活动目录安装完毕。
点击“立即重新启动”,重启windows 2003 server。 2. 安装并配置证书服务器(CA)
IEEE 802.1X在允许网络客户端访问网络之前使用EAP来对其进行身份验证。EAP最初设计用于点对点协议(PPP)连接,它允许用户创建任意身份验证模式来验证网络访问。请求访问的客户端和进行身份验证的服务器必须首先协商特定EAP身份验证模式(称为EAP类型)的使用。在就EAP类型达成一致之后,EAP允许访问客户端和身份验证服务器(通常是一个RADIUS服务器)之间进行无限制的对话。
在基于802.1X的认证协议中,我们采用的是PEAP(Protected Extensible Authentication Protocol)的验证方式。这是一种基于密码的验证协议,可以帮助企业实现简单、安全的验证功能。
PEAP是一种EAP类型,它首先创建同时被加密和使用传输层安全(TLS)来进行完整性保护的安全通道。然后进行另一种EAP类型的新的EAP协商,从而对客户端的网络访问尝试进行身份验证。由于TLS通道保护网络访问尝试的EAP协商和身份验证,因此可以将通常容易受到脱机字典攻击的基于密码的身份验证协议可用于在安全的网络环境中执行身份验证。 PEAP是一种通过TLS来进一步增强其它EAP身份验证方法安全性的身份验证机制。面向Microsoft 802.1X身份验证客户端的PEAP提供了针对TLS(PEAP-TLS,同时在服务器身份验证过程与客户端身份验证过程中使用证书)与Microsoft质询握手身份验证协议2.0版
(PEAP-MS-CHAP v2,在服务器身份验证过程中使用证书,而在客户端身份验证过程中使用基于口令的授权凭证。若客户端希望对网络进行认证,必须下载证书)的支持能力。
MS-CHAP v2是一种基于密码的质询-响应式相互身份验证协议,使用工业标准的“信息摘要 4(Message Digest 4,MD4)”和数据加密标准(Data Encryption Standard,DES)算法来加密响应。身份验证服务器质询接入客户端,然后接入客户端又质询身份验证服务器。如果其中任一质询没有得到正确的回答,连接就被拒绝。
通过上面的介绍,我们可以得出结论:不管对无线连接使用哪种身份验证方法(PEAP-TLS 或 PEAP-MS-CHAP v2),都必须在 IAS 服务器上安装计算机证书。
安装一种证书服务即指定一个证书颁发机构 (CA),证书可以从第三方的CA机构获取,比如VeriSign,或者从企业内部的CA机构颁发。这两种方案在传统意义上都是可行的,但是对于小型企业来说并不现实,因为小型企业不愿意每年花很多额外的钱购买第三方认证机构的证书,因此可以考虑在企业内部自己架设 CA服务器。
我们这里采取的是在IAS服务器和客户端上都需要安装证书,以完成双方的互相认证。客户端通过web从CA上下载证书,首先需要安装IIS。
在“windows组件向导”选择“应用程序服务器”,点击“详细信息”。
完成IIS服务安装。接下来安装证书服务。
在“windows组件向导”选择“证书服务”,点击“详细信息”。
相关推荐:
loading