构建无线LAN安全的基础结构
概述
本章介绍了如何安装和配置 Internet 验证服务 (IAS) 以便为无线局域网 (WLAN) 提供远程访问拨号用户服务 (RADIUS) 服务,以及如何配置无线接入点 (AP) 以便使用 IAS RADIUS 服务。
本章包含以下主要内容:
准备和安装 IAS
配置第一个 IAS 服务器
将设置复制到其他 IAS 服务器
将无线 AP 添加为 IAS 的 RADIUS 客户端
配置无线 AP
本章中的过程的自动化程度不如前几章中的过程。尽管 IAS 可以通过编程方式进行配置,但许多设置不能使用 Windows® 脚本主机或可用的命令行工具进行配置。对于非开发人员来说,已编译的应用程序代码通常比脚本更难理解。因此,如果某个过程无法编成脚本,便使用手动步骤完成该过程。如果要使用服务器数据对象接口自动配置 IAS,请参阅 MSDN®,其网址为:http://msdn.microsoft.com(英文)。有关该主题的信息的确切位置,请参阅本章结尾的参考资料。
本章中的配置步骤主要是手动操作;然而,这其中也有一些积极因素。首先,IAS 管理接口易于使用,并且通常由配置向导驱动。第二,您通常仅在一台服务器上执行配置步骤,然后使用简单的命令将这些设置复制到其他 IAS 服务器。第三,手动执行这些步骤有助于了解更多有关 IAS 安装和配置的信息。最后一点在此处要比在本解决方案的其他组件更有意义。由于 IAS 是该解决方案其他部分围绕的中心,因此应具备一定的 IAS 管理和配置经验。
本章必备知识
在实施本章提供的说明之前,您应已经阅读并实施了第 3 章“准备环境”和第 4 章“构建网络证书颁发机构”中的过程。此外,您还应已经阅读了第 2 章“制定无线 LAN 的安全实施计划”,并了解该解决方案的体系结构和设计。
此外,熟悉以下主题也很有帮助:
IAS 和 RADIUS
WLAN 的概念
准备实施
所需权限
要执行本章中的过程,您登录时使用的帐户必须是安装 IAS 服务器的域的 Administrators 组的成员。
注意:如果 IAS 未安装在域控制器上,则您只需作为每个 IAS 服务器上的本地 Administrators 组的成员即可安装和配置 IAS。您还需要拥有相应的权限来修改安装 IAS 服务器的域的 RAS 和 IAS Servers 组的成员身份。
所需的工具
执行本章中的过程需要下列工具。
表 5.1:所需的工具
IAS 参数
下表列出了用于安装和配置 IAS 服务器的主要参数。
表 5.2:IAS 服务器配置参数
要点:这些设置已用于该解决方案的内部测试,并且已知可以按文档所述生效。尽管可以将其中的许多参数设置为其他值,但仅在确信已完全了解了特定设置的目的以及更改它的后果时,才能这样做。
检查安装的准备情况
IAS 依赖于网络和 Active Directory 的正确配置和连接。成功安装和维护 IAS 需要多种工具。
验证 IAS 环境
在服务器上安装 IAS 之前,必须进行一系列检查,以确保可以连接到域控制器,并确保已按照第 3 章“准备环境”中介绍的过程安装了所有必需的工具。以下过程使用脚本自动执行这些检查。
检查 IAS 环境
1.
在要安装 IAS 的服务器上,使用“MSS WLAN 工具”快捷方式打开一个命令行解释器。
2.运行以下命令:
MSSSetup CheckIASEnvironment
3.该脚本用于确认该服务器所属的域的名称。单击“确定”接受该名称。
4.完成检查后,将显示一个对话框,指示每个检查是成功还是失败。单击“确定”关闭该对话框。
5.如果所有检查成功完成,则可以继续进行下一过程。否则,请检查安装日志 (%systemroot%\debug\MSSWLAN-Setup.log),检查失败的原因并纠正该问题,然后重新运行该脚本。
验证 DHCP 设置
动态主机配置协议 (DHCP) 将用于为 WLAN 客户端自动分配 IP 地址。确保为每个站点分配的 DHCP 范围有足够的 IP 地址,以满足该站点中可能处于活动状态的最大数目的 WLAN 客户端的需要。如果该范围由无线客户端和有线客户端共享,则它必须足够大,以便同时满足这两组客户端的需要。
如果组织拥有大量 WLAN 客户端,或者 WLAN 客户端定期在站点间移动,则应为 WLAN 客户端配置单独的范围。这样,您便可以为这些客户端指定很短的租约时间(如 8 小时或更短),从而有助于避免瞬态 WLAN 客户端迅速用尽可用的 IP 地址。为此,应将 WLAN 客户端放置在独立于站点网络的其余部分的子网中,并配置路由器或第 3 层交换机将这些子网连接在一起。
对于规模较小或相对静态的环境,完全可以在有线客户端与 WLAN 客户端之间共享一个 IP 子网和单个 DHCP 范围。
有关详细信息,请参阅“Windows Server 2003 Deployment Kit”中的“Deploying a Wireless LAN”一章(英文)。本章结尾提供了这方面的参考资料。
安装 IAS
本部分介绍了如何在服务器上安装 IAS。
安装 IAS 软件组件
你可以使用本指南附带的脚本来安装 IAS 软件组件。该脚本使用 Windows 可选组件安装管理器来安装 IAS,并在运行时构建所有必需的配置文件。
安装 IAS
1.使用“MSS WLAN 工具”快捷方式打开一个命令行解释器。
2.运行以下命令来安装 IAS 软件组件:
MSSSetup InstallIAS
3.然后,该脚本将构建安装参数文件。完成之后,系统将提示您继续安装。要完成安装,必须使用 Windows Server 2003 安装光盘(或包含 Windows 安装源的网络路径)。单击“确定”继续安装,或者单击“取消”,在完成之前停止安装。
注意:如果选择取消安装,则 IAS 可选组件参数文件 (OC_IAS.txt) 将保存在当前的工作文件夹中。如果不希望接受该解决方案的默认设置,则可以对其进行修改,并在自定义安装中使用。
4.完成安装时,将显示一条确认消息。单击“确定”。
验证安装
要验证安装,单击“开始”,指向“所有程序”,指向“管理工具”,并单击“Internet 验证服务”。IAS 应显示为已安装,并在服务器上运行。
在 Active Directory 中注册 IAS
每个 IAS 服务器都需要在 Active Directory 中注册。注册是指将 IAS 服务器计算机帐户添加到 RAS 和 IAS 服务器安全组,以确保 IAS 服务器有权读取 Active Directory 中的用户和计算机帐户的远程访问属性。
可以通过以下方法之一注册服务器:
将这些服务器手动添加到组中(使用“Active Directory 用户和计算机”)。
使用“Internet 验证服务”MMC 的“操作”菜单上的“使用 Active Directory 注册”项。
使用 Netsh 命令。
之所以在此处显示最后一种方法(使用 Netsh 命令),是因为这种方法便于编写脚本,并允许在其他域中注册服务器。
在默认域中注册 IAS
1.登录到 IAS 服务器,并使用“MSS WLAN 工具”快捷方式打开一个命令行解释器。
2.运行以下命令:
netsh ras add registeredserver
如果有多个域,则针对其中的某些用户或计算机需要由该 IAS 服务器进行身份验证的每个域执行以下过程。例如,如果 IAS 服务器安装在域 A 中,而某些 WLAN 用户在域 B 中,则必须同时在域 A 和域 B 中注册 IAS 服务器。为此,您需要拥有修改目标域中的 RAS and IAS Servers 组成员身份的权限。
在非默认域中注册 IAS
1.在命令提示符下,运行以下命令,并用需要注册 IAS 服务器的域名替换 DomainName:
netsh ras add registeredserver domain = DomainName
注意:或者,也可以使用“Active Directory 用户和计算机”将 IAS 服务器计算机对象直接添加到目标域中的 RAS and IAS Servers 安全组。
配置主 IAS 服务器
本部分提供了有关如何配置第一个 IAS 服务器的指导。后续 IAS 服务器将根据本章后面部分介绍的过程通过复制该服务器中的设置进行配置。
自动注册 IAS 服务器证书
第 4 章“构建网络证书颁发机构”提供了有关安装组策略对象 (GPO),以便 RAS and IAS Servers 组成员能够自动注册计算机证书的步骤。在 Active Directory 中注册 IAS 服务器时,该服务器帐户将添加到该组中。然而,需要重新启动该服务器,以便计算机将该组成员身份添加到它的登录令牌中,并能够成功注册证书。
注意:与用户一样,计算机也不会在其登录会话访问令牌中收到更改过的组成员身份,直到它们再次登录到域。对于计算机而言,这种情况将在启动时发生。
在继续进行下一过程之前,请重新启动服务器。
警告:重新启动服务器之前,应确保该服务器上未执行任何任务。如果该服务器是域控制器,则在重新启动它之前,应确保另外一个域控制器对用户可用。还应避免服务器在执行关键系统任务(如服务器备份)期间重新启动。
验证 IAS 服务器证书部署
重新启动服务器之后,确保已成功注册 IAS 服务器证书。
验证 IAS 服务器身份验证证书
1.使用“MSS WLAN 工具”快捷方式打开一个命令行
