シナリオ...
学生がインターネットアクセスに使用するワイヤレスネットワークがあります。各学生はActiveDirectoryアカウントを持っています。ネットワークに接続するためにAD資格情報を使用するようにAPを要求するようにAPを構成することは可能ですか?もしそうなら、それはサーバーまたはそこのコンピューター上に証明書を必要としますか?私は彼らのコンピューターを管理したくないので、可能であればそれを避けたいと思います。
IASサービスがインストールされたWin2k3サーバーと、3Com AP(3CRWE454G72)があります。
これを自動化または簡単にするソフトウェア製品はありますか?
あなたが話しているのは、私たちがいくつかの顧客サイトで行っていることです(あなたが望んでいることを正確に行っているように見える学区を含む)。
これはクリックごとのガイドではありませんが、ツールを少し試してみてもかまわない場合は、ツールがかなり自明であることがわかると思います。
IASサーバーには、EAPを実行するための前提条件として証明書がインストールされている必要があります。自己署名証明書(大きな問題なしでどこでも行っています)を使用してもかまわない場合は、Microsoftの認証局をインストールすると、IASマシンが自動的に証明書を要求します(IASをホストするマシンがに参加していると仮定します)。認証局のあるフォレスト内のドメイン)。 ベストプラクティス Microsoft reによって提案されたものについて読む:認証局は良い考えです(特に、CAを作成した後に変更できない部分)が、すべてがCAを使用している場合なぜなら、EAPは、必要に応じて廃止し、新たに開始することでおそらく回避できるからです。
IASマシンに証明書をインストールしたら、ワイヤレスアクセスポイント(RADIUSクライアント)からの要求を受け入れるようにRADIUSサーバーを構成する必要があります。 Microsoft RADIUSサーバー(少なくともW2K3では)はDNSルックアップの失敗を効果的に処理するのにあまり適していません。そのため、言いたくないのですが、次の場合はAPのIPアドレスを使用することをお勧めします。 IASサーバーにRADIUSクライアントエントリを作成します。 「共有シークレット」は、RADIUSクライアント(AP)がRADIUSサーバー(IAS)への認証に使用する値です。 APサーバーとIASサーバーの両方で同じように入力するようにしてください。
APをRADIUSクライアントとして定義した後、IASマシンでリモートアクセスポリシーを作成する必要があります。組み込みのウィザードは、ポリシーを作成するのに役立ちます。基本的に、「ワイヤレス-IEEE 802.11 ORワイヤレス-その他」に一致するポリシーが必要であり、必要に応じて、アクセスが許可されるユーザーを含む特定のWindowsグループ(「ドメインコンピューター」など)が必要です。 「ドメインユーザー」)。ウィザードは、このプロセスをガイドします。
ポリシーを作成したら、クライアントから手動で接続を試みることができます。ここでは、Windowsに組み込まれているワイヤレスゼロ構成(ha!)サービスの構成についてのみ説明します。 WLAN NICにサードパーティの構成マネージャーがあり、それを削除することができれば、私はそうします。組み込みのWindowsサービスを使用すると、起動時にNICが起動し、正しく認証される可能性が高くなります(RADIUSポリシーで「ドメインコンピューター」アクセスを許可している場合)。 。 (私の学区のサイトには、有線イーサネットに接続することはないが、グループポリシーなどを問題なく処理できるワイヤレスクライアントが多数あると言えます。)
手順はWindowsXPとWindowsVista/7の間で少し異なりますが、基本的にはワイヤレスネットワークのリストに移動し、新しいWPA-RADIUS保護ネットワークのSSIDを追加します(古いものを削除します) 1つは既存のSSIDを再利用する場合)、一部のプロパティが適切に設定されていることを確認します。 「ネットワーク認証」は、APで設定したWPA/WPA2とAES/TKIPの任意の組み合わせに設定する必要があります。 (個人的には、可能であればWPA2-AESを使用しますが、WPA-TKIPは最小公分母であり、古いクライアントでサポートされています。)
新しいSSIDの認証プロパティで、EAPタイプとして「保護されたEAP(PEAP)」が選択されていることを確認してください。クライアントがドメインのメンバーでない場合は、PEAPの[プロパティ]ダイアログに移動し、[サーバー証明書の検証]のチェックを外し、[認証方法の選択]の[構成済み]ダイアログに移動して、[自動的に使用する]のチェックを外しますWindowsログオン名とパスワード(および存在する場合はドメイン)」を選択し、新しいSSIDの「認証」プロパティの下にある「コンピューター情報が利用可能な場合はコンピューターとして認証する」のチェックを外します。これにより、Windowsは、ドメインメンバー以外のコンピューターで資格情報の入力を求められます。
クライアントが「話している」状態になったら、 グループポリシー を使用してSSIDの設定を展開し、クライアントに「触れる」必要がないようにすることをお勧めします。私はloveこの機能を使用し、多くのサイトで大成功を収めてきました。新しいドメインメンバーのクライアントコンピューターが有線ネットワークで一度グループポリシーを適用することを許可されている限り、無線ネットワークの範囲内に入ると「正常に機能」します。涅槃!
Windows以外のデバイス(iPod、Linuxネットブック、Android電話など)の場合は、接続の構成を自分で行う必要があります。しかし、それほど悪くはありません。この方法で構成されたWLANを認証するさまざまなデバイスがあります。
編集:
ドメインメンバー以外のコンピューターでは、クライアントがサーバー証明書を検証して自動的に認証を試みるのを防ぐために、上記で説明した項目のチェックを外す必要があります。ユーザーは手動で資格情報を提供する必要があります。
ドメインメンバー以外のクライアントに構成プロファイルを自動的に展開するという点では、WindowsVistaおよびWindows7で "netsh wlan" コマンドを使用できます。
Windows XPでは、グループポリシーなしでWLAN構成を展開することは実際には Vistaに似ていますが、ソフトウェアのインストールが必要です 。
はい、WPAエンタープライズはEAPを使用して 認証 。パスワードと証明書の両方の認証をサポートします