利用windows server 2008 NPS實(shí)現(xiàn)8021X認(rèn)證_第1頁
利用windows server 2008 NPS實(shí)現(xiàn)8021X認(rèn)證_第2頁
利用windows server 2008 NPS實(shí)現(xiàn)8021X認(rèn)證_第3頁
利用windows server 2008 NPS實(shí)現(xiàn)8021X認(rèn)證_第4頁
利用windows server 2008 NPS實(shí)現(xiàn)8021X認(rèn)證_第5頁
已閱讀5頁,還剩38頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、利用windows server 2008 NPS實(shí)現(xiàn)802.1X認(rèn)證目錄1、Windows server 2008安裝配置AD12、Windows server 2008安裝配置CA183、Windows server 2008安裝配置NPS組件273.1、安裝NPS組件273.2、配置Radius客戶端313.3、配置NAP策略334、802.1x認(rèn)證過程384.1、PC證書安裝384.2、交換機(jī)配置404.3、本地連接屬性配置405、NPS支持IPv6411、Windows server 2008安裝配置AD 活動(dòng)目錄(Active Directory)是面向Windows Standa

2、rd Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務(wù)。Active Directory不能運(yùn)行在Windows Web Server上,但是可以通過它對(duì)運(yùn)行Windows Web Server的計(jì)算機(jī)進(jìn)行管理。使得WINDOWS 2000以上服務(wù)器系統(tǒng)與Internet上的各項(xiàng)服務(wù)和協(xié)議更加聯(lián)系緊密,因?yàn)樗鼘?duì)目錄的命名方式成功地與”域名“的命名方式一致,然后通過DNS進(jìn)行解析,使得與在Internet上通過WINS解析取得一致的效果。下面將演示W(wǎng)indows server 2008活動(dòng)目錄安裝與配置的安裝方法。

3、登錄Windows server 2008,開始-管理工具-服務(wù)器管理器-角色打開添加角色向?qū)?。選擇“添加角色”出現(xiàn)如下圖所示:在彈出的對(duì)話框中點(diǎn)擊“下一步”:在彈出的對(duì)話框中選擇“Active Directory 域服務(wù)”(如果有關(guān)聯(lián)組件沒有安裝,會(huì)提示需要安裝關(guān)聯(lián)組件,選擇“是”即可),點(diǎn)擊下一步如圖所示:在彈出的對(duì)話框中出現(xiàn)相關(guān) Active Directory 域服務(wù)相關(guān)簡(jiǎn)介這里面會(huì)介紹安裝及配置以及相關(guān)注意事項(xiàng),點(diǎn)擊下一步如圖所示:點(diǎn)擊“安裝”,如圖:安裝成功之后,點(diǎn)擊“關(guān)閉”。下面需要進(jìn)行 Active Directory 域服務(wù)安裝向?qū)А|c(diǎn)擊開始-運(yùn)行輸入 “dcpromo”如圖

4、所示:點(diǎn)擊“確定”,如圖所示:彈出一個(gè)對(duì)話框,選擇“下一步”如圖所示這里提示相關(guān)操作系統(tǒng)的兼容性,點(diǎn)擊“下一步”如圖所示:因?yàn)槲覀冄b的是第一臺(tái)完整的域控制器,所以選擇“在新林中新建域”,點(diǎn)擊“下一步”如圖所示:這里在目錄林根級(jí)域的文本框中輸入新的林根級(jí)完整的域名系統(tǒng)名稱,我們這里輸入本網(wǎng)站域名“ip-”的林的名稱(本人使用的是的林的名稱,所以后面配置NPS看到的是的域),點(diǎn)擊“下一步”如圖所示:這里顯示正在檢查整個(gè)網(wǎng)絡(luò)中是否已經(jīng)使用該林的名稱: 檢查完畢后,出現(xiàn)NETBIOS,點(diǎn)擊下一步,如圖所示: 這里出現(xiàn)“設(shè)置林功能級(jí)別”對(duì)話框,林功能有 Windows 2000、Windows serv

5、er 2003 、Windows server 2008 三個(gè)級(jí)別,默認(rèn)林功能級(jí)別為 Windows 2003,這里我們選擇Windows server 2003 (并不是選擇越高越好), 點(diǎn)擊“下一步”如圖所示:這里出現(xiàn)“設(shè)置域功能級(jí)別”對(duì)話框,域功能有 Windows 2000、Windows server 2003 、Windows server 2008 三個(gè)級(jí)別,默認(rèn)域功能級(jí)別為 Windows 2003,這里我們選擇Windows server 2003 , 點(diǎn)擊“下一步”如圖所示:開始檢查計(jì)算機(jī)上的DNS配置檢查完畢后出現(xiàn)“其他域控制器選項(xiàng)”如下圖所示:選擇“DNS 服務(wù)器”(有

6、些系統(tǒng)沒有出現(xiàn)這步,無影響 ),點(diǎn)擊下一步如圖所示:這里選擇“是,該計(jì)算機(jī)將使用動(dòng)態(tài)分配的IP地址” 點(diǎn)擊后如圖所示:彈出這個(gè)對(duì)話框,建議安裝DNS,這樣這個(gè)向?qū)⒆詣?dòng)創(chuàng)建DNS區(qū)域委派。無論DNS服務(wù)器服務(wù)是否與活動(dòng)集成,都必須將其它安裝在部署的活動(dòng)目錄林根域的第一個(gè)域控制器上,點(diǎn)“是”如圖所示:這里出現(xiàn),數(shù)據(jù)庫、日志文件和SYSVOL的安裝位置,這時(shí)可以修改其它安裝的目錄,點(diǎn)擊“下一步”如圖所示:彈出目錄還原模式的管理員密碼,這個(gè)密碼將是會(huì)在刪除域或當(dāng)您的域出現(xiàn)問題需要還原的時(shí)候需要用到的,點(diǎn)“下一步”如圖所示:這里顯示這前所有的操作,檢查無誤后點(diǎn)“下一步”如圖所示:這里正在配置相關(guān)信息等

7、待完成,如圖所示:到這里配置就完成了,點(diǎn)擊“完成”,如圖所示:這里點(diǎn)擊立即重新啟動(dòng),等到服務(wù)器重啟后,登錄名就會(huì)出現(xiàn)“域名/administrator”,如本人創(chuàng)建的林是,登錄出現(xiàn)WIN8AD/Administrator: 2、Windows server 2008安裝配置CACA(證書頒發(fā)機(jī)構(gòu))為了保證網(wǎng)絡(luò)上信息的傳輸安全,除了在通信中采用更強(qiáng)的加密算法等措施外,必須建立一種信任及信任驗(yàn)證機(jī)制,即通信各方必須有一個(gè)可以被驗(yàn)證的標(biāo)識(shí),這就需要使用數(shù)字證書,證書的主體可以是用戶、計(jì)算機(jī)、服務(wù)等。證書可以用于多方面,例如Web用戶身份驗(yàn)證、web服務(wù)器身份驗(yàn)證、安全電子郵件等。安裝證書確保望上傳遞

8、信息的機(jī)密性、完整性、以及通信雙方身份的真實(shí)性,從而保障網(wǎng)絡(luò)應(yīng)用的安全性。CA分為兩大類,企業(yè)CA和獨(dú)立CA;企業(yè)CA的主要特征如下:l 企業(yè)CA安裝時(shí)需要AD(活動(dòng)目錄服務(wù)支持),即計(jì)算機(jī)在活動(dòng)目錄中才可以。l 當(dāng)安裝企業(yè)根時(shí),對(duì)于域中的所用計(jì)算機(jī),它都將會(huì)自動(dòng)添加到受信任的根證書頒發(fā)機(jī)構(gòu)的證書存儲(chǔ)區(qū)域;l 必須是域管理員或?qū)D有寫權(quán)限的管理員,才能安裝企業(yè)根CA;獨(dú)立CA主要以下特征:l CA安裝時(shí)不需要AD(活動(dòng)目錄服務(wù))。l 一般情況下,發(fā)送到獨(dú)立CA的所有證書申請(qǐng)都被設(shè)置為掛起狀態(tài),需要管理員手動(dòng)頒發(fā)。這完全出于安全性的考慮,因?yàn)樽C書申請(qǐng)者的憑證還沒有被獨(dú)立CA驗(yàn)證; 

9、   在簡(jiǎn)單介紹完CA的分類后,我們現(xiàn)在AD(活動(dòng)目錄)環(huán)境下安裝證書服務(wù),即安裝企業(yè)證書,具體步驟如下:登錄Windows server 2008,開始-管理工具-服務(wù)器管理器-角色打開添加角色向?qū)А_x擇“添加角色”出現(xiàn)如下圖所示,點(diǎn)擊“下一步”:在彈出的對(duì)話框中選擇“Active Directory 證書服務(wù)”(如果有關(guān)聯(lián)組件沒有安裝,會(huì)提示需要安裝關(guān)聯(lián)組件,選擇“是”即可),點(diǎn)擊下一步如圖所示:在選擇角色服務(wù)中選擇證書頒發(fā)機(jī)構(gòu)和證書頒發(fā)機(jī)構(gòu)Web注冊(cè);在指定安裝類型中選擇”企業(yè)”,點(diǎn)擊下一步;在“指定CA類型”中選擇“根CA”, 點(diǎn)擊下一步;在設(shè)置私鑰窗口中選擇“新建

10、私鑰”, 點(diǎn)擊下一步;在配置加密窗口,使用默認(rèn)的加密服務(wù)程序、哈希算法和密鑰長(zhǎng)度,點(diǎn)擊“下一步”;接下來需要配置CA的名稱(沒有截圖,借用2003的一張截圖,類似)因?yàn)樵谕慌_(tái)Server上,所以在CA的公用名稱里默認(rèn)名稱是與域名計(jì)算名相關(guān)的公用名稱,我們改為簡(jiǎn)單點(diǎn)的,輸入“ROOT CA”,可分辨名稱后綴包含CN=ROOT CA, DC=WIN8AD, DC=COM三項(xiàng),是自動(dòng)生成的,沒有自動(dòng)生成就自己加一下。單擊“下一步”到確認(rèn)安裝;安裝完成后,從管理工具中可以看到“證書頒發(fā)機(jī)構(gòu)”,打開證書頒發(fā)機(jī)構(gòu)管理器,管理證書的頒發(fā);也可以從服務(wù)器管理器的列表中看到:CA裝完之后,就會(huì)給AD域服務(wù)器頒

11、發(fā)證書,也會(huì)給本機(jī)頒發(fā)計(jì)算機(jī)證書,如果沒有可以自己去申請(qǐng),在運(yùn)行里輸入mmc-文件-添加/刪除管理單元-證書(雙擊)-計(jì)算機(jī)賬戶:如下圖所示,多了本地計(jì)算機(jī)證書:確定之后,控制臺(tái)根節(jié)點(diǎn)多了本地計(jì)算機(jī)證書列表,點(diǎn)擊個(gè)人-證書(右擊)-所有任務(wù)-申請(qǐng)新證書,如下圖所示:就可以為本機(jī)申請(qǐng)一個(gè)計(jì)算機(jī)證書,申請(qǐng)完如下圖所示,本地計(jì)算機(jī)就有兩個(gè)證書,一個(gè)是ROOT CA頒發(fā)給ROOT CA的證書,一個(gè)是ROOT CA頒發(fā)給計(jì)算機(jī)的證書:證書安裝到此完成。3、Windows server 2008安裝配置NPS組件3.1、安裝NPS組件登錄Windows server 2008,開始-管理工具-服務(wù)器管理器

12、-角色-打開添加角色向?qū)В哼x擇“添加角色”出現(xiàn)如下圖所示:選擇“網(wǎng)絡(luò)策略和訪問服務(wù)”角色,點(diǎn)擊下一步:服務(wù)簡(jiǎn)介,點(diǎn)擊下一步:選擇“網(wǎng)絡(luò)策略服務(wù)器”和“健康注冊(cè)機(jī)構(gòu)”和“主機(jī)憑據(jù)授權(quán)協(xié)議”三項(xiàng), 點(diǎn)擊下一步:在選擇合適的證書機(jī)構(gòu)來作為健康注冊(cè)機(jī)構(gòu)時(shí),選擇剛才安裝的CA服務(wù)器,通過點(diǎn)擊右邊的選擇按鈕就會(huì)彈出剛才安裝的CA服務(wù)器,選擇并確定即可。 點(diǎn)擊下一步:選擇使用加密,即第一項(xiàng),點(diǎn)擊下一步:在這之前,需要為服務(wù)器申請(qǐng)一個(gè)計(jì)算機(jī)證書,用以SSL加密,在剛才安裝CA服務(wù)器的時(shí)候,我們已經(jīng)為本機(jī)申請(qǐng)了計(jì)算機(jī)證書,即ROOT CA頒發(fā)給的證書。因此,在這個(gè)選擇加密的服務(wù)器認(rèn)證證書時(shí),選擇第一項(xiàng)

13、“選擇一個(gè)已經(jīng)存在的證書來為SSL加密”,然后點(diǎn)擊右邊的“導(dǎo)入”,彈出剛才安裝的兩個(gè)證書,一個(gè)是ROOT CA頒發(fā)給ROOT CA的證書,另一個(gè)是ROOT CA頒發(fā)給的證書,選擇后者導(dǎo)入。點(diǎn)擊下一步,后續(xù)可能需要安裝一些關(guān)聯(lián)組件,選擇是即可,確認(rèn)信息無誤后一直點(diǎn)擊下一步直到安裝成功即可。3.2、配置Radius客戶端登錄Windows server 2008,開始-管理工具-服務(wù)器管理器-網(wǎng)絡(luò)策略和訪問服務(wù)-配置Radius客戶端:彈出Radius客戶端列表,如果還沒有配置Radius客戶端的話,列表為空(下面是已經(jīng)配置一個(gè)客戶端SW了),選擇“新建”:彈出新建RADIUS客戶端選項(xiàng)框,在這里

14、輸入RADIUS客戶端(即NAS)的名稱、地址(IP)、手動(dòng)共享機(jī)密內(nèi)容,在高級(jí)選項(xiàng)里還可以選擇是否是NAP(這個(gè)貌似關(guān)系不大)。點(diǎn)擊確定就配置好了。3.3、配置NAP策略登錄Windows server 2008,開始-管理工具-服務(wù)器管理器-網(wǎng)絡(luò)策略和訪問服務(wù)-NPS-配置NAP:網(wǎng)絡(luò)連接方法選擇IEEE 802.1x有線:確定后,會(huì)自動(dòng)生成策略的名稱:一般默認(rèn)即可,點(diǎn)擊下一步:在指定NAS時(shí),可以看到我們剛才添加的Radius客戶端,也可以在這里添加點(diǎn)擊下一步:配置用戶組和計(jì)算機(jī)組,不管,不用添加,點(diǎn)擊下一步:配置身份驗(yàn)證辦法,默認(rèn)只勾選第一項(xiàng),我們把第二項(xiàng)也勾選,后面認(rèn)證的時(shí)候有三種身

15、份驗(yàn)證方式,一是智能卡或其它證書,二是PEAP-智能卡或其它證書,三是PEAP-MSCHAPv2。點(diǎn)擊下一步:配置流量控制沒管沒配置,可以配置相關(guān)屬性,比如劃分認(rèn)證通過的網(wǎng)絡(luò)的VLAN ID等,點(diǎn)擊下一步:都是默認(rèn),沒改:算是配置完了。4、802.1x認(rèn)證過程4.1、PC證書安裝首先要先為PC(如WIN7系統(tǒng))向CA服務(wù)器申請(qǐng)證書并安裝,在網(wǎng)頁瀏覽器中輸入:http:/IP_of_CA/certsrv因?yàn)镃A服務(wù)器也安裝在windows 2008上,所以IP_of_CA就是windows 2008的IP地址,點(diǎn)擊“申請(qǐng)證書”:根據(jù)實(shí)際情況選擇“用戶證書”還是“高級(jí)證書”,這里選擇“用戶證書”即

16、可:“提交”申請(qǐng):提交完之后,等待CA服務(wù)器頒發(fā)證書。等待時(shí)間與CA服務(wù)器的設(shè)置有關(guān),如果CA服務(wù)器需要手動(dòng)去響應(yīng)證書請(qǐng)求,則會(huì)PC端會(huì)跳出已經(jīng)提交請(qǐng)求請(qǐng)等待的頁面,如果CA服務(wù)器設(shè)置成自動(dòng)響應(yīng)證書請(qǐng)求,則會(huì)立即頒發(fā)證書給請(qǐng)求者,如下圖所示,PC直接收到CA服務(wù)器頒發(fā)的證書,點(diǎn)擊“安裝此證書”:證書安裝完成。4.2、交換機(jī)配置不同廠商的交換機(jī)配置都是大同小異,可以根據(jù)自己使用的交換機(jī)進(jìn)行相應(yīng)的配置,認(rèn)證radius服務(wù)器IP就是windows 2008的IP地址。4.3、本地連接屬性配置打開“本地連接屬性”,進(jìn)入“身份驗(yàn)證”,如果沒有“身份驗(yàn)證”這一項(xiàng),打開“服務(wù)”,啟動(dòng)“Wired AutoConfig”服務(wù)。在“本地連接屬性”里打勾“啟用IEEE 802.1X身份認(rèn)證”,網(wǎng)絡(luò)身份驗(yàn)證方法選擇“智能卡或其它證書”或其它方式。進(jìn)入右邊的“設(shè)置”,可以選擇是否驗(yàn)證服務(wù)器證書。確定后網(wǎng)絡(luò)連接斷開,

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論