转载自：http://yonggang.blog.51cto.com/94083/106347

Windows域与802.1X协议统一认证解决方案

【课程星级】★★★★★

【实验名称】Windows域与802.1X协议统一认证解决方案

【实验目的】使管理人员了解Windows域与802.1X协议结合进行统一认证的配置方法。

【背景描述】

随着局域网的迅速发展,办公用户的网络安全问题日益突出。目前,各企业面临的安全威胁之一就是外围设备非法接入到内部网络后的破坏性***行为。在许多企业的IT 管理过程中,往往注重对来自因特网的外部威胁防御,忽略了来自内部的非法访问威胁。

这种威胁在大中型企业的IT 环境中影响尤其明显。因此,建立内部网络接入防御体系势在必行。很多企事业单位已经建立了基于Windows域的信息管理系统，通过Windows域管理 用户访问权限和应用执行权限。然而，基于Windows的权限控制只能作用到应用层，而无法实现对用户的物理访问权限的控制，比如对网络接入权限的控制， 非法用户可随意接入用户网络，这就给企业网的网络和应用安全带来很多隐患。为了更加有效地控制和管理网络资源，提高网络接入的安全性，很多*和企业网络 的管理者希望通过802.1x认证实现对接入用户的身份识别和权限控制。

通过802.1x 协议和活动目录技术相结合的方案,来实现设备接入的合法验证和管理。只有通过了内部域用户验证的计算机才能正常进行网络通讯,否则其接入端口数据将被阻隔。

下面我们就来看一下Windows域与802.1X协议统一认证解决方案的实现过程。

【实验拓扑】

实验环境说明：本实验需要用到Windows 2003 Server,并且在Windows 2003 Server安装DNS、AD、DHCP、CA、IAS等组件，并且要求交换机支持802.1X协议与Guest VLAN功能。

本文详细地记录了配置Windows 2003 Server和交换机每一个步骤的实现过程，并力求层次清晰。但还是希望没有接触过Windows 2003 Server的读者了解Windows 2003 ServerDNS、 AD、DHCP、CA和IAS的相关知识，请参考相关书籍和网站。

拓扑说明：Windows 2003 Server IP:192.168.0.254

                  交换机IP：192.168.0.250

                  路由器LAN接口IP:192.168.0.1

                  橘红色端口所属的VLAN为Guest VLAN,名称为V10,   VID为10

                  蓝色端口所属的VLAN名称为V20,  VID为20

                  绿色端口为需要进行802.1X认证的端口

                  测试计算机的IP为从Windows 2003 Server 自动获取

 

根据上面的拓扑环境，测试PC通过了windows域的认证以后，自动在交换机端口上进行802.1X认证，认证通过以后，PC被交换机自动分配到了V20里面，从而可以接入到互联网中。若PC没有通过802.1X认证，则只能访问Guest VLAN里面的资源。

【实验设备】Windows 2003 Server 1台，DES-3526 1台，路由器1台，测试PC1台，网线若干。

【实验步骤】

一． 配置Windows 2003 Server

1. 安装Windows 2003 Server AD（活动目录）

在Windows 2003 Server上，点击“开始”----“运行”，输入“dcpromo”,点“确定”,启动“活动目录安装向导”。如下图：

此处选择“新域的域控制器”，使此计算机作为此域的域控制器（DC）。

此处选择“在新林中的域”。

输入“test.com”作为新建域的域名。

设置NetBIOS域名，此处使用默认的“TEST”。

设置数据库和日志文件的保存路径，此处选择默认设置。

设置共享的系统卷，此处使用默认设置。

DNS注册诊断，由于此服务器还没有安装DNS服务器组件，因此显示诊断失败，这里选择“在这台计算机安装并配置DNS服务器，并将这台DNS服务器设为计算机的首选DNS服务器”。

设置用户和组对象的默认权限，此处选择默认设置。

设置目录还原模式的管理员密码。

开始安装和配置活动目录。

活动目录安装完毕。

点击“立即重新启动”，重启windows 2003 server。

2. 安装并配置windows 2003 server DHCP服务器

进入控制面板界面。

选择“添加或删除程序”。

选择“添加/删除windows组件”。

选中“网络服务”，点击“详细信息”。

选择“动态主机配置协议（DHCP）”。

进行DHCP组件的安装。

完成安装。

在windows 2003 server 管理工具中选择DHCP。

这台DHCP服务器未经授权，不能为网络中的计算机提供服务，因此要对此DHCP服务器进行授权。

右键点击“DHCP”,选择“管理授权的服务器”。

输入DHCP的IP地址。

确认授权。

重新启动DHCP服务以后，DHCP服务器附带的状态标识由红色的向下的箭头转换为绿色的向上的箭头，说明DHCP服务器已经成功授权。

右键单击DHCP服务器，选择“新建作用域”。

输入作用域名称。

输入各项参数。

添加默认网关的IP地址。

选择现在**作用域。

完成新建域向导。

右键单击“作用域选项”，选择“配置选项”。

选中“DNS”服务器，添加192.168.0.254和192.168.0.1两个地址。

这样就完成了DHCP服务器的配置工作。

3. 安装并配置证书服务器（CA）

IEEE 802.1X在允许网络客户端访问网络之前使用EAP来对其进行身份验证。EAP最初设计用于点对点协议（PPP）连接，它允许用户创建任意身份验证模式 来验证网络访问。请求访问的客户端和进行身份验证的服务器必须首先协商特定EAP身份验证模式（称为EAP类型）的使用。在就EAP类型达成一致之 后，EAP允许访问客户端和身份验证服务器（通常是一个RADIUS服务器）之间进行无限制的对话。

在基于802.1X的认证协议中，我们采用的是PEAP（Protected Extensible Authentication Protocol）的验证方式。这是一种基于密码的验证协议，可以帮助企业实现简单、安全的验证功能。

PEAP是一种EAP类型，它首先创建同时被加密和使用传输层安全（TLS）来进行完整性保护的安全通道。然后进行另一种EAP类型的新的 EAP协商，从而对客户端的网络访问尝试进行身份验证。由于TLS通道保护网络访问尝试的EAP协商和身份验证，因此可以将通常容易受到脱机字典***的基 于密码的身份验证协议可用于在安全的网络环境中执行身份验证。

PEAP是一种通过TLS来进一步增强其它EAP身份验证方法安全性的身份验证机制。面向Microsoft 802.1X身份验证客户端的PEAP提供了针对TLS（PEAP-TLS，同时在服务器身份验证过程与客户端身份验证过程中使用证书）与 Microsoft质询握手身份验证协议2.0版（PEAP-MS-CHAP v2，在服务器身份验证过程中使用证书，而在客户端身份验证过程中使用基于口令的授权凭证。若客户端希望对网络进行认证，必须下载证书）的支持能力。

MS-CHAP v2是一种基于密码的质询-响应式相互身份验证协议，使用工业标准的“信息摘要 4（Message Digest 4，MD4)”和数据加密标准（Data Encryption Standard，DES）算法来加密响应。身份验证服务器质询接入客户端，然后接入客户端又质询身份验证服务器。如果其中任一质询没有得到正确的回答， 连接就被拒绝。

通过上面的介绍，我们可以得出结论：不管对无线连接使用哪种身份验证方法（PEAP-TLS 或 PEAP-MS-CHAP v2），都必须在 IAS 服务器上安装计算机证书。

安装一种证书服务即指定一个证书颁发机构 (CA)，证书可以从第三方的CA机构获取，比如VeriSign，或者从企业内部的CA机构颁发。这两种方案在传统意义上都是可行的，但是对于小型企业 来说并不现实，因为小型企业不愿意每年花很多额外的钱购买第三方认证机构的证书，因此可以考虑在企业内部自己架设 CA服务器。

我们这里采取的是在IAS服务器和客户端上都需要安装证书，以完成双方的互相认证。客户端通过web从CA上下载证书，首先需要安装IIS。

在“windows组件向导”选择“应用程序服务器”，点击“详细信息”。

完成IIS服务安装。接下来安装证书服务。

在“windows组件向导”选择“证书服务”，点击“详细信息”。

点击是，选中“证书服务”和“证书服务Web注册支持”。

选择“企业根CA”。

输入CA公钥名称。

出现生成公钥过程，并提示设置证书数据库。