Wireless在域里面实施WPA认证设定应用

管理员操作手��

环境应用示意图如下:

用户账户处理方法：

1. 把用户账户以下位置选择:

2. 创建一个Wireless User Group组,把用户的AD账户加到Wireless User Group ，然后将用户的电脑搬到ou--wireless组里面来

3. Wireless组里的Group policy会在一小时内自动推送到用户的电脑，或可在用户电脑里面用命令”gpupdate /force”作更新

外来者需要使用Wireless的处理方法：

1. 首先同样为外来者建一个GROUP,然后开一个临时的账户，设定何时过期，(这个可以在AD用户属性里面设定用户只可以在哪段时间可以登录域,因为开的是临时账户所以需要这个设定为安全着想)并加入 Wireless Travellers Group,然后用手工方式去做设定即可.

服务搭建篇:IAS服务器的设定

1. 在Windows 2003 domain controller里安装 Networking services -> IAS 服务

2. 打开IAS管理工具

3. 登�IAS到AD

4. 在IAS的属性里选 ”Rejected authentication requests” 和 “successful authentication requests”

5. 建立一个新的Remote Access Policy，取名为 Wireless Access Policy，加一个Wireless Users组进行，详细情况请看图

6. Authentication Methods 应选PEAP

7. Eap types是 EAP-MSCHAP v2

8. 完成后的样子

9. 重复以上步骤再建一个” Travellers Wireless Access Policy”，加入WirelessTravellers组里面，结果如下

10. 在RADIUS Client里，选 “New RADIUS Client”

11. 把需要连接的AP的 IP打进去，并改一个”Friendly name”

12. 在这个画面，按照密码策略(大小写，数字加英文八位数)改一个shared secret，记录下�恚�因晚一点设定AP时需要

13. 完成后的画面大若是这样的

AP的设定

1. 登入AP后，在下图位置�I入需要的参数，但SSID Broadcast必须为Disabled

2. 在下图位置选WPA-Enterprise, TKIP, Radious server IP就是IAS的IP，Shared secret需要和之前在IAS里打的一样，然后Save settings

无线用户权限设定

用�舯仨�加到 Wireless User Group，外来者必�加到 Wireless Travellers Group 等，才可通过IAS�利认证登录无线网络

利用组策略�O定用�舳说奈尴咄�络

1. 在ou下的Computers里都会有一个名叫Wireless的ou，把需利用组策略设定无线的电脑搬进去

2. 该wireless ou里有一条group policy，�热萑缦�

Wireless Network Policy的详细内容应和手动指定的一样便可以

1手动为用�舳松瓒�

1. 在无线网络的属性里

A. 添加�目如下

B. PEAP的属性如下

C. 在EAP-MSCHAP v2的属性则请特�e注意

如果该PC是域用�簦�该用户已添加到WirelessUsers组里边，以上窗口里边的小框需要点选上，那他的PC连AP时会自动利用AD账户来登录

如果该PC是外来者，我们需要在AD里建一个临时的账户，把它加到WirelessTravellers组里面，�@个账户名可能和他在本地使用的有出入，所以以上窗口不可把上面的上框点选上，结果是连接的时候才会弹出一对话框

点选右下角的提示，便会有以下窗口让你输入我们为该用户创建的临时账户及密码及域名

除�e

1. 首先肯定用�艉偷缒缘�Group policy已做好

2. 在用�舳�gpupdate可更新Group policy

3. 如果用户曾经成功用PEAP连接到我��网络，�Y料便会保存在该PC里，导致再连线时使用该资料再自动登入，要更正这个问题，请看http://support.microsoft.com/kb/823731

4. 有�r候用�袅�线会失败，检查IAS里的Event Viewer为最好的除错办法

成功的消息

Event Type: Information

Event Source: IAS

Event Category: None

Event ID: 1

Date: 1/21/2008

Time: 3:42:23 PM

User: N/A

Computer: allan

Description:

User K\allanfan was granted access.

Fully-Qualified-User-Name =k.local /Users/wireless/allanfan

NAS-IP-Address = 172.16.10.20

NAS-Identifier = 0316b6548cb2

Client-Friendly-Name = allanAP

Client-IP-Address = 172.16.10.24

Calling-Station-Identifier = 0004751ad216

NAS-Port-Type = Wireless - IEEE 802.11

NAS-Port = 30

Proxy-Policy-Name = Use Windows authentication for all users

Authentication-Provider = Windows

Authentication-Server = <undetermined>

Policy-Name = Wireless Access Policy

Authentication-Type = PEAP

EAP-Type = Secured password (EAP-MSCHAP v2)

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Data:

0000: 00 00 00 00 ....

失败的消息(例:用户打错了域名)

Event Type: Error

Event Source: IAS

Event Category: None

Event ID: 3

Date: 10/21/2009

Time: 3:41:49 PM

User: N/A

Computer: allan

Description:

Access request for user k.local\allanfan was discarded.

Fully-Qualified-User-Name = k.local\allanfan

NAS-IP-Address = 172.16.10.20

NAS-Identifier = 0016b6548cb2

Called-Station-Identifier = 0416b6548cb2

Calling-Station-Identifier = 005e351ad216

Client-Friendly-Name = allanAP

Client-IP-Address = 172.16.10.23

NAS-Port-Type = Wireless - IEEE 802.11

NAS-Port = 30

Proxy-Policy-Name = Use Windows authentication for all users

Authentication-Provider = Windows

Authentication-Server = <undetermined>

Reason-Code = 5

Reason = The user account domain cannot be accessed.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Data:

0000: 00 00 00 00 ....

关于WPA技术和Microsoft参考资料

Wireless LAN Technologies and Microsoft Windows

http://www.microsoft.com/technet/network/wifi/wrlsxp.mspx

Wireless Deployment Technology and Component Overview

http://www.microsoft.com/technet/network/wifi/wificomp.mspx

Deployment of Protected 802.11 Networks Using Microsoft Windows

http://www.microsoft.com/technet/network/wifi/ed80211.mspx