无线网络概述3

作为 RADIUS 服务器的 IAS

IAS 可用作 RADIUS 服务器，为 RADIUS 客户端执行身份验证、授权和记帐。RADIUS 客户端可以是一个访问服务器，也可以是 RADIUS 代理。图 16 显示了作为 RADIUS 服务器的 IAS。

 

图 16 作为 RADIUS 服务器的 IAS
查看大图

当 IAS 作为 RADIUS 服务器使用时，它可以提供以下功能：

•

为 RADIUS 客户端发送的所有访问请求提供集中身份验证和授权服务 IAS 使用 Windows NT Server 4.0 域、基于 Active Directory 的域或本地安全帐户管理器 (SAM) 来验证连接尝试的用户凭据。IAS 使用用户帐户的拨入属性和远程访问策略对连接进行授权。

•

为 RADIUS 客户端发送的所有记帐请求提供集中计帐服务 记帐请求存储在本地日志文件中以供分析。

在以下情况下可以将 IAS 用作 RADIUS 服务器：

•

使用 Windows NT Server 4.0 域、基于 Active Directory 的域或本地安全帐户管理器 (SAM) 作为访问客户端的用户帐户数据库。 

•

在多个拨号服务器、VPN 服务器或请求拨号路由器上使用 Windows 2000 路由和远程访问服务，并且想集中配置远程访问策略和连接登录以便于计帐。 

•

将您的拨号访问、VPN 访问或无线访问外包给服务提供商。访问服务器使用 RADIUS 验证和授权由您组织的成员进行的连接。 

•

希望对一组不同种类的访问服务器集中进行身份验证、授权和记帐。 

作为 RADIUS 代理的 IAS

Internet 验证服务 (IAS) 可以用作 RADIUS 代理，以便路由 RADIUS 客户端（访问服务器）和 RADIUS 服务器（对连接尝试执行用户身份验证、授权和记帐）之间的 RADIUS 消息。当作为 RADIUS 代理使用时，IAS 是 RADIUS 访问和记帐消息传递时通过的中央交换点或路由点。IAS 在记帐日志中记录有关被转发消息的信息。

图 17 显示了 IAS 作为 RADIUS 客户端（访问服务器）与 RADIUS 服务器或其他 RADIUS 代理之间的 RADIUS 代理。

图 17 作为 RADIUS 代理的 IAS
查看大图

在以下情况下可以将 IAS 用作 RADIUS 代理：

•

您是一个服务提供商，向多个客户提供外包拨号、虚拟专用网络 (VPN) 或无线网络访问服务。 

•

您想为以下用户帐户提供身份验证和授权：它既不是 IAS 服务器所属域的成员，也不是与 IAS 服务器所属域具有双向信任关系的域的成员。 

•

您想使用 Windows 帐户数据库之外的数据库执行身份验证和授权。

•

您想处理大量的连接请求。IAS RADIUS 代理可以动态平衡多个 RADIUS 服务器之间的连接和记帐请求的负载，并且每秒可以处理更多的 RADIUS 客户端和身份验证。 

•

您想为外包服务提供商提供 RADIUS 身份验证和授权，并最大限度地减少内部网的防火墙配置。 

有关将 IAS 用作 RADIUS 代理的更多信息，请参见“Windows Server 2003 帮助和支持”。

远程访问策略

对于 Windows 2000 Server 和 Windows Server 2003 中的 IAS，网络访问是根据用户帐户的拨入属性和远程访问进行授权的。远程访问策略是一组按顺序排列的规则，定义授权或拒绝连接的方式。对于每个规则，都有一个或多个条件，一组配置文件设置和远程访问权限设置。

如果授权某个连接，远程访问策略配置文件将指定一组连接限制。用户帐户的拨入属性也提供一组限制。如果适用，用户帐户连接限制将覆盖远程访问策略配置文件的连接限制。

远程访问策略的条件和限制

远程访问策略在授权连接之前要验证许多连接设置，其中包括：

•

组成员身份 

•

连接类型 

•

时间 

高级条件包括： 

•

访问服务器的身份 

•

访问客户端电话号码或 MAC 地址 

•

是否允许未经身份验证的访问 

在授权连接后，还可以使用远程访问策略来指定以下连接限制：

•

空闲超时时间 

•

最长会话时间 

•

加密强度 

•

身份验证方法

•

IP 数据包筛选器 

•

高级限制： 

•

PPP 连接的 IP 地址 

•

静态路由 

 

此外，您也可以根据以下设置更改连接限制：

•

组成员身份 

•

连接类型 

•

时间 

•

身份验证方法 

•

访问服务器的身份 

•

访问客户端电话号码或 MAC 地址 

•

是否允许未经身份验证的访问 

例如，您可以使用为不同类型的连接或组指定不同的最长会话时间的策略。此外，还可以为业务合作伙伴或未经身份验证的连接指定受限制的访问。

用户帐户或计算机帐户的拨入属性

在 Windows 2000 和 Windows Server 2003 中，基于 Active Directory 的服务器的用户帐户和计算机帐户包含一组拨入属性，这些属性用于允许或拒绝某个连接尝试。在基于 Active Directory 的服务器上，您可以在“Active Directory 用户和计算机”管理单元中的“拨入”选项卡上为用户帐户和计算机帐户设置拨入属性。图 18 显示了“拨入”选项卡。

 

 

用户帐户和计算机帐户的拨入属性有：

•

远程访问权限(拨入或 VPN) 

您可以使用此属性将远程访问权限设置为明确允许、拒绝或通过远程访问策略确定。在所有情况下，远程访问策略都还用于授权连接尝试。如果访问被明确允许，远程访问策略条件、用户帐户属性或配置文件属性仍可以拒绝连接尝试。“通过远程访问策略控制访问”选项仅在本机模式域中的用户帐户和计算机帐户上可用。

为本机模式域创建的新帐户被设置为“通过远程访问策略控制访问”。在混合模式域中创建的新帐户被设置为“拒绝访问”。

•

验证呼叫方 ID 

如果启用此属性，服务器将验证呼叫方的电话号码。如果呼叫方的电话号码与配置的电话号码不匹配，连接尝试将被拒绝。

呼叫方、呼叫方和远程访问服务器之间的电话系统以及远程访问服务器必须支持呼叫方 ID。在运行路由和远程访问服务的计算机上，呼叫方 ID 支持包括呼叫应答设备（提供呼叫方 ID 信息）和适当的驱动程序（用于将呼叫方 ID 信息传递到路由和远程访问服务）。

如果为用户配置了呼叫方 ID 电话号码，但不支持将呼叫方 ID 信息从呼叫方传递到路由和远程访问服务，则连接尝试将会被拒绝。

•

回拨选项 

如果启用此属性，在连接过程中服务器将回叫呼叫方。服务器使用的电话号码由呼叫方或网络管理员设置。

•

分配静态 IP 地址 

在建立连接时，您可以使用此属性向用户分配一个特定的 IP 地址。

•

应用静态路由 

在建立连接时，您可以使用此属性定义一系列静态 IP 路由，这些路由会被添加到运行路由和远程访问服务的服务器的路由表中。此设置是针对 Windows 2000 路由器用于请求拨号路由的用户帐户设计的。

注意 仅当域控制器上安装了 Windows 2000 Service Pack 3 或更高版本后，Windows 2000 域中的计算机帐户的拨入属性才可用。

授权管理模型

使用远程访问策略进行授权的方式有两种：

1.

按用户 

2.

按组 

按用户授权

如果按用户管理授权，应将用户帐户或计算机帐户的远程访问权限设置为“允许访问”或“拒绝访问”，也可以根据不同连接类型创建不同的远程访问策略。例如，您可能希望将一个远程访问策略用于拨号连接，将另一个远程访问策略用于无线连接。建议您仅在管理少量用户帐户或计算机帐户时才按用户管理授权。

如果按用户管理授权，则授权连接尝试的基本过程如下：

1.

如果连接尝试与所有策略条件都匹配，则检查帐户的远程访问权限设置。 

2.

如果远程访问权限设置为“允许访问”，则应用策略配置文件和用户帐户的连接设置。 

3.

如果远程访问权限设置为“拒绝访问”，则拒绝连接尝试。 

4.

如果连接尝试不与所有策略条件都匹配，则处理下一个远程访问策略。 

5.

如果连接尝试不与任何远程访问策略的所有条件相匹配，则拒绝连接尝试。

按组授权

如果按组管理授权，应将帐户的远程访问权限设置为“通过远程访问策略控制访问”，并创建基于不同连接类型和组成员身份的远程访问策略。例如，您可能希望将一个远程访问策略用于雇员（“雇员”组的成员）的拨号连接，将另一个远程访问策略用于承包商（“承包商”组的成员）的拨号连接。

如果按组管理授权，则授权连接尝试的基本过程如下：

1.

如果连接尝试与所有策略条件都匹配，则检查远程访问策略的远程访问权限。 

2.

如果远程访问权限设置为“授予远程访问权限”，则应用策略配置文件和用户帐户的连接设置。 

3.

如果远程访问权限设置为“拒绝远程访问权限”，则拒绝连接尝试。 

4.

如果连接尝试不与所有策略条件都匹配，则处理下一个远程访问策略。 

5.

如果连接尝试不与任何远程访问策略的所有条件相匹配，则拒绝连接尝试。

注意 “通过远程访问策略控制访问”远程访问权限设置仅适用于本机模式域的帐户。

 

返回页首

证书

这一部分介绍以下主题：

•

不建议将远程访问权限设置为“通过远程访问策略控制访问”而不使用组来管理网络访问。 

•

计算机身份验证和用户身份验证 

•

获取 IEEE 802.1X 身份验证的证书 

•

组策略和 IEEE 802.1X 身份验证

计算机身份验证和用户身份验证

为了成功地通过无线 AP 对 Windows 无线计算机进行身份验证，您必须安装计算机证书、用户证书或者两者都安装。运行 Windows XP、Windows Server 2003 和 Windows 2000 的无线客户端可以使用 EAP-TLS 验证计算机或登录到计算机上的用户。 

为了对计算机进行身份验证，Windows 无线计算机在 EAP-TLS 身份验证期间会提交一份存储在“本地计算机”证书存储区中的计算机证书（连同证书链）。“本地计算机”证书存储区始终可用，不管是否有用户登录到计算机，也不管是谁登录到了计算机。更为重要的是，“本地计算机”证书存储区在计算机的启动过程中即已经可用。

为了对登录到计算机的用户进行身份验证，Windows 无线计算机在 EAP-TLS 身份验证期间会提交一份存储在“当前用户”证书存储区中的用户证书。用户的证书存储区只有在用户使用适当的凭据成功登录到计算机之后才可用。登录到计算机的各个用户都有各自的用户证书存储区。用户证书在启动过程中不可用。

如果没有安装计算机证书，在无线 AP 范围之内启动的 Windows 无线客户端计算机将与它进行关联，但身份验证将会失败。用户可以使用缓存的凭据登录到没有无线局域网连接的计算机。一旦成功登录，用户的证书存储区就可以使用，接下来使用安装的用户证书与无线 AP 进行的身份验证将会成功。 

以下注册表设置控制 Windows XP 和 Windows Server 2003 中的计算机和用户身份验证行为：

AuthMode

Key: HKEY_LOCAL_MACHINE/Software/Microsoft/EAPOL/Parameters/General/Global 

Value Type: REG_DWORD 

Valid Range: 0-2 

Default value: 0 

Present by default: No

值： 

•

0 - 计算机身份验证模式 如果计算机身份验证成功，则不尝试用户身份验证。如果在计算机身份验证之前用户登录成功，则执行用户身份验证。这是没有安装 Service Pack 的 Windows XP 的默认设置。

•

1 - 计算机身份验证和重新身份验证 如果计算机身份验证成功完成，随后的用户登录会导致使用用户证书重新进行身份验证。用户登录必须在 60 秒内完成，否则现有的网络连接将会终止。用户证书用于随后的身份验证或重新身份验证。在用户从计算机上注销之前，不会再次尝试进行计算机身份验证。这是 Windows XP SP1、Windows XP SP2 和 Windows Server 2003 的默认设置。

•

2 - 仅计算机身份验证 当用户登录时，不会对连接造成影响。仅使用计算机证书执行 802.1X 身份验证。

此行为的例外情况是，如果用户成功登录，然后在无线 AP 之间进行漫游，则会执行用户身份验证。

要使对此设置的更改生效，请重新启动 Windows XP 的 Wireless Zero Configuration 服务和 Windows Server 2003 的 Wireless Configuration 服务。

获取 IEEE 802.1X 身份验证的证书

可以使用以下方法获取 Windows 无线客户端和 IAS 服务器计算机的证书：

•

自动注册

•

通过 Web 申请证书

•

使用“证书”管理单元申请证书

•

使用“证书”管理单元导入证书

•

使用 CAPICOM 创建程序或脚本

自动注册

自动注册是指根据组策略自动申请和颁发证书。自动注册有两种类型：

计算机证书的自动注册通过“计算机配置”组策略完成。通过配置“自动证书申请设置”组策略设置（在“计算机配置/Windows 设置/安全设置/公钥策略”下），您可以让为其配置这些设置的域系统容器的成员计算机在“计算机”组策略设置刷新时自动申请特定类型的证书。

对于无线客户端访问和 IAS 服务器，可配置“自动证书申请设置”组策略设置来自动申请“计算机”证书。“计算机”证书（在自动证书申请设置向导的“证书模板”对话框中命名）存储在成员计算机的“本地计算机”证书存储区，并包含“用户身份验证”和“服务器身份验证”两个证书目的。证书目的又称增强型密钥用法 (EKU)。EKU 是使用对象标识符 (OID) 来标识的。服务器身份验证的 OID 是“1.3.6.1.5.5.7.3.1”，客户端身份验证的 OID 是“1.3.6.1.5.5.7.3.2”。 

Windows 中的 EAP-TLS 要求身份验证客户端提供的用于验证的证书包含“客户端身份验证”证书目的，身份验证服务器提供的用于验证的证书包含“服务器身份验证”证书目的。如果不能同时满足这两个条件，身份验证将会失败。

因为自动注册的“计算机”证书同时包含“客户端身份验证”和“服务器身份验证”两个证书目的，所以它既可以由 Windows 无线客户端用来执行计算机身份验证，又可以由 IAS 服务器用作身份验证服务器。

用户证书的自动注册通过“用户配置”组策略完成。通过配置“自动注册设置”组策略设置（在“用户配置/Windows 设置/安全设置/公钥策略”下），您可以让为其配置这些设置的域系统容器的成员用户在“用户”组策略设置刷新时自动申请特定类型的证书。

对于无线客户端访问，可配置“自动注册设置”组策略设置以自动申请使用“证书模板”管理单元创建的用户证书模板。有关为 Windows Server 2003 Enterprise Edition CA 的用户证书配置证书模板和自动注册的更多信息，请参见“Windows Server 2003 帮助和支持”中“清单：配置证书自动注册”主题。

通过 Web 申请证书

通过 Web 申请证书又称 Web 注册，它通过 Internet Explorer 完成。对于地址，请键入 http://服务器名/certsrv，其中服务器名 是 Windows 2000 CA 的计算机名。一个基于 Web 的向导将引导您完成申请证书的步骤。请注意，证书的存储位置（“当前用户”存储区或“本地计算机”存储区）由执行高级证书申请时是否选中“使用本地机器保存”复选框决定。默认情况下该选项被禁用，证书将存储在“当前用户”存储区。您必须具有本地管理员特权才能将证书存储在“本地计算机”存储区。

使用“证书”管理单元申请证书

申请证书的另一方法是使用“证书”管理单元。要申请一个证书以将其存储在“当前用户”存储区，请打开“证书-当前用户/个人/证书”文件夹，右键单击“证书”文件夹，指向“所有任务”，然后单击“申请新证书”。证书申请向导将引导您完成申请证书的步骤。对于无线访问，为“当前用户”存储区申请的证书必须具有“客户端身份验证”证书目的。

要申请一个证书以将其存储在“本地计算机”存储区，请打开“证书(本地计算机)/个人/证书”文件夹，右键单击“证书”文件夹，指向“所有任务”，然后单击“申请新证书”。证书申请向导将引导您完成申请证书的步骤。对于无线访问，为“本地计算机”存储区申请的证书必须具有“客户端身份验证”证书目的。对于 IAS 服务器的证书，为“本地计算机”存储区申请的证书必须具有“服务器身份验证”证书目的。

使用“证书”管理单元导入证书

上述所有证书申请方法均假定已存在网络连接，例如使用便携式计算机的以太网端口。对于那些只有无线网络连接的配置（如果没有证书就无法获得无线连接），您也可使用“证书”管理单元从软盘、光盘或其他可写式介质导入证书文件。

要导入一个证书以将其存储在“当前用户”存储区，请打开“证书-当前用户/个人/证书”文件夹，右键单击“证书”文件夹，指向“所有任务”，然后单击“导入”。证书导入向导将引导您完成从证书文件导入证书的步骤。对于无线访问，导入“当前用户”存储区的证书必须具有“客户端身份验证”证书目的。

要导入一个证书以将其存储在“本地计算机”存储区，请打开“证书(本地计算机)/个人/证书”文件夹，右键单击“证书”文件夹，指向“所有任务”，然后单击“导入”。证书导入向导将引导您完成从证书文件导入证书的步骤。对于无线访问，导入“本地计算机”存储区的证书必须具有“客户端身份验证”证书目的。对于 IAS 服务器的证书，导入“本地计算机”存储区的证书必须具有“服务器身份验证”证书目的。

如果使用 PEAP-MS-CHAP v2，则可能必须安装颁发您的 IAS 服务器上安装的计算机证书的 CA 的根 CA 证书。要获得根 CA 证书，请首先将 IAS 服务器上的“证书(本地计算机)/受信任的根证书颁发机构/证书”文件夹中的根 CA 证书导出到一个文件 (*.P7B) 中。然后，将该根 CA 证书文件导入无线客户端上的“证书(本地计算机)/受信任的根证书颁发机构/证书”文件夹中。

注意 也可以通过双击文件夹中存储的或在电子邮件中发送的证书文件来导入证书。这种方法对使用 Windows CA 创建的证书可行，但对第三方 CA 却不起作用。导入证书的推荐方法是使用“证书”管理单元。

使用 CAPICOM 创建程序或脚本

使用 Web 注册或“证书”管理单元申请证书需要用户干预。要自动执行证书分发过程，网络管理员可以使用 CAPICOM 编写一个可执行程序或脚本。CAPICOM 是一个支持自动操作的 COM 客户端，它能够使用 Microsoft® ActiveX® 和 COM 对象执行加密函数 (CryptoAPI)。

CAPICOM 接口可用于执行基本的加密任务，其中包括：对数据进行签名、验证签名、封装消息、解密封装的消息、加密数据、解密数据以及检查数字证书的有效性。可以通过 Visual Basic®、Visual Basic Scripting Edition 和 C++ 来使用 CAPICOM。

要执行用户和计算机证书的企业部署，可以通过电子邮件分发 CAPICOM 程序或脚本，也可以将用户指向包含 CAPICOM 程序或脚本链接的 Web 站点。或者，也可以将 CAPICOM 程序或脚本放在用户的登录脚本文件中以自动执行。用户或计算机证书的存储位置可以使用 CAPICOM API 指定。

有关 CAPICOM 的信息，请在 http://msdn.microsoft.com 上搜索“CAPICOM”。

组策略和基于 EAP-TLS 的 IEEE 802.1X 身份验证

组策略设置定义了需要由系统管理员管理的用户桌面环境中的各种组件；例如，用户可以使用的程序、出现在用户桌面上的程序，以及“开始”菜单选项。您指定的组策略设置包含在一个组策略对象中，该组策略对象又与选定的 Active Directory 容器对象站点、域或者组织单元关联。组策略包括将影响用户的“用户配置”的设置，以及将影响计算机的“计算机配置”设置。 

IEEE 802.1X 和“计算机配置”组策略

当计算机启动，获得网络连接，并找到域控制器时，就会对“计算机配置”组策略进行更新。计算机将基于它在域系统容器中的成员资格来尝试下载最新的“计算机配置”组策略。

如果一个配置为使用 EAP-TLS 身份验证的 Windows 无线客户端没有安装计算机证书，那么它就不能通过无线 AP 的身份验证，因而也就无法获取无线局域网连接。因此，查找域控制器并下载最新的“计算机配置”组策略的尝试也就会失败。这一事件将记录在事件日志中。 

解决这一问题的办法是在 Windows 无线客户端上安装一个计算机证书，这样在定位域控制器和下载“计算机配置”组策略期间就会具有无线局域网连接。

IEEE 802.1X 和“用户配置”组策略

当一个用户提供正确的凭据并登录到域时，将会对“用户配置”组策略进行更新。如果没有安装计算机证书（并且该计算机在无线 AP 上也没有通过身份验证），那么登录就使用缓存的凭据来进行。该用户的证书存储区中的用户证书可用之后，配置为使用 EAP-TLS 的 Windows 无线客户端就会尝试向无线 AP 进行身份验证。根据无线身份验证所花的时间长短情况，“用户配置”组策略的下载也可能会失败。这一事件将记录在事件日志中。 

解决这一问题的办法是在 Windows 无线客户端上安装一个计算机证书。安装了计算机证书之后，Windows 无线客户端就会在整个登录过程中具有无线局域网连接，因此应该总是能够下载最新的“用户配置”组策略。

注意 使用 PEAP-MS-CHAP v2 进行的计算机身份验证是通过使用与该计算机的帐户关联的帐户名和密码完成的，该帐户名和密码是在创建计算机帐户时自动分配的。计算机身份验证的凭据始终可用，并在计算机启动过程中用来获取对无线网络的访问。使用 PEAP-MS-CHAP v2 进行的用户身份验证是通过使用与计算机的用户关联的帐户名和密码完成的。默认情况下，用户的登录凭据（用户名和密码）在客户端成功登录到计算机上后自动用于执行用户身份验证。可以从 MS-CHAP v2 PEAP 类型的属性中配置自动使用用户登录凭据。