配置NETGEAR交换机与Windows IAS实现MD5-质询、受保护的EAP(PEAP)、智能卡或其它证书的三种身份验证

五、工作站：............................................................................ 19
1、工作环境： ..................................................................................19 2、配置过程： ..................................................................................19
1、802.1x 身份验证 ..........................................................................3 2、身份验证方法 ................................................................................4
1、环境： .......................................................................................... 11 2、配置过程： .................................................................................. 11
器证书可以由受客户端计算机信任的公共证书颁发机构 (CA)（即，公共 CA 证 书已经存在于客户端计算机证书存储区中的受信任的根证书颁发机构文件夹中） 颁发。 在这种情况下，服务器证书不会被下载和添加到客户端受信任的根证书存 储区中，用户也不会被提示确定是否信任服务器。 PEAP-EAP-MS-CHAPv2 可以提供比 MS-CHAPv2 更高的安全性，它使 用相互身份验证，防止未经授权的服务器协商最不安全的身份验证方法，提供 TLS 生成的密钥。PEAP-EAP-MS-CHAPv2 要求客户端信任服务器提供的证 书。 带 EAP-TLS 的 PEAP 公钥证书提供的身份验证方法，比使用基于密码的凭据更加可靠。带 EAP-TLS 的 PEAP (PEAP-EAP-TLS) 使用证书对服务器进行身份验证，使用 证书或智能卡对用户及客户端计算机进行身份验证。要使用 PEAP-EAP-TLS， 必须部署公钥基础结构 (PKI)。 PEAP 快速重新连接 PEAP 快速重新连接，能使无线客户端可以在同一网络的无线访问点之间 移动，而不必在每次与新访问点关联时都被重新验证身份。 无线访问点被配置为 RADIUS 服务器的 RADIUS 客户端。如果无线客户 端在被配置为同一 RADIUS 服务器的客户端的访问点之间漫游，客户端无需与 每个新关联进行身份验证。当客户端移动到被配置为不同 RADIUS 服务器的 RADIUS 客户端的访问点时，虽然客户端被重新验证身份，但是此过程处理的 效率要高得多。 PEAP 快速重新连接减少了客户端和身份验证器之间的响应时间，因为将 身份验证请求从新服务器转发到原来的服务器。由于 PEAP 客户端和身份验证 器都使用先前缓存的 TLS 连接属性（其集合称为 TLS 句柄），所以身份验证 器可以快速确定客户端连接是重新连接。 如果原来的 PEAP 身份验证器不可用，则在客户端和新的身份验证器之间 必须进行完整的身份验证。默认情况下，新的 PEAP 身份验证器的 TLS 句柄 已被客户端缓存。客户端可以缓存多个 PEAP 身份验证器的 TLS 句柄。对于 智能卡或 PEAP-EAP-MSCHAPv2 身份验证， 要求用户分别提供 PIN 或凭据。
3、用可还原的加密来储存密码 ........................................................8
二、网络拓扑：.......................................................................... 9 三、配置交换机(CLI)............................................................... 10 四、配置 Windows IAS 服务器： ......................................... 11
2.1、MD5-质询 .............................................................................................. 4 2.2、受保护的 EAP (PEAP)........................................................................ 4 2.3、智能卡和其他证书身份验证 ................................................................ 8
PEAP 快速重新连接，它减少客户端身份验证请求和 IAS 或 RADIUS 服 务器响应之间的时间延迟， 并允许无线客户端在访问点之间移动而无需重复身份 验证请求。这样可以减少客户端和服务器的资源要求。 PEAP 身份验证过程 PEAP 客户端和身份验证器之间的 PEAP 身份验证过程有两个阶段。 第一 个阶段建立 PEAP 客户端和身份验证服务器之间的安全通道。第二个阶段提供 EAP 客户端和身份验证器之间的 EAP 身份验证。 TLS 加密通道 无线客户端与无线访问点关联。基于 IEEE 802.11 的关联，在客户端与访 问点之间创建安全关联之前， 提供开放系统或共享密钥身份验证。在客户端与访 问点之间成功建立基于 IEEE 802.11 的关联之后，TLS 会话与访问点协商。成 功完成无线客户端和服务器（例如 IAS 服务器）之间的身份验证之后，TLS 会 话之间将进行协商。在此协商期间导出的密钥用于加密所有后续通信。 进行 EAP 身份验证的通信 整个 EAP 通信，包括 EAP 协商在内，都通过 TLS 通道进行。IAS 服务 器对用户和客户端计算机进行身份验证， 具体方法由 EAP 类型决定， 在 PEAP 内部选择使用（EAP-TLS 或 EAP-MS-CHAPv2）。访问点只转发无线客户端 和 RADIUS 服务器之间的消息，访问点（或监测它的个人）不能对这些消息进 行解密，因为它不是 TLS 终点。 使用 PEAP 的 802.11 无线部署 可以在两种 EAP 类型中选择一种用于 PEAP：EAP-MS-CHAPv2 或 EAP-TLS。EAP-MS-CHAPv2 使用凭据（用户名和密码）对用户进行身份验证， 使用服务器计算机证书存储区中的证书对服务器进行身份验证。EAP-TLS 使用 客户端计算机证书存储区中安装的证书或智能卡对用户和客户端计算机进行身 份验证，使用服务器计算机证书存储区中的证书对服务器进行身份验证。 带 EAP-MS-CHAPv2 的 PEAP 带 EAP-MS-CHAPv2 的 PEAP (PEAP-EAP-MS-CHAPv2) 比 EAP-TLS 更容易部署，因为用户身份验证是使用基于密码的凭据（用户名和密码）而不是 证书或智能卡（仅 IAS 或 RADIUS 服务器需要有证书）完成的。另外，服务
2.1、MD5-质询 ............................................................................................ 19 2.2、受保护的 EAP(PEAP)........................................................................ 21 2.3、智能卡或其它证书 .............................................................................. 24
配置交换机与 Windows IAS 实现 MD5-质询、受保护的 EAP(PEAP)、智能卡或其它证书的三种身份验证实验手册 V2.0
NETGEAR 中国区客户服务部 技术目
录
一、知识简介.............................................................................. 3
一、知识简介
1、802.1x 身份验证 IEEE 802.1x 标准允许对 802.11 无线网络和有线以太网进行身份验证和 访问。 当用户希望通过某个本地局域网 (LAN) 端口访问服务时，该端口可以承担 两个角色中的一个：“身份验证器”或者“被验证方”。作为身份验证器，LAN 端口 在允许用户访问之前强制执行身份验证。作为被验证方，LAN 端口请求访问用 户要访问的服务。“身份验证服务器”检查被验证方的凭据，让身份验证方知道被 验证方是否获得了访问身份验证方的服务的授权。 IEEE 802.1x 使用标准安全协议来授权用户访问网络资源。用户身份验证、 授权和记帐是由“远程验证拨号用户服务 (RADIUS)”服务器执行的。 RADIUS 是 支持对网络访问进行集中式身份验证、授权和记帐的协议。RADIUS 服务器接 收和处理由 RADIUS 客户端发送的连接请求。 此外，IEEE 802.1x 还通过自动生成、分发和管理加密密钥，利用有线等效 保密 (WEP) 加密来解决许多问题。 为了增强安全性，您可以启用 IEEE 802.1x 身份验证，它可以确保对 802.11 无线网络和有线以太网的访问都通过了身份验证。IEEE 802.1x 身份验 证最大限度地减少了无线网络安全风险，例如，对网络资源进行未经授权的访问 及窃听。它提供了用户和计算机标识、集中的身份验证和动态密钥管理。利用 IEEE 802.1x 为“可扩展的身份验证协议”(EAP) 安全类型提供的支持， 您可以使 用诸如智能卡、证书这样的身份验证方法。EAP 安全类型包括 EAP-TLS、具 有 EAP-TLS 的受保护的 EAP (PEAP) 和 Microsoft 质询握手身份验证协议 版本 2 (MS-CHAPv2)。 如果计算机要求访问网络资源而不考虑用户是否登录网络，您就可以利用 IEEE 802.1x 身份验证指定计算机是否尝试该网络的身份验证。 例如， 管理远程 管理服务器的数据中心操作员可以指定服务器应该尝试访问网络资源的身份验 证。 您也可以指定如果用户或计算机信息不可用时，计算机是否尝试该网络的身 份验证。例如，“Internet 服务提供商”(ISP) 可以使用此身份验证选项允许用户
访问免费的 Internet 服务或可以订购的 Internet 服务。公司可向访问者授予有 限的来宾访问权限， 这样他们就可以访问 Internet， 但不能访问保密的网络资源。 2、身份验证方法 2.1、MD5-质询 “消息摘要 5 质询 (MD5-质询)”是一种必要的 EAP 类型，它使用与基 于 PPP 的 CHAP 相同的质询握手协议，但是其质询和应答都是以 EAP 消息 传送的。 MD5 质询的典型应用是：通过使用用户名和密码安全系统来验证远程访问 客户端的凭据。也可以使用 MD5 质询来测试 EAP 的互操作性。 2.2、受保护的 EAP (PEAP) PEAP 受保护的可扩展身份验证协议 (PEAP) 是可扩展身份验证协议 (EAP) 协议家族的新成员。PEAP 使用传输级别安全性 (TLS)，创建进行身份 验证的 PEAP 客户端 （例如无线计算机） 和 PEAP 身份验证器 （例如 Internet 验证服务 (IAS) 或远程身份验证拨入用户服务 (RADIUS) 服务器）之间的加密 通道。PEAP 不指定身份验证方法，但是为其他 EAP 身份验证协议（例如 EAP-MSCHAPv2，它可以通过 PEAP 提供的 TLS 加密通道运行）提供额外 安全保护。PEAP 可以用作 802.11 无线客户端计算机的身份验证方法，但是 不受虚拟专用网 (VPN) 或其他远程访问客户端支持。 为增强 EAP 协议和网络安全性，PEAP 提供： 保护通过 TLS 通道在客户端和服务器之间发生的 EAP 方法协商。 这有助 于防止攻击者在客户端和网络访问服务器 (NAS) 之间插入数据包，这种插入数 据包会降低 EAP 方法协商的安全性。 加密 TLS 通道也助于防止拒绝服务攻击 IAS 服务器。 支持消息碎片和消息重组，允许使用不提供此功能的 EAP 类型。 无线客户端具有对 IAS 或 RADIUS 服务器进行身份验证的功能。由于服 务器也对客户端进行身份验证，因此出现相互身份验证。 当 EAP 客户端对 IAS 服务器提供的证书进行身份验证时，保护未经授权 的无线访问点 (WAP) 的部署。另外，PEAP 身份验证器和客户端创建的 TLS 主机密不与访问点共享。因此，访问点不能解密受 PEAP 保护的消息。