利用windows server 2008 NPS实现8021X认证_第1页
利用windows server 2008 NPS实现8021X认证_第2页
利用windows server 2008 NPS实现8021X认证_第3页
利用windows server 2008 NPS实现8021X认证_第4页
利用windows server 2008 NPS实现8021X认证_第5页
已阅读5页,还剩38页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、利用windows server 2008 NPS实现802.1X认证目录1、Windows server 2008安装配置AD12、Windows server 2008安装配置CA183、Windows server 2008安装配置NPS组件273.1、安装NPS组件273.2、配置Radius客户端313.3、配置NAP策略334、802.1x认证过程384.1、PC证书安装384.2、交换机配置404.3、本地连接属性配置405、NPS支持IPv6411、Windows server 2008安装配置AD 活动目录(Active Directory)是面向Windows Standa

2、rd Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。Active Directory不能运行在Windows Web Server上,但是可以通过它对运行Windows Web Server的计算机进行管理。使得WINDOWS 2000以上服务器系统与Internet上的各项服务和协议更加联系紧密,因为它对目录的命名方式成功地与”域名“的命名方式一致,然后通过DNS进行解析,使得与在Internet上通过WINS解析取得一致的效果。下面将演示Windows server 2008活动目录安装与配置的安装方法。

3、登录Windows server 2008,开始-管理工具-服务器管理器-角色打开添加角色向导。选择“添加角色”出现如下图所示:在弹出的对话框中点击“下一步”:在弹出的对话框中选择“Active Directory 域服务”(如果有关联组件没有安装,会提示需要安装关联组件,选择“是”即可),点击下一步如图所示:在弹出的对话框中出现相关 Active Directory 域服务相关简介这里面会介绍安装及配置以及相关注意事项,点击下一步如图所示:点击“安装”,如图:安装成功之后,点击“关闭”。下面需要进行 Active Directory 域服务安装向导。点击开始-运行输入 “dcpromo”如图

4、所示:点击“确定”,如图所示:弹出一个对话框,选择“下一步”如图所示这里提示相关操作系统的兼容性,点击“下一步”如图所示:因为我们装的是第一台完整的域控制器,所以选择“在新林中新建域”,点击“下一步”如图所示:这里在目录林根级域的文本框中输入新的林根级完整的域名系统名称,我们这里输入本网站域名“ip-”的林的名称(本人使用的是的林的名称,所以后面配置NPS看到的是的域),点击“下一步”如图所示:这里显示正在检查整个网络中是否已经使用该林的名称: 检查完毕后,出现NETBIOS,点击下一步,如图所示: 这里出现“设置林功能级别”对话框,林功能有 Windows 2000、Windows serv

5、er 2003 、Windows server 2008 三个级别,默认林功能级别为 Windows 2003,这里我们选择Windows server 2003 (并不是选择越高越好), 点击“下一步”如图所示:这里出现“设置域功能级别”对话框,域功能有 Windows 2000、Windows server 2003 、Windows server 2008 三个级别,默认域功能级别为 Windows 2003,这里我们选择Windows server 2003 , 点击“下一步”如图所示:开始检查计算机上的DNS配置检查完毕后出现“其他域控制器选项”如下图所示:选择“DNS 服务器”(有

6、些系统没有出现这步,无影响 ),点击下一步如图所示:这里选择“是,该计算机将使用动态分配的IP地址” 点击后如图所示:弹出这个对话框,建议安装DNS,这样这个向导将自动创建DNS区域委派。无论DNS服务器服务是否与活动集成,都必须将其它安装在部署的活动目录林根域的第一个域控制器上,点“是”如图所示:这里出现,数据库、日志文件和SYSVOL的安装位置,这时可以修改其它安装的目录,点击“下一步”如图所示:弹出目录还原模式的管理员密码,这个密码将是会在删除域或当您的域出现问题需要还原的时候需要用到的,点“下一步”如图所示:这里显示这前所有的操作,检查无误后点“下一步”如图所示:这里正在配置相关信息等

7、待完成,如图所示:到这里配置就完成了,点击“完成”,如图所示:这里点击立即重新启动,等到服务器重启后,登录名就会出现“域名/administrator”,如本人创建的林是,登录出现WIN8AD/Administrator: 2、Windows server 2008安装配置CACA(证书颁发机构)为了保证网络上信息的传输安全,除了在通信中采用更强的加密算法等措施外,必须建立一种信任及信任验证机制,即通信各方必须有一个可以被验证的标识,这就需要使用数字证书,证书的主体可以是用户、计算机、服务等。证书可以用于多方面,例如Web用户身份验证、web服务器身份验证、安全电子邮件等。安装证书确保望上传递

8、信息的机密性、完整性、以及通信双方身份的真实性,从而保障网络应用的安全性。CA分为两大类,企业CA和独立CA;企业CA的主要特征如下:l 企业CA安装时需要AD(活动目录服务支持),即计算机在活动目录中才可以。l 当安装企业根时,对于域中的所用计算机,它都将会自动添加到受信任的根证书颁发机构的证书存储区域;l 必须是域管理员或对AD有写权限的管理员,才能安装企业根CA;独立CA主要以下特征:l CA安装时不需要AD(活动目录服务)。l 一般情况下,发送到独立CA的所有证书申请都被设置为挂起状态,需要管理员手动颁发。这完全出于安全性的考虑,因为证书申请者的凭证还没有被独立CA验证; 

9、   在简单介绍完CA的分类后,我们现在AD(活动目录)环境下安装证书服务,即安装企业证书,具体步骤如下:登录Windows server 2008,开始-管理工具-服务器管理器-角色打开添加角色向导。选择“添加角色”出现如下图所示,点击“下一步”:在弹出的对话框中选择“Active Directory 证书服务”(如果有关联组件没有安装,会提示需要安装关联组件,选择“是”即可),点击下一步如图所示:在选择角色服务中选择证书颁发机构和证书颁发机构Web注册;在指定安装类型中选择”企业”,点击下一步;在“指定CA类型”中选择“根CA”, 点击下一步;在设置私钥窗口中选择“新建

10、私钥”, 点击下一步;在配置加密窗口,使用默认的加密服务程序、哈希算法和密钥长度,点击“下一步”;接下来需要配置CA的名称(没有截图,借用2003的一张截图,类似)因为在同一台Server上,所以在CA的公用名称里默认名称是与域名计算名相关的公用名称,我们改为简单点的,输入“ROOT CA”,可分辨名称后缀包含CN=ROOT CA, DC=WIN8AD, DC=COM三项,是自动生成的,没有自动生成就自己加一下。单击“下一步”到确认安装;安装完成后,从管理工具中可以看到“证书颁发机构”,打开证书颁发机构管理器,管理证书的颁发;也可以从服务器管理器的列表中看到:CA装完之后,就会给AD域服务器颁

11、发证书,也会给本机颁发计算机证书,如果没有可以自己去申请,在运行里输入mmc-文件-添加/删除管理单元-证书(双击)-计算机账户:如下图所示,多了本地计算机证书:确定之后,控制台根节点多了本地计算机证书列表,点击个人-证书(右击)-所有任务-申请新证书,如下图所示:就可以为本机申请一个计算机证书,申请完如下图所示,本地计算机就有两个证书,一个是ROOT CA颁发给ROOT CA的证书,一个是ROOT CA颁发给计算机的证书:证书安装到此完成。3、Windows server 2008安装配置NPS组件3.1、安装NPS组件登录Windows server 2008,开始-管理工具-服务器管理器

12、-角色-打开添加角色向导:选择“添加角色”出现如下图所示:选择“网络策略和访问服务”角色,点击下一步:服务简介,点击下一步:选择“网络策略服务器”和“健康注册机构”和“主机凭据授权协议”三项, 点击下一步:在选择合适的证书机构来作为健康注册机构时,选择刚才安装的CA服务器,通过点击右边的选择按钮就会弹出刚才安装的CA服务器,选择并确定即可。 点击下一步:选择使用加密,即第一项,点击下一步:在这之前,需要为服务器申请一个计算机证书,用以SSL加密,在刚才安装CA服务器的时候,我们已经为本机申请了计算机证书,即ROOT CA颁发给的证书。因此,在这个选择加密的服务器认证证书时,选择第一项

13、“选择一个已经存在的证书来为SSL加密”,然后点击右边的“导入”,弹出刚才安装的两个证书,一个是ROOT CA颁发给ROOT CA的证书,另一个是ROOT CA颁发给的证书,选择后者导入。点击下一步,后续可能需要安装一些关联组件,选择是即可,确认信息无误后一直点击下一步直到安装成功即可。3.2、配置Radius客户端登录Windows server 2008,开始-管理工具-服务器管理器-网络策略和访问服务-配置Radius客户端:弹出Radius客户端列表,如果还没有配置Radius客户端的话,列表为空(下面是已经配置一个客户端SW了),选择“新建”:弹出新建RADIUS客户端选项框,在这里

14、输入RADIUS客户端(即NAS)的名称、地址(IP)、手动共享机密内容,在高级选项里还可以选择是否是NAP(这个貌似关系不大)。点击确定就配置好了。3.3、配置NAP策略登录Windows server 2008,开始-管理工具-服务器管理器-网络策略和访问服务-NPS-配置NAP:网络连接方法选择IEEE 802.1x有线:确定后,会自动生成策略的名称:一般默认即可,点击下一步:在指定NAS时,可以看到我们刚才添加的Radius客户端,也可以在这里添加点击下一步:配置用户组和计算机组,不管,不用添加,点击下一步:配置身份验证办法,默认只勾选第一项,我们把第二项也勾选,后面认证的时候有三种身

15、份验证方式,一是智能卡或其它证书,二是PEAP-智能卡或其它证书,三是PEAP-MSCHAPv2。点击下一步:配置流量控制没管没配置,可以配置相关属性,比如划分认证通过的网络的VLAN ID等,点击下一步:都是默认,没改:算是配置完了。4、802.1x认证过程4.1、PC证书安装首先要先为PC(如WIN7系统)向CA服务器申请证书并安装,在网页浏览器中输入:http:/IP_of_CA/certsrv因为CA服务器也安装在windows 2008上,所以IP_of_CA就是windows 2008的IP地址,点击“申请证书”:根据实际情况选择“用户证书”还是“高级证书”,这里选择“用户证书”即

16、可:“提交”申请:提交完之后,等待CA服务器颁发证书。等待时间与CA服务器的设置有关,如果CA服务器需要手动去响应证书请求,则会PC端会跳出已经提交请求请等待的页面,如果CA服务器设置成自动响应证书请求,则会立即颁发证书给请求者,如下图所示,PC直接收到CA服务器颁发的证书,点击“安装此证书”:证书安装完成。4.2、交换机配置不同厂商的交换机配置都是大同小异,可以根据自己使用的交换机进行相应的配置,认证radius服务器IP就是windows 2008的IP地址。4.3、本地连接属性配置打开“本地连接属性”,进入“身份验证”,如果没有“身份验证”这一项,打开“服务”,启动“Wired AutoConfig”服务。在“本地连接属性”里打勾“启用IEEE 802.1X身份认证”,网络身份验证方法选择“智能卡或其它证书”或其它方式。进入右边的“设置”,可以选择是否验证服务器证书。确定后网络连接断开,

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论