Развертывание беспроводного доступа с проверкой подлинности на основе паролей 802.1 X
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
Это руководство по сети Windows Server® 2016 Core. Руководство по основной сети содержит инструкции по планированию и развертыванию компонентов, необходимых для полнофункционной сети и нового домена Active Directory® в новом лесу.
В этом руководстве даются инструкции по созданию основной сети с развертыванием беспроводного доступа IEEE 802.11 с проверкой подлинности IEEE 802.1X с помощью протокола PEAP-MS-CHAP версии 2.
Так как PEAP-MS-CHAP версии 2 требует, чтобы пользователи предоставляли учетные данные на основе паролей, а не сертификат во время проверки подлинности, обычно проще и менее дорого развертывать, чем EAP-TLS или PEAP-TLS.
Примечание.
В этом руководстве IEEE 802.1X Прошедший проверку подлинности беспроводной доступ с помощью PEAP-MS-CHAP версии 2 сокращено на "беспроводной доступ" и "Доступ к Wi-Fi".
Информация о руководстве
В этом руководстве в сочетании с приведенными ниже руководствами по предварительным требованиям приведены инструкции по развертыванию следующей инфраструктуры доступа WiFi.
Один или несколько точек беспроводного доступа 802.1X с поддержкой 802.11 (APS).
пользователи и компьютеры служб домен Active Directory (AD DS).
Управление групповой политикой
Один или несколько серверов сервера политики сети (NPS).
Сертификаты сервера для компьютеров под управлением NPS
Беспроводные клиентские компьютеры под управлением Windows 10, Windows® 8.1 или Windows 8.
Зависимости для этого руководства
Чтобы успешно развернуть проверку подлинности беспроводной связи с этим руководством, необходимо иметь сетевую и доменную среду со всеми необходимыми технологиями, развернутыми. Кроме того, у вас должны быть развернуты сертификаты сервера для проверки подлинности NPS.
В следующих разделах приведены ссылки на документацию, в которую показано, как развернуть эти технологии.
Зависимости сетевой и доменной среды
Это руководство предназначено для сетевых и системных администраторов, которые следовали инструкциям в руководстве по сети Windows Server 2016 Core, чтобы развернуть основную сеть или для тех, кто ранее развернул основные технологии, включенные в основную сеть, включая AD DS, доменную систему (DNS), протокол конфигурации динамических узлов (DHCP), TCP/IP, NPS и служба имен Интернета Windows (WINS).
Руководство по сети Windows Server 2016 Core доступно в технической библиотеке Windows Server 2016.
Зависимости сертификатов сервера
Существует два доступных варианта регистрации серверов проверки подлинности с сертификатами сервера для использования с проверкой подлинности 802.1X. Развертывание собственной инфраструктуры открытых ключей с помощью служб сертификатов Active Directory (AD CS) или использование сертификатов сервера, зарегистрированных общедоступным центром сертификации (ЦС).
Служба сертификации Active Directory
Сетевые и системные администраторы, развертывающие прошедшие проверку подлинности беспроводной сети, должны следовать инструкциям в руководстве по сетевым компаньонам Windows Server 2016, deploy Server Certificates for 802.1X Wired and Wireless Deployments. В этом руководстве объясняется, как развернуть и использовать AD CS для автоматической регистрации сертификатов сервера на компьютерах под управлением NPS.
Это руководство доступно в следующем расположении.
- Руководство по развертыванию сертификатов сервера 802.1X Wired и беспроводной сети в формате HTML в технической библиотеке в руководстве по развертыванию основных сетей Windows Server 2016 Core.
Общедоступный ЦС
Вы можете приобрести сертификаты сервера из общедоступного ЦС, например VeriSign, которые клиентские компьютеры уже доверяют.
Клиентский компьютер доверяет ЦС, если сертификат ЦС установлен в хранилище сертификатов доверенных корневых центров сертификации. По умолчанию компьютеры под управлением Windows имеют несколько общедоступных сертификатов ЦС, установленных в хранилище сертификатов доверенных корневых центров сертификации.
Рекомендуется ознакомиться с руководствами по проектированию и развертыванию для каждой из технологий, используемых в данном сценарии развертывания. Эти руководства помогут вам определить, предоставляет ли данный сценарий развертывания службы и конфигурации, необходимые для сети организации.
Требования
Ниже приведены требования к развертыванию инфраструктуры беспроводного доступа с помощью сценария, описанного в этом руководстве:
Перед развертыванием этого сценария необходимо сначала приобрести точки беспроводного доступа с поддержкой 802.1X, чтобы обеспечить беспроводное покрытие в нужных расположениях на вашем сайте. В разделе планирования этого руководства показано, как определить функции, которые должны поддерживаться.
домен Active Directory службы (AD DS) устанавливаются, как и другие необходимые сетевые технологии, в соответствии с инструкциями в руководстве по сети Windows Server 2016 Core Network.
СЛУЖБА AD CS развертывается, а сертификаты сервера регистрируются в NPS. Эти сертификаты необходимы при развертывании метода проверки подлинности на основе сертификата PEAP-MS-CHAP версии 2, используемого в этом руководстве.
Член вашей организации знаком со стандартами IEEE 802.11, которые поддерживаются беспроводными сетевыми адаптерами и беспроводными сетевыми адаптерами, установленными на клиентских компьютерах и устройствах в сети. Например, кто-то в вашей организации знаком с типами частот, беспроводной проверкой подлинности 802.11 (WPA2 или WPA) и шифрами (AES или TKIP).
Чего в этом руководстве нет
Ниже приведены некоторые элементы, которые не предоставляются в этом руководстве.
Полное руководство по выбору точек беспроводного доступа с поддержкой 802.1X
Так как существует множество различий между брендами и моделями 802.1X, поддерживающего беспроводные ip-адреса, в этом руководстве не содержатся подробные сведения о:
Определение бренда или модели беспроводной AP лучше всего подходит для ваших потребностей.
Физическое развертывание беспроводных APS в сети.
Расширенная конфигурация беспроводной сети AP, например для беспроводных виртуальных локальных сетей (VLAN).
Инструкции по настройке атрибутов поставщика беспроводной сети AP в NPS.
Кроме того, терминология и имена параметров различаются между брендами и моделями беспроводных AP и могут не совпадать с именами универсальных параметров, которые используются в этом руководстве. Для сведений о конфигурации беспроводного AP необходимо ознакомиться с документацией по продукту, предоставленной производителем беспроводных APS.
Инструкции по развертыванию сертификатов NPS
Существует два варианта развертывания сертификатов NPS. Это руководство не предоставляет исчерпывающих рекомендаций, которые помогут вам определить, какой альтернативный вариант будет наилучшим образом соответствовать вашим потребностям. В целом, однако, варианты, с которыми вы сталкиваетесь, являются:
Приобретение сертификатов из общедоступного ЦС, таких как VeriSign, которые уже являются доверенными клиентами под управлением Windows. Этот параметр обычно рекомендуется для небольших сетей.
Развертывание инфраструктуры открытых ключей (PKI) в сети с помощью AD CS. Это рекомендуется для большинства сетей, а инструкции по развертыванию сертификатов сервера с помощью AD CS доступны в ранее упоминание руководстве по развертыванию.
Политики сети NPS и другие параметры NPS
За исключением параметров конфигурации, сделанных при запуске мастера настройки 802.1X , как описано в этом руководстве, в этом руководстве не содержатся подробные сведения о настройке условий NPS, ограничений или других параметров NPS.
DHCP
В этом руководстве по развертыванию не содержатся сведения о проектировании или развертывании подсетей DHCP для беспроводных локальных сетей.
Обзор технологий
Ниже приведены общие сведения о технологиях развертывания беспроводного доступа:
IEEE 802.1X
Стандарт IEEE 802.1X определяет управление доступом к сети на основе портов, которое используется для обеспечения доступа к сетям Ethernet, прошедшим проверку подлинности. Этот сетевой контроль доступа на основе портов использует физические характеристики переключения инфраструктуры локальной сети для проверки подлинности устройств, подключенных к порту локальной сети. В случае непрохождения проверки подлинности доступ к данному порту может быть запрещен. Хотя этот стандарт был разработан для проводных сетей Ethernet, он был адаптирован для использования в беспроводных локальных сетях 802.11.
802.1X- беспроводные точки доступа (APS)
Для этого сценария требуется развертывание одного или нескольких беспроводных APS с поддержкой 802.1X, совместимых с протоколом службы пользователей (RADIUS) удаленной проверки подлинности.
802.1X и IP-адреса, совместимые с RADIUS, при развертывании в инфраструктуре RADIUS с сервером RADIUS, например NPS, называются клиентами RADIUS.
Беспроводные клиенты
В этом руководстве приведены подробные сведения о конфигурации для предоставления доступа с проверкой подлинности 802.1X для пользователей домена, которые подключаются к сети с беспроводными клиентскими компьютерами под управлением Windows 10, Windows 8.1 и Windows 8. Компьютеры должны быть присоединены к домену, чтобы успешно установить прошедший проверку подлинности доступ.
Примечание.
Вы также можете использовать компьютеры под управлением Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012 в качестве беспроводных клиентов.
Поддержка стандартов IEEE 802.11
Поддерживаемые операционные системы Windows и Windows Server обеспечивают встроенную поддержку беспроводных сетей 802.11. В этих операционных системах установленный беспроводной сетевой адаптер 802.11 отображается как беспроводное сетевое подключение в Центре управления сетями и общим доступом.
Несмотря на встроенную поддержку беспроводной сети 802.11, беспроводные компоненты Windows зависят от следующих компонентов:
Возможности беспроводного сетевого адаптера. Установленный беспроводной сетевой адаптер должен поддерживать необходимые стандарты беспроводной локальной сети или беспроводной безопасности. Например, если беспроводной сетевой адаптер не поддерживает защищенный wi-Fi (WPA), нельзя включить или настроить параметры безопасности WPA.
Возможности драйвера беспроводного сетевого адаптера. Чтобы разрешить настройку параметров беспроводной сети, драйвер для беспроводного сетевого адаптера должен поддерживать отчеты обо всех своих возможностях в Windows. Убедитесь, что драйвер беспроводного сетевого адаптера написан для возможностей операционной системы. Также убедитесь, что драйвер является самой текущей версией, проверка Microsoft Update или веб-сайт поставщика беспроводного сетевого адаптера.
В следующей таблице показаны частоты передачи и частоты для распространенных беспроводных стандартов IEEE 802.11.
| стандарты | Частоты | Скорость передачи битов | Использование |
|---|---|---|---|
| 802.11 | Диапазон частот s-Band Industrial, Scientific и Medical (ISM) (от 2,4 до 2,5 ГГц) | 2 мегабита в секунду (Мбит/с) | Является устаревшей. Часто не используется. |
| 802.11b | S-Band ISM | 11 Мбит/с | Часто используется. |
| 802.11a | C-Band ISM (5,725 до 5,875 ГГц) | 54 Мбит/с | Не часто используется из-за расходов и ограниченного диапазона. |
| 802.11g | S-Band ISM | 54 Мбит/с | Широко используется. Устройства 802.11g совместимы с устройствами 802.11b. |
| 802.11n \2.4 и 5,0 ГГц | C-Band и S-Band ISM | 250 Мбит/с | Устройства, основанные на стандарте IEEE 802.11n, стали доступны в августе 2007 года. Многие устройства 802.11n совместимы с устройствами 802.11a, b и g. |
| 802.11ac | 5 ГГц | 6,93 Гбит/с | 802.11ac, утвержденный IEEE в 2014 году, является более масштабируемым и быстрым, чем 802.11n, и развертывается, где APS и беспроводные клиенты поддерживают его. |
Методы безопасности беспроводной сети
Методы безопасности беспроводной сети — это неформальная группировка беспроводной проверки подлинности (иногда называемая беспроводной безопасностью) и шифрование беспроводной безопасности. Беспроводная проверка подлинности и шифрование используются в парах для предотвращения несанкционированного доступа пользователей к беспроводной сети и защиты беспроводных передач.
При настройке параметров безопасности беспроводной сети в политиках беспроводной сети групповой политики можно выбрать несколько сочетаний. Однако поддерживаются только стандарты проверки подлинности WPA2-Enterprise, WPA-Enterprise и Open с стандартами проверки подлинности 802.1X для беспроводных развертываний с проверкой подлинности 802.1X.
Примечание.
При настройке политик беспроводной сети необходимо выбрать WPA2-Enterprise, WPA-Enterprise или Открыть с помощью 802.1X, чтобы получить доступ к параметрам EAP, необходимым для развертывания беспроводной сети с проверкой подлинности 802.1X.
Беспроводная проверка подлинности
В этом руководстве рекомендуется использовать следующие стандарты беспроводной проверки подлинности для развертываний беспроводной проверки подлинности 802.1X.
Wi-Fi Protected Access — Enterprise (WPA-Enterprise) WPA — это промежуточный стандарт, разработанный Альянсом Wi-Fi для соблюдения протокола беспроводной безопасности 802.11. Протокол WPA был разработан в ответ на ряд серьезных недостатков, обнаруженных в предыдущем протоколе Wired Equivalent Privacy (WEP).
WPA-Enterprise обеспечивает улучшенную безопасность по протоколу WEP:
Требование проверки подлинности, которая использует платформу EAP 802.1X в рамках инфраструктуры, которая обеспечивает централизованную взаимную проверку подлинности и динамическое управление ключами
Повышение значения проверки целостности (ICV) с помощью проверки целостности сообщений (MIC) для защиты заголовка и полезных данных
Реализация счетчика кадров для запрета атак воспроизведения
Защищенный wi-Fi Access 2 — Enterprise (WPA2-Enterprise) Как стандарт WPA-Enterprise, WPA2-Enterprise использует платформу 802.1X и EAP. WPA2-Enterprise обеспечивает более надежную защиту данных для нескольких пользователей и крупных управляемых сетей. WPA2-Enterprise — это надежный протокол, который предназначен для предотвращения несанкционированного доступа к сети, проверяя сетевых пользователей через сервер проверки подлинности.
Шифрование беспроводной безопасности
Беспроводное шифрование безопасности используется для защиты беспроводных передач, передаваемых между беспроводным клиентом и беспроводным AP. Шифрование беспроводной безопасности используется вместе с выбранным методом проверки подлинности сетевой безопасности. По умолчанию компьютеры под управлением Windows 10, Windows 8.1 и Windows 8 поддерживают два стандарта шифрования:
Протокол целостности темпоральных ключей (TKIP) — это старый протокол шифрования, который изначально был разработан для обеспечения более безопасного беспроводного шифрования, чем то, что было предоставлено по сути слабым протоколом конфиденциальности (WEP). TKIP была разработана группой задач IEEE 802.11i и Альянсом Wi-Fi для замены WEP без необходимости замены устаревшего оборудования. TKIP — это набор алгоритмов, которые инкапсулируют полезные данные WEP и позволяют пользователям устаревшего оборудования WiFi обновлять до TKIP без замены оборудования. Как и WEP, TKIP использует алгоритм шифрования потока RC4 в качестве его основы. Однако новый протокол шифрует каждый пакет данных с уникальным ключом шифрования, и ключи гораздо сильнее, чем у WEP. Хотя TKIP полезна для обновления безопасности на старых устройствах, предназначенных для использования только WEP, он не решает все проблемы безопасности, связанные с беспроводными локальными сетями, и в большинстве случаев недостаточно надежны для защиты конфиденциальных государственных или корпоративных передач данных.
Расширенный стандарт шифрования (AES) — это предпочтительный протокол шифрования для шифрования коммерческих и государственных данных. AES обеспечивает более высокий уровень безопасности беспроводной передачи, чем TKIP или WEP. В отличие от TKIP и WEP, AES требует беспроводного оборудования, поддерживающего стандарт AES. AES — это стандарт шифрования симметричного ключа, использующий три блочных шифра, AES-128, AES-192 и AES-256.
В Windows Server 2016 следующие методы беспроводного шифрования на основе AES доступны для настройки в свойствах беспроводного профиля при выборе метода проверки подлинности WPA2-Enterprise, который рекомендуется.
- AES-CCMP. Протокол кода проверки подлинности цепочки сообщений в режиме счетчика (CCMP) реализует стандарт 802.11i и предназначен для более высокого уровня безопасности, чем в weP, и использует 128-разрядные ключи шифрования AES.
- AES-GCMP. Протокол GCMP поддерживается протоколом GCMP 802.11ac, более эффективным, чем AES-CCMP и обеспечивает лучшую производительность для беспроводных клиентов. GCMP использует 256-разрядные ключи шифрования AES.
Внимание
Конфиденциальность проводной эквивалентности (WEP) была исходным стандартом беспроводной безопасности, который использовался для шифрования сетевого трафика. Не следует развертывать WEP в сети, так как в этой устаревшей форме безопасности существуют известные уязвимости.
Доменные службы Active Directory (AD DS)
Доменные службы Active Directory предоставляют распределенную базу данных, в которой хранятся сведения о сетевых ресурсах и данные приложений с поддержкой каталогов, а также осуществляется управление этой информацией. Администраторы могут использовать AD DS для упорядочения в иерархическую вложенную структуру таких элементов сети, как пользователи, компьютеры и другие устройства. Иерархическая вложенная структура включает лес Active Directory, домены в лесу и организационные подразделения в каждом домене. Сервер, на котором выполняется AD DS, называется контроллером домена.
AD DS содержит учетные записи пользователей, учетные записи компьютера и свойства учетной записи, необходимые IEEE 802.1X и PEAP-MS-CHAP версии 2 для проверки подлинности учетных данных пользователей и оценки авторизации для беспроводных подключений.
Active Directory – пользователи и компьютеры
Пользователи и компьютеры Active Directory — это компонент AD DS, содержащий учетные записи, представляющие физические сущности, такие как компьютер, человек или группа безопасности. Группа безопасности — это коллекция учетных записей пользователей или компьютеров, которым администраторы могут управлять как единую единицу. Учетные записи пользователей и компьютеров, принадлежащие определенной группе, называются членами группы.
Управление групповой политикой
Управление групповыми политиками позволяет управлять изменениями на основе каталогов и настройкой параметров пользователя и компьютера, включая сведения о безопасности и пользователях. Групповая политика используется для определения конфигураций для групп пользователей и компьютеров. С помощью групповой политики можно указать параметры для записей реестра, безопасности, установки программного обеспечения, сценариев, перенаправления папок, служб удаленной установки и обслуживания интернет-Обозреватель. Создаваемые параметры групповой политики содержатся в объекте групповой политики (GPO). Связав объект групповой политики с выбранными системными контейнерами Active Directory — сайтами, доменами и подразделениями, вы можете применить параметры групповой политики к пользователям и компьютерам в этих контейнерах Active Directory. Для управления объектами групповой политики в организации можно использовать консоль управления групповыми политиками (MMC).
В этом руководстве приведены подробные инструкции по указанию параметров в расширении политик управления групповыми политиками в беспроводной сети (IEEE 802.11). Политики беспроводной сети (IEEE 802.11) настраивают беспроводные клиентские компьютеры-члены домена с необходимым подключением и беспроводными параметрами для беспроводного доступа с проверкой подлинности 802.1X.
Сертификаты сервера
В этом сценарии развертывания требуются сертификаты сервера для каждого NPS, выполняющего проверку подлинности 802.1X.
Сертификат сервера — это цифровой документ, который обычно используется для проверки подлинности и защиты информации в открытых сетях. Сертификат безопасно привязывает открытый ключ к объекту, обладающему закрытым ключом. Сертификаты подписываются цифровой подписью выдавающего ЦС, и они могут быть выданы для пользователя, компьютера или службы.
Центр сертификации (ЦС) является сущностью, ответственной за установку и обработку подлинности открытых ключей, принадлежащих субъектам (обычно пользователям или компьютерам) или другим ЦС. Действия центра сертификации могут включать привязку открытых ключей к различающимся именам с помощью подписанных сертификатов, управления серийными номерами сертификатов и отзыва сертификатов.
Службы сертификатов Active Directory (AD CS) реализуют роль сервера по выдаче сертификатов. Инфраструктура сертификатов AD CS, также известная как инфраструктура открытых ключей (PKI), предоставляет настраиваемые службы для выдачи сертификатов и управления ими для предприятия.
EAP, PEAP и PEAP-MS-CHAP v2
Расширяемый протокол проверки подлинности (EAP) расширяет протокол PPP, позволяя использовать дополнительные методы проверки подлинности, использующие учетные данные и обмен данными произвольной длины. При проверке подлинности EAP клиент доступа к сети и средство проверки подлинности (например, NPS) должны поддерживать тот же тип EAP для успешной проверки подлинности. Windows Server 2016 включает инфраструктуру EAP, поддерживает два типа EAP и возможность передавать сообщения EAP в NPS. С помощью EAP можно поддерживать дополнительные схемы проверки подлинности, известные как типы EAP. Типы EAP, поддерживаемые Windows Server 2016, :
Протокол TLS
Microsoft Challenge Handshake Authentication Protocol версии 2 (MS-CHAP версии 2)
Внимание
Надежные типы EAP (например, основанные на сертификатах) обеспечивают более высокую безопасность от атак подбора, атак словаря и угадывания паролей, чем протоколы проверки подлинности на основе паролей (например, CHAP или MS-CHAP версии 1).
Защищенный EAP (PEAP) использует TLS для создания зашифрованного канала между проверкой подлинности клиента PEAP, например беспроводным компьютером, и средство проверки подлинности PEAP, например NPS или другими серверами RADIUS. PEAP не указывает метод проверки подлинности, но обеспечивает дополнительную безопасность для других протоколов проверки подлинности EAP (например, EAP-MS-CHAP версии 2), которые могут работать через зашифрованный канал TLS, предоставляемый PEAP. PEAP используется в качестве метода проверки подлинности для клиентов доступа, которые подключаются к сети вашей организации через следующие типы серверов доступа к сети (NAS):
Беспроводные точки доступа с поддержкой 802.1X
Параметры проверки подлинности 802.1X
Компьютеры под управлением Windows Server 2016 и службы удаленного доступа (RAS), настроенные в качестве серверов виртуальной частной сети (VPN), серверов DirectAccess или обоих
Компьютеры под управлением Windows Server 2016 и служб удаленных рабочих столов
PEAP-MS-CHAP версии 2 проще развертывать, чем EAP-TLS, так как проверка подлинности пользователей выполняется с помощью учетных данных на основе паролей (имя пользователя и пароль), а не сертификатов или смарт-карта. Для получения сертификата требуются только NPS или другие серверы RADIUS. Сертификат NPS используется NPS во время проверки подлинности для подтверждения его удостоверения клиентам PEAP.
В этом руководстве приведены инструкции по настройке беспроводных клиентов и NPS для использования PEAP-MS-CHAP версии 2 для доступа с проверкой подлинности 802.1X.
Сервер политики сети
Сервер политики сети (NPS) позволяет централизованно настраивать политики сети и управлять ими с помощью сервера службы пользователей удаленной проверки подлинности (RADIUS) и прокси-сервера RADIUS. NPS требуется при развертывании беспроводного доступа 802.1X.
При настройке точек беспроводного доступа 802.1X в качестве клиентов RADIUS в NPS NPS NPS обрабатывает запросы подключения, отправленные APS. Во время обработки запросов на подключение NPS выполняет проверку подлинности и авторизацию. Проверка подлинности определяет, предоставил ли клиент допустимые учетные данные. Если NPS успешно проходит проверку подлинности запрашивающего клиента, NPS определяет, авторизован ли клиент на выполнение запрошенного подключения, и разрешает или запрещает подключение. Это более подробно описано следующим образом:
Проверка подлинности
Успешная взаимная проверка подлинности PEAP-MS-CHAP версии 2 состоит из двух основных частей:
Клиент выполняет проверку подлинности NPS. На этом этапе взаимной проверки подлинности NPS отправляет сертификат сервера на клиентский компьютер, чтобы клиент смог проверить удостоверение NPS с помощью сертификата. Для успешной проверки подлинности NPS клиентский компьютер должен доверять ЦС, выдаваемого сертификатом NPS. Клиент доверяет этому ЦС, если сертификат ЦС присутствует в хранилище сертификатов доверенных корневых центров сертификации на клиентском компьютере.
При развертывании собственного частного ЦС сертификат ЦС автоматически устанавливается в хранилище сертификатов доверенных корневых центров сертификации для текущего пользователя и локального компьютера при обновлении групповой политики на клиентском компьютере-члене домена. Если вы решите развернуть сертификаты сервера из общедоступного ЦС, убедитесь, что сертификат общедоступного ЦС уже находится в хранилище сертификатов доверенных корневых центров сертификации.
NPS проходит проверку подлинности пользователя. После успешной проверки подлинности клиента NPS клиент отправляет учетные данные на основе паролей пользователя в NPS, который проверяет учетные данные пользователя в базе данных учетных записей пользователей в службах домен Active Directory (AD DS).
Если учетные данные действительны и проверка подлинности выполнена успешно, NPS начинает этап авторизации обработки запроса на подключение. Если учетные данные недопустимы и проверка подлинности завершается ошибкой, NPS отправляет сообщение "Отклонить доступ", а запрос на подключение отклоняется.
Авторизация
Сервер под управлением NPS выполняет авторизацию следующим образом:
NPS проверка для ограничений в свойствах абонентской или учетной записи компьютера в AD DS. Каждая учетная запись пользователя и компьютера в Пользователи и компьютеры Active Directory включает несколько свойств, включая те, которые находятся на вкладке "Телефонный подключение". На этой вкладке в разделе "Разрешение доступа к сети", если значение "Разрешить доступ", пользователь или компьютер авторизованы для подключения к сети. Если значение равно запрету доступа, пользователь или компьютер не авторизованы для подключения к сети. Если значение — управление доступом через сетевую политику NPS, NPS оценивает настроенные сетевые политики, чтобы определить, авторизован ли пользователь или компьютер для подключения к сети.
Затем NPS обрабатывает свои сетевые политики, чтобы найти политику, которая соответствует запросу подключения. Если политика сопоставления найдена, NPS предоставляет или запрещает подключение на основе конфигурации этой политики.
Если проверка подлинности и авторизация выполнена успешно, а если соответствующая политика сети предоставляет доступ, NPS предоставляет доступ к сети, а пользователь и компьютер могут подключаться к сетевым ресурсам, для которых у них есть разрешения.
Примечание.
Чтобы развернуть беспроводной доступ, необходимо настроить политики NPS. В этом руководстве приведены инструкции по настройке мастера настройки 802.1X в NPS для создания политик NPS для беспроводного доступа с проверкой подлинности 802.1X.
Профили начальной загрузки
В беспроводных сетях, прошедших проверку подлинности 802.1X, беспроводные клиенты должны предоставлять учетные данные безопасности, прошедшие проверку подлинности сервером RADIUS, чтобы подключиться к сети. Для защищенного EAP [PEAP]-Microsoft Challenge Handshake Authentication Protocol версии 2 [MS-CHAP версии 2], учетные данные безопасности — это имя пользователя и пароль. Для EAP-Transport Layer Security [TLS] или PEAP-TLS учетные данные безопасности являются сертификатами, такими как сертификаты пользователя клиента и компьютера или смарт-карта.
При подключении к сети, настроенной для выполнения проверки подлинности PEAP-MS-CHAP версии 2, PEAP-TLS или EAP-TLS, по умолчанию беспроводные клиенты Windows также должны проверить сертификат компьютера, отправленный сервером RADIUS. Сертификат компьютера, отправляемый сервером RADIUS для каждого сеанса проверки подлинности, обычно называется сертификатом сервера.
Как упоминание ранее, серверы RADIUS могут выдавать свой сертификат сервера одним из двух способов: из коммерческого ЦС (например, VeriSign, Inc.), или из частного ЦС, развернутого в сети. Если сервер RADIUS отправляет сертификат компьютера, выданный коммерческим ЦС, который уже имеет корневой сертификат, установленный в хранилище сертификатов доверенных корневых центров сертификации клиента, беспроводной клиент может проверить сертификат компьютера сервера RADIUS независимо от того, присоединился ли беспроводной клиент к домену Active Directory. В этом случае беспроводной клиент может подключиться к беспроводной сети, а затем присоединить компьютер к домену.
Примечание.
Поведение, требующее от клиента проверки сертификата сервера, может быть отключено, но отключение проверки сертификата сервера не рекомендуется в рабочих средах.
Профили беспроводной начальной загрузки — это временные профили, настроенные таким образом, чтобы пользователи беспроводных клиентов могли подключаться к беспроводной сети, прошедшей проверку подлинности 802.1X, перед присоединением компьютера к домену и (или) до того, как пользователь успешно вошел в домен с помощью заданного беспроводного компьютера в первый раз. В этом разделе приведены сведения о том, какая проблема возникает при попытке присоединить беспроводной компьютер к домену или использовать беспроводной компьютер, присоединенный к домену, в первый раз для входа в домен.
Для развертываний, в которых пользователь или ИТ-администратор не может физически подключить компьютер к проводной сети Ethernet для присоединения компьютера к домену, и компьютер не имеет необходимого сертификата корневого ЦС, установленного в хранилище сертификатов доверенных корневых центров сертификации, можно настроить беспроводные клиенты с временным профилем беспроводного подключения. вызывается профиль начальной загрузки для подключения к беспроводной сети.
Профиль начальной загрузки удаляет требование для проверки сертификата компьютера сервера RADIUS. Эта временная конфигурация позволяет беспроводному пользователю присоединять компьютер к домену, когда применяются политики беспроводной сети (IEEE 802.11), а соответствующий корневой сертификат ЦС устанавливается на компьютере автоматически.
При применении групповой политики на компьютере применяются один или несколько профилей беспроводного подключения, которые применяют требование к взаимной проверке подлинности; Профиль начальной загрузки больше не требуется и удаляется. После присоединения компьютера к домену и перезагрузки компьютера пользователь может использовать беспроводное подключение для входа в домен.
Общие сведения о процессе развертывания беспроводного доступа с помощью этих технологий см. в обзоре развертывания беспроводного доступа.