网络专家IEEE 802.1X 有线身份验证
Joseph Davies
本文基于 Windows Server 2008 的预发布版。文中的详细信息均可能会有所变更。
随着 IEEE 802.11 无线网络 IEEE 802.1X 身份验证的普及,网络管理员也想将此标准用于其有线网络。就像无线客户端在允许向 Intranet 转发无线帧之前必须提交一系列凭据一样,
IEEE 802.1X 有线客户端在使用其交换机端口前也必须执行身份验证。IEEE 802.1X 为 Intranet 访问提供了一层额外的安全保障 — 您可以防止未通过身份验证的来宾、未授权或非管理的计算机连接到 Intranet。
可能您的有线交换机已经支持 IEEE 802.1X 身份验证,只需启用并配置即可。对于有线连接的身份验证和授权,启用 802.1X 的交换机通常使用远程身份验证拨号用户服务 (RADIUS) 协议向 RADIUS 服务器发送连接请求,如基于 Windows Server® 2008 的网络策略服务器 (NPS) 或 Windows Server 2003 Internet 身份验证服务 (IAS) 服务器。
在您针对 RADIUS 对交换机进行配置之后,若需要进行 802.1X 身份验证,还必须在您的有线计算机上启用并配置 802.1X 身份验证。自 Windows XP 后,Microsoft® Windows® 中就开始支持有线网络连接的 IEEE 802.1X 身份验证。但是,您必须在每台有线客户端的 Windows XP 和 Windows Server 2003 中手动配置 802.1X 身份验证设置(在 Network Connections 文件夹中网络连接属性的“身份验证”选项卡中)。遗憾的是,现在还不能集中为那些早期版本的操作系统配置有线 802.1X 设置或为其编写脚本。
幸运的是,Windows Vista® 和 Windows Server 2008 中的“组策略”支持有线设置,并且可使用 Netsh 工具编写脚本,这使 802.1X 有线设置的部署变得比以前更为简单。
组策略中的有线网络设置
使用有线自动配置服务
在 Windows XP 和 Windows Server 2003 中,有线连接的 802.1X 行为由“无线零配置”服务控制。在这些操作系统中,此服务默认为启用并将有线网络连接置于被动侦听模式,等候交换机启动身份验证。
反之,在 Windows Vista 和 Windows Server 2008 中,“有线自动配置”服务控制有线连接的 802.1X 行为,但默认处于禁用状态。因此,只有先启动“有线自动配置”服务,才会显示网络连接属性的“身份验证”选项卡。
对于运行 Windows Vista 或 Windows Server 2008 的单个有线客户端,您可使用“服务”管理单元启动“有线自动配置”服务并将其配置为自动启动。启动“有线自动配置”服务后,有线网络连接在活动侦听模式下运作,在此模式下,网络连接试图用交换机启动身份验证。
在 Active Directory 域中,您可使用“组策略”配置“有线自动配置”服务以实现自动启动。使用“组策略管理编辑器”管理单元,可配置“计算机配置”|“Windows 设置”|“安全设置”|“系统服务”|“有线自动配置”,从而设定自动启动模式。
为集中自动配置有线网络设置,Windows Server 2008 和 Windows Server 2003 Active Directory® 域服务支持组策略中的有线策略设置。您可以使用这些设置配置有线网络设置,使其成为基于域的组策略对象的计算机配置组策略内容。
通过这些有线策略设置,您可为运行 Windows Server 2008 或 Windows Vista 的有线客户端指定身份验证方法和其他 802.1X 设置。加入域后,这些操作系统会在启动时或在启动后定期自动下载并应用有线组策略设置。仅有一点需要注意,即必须扩展 Windows Server 2003 Active Directory 域来支持这些新策略。有关如何扩展 Windows Server 2003 Active Directory 域的信息,请访问 technet.microsoft.com/bb727029。
您可以在“组策略管理编辑器”管理单元的“计算机配置”|“Windows 设置”|“安全设置”|“有线网络 (IEEE 802.3) 策略”节点内配置有线策略。默认情况下并不存在有线网络 (IEEE 802.3) 策略。要创建新策略,请右键单击控制台树中的“有线网络 (IEEE 802.3) 策略”,然后单击“创建一个新 Windows Vista 策略”。
Windows Vista 有线策略的属性对话框包含“常规”和“安全”两个选项卡。图 1 显示了默认“常规”选项卡。在“常规”选项卡上,您可以配置策略的名称和说明,并指定是否使用有线自动配置服务,该服务控制有线连接的 802.1X 行为。有关详细信息,请参阅本专栏的“使用有线自动配置服务”边栏。
图 1** Windows Vista 有线策略的默认“常规”选项卡 **
图 2 显示了 Windows Vista 有线策略的默认“安全”选项卡。在“安全”选项卡上,您可以启用或禁用 802.1X 身份验证、选择并配置“可扩展身份验证协议 (EAP)”身份验证方法、选择身份验证模式(用户重新身份验证、仅限计算机、用户身份验证或来宾身份验证)、配置在放弃身份验证前允许其尝试失败的次数,并配置是否为后续连接缓存用户信息。如禁用缓存,Windows 会在用户注销后从注册表删除用户凭据数据。这样,当下一个用户登录时,系统将提示他们出示其凭据(如用户名和密码)。
图 2** Windows Vista 有线策略的默认“安全”选项卡 **
单击“安全”选项卡上的“高级”按钮,可为 802.1X 或单一登录配置高级设置。图 3 显示了 Windows Vista 有线策略的默认“高级”安全设置对话框。在该对话框中,您可以配置 802.1X 设置,如图 4 所示。
Figure 4 “高级”安全设置对话框中的 802.1X 设置
| 设置 | 说明 |
| 最大 EAPOL-Start 消息数 | 在没有收到对初始 EAPOL-Start 消息的响应时,连续发出的 EAP over LAN (EAPOL)-Start 消息的数量。 |
| 保持时间 | 在没有收到对先前发出的 EAPOL-Start 消息的响应时,重新传送 EAPOL-Start 消息的时间间隔。 |
| 启动时间 | 身份验证客户端在接收到来自身份验证方的失败指示后,不执行任何 802.1X 身份验证活动的时间。 |
| 身份验证时间 | 身份验证客户端在开始端到端 802.1X 身份验证之后重新传送任何 802.1X 请求之前所等待的时间。 |
| EAPOL-Start 消息 | 有线客户端发送的 EAPOL-Start 消息。 |
图 3** Windows Vista 有线策略的默认“高级”安全设置对话框 **
运行 Windows Server 2008 的有线客户端支持有线连接的单一登录特性。Windows Vista Service Pack 1 即将发布的新版本也计划包含此功能,请在线查看 technetmagazine.com/issues/2007/11/CableGuy 了解详细信息。
“单一登录”设置可用于在用户登录前后执行用户级 802.1X 身份验证,并在开始用户登录前等候配置的秒数,直到用户级 802.1X 身份验证完成。您可以确定除了合并 Windows 登录屏幕的输入字段,是否还显示用户级身份验证对话框。例如,如果 EAP 类型希望用户确认在身份验证过程中从 RADIUS 服务器发送的证书,EAP 类型可显示该对话框。
此外,您还可以指定在执行用户级身份验证后,系统启动有线适配器 TCP/IP 配置的动态主机配置协议 (DHCP) 续订。如果计算机级和用户级身份验证的有线客户端使用不同的虚拟 LAN (VLAN),并且这些 VLAN 属于不同的 IPv4 或 IPv6 子网,请选择此选项。
支持使用 Netsh 工具编写脚本
Windows Server 2008 和 Windows Vista 支持 Netsh 工具 netsh lan 上下文中的命令,以便配置有线设置或导出/导入有线配置文件(它是一组已命名的 XML 格式有线设置)。通过有线设置的命令行配置,您可在不使用组策略的情况下创建有线设置的自动脚本,从而更轻松地部署有线网络。“有线网络 (IEEE 802.3) 策略组策略”设置仅在 Active Directory 域内适用。对于没有组策略基础结构的环境,可以手动或自动运行用于自动化通过有线配置文件配置有线连接的过程的脚本(登录脚本的一部分)。
要对运行 Windows Vista 或 Windows Server 2008 的有线客户端执行命令行配置,请使用合适的参数运行 netsh lan 命令。例如,以下命令可为名为“本地连接”的网络连接启用“单一登录”,并对“单一登录”进行配置以在用户登录前执行用户身份验证:
netsh lan set profileparameter interface="Local Area Connection" ssomode=prelogon
有关 netsh lan 命令语法的详细信息,请访问 technet.microsoft.com/aa905084。
可从 Windows Server 2008 或 Windows Vista 有线客户端导出有线 XML 配置文件,然后使用 Netsh 工具将其导入 Windows Server 2008 或 Windows Vista 有线客户端。要导出有线配置文件,请使用 netsh lan 导出配置文件命令。如果想导入有线配置文件,请使用 netsh lan 添加配置文件命令。有关有线配置文件的有用示例,请访问 msdn2.microsoft.com/aa816372。
在命令行和 XML 配置文件的支持下,您可在组织的经 802.1X 验证的有线网络中启动有线客户端。如果有线客户端计算机不是域的成员,则无法使用计算机凭据连接有线网络。此外,计算机只有成功连接有线网络后才能加入域。不过,在命令行和 XML 配置文件的支持下,有线计算机可以使用用户凭据连接到组织的有线网络,然后将计算机加入域。有关详细信息,请访问 technet.microsoft.com/bb727031。
Joseph Davies 是 Microsoft 的一位技术撰稿人,从 1992 年起一直从事 Windows 网络主题的培训和编写工作。他曾为 Microsoft Press 编写了五本著作,是每月在线 TechNet 网络专家专栏的作者。
© 2008 Microsoft Corporation 与 CMP Media, LLC.保留所有权利;不得对全文或部分内容进行复制.