本文描述如何创建一个用于身份验证、授权和记帐的基础结构,以便使用 Windows 无线客户端来建立到组织的安全无线连接。 这是使用如下技术的组织的典型配置:
运行 Windows 的无线客户端计算机。
Windows XP 和 Windows Server 2003 具有对 Wi-Fi (IEEE 802.11b) 无线访问和使用可扩展身份验证协议 (EAP) 的 IEEE 802.1X 身份验证的内置支持。 当安装了 windows 2000 Service Pack 4 (SP4) 或 Windows 2000 Service Pack 3 (SP3) 和 Microsoft 802.1X Authentication Client 后,Windows 2000 支持 IEEE 802.1X 身份验证 (推荐安装 Windows 2000 SP4 )。
您可以使用 Windows Server 2003 或 Windows 2000 Server IAS。 运行 Windows 2000 的 IAS 服务器必须安装 SP4 或 带 Microsoft 802.1X Authentication Client 的 SP3(推荐安装 Windows 2000 SP4)。 IAS 没有包括在 Windows Server 2003 Web Edition 中。
Active Directory 域包含每个 IAS 服务器验证凭据和评价授权所必需的用户帐户、计算机帐户和拨入属性。 虽然不是必需的,但是为了同时优化 IAS 身份验证和授权响应时间以及最小化网络流量,IAS 应该安装在 Active Directory 域控制器上。 您可以使用 Windows Server 2003 或 Windows 2000 Server 域控制器。 Windows 2000 域控制器必须安装 SP3 或 SP4。
PEAP-MS-CHAP v2 是用于无线连接的基于密码的安全身份验证方法。 取决于 IAS 服务器计算机证书的颁发者,您可能还必须在每个无线客户端上安装根 CA 证书。
无线远程访问策略。
远程访问策略是为无线连接配置的,以便雇员能够访问组织的 intranet。
多个无线 AP。
多个第三方无线 AP 在企业的不同建筑物中提供无线访问。 这些无线 AP 必须支持 IEEE 802.1X、RADIUS和有线对等保密 (WEP)。
图 1 显示了一个典型的企业无线配置。
图 1 企业无线配置
有关安全无线身份验证的技术、组件和过程的背景信息,请参见文章“Windows XP Wireless Deployment Technology and Component Overview”,地址为: http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wificomp.mspx.
精品推荐
