是否可以使用 WPA 企业模式而无需使用或颁发证书?

是否可以使用 WPA 企业模式而无需使用或颁发证书?

设想...

我有一个无线网络,学生用它来访问互联网。每个学生都有一个 Active Directory 帐户。是否可以配置我的 AP,要求他们使用 AD 凭据连接到网络?如果可以,这是否需要服务器或计算机上的任何证书?如果可能的话,我想避免这种情况,因为我不想管理他们的计算机。

我有一台安装了 IAS 服务的 Win2k3 服务器和 3Com AP(3CRWE454G72)。

是否有任何软件产品可以实现这一自动化或者使其变得更容易?

答案1

您所谈论的是我们在多个客户站点所做的事情(包括一个学区,该学区似乎正在做您想要的事情)。

这不是一个点击指南,但如果您不介意稍微试用一下这些工具,我想您会发现它们是相当不言自明的。

IAS 服务器需要安装证书作为执行 EAP 的先决条件。如果您不介意使用自签名证书(我们到处都使用,没有出现重大问题),您可以安装 Microsoft 的证书颁发机构,IAS 计算机将自动请求证书(假设托管 IAS 的计算机已加入具有证书颁发机构的林中的域)。阅读有关最佳实践Microsoft 建议:证书颁发机构是一个好主意(特别是在创建 CA 之后不能改变的部分),但是如果您使用 CA 只是为了 EAP,那么您可能需要停用它并在需要时重新开始。

在 IAS 机器上安装证书后,您需要配置 RADIUS 服务器以接受来自无线接入点 (RADIUS 客户端) 的请求。Microsoft RADIUS 服务器 (至少在 W2K3 中) 在有效处理 DNS 查找失败方面并不是很好,因此,尽管我不愿意这么说,但我还是建议在 IAS 服务器上创建 RADIUS 客户端条目时使用 AP 的 IP 地址。“共享密钥”是 RADIUS 客户端 (AP) 用于向 RADIUS 服务器 (IAS) 进行身份验证的值。请确保在 AP 和 IAS 服务器上输入相同的密钥。

在将 AP 定义为 RADIUS 客户端后,您需要在 IAS 计算机上创建远程访问策略。内置向导可以很好地为您创建策略。基本上,您需要一个与“无线 - IEEE 802.11 或无线 - 其他”相匹配的策略,如果需要,还需要一个包含将被授予访问权限的用户(例如“域计算机”或“域用户”)的特定 Windows 组。向导可以指导您完成此过程。

创建策略后,您可以尝试手动从客户端进行连接。我在这里只讨论配置 Windows 内置的无线零配置 (ha!) 服务。如果您的 WLAN NIC 有第三方配置管理器,并且您可以删除它,我会这样做。使用内置的 Windows 服务可以大大提高 NIC 在启动期间启动并正确进行身份验证的几率(假设您在 RADIUS 策略中允许“域计算机”访问)。(我可以告诉您,我学区站点有大量无线客户端,它们从未插入有线以太网,但能够毫无问题地处理组策略等。)

Windows XP 和 Windows Vista / 7 之间的过程略有不同,但基本上我们谈论的是进入无线网络列表,添加新的 WPA-RADIUS 保护网络的 SSID(如果您要重新使用现有的 SSID,请删除旧的 SSID),并确保正确设置某些属性。“网络身份验证”应设置为您在 AP 上配置的 WPA/WPA2 和 AES/TKIP 的任何组合。(就我个人而言,如果可以的话,我会使用 WPA2-AES,但 WPA-TKIP 是最低公分母,并受较旧的客户端支持。)

在新 SSID 的身份验证属性中,确保选择“受保护的 EAP (PEAP)”作为 EAP 类型。如果客户端不是域成员,请转到 PEAP 的“属性”对话框,取消选中“验证服务器证书”,转到“选择身份验证方法”的“已配置”对话框并取消选中“自动使用我的 Windows 登录名和密码(以及域,如果有)”,然后取消选中新 SSID 的“身份验证”属性下的“当计算机信息可用时作为计算机进行身份验证”。这将强制 Windows 提示您在非域成员计算机上输入凭据。

一旦让客户端“说话”,我建议使用以下方式部署 SSID 的设置组策略这样你就不必“接触”任何客户。我此功能已在许多站点中得到广泛使用,并取得了巨大成功。只要允许新的域成员客户端计算机在有线网络上应用一次组策略,它就会在进入无线网络范围后“正常工作”。涅槃!

对于非 Windows 设备(iPod、Linux 上网本、Android 手机等),您必须自己完成连接配置。不过,这还不算太糟。我们已让多种设备以这种方式配置,并能顺利地验证 WLAN。

编辑:

在非域成员计算机上,您需要取消选中我上面描述的项目,以防止客户端验证服务器证书并尝试自动进行身份验证。用户必须手动提供其凭据。

关于自动将配置文件部署到非域成员客户端,您可以使用“netsh WLAN”Windows Vista 和 Windows 7 上的命令。

在 Windows XP 上,不使用组策略部署 WLAN 配置实际上与 Vista 类似,但需要安装软件

答案2

是的,WPA Enterprise 使用 EAP验证. 支持密码和证书认证

相关内容