Uwierzytelnienie i autoryzacja sieci WiFi za pomocą serwera Radius w Windows server 2008
15
autoryzacja sieci WiFi autoryzacja sieci WiFi za pomocą serwera za pomocą serwera Radius w Windows Radius w Windows server 2008 server 2008 Jarosław Kurek WZIM SGGW 1
description
Uwierzytelnienie i autoryzacja sieci WiFi za pomocą serwera Radius w Windows server 2008. Jarosław Kurek WZIM SGGW. Test routera. Podłączamy router to internetu – port WAN Przywracamy ustawienia domyślne routera Wchodzimy na zarządzanie routerem - PowerPoint PPT Presentation
Transcript of Uwierzytelnienie i autoryzacja sieci WiFi za pomocą serwera Radius w Windows server 2008
Uwierzytelnienie i Uwierzytelnienie i autoryzacja sieci WiFi za autoryzacja sieci WiFi za
pomocą serwera Radius w pomocą serwera Radius w Windows server 2008Windows server 2008
Jarosław KurekWZIM SGGW
1
Test routeraTest routera1. Podłączamy router to internetu – port WAN 2. Przywracamy ustawienia domyślne routera3. Wchodzimy na zarządzanie routerem4. Konfigurujemy port WAN, aby uzyskiwał
dostęp z 172.16.1.x (DHCP z naszej sieci SGGW)
5. Na interfejsie LAN ustawiamy zakres 192.168.x.100
6. Włączamy server DHCP na routerze i ustawiamy pule zakresu od 192.168.x.230-192.168.x.240
7. Łączymy się po WiFi z routerem sprawdzamy czy dostajemy dostęp do sieci Internet.
Instalacja i konfiguracja Win2008Instalacja i konfiguracja Win20081. Instalujemy nową instancję win20082. Konto Administrator hasło:Qwerty1233. Zmieniamy nazwę servera na DCx, gdzie x to
index komputera stacjonarnego4. Wyłączamy Firewalla5. Wyłączamy IPv66. Ustawiamy sieć statycznie na 192.168.x.1 /247. Ustawiamy DNS na 127.0.0.18. Zainstalować kontroler domeny np.
SGGW.com,
Instalacja roli NPS -Network Instalacja roli NPS -Network Policy ServerPolicy Server
1. Instalujemy nową rolę Network Policy and Access Services->Network Policy Server
2. Instalujemy rolę Active Directory Certificate Services
3. Generujemy certyfikat Root CA – urzędu certyfikacji
Generacja certyfikatu dla serweraGeneracja certyfikatu dla serwera1. Generujemy certyfikat dla serwera
Open a new MMC console2. Go to File -> Add/Remove Snap-in and add the
Certificates snap-in3. Select Computer Account for the local
computer4. When finished with adding the snap-in expand
the Certificates -> Personal node5. Right click on Certificates and choose Request
new Certificate6. In the wizard choose Computer for the
certificate type and click Enroll7. Close the MMC console
Konfiguracja roli NPS -Network Policy Konfiguracja roli NPS -Network Policy ServerServer
1. Next, click Start -> Administrative Tools -> Network Policy Server
2. Right click the NPS (local) node and choose Register server in Active Directory
3. With the NPS (Local) node still selected choose RADIUS server for 802.1X Wireless or Wired Connections from the drop- down box and click Configure 802.1x
Konfiguracja roli NPS -Network Policy Konfiguracja roli NPS -Network Policy ServerServer
Konfiguracja roli NPS -Network Policy Konfiguracja roli NPS -Network Policy ServerServer
A. Under Type of 802.1X connections, select Secure Wireless Connections and configure a name for the policy's created.
B. Next the Access Point is configured by clicking Add, filling in a name for the Access Point and providing the wizard with the IP address or DNS entry
C. Then you can define a shared secret by either creating one manually or generating one randomly
Konfiguracja roli NPS -Network Policy Konfiguracja roli NPS -Network Policy ServerServer
Konfiguracja roli NPS -Network Policy Konfiguracja roli NPS -Network Policy ServerServer
A. Note that some Access Points (particulary Linksys) have a 22 character limit on the shared key, so keep that in mind while creating one.
B. In the next screen choose Microsoft: Protected EAP (PEAP) and click Configure
C. Ensure the Certificate issued drop-down box has the certificate you've created
D. Click Next, and click Add to use an Active Directory group to secure your wireless (you need to add both the machine accounts and user accounts to this group to allow authentication on the wireless) Tu Dodajemy grupę Domain Admins
A. Close and restart the Network Policy Server service
Konfiguracja AP/RouterzeKonfiguracja AP/RouterzeA. W routerze wprowadzamy security na RADIUS, port
1812,B. Ustawiamy IP serwera NPS-Radiusa na routerze,C. Ustawiamy identyczny pre-shared-key co w NPS na
Win2008D. Ustawiamy WEP/WPA
Konfiguracja klientaKonfiguracja klientaA. Ustawiamy profil sieci, tak aby korzystał z PAEP –
zakładak sieci bezprzewodowe->właściwości profiluB. Ustawiamy checkbox – otrzymuję klucz
automatycznieC. Zakładka uwierzytelnienie – protokół PEAPD. PEAP -> właściwości – wyłączyć weryfikuj certyfikat
serwera (potem należy wgrać certyfikat i sprawdzić)E. Wybierz metdoą uwierzytelenia->konfiguruj->
odhaczyć checkbox.
Sprawdzenie połączeniaSprawdzenie połączeniaA. Sprawdzamy czy Win2008 widzi się z AP/RouteremB. Łączymy się u klienta z siecią (routerem)C. Wyskoczy popup na który trzeba kliknąć i podać
parametry połączenia: Administrator Qwerty123 i sggw
D. UWAGA w textbox dotyczący domeny podajemy nazwę netbiosową serwera na którym stoi domena
E. Jeżeli wszystko zrobiliśmy poprawnie w event viewer security pojawi się wpis success!
Np. zamiast sggw.com podajemy sggw !
Zwiększenie bezpieczeństwaZwiększenie bezpieczeństwaA. Ustawić u klienta weryfikację certyfikatu i przenieść
go do klienta B. Sprawdzić działanie
Utworzenie nowej grupy w ADUtworzenie nowej grupy w ADA. Należy utworzyć nową grupę w AD B. Dodać usera i przypisać go do tej grupyC. Spróbować połączyć się u klienta na tego
użytkownika
