The Cable GuyIEEE 802.1X 有線驗證
Joseph Davies
本文是根據 Windows Server 2008 的搶鮮版所撰寫。本文包含的所有資訊均有可能變更。
隨著 IEEE 802.1X 驗證在 IEEE 802.11 無線網路上的應用越來越普及,網路系統管理員也希望將這個標準應用在有線連線上。無線用戶端必須先提交一組憑證接受驗證之後,才能將無線框架轉送到內部網路,
同樣的,IEEE 802.1X 有線用戶端也必須先執行驗證,才能使用其切換連接埠。IEEE 802.1X 驗證可以為內部網路提供一層額外的安全性屏障,防止無法順利執行驗證的訪客、惡意或不受管理的電腦連接到您的內部網路。
您的有線交換器可能已經支援 IEEE 802.1X 驗證,只需要啟用和設定就可以了。在進行有線連線的驗證和授權時,支援 802.1X 的交換器通常是使用遠端驗證撥入使用者服務 (RADIUS) 通訊協定,將連線要求資訊傳給 RADIUS 伺服器,例如 Windows Server® 2008 網路原則伺服器 (NPS) 或 Windows Server 2003 網際網路驗證服務 (IAS) 伺服器。
在您設定 RADIUS 的交換器之後,必須在要求 802.1X 驗證前於有線電腦上啟用並設定 802.1X 驗證。其實,自 Windows XP 以降,Microsoft® Windows® 便已開始支援有線網路連線的 IEEE 802.1X 驗證。只是您必須在每個單獨的有線用戶端 Windows XP 和 Windows Server 2003 上,手動進行 802.1X 驗證設定 (從 [網路連線] 資料夾中,網路連線內容的 [驗證] 索引標籤執行),因為我們無法為這些舊版作業系統集中設定或編寫有線 802.1X 設定。
幸好,現在群組原則中支援有線設定,再加上 Windows Vista® 和 Windows Server 2008 的 Netsh 工具也支援指令碼,部署 802.1X 有線設定要比過去簡單多了。
群組原則中的有線網路設定
使用有線自動設定服務
Windows XP 和 Windows Server 2003 是以無線零設定服務,控制有線連線的 802.1X 行為。這項服務在這兩個作業系統上都是預設啟用的服務,而有線網路連線是以被動接聽模式,等候交換器起始驗證作業。
相對的,Windows Vista 和 Windows Server 2008 是由有線自動設定服務控制有線連線的 802.1X 行為,不過它在預設情況下是停用的。因此,網路連線內容的 [驗證] 索引標籤要等有線自動設定服務啟動之後才會出現。
執行 Windows Vista 或 Windows Server 2008 的個別有線用戶端,可以使用 [服務] 嵌入式管理單元來啟動有線自動設定服務,並且設定讓它自動啟動。當有線自動設定服務啟動時,有線網路連線便以主動接聽模式運作,這時候網路連線就會啟動交換器驗證。
如果是 Active Directory 網域,則可以使用群組原則,設定讓有線自動設定服務自動啟動。您可以使用 [群組原則管理編輯器] 嵌入式管理單元,設定 [電腦設定] | [Windows 設定] | [安全性設定] | [系統服務] | [有線自動設定] 設定,來使用自動啟動模式。
為了將有線網路設定的設定作業集中化和自動化,Windows Server 2008 和 Windows Server 2003 Active Directory® 網域服務支援群組原則中的有線原則設定。這些設定可讓您將有線網路設定,設定為網域群組原則物件的電腦設定群組原則一部分。
有了這些有線原則設定,您就可以針對執行 Windows Server 2008 或 Windows Vista 的有線有戶端,指定驗證方法和其他 802.1X 設定。不論是加入網域、啟動,或是啟動之後定期使用設定,這兩個作業系統都會自動下載有線群組原則設定,並且套用它們。但是請注意,您必須擴充 Windows Server 2003 Active Directory 網域來支援這些新原則。有關擴充 Windows Server 2003 Active Directory 網域的方法,請參閱 technet.microsoft.com/bb727029。
您可以從 [群組原則管理編輯器] 嵌入式管理單元的 [電腦設定] | [Windows 設定] | [安全性設定] | [有線網路 (IEEE 802.3) 原則] 節點,設定有線原則。根據預設值,系統並無有線網路 (IEEE 802.3) 原則。若要建立新原則,請用滑鼠右鍵按一下主控台樹狀目錄中的 [有線網路 (IEEE 802.3) 原則],然後按一下 [建立新的 Windows Vista 原則]。
Windows Vista 有線原則的 [內容] 對話方塊,有 [一般] 和 [安全性] 兩個索引標籤。[圖 1] 是預設的 [一般] 索引標籤。您可以在 [一般] 索引標籤設定原則的名稱和說明,並且指定是否要以有線自動設定服務控制有線連線的 802.1X 行為。如需詳細資訊,請參閱本文的「使用有線自動設定服務」資訊看板。
![[圖 1] Windows Vista 有線原則的預設 [一般] 索引標籤](images/cc194418.fig01.gif)
[圖 1]** Windows Vista 有線原則的預設 [一般] 索引標籤 **
[圖 2] 是 Windows Vista 有線原則的預設 [安全性] 索引標籤。您可以在 [安全性] 索引標籤上啟用或停用 802.1X 驗證、選取和設定可延伸驗證通訊協定 (EAP) 驗證方法、選取驗證模式 (使用者重新驗證、僅限電腦、使用者驗證或訪客驗證)、設定放棄驗證前容許的驗證失敗次數,以及設定是否要快取使用者資訊供後續連線使用。停用快取時,Windows 會在使用者登出時,從登錄移除使用者認證資料。這樣,當下一個使用者登入時,畫面會提示他輸入他的認證 (例如使用者名稱和密碼)。
![[圖 2] Windows Vista 有線原則的預設 [安全性] 索引標籤。](images/cc194418.fig02.gif)
[圖 2]** Windows Vista 有線原則的預設 [安全性] 索引標籤。 **
當您按一下 [安全性] 索引標籤的 [進階] 按鈕時,可以設定 802.1X 和單一登入的進階設定。[圖 3] 是 Windows Vista 有線原則的預設 [進階安全性設定] 對話方塊。您可以在 [進階安全性設定] 對話方塊中,設定 802.1X 設定,如 [圖 4] 所示。
Figure 4 [進階安全性設定] 方塊中的 802.1X 設定
| 設定值 | 描述 |
| 送出的 EAPOL-Start 訊息上限 | 因為沒有收到對初始 EAPOL-Start 訊息的回應,而傳出的後續 EAP over LAN (EAPOL)-Start 訊息數目。 |
| 保留週期 | 因為沒有收到對之前傳送之 EAPOL-Start 訊息的回應,而重新傳輸 EAPOL-Start 訊息的時間間隔。 |
| 開始週期 | 當驗證用戶端收到驗證器傳來的驗證失敗指示訊息之後,而不執行任何 802.1X 驗證活動的期間。 |
| 驗證期間 | 驗證用戶端在起始端對端 802.1X 驗證之後,以及重新傳輸任何 802.1X 要求之前,所等待的期間。 |
| EAPOL-Start 訊息 | 當有線用戶端傳送 EAPOL-Start 訊息時。 |
![[圖 3] Windows Vista 有線原則的預設 [進階安全性設定] 對話方塊](images/cc194418.fig03.gif)
[圖 3]** Windows Vista 有線原則的預設 [進階安全性設定] 對話方塊 **
執行 Windows Server 2008 的有線用戶端,支援在有線連線時採用單一登入。這項功能也是針對即將問世的 Windows Vista Service Pack 1 而規劃。如需詳細資訊,請參閱 technetmagazine.com/issues/2007/11/CableGuy。
您會看到好幾個單一登入設定,您可以使用這些設定,在使用者登入程序之前或之後,執行使用者層級的 802.1X 驗證,並且等候指定秒數,讓使用者層級的 802.1X 驗證完成之後,再啟動使用者登入程序。您可以決定是否要在 Windows 登入畫面上,將使用者層級驗證的對話方塊,顯示在合併的輸入欄位之外。比方說,如果 EAP 類型要使用者在驗證時,確認 RADIUS 伺服器傳來的憑證,該 EAP 類型就可以顯示這個對話方塊。
此外,您也可以指定在執行使用者層級的驗證之後,讓系統起始有線介面卡 TCP/IP 設定的動態主機設定通訊協定 (DHCP) 更新。如果電腦和使用者層級驗證的有線用戶端各有各的虛擬 LAN (VLAN),而且那些 VLAN 是不同的 IPv4 或 IPv6 子網路,請選取這個選項。
Netsh 工具附隨的指令碼支援
Windows Server 2008 和 Windows Vista 支援在 Netsh 工具的 netsh lan 路徑位置中使用命令來設定有線設定,或者匯出或匯入有線設定檔,後者是一組 XML 格式的具名有線設定。有了有線設定的命令列設定,您不需要借助群組原則,就可以為有線設定建立自動化的指令碼,這也使得有線網路的部署更加方便。有線網路 (IEEE 802.3) 原則群組原則設定只適用於 Active Directory 網域。對於不具群組原則基礎結構的環境,則可以將指令碼包含為登入指令碼的一部分,透過手動或自動方式來執行,這個指令碼會以有線設定檔將有線連線設定作業自動化。
若要對執行 Windows Vista 或 Windows Server 2008 的有線用戶端執行命令列設定,請以適當的參數執行 netsh lan 命令。比方說,下面這個命令可以在一個名叫「區域連線」的網路連線啟用單一登入,並且設定單一登入,在使用者登入之前執行使用者驗證:
netsh lan set profileparameter interface="Local Area Connection" ssomode=prelogon
如需 netsh lan 命令語法的詳細資訊,請參閱 technet.microsoft.com/aa905084。
您可以利用 Netsh 工具,將有線 XML 設定檔從 Windows Server 2008 或 Windows Vista 有線用戶端匯出,然後再匯入到 Windows Server 2008 或 Windows Vista 有線用戶端。如果要匯出有線設定檔,請使用 netsh lan export profile 命令。如果要匯入有線設定檔,則使用 netsh lan add profile 命令。如需一些有用的有線設定檔範例,請參閱 msdn2.microsoft.com/aa816372。
有了命令列和 XML 設定檔支援,您可以將有線用戶端啟動載入到公司由 802.1X 驗證的有線網路。不屬於網域成員的有線用戶端電腦,就無法使用電腦認證連接到有線網路。此外,電腦必須順利連接到有線網路之後,才能夠加入該網域。但是,命令列和 XML 設定檔支援可讓有線電腦以使用者認證連接到公司的有線網路,然後將該電腦加到網域中。如需詳細資訊,請參閱 technet.microsoft.com/bb727031。
Joseph Davies 是 Microsoft 的技術文件作家,從 1992 年開始教導和編寫 Windows 網路方面的主題。他出過五本 Microsoft Press 的書,同時也是每個月線上 TechNet Cable Guy 專欄的作家。
© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.