Windows Server 2008

Uwierzytelnianie w sieci przewodowej IEEE 802.1X Udostępnij na: Facebook

Autor: Joseph Davies

Opublikowano: 20 sierpnia 2008

Zawartość strony
 Ustawienia sieci przewodowej w zasadach grup   Ustawienia sieci przewodowej w zasadach grup
 Wsparcie dla obsługi skryptów w narzędziu Netsh   Wsparcie dla obsługi skryptów w narzędziu Netsh

W wyniku wzrostu popularności uwierzytelniania IEEE 802.1X w sieciach bezprzewodowych IEEE 802.11, administratorzy sieci zapragnęli wykorzystywać ten standard również w połączeniach sieci przewodowej. Podobnie jak klient bezprzewodowy musi przesyłać poświadczenia, które są walidowane przed zezwoleniem na przekazanie ramki dalej do sieci intranet, klient przewodowej sieci IEEE 802.1X musi przeprowadzić uwierzytelnianie, zanim może wykorzystać port przełącznika (ang. switch). Uwierzytelnianie IEEE 802.1X stanowi dodatkową barierę zabezpieczającą dla sieci intranet. Pozwala uniemożliwić gościnnym, nieautoryzowanym lub niezarządzanym komputerom, które nie potrafią przeprowadzić pomyślnego uwierzytelnienia, łączenie się z siecią intranet.

Większość czytelników posiada prawdopodobnie przewodowe przełączniki, które oferują już wsparcie dla uwierzytelniania IEEE 802.1X i trzeba je jedynie włączyć oraz odpowiednio skonfigurować. Podczas uwierzytelniania i autoryzacji przewodowego połączenia przełączniki z wsparciem dla 802.1X wykorzystują zwykle protokół RADIUS (Remote Authentication Dial-In User Service) do wysyłania informacji o żądaniu połączenia do serwera RADIUS, takiego jak Serwer zasad sieciowych (NPS) w systemie Windows Server® 2008 lub serwer Usługi uwierzytelniania internetowego (IAS) w systemie Windows Server 2003.

Po skonfigurowaniu przełączników na potrzeby protokołu RADIUS , ale przed żądaniem uwierzytelniania 802.1X, musimy włączyć i skonfigurować uwierzytelnianie 802.1X na komputerach przewodowych. Uwierzytelnianie IEEE 802.1X dla połączeń sieci przewodowej jest wspierane w systemach Microsoft® Windows® począwszy od wersji Windows XP. Jednak w systemach Windows XP oraz Windows Server 2003 trzeba własnoręcznie skonfigurować ustawienia uwierzytelniania 802.1X na każdym pojedynczym kliencie sieci przewodowej (na karcie Uwierzytelnianie (Authentication) właściwości połączenia sieciowego w folderze Połączenia sieciowe (Network Connections)). Niestety nie istnieje metoda centralnego konfigurowania lub wykonywania skryptu ustawień przewodowej sieci 802.1X dla tych wcześniejszych wersji systemów operacyjnych.

Na szczęście w wersjach Windows Vista® oraz Windows Server 2008 wprowadzono wsparcie dla ustawień sieci przewodowej w zasadach grupy oraz wsparcie dla obsługi skryptów przy użyciu polecenia Netsh. Dzięki temu przeprowadzanie konfiguracji sieci przewodowej 802.1X jest dużo łatwiejsze niż kiedyś.

Ustawienia sieci przewodowej w zasadach grup

W celu scentralizowania i zautomatyzowania procesu konfiguracji ustawień sieci przewodowej, usługi domenowe Active Directory® w systemie Windows Server 2008 oraz Windows Server 2003 wspierają ustawienia sieci przewodowej w Zasadach grupy. Ustawienia te umożliwiają konfigurowanie ustawień sieci przewodowej w ramach Zasad grupy Konfiguracja komputera (Computer Configuration Group Policy) dla domenowego obiektu zasad grupy.

Przy użyciu tych ustawień zasad sieci przewodowej możemy określać metodę uwierzytelniania oraz inne ustawienia 802.1X dla klientów sieci przewodowej z systemem Windows Server 2008 lub Windows Vista. Wspomniane systemy operacyjne automatycznie pobierają i stosują ustawienia zasad grupy sieci przewodowej podczas dołączania do domeny, uruchamiania lub okresowo po uruchomieniu. Warto także wspomnieć, że aby domena usługi Active Directory w systemie Windows Server 2003 wspierała te nowe zasady, musi zostać rozszerzona. Więcej informacji na temat rozszerzania domeny Active Directory w systemie Windows Server 2003 znaleźć można pod adresem technet.microsoft.com/bb727029.

Możemy konfigurować zasady sieci przewodowej przy pomocy węzła Konfiguracja komputera| Ustawienia systemu Windows | Ustawienia zabezpieczeń | Zasady sieci przewodowej (IEEE 802.3) (Wired Network (IEEE 802.3) Policies) w przystawce Edytora zarządzania zasadami grupy. Domyślnie nie istnieją żadne Zasady sieci przewodowej (IEEE 802.3). Aby stworzyć nową zasadę, należy kliknąć prawym przyciskiem myszy węzeł Zasady sieci przewodowej (IEEE 802.3) na drzewie zaprezentowanym w konsoli, a następnie kliknąć opcję Utwórz nowe zasady systemu Windows Vista (Create a New Windows Vista Policy).

Okno dialogowe właściwości Zasady sieci przewodowej systemu Vista składa się z karty Ogólne (General) oraz karty Zabezpieczenia (Security). Rysunek 1 prezentuje domyślną kartę Ogólne. Na karcie Ogólne możemy skonfigurować nazwę i opis zasady oraz określić, czy chcemy używać usługi autokonfiguracji sieci przewodowej (Wired AutoConfig), która kontroluje działanie 802.1X w połączeniach przewodowych. Więcej informacji zawiera punkt "Wykorzystywanie usługi Wired AutoConfig" zamieszczona w tym artykule.

Rysunek 1: Domyślna karta Ogólne (General) Zasady sieci przewodowej systemu Vista.

Rysunek 2 prezentuje domyślną kartę Zabezpieczenia dla Zasad sieci przewodowej systemu Vista. Na karcie zabezpieczenia możemy włączyć lub wykluczyć uwierzytelnianie 802.1X, wybrać i skonfigurować metodę uwierzytelniania protokołu EAP (Extensible Authentication Protocol), wybrać tryb uwierzytelniania (ponowne uwierzytelnianie użytkownika, tylko komputer, uwierzytelnianie użytkownika lub uwierzytelnianie gościa), skonfigurować liczbę nieudanych prób uwierzytelniania (po przekroczeniu której uwierzytelnianie zostanie zaniechane) oraz określić, czy informacje o użytkownikach mają być przechowywane w pamięci podręcznej dla kolejnych połączeń. Gdy przechowywanie w pamięci podręcznej jest wyłączone, system Windows usuwa z rejestru dane poświadczeń użytkownika, gdy użytkownik dokonuje wylogowania. W efekcie kolejny użytkownik zostanie poproszony o wpisanie swoich poświadczeń (takich jak nazwa użytkownika i hasło) podczas logowania.

Rysunek 2: Domyślna karta Zabezpieczenia (Security) Zasad sieci przewodowej systemu Vista.

Gdy klikniemy przycisk Zaawansowane (Advanced) znajdujący się na karcie Zabezpieczenia, będziemy mogli skonfigurować zaawansowane ustawienia sieci 802.1X oraz rejestracji jednokrotnej (Single Sign-On). Rysunek 3 prezentuje domyślne okno dialogowe Zaawansowane ustawienia zabezpieczeń dla Zasad sieci przewodowej systemu Vista. Natomiast ustawienia 802.1X, które możemy konfigurować w oknie Zaawansowane ustawienia zabezpieczeń, zostały pokazane na Rysunku 4.

Rysunek 3: Domyślne okno dialogowe Zaawansowane ustawienia zabezpieczeń (Advanced Security Settings) dla Zasad sieci przewodowej systemu Vista.

Ustawienie Opis
Max liczba komunikatów uruchomienia EAPOL Liczba kolejnych wysyłanych komunikatów uruchomienia EAP over LAN (EAPOL), jeśli nie została otrzymana odpowiedź na poprzednie.
Okres przetrzymywania Interwał czasowy między retransmisją komunikatów uruchomienia EAPOL, jeśli nie została otrzymana odpowiedź na poprzednie komunikaty.
Okres uruchomienia Okres, w czasie którego klient uwierzytelniający nie wykona żadnej aktywności uwierzytelniania 802.1X, po otrzymaniu od wystawcy uwierzytelnień powiadomienia o niepowodzeniu uwierzytelnienia.
Okres uwierzytelniania Okres czasu, przez jaki klient uwierzytelniania będzie oczekiwał przed ponowną transmisją żądania 802.1X po zainicjowaniu uwierzytelniania 802.1X typu end-to-end.
Komunikat uruchomienia EAPOL Kiedy klient sieci przewodowej przesyła komunikat uruchomienia EAPOL.

 

Rysunek 4: Ustawienia 802.1X w oknie Zaawansowane ustawienia zabezpieczeń (Advanced Security Settings)

Klienci sieci przewodowej z systemem Windows Server 2008 wspierają rejestrację jednokrotną dla połączeń przewodowych. Planowano wprowadzenie tej funkcji w publikacji dodatku Windows Vista Service Pack 1. Dodatkowe informacje można znaleźć online pod adresem technetmagazine.com/issues/2007/11/CableGuy.

Dostępne są ustawienia rejestracji do wykonywania uwierzytelniania 802.1X na poziomie użytkownika przed procesem logowania użytkownika lub po tym procesie, a także ustawienie oczekiwania przez skonfigurowaną liczbę sekund na zakończenie procesu uwierzytelniania 802.1X na poziomie użytkownika przed rozpoczęciem procesu logowania. Możemy określić, czy mają być wyświetlane okna dialogowe dla uwierzytelniania na poziomie użytkownika, poza zestawem pól wejściowych na ekranie logowania Windows. Na przykład, jeśli typ EAP chce, aby użytkownik potwierdził certyfikat przesłany z serwera RADIUS podczas uwierzytelniania, może wyświetlić okno dialogowe.

Ponadto możemy określić, że po przeprowadzeniu uwierzytelniania na poziomie użytkownika system powinien odnowić konfigurację TCP/IP adaptera sieci przewodowej z wykorzystaniem protokołu DHCP (Dynamic Host Configuration Protocol). Powinniśmy zaznaczyć tę opcję, gdy posiadamy osobne wirtualne sieci LAN (VLAN) dla klientów sieci przewodowej uwierzytelnionych na poziomie komputera oraz na poziomie użytkownika, jeśli te sieci VLAN stanowią inne podsieci IPv4 lub IPv6.

Wykorzystywanie usługi Wired AutoConfig

W systemach Windows XP oraz Windows Server 2003 działanie 802.1X w połączeniach przewodowych jest kontrolowane przez usługę Wireless Zero Configuration. W tych systemach operacyjnych usługa ta była domyślnie włączona i połączenia sieci przewodowej były umieszczane w pasywnym trybie nasłuchiwania, oczekując, aż przełącznik zainicjuje uwierzytelnianie.

Dla odmiany w systemach Windows Vista oraz Windows Server 2008, usługa Wired AutoConfig (usługa autokonfiguracji sieci przewodowej) kontroluje działanie 802.1X w połączeniach przewodowych, ale jest domyślnie wyłączona. A zatem karta Uwierzytelnianie (Authentication) dla właściwości połączeń sieciowych nie pojawi się, dopóki usługa Wired AutoConfig nie zostanie uruchomiona.

Dla pojedynczych klientów sieci przewodowej z systemem Windows Vista lub Windows Server 2008 możemy wykorzystać przystawkę Usługi (Services) do uruchomienia usługi Wired AutoConfig i skonfigurowania jej tak, aby była ona uruchamiana automatycznie. Gdy usługa Wired AutoConfig jest uruchomiona, połączenia sieci przewodowej działają w trybie aktywnego nasłuchiwania, w którym połączenie sieciowe próbuje zainicjować uwierzytelnianie przy użyciu przełącznika.

W przypadku domeny Active Directory można użyć Zasad grupy do skonfigurowania automatycznego uruchamiania usługi Wired AutoConfig. Przy pomocy przystawki Edytora zarządzania zasadami grupy (Group Policy Management Editor) należy ustawić tryb automatycznego uruchamiania usługi we właściwościach ustawienia Konfiguracja komputera (Computer Configuration) | Ustawienia systemu Windows (Windows Settings) | Ustawienia zabezpieczeń (Security Settings) | Usługi systemowe (System Services) | Wired AutoConfig.

 Do początku strony Do początku strony

Wsparcie dla obsługi skryptów w narzędziu Netsh

Systemy Windows Server 2008 oraz Windows Vista wspierają polecenia w kontekście netsh lan narzędzia Netsh. Służą one do konfigurowania ustawień sieci przewodowej lub eksportowania bądź importowania profilu sieci przewodowej, który stanowi nazwany zestaw ustawień sieci przewodowej w formacie XML. Dzięki mechanizmowi konfiguracji ustawień sieci przewodowej z poziomu wiersza polecenia, można rozmieszczać sieci przewodowe, tworząc zautomatyzowane skrypty dla ustawień sieci przewodowej, bez stosowania zasad grupy. Ustawienia Zasady sieci przewodowej (IEEE 802.3) są stosowane jedynie w domenie usługi Active Directory. W przypadku środowiska bez infrastruktury zasad grupy, skrypt, który automatyzuje konfigurację połączeń przewodowych przy użyciu profilu sieci przewodowej, może zostać uruchomiony ręcznie lub automatycznie (także w ramach skryptu logowania).

Aby z poziomu wiersza poleceń przeprowadzić konfigurację klientów sieci przewodowej z systemem Windows Vista lub Windows Server 2008, należy uruchomić polecenie netsh lan z odpowiednimi parametrami. Na przykład następujące polecenie włącza rejestrację jednokrotną dla połączenia sieciowego o nazwie "Local Area Connection" i konfiguruje rejestrację jednokrotną tak, aby uwierzytelnianie użytkownika było wykonywane przed logowaniem:

netsh lan set profileparameter interface="Local Area Connection" ssomode=prelogon

Więcej informacji na temat składni polecenia netsh lan znaleźć można pod adresem technet.microsoft.com/aa905084.

Profile XML sieci przewodowej mogą zostać wyeksportowane z klienta sieci przewodowej systemu Windows Server 2008 lub Windows Vista, a następnie zaimportowane na kliencie sieci przewodowej systemu Windows Server 2008 lub Windows Vista przy pomocy narzędzia Netsh. Aby wyeksportować profile sieci przewodowej, należy użyć polecenia netsh lan export profile. Aby zaimportować profil sieci przewodowej, należy użyć polecenia netsh lan add profile. Zestaw przydatnych, przykładowych profili sieci przewodowej znaleźć można pod adresem msdn2.microsoft.com/aa816372.

Dzięki wsparciu dla profili XML z poziomu wiersza poleceń, można uruchomić i skonfigurować klienta sieci przewodowej z uwierzytelnianiem 802.1X. Komputer klienta sieci przewodowej, który nie jest członkiem domeny, nie może połączyć się z siecią przewodową przy pomocy poświadczeń komputera. Ponadto komputer nie może dołączyć do domeny, dopóki nie zostanie pomyślnie połączony z siecią przewodową. Jednak wsparcie dla wiersza polecenia i profili XML sprawia, ze możliwe jest połączenie komputera z siecią przewodową organizacji przy użyciu poświadczeń użytkownika, a następnie dołączenie komputera do domeny. Więcej informacji znaleźć można pod adresem technet.microsoft.com/bb727031.

O autorze

Joseph Davies pracuje jako autor techniczny w firmie Microsoft i od 1992 roku zajmuje się uczeniem i pisaniem o zagadnieniach związanych z sieciami Windows. Napisał pięć książek wydanych przez Microsoft Press i jest autorem artykułów online publikowanych co miesiąc w ramach serii TechNet Cable Guy.

 Do początku strony Do początku strony  

Windows Server 2008