在密碼到期后可以變更密碼”項(xiàng)目選中，在“EAP類型”窗口中只要保留“Microsoft Protected EAP（EAP）”項(xiàng)并且點(diǎn)擊“編輯”。

在“設(shè)置受保護(hù)的EAP屬性”頁面的“證書發(fā)給”下拉選單中，選擇本地的服務(wù)器證書，將“啟用快速重新連接”項(xiàng)選中，點(diǎn)擊“確定”即可。

設(shè)置無線設(shè)備（AP）

完成了網(wǎng)絡(luò)政策服務(wù)器的安裝與設(shè)置之后，接下來設(shè)置無線接入點(diǎn)，在此以一部簡(jiǎn)易型的AP設(shè)備為例。在連接登錄此設(shè)備的管理頁面后，點(diǎn)擊至“無線網(wǎng)絡(luò)→無線網(wǎng)絡(luò)加密設(shè)置”節(jié)點(diǎn)頁面，選取“WPA/WPA2”項(xiàng)目，在版本中建議您選擇“WPA2”，加密方式可以選擇“AES”，接著輸入RADIUS 服務(wù)器的IP地址（也就是網(wǎng)絡(luò)政策服務(wù)器）與前面步驟中所設(shè)置好的RADIUS 密碼，至于 RADIUS 服務(wù)器使用通訊端口,則可以保留默認(rèn)值即可。

關(guān)于WPA與WPA2:WPA全名為 Wi-Fi Protected Access，顧名思義就是一種用以保護(hù)無線網(wǎng)絡(luò)存取的安全標(biāo)準(zhǔn)。WPA2是WPA的第二個(gè)版本，它的設(shè)計(jì)完全符合了IEEE 802.11i無線局域網(wǎng)安全標(biāo)準(zhǔn)，適用于企業(yè)的無線局域網(wǎng)絡(luò)安全管理中。其實(shí),有些設(shè)備中（包括Windows 7/Windows Server 2008 R2操作系統(tǒng)）所提到的WPA-Enterprise/WPA2-Enterprise,指的也就是WPA/WPA2。而需要特別為每個(gè)使用者設(shè)置相同的預(yù)先共享密鑰（PSK）則稱為WPA-Personal或WPA2-Personal，較適用在小公司或SOHO環(huán)境。

安裝客戶端證書

完成了RADIUS服務(wù)器（網(wǎng)絡(luò)政策服務(wù)器）與無線局域網(wǎng)絡(luò)基站的配置之后，接下來我們便可以找一部Windows 7以上版本的計(jì)算機(jī)，來進(jìn)行相關(guān)連接測(cè)試設(shè)置，建議您在設(shè)置前計(jì)算機(jī)已經(jīng)開機(jī)登錄了Active Directory。

在開啟IE瀏覽器之后，連接至證書服務(wù)器網(wǎng)站（例 如 ：https://dc01/certsrv），點(diǎn)擊“下載CA證書、證書鏈結(jié)或CRL”超超連接。在“下載CA證書、證書鏈結(jié)或CRL”頁面中，點(diǎn)擊“下載CA證書”的超鏈接。緊接著，將文件選擇以cer類型保存在任一安全位置即可。在此，筆者將證書文件保存在Windows桌面上，對(duì)該文件點(diǎn)擊鼠標(biāo)右鍵，選擇“安裝證書”。接著，將會(huì)開啟證書匯入向?qū)Т翱?，在“證書存放區(qū)”頁面中，選取“將所有證書放入以下的存放區(qū)”，然后點(diǎn)擊“瀏覽”選至“受信任的跟證書授”。點(diǎn)擊“下一步”。

在“完 成證書匯入向?qū)А表撁嬷悬c(diǎn)擊“完成”。

設(shè)置無線客戶端連接

接下來請(qǐng)開啟Windows客戶端的“網(wǎng)絡(luò)和共享中心”頁面，點(diǎn)擊“管理無線網(wǎng)絡(luò)”超鏈接。接著，將會(huì)開啟“管理使用的無線網(wǎng)絡(luò)”頁面，在此，您將會(huì)看見所有曾經(jīng)連接過的無線局域網(wǎng)設(shè)備項(xiàng)目，在找到前面步驟中所設(shè)置的RADIUS客戶端的無線網(wǎng)絡(luò)項(xiàng)目之后，針對(duì)點(diǎn)擊鼠標(biāo)右鍵，選擇“屬性”。在無線網(wǎng)絡(luò)屬性的“安全性”頁面，將安全性類型設(shè)置為“WPA2-Enterprise”，而加密類型則選“AES”。在“選擇網(wǎng)絡(luò)驗(yàn)證方”字段中選“Microsoft Protected EAP（EAP）”并且點(diǎn)擊“設(shè)置”。

注意：在“安全性”頁面中的“每次登錄時(shí)都記住我在此連接的認(rèn)證”選項(xiàng)請(qǐng)務(wù)必勾選。

在“受保護(hù)的EAP屬性”頁面中，將“確認(rèn)服務(wù)器證書”勾選，然后在“受信任的根證書授權(quán)單位”列表中，找到安裝的證書項(xiàng)目并勾選，將“啟用快速重新連接”選項(xiàng)勾選之后，點(diǎn)擊“設(shè)置”按鈕。在“EAP MSCHAP屬性”頁面，將“連接時(shí)：自動(dòng)使用我的Windows登錄名稱及密碼”項(xiàng)勾選即可。

完成上述設(shè)置后，趕快試一下您的Windows 7無線局域網(wǎng)絡(luò)集成Active Directory驗(yàn)證的登錄。