В этом разделе описывается защита беспроводной сети на основе спецификации протокола 802.1X на платформах Windows Server 2003 и Windows XP с пакетом обновления 1 (SP1). В нем приводится информация о настройке групп Active Directory, развертывании сертификатов X.509, изменении параметров серверов службы проверки подлинности в Интернете и реализации групповой политики беспроводной сети, а также даются некоторые рекомендации по конфигурированию точек доступа для поддержки реализации протокола 802.1X EAP-TLS, которая лежит в основе описываемого решения.
Подготовка среды к развертыванию защищенной беспроводной сети
После развертывания базовых инфраструктур сертификатов и RADIUS можно приступать к выполнению конкретных действий по настройке протокола 802.1X. Приведенные ниже таблицы предварительных настроек помогут собрать данные, которые понадобятся, чтобы приступить непосредственно к реализации решения. Некоторые из этих параметров задаются вручную, а другие — с помощью сценариев, прилагаемых к данному руководству.
Параметры конфигурации, задаваемые пользователем
В следующей таблице указаны специфичные для организации параметры, которые следует определить перед дальнейшим развертыванием защищенной беспроводной сети. Можете вписать фактические значения этих параметров в конкретной среде в пустые ячейки таблицы.
Таблица 17. Параметры, которые должны быть заданы пользователем
| Параметр
| Значение
|
| DNS-имя корневого домена леса Active Directory
|
|
| NetBIOS-имя домена
|
|
| Имя основного сервера IAS
|
|
| Имя дополнительного сервера IAS
|
|
Конфигурационные параметры, определяемые решением
Параметры, указанные в следующей таблице, не следует изменять без необходимости. Перед их изменением нужно полностью разобраться с последствиями этого и зависимостями, которые могут в результате возникнуть, включая необходимость внесения изменений в сценарии.
Таблица 18. Параметры конфигурации, определяемые решением
| Параметр
| Значение
|
| Глобальная группа Active Directory, контролирующая развертывание сертификатов проверки подлинности пользователей стандарта 802.1X.
| AutoEnroll Client Authentication — User Certificate
|
| Глобальная группа Active Directory, контролирующая развертывание сертификатов проверки подлинности компьютеров стандарта 802.1X.
| AutoEnroll Client Authentication — Computer Certificate
|
| Глобальная группа Active Directory, содержащая сервер службы проверки подлинности в Интернете, который нуждается в сертификатах проверки подлинности по стандарту 802.1X.
| AutoEnroll RAS and IAS Server Authentication Certificate
|
| Глобальная группа Active Directory, содержащая пользователей, которым разрешен доступ к беспроводной сети.
| Remote Access Policy — Wireless Users
|
| Глобальная группа Active Directory, содержащая компьютеры, которым разрешен доступ к беспроводной сети.
| Remote Access Policy — Wireless Computers
|
| Универсальная группа Active Directory, содержащая группы Wireless Users и Wireless Computers.
| Remote Access Policy — Wireless Access
|
| Глобальная группа Active Directory, содержащая компьютеры, нуждающиеся в конфигурировании свойств беспроводной сети.
| Wireless Network Policy — Computer
|
| Шаблон сертификатов, используемый для создания сертификатов для проверки подлинности пользователей-клиентов.
| Client Authentication — User
|
| Шаблон сертификатов, используемый для создания сертификатов для проверки подлинности компьютеров-клиентов.
| Client Authentication — Computer
|
| Шаблон сертификатов, используемый для создания серверных сертификатов проверки подлинности для службы проверки подлинности в Интернете.
| RAS and IAS Server Authentication
|
| Путь к сценариям установки
| C:\MSSScripts
|
| Путь к файлам резервной копии конфигурации
| D:\IASConfig
|
| Путь к журналам проверки подлинности и учета службы проверки подлинности в Интернете
| D:\IASLogs
|
| Название политики
| Allow Wireless Access
|
| Имя объекта групповой политики Active Directory
| Wireless Network Policy
|
| Политика беспроводной сети в указанном выше объекте групповой политики
| Client Computer Wireless Configuration
|
