Проверка подлинности в беспроводной сети с использованием протокола 802.1X

В этом разделе описывается защита беспроводной сети на основе спецификации протокола 802.1X на платформах Windows Server 2003 и Windows XP с пакетом обновления 1 (SP1). В нем приводится информация о настройке групп Active Directory, развертывании сертификатов X.509, изменении параметров серверов службы проверки подлинности в Интернете и реализации групповой политики беспроводной сети, а также даются некоторые рекомендации по конфигурированию точек доступа для поддержки реализации протокола 802.1X EAP-TLS, которая лежит в основе описываемого решения.

Подготовка среды к развертыванию защищенной беспроводной сети

После развертывания базовых инфраструктур сертификатов и RADIUS можно приступать к выполнению конкретных действий по настройке протокола 802.1X. Приведенные ниже таблицы предварительных настроек помогут собрать данные, которые понадобятся, чтобы приступить непосредственно к реализации решения. Некоторые из этих параметров задаются вручную, а другие — с помощью сценариев, прилагаемых к данному руководству.

Параметры конфигурации, задаваемые пользователем

В следующей таблице указаны специфичные для организации параметры, которые следует определить перед дальнейшим развертыванием защищенной беспроводной сети. Можете вписать фактические значения этих параметров в конкретной среде в пустые ячейки таблицы.

Таблица 17. Параметры, которые должны быть заданы пользователем

Параметр	Значение
DNS-имя корневого домена леса Active Directory
NetBIOS-имя домена
Имя основного сервера IAS
Имя дополнительного сервера IAS

Конфигурационные параметры, определяемые решением

Параметры, указанные в следующей таблице, не следует изменять без необходимости. Перед их изменением нужно полностью разобраться с последствиями этого и зависимостями, которые могут в результате возникнуть, включая необходимость внесения изменений в сценарии.

Таблица 18. Параметры конфигурации, определяемые решением

Параметр	Значение
Глобальная группа Active Directory, контролирующая развертывание сертификатов проверки подлинности пользователей стандарта 802.1X.	AutoEnroll Client Authentication — User Certificate
Глобальная группа Active Directory, контролирующая развертывание сертификатов проверки подлинности компьютеров стандарта 802.1X.	AutoEnroll Client Authentication — Computer Certificate
Глобальная группа Active Directory, содержащая сервер службы проверки подлинности в Интернете, который нуждается в сертификатах проверки подлинности по стандарту 802.1X.	AutoEnroll RAS and IAS Server Authentication Certificate
Глобальная группа Active Directory, содержащая пользователей, которым разрешен доступ к беспроводной сети.	Remote Access Policy — Wireless Users
Глобальная группа Active Directory, содержащая компьютеры, которым разрешен доступ к беспроводной сети.	Remote Access Policy — Wireless Computers
Универсальная группа Active Directory, содержащая группы Wireless Users и Wireless Computers.	Remote Access Policy — Wireless Access
Глобальная группа Active Directory, содержащая компьютеры, нуждающиеся в конфигурировании свойств беспроводной сети.	Wireless Network Policy — Computer
Шаблон сертификатов, используемый для создания сертификатов для проверки подлинности пользователей-клиентов.	Client Authentication — User
Шаблон сертификатов, используемый для создания сертификатов для проверки подлинности компьютеров-клиентов.	Client Authentication — Computer
Шаблон сертификатов, используемый для создания серверных сертификатов проверки подлинности для службы проверки подлинности в Интернете.	RAS and IAS Server Authentication
Путь к сценариям установки	C:\MSSScripts
Путь к файлам резервной копии конфигурации	D:\IASConfig
Путь к журналам проверки подлинности и учета службы проверки подлинности в Интернете	D:\IASLogs
Название политики	Allow Wireless Access
Имя объекта групповой политики Active Directory	Wireless Network Policy
Политика беспроводной сети в указанном выше объекте групповой политики	Client Computer Wireless Configuration