show code js

2010年8月16日 星期一

IAS & RADIUS

網際網路驗證服務IAS (RADIUS),可將網路設備整合,將使用權進行限制,用戶連接設備時,透過設備將向伺服器連接取得驗證,完成驗證後取得有線、無線或VPN連線至網路的使用權
   管控上限為50裝置,並且須配置憑證伺服器發佈憑證及個人憑證,應用於VPN、WIRELESS(802.1X)
 一、安裝網際網路驗證服務IAS
  (一)前置作業
    1、安裝憑證服務
    2、建立並發行(SSL)憑證,可以IIS建立一憑證
    3、網路設備必須支援802.1x及RADIUS設定
  (二)安裝「網際網路驗證服務(IAS)」
    1、點取「開始」的「控制台」執行「新增/移除程式」後,點取「新增/移除Windows元件」
    2、點取「Networking Services」後點取「詳細資料」,將「網際網路驗證服務(IAS)」鉤選後,點取「確認」再點取「下一步」進行安裝
  (三)服務配置
    1、點取「開始」的「系統管理工具」執行「網際網路驗證服務」
    2、服務登錄至Active DIrectory
     (1)在「網際網路驗證服務(本機)」點取右鍵後,點取「在Active Directory中登錄伺服器」
    3、用戶端設定
     (1)以右鍵點取「RADIUS用戶端」,點取「新增RADIUS用戶端」
     (2)輸入「好記的名稱」如「OFFICE AP1 D-LINK DAP-1150」,輸入「用戶端位置(IP或DNS)」如「192.168.1.4」
     (3)設定「用戶端廠商」為「RADIUS Standard」,輸入「(確認)共用密碼」,供網路設備連接驗證用
    4、存取原則設定
     (1)對話盒驗證
       A、以右鍵點取「遠端存取原則」,點取「新增遠端存取原則」開啟「新增遠端存取原則精靈」,並點取「下一步」
       B、在「您要如何設定這個原則」選取「使用這個精靈為一般狀況設定基本原則」
       C、輸入「原則名稱」,如「Wireless AP Connect Check」,點取「下一步」
       D、在「存取方法」點取「無線」,點取「下一步」
       E、在「使用者或群組存取」中設置存取權限,因要授權予所有員工,因此在此點取「新增」後將「Domain Users」加入,點取「下一步」
       F、在「驗證方法」類型中點取「受保護的(PEAP)」,並點取「設定」
        (A)在「憑證發給」點取本機的FQDN名稱的項目
        (B)鉤選「啟用快速重新連線」,點取「確認」,再點取「下一步」
       G、完成配置
     (2)憑證驗證
       A、點取「遠端存取原則」,將已設置好的新原則二次點取後開啟對話盒
        (A)點取「編輯設定檔」
          a、在標籤「驗證」中點取「EAP方法」
          b、點取「新增」,點取「智慧卡或其他憑證」後點取「確定」
           (a)點取「智慧卡或其他憑證」後點取「上移」(優先使用),再點取「確定」
           (b)點取「套用」後再點取「確定」
          c、點取「確定」後完成設定
    5、存取記錄設定
     (1)展開「遠端存取記錄」,點取「本機檔案」,將「設定」標籤中的三個項目均鉤選
     (2)調整設定檔及路徑等,以防記錄檔過大或移至記錄檔專用磁碟,或配合檔案管理限制配額
     (3)可使用SQL SERVER儲存記錄
  (四)用戶撥入權限
    1、個別帳戶設定
     (1)開啟「Active Directory」,在「使用者名稱」以右鍵點取「內容」
     (2)點取標籤「撥入」中設定「用戶遠端存取使用權限(撥入或VPN)」,授予「允許存取」
    2、群組原則設定
     (1)在遠端存取原則中,增加屬性質「Ignore-User-Dialin-Properties」,並將其設為「True」,即可忽視「個別帳戶設定」
       A、在已設好的遠端存取原則項目,二次點取開啟「內容」對話盒
       B、點取「編輯設定檔」,再點取標籤「進階」
       C、點取「新增」,點取屬性質「Ignore-User-Dialin-Properties」後點取「新增」,並設其值為「True」
  (五)網路設備配置
    1、啟動網路設備,在此以無線AP設備為例,並進入GUI介面進行設定
    2、驗證模式為「WPA」,加密模式為「TKIP」,PSK/EAP為「Enterprise」
    3、在「802.1x」的「RADIUS」中,設定RADIUS SERVER IP、PORT(1812)及RADIUS用戶端時所設的「共用密碼」
 二、用戶端驗證設定
  (一)採用非憑證式登入
    1、請先確認「網際網路驗證服務(IAS)」中是否可以使用此驗證方法
    2、連接時會發生找不到憑證登入,二次點取「無線連線」後開啟「無線網路連線」,點取「變更進階設定」
    3、點取上方標籤「無線網路」,再下方「慣用網路」中點取要登入的網線網路SSID,再點取「內容」
    4、SSID 內容
     (1)在標籤「關聯」中,在「網路驗證」點取「WPA」,在「資料加密」點取「TKIP」
     (2)在標籤「驗證」中,在「EAP類型」點取「Protected EAP (PEAP)」後,點取「內容」
     (3)受保護的 EAP 內容
       A、在「連線時」取消鉤選「確認伺服器憑證」,鉤選「啟用快速重新連線」
       B、在「選擇驗證方法」點「設定」
        (A)取消鉤選「自動使用我的Windows登入名稱及密碼....」
    5、點取「確認」到退出對話盒
    6、此時將會跳出「輸入認證」對話盒,輸入AD帳戶的名稱及密碼即可連線
  (二)採用憑證式登入
    1、請先確認「網際網路驗證服務(IAS)」中是否可以使用此驗證方法
    2、安裝根憑證
    3、安裝使用者憑證
    4、終端電腦
     (1)二次點取「無線網路連線」,點取要連線的無線網路
     (2)出現提示訊息確認憑證,點取「確定」後完成連線
     (3)若無法連線或使用非Windows內建無線網路管理服務者,請確認以下設定
       A、驗證方式:WPA
       B、資料加密:TKIP
       C、EAP驗證類型:TLS(或智慧卡或憑證)
    5、行動裝置
     (1)匯出使用者憑證
       A、開啟「瀏覽器Internet Explorer」,點取「工具」的「網際網路選項」
        (A)點取標籤「內容」中「憑證區塊」的「憑證」
        (B)點取「自已的使用者憑證」,再點取「匯出」
        (C)開啟「憑證匯出精靈」後點取「下一步」
          a、在「匯出私密金鑰」中點取「是,匯出私密金鑰」,再點取「下一步」
          b、在「匯出檔案格式」中,鉤選「如果可能的話,在憑證路徑中包含所有的憑證」及「啟用加強保護」,點取「下一步」
          c、在「密碼」中不設置密碼,注意,安裝完憑證後須將匯出的憑證檔案刪除,避免被盜用,否則請設密碼,點取「下一步」
          d、在「要匯出的檔案」中點取「瀏覽」,選擇匯出目的目錄,設定「檔名(自訂)」後點取「儲存」,點取「下一步」
          e、點取「完成」再點取「確定」,完成憑證匯出
        (D)點取「確定」到退出對話盒
     (2)將行動裝置與電腦連線
       A、將匯出的*.pfx憑證傳送至行動裝置上
       B、在行動裝置上點取該憑證完成憑證安裝,若有設定密碼,則請輸入安裝密碼
       C、設定連線
        (A)進入「無線網路設定」
        (B)點取要連線的無線網路,編輯設定
          a、驗證方式:WPA
          b、資料加密:TKIP
          c、EAP驗證類型:TLS(或智慧卡或憑證)
       D、點取該無線網路,點取「連線」
     (3)在本機電腦與行動裝置上,將匯出的使用者憑證全部刪除

沒有留言:

張貼留言