The Cable Guy無線單一登入
Joseph Davies
使用者在建立無線連線之後,還必須以私人網路進行驗證,這對使用者和系統管理員來說都是額外的負擔。而身為 Active Directory 網域成員的 Windows 無線用戶端,必須執行 IEEE 802.1X 驗證,才能取得受保護的
無線連線和網域登入權。此外,由於驗證需要用到電腦認證或使用者認證,而且網域登入須視網路連線而定,因此在設定驗證的執行順序以及指定要使用的認證時會產生問題。凡此種種都會影響網域登入權,迫使系統多次要求使用者提出認證。
幸好,Windows Vista® 的無線單一登入可讓您指定在進行使用者登入之前,先以 Wi-Fi Protected Access 2 (WPA2)-Enterprise 和 WPA-Enterprise 進行 IEEE 802.1X 驗證,以及以無線等位私密 (WEP) 進行 802.1X 驗證,幫您解決特定設定中的網域登入問題。無線單一登入也將無線驗證與 Windows® 登入密切整合,滿足使用者的整體要求。因此,本月份我想探討一下無線單一登入的功能、如何設定無線單一登入,以及它在使用者登入時如何運作。
單一登入的基本功能
Windows 無線用戶端可以單用電腦認證或使用者認證 (或兩者兼用),向無線網路驗證自己的身分。單用電腦認證時,Windows 會在出現 Windows 登入畫面之前執行 802.1X 驗證,這樣無線用戶端電腦可以早點存取 Active Directory® 網域控制站等網路資源。
單用使用者認證時,沒有單一登入功能的 Windows 必須等到使用者登入完畢之後,才執行 802.1X 驗證。[圖 1] 所示的是本案例的啟動和登入時間表。
![[圖 1] 單用使用者認證執行無線驗證的時間表](images/cc137762.fig01.gif)
[圖 1]** 單用使用者認證執行無線驗證的時間表 **(按影像可放大)
如果單用使用者認證執行無線驗證,一方面沒有使用者帳戶用的本機快取認證,另一方面沒有網域控制站的連線可以驗證新的登入認證,因此使用者無法在電腦進行起始網域登入。另外,由於此時尚未連接 Active Directory 網域的網域控制站,因此無法執行部分網域登入作業,導致登入指令碼、群組原則更新,以及使用者設定檔更新失敗,產生 Windows 事件記錄錯誤。
如果同時使用電腦認證和使用者認證,Windows 會在 Windows 登入畫面出現之前,先以電腦認證執行 802.1X 驗證。待使用者登入之後,Windows 再以使用者認證執行另一個 802.1X 驗證。有的網路基礎結構會針對已經用電腦認證驗證過的電腦,以及用使用者認證驗證過的電腦,分別使用不同的虛擬 LAN (VLAN)。如果以使用者認證對無線網路進行驗證,而且使用者驗證的 VLAN 是在使用者登入程序之後進行切換,那麼 Windows 無線用戶端就無法在使用者登入時,存取經過使用者驗證的 VLAN 上的網路資源 (例如,Active Directory 網域控制站)。同樣的,這也會導致網域登入作業失敗。
如果以使用者認證執行的無線驗證,所使用的安全憑證與使用者登入認證不同,這時候會產生另一個問題。遇到這類設定,Windows 會在開始執行無線驗證時,要求使用者另外提出其他的使用者認證,這麼一來反而容易混淆視聽。
Windows Vista 中的單一登入功能,是針對解決網域登入、由電腦和使用者分別驗證 VLAN,以及在不同時間提示使用者提供不同認證等問題而開發。網路管理員可以利用單一登入,指定在使用者登入之前,先以使用者認證執行無線驗證。如果使用者登入和無線驗證所需的使用者認證不同,則 Windows 登錄畫面會要求並且收集所有必需的認證。
您可以利用單一登入,設定讓 Windows Vista 無線用戶端在使用者登入之前,以使用者認證執行無線網路驗證。[圖 2] 所示的是新的啟動和登入時間表。
![[圖 2] 在使用者登入之前,以使用者認證執行無線網路驗證的時間表](images/cc137762.fig02.gif)
[圖 2]** 在使用者登入之前,以使用者認證執行無線網路驗證的時間表 **(按影像可放大)
這麼一來,您就可以設定單用使用者認證,或者使用電腦與使用者認證分別驗證不同的 VLAN,而且不會遺失任何功能。由於無線用戶端在使用者登入之前就有網路連線,或者有使用者驗證的 VLAN 連線,因此網域登入作業得以順利完成。如需參考範例,請參閱<將 Windows Vista 無線用戶端加入網域>,網址是 microsoft.com/technet/network/wifi/vista_bootstrap_wireless.mspx。
根據無線設定檔的設定,單一登入會將用於無線驗證的使用者認證的輸入欄位合併起來,然後將它們加到 Windows 登入畫面中。因此,所有利用使用者認證進行使用者登入和無線驗證的使用者認證,將由使用者同時提供。
專為 Windows Vista 新 EAPHost 架構所寫的可延伸驗證通訊協定 (EAP) 方法,可以使用 EAP Pre-Logon Authentication Provider (PLAP) Support API,把驗證所需的輸入欄位加入 Windows 登入畫面中。如需詳細資訊,請參閱 SSO 和 PLAP API,網址為 msdn2.microsoft.com/bb530584。
舉一個單一登入工作階段的例子,假設 Windows Vista 無線用戶端是單用使用者認證來執行驗證,並且使用使用者名稱和密碼來執行網域登入和 802.1X 驗證。當使用者在最初的 Windows Vista 畫面上按 Ctrl+Alt+Del 時,單一登入會決定 802.1X 驗證必須在使用者登入之前執行。當使用者輸入他的使用者名稱和密碼時,單一登入會先執行使用者無線網路驗證,接著顯示一則訊息,指出它正以名稱連接無線網路。執行無線驗證之後,Windows Vista 會執行使用者登入,顯示使用者的桌面。
設定單一登入
幕後花絮
為了幫助您更加瞭解無線驗證程序,讓我們再進一步看看當使用者主動登入時,會發生什麼情況。當使用者在執行 Windows Vista 的無線用戶端上,按 Ctrl+Alt+Del 鍵要求進行使用者登入時,系統會執行下列步驟:
- 無線自動設定會決定使用哪一個無線網路設定檔。如果無線用戶端已經順利的以電腦認證執行驗證,則無線自動設定會使用目前連接的無線網路設定檔。如果決定採用的無線設定檔被設定成僅以電腦認證執行驗證,就不需要再以使用者認證執行無線驗證。步驟 2 到 6 假設所選的無線設定檔是設定成以使用者認證執行驗證、已啟用單一登入,以及執行設定之後立即選取使用者登入。
- 必要時,使用者必須輸入他的認證以執行使用者登入和無線驗證,然後起始使用者登入。
- Windows 會顯示一則訊息給想要連接無線網路名稱的使用者。
- Windows 嘗試以使用者認證執行無線網路驗證。如果啟用了 [單一登入期間允許顯示其他對話方塊] 設定,而且 EAP 類型需要對使用者顯示其他對話方塊,Windows 就會顯示這些對話方塊。如果無線驗證未能在連線延遲時間上限 (以秒為單位) 內順利執行,便放棄無線驗證。如果選取 [此網路是使用不同的 VLAN 來驗證機器和使用者的認證] 設定,則當無線驗證順利執行之後,Windows 會對無線網路介面卡執行 IP 位址設定的 DHCP 更新。
- Windows 會執行使用者登入程序。
- Windows 顯示桌面。
如果選取 [在使用者登入後立即執行] 設定,Windows 會以下列順序執行步驟:1, 2, 5, 3, 4, 6.
若要啟用和設定單一登入,可以使用無線網路 (IEEE 802.11) 原則群組原則擴充,以及針對 Windows Vista 原則的無線設定檔,設定進階安全性設定。如需相關資訊,請參閱<Windows Vista 的無線群組原則設定>一文,網址為:technetmagazine.com/issues/2007/04/CableGuy。
必要時,請在 [進階安全性設定] 對話方塊中,選取 [對此網路啟用單一登入], 並在必要時設定單一登入選項。[圖 3] 所示範的是以預設值啟用的單一登入範例。
![[圖 3] 預設單一登入設定值](images/cc137762.fig03.gif)
[圖 3]** 預設單一登入設定值 **
您會看到好幾個單一登入設定,這些設定會在使用者登入程序之前或之後,立即執行 802.1X 無線驗證,並指定使用者登入程序開始前完成 802.1X 驗證的延遲秒數。您也可以指明是否要在 Windows 登入畫面上,將對話方塊顯示在合併的輸入欄位之外。比方說,如果在進行驗證時,EAP 類型要使用者確認遠端驗證撥入使用者服務 (RADIUS) 伺服器傳來的憑證,該 EAP 類型就可以顯示這個對話方塊。
您也可以指定在執行使用者驗證之後,無線用戶端應該起始無線介面卡的 TCP/IP 設定的動態主機設定通訊協定 (DHCP) 更新。如果電腦和使用者驗證的無線用戶端各有各自的 VLAN,而那些 VLAN 是不同的 IPv4 或 IPv6 子網路,請選取這個選項。
在您建立了無線設定檔,將單一登入設定包含在原則內之後,也可以在 Windows Vista 無線用戶端上,將設定檔匯出成 XML 檔,然後再匯入 XML 設定檔,以這種方法來設定 Windows Vista 無線用戶端。
若要建立單一登入 XML 無線設定檔,請以適當的單一登入設定,建立一個無線設定檔。請在 Windows Vista 無線原則的 [一般] 標籤上,按一下具有單一登入設定的無線設定檔,然後再按一下 [匯出]。當畫面出現提示時,請指定設定檔 XML 檔案名稱及其位置。
若要使用單一登入 XML 設定檔來設定其他 Windows Vista 無線用戶端,請以下面這個命令匯入 XML 設定檔:
netsh wlan add profile filename=
"[FileName].xml"
若要決定無線設定檔是否已經啟用單一登入,請使用:
netsh wlan show profile=[ProfileName]
單一登入設定是列在 netsh wlan show profile 命令顯示畫面的「安全性設定」區段中,以及在 Windows 事件記錄中的無線連線事件文字中。您也可以使用事件檢視器嵌入式管理單元來檢視位於應用程式和服務記錄檔的 Microsoft\Windows\WLAN-AutoConfig 資料夾中,原始碼為 "WLAN-AutoConfig" 和事件識別碼為 13001、13002、13003 和 13004 的事件。
如需相關資訊,請參閱 microsoft.com/wifi 的無線網路網頁。如需單一登入程序的詳細資訊,請參閱「幕後花絮」資訊看板。
Joseph Davies是 Microsoft 的技術文件作家,從 1992 年開始教導和編寫 Windows 網路方面的主題。他出過五本 Microsoft Press 的書,同時也是每個月《TechNet Magazine》Cable Guy 專欄的作家。
© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.