OSV配合windows 2008 r2 NPS 搭建802.1X认证环境

 前言

      802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
 
      802.1X提供安全的接入认证,但数据(包括操作系统)存储于本地,数据可能有失窃的危险,比如富士康和比亚迪的官司,在比如陈冠希事件。一些对数据安全要求比较高的企业,政府,一直寻求,即要管好接入端的安全,又要管好数据端安全,做到本地无存储,对数据随需所取的PC应用环境。
 
     OSV配合自己实现的802.1X认证客户端,即实现了对网络接入的数据安全性要求,也实现了对PC的IO虚拟化,通过对数据实现虚拟化派发,用户桌面环境的认证派发,和数据的集中存储,集中管理。通过windows AD 服务器,对用户帐户进行统一管理。

实施准备

1,  支持802.1X认证交换机一台 实验环境:Cisco 2960 (ip:192.168.88.249 netmask 255.255.255.0)
2,  Windows 2008 r2  AD 域服务器一台(ip: 192.168.88.188 Netmask:255.255.255.0 )
3,  Windows 2008 r2  NPS服务器一台   (ip: 192.168.88.189 Netmask:255.255.255.0 DNS:192.168.88.188)
4,  客户机一台
5,  已安装,配置好的OSV 服务器一台       (IP:192.168.88.10)

Cisco 交换机配置

cisco>en       进入特权模式
Password:
cisco#configure terminal   进入全局配置模式
cisco(config)#interface vlan1 进入接口配置模式,配置Vlan1
cisco(config-if)#ip address 192.168.88.249 255.255.255.0 配置Vlan1的IP
cisco(config-if)#exit    通出
cisco(config)#aaa new-model
cisco(config)#aaa authentication dot1x default group radius
cisco(config)#aaa authorization network default group radius
cisco(config)#dot1x system-auth-control
cisco(config)#radius-server host 192.168.88.251 auth-port 1812 acct-port 1813 key OSV     配置802.1X的认证服务器IP,密钥为OSV 记住此密钥,配置RADIUS时用到。
cisco(config)#interface fastEthernet 0/X  配置需要进行认证的端口
cisco(config-if)#switchport mode access  
cisco(config-if)# authentication port-control auto
cisco(config-if)#dot1x port-control auto
cisco(config-if)#dot1x reauthentication
cisco(config-if)#dot1x timeout reauth-period 300
cisco(config-if)#authentication host-mode multi-auth/multi-host/signal-host/mulit-domain 交换机端口下连接多台PC时(通过Hub或交换机)需要配置这个命令,默认只支持对一台PC认证。
cisco(config-if)#authentication violation  shutdown/pretect/replace/restrict  802.1X shutdown规则
cisco(config-if)#dot1x pae both
cisco(config-if)#spanning-tree portfast         打开端口的快速转发cisco(config-if)#exit
cisco(config)#exit
 
 
注:配置完成后,要测试交换机与RADIUS是否可通信,可在交换机上ping RADIUS服务器进行判断。
 
 
Windows AD 域服务器架设

Step1: 打开 开始菜单—计算机-管理

 
Step2:在弹出的服务管理器上点击右键,添加角色


 
 
 
Step3: 开始界面

 
 
Step4:选择AD域服务器角色,默认下一步。
 

 
Step5: 开始,运行  dcpromo.exe  执行AD安装

 
 
 
Step6: AD安装向导

 
Step 7 选择在新林中新建域


 
Step 8: 输入FQDN域名
 

 
Step 9: 默认下一步


 
Step 9: 选择  windows server 2008 r2


 
Step 10 : 默认下一步


  
Step 11 : 默认下一步
 

 
Step 12 : 默认下一步
 

  
Step 13 : 默认下一步,开始自动安装并配置AD


 
 
Step 14 : 安装完成后,打开Users 点击右键,新建组,
 

 
Step 15 : 新建一个 test-osv 的用户组

 
Step 16 : 加入到 Domain Users 组
 

 
Step 17:新建用户,并加入到test-osv组
 

 

 

NPS 服务器架设 

Step1 : 修改NPS服务器的DNS为域控服务器

 
Step2 :将NPS服务器加入到域中


 
Step3 : 使用域管理帐户登录NPS Server


 

1,部署CA服务器

Step 1: 服务管理器—添加角色–ADCS


 
Step2 : 勾选 证书颁发机构,颁发机构WEB注册,联机响应程序,


Step 3 : 选择企业

 
 
Step3 选择根证书

 
Step 4 默认下一步

 
 
Step 5 默认下一步

Step 6 默认下一步
 

 
 
Step 7 默认下一步

 
Step 8 默认下一步

Step 9 默认下一步


 
 
Step 10 默认下一步


 
Step 11 点击安装


 

Step 11 制作Computer 证书,开始—运行—MMC—文件—添加/删除管理单元
 

 
Step 12 :点击证书—添加

Step 13 : 选择计算机帐户
 

 
Step 15 : 默认下一步
 

 
 
 

 
 
Step 16 : 选择个人—证书—申请证书

 
 

 
 
 
Step 17 : 默认下一步

 
Step 18 : 默认下一步
 

 
 
Step 18 : 选择计算机
 

 
Step 19 : 默认下一步
 

 
Step 20 : 完成
 
 

 

2,部署NPS服务器

Step1 : 服务管理器—添加角色—网络策略和访问服务
 
 

 
Step 2 : 选择 网络策略服务器,健康注册机构,主机凭据授权协议


 
Step 3 : 选择使用现有证书


 
Step 4 : 默认下一步
 

 
Step 5 : 选择我们刚刚新建的证书用于SSL加密


 
Step6 : 开始安装
 

 
Step 7 : 点击进入NPS管理器,选择配置NAP
 

 
 
 
 
Step 8 : 选择 IEEE 802.1X (有线)


 
Step 9 : 添加 RADIUS Client 也就是交换机IP和 交换机的通信密钥(在交换机中设置中,已经设置)
 

 
 
Step 10 : 完成后点击下一步
 

 
Step 11 :默认下一步
 

 
Step 11 :默认下一步
 

 
Step 11 :默认下一步
 
 

 
Step 11 :默认后完成
 

 

 
 
Step 12 :启用MD5验证支持
 
在RADIUS服务器上,导入注册表文件:
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\4]
"FriendlyName"="MD5-Challenge"
"RolesSupported"=dword:0000000a
"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,52,00,\
  61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00
"InvokeUsernameDialog"=dword:00000001
"InvokenPasswordDialog"=dword:00000001
 
Step 13 : 打开NPS管理器,点击策略—连接请求策略—NAP 802.1X(有线) 
 

 
Step 14 : 选择设置–身份验证方法—添加—md5-Challenge  并将md5-Challenge 向上到第一个最先
 

 
 
 

 
 

 

 3, 在AD中新建用户

Step 1: 因为 md5-Challenge 验证的特殊性,密码要以可逆方式保存,在AD服务器上,我们新建用户,并勾选上,使用可逆方式存储密码,并加入到test-osv这个组中。
 

 
Step 2 : 重置OSV用户密码,使其密码是以可逆方式存储。
 

 
 
此时,环境部署完结,开始制作OSV客户端,进行启动测试。
 
Step 1 : 使用win32 Disk Imager 将 OSV Images 写入U盘中,在验证机上,设置为USB启动。
 

 
Step 2 : 客户机启动后,自动进入配置界面
 
说明: D:\office\user\desk\802.1x images\IMG_20121129_122703.jpg
 
Step 3 : 因为本地有DHCP服务器,所以只用填上服务器IP就可以了,并把802.1X 的值填为1,开启802.1X认证,完成后回车确认
 
说明: D:\office\user\desk\802.1x images\IMG_20121129_122728.jpg
 
Step 4 : 输入用户名,密码,进行802.1X认证。
 
说明: D:\office\user\desk\802.1x images\IMG_20121129_122737.jpg
 
Step5 :802.1X认证通过,开始进行操作系统的启动。
 
说明: D:\office\user\desk\802.1x images\IMG_20121129_123001.jpg
 
注:OSV BOOT 并不止支持USB设备作为客户端认证,也支持硬盘,和主板BIOS。
 

OSV 智能桌面虚拟化网站 

你可能感兴趣的:(windows,验证,Cisco,ad,802.1x,2008R2,2960,NPS)