本檔案介紹如何使用Wireless LAN controllers、Microsoft Windows 2003軟體和Cisco Secure Access Control Server(ACS)4.0(透過受保護的可擴充驗證通訊協定(PEAP)和Microsoft Challenge Handshake Authentication Protocol(MS-CHAP)版本2)設定安全無線存取。
注意:有關安全無線部署的資訊,請參閱Microsoft Wi-Fi網站和 Cisco SAFE無線藍圖。
假設安裝程式瞭解基本的Windows 2003安裝和思科控制器安裝,因為本文檔僅介紹便於測試的特定配置。
有關Cisco 4400系列控制器的初始安裝和配置資訊,請參閱快速入門手冊:Cisco 4400系列無線LAN控制器。有關Cisco 2000系列控制器的初始安裝和配置資訊,請參閱快速入門手冊:Cisco 2000系列無線LAN控制器。
Microsoft Windows 2003安裝及設定指南可在安裝Windows Server 2003 R2 中找到。
開始之前,請在測試實驗室中的每台伺服器上安裝Microsoft Windows Server 2003 SP1作業系統並更新所有Service Pack。安裝控制器和輕量接入點(LAP),並確保配置最新的軟體更新。
重要事項:在撰寫本文時,SP1是最新的Microsoft Windows Server 2003更新,SP2帶有更新補丁是Microsoft Windows XP Professional的最新軟體。
使用Windows Server 2003 SP1企業版,可以配置用於PEAP身份驗證的使用者和工作站證書的自動註冊。證書自動註冊和自動續訂使證書自動過期和續訂更易於部署證書並提高安全性。
本文中的資訊係根據以下軟體和硬體版本:
運行3.2.116.21的Cisco 2006或4400系列控制器
思科1131輕量型存取點通訊協定(LWAPP)AP
安裝了Internet Information Server(IIS)、證書頒發機構(CA)、DHCP和域名系統(DNS)的Windows 2003 Enterprise
採用存取控制伺服器(ACS)4.0的Windows 2003標準版
Windows XP Professional,帶SP(和更新的服務包)和無線網路介面卡(NIC)(支援CCX v3)或第三方請求方。
Cisco 3560交換器
本檔案會使用以下網路設定:
思科安全無線實驗室拓撲
本文檔的主要目的是提供在Unified Wireless Networks with ACS 4.0和Windows 2003 Enterprise Server下實施PEAP的逐步過程。重點是自動註冊客戶端,以便客戶端自動註冊並從伺服器獲取證書。
註:要將帶有臨時金鑰完整性協定(TKIP)/高級加密標準(AES)的Wi-Fi保護訪問(WPA)/WPA2新增到Windows XP Professional with SP中,請參閱Windows XP Service Pack 2 的WPA2/無線調配服務資訊元素(WPS IE)更新。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
DC_CA是運行Windows Server 2003 SP1企業版並執行以下角色的電腦:
運行IIS的wirelessdemo.local域的域控制器
用於wirelessdemo.local DNS域的DNS伺服器
DHCP伺服器
wirelessdemo.local域的企業根CA
完成以下步驟,以便為這些服務配置DC_CA:
請完成以下步驟:
安裝Windows Server 2003 SP1 Enterprise Edition作為獨立的伺服器。
使用IP地址172.16.100.26和子網掩碼255.255.255.0配置TCP/IP協定。
請完成以下步驟:
若要啟動Active Directory安裝嚮導,請選擇「開始」>「運行」,鍵入dcpromo.exe,然後按一下確定。
在「歡迎使用Active Directory安裝嚮導」頁面上,按一下下一步。
在「作業系統相容性」頁上,按一下下一步。
在「域控制器型別」頁上,為新的域選擇域控制器,然後按一下下一步。
在「建立新域」頁上,選擇新林中的域,然後單擊「下一步」。
在「安裝或配置DNS」頁面上,選擇「否」,僅在此電腦上安裝並配置DNS,然後按一下「下一步」。
在「新建域名」頁上,鍵入wirelessdemo.local,然後按一下下一步。
在NetBIOS域名頁面上,輸入域名NetBIOS名稱作為wirelessdemo,然後按一下下一步。
在「資料庫和日誌資料夾位置」頁中,接受預設的「資料庫和日誌資料夾」目錄,然後按一下下一步。
在「共用系統卷」頁中,驗證預設資料夾位置是否正確,然後按一下下一步。
在「許可權」頁面上,驗證是否已選擇僅與Windows 2000或Windows Server 2003作業系統相容的許可權,然後按一下「下一步」。
在「目錄服務:恢復模式管理密碼」頁面上,將密碼框留空,然後按一下下一步。
檢視「摘要」頁上的資訊,然後按一下下一步。
完成Active Directory安裝後,按一下Finish。
當系統提示重新啟動電腦時,按一下Restart Now。
請完成以下步驟:
從Administrative Tools資料夾(開始>程式>管理工具> Active Directory域和信任)開啟Active Directory域和信任管理單元,然後按一下右鍵域電腦DC_CA.wiressdemo.local。
按一下提升域功能級別,然後在「提升域功能級別」頁面上選擇Windows Server 2003。
按一下「Raise」,按一下「OK」,然後再次按一下「OK」。
請完成以下步驟:
使用「控制面板」中的新增或刪除程式,安裝動態主機配置協定(DHCP)作為網路服務元件。
從Administrative Tools資料夾(開始>程式>管理工具> DHCP)中開啟DHCP管理單元,然後選中DHCP伺服器DC_CA.wirelessdemo.local。
按一下Action,然後按一下Authorize以授權DHCP服務。
在控制檯樹中,按一下右鍵DC_CA.wirelessdemo.local,然後按一下New Scope。
在「新建作用域」嚮導的「歡迎」頁上,按一下下一步。
在「範圍名稱」頁面的「名稱」欄位中鍵入CorpNet。
按一下Next並填寫以下引數:
起始IP地址— 172.16.100.1
結束IP地址— 172.16.100.254
長度(Length)- 24
子網掩碼— 255.255.255.0
按一下Next,輸入172.16.100.1作為起始IP地址,輸入172.16.100.100作為要排除的結束IP地址。然後按一下Next。這將保留172.16.100.1到172.16.100.100範圍內的IP地址。這些保留IP地址不由DHCP伺服器分配。
在Lease Duration頁面上,按一下Next。
在Configure DHCP Options頁上,選擇Yes, I want to configure these options now,然後按一下Next。
在Router(Default Gateway)頁面上新增預設路由器地址172.16.100.1,然後點選下一步。
在「域名和DNS伺服器」頁面的「父域」欄位中鍵入wirelessdemo.local,在「IP地址」欄位中鍵入172.16.100.26,然後按一下Add並按一下Next。
在「WINS伺服器」頁上,按一下下一步。
在「啟用作用域」頁上,選擇「是,我想立即啟用此作用域」,然後按一下「下一步」。
完成「新建作用域嚮導」頁後,按一下完成。
請完成以下步驟:
注意:在安裝證書服務之前必須安裝IIS,並且使用者應該是Enterprise Admin OU的一部分。
在「控制面板」中,開啟新增或刪除程式,然後按一下新增/刪除Windows元件。
在「Windows元件嚮導」頁中,選擇證書服務,然後按一下下一步。
在「CA型別」頁上,選擇企業根CA,然後按一下下一步。
在「CA標識資訊」頁的「此CA的公用名」框中鍵入wirelessdemoca。您還可以輸入其他可選詳細資訊。然後按一下下一步,接受「證書資料庫設定」頁面上的預設值。
按「Next」(下一步)。安裝完成後,按一下Finish。
閱讀有關安裝IIS的警告消息後,按一下OK。
請完成以下步驟:
選擇開始>管理工具>證書頒發機構。
按一下右鍵wirelessdemoca CA,然後按一下Properties。
在「安全」頁籤上,按一下組或使用者名稱清單中的Administrators。
在「許可權」或「管理員」清單中,驗證這些選項是否設定為允許:
頒發和管理證書
管理CA
請求證書
如果其中任何一項設定為「拒絕」或未選中,則將許可權設定為Allow。
按一下OK關閉wireless.democa CA Properties對話方塊,然後關閉Certification Authority。
請完成以下步驟:
注意:如果電腦已新增到域中,請繼續執行向域中新增使用者操作。
開啟「Active Directory使用者和電腦」管理單元。
在控制檯樹中,展開wirelessdemo.local。
按一下右鍵Users,按一下New,然後按一下Computer。
在「新建對象 — 電腦」對話方塊中,在「電腦名稱」欄位中鍵入電腦名稱,然後按一下下一步。此示例使用電腦名Client。
在「託管」對話方塊中,按一下下一步。
在「新建對象 — 電腦」對話方塊中,按一下完成。
重複步驟3至6以建立其他電腦帳戶。
請完成以下步驟:
在Active Directory使用者和電腦控制檯樹中,按一下Computers資料夾,然後按一下右鍵要為其分配無線訪問許可權的電腦。此範例顯示您在步驟7中新增的Computer Client程式。按一下「Properties」,然後前往Dial-in索引標籤。
選擇Allow access,然後按一下OK。
請完成以下步驟:
在「Active Directory使用者和電腦」控制檯樹中,按一下右鍵使用者,按一下新建,然後按一下使用者。
在新對象 — 使用者對話方塊中,鍵入無線使用者的名稱。此示例在First name欄位中使用名稱WirelessUser,在User logon name欄位中使用名稱WirelessUser。按「Next」(下一步)。
在「新建對象 — 使用者」對話方塊中,在「密碼」和「確認密碼」欄位中鍵入您選擇的密碼。清除「User must change password at next logon(使用者下次登入時必須更改密碼)」覈取方塊,然後按一下「Next(下一步)」。
在「新建對象 — 使用者」對話方塊中,按一下完成。
重複步驟2至4以建立其他使用者帳戶。
請完成以下步驟:
在Active Directory Users and Computers控制檯樹中,按一下Users資料夾,按一下右鍵WirelessUser,按一下Properties,然後轉到「撥入」頁籤。
選擇Allow access,然後按一下OK。
請完成以下步驟:
在「Active Directory Users and Computers」控制檯樹中,按一下右鍵Users,按一下New,然後按一下Group。
在「新建對象 — 組」對話方塊中,在「組名稱」欄位中鍵入組的名稱,然後按一下確定。本文檔使用組名稱WirelessUsers。
請完成以下步驟:
在Active Directory使用者和電腦的詳細資訊窗格中,按兩下組WirelessUsers。
轉到「成員」頁籤,然後按一下新增。
在選擇使用者、聯絡人、電腦或組對話方塊中,鍵入要新增到組中的使用者的名稱。此示例說明如何將使用者wirelessuser新增到組。按一下「OK」(確定)。
在「找到多個名稱」對話方塊中,按一下確定。WirelessUser使用者帳戶將新增到WirelessUsers組。
按一下OK以儲存對WirelessUsers組的更改。
重複此過程,向該組中新增更多使用者。
請完成以下步驟:
重複本文檔的將使用者新增到WirelessUsers組部分中的步驟1和2
在選擇使用者、聯絡人或電腦對話方塊中,鍵入要新增到組的電腦的名稱。此示例說明如何將名為Client的電腦新增到組中。
按一下Object Types,清除Users覈取方塊,然後選中Computers。
按一下OK兩次。客戶端電腦帳戶將新增到WirelessUsers組中。
重複該過程,向該組中新增更多電腦。
Cisco Secure ACS是運行Windows Server 2003 SP1標準版的電腦,為控制器提供RADIUS身份驗證和授權。完成本節中的步驟,將ACS配置為RADIUS伺服器:
請完成以下步驟:
在wirelessdemo.local域中,將Windows Server 2003 SP1標準版安裝為ACS的成員服務器。
注意:ACS伺服器名稱在其餘配置中顯示為cisco_w2003。在其餘實驗設定中替換ACS或cisco_w2003。
對於本地連線,使用IP地址172.16.100.26、子網掩碼255.255.255.0和DNS伺服器IP地址127.0.0.1配置TCP/IP協定。
注意:有關如何配置Cisco Secure ACS 4.0 for Windows的詳細資訊,請參閱Cisco Secure ACS 4.0 for Windows安裝指南。
請完成以下步驟:
使用域管理員帳戶登入名為ACS的電腦以安裝Cisco Secure ACS。
注意:僅支援在安裝Cisco Secure ACS的電腦上執行的安裝。使用Windows終端服務或產品(如虛擬網路計算[VNC])執行的遠端安裝未經過測試,並且不受支援。
將Cisco Secure ACS CD插入電腦的CD-ROM驅動器。
如果CD-ROM驅動器支援Windows自動運行功能,則會出現Cisco Secure ACS for Windows Server對話方塊。
注意:如果電腦沒有安裝所需的Service Pack,則會出現一個對話方塊。可以在安裝Cisco Secure ACS之前或之後應用Windows服務包。您可以繼續安裝,但必須在安裝完成後應用所需的Service Pack。否則,Cisco Secure ACS可能無法可靠地運行。
執行以下任務之一:
如果出現「Cisco Secure ACS for Windows Server」對話方塊,請按一下Install。
如果未出現「Cisco Secure ACS for Windows Server」對話方塊,請運行setup.exe(位於Cisco Secure ACS CD的根目錄中)。
Cisco Secure ACS Setup對話方塊顯示軟體許可協定。
閱讀軟體許可協定。如果您接受軟體許可協定,請按一下Accept。
歡迎對話方塊顯示有關安裝程式的基本資訊。
閱讀歡迎對話方塊中的資訊後,按一下下一步。
「開始之前」對話方塊列出了繼續安裝之前必須完成的專案。如果您已完成「開始之前」對話方塊中列出的所有專案,請選中每個專案的對應框,然後按一下下一步。
注意:如果尚未完成「開始之前」對話方塊中列出的所有專案,請按一下「取消」,然後按一下「退出設定」。完成「開始之前」對話方塊中列出的所有專案後,請重新啟動安裝。
系統將顯示Choose Destination Location對話方塊。在目標資料夾下,將顯示安裝位置。這是安裝程式安裝Cisco Secure ACS的驅動器和路徑。
如果要更改安裝位置,請完成以下步驟:
按一下「Browse」。出現「Choose Folder(選擇資料夾)」對話方塊。路徑框包含安裝位置。
更改安裝位置。您可以在「路徑」框中鍵入新位置,也可以使用「驅動器和目錄」清單選擇新的驅動器和目錄。安裝位置必須位於電腦的本地驅動器上。
注意:不要指定包含百分比字元「%」的路徑。 如果這樣做,安裝似乎可以正確繼續,但在完成之前失敗。
按一下「OK」(確定)。
註:如果您指定了不存在的資料夾,安裝程式將顯示一個對話方塊來確認資料夾的建立。若要繼續,請按一下Yes。
在「選擇目標位置」對話方塊中,新的安裝位置將出現在「目標資料夾」下。
按「Next」(下一步)。
身份驗證資料庫配置對話方塊列出了用於驗證使用者的選項。您只能通過Cisco Secure使用者資料庫或Windows使用者資料庫進行身份驗證。
註:安裝Cisco Secure ACS後,除Windows使用者資料庫外,您還可以為所有外部使用者資料庫型別配置身份驗證支援。
如果只想使用Cisco Secure使用者資料庫對使用者進行身份驗證,請選擇Check the Cisco Secure ACS database only選項。
除了Cisco Secure使用者資料庫之外,如果要使用Windows安全訪問管理器(SAM)使用者資料庫或Active Directory使用者資料庫對使用者進行身份驗證,請完成以下步驟:
選擇Also check the Windows User Database選項。
Yes, refer to "Grant dialin permission to user" setting覈取方塊變為可用。
注意:是,請參閱「向使用者授予撥入許可權」設定覈取方塊適用於由Cisco Secure ACS控制的所有形式的訪問,而不僅僅是撥入訪問。例如,通過VPN隧道訪問網路的使用者不會撥入網路訪問伺服器。但是,如果選中是,請參閱「向使用者授予撥入許可權」設定框,則Cisco Secure ACS應用Windows使用者撥入許可權,以確定是否授予使用者網路訪問許可權。
如果您希望僅當使用者在其Windows帳戶中具有撥入許可權時才允許訪問通過Windows域使用者資料庫進行身份驗證的使用者,請選中Yes,請參閱「向使用者授予撥入許可權」設定框。
按「Next」(下一步)。
安裝程式將安裝Cisco Secure ACS並更新Windows登錄檔。
「高級選項」對話方塊列出了預設情況下未啟用的Cisco Secure ACS的多個功能。有關這些功能的詳細資訊,請參閱適用於Windows Server 4.0版的Cisco Secure ACS使用手冊。
注意:僅當您啟用列出的功能時,這些功能才會顯示在Cisco Secure ACS HTML介面中。安裝後,您可以在Interface Configuration部分的Advanced Options頁面上啟用或禁用它們。
對於要啟用的每個功能,請選中相應的覈取方塊。
按「Next」(下一步)。
出現Active Service Monitoring對話方塊。
注意:安裝之後,您可以在「系統配置」部分的「活動服務管理」頁上配置活動服務監視功能。
如果您希望Cisco Secure ACS監控使用者身份驗證服務,請選中Enable Login Monitoring框。從「要執行的指令碼」清單中,選擇要在身份驗證服務失敗時應用的選項:
無補救操作 — Cisco Secure ACS不運行指令碼。
註:如果啟用事件郵件通知,此選項非常有用。
Reboot - Cisco Secure ACS運行一個指令碼,該指令碼將重新啟動運行Cisco Secure ACS的電腦。
Restart All - Cisco Secure ACS重新啟動所有Cisco Secure ACS服務。
重新啟動RADIUS/TACACS+ - Cisco Secure ACS僅重新啟動RADIUS和TACACS+服務。
如果您希望Cisco Secure ACS在服務監控檢測到事件時傳送電子郵件,請選中Mail Notification框。
按「Next」(下一步)。
此時將顯示資料庫加密口令對話方塊。
註:數據庫加密密碼已加密並儲存在ACS登錄檔中。當出現嚴重問題並且需要手動訪問資料庫時,您可能需要重複使用此密碼。保留此密碼,以便技術支援可以訪問資料庫。可在每個過期期間更改密碼。
輸入用於資料庫加密的口令。密碼長度至少需要八個字元,並且必須同時包含字元和數字。沒有無效字元。
按「Next」(下一步)。
安裝程式完成,出現Cisco Secure ACS服務啟動對話方塊。
對於所需的每個Cisco Secure ACS Services Initiation選項,選中相應的覈取方塊。與選項相關聯的操作在安裝程式完成後發生。
是,我要立即啟動Cisco Secure ACS服務 — 啟動組成Cisco Secure ACS的Windows服務。如果不選擇此選項,除非重新啟動電腦或啟動CSAdmin服務,否則Cisco Secure ACS HTML介面不可用。
是,安裝後,我希望安裝程式從我的瀏覽器啟動Cisco Secure ACS管理員 — 在當前Windows使用者帳戶的預設Web瀏覽器中開啟Cisco Secure ACS HTML介面。
是,我想檢視自述檔案 — 在Windows記事本中開啟README.TXT檔案。
按「Next」(下一步)。
如果選擇了某個選項,Cisco Secure ACS服務將啟動。設定完成對話方塊顯示有關Cisco Secure ACS HTML介面的資訊。
按一下「Finish」(結束)。
註:配置的其餘部分在已配置的EAP型別的部分下記錄。
請完成以下步驟:
註:假設控制器與網路具有基本連線,並且與管理介面的IP可達性成功。
瀏覽至https://172.16.101.252以登入控制器。
按一下「Login」
使用預設使用者admin和預設密碼admin登入。
在Controller選單下,為VLAN對映建立新的介面。
按一下「Interfaces」。
按一下「New」。
在Interface name欄位中鍵入Employee。(此欄位可以是您喜歡的任何值。)
在VLAN ID欄位中輸入20。(此欄位可以是網路中傳輸的任何VLAN。)
按一下「Apply」。
按照此Interfaces > Edit視窗的顯示配置資訊。
按一下「Apply」。
按一下WLANs頁籤。
選擇Create New,然後按一下Go。
輸入Profile Name,並在WLAN SSID欄位中鍵入Employee。
選擇WLAN的ID,然後按一下Apply。
當WLANs > Edit視窗顯示時,配置此WLAN的資訊。
注意:WPAv2是本實驗選擇的第2層加密方法。若要允許具有TKIP-MIC客戶端的WPA與此SSID關聯,您還可以選中WPA相容模式和允許WPA2 TKIP客戶端框,或那些不支援802.11i AES加密方法的客戶端。
在WLANs > Edit螢幕上,按一下General頁籤。
確保選中Enabled的Status框並選擇適當的Interface(員工)。此外,確保選中Broadcast SSID的Enabled覈取方塊。
按一下Security頁籤。
在Layer 2子選單下,選中WPA + WPA2以確保Layer 2 Security。若是WPA2加密,請檢查AES + TKIP以允許TKIP使用者端。
選擇802.1x作為身份驗證方法。
跳過「第3層」子選單,因為這不是必需的。設定RADIUS伺服器後,您就可以從「Authentication」功能表中選擇適當的伺服器。
除非需要任何特殊配置,否則QoS和Advanced頁籤可以保留為預設值。
按一下Security選單以新增RADIUS伺服器。
在「RADIUS」子選單下,按一下「Authentication」。然後,按一下New。
新增先前配置的ACS伺服器的RADIUS伺服器IP地址(172.16.100.25)。
確保共用金鑰與ACS伺服器中配置的AAA客戶端匹配。確保選中「Network User(網路使用者)」框,然後按一下Apply。
基本配置現已完成,您可以開始測試PEAP。
MS-CHAP版本2的PEAP需要ACS伺服器上的證書,但無線客戶端上不需要。ACS伺服器的電腦證書自動註冊可用於簡化部署。
要配置DC_CA以為電腦和使用者證書提供自動註冊,請完成本節中的步驟。
注意:Microsoft在Windows 2003 Enterprise CA發佈後更改了Web Server模板,使金鑰不再可匯出,並且該選項呈灰色顯示。沒有其他證書模板隨用於伺服器身份驗證的證書服務一起提供,並且允許將下拉選單中的金鑰標籤為可匯出,因此您必須建立一個執行此操作的新模板。
注意:Windows 2000允許匯出金鑰,如果您使用Windows 2000,則無需遵循這些步驟。
請完成以下步驟:
選擇開始>運行,鍵入mmc,然後按一下確定。
在「檔案」選單上,按一下新增/刪除管理單元,然後按一下新增。
在「管理單元」下,按兩下證書模板,按一下關閉,然後按一下確定。
在控制檯樹中,按一下Certificate Templates。所有證書模板都將顯示在詳細資訊窗格中。
若要繞過步驟2至4,請鍵入certtmpl.msc,以開啟「證書模板」管理單元。
請完成以下步驟:
在「證書模板」管理單元的「詳細資訊」窗格中,按一下Web Server模板。
在「操作」選單上,按一下複製模板。
在「模板顯示名稱」欄位中,鍵入ACS。
轉到「請求處理」頁籤,然後選中允許匯出私鑰。此外,請確保從「用途」下拉選單中選擇「簽名和加密」。
選擇請求必須使用以下CSP之一,並選中Microsoft Base Cryptographic Provider v1.0。取消選中任何其他CSP,然後按一下確定。
轉至「主題名稱」頁籤,在請求中選擇「供應」,然後單擊「確定」。
轉到「安全」頁籤,選中Domain Admins Group,並確保選中「允許」下的Enroll選項。
重要事項:如果您選擇根據此Active Directory資訊構建,請僅選中使用者主體名稱(UPN),並取消選中Include email name in subject name和E-mail name,因為未在Active Directory使用者和電腦管理單元中為無線使用者帳戶輸入電子郵件名稱。如果不禁用這兩個選項,自動註冊會嘗試使用電子郵件,這將導致自動註冊錯誤。
如果需要,還可以採取其他安全措施來防止證書自動推出。可在Issuance Requirements頁籤下找到它們。本檔案不會進一步討論此問題。
按一下OK儲存模板,然後從「證書頒發機構」管理單元發佈此模板。
請完成以下步驟:
開啟證書頒發機構管理單元。按照為ACS Web伺服器建立證書模板部分中的步驟1-3操作,選擇Certificate Authority選項,選擇Local Computer,然後按一下Finish。
在控制檯樹中,展開wirelessdemoca,然後按一下右鍵Certificate Templates。
選擇New > Certificate Template to Issue。
按一下ACS Certificate Template。
按一下OK,然後開啟Active Directory使用者和電腦管理單元。
在控制檯樹中,按兩下Active Directory Users and Computers,按一下右鍵wirelessdemo.local,然後按一下Properties。
在Group Policy頁籤上,按一下Default Domain Policy,然後按一下Edit。這將開啟組策略對象編輯器管理單元。
在控制檯樹中,展開Computer Configuration > Windows Settings > Security Settings > Public Key Policies,然後選擇Automatic Certificate Request Settings。
按一下右鍵Automatic Certificate Request Settings,然後選擇New > Automatic Certificate Request。
在「歡迎使用自動證書請求設定嚮導」頁面上,按一下下一步。
在「Certificate Template」頁面上,按一下Computer,然後按一下Next。
完成「自動證書請求設定嚮導」頁後,按一下完成。
電腦證書型別現在顯示在組策略對象編輯器管理單元的詳細資訊窗格中。
在控制檯樹中,展開User Configuration > Windows Settings > Security Settings > Public Key Policies。
在詳細資訊窗格中,按兩下Autoenrollment Settings。
選擇Enroll certificates automatically,然後選中Renew expired certificates, update pending certificates and remove revoked certificates和Update certificate that use certificate templates。
按一下「OK」(確定)。
重要事項:ACS伺服器必須從企業根CA伺服器獲取伺服器證書,才能對WLAN PEAP客戶端進行身份驗證。
重要事項:確保在證書設定過程中未開啟IIS管理器,因為這會導致快取資訊出現問題。
使用具有企業管理員許可權的帳戶登入到ACS伺服器。
在本地ACS電腦上,將瀏覽器指向Microsoft證書頒發機構伺服器http://IP-address-of-Root-CA/certsrv。在本例中,IP地址為172.16.100.26。
以Administrator身份登入。
選擇Request a Certificate,然後按一下Next。
選擇Advanced Request,然後按一下Next。
選擇Create and submit a request to this CA,然後按一下Next。
重要事項:執行此步驟的原因是Windows 2003不允許可匯出金鑰,並且您需要根據之前建立的ACS證書生成證書請求。
從Certificate Templates(證書模板)中,選擇以前建立的名為ACS的證書模板。選擇模板後,選項會更改。
將Name配置為ACS伺服器的完全限定域名。在這種情況下,ACS伺服器名稱為cisco_w2003.wirelessdemo.local。確保選中Store certificate in the local computer certificate store,然後按一下Submit。
出現一個彈出視窗,警告可能存在指令碼衝突。選擇Yes。
按一下「Install this certificate」。
此時將再次顯示彈出視窗,警告可能存在指令碼衝突。選擇是。
按一下Yes後,憑證就會安裝。
此時,證書安裝在Personal > Certificates下的證書MMC中。
由於證書已安裝到本地電腦(在本例中為ACS或cisco_w2003),因此您需要為ACS 4.0證書檔案配置生成證書檔案(.cer)。
在ACS伺服器(本例中為cisco_w2003)上,將Microsoft證書頒發機構伺服器上的瀏覽器指向http://172.16.100.26 /certsrv。
請完成以下步驟:
在ACS伺服器(本例中為cisco_w2003)上,將Microsoft CA伺服器上的瀏覽器指向http://172.16.100.26 /certsrv。
在「選擇任務」選項中選擇「下載CA證書、證書鏈或CRL」。
選擇Base 64無線電編碼方法,然後按一下Download CA Certificate。
出現「File Download Security Warning(檔案下載安全警告)」視窗。按一下「Save」。
使用ACS.cer等名稱或您所需的任何名稱儲存檔案。請記住此名稱,因為您在ACS 4.0中的ACS證書頒發機構設定期間會使用它。
從安裝過程中建立的案頭快捷方式開啟ACS管理員。
按一下「System Configuration」。
按一下ACS Certificate Setup。
按一下安裝ACS證書。
選擇Use certificate from storage,然後鍵入完全限定的域名cisco_w2003.wirelessdemo.local(如果使用ACS作為名稱,則鍵入ACS.wirelessdemo.local)。
按一下「Submit」。
按一下「System Configuration」。
按一下Service Control,然後按一下Restart。
按一下「System Configuration」。
按一下Global Authentication Setup。
選中Allow EAP-MSCHAPV2和Allow EAP-GTC。
按一下「Submit + Restart」。
按一下「System Configuration」。
按一下ACS Certification Authority Setup。
在「ACS證書頒發機構設定」(ACS Certification Authority Setup)視窗中,鍵入之前建立的*.cer檔案的名稱和位置。在本示例中,建立的*.cer檔案是ACS.cer,位於根目錄c:\中。
在CA certificate file欄位中鍵入c:\acs.cer,然後按一下Submit。
重新啟動ACS服務。
在我們的示例中,CLIENT是運行Windows XP Professional with SP的電腦,充當無線客戶端,通過無線AP獲得對Intranet資源的訪問。完成本節中的步驟,將CLIENT配置為無線客戶端。
請完成以下步驟:
使用連線到集線器的乙太網電纜將客戶端連線到Intranet網段。
在CLIENT上,將Windows XP Professional with SP2作為名為CLIENT of the wirelessdemo.local domain的成員電腦安裝。
安裝Windows XP Professional with SP2。必須安裝此程式才能獲得PEAP支援。
注意:在Windows XP Professional SP2中自動開啟Windows防火牆。請勿關閉防火牆。
請完成以下步驟:
關閉客戶端電腦。
從Intranet網段斷開客戶端電腦。
重新啟動客戶端電腦,然後使用本地管理員帳戶登入。
安裝無線網路介面卡。
重要事項:請勿安裝無線介面卡的製造商配置軟體。使用新增硬體嚮導安裝無線網路介面卡驅動程式。此外,在出現提示時,請提供製造商提供的CD或包含更新驅動程式的磁碟,以用於Windows XP Professional with SP2。
請完成以下步驟:
註銷,然後使用wirelessdemo.local域中的WirelessUser帳戶登入。
選擇開始>控制面板,按兩下網路連線,然後按一下右鍵無線網路連線。
按一下Properties,轉到「Wireless Networks(無線網路)」頁籤,並確保選中Use Windows to configure my wireless network settings。
按一下「Add」。
在Association頁籤的Network name(SSID)欄位中鍵入Employee。
為網路身份驗證選擇WPA,並確保資料加密設定為TKIP。
轉到Authentication頁籤。
驗證EAP型別是否配置為使用受保護的EAP(PEAP)。 如果不是,請從下拉選單中選擇它。
如果您希望在登入之前驗證電腦(這允許應用登入指令碼或組策略推送),請選中Authenticate as computer when computer information available。
按一下「Properties」。
由於PEAP涉及由客戶端對伺服器進行身份驗證,請確保已選中「驗證伺服器證書」。此外,請確保在受信任的根證書頒發機構選單下檢查了頒發ACS證書的CA。
在Authentication Method下選擇Secure password(EAP-MSCHAP v2),因為它用於內部身份驗證。
確保選中Enable Fast Reconnect覈取方塊。然後,按一下OK三次。
按一下右鍵systray中的無線網路連線圖示,然後按一下View Available Wireless Networks。
按一下Employee無線網路,然後按一下Connect。
這些螢幕截圖指示連線是否成功完成。
身份驗證成功後,使用網路連線檢查無線介面卡的TCP/IP配置。從DHCP作用域或為無線客戶端建立的作用域中,它的地址範圍應為172.16.100.100-172.16.100.254。
若要測試功能,請開啟瀏覽器並瀏覽http://wirelessdemoca(或企業CA伺服器的IP位址)。
所有Windows版本和2.x解決方案中都會出現此問題。
通常,XP中的無線服務設定會導致出現這種情況。
請完成以下步驟以更正此問題:
選擇開始>設定>控制面板>管理工具>服務。
轉至清單底部,尋找無線零配置。
按兩下此設定。
選擇停止此服務的選項。
在「startup type(啟動型別)」下,選擇「disable(禁用)」。
注意:如果您所做的只是停止該服務,則它在重新啟動時再次啟動,因此您必須禁用它,才能使此問題不再發生。
儲存設定並關閉。
當您的客戶端未能通過ACS伺服器的PEAP身份驗證時,請檢查ACS的Report and Activity選單下的Failed attempts選項中是否找到「NAS重複身份驗證嘗試」錯誤資訊。
如果在客戶端電腦上安裝了Microsoft Windows XP SP2,並且Windows XP SP2對Microsoft IAS伺服器以外的第三方伺服器進行身份驗證,您可能會收到此錯誤消息。特別是,Cisco RADIUS伺服器(ACS)與Windows XP使用的方法不同,使用不同的方法來計算可擴充驗證通訊協定型別:長度:值格式(EAP-TLV)ID。Microsoft已將此診斷為XP SP2請求方的一個缺陷。
有關修補程式,請與Microsoft聯絡,並參閱KB885453文章。根本問題是客戶端使用windows實用程式時,預設情況下會為PEAP禁用快速重新連線選項。但是,預設情況下在伺服器端(ACS)啟用此選項。 要解決此問題,請取消選中ACS伺服器上的Fast Reconnect選項,然後按submit+restart。或者,您也可以在客戶端上啟用快速重新連線選項以解決問題。
完成以下步驟,以便在使用Windows實用程式運行Windows XP的客戶端上啟用快速重新連線:
按一下開始>設定>控制面板。
按兩下Network Connections圖示。
按一下右鍵Wireless Network Connection圖示,然後按一下Properties。
按一下Wireless Networks頁籤。
選中Use Windows to configure my wireless network settings選項以啟用windows以配置客戶端介面卡。
如果您已配置SSID,請選擇SSID並按一下Properties。如果沒有,請按一下New新增新的WLAN。
在Association頁籤下輸入SSID。確保Network Authentication為Open,並且Data Encryption設定為WEP。
按一下「Authentication」。
選中Enable IEEE 802.1x authentication for this network選項。
選擇EAP Type作為PEAP,然後按一下Properties。
選中頁面底部的Enable Fast Reconnect選項。