Distribuzione basata su Password accesso autenticato 802.1 X Wireless
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Si tratta di una guida complementare alla Guida alla rete core di Windows Server® 2016. Nella guida di Introduzione alle funzionalità di base delle reti sono disponibili istruzioni per la pianificazione e la distribuzione di una rete completamente funzionante e di un nuovo dominio di Active Directory® in una nuova foresta.
Questa guida illustra come partire da una rete core per eseguire altre operazioni, fornendo istruzioni per la distribuzione dell'accesso wireless IEEE 802.11 con autenticazione IEEE (Institute of Electrical and Electronics Engineers) 802.1X usando PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol - Microsoft Challenge Handshake Authentication Protocol versione 2).
Poiché PEAP-MS-CHAP v2 richiede che gli utenti forniscano credenziali basate su password anziché un certificato durante il processo di autenticazione, è in genere più semplice e meno costoso distribuire rispetto a EAP-TLS o PEAP-TLS.
Nota
In questa guida, IEEE 802.1X Accesso Wireless autenticato con PEAP-MS-CHAP v2 è abbreviato in “accesso wireless” e “accesso Wi-Fi.”
Informazioni sulla guida
Questa Guida, in combinazione con le guide dei prerequisiti descritti di seguito, vengono fornite istruzioni su come distribuire l'infrastruttura di accesso Wi-Fi seguente.
Uno o più punti di accesso wireless 802.11 che supportano 802.1X
Servizi di dominio Active Directory (AD DS) utenti e computer.
Gestione Criteri di gruppo
Uno o più Server dei criteri di rete (NPS).
Certificati del server per i computer che eseguono Server dei criteri di rete.
Computer client wireless che eseguono Windows® 10, Windows 8.1 o Windows 8.
Dipendenze per questa Guida
Per distribuire correttamente wireless autenticato con questa Guida, è necessario disporre di un ambiente di rete e di dominio con tutte le tecnologie necessarie distribuite. È anche necessario che i certificati server siano distribuiti nei server dei criteri di rete di autenticazione.
Nelle sezioni seguenti vengono forniscono collegamenti alla documentazione che illustra come distribuire queste tecnologie.
Dipendenze di ambiente di rete e di dominio
Questa guida è progettata per gli amministratori di rete e di sistema che hanno seguito le istruzioni riportate in Windows Server 2016 Core Network Guide per distribuire una rete core o per coloro che in precedenza hanno distribuito le tecnologie di base incluse nella rete principale, tra cui Servizi di dominio Active Directory, Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP), TCP/IP, NPS e Windows Internet Name Service (WINS).
Windows Server 2016 Guida alla rete Core è disponibile nella libreria tecnica di Windows Server 2016.
Dipendenze del certificato server
Sono disponibili due opzioni per la registrazione di server di autenticazione con certificati server da usare con l'autenticazione 802.1X: distribuire la propria infrastruttura a chiave pubblica usando Servizi certificati Active Directory o usare i certificati server registrati da un'autorità di certificazione pubblica (CA).
SERVIZI CERTIFICATI ACTIVE DIRECTORY
Gli amministratori di rete e di sistema la distribuzione wireless autenticato devono seguire le istruzioni di Windows Server 2016 Core guida complementare alla rete, distribuire certificati Server per le distribuzioni Wireless e cablate 802.1 X. In questa guida viene illustrato come distribuire e utilizzare Servizi certificati Active Directory per registrare automaticamente i certificati server nei computer dei criteri di rete.
In questa guida è disponibile nel percorso seguente.
- La Guida complementare alla Core rete di Windows Server 2016 distribuire certificati Server per le distribuzioni Wireless e cablate 802.1 X in formato HTML nella raccolta di documentazione tecnica.
CA pubblica
È possibile acquistare i certificati del server da una CA pubblica, ad esempio VeriSign, che i computer client attendibile.
Un computer client considera attendibile un'autorità di certificazione quando viene installato il certificato della CA nell'archivio certificati Autorità di certificazione radice attendibili. Per impostazione predefinita, i computer che eseguono Windows dispongono di più certificati CA pubblici installati nell'archivio certificati Autorità di certificazione radice attendibili.
È consigliabile vedere le guide alla progettazione e alla distribuzione per ognuna delle tecnologie usate in questo scenario di distribuzione. Queste guide consentono di determinare se questo scenario di distribuzione fornisce la configurazione e i servizi necessari per la rete dell'organizzazione.
Requisiti
Di seguito sono riportati i requisiti per la distribuzione di un'infrastruttura di accesso wireless usando lo scenario documentato in questa guida:
Prima di distribuire questo scenario, è necessario acquistare i punti di accesso wireless con supporto per 802.1X per fornire copertura wireless nelle posizioni desiderate nel sito. La sezione pianificazione di questa Guida consente di determinare le funzionalità che dei punti di accesso deve supportare.
Servizi di dominio Active Directory (AD DS) è installato, come altre tecnologie di rete necessarie, seguendo le istruzioni contenute nella Guida alla rete di Windows Server 2016 Core.
Viene distribuito Servizi certificati Active Directory e i certificati server vengono registrati nei server dei criteri di rete. Questi certificati sono necessari quando si distribuisce il metodo di autenticazione basato su certificato PEAP-MS-CHAP v2 usato in questa guida.
Un membro dell'organizzazione abbia familiarità con gli standard IEEE 802.11 supportati da punti di accesso wireless e le schede di rete wireless che vengono installate nei computer client e dispositivi nella rete. Ad esempio, un utente dell'organizzazione ha familiarità con i tipi di frequenza radio, l'autenticazione wireless 802.11 (WPA2 o WPA) e le crittografie (AES o TKIP).
Informazioni non contenute in questa guida
Di seguito sono riportati alcuni elementi che questa guida non fornisce:
Linee guida complete per la selezione di punti di accesso wireless con supporto per 802.1X
Poiché esistono molte differenze tra i marchi e i modelli di 802.1 IP wireless con supporto per 802,1X, questa guida non fornisce informazioni dettagliate su:
Determinare il marchio o il modello di AP wireless più adatto alle proprie esigenze.
Distribuzione fisica di punti di accesso wireless nella rete.
Configurazione avanzata delle API wireless, ad esempio per reti locali virtuali wireless (VLAN).
Istruzioni su come configurare attributi specifici del fornitore di API wireless in Server dei criteri di rete.
Inoltre, terminologia e i nomi delle impostazioni variano tra i modelli e i marchi AP senza fili e potrebbero non corrispondere i nomi delle impostazioni generiche che vengono utilizzati in questa Guida. Per informazioni dettagliate sulla configurazione dell'API wireless, è necessario esaminare la documentazione del prodotto fornita dal produttore dei punti di accesso wireless.
Istruzioni per la distribuzione dei certificati NPS
Esistono due alternative per la distribuzione di certificati NPS. Questa guida non fornisce indicazioni complete per determinare quale alternativa soddisfa meglio le proprie esigenze. In generale, tuttavia, le scelte da affrontare sono:
Acquisto di certificati da una CA pubblica, ad esempio VeriSign, già considerati attendibili dai client basati su Windows. Questa opzione è in genere consigliata per le reti più piccole.
Distribuzione di un'infrastruttura a chiave pubblica (PKI) nella rete tramite Servizi certificati Active Directory. È consigliato per la maggior parte delle reti e le istruzioni per distribuire i certificati server con Servizi certificati Active Directory sono disponibili nella Guida alla distribuzione menzionati in precedenza.
Criteri di rete NPS e altre impostazioni dei criteri di rete
Fatta eccezione per le impostazioni di configurazione effettuate quando si eseguono i Configurazione 802.1 X procedura guidata, come descritto in questa Guida, questa Guida non fornisce informazioni dettagliate per configurare manualmente le condizioni dei criteri di RETE, i vincoli o altre impostazioni dei criteri di RETE.
DHCP
Questa guida alla distribuzione non fornisce informazioni sulla progettazione o la distribuzione di subnet DHCP per reti LAN wireless.
Panoramiche delle tecnologie
Di seguito sono riportate le panoramiche sulla tecnologia per la distribuzione dell'accesso wireless:
IEEE 802.1X
Lo standard IEEE 802.1X definisce il controllo di accesso alla rete basato su porte usato per fornire l'accesso di rete autenticato alle reti Ethernet. Questo controllo di accesso alla rete basato su porta usa le caratteristiche fisiche dell'infrastruttura LAN commutata per autenticare i dispositivi collegati a una porta LAN. L'accesso alla porta può essere negato se il processo di autenticazione non riesce. Nonostante questo standard sia stato progettato per le reti Ethernet cablate, è stato anche adattato per l'uso sulle LAN wireless 802.11.
Punti di accesso wireless con supporto per 802.1X
Questo scenario richiede la distribuzione di uno o più AP wireless con supporto per 802.1X compatibili con il protocollo RADIUS (Remote Authentication Dial-In User Service).
802.1X e AP conformi a RADIUS, quando vengono distribuiti in un'infrastruttura RADIUS con un server RADIUS, ad esempio un server NPS, vengono chiamati client RADIUS.
Client wireless
Questa guida fornisce informazioni complete sulla configurazione per fornire l'accesso autenticato 802.1X per gli utenti membri del dominio che si connettono alla rete con computer client wireless che eseguono Windows 10, Windows 8.1 e Windows 8. Per stabilire correttamente l'accesso autenticato, i computer devono essere aggiunti al dominio.
Nota
È inoltre possibile utilizzare i computer che eseguono Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012 come computer client wireless.
Supporto per gli standard IEEE 802.11
I sistemi operativi Windows e Windows Server supportati offrono il supporto predefinito per la rete wireless 802.11. In questi sistemi operativi, una scheda di rete senza fili 802.11 installata viene visualizzata come una connessione di rete wireless in Centro rete e condivisione.
Sebbene sia disponibile un supporto predefinito per la rete wireless 802.11, i componenti wireless di Windows dipendono dai seguenti elementi:
Le funzionalità della scheda di rete wireless. La scheda di rete wireless installata deve supportare gli standard di sicurezza wireless o LAN wireless necessari. Ad esempio, se la scheda di rete wireless non supporta l'accesso protetto Wi-Fi (WPA), non è possibile abilitare o configurare le opzioni di sicurezza WPA.
Le funzionalità del driver della scheda di rete wireless. Per consentire di configurare le opzioni di rete wireless, il driver per la scheda di rete wireless deve supportare la segnalazione di tutte le relative funzionalità a Windows. Verificare che il driver per la scheda di rete è stato scritto per le funzionalità del sistema operativo. Assicurarsi inoltre che il driver è la versione più recente mediante il controllo di Microsoft Update o il sito Web del fornitore scheda rete wireless.
La tabella seguente illustra le frequenze e la velocità di trasmissione per gli standard wireless IEEE 802.11 comuni.
| Standard | Frequenze | Velocità di trasmissione bit | Utilizzo |
|---|---|---|---|
| 802.11 | Intervallo di frequenza S-Banda Industriale, Scientifico e Medico (ISM) (da 2,4 a 2,5 GHz) | 2 megabit al secondo (Mbps) | Obsoleta. Non usato comunemente. |
| 802.11b | S-Band ISM | 11 Mbps | Utilizzati comunemente. |
| 802.11a | C-Banda ISM (da 5,725 a 5,875 GHz) | 54 Mbps | Non usato comunemente a causa delle spese e dell'intervallo limitato. |
| 802.11g | S-Band ISM | 54 Mbps | Ampiamente usato. I dispositivi 802.11g sono compatibili con i dispositivi 802.11b. |
| 802.11 n \2.4 e 5,0 GHz | C-Band e S-Band ISM | 250 Mbps | I dispositivi basati sullo standard IEEE 802.11n di pre-ratifica sono diventati disponibili nel mese di agosto 2007. Molti dispositivi 802.11n sono compatibili con dispositivi 802.11a, b e g. |
| 802.11ac | 5 GHz | 6,93 Gbps | 802.11 AC, approvato da IEEE 2014, è più scalabile e più veloce rispetto a 802.11 n e viene distribuito in cui i punti di accesso e i computer client wireless supportano. |
Metodi di sicurezza della rete wireless
Metodi di sicurezza della rete wireless è un raggruppamento informale di autenticazione wireless (talvolta detta protezione wireless) e crittografia di sicurezza wireless. L'autenticazione wireless e la crittografia vengono usate in coppie per impedire agli utenti non autorizzati di accedere alla rete wireless e per proteggere le trasmissioni wireless.
Quando si configurano le impostazioni di protezione wireless in Criteri di gruppo di criteri di reti Wireless, sono presenti più combinazioni da selezionare. Tuttavia, solo gli standard di autenticazione WPA2-Enterprise, WPA-Enterprise e Open con 802.1X sono supportati per le distribuzioni wireless autenticate 802.1X.
Nota
Durante la configurazione dei criteri di rete wireless, è necessario selezionare WPA2-Enterprise, WPA-Enterpriseo Open with 802.1X per ottenere l'accesso alle impostazioni EAP necessarie per le distribuzioni wireless autenticate 802.1X.
Autenticazione wireless
In questa guida si consiglia che l'utilizzo di ai seguenti standard di autenticazione wireless per 802.1 X autenticato distribuzioni wireless.
Wi-Fi Protected Access – Enterprise (WPA-Enterprise) WPA è uno standard provvisorio sviluppato dall'Alleanza WiFi per rispettare il protocollo di sicurezza wireless 802.11. Il protocollo WPA è stato sviluppato in risposta a una serie di gravi difetti individuati nel precedente protocollo WEP (Wired Equivalent Privacy).
WPA-Enterprise offre una maggiore sicurezza tramite WEP:
Richiesta di autenticazione che usa il framework EAP 802.1X come parte dell'infrastruttura che garantisce l'autenticazione reciproca centralizzata e la gestione dinamica delle chiavi
Miglioramento del valore ICV (Integrity Check Value) con un controllo integrità dei messaggi (MIC), per proteggere l'intestazione e il payload
Implementazione di un contatore dei fotogrammi per scoraggiare gli attacchi di riproduzione
Wi-Fi Protected Access 2 – Enterprise (WPA2-Enterprise) Come lo standard WPA-Enterprise, WPA2-Enterprise usa il framework 802.1X ed EAP. WPA2-Enterprise offre una protezione dei dati più avanzata per più utenti e reti gestite di grandi dimensioni. WPA2-Enterprise è un protocollo affidabile progettato per impedire l'accesso alla rete non autorizzato verificando gli utenti di rete tramite un server di autenticazione.
Crittografia della sicurezza wireless
La crittografia di sicurezza wireless viene usata per proteggere le trasmissioni wireless inviate tra il client wireless e l'AP wireless. La crittografia della sicurezza wireless viene usata insieme al metodo di autenticazione di sicurezza di rete selezionato. Per impostazione predefinita, i computer che eseguono Windows 10, Windows 8.1 e Windows 8 supportano due standard di crittografia:
Protocollo di integrità chiave temporale (TKIP ) è un protocollo di crittografia precedente progettato originariamente per fornire una crittografia wireless più sicura rispetto a quella fornita dal protocollo WEP (Wired Equivalent Privacy) intrinsecamente debole. TKIP è stato progettato dal gruppo di attività IEEE 802.11i e da Wi-Fi Alliance per sostituire WEP senza richiedere la sostituzione dell'hardware legacy. TKIP è una suite di algoritmi che incapsula il payload WEP e consente agli utenti di apparecchiature WiFi legacy di eseguire l'aggiornamento a TKIP senza sostituire l'hardware. Come WEP, TKIP usa l'algoritmo di crittografia del flusso RC4 come base. Il nuovo protocollo, tuttavia, crittografa ogni pacchetto di dati con una chiave di crittografia univoca e le chiavi sono molto più forti di quelle di WEP. Anche se TKIP è utile per l'aggiornamento della sicurezza nei dispositivi meno recenti progettati per l'uso solo di WEP, non risolve tutti i problemi di sicurezza riscontrati con reti LAN wireless e nella maggior parte dei casi non è sufficientemente affidabile per proteggere le trasmissioni sensibili di dati aziendali o governativi.
Advanced Encryption Standard (AES) è il protocollo di crittografia preferito per la crittografia dei dati commerciali e per enti pubblici. AES offre un livello superiore di sicurezza della trasmissione wireless rispetto a TKIP o WEP. A differenza di TKIP e WEP, AES richiede hardware wireless che supporti lo standard AES. AES è uno standard di crittografia a chiave simmetrica che usa tre crittografie a blocchi, AES-128, AES-192 e AES-256.
In Windows Server 2016 sono disponibili i seguenti metodi di crittografia wireless basati su AES per la configurazione nelle proprietà del profilo wireless quando si seleziona un metodo di autenticazione di WPA2-Enterprise, consigliato.
- AES-CCMP. Il protocollo Modalità di crittografia blocco concatenamento messaggio codice protocollo di autenticazione del contatore (CCMP) implementa lo standard 802.11i ed è progettato per una crittografia di sicurezza superiore a quella fornita da WEP e usa chiavi di crittografia AES a 128 bit.
- AES-GCMP. Protocollo di modalità contatore Galois (GCMP) è supportato da 802.11ac, è più efficiente di AES-CCMP e offre prestazioni migliori per i client wireless. GCMP utilizza chiavi di crittografia AES a 256 bit.
Importante
Wired Equivalency Privacy (WEP) è stato lo standard di sicurezza wireless originale usato per crittografare il traffico di rete. Non è consigliabile distribuire WEP nella rete perché esistono vulnerabilità note in questa forma obsoleta di sicurezza.
Active Directory Domain Services (AD DS)
Servizi di dominio Active Directory fornisce un database distribuito che consente di archiviare e gestire informazioni sulle risorse di rete e dati specifici delle applicazioni provenienti da applicazioni abilitate all'uso di directory. Gli amministratori possono utilizzare Servizi di dominio Active Directory per organizzare gli elementi di una rete, ad esempio utenti, computer e altri dispositivi, in una struttura di contenimento gerarchica. Tale struttura include la foresta di Active Directory, i domini della foresta e le unità organizzative (OU, Organizational Unit) di ogni dominio. Un server che esegue Active Directory viene definito un controller di dominio.
Active Directory Domain Services contiene gli account utente, gli account computer e le proprietà dell'account richiesti da IEEE 802.1X e PEAP-MS-CHAP v2 per autenticare le credenziali utente e valutare l'autorizzazione per le connessioni wireless.
Utenti e computer di Active Directory
Active Directory Users and Computers è un componente di dominio Active Directory che contiene gli account che rappresentano entità fisiche, ad esempio un computer, una persona o un gruppo di sicurezza. Oggetto gruppo di sicurezza è una raccolta di account utente o computer che gli amministratori possono gestire come singola unità. Account utente e computer appartenenti a un determinato gruppo vengono dette i membri del gruppo.
Gestione Criteri di gruppo
Gestione Criteri di gruppo consente la gestione delle modifiche e della configurazione basate su directory delle impostazioni utente e computer, incluse le informazioni di sicurezza e utente. Usare Criteri di gruppo per definire le configurazioni per gruppi di utenti e computer. Con Criteri di gruppo è possibile specificare le impostazioni per le voci del Registro di sistema, la sicurezza, l'installazione del software, gli script, il reindirizzamento delle cartelle, i servizi di installazione remota e la manutenzione di Internet Explorer. Le impostazioni di Criteri di gruppo create sono contenute in un oggetto Criteri di gruppo. Associando un oggetto Criteri di gruppo di contenitori di sistema di Active Directory selezionati, siti, domini e unità organizzative, è possibile applicare le impostazioni dell'oggetto Criteri di gruppo a utenti e computer presenti in tali contenitori Active Directory. Per gestire gli oggetti Criteri di gruppo in un'organizzazione, è possibile usare l'Editor gestione Criteri di gruppo Microsoft Management Console (MMC).
Questa guida fornisce istruzioni dettagliate su come specificare le impostazioni nell'estensione criteri IEEE 802.11 (Rete wireless) di Gestione Criteri di gruppo. I criteri di rete wireless (IEEE 802.11) configurano i computer client wireless membri del dominio con le impostazioni di connettività e wireless necessarie per l'accesso wireless autenticato 802.1X.
Certificati del server
Questo scenario di distribuzione richiede certificati server per ogni server dei criteri di rete che esegue l'autenticazione 802.1X.
Un certificato server è un documento digitale comunemente usato per l'autenticazione e per proteggere le informazioni sulle reti aperte. Un certificato associa in modo sicuro una chiave pubblica all'entità che contiene la corrispondente chiave privata. I certificati vengono firmati digitalmente dalla CA emittente e possono essere rilasciati per un utente, un computer o un servizio.
Un'autorità di certificazione (CA) è un'entità responsabile di stabilire e garantire l'autenticità delle chiavi pubbliche appartenenti a soggetti (in genere utenti o computer) o altre CA. Le attività di un'autorità di certificazione possono includere l'associazione di chiavi pubbliche ai nomi distinti tramite certificati firmati, la gestione dei numeri di serie dei certificati e la revoca dei certificati.
Servizi certificati Active Directory è un ruolo del server che rilascia certificati come CA di rete. Un'infrastruttura di certificati di Servizi certificati Active Directory, nota anche come infrastruttura a chiave pubblica (PKI), fornisce servizi personalizzabili per l'emissione e la gestione dei certificati per l'organizzazione.
EAP, PEAP e PEAP-MS-CHAP v2
Extensible Authentication Protocol (EAP) estende il protocollo Point-to-Point Protocol (PPP) consentendo metodi di autenticazione aggiuntivi che usano credenziali e scambi di informazioni di lunghezze arbitrarie. Con l'autenticazione EAP, sia il client di accesso alla rete che l'autenticatore (ad esempio un server dei criteri di rete) devono supportare lo stesso tipo EAP per eseguire correttamente l'autenticazione. Windows Server 2016 include un'infrastruttura EAP, supporta due tipi EAP e la possibilità di passare messaggi EAP ai server dei criteri di rete. Utilizzando EAP, è possibile supportare schemi di autenticazione aggiuntivi, noti come tipi EAP. I tipi EAP sono supportati da Windows Server 2016 sono:
Transport Layer Security (TLS)
Microsoft Challenge Handshake Authentication Protocol versione 2 (MS-CHAP v2)
Importante
I tipi EAP sicuri (ad esempio quelli basati su certificati) offrono una migliore sicurezza contro attacchi di forza bruta, attacchi di dizionario e attacchi di individuazione delle password rispetto ai protocolli di autenticazione basati su password (ad esempio CHAP o MS-CHAP versione 1).
EAP protetto (PEAP) usa TLS per creare un canale crittografato tra un client PEAP autenticato, ad esempio un computer wireless, e un autenticatore PEAP, ad esempio un server dei criteri di rete o altri server RADIUS. PEAP non specifica un metodo di autenticazione, ma fornisce sicurezza aggiuntiva per altri protocolli di autenticazione EAP (ad esempio EAP-MS-CHAP v2) che possono operare tramite il canale crittografato TLS fornito da PEAP. PEAP viene usato come metodo di autenticazione per accedere ai client che si connettono alla rete dell'organizzazione tramite i tipi seguenti di server di accesso alla rete (NAS):
802.1 Punti di accesso wireless con supporto per 802.1X
Commutatori di autenticazione con supporto per 802.1X
Computer che eseguono Windows Server 2016 e il servizio di accesso remoto (RAS) configurati come server VPN (Virtual Private Network), Server DirectAccess o entrambi
Computer che eseguono Servizi Desktop remoto e Windows Server 2016
PEAP-MS-CHAP v2 è più semplice da distribuire rispetto a EAP-TLS perché l'autenticazione utente viene eseguita usando credenziali basate su password (nome utente e password), anziché certificati o smart card. Solo Server dei criteri di rete o altri server RADIUS devono avere un certificato. Il certificato NPS viene usato dal server dei criteri di rete durante il processo di autenticazione per dimostrare la propria identità ai client PEAP.
Questa guida fornisce istruzioni per configurare i client wireless e i server dei criteri di rete per l'uso di PEAP-MS-CHAP v2 per l'accesso autenticato 802.1X.
Server dei criteri di rete
Server dei criteri di rete (NPS) consente di configurare e gestire centralmente i criteri di rete usando il server RADIUS (Remote Authentication Dial-In User Service) e il proxy RADIUS. Criteri di RETE è necessaria quando si distribuisce l'accesso wireless 802.1 X.
Quando si configurano i punti di accesso wireless 802.1X come client RADIUS in Server dei criteri di rete, Server dei criteri di rete elabora le richieste di connessione inviate dai provider di servizi di accesso. Durante l'elaborazione delle richieste di connessione, Server dei criteri di rete esegue l'autenticazione e l'autorizzazione. L'autenticazione determina se il client ha presentato delle credenziali valide. Se NPS autentica correttamente il client richiedente, Server dei criteri di rete determina se il client è autorizzato a stabilire la connessione richiesta e consente o nega la connessione. Questo argomento è illustrato di seguito in modo più dettagliato:
Autenticazione
La corretta autenticazione PEAP-MS-CHAP v2 ha due parti principali:
Il client autentica il server dei criteri di rete. Durante questa fase di autenticazione reciproca, il server dei criteri di rete invia il relativo certificato server al computer client in modo che il client possa verificare l'identità del server dei criteri di rete con il certificato. Per autenticare correttamente il server dei criteri di rete, il computer client deve considerare attendibile la CA che ha emesso il certificato NPS. Il client considera attendibile questa CA quando il certificato della CA è presente nell'archivio certificati Autorità di certificazione radice attendibili nel computer client.
Se si distribuisce una CA privata, il certificato della CA viene installato automaticamente nell'archivio certificati Autorità di certificazione radice attendibili per l'utente corrente e per il computer locale quando i Criteri di gruppo vengono aggiornati nel computer client membro del dominio. Se si decide di distribuire certificati server da una CA pubblica, assicurarsi che il certificato CA pubblico sia già presente nell'archivio certificati Autorità di certificazione radice attendibili.
Il server dei criteri di rete autentica l'utente. Dopo che il client esegue correttamente l'autenticazione del server dei criteri di rete, il client invia le credenziali basate su password dell'utente al server dei criteri di rete, che verifica le credenziali dell'utente rispetto al database degli account utente in Active Directory Domain Services (AD DS).
Se le credenziali sono valide e l'autenticazione ha esito positivo, il server dei criteri di rete inizia la fase di autorizzazione dell'elaborazione della richiesta di connessione. Se le credenziali non sono valide e l'autenticazione ha esito negativo, Server dei criteri di rete invia un messaggio di rifiuto di accesso e la richiesta di connessione viene negata.
Autorizzazione
Il server che esegue Server dei criteri di rete esegue l'autorizzazione come indicato di seguito:
Server dei criteri di rete controlla la presenza di restrizioni nelle proprietà di accesso esterno dell'account utente o computer in Servizi di dominio Active Directory. Ogni account utente e computer in Utenti e computer di Active Directory include più proprietà, comprese quelle presenti nella scheda Accesso esterno. In questa scheda in dell'autorizzazione di accesso di rete, se il valore è consentire l'accesso, l'utente o il computer è autorizzato a connettersi alla rete. Se il valore è negare l'accesso, l'utente o il computer non è autorizzato a connettersi alla rete. Se il valore è Controlla accesso tramite criteri di rete NPS, dei criteri di RETE valuta i criteri di rete configurate per determinare se l'utente o il computer è autorizzato a connettersi alla rete.
Server dei criteri di rete elabora quindi i criteri di rete per trovare un criterio che corrisponda alla richiesta di connessione. Se viene trovato un criterio di corrispondenza, Server dei criteri di rete concede o nega la connessione in base alla configurazione di tale criterio.
Se l'autenticazione e l'autorizzazione hanno esito positivo e se i criteri di rete corrispondenti concedono l'accesso, Server dei criteri di rete concede l'accesso alla rete e l'utente e il computer possono connettersi alle risorse di rete per le quali dispongono delle autorizzazioni.
Nota
Per distribuire l'accesso wireless, è necessario configurare i criteri NPS. Questa guida vengono fornite istruzioni per l'uso di Configurazione 802.1 X wizard in Criteri di RETE per creare criteri di criteri di RETE per l'accesso wireless autenticato 802.1 X.
Profili bootstrap
Nelle reti wireless autenticate 802.1X, i client wireless devono fornire credenziali di sicurezza autenticate da un server RADIUS per connettersi alla rete. Per Protected EAP [PEAP]-Microsoft Challenge Handshake Authentication Protocol versione 2 [MS-CHAP v2], le credenziali di sicurezza sono un nome utente e una password. Per EAP-Transport Layer Security [TLS] o PEAP-TLS, le credenziali di sicurezza sono certificati, ad esempio certificati utente client e computer o smart card.
Quando ci si connette a una rete configurata per eseguire l'autenticazione PEAP-MS-CHAP v2, PEAP-TLS o EAP-TLS, per impostazione predefinita, i client wireless Windows devono convalidare anche un certificato computer inviato dal server RADIUS. Il certificato del computer inviato dal server RADIUS per ogni sessione di autenticazione viene comunemente definito certificato server.
Come accennato in precedenza, è possibile rilasciare il certificato server RADIUS in uno dei due modi seguenti: da una CA commerciale (ad esempio VeriSign, Inc.) o da una CA privata distribuita nella rete. Se il server RADIUS invia un certificato del computer che è stato rilasciato da un'autorità di certificazione commerciale che dispone già di un certificato installato nell'archivio certificati Autorità di certificazione radice attendibili del client, il client senza fili possa convalidare certificato del computer del server RADIUS, indipendentemente dal fatto che il client senza fili venga aggiunto al dominio di Active Directory. In questo caso il client senza fili può connettersi alla rete wireless e quindi è possibile aggiungere il computer al dominio.
Nota
Il comportamento che richiede al client di convalidare il certificato server può essere disabilitato, ma la disabilitazione della convalida del certificato server non è consigliata negli ambienti di produzione.
I profili bootstrap wireless sono profili temporanei configurati in modo da consentire agli utenti client wireless di connettersi alla rete wireless autenticata 802.1X prima che il computer venga aggiunto al dominio e/o prima che l'utente abbia eseguito correttamente l'accesso al dominio utilizzando un determinato computer wireless per la prima volta. Questa sezione riepiloga il problema riscontrato quando si tenta di aggiungere un computer wireless al dominio o per consentire a un utente di utilizzare un computer wireless aggiunto al dominio per la prima volta per accedere al dominio.
Per le distribuzioni in cui l'utente o un amministratore IT non può connettersi fisicamente un computer alla rete Ethernet cablata per aggiungere il computer al dominio e il computer non è necessario il rilascio radice certificato installato nel relativo autorità di certificazione radice attendibili archivio certificati, è possibile configurare i client senza fili con un profilo di connessione wireless temporaneo, denominato un bootstrap profilo, per connettersi alla rete wireless.
Oggetto bootstrap profilo Elimina la necessità di convalidare il certificato di computer del server RADIUS. Questa configurazione temporanea consente all'utente wireless di aggiungere il computer al dominio, al momento in cui vengono applicati i criteri di rete wireless (IEEE 802.11) e il certificato CA radice appropriato viene installato automaticamente nel computer.
Quando viene applicato criteri di gruppo, vengono applicati uno o più profili di connessione wireless che imporre il requisito per l'autenticazione reciproca del computer. il profilo bootstrap non è più necessario e viene rimosso. Dopo l'aggiunta del computer al dominio e il riavvio del computer, l'utente può utilizzare una connessione wireless per accedere al dominio.
Per una panoramica del processo di distribuzione di accesso wireless tramite tali tecnologie, vedere Cenni preliminari sulla distribuzione di accesso Wireless.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per