服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 是否可以使用WPA企业模式而不必使用或颁发证书?
Intereting Posts
使用uWSGI作为代理服务器 以太网:networking拓扑 将maildir从一台服务器转移到另一台服务器 无法远程访问Tomcat应用程序,但可以访问Apache应用程序 nginx上游和fail_timeout 在Ubuntu上configurationDHCP服务器 以root身份执行一个命令 刀片服务器HS21上的Linux +将单个磁盘转换为双磁盘RAID1 jenkins更改日志时间戳为24小时制 我如何从Linux安装中彻底删除MySQL? Cron任务错误:错误的文件所有者 渗透testing – 信任和雇用 如何以最小的开销实现主站? 作为访客login HS21刀片服务器中DDR2 800的问题?

是否可以使用WPA企业模式而不必使用或颁发证书?

scheme…

我有一个学生用来上网的无线networking。 每个学生都有一个Active Directory帐户。 是否可以configuration我的接入点,要求他们使用那里的AD凭据连接到networking? 如果是这样,是否需要服务器上的任何证书或计算机? 如果可能,我想避免这种情况,因为我不想pipe理他们的电脑。

我有安装了IAS服务的Win2k3服务器和3Com AP(3CRWE454G72)。

有没有任何软件产品可以自动化或使其更容易?

    你在谈论的是我们在几个客户网站(包括一个似乎正在做你想要的东西的学区)所做的事情。

    这不是一个点击点击指南,但是如果你不介意使用这些工具,我想你会发现它们是不言自明的。

    IAS服务器将需要安装证书作为执行EAP的先决条件。 如果您不介意使用自签名证书(我们正在进行的任何工作(无重大问题)),则可以安装Microsoft的证书颁发机构,IAS机器将自动请求证书(假设托pipeIAS的计算机已join到具有证书颁发机构的林中的域)。 阅读有关Microsoft提出的最佳实践 :证书颁发机构是一个好主意(尤其是创buildCA后无法更改的部分),但是如果您使用的CA都是EAP,则可能获得如果你需要的话,退役并开始新鲜。

    一旦在IAS机器上安装了证书,就需要configurationRADIUS服务器以接受来自无线访问点(RADIUS客户端)的请求。 Microsoft RADIUS服务器(至less在W2K3中)对于有效地处理DNS查找失败并不是很好,所以,就像我讨厌说的那样,我build议在创buildRADIUS客户端条目时使用AP的IP地址IAS服务器。 “共享密钥”是RADIUS客户端(AP)用来向​​RADIUS服务器(IAS)进行身份validation的值。 确保您在AP和IAS服务器上以相同的方式input它。

    在将AP定义为RADIUS客户端后,您需要在IAS计算机上创build远程访问策略。 内置向导可以很好地为您创build策略。 基本上,您需要一个匹配“无线 – IEEE 802.11或无线 – 其他”的策略,并且如果需要的话,还包含一个包含将被授予访问权限的用户的特定Windows组(如“域计算机”或“域用户”)。 向导可以指导你彻底的这个过程。

    一旦获得了创build的策略,您可以尝试手动从客户端进行连接。 我只讨论在这里configurationWindows内置的无线零configuration(ha!)服务。 如果你的WLAN网卡有一个第三方configurationpipe理器,你可以逃脱去除它,我会的。 使用内置的Windows服务使得在启动期间(假设您在RADIUS策略中允许“域计算机”访问)访问NIC的可能性大得多。 (我可以告诉你,我的学区网站有大量的无线客户端,从来没有插入有线以太网,但能够处理组策略等,没有任何问题。)

    这个过程在Windows XP和Windows Vista / 7之间有所不同,但基本上我们正在谈论进入无线networking列表,添加新的WPA-RADIUS保护的networking的SSID(如果你是重新删除旧的 – 使用您现有的SSID),并确保一些属性设置正确。 “networking身份validation”应该设置为您在AP上configuration的WPA / WPA2和AES / TKIP的任意组合。 (就个人而言,如果可以的话,我会使用WPA2-AES,但是WPA-TKIP是最常见的分母,并且得到了老客户的支持。)

    在新SSID的身份validation属性中,确保select“受保护的EAP(PEAP)”作为EAPtypes。 如果客户端不是您的域的成员,请转至PEAP的“属性”对话框,取消选中“validation服务器证书”,进入“selectvalidation方法”的“已configuration”对话框,取消选中“自动使用我的Windowslogin名和密码(以及域名,如果有的话)“,并取消select新的SSID的”身份validation“属性下的”计算机信息可用时进行身份validation“。 这将强制Windows在非域成员计算机上提示您input凭据。

    一旦你得到一个客户“谈话”,我build议使用组策略部署SSID的设置,所以你不必“触摸”任何客户端。 我喜欢这个function,并在很多网站上使用它,取得了巨大的成功。 只要允许新的域成员客户端计算机在有线networking上应用组策略,只要将其放置在无线networking范围内,它就会“正常工作”。 涅槃!

    对于非Windows设备(iPod,Linux上网本,Android手机等),您必须通过自己的连接configuration工作。 不过这不是太糟糕。 我们有很多设备通过这种方式configuration的无线局域网进行身份validation。

    编辑:

    在非域成员计算机上,您需要取消我上面描述的项目,以防止客户端validation服务器证书并尝试自动进行身份validation。 用户将不得不手动提供他们的凭据。

    在将configuration文件自动部署到非域成员客户端方面,您可以在Windows Vista和Windows 7上使用“netsh wlan”命令。

    在Windows XP上,不使用组策略部署WLANconfiguration与Vista非常相似,但需要安装软件 。

    是的,WPA Enterprise使用EAP进行身份validation 。 它支持密码和证书authentication