OSV配合windows 2008 r2 NPS 搭建802.1X认证环境

 前言

      802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。
 
      802.1X提供安全的接入认证，但数据（包括操作系统）存储于本地，数据可能有失窃的危险，比如富士康和比亚迪的官司，在比如陈冠希事件。一些对数据安全要求比较高的企业，政府，一直寻求，即要管好接入端的安全，又要管好数据端安全，做到本地无存储，对数据随需所取的PC应用环境。
 
     OSV配合自己实现的802.1X认证客户端，即实现了对网络接入的数据安全性要求，也实现了对PC的IO虚拟化，通过对数据实现虚拟化派发，用户桌面环境的认证派发，和数据的集中存储，集中管理。通过windows AD 服务器，对用户帐户进行统一管理。

实施准备

1，  支持802.1X认证交换机一台 实验环境：Cisco 2960 （ip:192.168.88.249 netmask 255.255.255.0）
2，  Windows 2008 r2  AD 域服务器一台（ip: 192.168.88.188 Netmask:255.255.255.0 ）
3，  Windows 2008 r2  NPS服务器一台   (ip: 192.168.88.189 Netmask:255.255.255.0 DNS:192.168.88.188)
4，  客户机一台
5，  已安装，配置好的OSV 服务器一台       （IP：192.168.88.10）

Cisco 交换机配置

cisco>en       进入特权模式
Password:
cisco#configure terminal   进入全局配置模式
cisco(config)#interface vlan1 进入接口配置模式，配置Vlan1
cisco(config-if)#ip address 192.168.88.249 255.255.255.0 配置Vlan1的IP
cisco(config-if)#exit    通出
cisco(config)#aaa new-model
cisco(config)#aaa authentication dot1x default group radius
cisco(config)#aaa authorization network default group radius
cisco(config)#dot1x system-auth-control
cisco(config)#radius-server host 192.168.88.251 auth-port 1812 acct-port 1813 key OSV     配置802.1X的认证服务器IP，密钥为OSV 记住此密钥，配置RADIUS时用到。
cisco(config)#interface fastEthernet 0/X  配置需要进行认证的端口
cisco(config-if)#switchport mode access  
cisco(config-if)# authentication port-control auto
cisco(config-if)#dot1x port-control auto
cisco(config-if)#dot1x reauthentication
cisco(config-if)#dot1x timeout reauth-period 300
cisco(config-if)#authentication host-mode multi-auth/multi-host/signal-host/mulit-domain 交换机端口下连接多台PC时(通过Hub或交换机)需要配置这个命令，默认只支持对一台PC认证。
cisco(config-if)#authentication violation  shutdown/pretect/replace/restrict  802.1X shutdown规则
cisco(config-if)#dot1x pae both
cisco(config-if)#spanning-tree portfast         打开端口的快速转发cisco(config-if)#exit
cisco(config)#exit
 
 
注：配置完成后，要测试交换机与RADIUS是否可通信，可在交换机上ping RADIUS服务器进行判断。
 
 
Windows AD 域服务器架设

Step1: 打开 开始菜单—计算机-管理

 
Step2:在弹出的服务管理器上点击右键，添加角色

 
 
 
Step3: 开始界面

 
 
Step4:选择AD域服务器角色，默认下一步。
 

 
Step5: 开始，运行  dcpromo.exe  执行AD安装

 
 
 
Step6: AD安装向导

 
Step 7 选择在新林中新建域

 
Step 8: 输入FQDN域名
 

 
Step 9: 默认下一步

 
Step 9: 选择  windows server 2008 r2

 
Step 10 : 默认下一步

  
Step 11 : 默认下一步
 

 
Step 12 : 默认下一步
 

  
Step 13 : 默认下一步，开始自动安装并配置AD

 
 
Step 14 : 安装完成后，打开Users 点击右键，新建组，
 

 
Step 15 : 新建一个 test-osv 的用户组

 
Step 16 : 加入到 Domain Users 组
 

 
Step 17：新建用户，并加入到test-osv组
 

 

 

NPS 服务器架设 

Step1 : 修改NPS服务器的DNS为域控服务器

 
Step2 ：将NPS服务器加入到域中

 
Step3 : 使用域管理帐户登录NPS Server

 

1,部署CA服务器

Step 1: 服务管理器—添加角色–ADCS

 
Step2 : 勾选 证书颁发机构，颁发机构WEB注册，联机响应程序，

Step 3 : 选择企业

 
 
Step3 选择根证书

 
Step 4 默认下一步

 
 
Step 5 默认下一步

Step 6 默认下一步
 

 
 
Step 7 默认下一步

 
Step 8 默认下一步

Step 9 默认下一步

 
 
Step 10 默认下一步

 
Step 11 点击安装

 

Step 11 制作Computer 证书，开始—运行—MMC—文件—添加/删除管理单元
 

 
Step 12 ：点击证书—添加

Step 13 : 选择计算机帐户
 

 
Step 15 : 默认下一步
 

 
 
 

 
 
Step 16 : 选择个人—证书—申请证书

 
 

 
 
 
Step 17 ： 默认下一步

 
Step 18 ： 默认下一步
 

 
 
Step 18 ： 选择计算机
 

 
Step 19 ： 默认下一步
 

 
Step 20 : 完成
 
 

 

2,部署NPS服务器

Step1 : 服务管理器—添加角色—网络策略和访问服务
 
 

 
Step 2 : 选择 网络策略服务器，健康注册机构，主机凭据授权协议

 
Step 3 : 选择使用现有证书

 
Step 4 : 默认下一步
 

 
Step 5 : 选择我们刚刚新建的证书用于SSL加密

 
Step6 : 开始安装
 

 
Step 7 : 点击进入NPS管理器，选择配置NAP
 

 
 
 
 
Step 8 : 选择 IEEE 802.1X （有线）

 
Step 9 : 添加 RADIUS Client 也就是交换机IP和 交换机的通信密钥（在交换机中设置中，已经设置）
 

 
 
Step 10 : 完成后点击下一步
 

 
Step 11 ：默认下一步
 

 
Step 11 ：默认下一步
 

 
Step 11 ：默认下一步
 
 

 
Step 11 ：默认后完成
 

 

 
 
Step 12 ：启用MD5验证支持
 
在RADIUS服务器上，导入注册表文件：
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\4]
"FriendlyName"="MD5-Challenge"
"RolesSupported"=dword:0000000a
"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,52,00,\
  61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00
"InvokeUsernameDialog"=dword:00000001
"InvokenPasswordDialog"=dword:00000001
 
Step 13 : 打开NPS管理器，点击策略—连接请求策略—NAP 802.1X(有线) 
 

 
Step 14 : 选择设置–身份验证方法—添加—md5-Challenge  并将md5-Challenge 向上到第一个最先
 

 
 
 

 
 

 

 3, 在AD中新建用户

Step 1: 因为 md5-Challenge 验证的特殊性，密码要以可逆方式保存，在AD服务器上，我们新建用户，并勾选上，使用可逆方式存储密码，并加入到test-osv这个组中。
 

 
Step 2 : 重置OSV用户密码，使其密码是以可逆方式存储。
 

 
 
此时，环境部署完结，开始制作OSV客户端，进行启动测试。
 
Step 1 : 使用win32 Disk Imager 将 OSV Images 写入U盘中，在验证机上，设置为USB启动。
 

 
Step 2 ： 客户机启动后，自动进入配置界面
 

 
Step 3 : 因为本地有DHCP服务器，所以只用填上服务器IP就可以了，并把802.1X 的值填为1，开启802.1X认证，完成后回车确认
 

 
Step 4 : 输入用户名，密码，进行802.1X认证。
 

 
Step5 :802.1X认证通过，开始进行操作系统的启动。
 

 
注：OSV BOOT 并不止支持USB设备作为客户端认证，也支持硬盘，和主板BIOS。
 

OSV 智能桌面虚拟化网站