• 项目

网络专家无线单一登录

Joseph Davies

建立的无线连接必须通过专用网络进行身份验证,这为用户和管理员等带来另一层次的难题。基于 Windows 的无线客户端是 Active Directory 域的组成部分,它必须执行基于 IEEE 802.1X 的身份验证才能获得受保护的

无线连接和域登录。因为身份验证涉及到用户凭据或计算机凭据,而且域登录依赖于网络连接,所以在配置身份验证的执行顺序和指定使用的凭据时,将会出现问题。所有这些都会影响域登录并使用户多次收到提供凭据的提示。

幸运的是,Windows Vista® 中的无线单一登录允许在用户登录前指定对 Wi-Fi 安全访问 2 (WPA2)-企业和 WPA-企业进行 IEEE 802.1X 身份验证,对无线对等保密 (WEP) 进行 802.1X 身份验证。这将使您可以在特定配置中解决域登录问题。无线单一登录还可以实现无线身份验证与 Windows® 登录体验的无缝集成,从而使用户更乐于接受。鉴于以上原因,本月我将介绍一下无线单一登录的功能、配置方法以及用户登录过程中的操作方法。

单一登录基础知识

Windows 无线客户端只需使用计算机凭据或用户凭据或两者就可以对无线网络执行身份验证。仅使用计算机凭据时,在显示 Windows 登录屏幕前,Windows 将执行 802.1X 身份验证。这可使无线客户端计算机较早访问网络资源(如 Active Directory® 域控制器)。

仅使用用户凭据时,未进行单一登录的 Windows 在完成用户登录过程后执行 802.1X 身份验证。图 1 显示了此种情况的启动和登录时间线。

图 1 仅使用用户凭据进行无线身份验证的时间线

图 1** 仅使用用户凭据进行无线身份验证的时间线 **(单击该图像获得较大视图)

由于不存在本地缓存的用户帐户凭据,并且无法连接到域控制器对新登录凭据进行身份验证,所以仅使用用户凭据进行无线身份验证将出现用户无法经由初始域登录到计算机的后果。另外,因为此时无法连接到 Active Directory 域的域控制器,所以一些域登录操作将会失败。登录脚本、组策略更新以及用户配置文件更新将会失败,从而导致 Windows 事件日志出现错误。

一起使用用户凭据和计算机凭据时,在显示 Windows 登录屏幕前,Windows 将使用计算机凭据执行 802.1X 身份验证。用户登录后,Windows 将使用用户凭据再执行一次 802.1X 身份验证。有些网络基础结构对使用计算机凭据和用户凭据进行身份验证的计算机分别使用不同的虚拟 LAN (VLAN)。如果在用户登录过程完成后对使用用户凭据的无线网络进行身份验证和转换到用户身份验证的 VLAN,Windows 无线客户端会在用户登录过程中无权访问用户身份验证 VLAN 上的网络资源,如 Active Directory 域控制器。同样,这将导致域登录操作失败。

如果使用用户凭据进行的无线身份验证使用不同于用户登录凭据的安全凭据,将会出现其他问题。对于这些配置,Windows 将在开始无线身份验证时提示使用其他用户凭据,这很容易引起混淆。

Windows Vista 的单一登录功能旨在解决域登录问题、隔离计算机身份验证和用户身份验证的 VLAN,并提示用户在不同时间使用不同的凭据。通过单一登录,网络管理员可指定在执行用户登录过程前使用用户凭据进行无线身份验证。当用户登录和无线身份验证所需的用户凭据不同时,Windows 登录屏幕将请求和收集所有需要的凭据。

通过单一登录,可将 Windows Vista 无线客户端配置为在用户登录前使用用户凭据执行无线网络身份验证。图 2 显示了新的启动和登录时间线。

图 2 用户登录前使用用户凭据执行的无线网络身份验证的时间线

图 2** 用户登录前使用用户凭据执行的无线网络身份验证的时间线 **(单击该图像获得较大视图)

这允许不同的 VLAN 仅使用用户凭据或使用用户凭据和计算机凭据两者的配置,而不会减少任何功能。由于无线客户端在用户开始登录前具有网络连接或到通过用户身份验证的 VLAN 的连接,所以域登录操作会成功完成。有关示例,请参阅 microsoft.com/technet/network/wifi/vista_bootstrap_wireless.mspx 中的“将 Windows Vista 无线客户端连接到域”。

基于无线配置文件的配置,单一登录合并了无线身份验证用户凭据的输入字段,并将它们添加到 Windows 登录屏幕上。因此,用户同时提供用户登录和使用用户凭据进行无线身份验证的所有用户凭据。

为 Windows Vista 中新的 EAPHost 体系结构编写的可扩展身份验证协议 (EAP) 方法可使用 EAP 登录前身份验证提供程序 (PLAP) 支持 API,以涵盖 Windows 登录屏幕上身份验证所需的输入字段。有关详细信息,请参阅 msdn2.microsoft.com/bb530584 中的 SSO 和 PLAP API。

作为单一登录会话的示例,请考虑将 Windows Vista 无线客户端配置为仅使用用户凭据、用户名和密码进行身份验证以供执行域登录和 802.1X 身份验证。当用户在初始 Windows Vista 屏幕按下 Ctrl+Alt+Del 时,单一登录则可确定必须在用户登录前进行 802.1X 身份验证。当用户键入其用户名和密码时,单一登录将首先执行基于用户的无线网络身份验证,然后将显示一条消息指示已按用户名连接到无线网络。执行无线身份验证后,Windows Vista 将执行用户登录并显示用户桌面。

配置单一登录

幕后

为了加深您对无线身份验证过程的了解,我们来更详细地看一下用户实际尝试登录后会出现什么情况。当用户按下 Ctrl+Alt+Del 以便在运行 Windows Vista 的无线客户端上进行用户登录时,将执行以下步骤:

  1. 无线自动配置确定要使用的无线网络配置文件。如果无线客户端已成功使用计算机凭据执行了身份验证,则使用当前连接的无线网络配置文件。如果确定的无线配置文件配置为仅使用计算机凭据进行身份验证,则无需使用用户凭据进行其他无线身份验证。步骤 2 到 6 假设所选的无线配置文件配置为使用用户凭据执行身份验证,启用了单一登录,并选择了“用户登录前立即执行”设置。
  2. 用户键入用户登录和无线身份验证(如果需要)所需的凭据,然后启动用户登录。
  3. Windows 将为用户显示一条消息,指示正在尝试连接到无线网络名称。
  4. Windows 将尝试使用用户凭据执行无线网络身份验证。如果启用了“在单一登录过程中允许显示辅助对话框”设置,并且 EAP 类型需要为用户显示辅助对话框,则 Windows 将显示这些对话框。如果在连接最大延迟(以秒计)期间未成功进行无线身份验证,则会放弃进行无线身份验证。如果选择了“本网络使用不同的 VLAN 对计算机凭据和用户凭据进行身份验证”设置,则在无线身份验证成功后,Windows 将对无线网络适配器的 IP 地址配置执行 DHCP 续订。
  5. Windows 将执行用户登录过程。
  6. Windows 将显示桌面。

如果选择了“用户登录后立即执行”设置,Windows 将会按以下顺序执行这些步骤:1、2、5、3、4、6。

若要启用和配置单一登录,可以使用无线网络 (IEEE 802.11) 策略组策略扩展并为 Windows Vista 策略的无线配置文件配置高级安全设置。有关详细信息,请参阅 technetmagazine.com/issues/2007/04/CableGuy 上的“Windows Vista 的无线组策略设置”。

在“高级安全设置”对话框中,可根据需要为此网络选择“启用单一登录”,并配置单一登录选项。图 3 显示了已启用且具有默认设置的单一登录示例。

图 3 默认的单一登录设置

图 3** 默认的单一登录设置 **

单一登录可以设置为在用户登录过程前后立即执行 802.1X 无线身份验证,也可指定在开始用户登录过程前执行 802.1X 身份验证的延迟时间。您还可以指示在 Windows 登录屏幕上是否显示除输入字段合并外的对话框。例如,如果 EAP 类型希望用户确认在身份验证过程中从“远程身份验证拨入用户服务”(RADIUS) 服务器发送的证书,EAP 类型可显示该对话框。

您还可以指定在执行基于用户的身份验证后,无线客户端应对无线适配器的 TCP/IP 配置启动“动态主机配置协议”(DHCP) 续订。如果基于计算机和用户身份验证的无线客户端使用不同的 VLAN,并且这些 VLAN 属于不同的 IPv4 或 IPv6 子网,请选择此选项。

在策略中创建了包含单一登录设置的无线配置文件后,也可以通过将配置文件导出为 XML 文件,然后在 Windows Vista 无线客户端导入该 XML 文件来配置 Windows Vista 无线客户端。

若要创建单一登录的 XML 无线配置文件,请使用适当的无线单一登录设置创建无线配置文件。在 Windows Vista 无线策略的“常规”选项卡上,单击单一登录设置的无线配置文件,然后单击“导出”。出现提示后,可指定配置文件 XML 的文件名及其位置。

若要使用 XML 配置文件来配置另一 Windows Vista 无线配置客户端,请使用以下命令导入 XML 配置文件:

netsh wlan add profile filename=
    "[FileName].xml"

若要确定某个无线配置文件是否启用了单一登录,请使用:

netsh wlan show profile=[ProfileName]

单一登录设置列在 netsh wlan show profile 命令显示的“Security settings”部分和 Windows 事件日志中无线连接事件的文本中。您也可以使用事件查看器管理单元查看应用程序和服务日志的 Microsoft\Windows\WLAN-AutoConfig 文件夹中的事件,其来源为“WLAN-AutoConfig”,事件 ID 为 13001、13002、13003 和 13004。

有关详细信息,请参阅 microsoft.com/wifi 上的无线联网网页。然后查看“幕后”侧栏以获取有关单一登录过程的更多详细信息。

Joseph Davies是 Microsoft 的一位技术撰稿人,从 1992 年起一直在培训和编写 Windows 联网主题。他曾为微软出版社编写了五本著作,并且是月刊《TechNet 杂志》**网络专家专栏的作者。

© 2008 Microsoft Corporation 与 CMP Media, LLC.保留所有权利;不得对全文或部分内容进行复制.