那些遇到过的问题

是否可以使用 WPA 企业模式而无需使用或颁发证书?

Cor*_*rey 4 windows-server-2003 wpa radius access-point

设想...

我有一个无线网络,供学生用来访问 Internet。每个学生都有一个 Active Directory 帐户。是否可以将我的 AP 配置为要求它们使用 AD 凭据连接到网络?如果是这样,那是否需要服务器或计算机上的任何证书?如果可能的话,我想避免这种情况,因为我不想管理他们的计算机。

我有一台安装了 IAS 服务的 Win2k3 服务器和 3Com AP (3CRWE454G72)。

是否有任何软件产品可以自动执行此操作或使其更容易?

Eva*_*son 6

您所谈论的是我们在几个客户站点(包括一个看起来完全按照您的意愿行事的学区)中所做的事情。

这不是点击式指南,但如果您不介意使用这些工具,我想您会发现它们是不言自明的。

IAS 服务器需要安装证书作为执行 EAP 的先决条件。如果您不介意使用自签名证书(我们在任何地方都在做,没有重大问题),您可以安装 Microsoft 的证书颁发机构,IAS 机器将自动请求证书(假设托管 IAS 的机器加入了域中的证书颁发机构)。阅读Microsoft 建议的最佳实践re:证书颁发机构是一个好主意(特别是关于创建 CA 后无法更改的部分),但如果您使用 CA 的只是 EAP,您可能会得到如果您需要,可以将其退役并重新开始。

在 IAS 计算机中安装证书后,您需要配置 RADIUS 服务器以接受来自无线接入点(RADIUS 客户端)的请求。Microsoft RADIUS 服务器(至少在 W2K3 中)在有效处理 DNS 查找失败方面不是很好,因此,尽管我不想这么说,但我建议在创建 RADIUS 客户端条目时使用 AP 的 IP 地址IAS 服务器。“共享机密”是 RADIUS 客户端 (AP) 用于向 RADIUS 服务器 (IAS) 进行身份验证的值。确保在 AP 和 IAS 服务器上输入相同的信息。

将 AP 定义为 RADIUS 客户端后,您需要在 IAS 机器上创建远程访问策略。内置向导可以很好地为您创建策略。基本上,您需要一个与“无线 - IEEE 802.11 或无线 - 其他”匹配的策略,如果需要,还需要一个包含将被授予访问权限的用户的特定 Windows 组(例如“域计算机”或“域用户”)。该向导可以指导您完成此过程。

创建策略后,您可以尝试手动从客户端连接。我在这里只讨论配置 Windows 内置无线零配置 (ha!) 服务。如果您的 WLAN NIC 具有第三方配置管理器,并且您可以将其移除,我会这样做。使用内置的 Windows 服务使得在引导期间使 NIC 正常启动和验证的几率大大提高(假设您在 RADIUS 策略中允许“域计算机”访问)。(我可以告诉你,我的学区站点有大量无线客户端,它们从不插入有线以太网,但能够毫无问题地处理组策略等。)

Windows XP 和 Windows Vista / 7 之间的过程略有不同,但基本上我们谈论的是转到无线网络列表,添加新的 WPA-RADIUS 保护网络的 SSID(如果您重新- 使用您现有的 SSID),并确保正确设置某些属性。“网络身份验证”应设置为您在 AP 上配置的 WPA/WPA2 和 AES/TKIP 的任何组合。(就我个人而言,如果可以的话,我会使用 WPA2-AES,但 WPA-TKIP 是最低的公分母,老客户也支持。)

在新 SSID 的身份验证属性中,确保选择“受保护的 EAP (PEAP)”作为 EAP 类型。如果客户端不是您域的成员,请转到 PEAP 的“属性”对话框,取消选中“验证服务器证书”,转到“选择身份验证方法”的“已配置”对话框并取消选中“自动使用我的Windows 登录名和密码(以及域,如果有)”,然后取消选中新 SSID 的“身份验证”属性下的“计算机信息可用时身份验证为计算机”。这将强制 Windows 提示您输入非域成员计算机上的凭据。

一旦您让客户端“交谈”,我建议您使用组策略部署 SSID 的设置,这样您就不必“接触”任何客户端。我喜欢这个功能,并在许多网站上使用它并取得了巨大的成功。只要新的域成员客户端计算机被允许在有线网络上应用一次组策略,一旦它被置于无线网络的范围内,它就会“正常工作”。涅槃!

对于非 Windows 设备(iPod、Linux 上网本、Android 手机等),您必须自己配置连接。不过,这还不算太糟糕。我们已经有各种设备对以这种方式配置的 WLAN 进行身份验证。

编辑:

在非域成员计算机上,您需要取消勾选我在上面描述的项目,以防止客户端验证服务器证书并尝试自动进行身份验证。用户必须手动提供他们的凭据。

在自动将配置文件部署到非域成员客户端方面,您可以在 Windows Vista 和 Windows 7 上使用“netsh wlan”命令。

在 Windows XP 上,在没有组策略的情况下部署 WLAN 配置与 Vista非常相似,但需要安装软件

归档时间:

查看次数:

10291 次

最近记录:

15 年,2 月 前
相关归档
Windows 文件和文件夹“属性”A 或 C 24
Win2k3:可以从系统驱动器中删除哪些文件,哪些工具可以删除它们? 6
是否可以“粗略”估计 chkdsk 在 Windows Server 2003 上花费的时间? 6
强制退出 Windows 2003 会话 (RDP) 6
查找 Windows 更新的安装日期 5
Windows Server 2003——删除文件夹中的数百万个文件? 5
如何在 Windows 中删除 100 GB 文件夹 4
WPA2 Personal - 通过 GPO 部署 3
重置文件迁移的目录权限 2
什么是我的时间源服务器 2003 2
难疑归档
谁能准确解释一下 IOWait 是什么? 238
Docker 容器时间和时区(不会反映变化) 221
身份验证和授权有什么区别? 153
为什么 RAID 不是备份? 125
CNAME 应该用于子域吗? 88
在 Ubuntu 服务器上安装 openssl-dev 66
阻止 IP 地址范围 65
如何通过 Tcpdump 捕获 ack 或 syn 数据包? 62
使用 ansible 部署一个包含模板文件的文件夹 56
Rsync :仅复制时间戳 53