無線部署技術和元件概觀

無線部署技術和元件概觀

更新日期: 2008 年 1 月 3 日

本頁內容

摘要
無線區域網路技術概觀
Windows 的無線支援
RADIUS
EAP
IAS 和遠端存取原則
憑證
摘要
相關連結

摘要

在組織中部署 IEEE 802.11 無線區域網路連線之前,最好先瞭解受保護無線區域網路和其驗證基礎結構的元件。本文章說明無線區域網路的元素、連線和驗證的處理程序、無線安全性技術,以及 Microsoft(R) Windows Server(R) 2003 所提供的無線區域網路驗證基礎結構元件。

無線區域網路技術概觀

本節說明下列各主題:

  • 無線區域網路元件

  • IEEE 802.11

  • IEEE 802.11 作業模式

  • IEEE 802.11 無線安全性

  • IEEE 802.1X

  • Wi-Fi 保護的存取

  • Wi-Fi 保護的存取 2

無線區域網路元件

無線區域網路由下列元件組成:

  • 工作站

  • 無線存取點

各元件如圖 1 所示。

圖 1   無線區域網路的元件

圖 1:無線區域網路的元件

工作站

工作站 (STA) 是無線區域網路介面卡配備的運算裝置。配備無線區域網路介面卡的個人電腦稱為無線用戶端。無線用戶端可以彼此直接通訊或透過無線存取點進行通訊。

無線用戶端可以移動。

Windows 無線用戶端是已安裝無線網路介面卡和驅動程式且執行 Windows Vista(TM)、Windows XP 或 Windows Server 2003 的無線用戶端。

無線存取點

無線存取點 (AP) 是配備無線區域網路介面卡的網路裝置,而這個無線區域網路介面卡將做為 STA 與傳統有線網路之間的橋接器。存取點包含:

  • 至少一個可將無線 AP 連線至現有的有線網路 (例如乙太網路骨幹) 的介面。

  • 可用來建立與無線用戶端之無線連線的無線電設備。

  • IEEE 802.1D 橋接軟體,可做為無線與有線區域網路區段之間的透明橋接器。

無線 AP 與行動電話網路的基地台類似;無線用戶端可以透過無線 AP 與有線網路和其他無線用戶端通訊。

無線 AP 無法移動。它被當做延伸有線網路的周邊橋接器裝置。

無線用戶端與無線 AP 之間的邏輯連線是點對點橋接的區域網路區段,類似於與乙太網路交換器連接的乙太網路型網路用戶端。從無線用戶端傳送的所有框架 (不論是單點傳播、多點傳送或廣播) 都會在無線用戶端與無線 AP 之間的點對點區域網路區段上傳送。由無線 AP 傳送給無線用戶端的各種框架中,單點傳播框架會在點對點區域網路區段上傳送,多點傳送和廣播框架則會同時傳送至所有連線的無線用戶端。

IEEE 802.11

IEEE 802.11 是共用存取無線區域網路 (WLAN) 的業界標準,定義實體層和媒體存取控制 (MAC) 子層以進行無線通訊。

802.11 實體層

在實體層,IEEE 802.11 會同時定義 Direct Sequence Spread Spectrum (DSSS) 和 Frequency Hopping Spread Spectrum (FHSS) 傳輸架構。IEEE 802.11 的原始位元率是使用 S 頻 2.4-2.5 GHz 工業、科學與醫療應用 (ISM) 頻帶的 2 Mbps 和 1 Mbps。IEEE 802.11b 的最高位元率是 11 Mbps (使用 DSSS)。IEEE 802.11a 的最高位元率是使用正交分頻多工 (OFDM) 傳輸架構的 54 Mbps,且頻率位在 5 GHz 範圍內 (包含 5.725-5.875 GHz C 頻 ISM 頻帶)。IEEE 802.11g 標準使用 OFDM、具有最高位元率 54 Mbps,並使用 S 頻 ISM。

802.11 MAC 子層

在 MAC 子層,IEEE 802.11 會使用載波感測多重存取/碰撞避免 (CSMA/CA) 媒體存取控制 (MAC) 通訊協定,其運作方式如下:

  • 具有要傳輸之框架的無線工作站會先在無線通道進行接聽,以判斷另一個工作站目前是否正在進行傳輸 (載波感測)。如果該媒體已被使用,無線工作站會計算隨機輪詢延遲。只有在隨機輪詢延遲之後,無線工作站才會再次接聽傳輸工作站。透過設定隨機輪詢延遲,多個等待傳輸的工作站就不會同時嘗試傳輸 (碰撞避免)。

CSMA/CA 架構無法保證絕不會發生碰撞,而且傳輸節點很難偵測是否會發生碰撞。此外,根據無線 AP 和無線用戶端的配置,無線電頻率 (RF) 障礙可讓無線用戶端無法感測另一個無線節點正在傳輸。這稱為隱藏工作站問題。

為了提供更好的碰撞偵測和隱藏工作站問題的解決方案,IEEE 802.11 也會定義認可 (ACK) 框架的使用方式來表示已順利接收無線框架,並定義使用要求傳送 (RTS) 和清除傳送 (CTS) 訊息。工作站想要傳輸框架時,就會傳送 RTS 訊息指明傳送框架所需的時間。無線 AP 會將權限授與要求工作站,並通知所有工作站不允許在 RTS 訊息保留的時間內進行傳輸,以將 CTS 訊息傳送至所有工作站。交換 RTS 和 CTS 訊息會排除隱藏工作站造成的碰撞。

802.11b

IEEE 802.11b 針對 IEEE 802.11 所改善的主要功能是標準化實體層以支援較高的位元率。IEEE 802.11b 支援使用 S 頻 ISM 其他兩種速度 (5.5 Mbps 和 11 Mbps)。IEEE 802.11b 使用 DSSS 傳輸架構來提供較高的資料率。在理想狀況下可達到 11 Mbps 的位元率。在較不理想的狀況下,802.11b 會使用較慢的速度:5.5 Mbps、2 Mbps 和 1 Mbps。

802.11a

IEEE 802.11a 是以高達 54 Mbps 的資料傳輸率作業,而且使用 C 頻 ISM。802.11a 使用 OFDM,而不是 DSSS。OFDM 允許依子頻率平行傳輸資料,以便提供較大的干擾電阻以及較高的產能。這種較高的速度技術允許無線區域網路執行較佳的視訊和會議應用程式。因為 OFDM 和 IEEE 802.11a 的頻率與藍芽或微波爐不同,所以可以提供較高的資料率和較無雜訊的信號。在理想狀況下可達到 54 Mbps 的位元率。在較不理想的狀況下,802.11a 會使用較慢的速度:48 Mbps、36 Mbps、24 Mbps、18 Mbps、12 Mbps 和 6 Mbps。

802.11g

IEEE 802.11g 是較新的標準,最高可使用 54 Mbps 的位元率作業,但使用 S 頻 ISM 和 OFDM。802.11g 也可與 802.11b 回溯相容,而且可使用 802.11b 位元率作業,並使用 DSSS 傳輸架構。802.11g 無線網路介面卡可以連線至 802.11b 無線 AP,而 802.11b 無線網路介面卡可以連線至 802.11g 無線 AP。因此,802.11g 提供遷移路徑,讓 802.11b 網路可以遷移至具有較高位元率的頻率相容標準技術。現有的 802.11b 無線網路介面卡不可以透過更新介面卡的韌體來升級至 802.11g,必須予以更換。從 802.11b 遷移至 802.11g 與從 802.11b 遷移至 802.11a 不同,因為前者可以透過累加方式完成,後者則必須同時更換無線用戶端和無線 AP 中的所有網路介面卡。

802.11g 與 802.11a 相似,在理想狀況下會使用 54 Mbps,在較不理想的狀況下則會使用較慢的速度:48 Mbps、36 Mbps、24 Mbps、18 Mbps、12 Mbps 和 6 Mbps。

IEEE 802.11 作業模式

IEEE 802.11 定義下列作業模式:

  • 臨機操作模式

  • 基礎結構模式

臨機操作模式

在臨機操作模式中,無線用戶端不需使用無線 AP 或有線網路即可直接互相通訊 (如圖 2 所示)。

圖 2   臨機操作模式

圖 2:臨機操作模式

臨機操作模式也稱為對等式模式。處於臨機操作模式的無線用戶端會形成獨立基本服務組 (IBSS),這是由兩個以上不使用無線 AP 而直接互相通訊的無線用戶端組成的集合。

當無線 AP 不存在、無線 AP 因驗證失敗而拒絕關聯,或無線用戶端明確設定為使用臨機操作模式時,即會使用臨機操作模式連線到無線用戶端。

基礎結構模式

基礎結構模式會有至少一個無線 AP 和一個無線用戶端。無線用戶端會使用無線 AP 來存取傳統有線網路的資源。有線網路是組織的內部網路或網際網路,需視無線 AP 的配置而定。

支援一或多個無線用戶端的單一無線 AP 稱為「基本服務組 (BSS)」。由兩個以上連線至相同有線網路的無線 AP 組成的集合稱為「延伸服務組 (ESS)」。ESS 是單一邏輯網路區段 (也稱為子網路),並透過其 SSID 予以識別。ESS 如圖 3 所示。

圖 3   基礎結構模式和 ESS

圖 3:基礎結構模式和 ESS

開啟無線介面卡時,無線介面卡會開始掃描無線 AP 和其他無線用戶端的無線頻率。掃描是一種接聽處理程序,無線介面卡會在此處理程序中接聽無線 AP 和其他無線用戶端傳送指標框架的所有通道。掃描之後,無線介面卡會選擇要與之關聯的無線 AP。這項選擇是使用無線網路的服務組識別元 (SSID) 和具有最佳信號強度 (最高訊號雜訊比) 的無線 AP 自動進行。接下來,無線用戶端會切換至指派給所選擇無線 AP 的通道,並交涉使用邏輯無線點對點連線 (這就是所謂的關聯)。

無線用戶端偏好與無線 AP 或其他無線用戶端關聯,是透過無線用戶端的組態設定所決定。Windows 無線用戶端預設偏好與無線 AP 關聯,而不是另一個無線用戶端。

無線 AP 的信號強度越低,錯誤率就越高。無線用戶端可能會在作業系統的指示下 (在 Windows 下是每 60 秒) 掃描其他無線 AP,以決定不同的無線 AP 是否可以對相同的無線網路提供較強的信號。發生上述情況時,無線用戶端會切換至該無線 AP 的通道 (這就是所謂的重新關聯)。

造成無線用戶端需與不同無線 AP 重新關聯的原因很多。無線用戶端移離無線 AP,或無線 AP 因太多其他流量或干擾而變得擁擠時,信號可能會十分微弱。無線用戶端可透過切換至另一個無線 AP,將負載分散至其他無線 AP,來提高其他無線用戶端的效能。放置多個無線 AP 時,稍微重疊各自涵蓋的區域,而不重疊彼此的通道,可以建立大區域的無線連線。當無線用戶端要移動實體位置時,可以從原先的無線 AP 關聯和重新關聯至其他無線 AP,以在重新定位實體期間持續連線至無線 AP。

如果無線 AP 的涵蓋區域在 ESS 重疊區內,無線用戶端將可以進行漫遊,或在保持網路層連線的同時從原先位置 (具有無線 AP) 移至其他位置 (具有不同的無線 AP)。

例如,TCP/IP 環境的無線用戶端連線至第一個無線 AP 時會被指派一個 IP 位址。當無線用戶端在 ESS 內漫遊時,會建立與其他無線 AP 的無線連線,但不會改變其 IP 位址,因為所有無線 AP 都位在相同的邏輯子網路上。

但當無線用戶端漫遊至不同的 ESS 時,IP 位址設定就會失效。Windows XP 和 Windows Server 2003 無線用戶端的重新關聯則會被解譯為媒體中斷連線/連線事件。此事件會讓 Windows 針對 TCP/IP 通訊協定執行 DHCP 更新。因此,ESS 內的重新關聯會使 DHCP 更新重新整理目前 IP 位址設定,Windows 無線用戶端與無線 AP 跨 ESS 界限重新關聯時,DHCP 更新處理程序則會取得與新 ESS 的邏輯 IP 子網路相關的新 IP 位址設定。

IEEE 802.11 無線安全性

在驗證方面,原始的 802.11 標準會定義開放式系統,並共用金鑰驗證類型。在資料機密 (加密) 方面,原始 802.11 標準會定義有線等位私密 (WEP)。

原始 802.11 標準未定義或提供 WEP 金鑰管理通訊協定 (此通訊協定可提供自動 WEP 加密金鑰判斷和更新)。這是 IEEE 802.11 安全性服務的限制;尤其是對具有大量無線用戶端的基礎結構模式網路。但合併使用 IEEE 802.1X 連接埠型網路存取控制和 Wi-Fi 保護的存取(TM) (WPA (TM)) 或 Wi-Fi 保護的存取 2(TM) (WPA2 (TM)),即可解決原始 802.11 標準的驗證和金鑰管理問題。

802.11 驗證

原始 IEEE 802.11 標準會定義下列類型的驗證:

  • 開放式系統驗證

  • 共用金鑰驗證

開放式系統驗證

開放式系統驗證不會提供驗證,僅使用無線介面卡的 MAC 位址進行識別。不需要驗證時即可使用開放式系統驗證。開放式系統驗證是使用下列處理程序的預設驗證演算法:

  1. 初始驗證的無線用戶端會傳送內含其身分的 IEEE 802.11 驗證管理框架。

  2. 接收的無線節點會檢查初始工作站的身分,並送回驗證確認框架。

您可以針對部分無線 AP 使用稱為 MAC 篩選的功能來設定受允許無線用戶端的 MAC 位址。然而,因為無線用戶端的 MAC 位址很容易判別和造假,所以 MAC 篩選並未提供任何安全性。

設定成執行開放式系統驗證的 Windows 無線用戶端,預設會傳送它的 MAC 位址做為身分。

共用金鑰驗證

共用金鑰驗證會確認初始驗證的工作站是否已知道共用密碼。根據原始 802.11 標準,共用密碼會透過與 IEEE 802.11 無關的安全通道傳遞至參與的無線用戶端。實際上,共用密碼需要手動設定於無線 AP 和無線用戶端上。

共用金鑰驗證會使用下列處理程序:

  1. 初始驗證的無線用戶端會傳送由身分聲明和驗證要求組成的框架。

  2. 驗證無線節點會使用挑戰文字來回應初始驗證的無線節點。

  3. 初始驗證的無線節點會使用挑戰文字來回覆驗證無線節點,挑戰文字則會使用 WEP 和衍生自共用金鑰驗證密碼的加密金鑰進行加密。

  4. 如果驗證無線節點判定解密的挑戰文字符合起初在第二個框架中傳送的挑戰文字,將得到正向的驗證結果。驗證無線節點會傳送驗證結果。

因為共用金鑰驗證密碼必須手動散佈和輸入,所以這種驗證方法在大型基礎結構網路模式 (例如,公司園區和公共場所) 中無法適當地進行調整。此外,共用金鑰驗證並不安全,因此非常不鼓勵您使用。

具有有線等位私密 (WEP) 的 802.11 加密

無線區域網路的特性使系統難以保護網路的實體存取。無線區域網路與需要實體連線的有線網路不同,所有位在無線 AP 範圍內的人都可以輕易地傳送和接收框架、接聽其他正在傳送的框架,或竊聽和遠端探查無線區域網路框架。原始 IEEE 802.11 標準所定義的 WEP 會提供等同於有線網路的資料機密層級。

WEP 透過加密無線節點之間傳送的資料來提供資料機密服務。在 802.11 框架的 MAC 標頭中設定 WEP 旗標表示 WEP 加密僅適用於 802.11 框架。WEP 透過將完整的檢查值 (ICV) 併入無線框架的加密部分來確保資料的完整。

WEP 定義兩個共用金鑰:

  • 多點傳送/全域金鑰 多點傳送/全域金鑰是加密金鑰,用以保護從無線 AP 到其所有連線無線用戶端的多點傳送和廣播流量。

  • 單點傳播工作階段金鑰 單點傳播工作階段金鑰是加密金鑰,用以保護無線用戶端與無線 AP 之間的單點傳播流量,以及無線用戶端傳送給無線 AP 的多點傳送和廣播流量。

WEP 加密使用 40 位元和 104 位元加密金鑰的 RC4 對稱式資料流加密。雖然 104 位元加密金鑰不是標準金鑰,但許多無線 AP 廠商都支援該金鑰。

Bb457015.note(zh-tw,TechNet.10).gif附註:

部分宣稱使用 128 位元金鑰的實作,只是將 104 位元加密金鑰新增至在加密處理程序期間使用的 24 位元初始化向量。

WEP 問題

WEP 的最大問題是 802.11 標準不會定義判斷和發佈 WEP 金鑰的作業。WEP 金鑰必須使用 802.11 通訊協定外部的安全通道來進行發佈。靜態 WEP 金鑰是必須使用鍵盤來手動針對無線 AP 和無線用戶端設定的文字字串。顯然此金鑰發佈系統未針對企業組織進行適當的調整,而且不安全。

此外,沒有定義的機制可以根據驗證或定期針對已驗證連線變更 WEP 金鑰。所有無線 AP 和用戶端會在多個工作階段中使用相同的手動設定 WEP 金鑰。當多個無線用戶端傳送大量資料時,攻擊者可能會遠端擷取大量 WEP 加密文字,然後使用 cryptanalysis 方法來判斷 WEP 金鑰。

提供 802.11 安全性的主要限制是缺乏 WEP 金鑰管理通訊協定,尤其是對具有大量工作站的基礎結構模式網路。使用這類網路的場所包含公司園區和公共場所 (例如機場和商城)。缺乏自動驗證和金鑰判斷服務也會影響處於臨機操作模式的作業,而在此模式中的使用者可能會想要使用對等式協同作業通訊 (例如,在會議室之類的區域時)。

因為 WEP 加密演算法中的安全性弱點會讓惡意使用者透過分析 WEP 加密的框架來判斷 WEP 金鑰,所以非常不鼓勵您使用靜態 WEP 金鑰。有了 IEEE 802.1X 以及自動從驗證處理程序衍生加密金鑰資料的驗證類型,就可以根據無線用戶端和驗證來動態判斷 WEP 金鑰。此技術組合稱為動態 WEP。

IEEE 802.1X

IEEE 802.1X 標準定義連接埠型網路存取控制,可供驗證的乙太網路存取之用。此連接埠型網路存取控制使用切換式區域網路基礎結構的實體性質,來驗證與區域網路連接埠連接的裝置。如果驗證處理程序失敗,則可能會拒絕連接埠存取。雖然此標準是針對有線乙太網路所設計,但經調整後已可用於 802.11 無線區域網路。

IEEE 802.1X 中定義下列術語:

  • 連接埠存取實體

  • 驗證器

  • 要求者

  • 驗證伺服器

無線區域網路的各種元件如圖 4 所示。

圖 4   IEEE 802.1X 驗證的元件

圖 4:IEEE 802.1X 驗證的元件

連接埠存取實體

區域網路連接埠 (也稱為連接埠存取實體 (PAE)) 是邏輯實體,可支援與連接埠相關的 IEEE 802.1X 通訊協定。PAE 可以採用驗證器和 (或) 要求者角色。

驗證器

驗證器是區域網路連接埠,可以強制在允許存取可以使用該連接埠存取的服務之前進行驗證。無線連線的驗證器即是無線 AP 上的邏輯區域網路連接埠,處於基礎結構模式的無線用戶端可以透過該連接埠存取其他無線用戶端和有線網路。

要求者

要求者是區域網路連接埠,用以要求存取可以使用驗證器存取的服務。無線連線的要求者即是無線區域網路介面卡上的邏輯區域網路連接埠。此連接埠會先與驗證器關聯之後再向驗證器驗證其本身,來要求存取其他無線用戶端和有線網路。

不論是無線連線或有線乙太網路連線,要求者和驗證器都是透過邏輯或實體點對點區域網路區段進行連線。

驗證伺服器

若要確認要求者的認證,驗證器會使用驗證伺服器。驗證伺服器會代表驗證器來檢查要求者的認證,然後回應驗證器,指出是否授權要求者存取驗證器的服務。驗證伺服器可能是:

  • 存取點的元件 在此情況下,存取點必須設定成具有使用者認證集,這些使用者認證集會回應嘗試連線的無線用戶端。這一般不會針對無線 AP 實作。

  • 個別的實體 在此情況下,存取點會將無線連線嘗試的認證轉寄給個別的驗證伺服器。一般而言,無線 AP 會使用遠端驗證撥入使用者服務 (RADIUS) 通訊協定將連線嘗試參數傳送給 RADIUS 伺服器。

受控制和未受控制連接埠

驗證器的連接埠型存取控制會定義下列不同類型的邏輯連接埠,這些邏輯連接埠可透過單一實體區域網路連接埠來存取有線區域網路:

  • 未受控制連接埠 未受控制連接埠允許在驗證器 (無線 AP) 與有線網路上的其他網路裝置之間進行未受控制的交換,且不受無線用戶端授權狀態的影響。無線用戶端傳送的框架絕不會使用未受控制連接埠進行傳送。

  • 受控制連接埠 只有在 802.1X 授權無線用戶端時,受控制連接埠才允許在無線用戶端與有線網路之間傳送資料。驗證之前會先開啟交換器,但尚無法在無線用戶端與有線網路之間轉寄框架。使用 IEEE 802.1X 順利驗證無線用戶端後則會關閉交換器,並可以在無線用戶端與有線網路上的節點之間傳送框架

各類連接埠如圖 5 所示。

圖 5   IEEE 802.1X 的受控制和未受控制連接埠

圖 5:IEEE 802.1X 的受控制和未受控制連接埠

在驗證乙太網路交換器上,驗證完成時有線乙太網路用戶端可以立即傳送乙太網路框架給有線網路。交換器會使用乙太網路用戶端所連線的實體連接埠來識別特定有線乙太網路用戶端的流量。一般而言,只有單一乙太網路用戶端才會連線至乙太網路交換器上的實體連接埠。

因為多個無線用戶端會競相存取相同通道,並使用相同通道來傳送資料,所以需要延伸基本 IEEE 802.1X 通訊協定才能允許無線 AP 識別特定無線用戶端的安全流量。此動作是透過無線用戶端和無線 AP 交互判斷每個用戶端單點傳播工作階段金鑰來完成。只有通過驗證的無線用戶端才知道本身的用戶端單點傳播工作階段金鑰。如果無線 AP 沒有連接到成功驗證的有效單點傳播工作階段金鑰,就會放棄從無線用戶端傳送的流量。

若要提供 IEEE 802.1X 的標準驗證機制,您必須選擇可延伸的驗證通訊協定 (EAP)。EAP 是已調整成適用於點對點區域網路區段的點對點通訊協定 (PPP) 型驗證機制。EAP 訊息一般會做為 PPP 框架的承載來傳送。為了調整 EAP 訊息以透過乙太網路或無線區域網路區段進行傳送,IEEE 802.1X 標準會定義 LAN 上的 EAP (EAPOL) (其為封裝 EAP 訊息的標準)。

雖然動態 WEP (WEP、802.1X 和自動衍生 WEP 加密金鑰之 EAP 類型的組合) 提供 WEP 型網路的額外安全性,但仍不建議您使用該項目 (除非做為 WPA 或 WPA2 的轉換安全性技術)。

Wi-Fi 保護的存取

雖然 802.1X 解決了原始 802.11 標準的許多安全性問題,但是與 WEP 加密和資料完整性方法弱點相關的問題仍然存在。這些問題的解決方案是 IEEE 802.11i 標準,此標準可改善無線區域網路安全性。

認可 IEEE 802.11i 標準時,即表示無線廠商同意名為 Wi-Fi 保護的存取 (WPA) 的可交互操作的過渡標準。WPA 標準定義了企業 (使用 IEEE 802.1X 驗證) 和個人 (使用預先共用金鑰) 模式的操作。

如需 WPA 型無線連線之 WPA 安全性功能和軟硬體需求的相關資訊,請參閱 Wi-Fi 保護的存取 (WPA) 概觀 (英文)。

如需 Windows 無線用戶端之 WPA 支援的相關資訊,請參閱本文中的<WPA 的 Windows 支援>。

Wi-Fi 保護的存取 2

IEEE 802.11i 標準已正式取代有線等位私密 (WEP) 和原始 IEEE 802.11 標準的其他安全性功能。WPA2 是透過 Wi-Fi Alliance 使用的產品憑證,可以將無線設備認證為與 802.11i 標準相容。WPA2 憑證的目標是支援 802.11i 標準的其他必要安全性功能,而支援 WPA 的產品尚未併入這些功能。WPA2 與 WPA 相似,皆提供企業和個人模式的操作。

Microsoft 已發行 Windows XP Service Pack 2 的無線用戶端更新,這是更新 Windows XP (含 Service Pack 2) 中的無線用戶端元件以支援 WPA2 的免費下載。Windows Vista 和 Windows Server 2008 也支援 WPA2。

如需 WPA2 型無線連線之 WPA2 安全性功能、快速漫遊和軟硬體需求的相關資訊,請參閱 Wi-Fi 保護的存取 2 (WPA2) 概觀 (英文)。

如需 Windows 無線用戶端之 WPA2 支援的相關資訊,請參閱本文中的<WPA2 的 Windows 支援>。

Windows 的無線支援

Windows Vista、Windows XP、Windows Server 2008 和 Windows Server 2003 包含下列各項的支援:

  • 無線網路介面卡

    Microsoft 與 802.11 網路介面卡廠商合作,透過自動化設定網路介面卡來與可用網路關聯的處理程序來改善漫遊體驗。

    無線網路介面卡和其網路驅動程式介面規格 (NDIS) 驅動程式只需要支援一些新的 NDIS 物件識別碼 (OID) (用於查詢和設定裝置及驅動程式行為) 即可。無線網路介面卡會掃描可用的無線網路,並傳遞 SSID 資訊給 Windows。

  • 無線自動設定

    Windows Vista、Windows XP、Windows Server 2008 和 Windows Server 2003 中的無線自動設定會根據喜好設定或預設設定來動態選取要嘗試連線的無線網路。這包含當慣用無線網路變為可用時,自動選取和連線至慣用的無線網路。如果在附近找不到慣用的無線網路,則無線自動設定會設定無線介面卡,讓無線用戶端不會在慣用網路的範圍內漫遊之前突然連線。

    無線自動設定可透過 Windows Vista 和 Windows Server 2008 中的 Wireless AutoConfig 服務、Windows XP 中的 Wireless Zero Configuration 服務以及 Windows Server 2003 中的 Wireless Configuration 服務予以啟用。

    如需無線自動設定在 Windows XP 和 Windows Server 2003 中之運作方式的相關資訊,請參閱無線自動設定 (英文)。

  • 漫遊

    Windows 無線用戶端關聯新的無線 AP 時,會執行無線網路介面卡之 IP 位址設定的 DHCP 更新。在相同的 ESS 內之無線用戶端的 IP 位址設定不會改變。當 Windows 無線用戶端跨越 ESS 界限 (新的子網路) 時,DHCP 更新則會取得與該子網路相關的新 IP 位址設定。

    網路感知應用程式可以透過 Windows Sockets 延伸模組,來在網路連線變更時接到通知,並根據這些變更來更新其行為。

  • IEEE 802.1X 驗證

    Windows Vista、Windows XP、Windows Server 2008 和 Windows Server 2003 支援所有區域網路型網路介面卡 (包含乙太網路和無線) 的 IEEE 802.1X 驗證。

Windows XP (含 SP2) 的無線設定

Windows XP (含 SP2) 用來連線至無線網路的主要使用者介面是 [選擇無線網路] 對話方塊 (如圖 6 所示)。

圖 6  Windows XP SP2 [無線網路連線] 對話方塊

圖 6:Windows XP SP2 [無線網路連線] 對話方塊

如果要檢視 [選擇無線網路] 對話方塊,請在 Windows XP 通知區域中按一下 [偵測到無線網路] 訊息,或在通知區域或 [網路連線] 資料夾的無線連線圖示上按一下滑鼠右鍵,然後按一下 [檢視可用的無線網路]。Windows XP (含 SP2) 的 [選擇無線網路] 對話方塊會為每個偵測到的無線網路顯示下列各項:

  • 無線網路的類型

    天線圖示指出基礎結構模式無線網路。具有兩個無線用戶端電腦的圖示指出臨機操作模式無線網路。無線網際網路服務提供者標誌的圖示指出無線網路使用無線提供服務 (WPS) 來自動化和保護註冊安全。如需 WPS 的相關資訊,請參閱無線提供服務概觀 (英文)。

  • 無線網路名稱

  • 無線網路信號強度

  • 無線網路是否已啟用安全性 (鎖定圖示和「啟用安全性的無線網路」標籤)

  • 無線用戶端連線之無線網路的狀態 (「已連線」標籤)

  • 無線網路是否為慣用網路 (星星圖示)

您也可以從 [選擇無線網路] 對話方塊進行下列作業:

  • 按一下 [重新整理網路清單] 網路工作,以在範圍內執行另一次的無線網路掃描

  • 按一下 [設定家庭或小型辦公室的無線網路] 網路工作,以啟動無線網路安裝精靈

  • 顯示無線連線的 [無線網路] 索引標籤以變更慣用網路的順序,以及按一下 [變更慣用網路的順序] 相關工作以執行其他進階組態設定

  • 按一下 [變更進階設定] 相關工作,以顯示無線連線的內容

Windows XP (含 SP1)、Windows Server 2003 和未安裝任何 Service Pack 的 Windows XP 使用類似的對話方塊來連線至可用無線網路。

在執行 Windows XP (含 SP2) 的電腦上設定 IEEE 802.11 和 801.1X 設定的主要使用者介面由無線網路內容的 [關聯][驗證] 索引標籤組成,其內容是來自 [網路連線] 資料夾中無線連線內容的 [無線網路] 索引標籤。

無線網路索引標籤

無線連線內容的 [無線網路] 索引標籤如圖 7 所示。[無線網路] 索引標籤只會出現在無線介面卡和其支援無線自動設定的驅動程式中。

圖 7 [無線網路] 索引標籤

圖 7:[無線網路] 索引標籤

您可以在 [無線網路] 索引標籤上檢視和設定下列各項:

  • 使用 Windows 來設定我的無線網路設定 想要 Windows 自動設定無線設定 (無線自動設定) 時,請選取此核取方塊。如果您有想要使用的協力廠商無線設定軟體,請清除此核取方塊。預設會啟用此選項。

  • 檢視無線網路 按一下以顯示 [選擇無線網路] 對話方塊。在 Windows XP (含 SP1)、未安裝任何 Service Pack 的 Windows XP 和 Windows Server 2003 中,此索引標籤的 [可用的網路] 區段會列出最近一次掃描時偵測到的無線網路。

  • 慣用網路 無線用戶端嘗試連線和驗證的無線網路清單,並根據其列出的順序來嘗試連線。若要新增未出現在 [可用的網路] 清單中的無線區域網路,請按一下 [新增]。若要移除無線區域網路,請按一下 [移除]。若要設定所連線之無線區域網路的設定,請按一下 [內容]

  • 進階 若要設定與所連線之無線區域網路無關的進階無線設定,請按一下 [進階]

[進階] 對話方塊如圖 8 所示。

圖 8 [進階] 對話方塊

圖 8:[進階] 對話方塊

您可以在 [進階] 對話方塊中設定下列各項:

  • 存取的網路 若要在慣用基礎結構模式中嘗試連線至以臨機操作或基礎結構模式作業的無線區域網路,請選取 [任何可用的網路]。若要嘗試連線至只可以在基礎結構模式下作業的無線區域網路,請選取 [存取點]。若要嘗試連線至只可以在臨機操作模式下作業的無線區域網路,請選取 [電腦對電腦]。預設會選取 [任何可用的網路]

  • 自動地連線到非慣用的網路上 此核取方塊指定是否嘗試連線至範圍內的任何無線網路,而不論它們是否列在 [慣用網路] 清單中。預設會停用此選項。

  • 針對慣用的無線網路按一下 [新增][內容] 時,Windows XP (含 SP2) 會顯示 [無線網路內容] 對話方塊 (如圖 9 所示)。

圖 9 [無線網路內容] 對話方塊上的 [關聯] 索引標籤

圖 9:[無線網路內容] 對話方塊上的 [關聯] 索引標籤

無線網路內容由 [關聯] 索引標籤、[驗證] 索引標籤和 [連線] 索引標籤組成。

關聯索引標籤

您可以從 [關聯] 索引標籤中設定下列各項:

  • 網路名稱 (SSID) 顯示或允許您輸入無線區域網路名稱 (也稱為服務組識別元 (SSID))。網路名稱是由無線 AP 與指標框架一起送出,而且無線用戶端會在無線用戶端掃描處理程序期間自動學習。

  • 網路驗證 此下拉方塊可讓您選取下列驗證選項:[開放式] (表示開放式系統驗證)、[共用] (表示共用金鑰驗證)、[WPA] (表示 WPA 驗證) 和 [WPA-PSK] (表示 WPA 預先共用金鑰驗證)。只有在無線網路介面卡和其驅動程式支援 WPA 時,才可以使用 WPA 選項。

  • 資料加密 此下拉方塊可讓您選取下列加密選項:[已停用] (未加密 802.11 框架)、[WEP] (WEP 加密)、[TKIP] (TKIP 加密) 和 [AES] (進階加密標準加密)。只有在無線網路介面卡和其驅動程式支援選用的 AES 加密演算法時,才可以使用 AES。

  • 網路金鑰確認網路金鑰 供輸入和確認 WEP 金鑰或 WPA 預先共用金鑰的欄位。

  • 金鑰索引 (進階) 可讓您指定儲存 WEP 金鑰的位置。以往 IEEE 802.11 允許用於 4 種不同的金鑰。使用四個金鑰時,金鑰索引是用來指定單一金鑰的位移。您可以選取 1 到 4。

  • 金鑰會自動地提供給我 此核取方塊指定 WEP 或 WPA 加密金鑰是否透過手動設定以外的方式提供 (如透過 IEEE 802.1X 驗證)。

  • 這是一個電腦對電腦 (臨機操作) 網路此核取方塊指定此無線網路是否在臨機操作模式下作業。如果停用,則無線區域網路會以基礎結構模式作業。預設會停用此選項。

驗證索引標籤

無線網路的 [驗證] 索引標籤如圖 10 所示。

圖 10 無線網路的 [驗證] 索引標籤

圖 10:無線網路的 [驗證] 索引標籤

您可以在 [驗證] 索引標籤上檢視和設定下列各項:

  • 為此網路啟用 IEEE 802.1x 驗證 想要使用 IEEE 802.1X 執行此無線網路的驗證時,請選取此核取方塊。

  • EAP 類型 列出對應於電腦上所安裝 EAP DLL 的 EAP 類型。預設 EAP 類型是 [智慧卡或其他憑證] 和 [受保護的 EAP (PEAP)]。預設會選取 [智慧卡或其他憑證] EAP 類型。如需 EAP 類型的相關資訊,請參閱本文中的<EAP>。

  • 內容 按一下以設定所選取 EAP 類型的內容。

  • 當電腦資訊可用時驗證為電腦 使用者不需登入,即可以此核取方塊指定電腦是否使用電腦憑證 (例如電腦憑證) 嘗試進行驗證。

  • 當使用者或電腦資訊無法使用時驗證為來賓 此核取方塊指定電腦在無法使用使用者或電腦認證時是否嘗試驗證為來賓。

Windows XP (含 SP2)、Windows XP (含 SP1) 和 Windows Server 2003 的 [智慧卡或其他憑證內容] 對話方塊如圖 11 所示。

圖 11 [智慧卡或其他憑證內容] 對話方塊

圖 11:[智慧卡或其他憑證內容] 對話方塊

您可以在 [智慧卡或其他憑證內容] 對話方塊中檢視和設定下列各項:

  • 連線時 若要使用智慧卡上的憑證,請按一下 [使用我的智慧卡]。若要使用目前使用者或本機電腦憑證存放區中的憑證來進行驗證,請選取 [使用這台電腦上的憑證]。預設會選取 [使用這台電腦上的憑證]。安裝多個使用者憑證時,會提示使用者選取第一個關聯的特定使用者憑證。在結束 Windows 使用者工作階段之前,會快取該使用者憑證的使用以進行重新關聯。

  • 使用簡單憑證選取 此核取方塊可啟用和停用簡單憑證選取。啟用時,Windows 會嘗試簡化提示使用者從中進行選取的憑證清單。可用於進行 EAP-TLS 驗證的憑證會透過實體進行分組,而實體會根據憑證的 [主體別名] 和 [主體] 欄位發出憑證。每個群組中最近發出的憑證都會用來建立供使用者觀看的清單。只有在選取 [使用這台電腦上的憑證] 時,才會使用簡單憑證選取。選取 [使用這台電腦上的憑證] 時,預設會啟用簡單憑證選取。

  • 確認伺服器憑證 想要驗證驗證伺服器 (一般會是 RADIUS 伺服器) 的電腦憑證時,請選取此核取方塊。預設會啟用此選項。

  • 連線到這些伺服器 您可以指定用來驗證和授權連線之 RADIUS 伺服器的名稱。如果要指定伺服器名稱,指定的伺服器名稱必須與 RADIUS 伺服器憑證之 [主體] 欄位中的伺服器名稱完全相符。使用分號可以指定多個 RADIUS 伺服器名稱。預設不會有伺服器名稱。

  • 受信任的目錄憑證授權單位 此清單方塊可讓您選取多個信任的根 CA,無線用戶端會透過該 CA 接受 RADIUS 伺服器憑證。此清單會透過電腦和使用者憑證存放區中安裝的信任根 CA 予以建置。如果未選取信任的根 CA,則無線用戶端會確認 RADIUS 伺服器憑證是由安裝的信任根 CA 所發出。如果選取一或多個信任的根 CA,則無線用戶端會確認 RADIUS 伺服器電腦憑證是由選取的信任根 CA 所發出。

  • 檢視憑證 這可讓您檢視 [受信任的目錄憑證授權單位] 清單中目前選取的根憑證內容。

  • 連線使用不同的使用者名稱 此核取方塊可指定是否要使用與憑證中之使用者名稱不同的使用者名稱來進行驗證。預設會停用此選項。啟用時,即使只安裝一個使用者憑證,還是會以對話方塊提示使用者選取使用者憑證。結束 Windows 使用者工作階段之前,會使用選取的憑證。

連線索引標籤

無線網路的 [連線] 索引標籤如圖 12 所示。

圖 12 無線網路的 [連線] 索引標籤

圖 12:無線網路的 [連線] 索引標籤

[當這個網路在範圍內時連線] 核取方塊指定您想要無線用戶端自動連線至位在範圍內的這個網路 (預設設定),或者您也可在 [選擇無線網路] 對話方塊中按兩下任一網路來指定連線至該網路。

Windows XP (含 SP1) 和 Windows Server 2003 的無線網路內容中沒有 [連線] 索引標籤。

Windows Server 2003 的無線功能

下列是只有 Windows Server 2003 才支援的無線功能:

  • 新的無線監視器嵌入式管理單元,可以用來檢視無線 AP 和無線用戶端事件資訊。

  • 新的無線網路 (IEEE 802.11) 原則群組原則延伸模組,可讓您設定電腦設定群組原則中的無線網路設定。

無線網路設定包含慣用網路、驗證和加密設定以及 IEEE 802.1X 設定的清單。這些設定會下載至執行 Windows XP (含 SP1)、Windows XP (含 SP2)、未安裝任何 Service Pack 的 Windows Server 2003 以及 Windows Server 2003 (含 Service Pack 1) 網域成員的電腦,藉以簡化與無線用戶端電腦之安全無線連線的特定設定部署。您可以透過群組原則嵌入式管理單元的電腦設定/Windows 設定/安全性設定/無線網路 (IEEE 802.11) 原則節點來設定無線原則。

執行未安裝任何 Service Pack 之 Windows XP 的無線用戶端將不會自動設定這些原則設定。

如需相關資訊,請參閱使用 Windows Server 2003 群組原則設定無線設定 (英文)。

Windows Vista 和 Windows Server 2008 的無線功能

下列是只有 Windows Vista 和 Windows Server 2008 才支援的無線功能:

  • 無線連線的使用者介面改良功能

  • 無線群組原則增強功能

  • WPA2 支援

  • 802.11 無線診斷

  • 設定無線設定的命令列支援

  • 單一登入

如需這些功能和額外功能的相關資訊,請參閱 Windows Server 2008 和 Windows Vista 的新網路功能的<無線和 802.1X 型有線連線>(英文) 小節和 Windows Vista 的無線功能 (英文)。

如需如何手動在 Windows Vista 中設定無線網路的相關資訊,請參閱使用 Windows Vista 連線至無線網路 (英文)。

WPA 的 Windows 支援

Windows Vista、Windows XP (含 SP2)、Windows Server 2008 和 Windows Server 2003 (含 SP1) 支援 WPA。如果無線用戶端執行這些 Windows 版本,並使用支援 WPA 和無線自動設定的無線網路介面卡和驅動程式,則您可以從 [網路連線] 資料夾的無線網路內容設定 WPA 加密和驗證選項。

如果無線用戶端執行 Windows XP (含 SP1) 或 Windows Server 2003,並使用支援無線自動設定的無線網路介面卡,則您必須安裝 Windows XP 適用的無線更新彙總套件,這是來自 Microsoft 且包含 WPA 支援和其他修復的免費下載。Windows XP 適用的無線更新彙總套件會更新無線網路設定對話方塊,以支援新的 WPA 選項。

如果無線用戶端執行 Windows XP (含 SP1)、Windows XP (含 SP2) 或 Windows Server 2003,並使用不支援無線自動設定的無線網路介面卡,則您必須取得和安裝來自無線網路介面卡廠商的新 WPA 相容設定工具。

WPA2 的 Windows 支援

Windows Vista、Windows XP SP2 (含可以從 Microsoft 免費下載的 Windows XP Service Pack 2 的無線用戶端更新)、Windows Server 2008 和 Windows Server 2003 (含 SP2) 支援 WPA2。如果無線用戶端執行這些 Windows 版本,並使用支援 WPA2 和無線自動設定的無線網路介面卡和驅動程式,則您可以從 [網路連線] 資料夾的無線網路內容選取 WPA2 加密和驗證選項。

如果無線用戶端執行 Windows XP (含 SP1)、Windows XP (含 SP2) 或 Windows Server 2003,並使用不支援無線自動設定的無線網路介面卡,則您必須取得和安裝來自無線網路介面卡廠商的新 WPA2 相容設定工具。

RADIUS

本節說明下列各主題:

  • RADIUS 概觀

  • RADIUS 基礎結構的元件

  • RADIUS 通訊協定

RADIUS 概觀

遠端驗證撥入使用者服務 (RADIUS) 是廣泛部署的通訊協定,可以啟用網路存取的集中式驗證、授權和帳戶處理。RADIUS 詳述於 RFC 2865<遠端驗證撥入使用者服務 (RADIUS)>和 RFC 2866<RADIUS 帳戶>中。

RADIUS 一開始是針對撥號遠端存取所開發,但是現在也受到無線 AP、驗證乙太網路交換器、虛擬私人網路 (VPN) 伺服器、數位用戶線路 (DSL) 存取伺服器和其他網路存取伺服器的支援。

RADIUS 基礎結構的元件

RADIUS 驗證、授權和帳戶處理 (AAA) 基礎結構由下列元件組成:

  • 存取用戶端

  • 存取伺服器 (RADIUS 用戶端)

  • RADIUS 伺服器

  • 使用者帳戶資料庫

  • RADIUS Proxy

各元件如圖 13 所示。

圖 13 RADIUS 礎結構的元件

圖 13:RADIUS 礎結構的元件

存取用戶端

存取用戶端是種需要具備大型網路之某個存取層級的裝置。存取用戶端包括撥號虛擬私人網路 (VPN) 用戶端、無線用戶端或連線至交換器的區域網路用戶端等。

RADIUS 用戶端 (存取伺服器)

存取伺服器是提供大型網路之某個存取層級的裝置。使用 RADIUS 基礎結構的存取伺服器也是 RADIUS 用戶端,可以將連線要求和帳戶訊息傳送給 RADIUS 伺服器。存取伺服器包括:

  • 使用無線型傳輸和接收技術提供組織網路之實體層存取的無線 AP。

  • 使用傳統區域網路技術 (例如乙太網路) 提供組織網路之實體層存取的交換器。

  • 提供組織網路或網際網路之遠端存取連線的網路存取伺服器 (NAS),像是執行 Windows Server 2003 和路由及遠端存取並提供組織內部網路之撥號或虛擬私人網路 (VPN) 遠端存取服務的電腦等。

RADIUS 伺服器

RADIUS 伺服器是一種裝置,可以接收和處理 RADIUS 用戶端或 RADIUS Proxy 所傳送的連線要求或帳戶訊息。RADIUS 伺服器在處理連線要求時,會處理其中的 RADIUS 屬性清單。RADIUS 伺服器會根據規則集和使用者帳戶資料庫中的資訊,來驗證、授權連線並送回 Access-Accept 訊息或送回 Access-Reject 訊息。Access-Accept 訊息可以包含存取伺服器在連線期間實作的連線限制。

Windows Server 2003 的網際網路驗證服務 (IAS) 元件是業界標準相容 RADIUS 伺服器。

使用者帳戶資料庫

使用者帳戶資料庫是 RADIUS 伺服器可以檢查的使用者帳戶和其內容清單,以確認驗證認證並取得包含授權和連線參數資訊的使用者帳戶內容。

IAS 可以使用的使用者帳戶資料庫是本機安全性帳戶管理員 (SAM)、Microsoft Windows NT(R) 4.0 網域或 Active Directory(R) 服務。使用 Active Directory 資料庫時,IAS 可以提供使用者或電腦帳戶的驗證和授權。這些使用者或電腦帳戶必須位在 IAS 伺服器所在的雙向信任網域,以及含有執行 Windows Server 2003 之網域控制站的信任樹系中。

如果用來進行驗證的使用者帳戶位在不同類型的資料庫中,則您可以使用 RADIUS Proxy 將驗證要求轉寄給具有使用者帳戶資料庫存取權的 RADIUS 伺服器。Active Directory 的資料庫還包含不信任樹系、不信任網域或單向信任網域。

RADIUS Proxy

RADIUS Proxy 是一種裝置,可以在 RADIUS 用戶端 (和 RADIUS Proxy) 與 RADIUS 伺服器 (或 RADIUS Proxy) 之間轉寄或路由傳送 RADIUS 連線要求和帳戶訊息。RADIUS Proxy 會使用 RADIUS 訊息內的資訊,來傳送 RADIUS 訊息路由至適當的 RADIUS 伺服器。

必須在不同組織內的多部 RADIUS 伺服器進行驗證、授權和帳戶處理時,RADIUS Proxy 可以做為 RADIUS 訊息的轉寄點。

Windows Server 2003 的 IAS 元件是與業界標準相容 RADIUS Proxy。

RADIUS 通訊協定

RADIUS 訊息會以使用者資料包通訊協定 (UDP) 訊息的形式傳送。UDP 連接埠 1812 是用於 RADIUS 驗證訊息,而 UDP 連接埠 1813 是用於 RADIUS 帳戶訊息。部分存取伺服器可能會將 UDP 連接埠 1645 用於 RADIUS 驗證訊息,而將 UDP 連接埠 1646 用於 RADIUS 帳戶訊息。在 RADIUS 封包的 UDP 裝載中,只會包含一個 RADIUS 訊息。

RFC 2865 和 2866 定義下列 RADIUS 訊息類型:

  • Access-Request 由 RADIUS 用戶端傳送,以要求網路存取連線嘗試的驗證和授權。

  • Access-Accept 由 RADIUS 伺服器傳送,以回應 Access-Request 訊息。此訊息通知 RADIUS 用戶端,連線嘗試已經過驗證和授權。

  • Access-Reject 由 RADIUS 伺服器傳送,以回應 Access-Request 訊息。此訊息通知 RADIUS 用戶端,連線嘗試遭到拒絕。如果未驗證認證或未授權連線嘗試,則 RADIUS 伺服器會傳送此訊息。

  • Access-Challenge 由 RADIUS 伺服器傳送,以回應 Access-Request 訊息。此訊息是需要回應之 RADIUS 用戶端的挑戰。

  • Accounting-Request 由 RADIUS 用戶端傳送,以指定已接受連線的帳戶資訊。

  • Accounting-Response 由 RADIUS 伺服器傳送,以回應 Accounting-Request 訊息。此訊息認可已成功接收和處理 Accounting-Request 訊息。

RADIUS 訊息是由 RADIUS 標頭和 RADIUS 屬性所組成。每個 RADIUS 屬性都會指定連線嘗試的各項資訊。例如,RADIUS 屬性中含有使用者名稱、使用者密碼、使用者所要求服務的類型以及存取伺服器的 IP 位址。RADIUS 屬性用來在 RADIUS 用戶端、RADIUS Proxy 與 RADIUS 伺服器之間傳達資訊。例如,Access-Request 訊息中的屬性清單包含使用者認證和連線嘗試參數的資訊。Access-Accept 訊息中的屬性清單則包含可以進行之連線類型、連線限制和任何廠商特定屬性 (VSA) 的資訊。

RADIUS 屬性詳述於 RFC 2865、2866、2867、2868、2869 和 3162 中。而 VSA 的 RFC 和網際網路草稿則定義額外的 RADIUS 屬性。

如果是密碼驗證通訊協定 (PAP)、Challenge-Handshake 驗證通訊協定 (CHAP)、Microsoft Challenge Handshake 驗證通訊協定 (MS-CHAP) 和 MS-CHAP 第 2 版 (MS-CHAP v2) 這類的點對點通訊協定 (PPP) 驗證通訊協定,則存取伺服器與存取用戶端之間的驗證交涉結果會轉寄給 RADIUS 伺服器以進行驗證。

如果是 EAP 驗證,則會在 RADIUS 伺服器與存取用戶端之間進行交涉。RADIUS 伺服器使用 Access-Challenge 訊息,將 EAP 訊息傳送給存取用戶端。存取伺服器會將存取用戶端所傳送的 EAP 訊息當成 Access-Request 訊息轉寄給 RADIUS 伺服器。如需相關資訊,請參閱本文中的<RADIUS 上的 EAP>。

為了提供 RADIUS 訊息的安全性,RADIUS 用戶端和 RADIUS 伺服器會設定通用共用密碼。共用密碼是用來驗證 RADIUS 訊息,以及加密敏感 RADIUS 屬性。在 RADIUS 用戶端和伺服器上,共用密碼一般是設定為文字字串。

RADIUS 驗證和帳戶處理

RADIUS 訊息利用下列方式驗證、授權網路存取連線和處理其帳戶:

  1. 存取伺服器 (例如撥號網路存取伺服器、VPN 伺服器和無線 AP) 會接收來自存取用戶端的連線要求。

  2. 存取伺服器 (設定成使用 RADIUS 做為驗證、授權和帳戶處理通訊協定) 會建立 Access-Request 訊息,並將該訊息傳送給 RADIUS 伺服器。

  3. RADIUS 伺服器會評估 Access-Request 訊息。

  4. RADIUS 伺服器會視需要 (例如,驗證通訊協定是 EAP 時) 將 Access-Challenge 訊息傳送給存取伺服器。存取伺服器或存取用戶端會處理挑戰,並將新的 Access-Request 傳送給 RADIUS 伺服器。

  5. 驗證使用者認證和連線嘗試授權。

  6. 如果已驗證和授權連線嘗試,則 RADIUS 伺服器將 Access-Accept 訊息傳送給存取伺服器。

  7. 如果未驗證也未授權連線嘗試,則 RADIUS 伺服器會將 Access-Reject 訊息傳送給存取伺服器。

  8. 接收到 Access-Accept 訊息時,存取伺服器會完成與存取用戶端的連線處理程序,並將 Accounting-Request 訊息傳送給 RADIUS 伺服器。

  9. 處理 Accounting-Request 訊息之後,RADIUS 伺服器會傳送 Accounting-Response 訊息。

EAP

本節說明下列各項:

  • EAP 概觀

  • Windows 的 EAP 類型

  • RADIUS 上的 EAP

  • EAP-TLS 和 IEEE 802.1X 驗證處理程序

EAP 概觀

可延伸的驗證通訊協定 (EAP) 一開始是建立為 PPP 的延伸模組,用來開發任意網路存取驗證方法。利用 CHAP、MS-CHAP 和 MS-CHAP v2 這類的 PPP 驗證通訊協定在連結建立階段期間選擇特定驗證機制。在連線驗證階段期間,交涉過的驗證通訊協定會用來驗證連線。驗證通訊協定本身是一串依特定順序傳送的固定訊息。有了 EAP,在 PPP 連線的連結建立階段期間不會選擇特定驗證機制。每個 PPP 對等會進行交涉,以在連線驗證階段期間執行 EAP。到達連線驗證階段時,對等裝置會交涉特定 EAP 驗證架構 (稱為 EAP 類型) 的使用方式。EAP 詳述於 RFC 2284 中。

同意 EAP 類型之後,EAP 會允許在存取用戶端與根據連線參數而不同的驗證伺服器 (RADIUS 伺服器) 之間進行無限制訊息交換。交談內容包括要求和回應驗證資訊。驗證交談的長度和詳細資料取決於 EAP 類型。

至於架構,EAP 被設計為允許連線之存取用戶端和驗證伺服器端上的驗證外掛程式模組。若要新增新 EAP 類型的支援,請在存取用戶端和驗證伺服器上安裝 EAP 類型庫檔案。這讓廠商隨時可以提供新的驗證架構。EAP 非常有彈性,可允許您使用較安全的驗證方法。

您可以使用 EAP 支援驗證架構,例如一般 Token 卡、單次密碼 (OTP)、MD5-Challenge、進行智慧卡和憑證支援的傳輸層安全性 (TLS),以及任何未來的驗證技術。EAP 是保護連線安全的重要技術元件。

EAP 不只在 PPP 內受到支援,在 IEEE 802 連結層中也受支援。IEEE 802.1X 定義 IEEE 802 裝置 (包含 IEEE 802.11b 無線 AP 和乙太網路交換器) 如何使用 EAP 進行驗證。IEEE 802.1X 與 PPP 的不同處在於其只支援 EAP 驗證方法。

Windows 的 EAP 類型

Windows 包含無線連線的下列 EAP 類型:

  • EAP-TLS

  • 受保護的 EAP

EAP-TLS

EAP-傳輸層安全性 (EAP-TLS) 用於憑證型安全性環境的 EAP 類型。如果您使用智慧卡進行遠端存取驗證,則必須使用 EAP-TLS 驗證方法。EAP-TLS 訊息交換提供交互驗證、完整性保護加密套件交涉,以及存取用戶端與驗證伺服器之間的安全私人金鑰交換和判斷。EAP-TLS 提供最強的驗證方法。EAP-TLS 詳述於 RFC 2716 中。

使用登錄型使用者和電腦憑證的 EAP-TLS 是 Windows 型無線連線之建議驗證方法,原因如下:

  • EAP-TLS 與使用者帳戶的密碼不需有任何依存關係。

  • EAP-TLS 驗證會自動進行,通常不需要使用者介入。

  • EAP-TLS 使用憑證是相當強大的驗證架構。

  • EAP-TLS 交換利用公開金鑰密碼編譯進行保護,而且不容易受到離線字典攻擊。

  • EAP-TLS 驗證處理程序會導致用來進行資料加密和簽署的交互判斷金鑰產製原料。

Bb457015.note(zh-tw,TechNet.10).gif附註:

在未安裝任何 Service Pack 的 Windows XP 中,不支援將具有智慧卡的 EAP-TLS 驗證用於無線連線。
受保護的 EAP

Windows Vista、Windows XP (含 SP1)、Windows XP (含 SP2)、Windows Server 2008 和 Windows Server 2003 支援將受保護的 EAP (PEAP) 做為新的 EAP 類型。如需 PEAP 的相關資訊,請參閱本文中的<PEAP 概觀>。

RADIUS 上的 EAP

RADIUS 上的 EAP 不是 EAP 類型,而是由存取伺服器將任何 EAP 類型的 EAP 訊息傳遞給 RADIUS 伺服器以進行驗證。在存取用戶端與存取伺服器之間傳送的 EAP 訊息會格式化為 EAP-Message RADIUS 屬性 (RFC 2869 的 5.13 節),並在存取伺服器與 RADIUS 伺服器之間透過 RADIUS 訊息傳送。存取伺服器會成為穿透式裝置,以在存取用戶端與 RADIUS 伺服器之間傳遞 EAP 訊息。EAP 訊息的處理程序是在存取用戶端和 RADIUS 伺服器上,而不是在存取伺服器上進行。如圖 14 所示。

圖 14  RADIUS 上的 EAP

圖 14:RADIUS 上的 EAP

查看完整大小的影像

RADIUS 上的 EAP 用於 RADIUS 做為驗證提供者的環境中。使用 RADIUS 上的 EAP 的優點是 EAP 類型不需要安裝在每部存取伺服器上,而只需要安裝在 RADIUS 伺服器上。然而,存取伺服器必須支援將 EAP 交涉為驗證通訊協定以及將 EAP 訊息傳遞給 RADIUS 伺服器。

在 RADIUS 上的 EAP 一般工作中,存取伺服器是設定成使用 EAP 以及使用 RADIUS 做為它的驗證提供者。進行連線嘗試時,存取用戶端會與存取伺服器交涉 EAP 的使用方式。用戶端將 EAP 訊息傳送給存取伺服器時,存取伺服器會將 EAP 訊息封裝為 RADIUS Access-Request 訊息的 EAP-Message 屬性,然後傳送給它的已設定 RADIUS 伺服器。RADIUS 伺服器會處理 EAP-Message 屬性中的 EAP 訊息,並將 EAP 回應訊息當成含有 EAP-Message 屬性的 RADIUS Access-Challenge 訊息傳送給存取伺服器。存取伺服器接著會將 EAP 訊息轉寄給存取用戶端。

EAP-TLS 和 IEEE 802.1X 驗證處理程序

下列是無線用戶端驗證無線 AP 設定成使用 RADIUS 伺服器做為其驗證伺服器的 EAP-TLS 驗證處理程序:

步驟 1:身分關聯和要求

如果無線 AP 發現相關聯的新無線用戶端,則無線 AP 會將 EAP-Request/Identity 訊息傳輸給無線用戶端。而在無線用戶端與新的無線 AP 關聯時,則會傳輸 EAP-Start 訊息。如果無線 AP 上的 IEEE 802.1X 處理程序接收到來自無線用戶端的 EAP-Start 訊息,則會將 EAP-Request/Identity 訊息傳輸給無線用戶端。

步驟 2:EAP-Response/Identity 回應

如果沒有使用者登入無線用戶端,則會傳輸內含電腦名稱的 EAP-Response/Identity。如果是 Windows 無線用戶端,則會傳送電腦的 FQDN。如果有使用者登入無線用戶端,則會傳輸內含使用者名稱的 EAP-Response/Identity。如果是 Windows 無線用戶端,則會傳送使用者帳戶的 UPN。

無線 AP 會將 EAP-Response/Identity 訊息以 RADIUS Access-Request 訊息形式轉寄給 RADIUS 伺服器。

步驟 3:來自 RADIUS 伺服器的 EAP-Request (啟動 TLS)

RADIUS 伺服器會傳送 RADIUS Access-Challenge 訊息 (內含將 EAP-Type 設定為 EAP-TLS 的 EAP-Request 訊息),要求啟動 TLS 驗證處理程序。

無線 AP 會轉寄 EAP 訊息給無線用戶端。

步驟 4:來自無線用戶端的 EAP-Response (TLS Client Hello)

無線用戶端會傳送 EAP-Type 設定為 EAP-TLS 的 EAP-Response 訊息,指出 TLS Client Hello。

無線 AP 會將 EAP 訊息以 RADIUS Access-Request 訊息形式轉寄給 RADIUS 伺服器。

步驟 5:來自 RADIUS 伺服器的 EAP 要求 (RADIUS 伺服器的憑證)

RADIUS 伺服器會傳送 RADIUS Access-Challenge 訊息 (內含將 EAP-Type 設定為 EAP-TLS 的 EAP-Request 訊息),並包含 RADIUS 伺服器的憑證鏈結。

無線 AP 會轉寄 EAP 訊息給無線用戶端。

步驟 6:來自無線用戶端的 EAP-Response (無線用戶端的憑證)

無線用戶端會傳送 EAP-Type 設定為 EAP-TLS 的 EAP-Response 訊息,並包含無線用戶端的憑證鏈結。

無線 AP 會將 EAP 訊息以 RADIUS Access-Request 訊息形式轉寄給 RADIUS 伺服器。

步驟 7:來自 RADIUS 伺服器的 EAP-Request (加密套件,TLS 完成)

RADIUS 伺服器會傳送 EAP-Type 設定為 EAP-TLS 的 EAP-Request 訊息,並包含加密套件,且指出 TLS 驗證訊息交換已完成。

無線 AP 會轉寄 EAP 訊息給無線用戶端。

步驟 8:來自無線用戶端的 EAP-Response

無線用戶端會傳送 EAP-Type 設定為 EAP-TLS 的 EAP-Response 訊息。

無線 AP 會將 EAP 訊息以 RADIUS Access-Request 訊息形式轉寄給 RADIUS 伺服器。

步驟 9:來自 RADIUS 伺服器的 EAP-Success

RADIUS 伺服器會透過 EAP-TLS 驗證處理程序所產生的金鑰產製原料,來衍生每個用戶端單點傳播工作階段金鑰和簽署金鑰。接著,RADIUS 伺服器會將 RADIUS Access-Accept 訊息 (內含 EAP-Success 訊息以及 MPPE-Send-Key 和 MPPE-Recv-Key 屬性) 傳送給無線 AP。

無線 AP 使用 MS-MPPE-Send-Key 屬性中所加密的金鑰做為每個用戶端單點傳播工作階段金鑰,以將資料傳輸至無線用戶端 (會截斷為適當的 WEP 金鑰長度)。無線 AP 使用 MS-MPPE-Recv-Key 屬性中所加密的金鑰做為簽署金鑰,以將資料傳輸至需要簽署的無線用戶端 (會截斷為適當的 WEP 金鑰長度)。

無線用戶端會透過 EAP-TLS 驗證處理程序所產生的金鑰產製原料,來衍生每個用戶端單點傳播工作階段金鑰 (與傳送給無線 AP 之 RADIUS 訊息中的已解密 MS-MPPE-Send-Key 屬性值相同) 和簽署金鑰 (與傳送給無線 AP 之 RADIUS 訊息中的已解密 MS-MPPE-Recv-Key 屬性值相同)。因此,無線 AP 和無線用戶端會使用相同的金鑰來加密和簽署單點傳播資料。

無線 AP 在接收 RADIUS 伺服器訊息時會將 EAP-Success 訊息轉寄給無線用戶端。EAP 訊息不會包含每一工作站單點傳播工作階段或簽署金鑰。

步驟 10:無線用戶端的多點傳送/全域加密金鑰

無線 AP 透過產生亂數或從先前設定的值中進行選取,以衍生多點傳送/全域加密金鑰。接著,無線 AP 會將 LAN 上的 EAP (EAPOL)-Key 訊息傳送給無線用戶端 (無線用戶端已包含使用每個用戶端單點傳播工作階段金鑰加密的多點傳送/全域金鑰)。

IEEE 802.1X EAPOL-Key 訊息的 [金鑰] 欄位是使用每個用戶端單點傳播工作階段金鑰加密的 RC4,而訊息的各個部分是利用使用每個用戶端單點傳播工作階段金鑰的 HMAC-MD5 進行簽署。

無線用戶端接收到 EAPOL-Key 訊息時,會使用每個用戶端單點傳播工作階段金鑰來確認 EAPOL-Key 訊息的已簽署部分,並解密多點傳送/全域金鑰。接著,無線區域網路介面卡驅動程式會指出無線區域網路介面卡的每個用戶端單點傳播工作階段金鑰、每個用戶端單點傳播簽署金鑰和多點傳送/全域金鑰。指出金鑰之後,無線用戶端會開始使用無線介面卡來設定通訊協定 (例如使用 DHCP 取得 IP 位址設定)。

無線 AP 變更多點傳送/全域金鑰時,會產生 EAPOL-Key 訊息,並將該訊息傳送給它所連線的無線用戶端。每個 EAPOL-Key 訊息都包含使用特定無線用戶端的每個用戶端單點傳播工作階段金鑰加密的新多點傳送/全域金鑰。

此處理程序各步驟如圖 15 所示。

圖 15   EAP-TLS 和 IEEE 802.1X 驗證處理程序

圖 15:EAP-TLS 和 IEEE 802.1X 驗證處理程序

查看完整大小的影像

PEAP 概觀

雖然 EAP 透過使用 EAP 類型提供各種驗證,但是整個 EAP 交談可能會以純文字 (未加密) 形式傳送。具有媒體存取權的惡意使用者可以將封包插入交談,或擷取成功驗證中的 EAP 訊息以進行分析。此問題對無線連線而言特別嚴重,因為在此情況下,惡意使用者可以是公司外部的使用者。在使用 WEP 加密無線框架之前,會於 IEEE 802.1X 驗證處理程序期間進行 EAP。

PEAP 是 EAP 類型,可以先建立使用 TLS 加密和提供完整保護的安全通道來解決此安全性問題,再進行具有另一種 EAP 類型的新 EAP 交涉來驗證用戶端的網路存取嘗試。因為 TLS 通道可保護網路存取嘗試的 EAP 交涉和驗證,所以在無線環境中可以使用一般易受到離線字典攻擊的密碼型驗證通訊協定來進行驗證。

MS-CHAP v2 概觀

MS-CHAP v2 是密碼型挑戰回應交互驗證通訊協定,使用業界標準訊息摘要 4 (MD4) 和資料加密標準 (DES) 演算法來加密回應。驗證伺服器與存取用戶端會互相挑戰。如果未正確回應任一挑戰,則會拒絕連線。Microsoft 原先是將 MS-CHAP v2 設計成 PPP 驗證通訊協定,以提供較佳的撥號和虛擬私人網路 (VPN) 連線保護。

雖然 MS-CHAP v2 提供的保護優於之前的 PPP 型挑戰回應驗證通訊協定,但是它仍然易受到離線字典攻擊。惡意使用者可以擷取成功的 MS-CHAP v2 交換,並在判斷出正確密碼之後設法猜出密碼。MS-CHAP v2 交換使用 PEAP 與 MS-CHAP v2 的組合,可利用 TLS 通道可靠的安全性提供保護。

具有 MS-CHAP v2 作業的 PEAP

PEAP 驗證處理程序包括兩個部份。第一個部分是使用 EAP 和 PEAP EAP 類型來建立加密的 TLS 通道。第二個部分則是使用 EAP 和不同的 EAP 類型來驗證網路存取。本節檢查具有 MS-CHAP v2 作業的 PEAP,例如,無線用戶端嘗試使用 RADIUS 伺服器進行驗證和授權的驗證無線 AP。

下列步驟是用來建立 PEAP TLS 通道:

  1. 建立邏輯連結之後,無線 AP 會將 EAP-Request/Identity 訊息傳送給無線用戶端。

  2. 無線用戶端會回應內含無線用戶端身分 (使用者或電腦名稱) 的 EAP-Response/Identity 訊息。

  3. EAP-Response/Identity 訊息是由無線 AP 傳送給 RADIUS 伺服器。此時會將無線 AP 做為穿透式裝置,來在 RADIUS 伺服器與無線用戶端之間進行邏輯通訊。

  4. RADIUS 伺服器會將 EAP-Request/Start PEAP 訊息傳送給無線用戶端。

  5. 無線用戶端和 RADIUS 伺服器會交換一串用來交涉 TLS 通道之加密套件的 TLS 訊息,而 RADIUS 伺服器會將憑證鏈結傳送給無線用戶端以進行驗證。

在 PEAP 交涉結束時,RADIUS 伺服器就已向無線用戶端驗證過它自己。兩個節點都會有針對 TLS 通道所判斷的交互加密和簽署金鑰 (使用公開金鑰密碼編譯,而不是密碼)。

建立 PEAP TLS 通道之後,下列步驟是利用 MS-CHAP v2 來驗證無線用戶端認證:

  1. RADIUS 伺服器會傳送 EAP-Request/Identity 訊息。

  2. 無線用戶端會回應內含無線用戶端身分 (使用者或電腦名稱) 的 EAP-Response/Identity 訊息。

  3. RADIUS 伺服器傳送內含挑戰字串的 EAP-Request/EAP-MS-CHAP-V2 Challenge 訊息。

  4. 無線用戶端會回應 EAP-Response/EAP-MS-CHAP-V2 Response 訊息,內含 RADIUS 伺服器挑戰字串的回應和 RADIUS 伺服器的挑戰字串。

  5. RADIUS 伺服器會傳送 EAP-Request/EAP-MS-CHAP-V2 Success 訊息,指出無線用戶端回應正確,且包含無線用戶端挑戰字串的回應。

  6. 無線用戶端會回應 EAP-Response/EAP-MS-CHAP-V2 Ack 訊息,指出 RADIUS 伺服器回應正確。

  7. RADIUS 伺服器會傳送 EAP-Success 訊息。

在此交互驗證交換結束時,RADIUS 伺服器與無線用戶端挑戰字串的回應即可分別證明無線用戶端與 RADIUS 伺服器皆已知正確密碼。整個交換都是透過 PEAP 驗證的第一個部分中建立的 TLS 通道進行加密。

如需 PEAP-MS-CHAP v2 驗證處理程序的其他資訊,請參閱 Microsoft Windows 的 IEEE 802.11 無線區域網路安全性 (英文)。

如果使用 PEAP-TLS,則 TLS 驗證處理程序的進行方式與 EAP-TLS 相同,不同之處在於 EAP 訊息是使用 PEAP 驗證的第一個部分中建立的 TLS 通道進行加密。

PEAP 快速重新連線

您也可以使用 PEAP 快速繼續 TLS 工作階段。如果 PEAP 第 2 部分成功,則 RADIUS 伺服器可以快取在 PEAP 第 1 部分期間建立的 TLS 工作階段。因為快取項目是透過成功的 PEAP 第 2 部分驗證處理程序所建立,所以工作階段可以繼續,而不需要重新進行完整驗證。在此情況下會立即傳送 EAP-Success 訊息,以進行重新驗證提示 (這就是所謂的快速重新連線)。無線用戶端在不同無線 AP 之間漫遊時,快速重新連線可以將無線環境中的連線延遲降到最低。

快速重新連線是 PEAP 的選用功能。如果您想要使用快速重新連線,則必須在無線用戶端和 RADIUS 伺服器上啟用快速重新連線。Windows Vista、Windows XP (含 SP1)、Windows XP (含 SP2)、Windows Server 2008、Windows Server 2003 和 IAS for Windows Server 2003 都支援快速重新連線。在所有情況下,預設都會停用快速重新連線。

IAS 和遠端存取原則

本節說明下列各主題:

  • IAS 概觀

  • IAS 做為 RADIUS 伺服器

  • 遠端存取原則

  • 遠端存取原則條件和限制

  • 使用者或電腦帳戶的撥入內容

  • 授權存取

IAS 概觀

Windows Server 2003 中的網際網路驗證服務 (IAS) 是 RADIUS 伺服器的 Microsoft 實作,也是 Windows Server 2003 之 RADIUS Proxy 的 Microsoft 實作。IAS 會執行許多網路存取類型 (包含無線、驗證交換器、撥號和虛擬私人網路 (VPN) 遠端存取以及路由器對路由器連線) 的集中式連線驗證、授權和帳戶處理。IAS 支援 RFC 2865 和 2866,以及額外的 RADIUS 延伸 RFC 和網際網路草稿。

IAS 會使用異質的無線、交換器、遠端存取或 VPN 設備的集合,而且可以與 Windows Server 2003 路由及遠端存取服務搭配使用。

IAS 伺服器是 Active Directory 型網域的成員時,IAS 會使用 Active Directory 做為它的使用者帳戶資料庫,而且是單一登入解決方案的一部分。網路存取控制 (驗證和授權網路的存取) 以及登入 Active Directory 型網域使用相同的認證集。

您可以針對下列解決方案建立不同的 IAS 設定:

  • 無線存取

  • 組織撥號或虛擬私人網路 (VPN) 遠端存取

  • 委外的撥號或無線存取

  • 網際網路存取

  • 企業夥伴的已驗證外部網路資源存取

IAS 做為 RADIUS 伺服器

IAS 可以做為 RADIUS 伺服器,以執行 RADIUS 用戶端的驗證、授權和帳戶處理。RADIUS 用戶端可以是存取伺服器或 RADIUS Proxy。IAS 做為 RADIUS 伺服器如圖 16 所示 。

圖 16   IAS 做為 RADIUS 伺服器

圖 16:IAS 做為 RADIUS 伺服器

查看完整大小的影像

IAS 做為 RADIUS 伺服器時可提供下列各項服務:

  • RADIUS 用戶端傳送之所有存取要求的集中式驗證和授權服務 IAS 使用 Windows NT Server 4.0 網域、Active Directory 型網域或本機安全性帳戶管理員 (SAM) 來驗證連線嘗試的使用者認證。IAS 會利用使用者帳戶和遠端存取原則的撥入內容來授權連線。

  • RADIUS 用戶端傳送之所有帳戶要求的集中式帳戶記錄服務 帳戶要求儲存在本機記錄檔中以供分析。

您可以在下列情況中以 IAS 做為 RADIUS 伺服器:

  • 使用 Windows NT Server 4.0 網域、Active Directory 型網域,或本機安全性帳戶管理員 (SAM) 做為存取用戶端的使用者帳戶資料庫。

  • 在多部撥號伺服器、VPN 伺服器或指定撥號路由器上使用路由及遠端存取服務,而且想要集中處理遠端存取原則的設定和帳戶處理的連線記錄。

  • 將撥入、VPN 或無線存取委外給服務提供者。存取伺服器使用 RADIUS 來驗證和授權組織成員進行的連線。

  • 想要集中處理異質存取伺服器集的驗證、授權和帳戶處理。

IAS 做為 RADIUS Proxy

網際網路驗證服務 (IAS) 可以做為 RADIUS Proxy,以提供 RADIUS 用戶端 (存取伺服器) 與執行連線嘗試之使用者驗證、授權和帳戶處理的 RADIUS 伺服器之間的 RADIUS 訊息路由。IAS 做為 RADIUS Proxy 時,是 RADIUS 存取和帳戶訊息流經的集中式交換或路由點。IAS 會將轉寄訊息的資訊記錄在帳戶記錄中。

RADIUS 用戶端 (存取伺服器) 與 RADIUS 伺服器或其他 RADIUS Proxy 之間做為 RADIUS Proxy 的 IAS 如圖 17 所示。

圖 17 IAS 做為 RADIUS Proxy

圖 17:IAS 做為 RADIUS Proxy

查看完整大小的影像

您可以在下列情況中以 IAS 做為 RADIUS Proxy:

  • 您是將委外撥號、虛擬私人網路 (VPN) 或無線網路存取服務提供給多位客戶的服務提供者。

  • 您想要提供非下列網域成員之使用者帳戶的驗證和授權:IAS 伺服器為其成員的網域,或另一個與 IAS 伺服器為其成員的網域具有雙向信任的網域。

  • 您想要使用非 Windows 帳戶資料庫的資料庫,來執行驗證和授權。

  • 您想要處理大量的連線要求。IAS RADIUS Proxy 會將連線和帳戶要求負載動態地平衡至多部 RADIUS 伺服器,並增加每秒的大量 RADIUS 用戶端和驗證處理。

  • 您想要提供委外服務提供者的 RADIUS 驗證和授權,並將內部網路防火牆設定減到最少。

如需 IAS 做為 RADIUS Proxy 的相關資訊,請參閱 Windows Server 2003 說明及支援。

遠端存取原則

IAS 的網路存取授權取決於使用者帳戶撥入內容和遠端存取原則。遠端存取原則是依序排列的規則集,用於定義連線授權或拒絕方式。每個規則都會有一或多個條件、一組設定檔設定和遠端存取權限設定。

如果授權連線,則遠端存取原則設定檔會指定一組連線限制。使用者帳戶的撥入內容也會提供一組限制。使用者帳戶連線限制將視情況覆寫遠端存取原則設定檔連線限制。

遠端存取原則條件和限制

在授權連線之前,遠端存取原則會驗證下列各項連線設定:

  • 群組成員

  • 連線類型

  • 每日時間

進階條件包含下列各項:

  • 存取伺服器身分

  • 存取用戶端電話號碼或 MAC 位址

  • 是否允許未驗證的存取

授權連線之後,遠端存取原則也可以用來指定下列各項連線限制:

  • 閒置逾時時間

  • 工作階段時間上限

  • 加密強度

  • 驗證方法

  • IP 封包篩選

  • 進階限制:

    • PPP 連線的 IP 位址

    • 靜態路由

此外,您還可以根據下列設定建立不同的連線限制:

  • 群組成員

  • 連線類型

  • 每日時間

  • 驗證方法

  • 存取伺服器的身分

  • 存取用戶端電話號碼或 MAC 位址

  • 是否允許未驗證的存取

例如,您擁有的原則可以針對不同類型的連線或群組指定不同的工作階段時間上限。此外,還可以指定企業夥伴或未驗證連線的有限存取。

使用者或電腦帳戶的撥入內容

Active Directory 型伺服器的使用者和電腦帳戶包含一組在允許或拒絕連線嘗試時使用的撥入內容。您可以在 Active Directory 型伺服器中,在 Active Directory 使用者和電腦嵌入式管理單元之使用者和電腦帳戶的 [撥入] 索引標籤上設定撥入內容。[撥入] 索引標籤如圖 18 所示。

圖 18  使用者帳戶的 [撥入] 索引標籤

圖 18:使用者帳戶的 [撥入] 索引標籤

使用者和電腦帳戶的撥入內容如下:

  • 遠端存取使用權限 (撥入或 VPN)

    您可以使用此內容設定遠端存取權限,以透過遠端存取原則明確地允許、拒絕或判斷權限。在所有情況下,遠端存取原則也可以用來授權連線嘗試。如果明確允許存取,則遠端存取原則條件、使用者帳戶內容或設定檔內容仍然可以拒絕連線嘗試。只有原始模式網域的使用者和電腦帳戶才會有 [透過遠端存取規則來控制存取] 選項。

    針對原始模式網域建立的新帳戶會設定為 [透過遠端存取規則來控制存取]。在混合模式網域中建立的新帳戶設定為 [拒絕存取]。

  • 確認呼叫者識別碼

    如果啟用此內容,則伺服器會確認呼叫者的電話號碼。如果呼叫者的電話號碼與設定的電話號碼不符,則會拒絕連線嘗試。

    呼叫者、呼叫者與遠端存取伺服器之間的電話系統和遠端存取伺服器必須支援呼叫者識別碼。在執行路由及遠端存取服務的電腦上,呼叫者識別碼支援包含自動答錄設備,此設備提供呼叫者識別碼資訊和適用的驅動程式,以將呼叫者識別碼資訊傳遞給路由及遠端存取服務。

    如果您設定使用者的呼叫者識別碼電話號碼,但不支援將呼叫者識別碼資訊從呼叫者傳遞給路由及遠端存取服務,則會拒絕連線嘗試。

  • 回撥選項

    如果啟用此內容,則伺服器會在連線處理程序期間回撥。呼叫者或網路系統管理員都可以設定伺服器使用的電話號碼。

  • 指派靜態 IP 位址

    您可以使用此內容,來在使用者進行連線時指派其特定 IP 位址。

  • 套用靜態路由

    您可以使用此內容定義一串靜態 IP 路由,以在進行連線時新增至執行路由及遠端存取服務之伺服器的路由表。此設定是針對路由及遠端存取路由器用於指定撥號路由的使用者帳戶所設計。

授權管理模型

使用遠端存取原則來授與授權的方式包括下列兩種:

  1. 透過使用者

  2. 透過群組

透過使用者授權

如果透過使用者管理授權,請將使用者或電腦帳戶的遠端存取權限設定為 [授權存取][拒絕存取],並選擇性地根據不同類型的連線來建立不同的遠端存取原則。例如,您可能會想要擁有分別用於撥號連線與無線連線的兩個不同的遠端存取原則。建議您只有在需要管理的使用者或電腦帳戶較少時才透過使用者管理授權。

如果透過使用者管理授權,則授權連線嘗試的基本處理程序的進行如下:

  1. 如果連線嘗試符合所有原則條件,則會檢查帳戶的遠端存取權限設定。

  2. 如果遠端存取權限設定為 [授與存取],則會套用原則設定檔和使用者帳戶的連線設定。

  3. 如果遠端存取權限設定為 [拒絕存取],則會拒絕連線嘗試。

  4. 如果連線嘗試不符合所有原則條件,則會處理下一個遠端存取原則。

  5. 如果連線嘗試不符合任何遠端存取原則的所有條件,則會拒絕連線嘗試。

透過群組授權

如果透過群組管理授權,請將帳戶的遠端存取權限設定為 [透過遠端存取規則來控制存取],並建立根據不同類型之連線和群組成員的遠端存取原則。例如,您可能會想要擁有分別用於員工 (Employees 群組成員) 與契約者 (Contractors 群組成員) 撥號連線的兩個不同的遠端存取原則。

如果透過群組管理授權,則授權連線嘗試的基本處理程序的進行如下:

  1. 如果連線嘗試符合所有原則條件,則會檢查遠端存取原則的遠端存取權限。

  2. 如果遠端存取權限設定為 [授與遠端存取使用權限],則會套用原則設定檔和使用者帳戶的連線設定。

  3. 如果遠端存取權限設定為 [拒絕遠端存取使用權限],則會拒絕連線嘗試。

  4. 如果連線嘗試不符合所有原則條件,則會處理下一個遠端存取原則。

  5. 如果連線嘗試不符合任何遠端存取原則的所有條件,則會拒絕連線嘗試。

Bb457015.note(zh-tw,TechNet.10).gif附註:

只有原始模式網域的帳戶才會有 [透過遠端存取規則來控制存取]。 遠端存取權限設定
  • 不建議將遠端存取權限設定為 [透過遠端存取規則來控制存取],且請勿使用群組來管理網路存取。

憑證

本節說明下列各主題:

  • 電腦驗證和使用者驗證

  • 取得 IEEE 802.1X 驗證的憑證

  • 群組原則和 IEEE 802.1X 驗證

電腦驗證和使用者驗證

若要成功驗證具有無線 AP 的 Windows 無線用戶端,則必須要安裝電腦憑證和 (或) 使用者憑證。執行 Windows Vista、Windows XP、Windows Server 2008 或 Windows Server 2003 的無線用戶端可以使用 EAP-TLS 來驗證電腦或登入電腦的使用者。

若要驗證電腦,Windows 無線用戶端會在 EAP-TLS 驗證期間提交本機電腦憑證存放區中儲存的電腦憑證 (與其鏈結)。不論使用者是否登入電腦,或登入電腦者非使用者本人,本機電腦憑證存放區都可使用。更重要的是,本機電腦憑證存放區在電腦啟動處理程序期間即可使用。

若要驗證登入電腦的使用者,Windows 無線用戶端會在 EAP-TLS 驗證期間提交目前使用者憑證存放區中儲存的使用者憑證。只有在使用者利用適當認證成功登入電腦之後,才可以使用使用者的憑證存放區。登入電腦的每個個別使用者都會有不同的使用者憑證存放區。啟動處理程序期間無法使用使用者憑證。

如果沒有安裝的電腦憑證,則在無線 AP 範圍內啟動的 Windows 無線用戶端電腦會與之關聯,但是驗證會失敗。使用者可以使用快取的認證來登入沒有無線區域網路連線的電腦。成功登入之後,使用者的憑證存放區即可使用,具有無線 AP 的後續驗證則可成功使用安裝的使用者憑證來進行驗證。

下列登錄設定可以控制 Windows XP 和 Windows Server 2003 的電腦和使用者驗證行為:

AuthMode

機碼:HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters\General\Global

數值類型:REG_DWORD

有效範圍: 0-2

預設值: 0

預設呈現:No

值:

  • 0 - 電腦驗證模式 如果電腦驗證成功,則不會嘗試任何使用者驗證。如果使用者在電腦驗證之前成功登入,則會執行使用者驗證。這是未安裝任何 Service Pack 之 Windows XP 的預設設定。

  • 1 - 重新驗證的電腦驗證 如果電腦驗證順利完成,則後續登入的使用者之使用者憑證需要重新驗證。使用者必須在 60 秒內登入完成,否則會終止目前的網路連線。使用者憑證會用於後續驗證或重新驗證。在使用者登出電腦之前,不會重新嘗試電腦驗證。這是 Windows XP (含 SP1)、Windows XP (含 SP2) 和 Windows Server 2003 的預設設定。

  • 2 - 僅限電腦驗證 使用者登入時不會影響連線。只可以使用電腦憑證執行 802.1X 驗證。

若要讓此設定的變更生效,請重新啟動 Windows XP 中的 Wireless Zero Configuration 服務和 Windows Server 2003 中的 Wireless Configuration 服務。

取得 IEEE 802.1X 驗證的憑證

下列方法可以用來取得 Windows 無線用戶端和 IAS 伺服器電腦的憑證:

  • 自動註冊

  • 透過 Web 要求憑證

  • 使用憑證嵌入式管理單元要求憑證

  • 使用憑證嵌入式管理單元匯入憑證

  • 使用 CAPICOM 建立程式或指令碼

自動註冊

自動註冊是根據群組原則來自動要求和發出憑證。自動註冊的類型有兩種:

  • 電腦憑證的自動註冊。

    受 Windows Server 2003 CA 和 Windows Vista、Windows XP、Windows Server 2008 以及 Windows Server 2003 無線用戶端支援。

  • 使用者憑證的自動註冊

    受 Windows Server 2003、Enterprise Edition CA 和 Windows Vista、Windows XP、Windows Server 2008 以及 Windows Server 2003 無線用戶端支援。

自動註冊電腦憑證會透過電腦設定群組原則完成。透過設定 [自動憑證要求設定值] 群組原則設定 (位在電腦設定\Windows 設定\安全性設定\公開金鑰原則),您可以在重新整理電腦群組原則設定時,讓電腦 (即已設定這些設定的網域系統容器成員) 自動要求指定類型的憑證。

如果是無線用戶端存取和 IAS 伺服器,請將 [自動憑證要求設定值] 群組原則設定設定為自動要求「電腦」憑證。「電腦」憑證 (在自動憑證要求安裝精靈的 [憑證範本] 對話方塊中的名稱) 儲存在成員電腦的本機電腦憑證存放區中,且包含使用者驗證和伺服器驗證憑證用途。憑證用途也稱為增強金鑰使用方法 (EKU)。EKU 可由使用物件識別碼 (OID) 識別。伺服器驗證的 OID 是 "1.3.6.1.5.5.7.3.1",而用戶端驗證的 OID 是 "1.3.6.1.5.5.7.3.2"。

Windows 的 EAP-TLS 需要針對驗證用戶端進行驗證所提供的憑證包含用戶端驗證憑證用途,以及針對驗證伺服器進行驗證所提供的憑證包含伺服器驗證憑證用途。如果這兩個條件都不符合,則驗證會失敗。

因為自動註冊的「電腦」憑證包含用戶端驗證和伺服器驗證憑證用途,所以可以供 Windows 無線用戶端執行電腦驗證以及供 IAS 伺服器做為驗證伺服器。

使用者憑證的自動註冊是透過使用者設定群組原則完成。透過設定 [自動註冊設定值] 群組原則設定 (位在使用者設定\Windows 設定\安全性設定\公開金鑰原則),您可以在重新整理使用者群組原則設定時,讓電腦 (即已設定這些設定的網域系統容器成員) 自動要求所指定類型的憑證。

如果是無線用戶端存取,請將 [自動註冊設定值] 群組原則設定設定為自動要求使用憑證範本嵌入式管理單元所建立的使用者憑證範本。如需設定憑證範本和設定 Windows Server 2003 Enterprise Edition CA 之使用者憑證自動註冊的相關資訊,請參閱 Windows Server 2003 說明及支援中的<檢查清單:設定憑證自動註冊>主題。

透過 Web 要求憑證

透過 Web 要求憑證 (也稱為 Web 註冊) 是利用 Internet Explorer 完成。請針對位址輸入 http://servername/certsrv,其中 servername 是 Windows 型 CA 的電腦名稱。Web 型精靈會帶您完成要求憑證的步驟。請注意,執行進階憑證要求時,憑證的儲存位置 (目前使用者存放區或本機電腦存放區) 由 [使用本機電腦存放區] 核取方塊決定。預設會停用此選項,而憑證是儲存在目前使用者存放區中。您必須要有本機系統管理員權限,才能將憑證儲存在本機電腦存放區中。

使用憑證嵌入式管理單元要求憑證

另一種要求憑證的方式是使用憑證嵌入式管理單元。若要要求將憑證儲存在目前使用者存放區中,請開啟憑證-目前使用者\個人\憑證資料夾,並在 [憑證] 資料夾上按一下滑鼠右鍵,再指向 [所有工作],然後按一下 [要求新憑證]。憑證要求精靈會引導您完成要求憑證的步驟。如果是無線存取,則針對目前使用者存放區要求的憑證必須要有用戶端驗證憑證用途。

若要要求將憑證儲存在本機電腦存放區中,請開啟憑證 (本機電腦)\個人\憑證資料夾,並在 [憑證] 資料夾上按一下滑鼠右鍵,再指向 [所有工作],然後按一下 [要求新憑證]。憑證要求精靈會引導您完成要求憑證的步驟。如果是無線存取,則針對本機電腦存放區要求的憑證必須要有用戶端驗證憑證用途。如果是 IAS 伺服器的憑證,則針對本機電腦存放區要求的憑證必須要有伺服器驗證憑證用途。

使用憑證嵌入式管理單元匯入憑證

所有先前要求憑證的方法都假設網路連線已存在 (例如使用膝上型電腦上的乙太網路連接埠)。對於那些只有無線網路連線的設定 (沒有憑證即無法取得),您也可以使用憑證嵌入式管理單元,並從軟式磁片、CD-ROM 或其他可燒錄媒體匯入憑證檔。

若要匯入憑證以儲存在目前使用者存放區中,請開啟憑證-目前使用者\個人\憑證資料夾,並在 [憑證] 資料夾上按一下滑鼠右鍵,再指向 [所有工作],然後按一下 [匯入]。憑證匯入精靈會引導您完成從憑證檔匯入憑證的步驟。如果是無線存取,則匯入至目前使用者存放區的憑證必須要有用戶端驗證憑證用途。

若要匯入憑證以儲存在本機電腦存放區中,請開啟憑證 (本機電腦)\個人\憑證資料夾,並在 [憑證] 資料夾上按一下滑鼠右鍵,再指向 [所有工作],然後按一下 [匯入]。憑證匯入精靈會引導您完成從憑證檔匯入憑證的步驟。如果是無線存取,則匯入至本機電腦存放區的憑證必須要有用戶端驗證憑證用途。如果是 IAS 伺服器的憑證,則匯入至本機電腦存放區的憑證必須要有伺服器驗證憑證用途。

如果您是使用 PEAP-MS-CHAP v2,則可能需要安裝 CA 的根 CA 憑證 (IAS 伺服器上安裝的電腦憑證由此 CA 發出)。若要取得根 CA 憑證,請先將根 CA 憑證從 IAS 伺服器的憑證 (本機電腦)\受信任的目錄憑證授權單位\憑證資料夾匯出至檔案 (*.P7B)。然後,將根 CA 憑證檔匯入至無線用戶端的憑證 (本機電腦)\受信任的目錄憑證授權單位\憑證資料夾。

Bb457015.note(zh-tw,TechNet.10).gif附註:

按兩下資料夾中儲存或電子郵件中傳送的憑證檔,也可以匯入憑證。此方法可用於 Windows 型 CA 建立的憑證,但不適用於協力廠商 CA。建議的匯入憑證方法是使用憑證嵌入式管理單元。
使用 CAPICOM 建立程式或指令碼

使用 Web 註冊或憑證嵌入式管理單元要求憑證時需要使用者介入。若要自動化憑證散佈處理程序,則網路系統管理員可以使用 CAPICOM 撰寫可執行程式或指令碼。CAPICOM 是支援自動化的 COM 用戶端,使用 Microsoft® ActiveX® 和 COM 物件執行密碼編譯功能 (CryptoAPI)。

CAPICOM 介面可以用來執行基礎密碼編譯工作 (包含簽署資料、驗證簽章、封裝訊息、解密封裝的訊息、加密和解密資料,以及檢查數位憑證的有效性)。CAPICOM 可以透過 Visual Basic®、Visual Basic Scripting Edition 和 C++ 使用。

若要執行使用者和電腦憑證的企業部署,則可以透過電子郵件散佈 CAPICOM 程式或指令碼來執行,也可以將使用者導向含有 CAPICOM 程式或指令碼連結的網站。CAPICOM 程式或指令碼也可以放在使用者的登入指令檔中,以自動執行。CAPICOM API 可用於指定不同的使用者或電腦憑證位置。

如需 CAPICOM 的相關資訊,請在 http://msdn.microsoft.com 中搜尋 "CAPICOM"。

群組原則和 EAP-TLS 型 IEEE 802.1X 驗證

群組原則設定定義系統管理員需要管理的各種使用者桌面環境元件;例如,使用者可以使用的程式、出現在使用者桌面上的程式和 [開始] 功能表選項。指定的群組原則設定會包含在群組原則物件中,接著會關聯選取的 Active Directory 容器物件網站、網域或組織單位。群組原則包含影響使用者的使用者設定,以及影響電腦的電腦設定。

IEEE 802.1X 和電腦設定群組原則

電腦啟動、進行網路連線和尋找網域控制站時,都會更新電腦設定群組原則。電腦會根據網域系統容器中的電腦成員資格,來嘗試下載最新的電腦設定群組原則。

如果設定成使用 EAP-TLS 驗證的 Windows 無線用戶端未安裝電腦憑證,則無法向無線 AP 驗證以取得無線區域網路連線。因此,嘗試尋找網域控制站和下載最新電腦設定群組原則會失敗。此事件會記錄在事件日誌中。

此問題的解決方案是將電腦憑證安裝在 Windows 無線用戶端上,這樣在尋找網域控制站和下載電腦設定群組原則期間會有無線區域網路連線。

IEEE 802.1X 和使用者設定群組原則

使用者提供正確的認證並登入網域時,會更新使用者設定群組原則。如果未安裝電腦憑證 (且電腦未針對無線 AP 驗證它自己),則登入會使用快取的認證。使用者憑證存放區中的使用者憑證變為可用時,設定成使用 EAP-TLS 驗證的 Windows 無線用戶端會嘗試針對無線 AP 進行驗證。下載使用者設定組原則成功與否將取決於無線驗證所需的時間長短。此事件會記錄在事件日誌中。

此問題的解決方案是在 Windows 無線用戶端上安裝電腦憑證。Windows 無線用戶端使用安裝的電腦憑證後,其整個登入處理程序期間都會有無線區域網路連線,因此應該都可以順利下載最新的使用者設定群組原則。

Bb457015.note(zh-tw,TechNet.10).gif附註:

使用與電腦之電腦帳戶相關的帳戶名稱和密碼,可以完成具有 PEAP-MS-CHAP v2 的電腦驗證,而帳戶名稱和密碼是在建立電腦帳戶時自動指派。電腦驗證的認證隨時都可供使用,而且在電腦啟動處理程序期間使用該認證可以取得無線網路的存取權限。使用與電腦使用者相關的帳戶名稱和密碼,可以完成具有 PEAP-MS-CHAP v2 的使用者驗證。用戶端成功登入電腦之後,預設會自動使用使用者登入認證 (使用者名稱和密碼) 來執行使用者驗證。自動使用使用者登入認證可以從 MS-CHAP v2 PEAP 類型的內容進行設定。

摘要

基礎結構模式無線區域網路的元件由無線用戶端、無線 AP、有線網路和驗證基礎結構組成。Windows 提供的元素是無線用戶端 (執行 Windows 且具有支援無線區域網路介面卡的電腦) 以及由 RADIUS 伺服器、網域控制站和 CA 組成的驗證基礎結構。當您擁有上述各項元件後,就具有所有必要元素可以部署受保護無線區域網路基礎結構 (此基礎結構使用具有憑證的 EAP-TLS 或具有密碼的 PEAP-MS-CHAP v2 以進行增強式驗證和每個工作階段加密金鑰管理)。

相關連結

請參閱下列資源,以取得其他資訊:

顯示: