备案控制台
探索云世界
开发者社区 开发与运维 文章 正文

Wireless在域里面实施WPA认证设定应用

2017-11-22 1177
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
文件存储 NAS,50GB 3个月
简介:

管理员操作手冊

环境应用示意图如下:

clip_image003

用户账户处理方法

1. 把用户账户以下位置选择:

clip_image005

2. 创建一个Wireless User Group组,把用户的AD账户加到Wireless User Group ,然后将用户的电脑搬到ou--wireless组里面来

clip_image007

clip_image009

3. Wireless组里的Group policy会在一小时内自动推送到用户的电脑,或可在用户电脑里面用命令”gpupdate /force”作更新

外来者需要使用Wireless处理方法

1. 首先同样为外来者建一个GROUP,然后开一个临时的账户,设定何时过期,(这个可以在AD用户属性里面设定用户只可以在哪段时间可以登录域,因为开的是临时账户所以需要这个设定为安全着想)并加入 Wireless Travellers Group,然后用手工方式去做设定即可.

clip_image011

服务搭建篇:IAS服务器的

1. 在Windows 2003 domain controller里安装 Networking services -> IAS 服务

clip_image013

clip_image015

2. 打开IAS管理工具

clip_image017

3. 登記IAS到AD

clip_image019

4. 在IAS的属性里选 ”Rejected authentication requests” 和 “successful authentication requests”

clip_image021

clip_image023

5. 建立一个新的Remote Access Policy,取名为 Wireless Access Policy,加一个Wireless Users组进行,详细情况请看图

clip_image025

clip_image027

clip_image029

clip_image031

clip_image033

clip_image035

6. Authentication Methods 应选PEAP

clip_image037

7. Eap types是 EAP-MSCHAP v2

clip_image039

clip_image041

clip_image043

8. 完成后的样子

clip_image045

9. 重复以上步骤再建一个” Travellers Wireless Access Policy”,加入WirelessTravellers组里面,结果如下

clip_image047

10. 在RADIUS Client里,选 “New RADIUS Client”

clip_image049

11. 把需要连接的AP的 IP打进去,并改一个”Friendly name”

clip_image051

12. 在这个画面,按照密码策略(大小写,数字加英文八位数)改一个shared secret,记录下來,因晚一点设定AP时需要

clip_image053

13. 完成后的画面大若是这样的

clip_image055

AP

1. 登入AP后,在下图位置鍵入需要的参数,但SSID Broadcast必须为Disabled

clip_image057

2. 在下图位置选WPA-Enterprise, TKIP, Radious server IP就是IAS的IP,Shared secret需要和之前在IAS里打的一样,然后Save settings

clip_image059

无线用户权限设定

用戶必須加到 Wireless User Group,外来者必須加到 Wireless Travellers Group 等,才可通过IAS順利认证登录无线网络

clip_image061

利用组策略設定用戶端的无线网络

1. 在ou下的Computers里都会有一个名叫Wireless的ou,把需利用组策略设定无线的电脑搬进去

2. 该wireless ou里有一条group policy,內容如下

clip_image063

clip_image065

Wireless Network Policy的详细内容应和手动指定的一样便可以

1手动为用戶端设定

1. 在无线网络的属性里

clip_image067

A. 添加項目如下

clip_image069

clip_image071

B. PEAP的属性如下

clip_image073

C. 在EAP-MSCHAP v2的属性则请特別注意

clip_image075

如果该PC是域用戶,该用户已添加到WirelessUsers组里边,以上窗口里边的小框需要点选上,那他的PC连AP时会自动利用AD账户来登录

如果该PC是外来者,我们需要在AD里建一个临时的账户,把它加到WirelessTravellers组里面,這个账户名可能和他在本地使用的有出入,所以以上窗口不可把上面的上框点选上,结果是连接的时候才会弹出一对话框

clip_image077

点选右下角的提示,便会有以下窗口让你输入我们为该用户创建的临时账户及密码及域名

clip_image079

除錯

1. 首先肯定用戶和电脑的Group policy已做好

2. 在用戶端gpupdate可更新Group policy

3. 如果用户曾经成功用PEAP连接到我們网络,資料便会保存在该PC里,导致再连线时使用该资料再自动登入,要更正这个问题,请看http://support.microsoft.com/kb/823731

4. 有時候用戶连线会失败,检查IAS里的Event Viewer为最好的除错办法

clip_image081

成功的消息

Event Type: Information

Event Source: IAS

Event Category: None

Event ID: 1

Date: 1/21/2008

Time: 3:42:23 PM

User: N/A

Computer: allan

Description:

User K\allanfan was granted access.

Fully-Qualified-User-Name =k.local /Users/wireless/allanfan

NAS-IP-Address = 172.16.10.20

NAS-Identifier = 0316b6548cb2

Client-Friendly-Name = allanAP

Client-IP-Address = 172.16.10.24

Calling-Station-Identifier = 0004751ad216

NAS-Port-Type = Wireless - IEEE 802.11

NAS-Port = 30

Proxy-Policy-Name = Use Windows authentication for all users

Authentication-Provider = Windows

Authentication-Server = <undetermined>

Policy-Name = Wireless Access Policy

Authentication-Type = PEAP

EAP-Type = Secured password (EAP-MSCHAP v2)

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Data:

0000: 00 00 00 00 ....

失败消息(例:用户了域名)

Event Type: Error

Event Source: IAS

Event Category: None

Event ID: 3

Date: 10/21/2009

Time: 3:41:49 PM

User: N/A

Computer: allan

Description:

Access request for user k.local\allanfan was discarded.

Fully-Qualified-User-Name = k.local\allanfan

NAS-IP-Address = 172.16.10.20

NAS-Identifier = 0016b6548cb2

Called-Station-Identifier = 0416b6548cb2

Calling-Station-Identifier = 005e351ad216

Client-Friendly-Name = allanAP

Client-IP-Address = 172.16.10.23

NAS-Port-Type = Wireless - IEEE 802.11

NAS-Port = 30

Proxy-Policy-Name = Use Windows authentication for all users

Authentication-Provider = Windows

Authentication-Server = <undetermined>

Reason-Code = 5

Reason = The user account domain cannot be accessed.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Data:

0000: 00 00 00 00 ....

关于WPA技术和Microsoft参考资料

Wireless LAN Technologies and Microsoft Windows

http://www.microsoft.com/technet/network/wifi/wrlsxp.mspx

Wireless Deployment Technology and Component Overview

http://www.microsoft.com/technet/network/wifi/wificomp.mspx

Deployment of Protected 802.11 Networks Using Microsoft Windows

http://www.microsoft.com/technet/network/wifi/ed80211.mspx




     本文转自allanhi 51CTO博客,原文链接:http://blog.51cto.com/allanfan/221945,如需转载请自行联系原作者






文章标签:
文件存储NAS
Windows
相关实践学习
基于ECS和NAS搭建个人网盘
本场景主要介绍如何基于ECS和NAS快速搭建个人网盘。
阿里云文件存储 NAS 使用教程
阿里云文件存储(Network Attached Storage,简称NAS)是面向阿里云ECS实例、HPC和Docker的文件存储服务,提供标准的文件访问协议,用户无需对现有应用做任何修改,即可使用具备无限容量及性能扩展、单一命名空间、多共享、高可靠和高可用等特性的分布式文件系统。 产品详情:https://www.aliyun.com/product/nas
技术小胖子
目录
相关文章
科技小能手
|
网络协议
华为HCIE7-中间系统到中间系统的路由泄露、防环、认证和优化机制
科技小能手
1631 0
知孤云出岫
|
1月前
|
安全 网络协议 网络虚拟化
华为配置WAPI-PSK安全策略实验
华为配置WAPI-PSK安全策略实验
知孤云出岫
21 3
Z2O安全攻防
|
11月前
|
缓存 安全 算法
域渗透 | kerberos认证及过程中产生的攻击
前言 Windows认证一般包括本地认证(NTLM HASH)和域认证(kerberos)。 认证的原理网上有很多文章。如果喜欢听视频课程的话,这里推荐倾旋师傅的分享课 https://www.bilibili.com/video/BV1S4411e7hr?spm_id_from=333.788.b_636f6d6d656e74.8 本篇文章主要内容是Kerberos认证过程中产生的攻击。
Z2O安全攻防
926 0
sumith
|
数据安全/隐私保护
内网渗透 -- 添加域服务
内网渗透 -- 添加域服务
sumith
90 0
内网渗透 -- 添加域服务
Hacker2001
|
存储 JSON 前端开发
【BP靶场portswigger-服务端7】访问控制漏洞和权限提升-11个实验(全)(上)
【BP靶场portswigger-服务端7】访问控制漏洞和权限提升-11个实验(全)(上)
Hacker2001
264 0
【BP靶场portswigger-服务端7】访问控制漏洞和权限提升-11个实验(全)(上)
Hacker2001
|
存储 安全 API
【BP靶场portswigger-服务端7】访问控制漏洞和权限提升-11个实验(全)(下)
【BP靶场portswigger-服务端7】访问控制漏洞和权限提升-11个实验(全)(下)
Hacker2001
811 0
【BP靶场portswigger-服务端7】访问控制漏洞和权限提升-11个实验(全)(下)
xiaofengdada
|
存储 运维 负载均衡
常见网络安全设备默认口令
常见网络安全设备默认口令
xiaofengdada
944 0
绝不原创的飞龙
|
安全 Android开发 数据安全/隐私保护
安卓应用安全指南 5.3.2 将内部账户添加到账户管理器 规则书
5.3.2 将内部账户添加到账户管理器 规则书 原书:Android Application Secure Design/Secure Coding Guidebook 译者:飞龙 协议:CC BY-NC-SA 4.0 实现认证器应用时,遵循下列规则: 5.3.2.1 提供认证器的服务必须是私有的(必需) 前提是,提供认证器的服务由账户管理器使用,并且不应该被其他应用访问。
绝不原创的飞龙
1084 0
soul.stone
你组织的安全策略阻止未经身份验证的来宾访问
你不能访问此共享文件夹,因为你组织的安全策略阻止未经身份验证的来宾访问。这些策略可帮助保护你的电脑免受网络上不安全设备或恶意设备的威胁。  管理员身份执行sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsisc.exe config mrxsmb20 start= disabled然后重启电脑,有用记得感谢我哈哈。
soul.stone
3518 0
技术小阿哥
|
数据安全/隐私保护
Domino8.5.1策略设定
技术小阿哥
1223 0