802.1X Authentication via WiFi – Active Directory + Network Policy Server + Certificate Server +Cisco WLAN +Group Policy

Post Reply
  • Author
  • Message
Offline
User avatar
Admin
Posts: 57
Joined: 31 Oct 2013, 13:36
Contact:

802.1X Authentication via WiFi – Active Directory + Network Policy Server + Certificate Server +Cisco WLAN +Group Policy

Post by faridmmv » 15 Dec 2016, 17:08

Рассмотрим конфигурирование 802.1X Авторизации для компьюеров в домене, при подключении к WIFI. В процессе мы поднимем Active Directory, Network Policy Server(NPS), Acive Directory Certificate Server, также пройдемся по настройкам групповых политик и CISCO WLAN контроллера(Cisco 2100 Series Controller).

Для начала поднимем домен и DNS. Для справки можно посмотреть эту тему

Потом поднимаем сертификат сервер. Я его буду поднимать на контроллере домена. Certificate Server будет выполнять Certificate Authority, что позволит ему генерировать сертификаты для компьютеров и пользователей.

Start > Administrative Tools > Server Manager
cs1i1.png
cs1i1.png (18.55 KiB) Viewed 4861 times
Roles > Add Roles
cs1i2.png
cs1i2.png (17.45 KiB) Viewed 4861 times
cs1i3.png
cs1i3.png (12.5 KiB) Viewed 4861 times
Ставим галочку Active Directory Certificate Services
cs1i4.png
cs1i4.png (17.61 KiB) Viewed 4861 times
Выбираем Certification Authority
cs1i5.png
cs1i5.png (15.7 KiB) Viewed 4861 times
cs1i6.png
cs1i6.png (14.88 KiB) Viewed 4861 times
cs1i7.png
cs1i7.png (13.6 KiB) Viewed 4861 times
cs1i8.png
cs1i8.png (13.8 KiB) Viewed 4861 times
cs1i9.png
cs1i9.png (17.11 KiB) Viewed 4861 times
cs1i10.png
cs1i10.png (15.53 KiB) Viewed 4861 times
cs1i11.png
cs1i11.png (17.95 KiB) Viewed 4861 times
cs1i12.png
cs1i12.png (13.6 KiB) Viewed 4861 times
cs1i13.png
cs1i13.png (13.32 KiB) Viewed 4861 times
cs1i14.png
cs1i14.png (24.43 KiB) Viewed 4861 times
cs1i15.png
cs1i15.png (15.85 KiB) Viewed 4861 times
cs1i16.png
cs1i16.png (20.49 KiB) Viewed 4861 times
Для напоминания: мы находимся на сервере который одновременно и контроллер домена и сервер сертификата.

В AD создаём OU с именем Wireless, а в ней группу, к примеру под названием WirelessAccess.

Открываем Administrative Tools -> Active Directory Users and Computers
cs1i17.png
cs1i17.png (19.61 KiB) Viewed 4861 times
cs1i18.png
cs1i18.png (19.51 KiB) Viewed 4861 times
cs1i19.png
cs1i19.png (22.19 KiB) Viewed 4861 times
Ставим галочку "Domain local"
cs1i20.png
cs1i20.png (11.12 KiB) Viewed 4861 times
cs1i21.png
cs1i21.png (17.74 KiB) Viewed 4861 times
Добавляем в группу компьютеры домена и пользователей домена и применяем.
cs1i22.png
cs1i22.png (25.45 KiB) Viewed 4856 times
Открываем консоль(Run -> MMC), жмем меню File -> Add/Remove Snap-in... кликаем два раза по Certification Authority[/b чтобы он добавился справа.
cs1i23.png
cs1i23.png (21.74 KiB) Viewed 4856 times
cs1i24.png
cs1i24.png (10.69 KiB) Viewed 4856 times
cs1i25.png
cs1i25.png (23.42 KiB) Viewed 4856 times
cs1i26.png
cs1i26.png (10.87 KiB) Viewed 4856 times

Разворачиваем Certification Authority правый клик на Certificate Templates -> Manage

В открывшемся окне, правый клик на RAS and IAS Server -> Duplicate Template
cs1i27.png
cs1i27.png (22.2 KiB) Viewed 4856 times
cs1i28.png
cs1i28.png (33.53 KiB) Viewed 4856 times
cs1i29.png
cs1i29.png (28.61 KiB) Viewed 4856 times
Ставим галочку Publish Certificate in Active Directory, указываем срок сертификата.
cs1i30.png
cs1i30.png (10.71 KiB) Viewed 4856 times
Во вкладке Subject name, меняем Subject Name format на DNS name
cs1i31.png
cs1i31.png (11.41 KiB) Viewed 4856 times
Во вкладке Security, выделяем RAS and IAS Servers и ставим галочки Allow на Enroll и Autoenroll.
Apply и OK.
cs1i32.png
cs1i32.png (13.36 KiB) Viewed 4856 times
Ту же операцию проводим с Workstation Authentication, только во вкладке Security выделяем Domain Computers и ставим галочки Allow на Enroll и Autoenroll.
cs1i33.png
cs1i33.png (26.14 KiB) Viewed 4856 times
Закрываем окно Certificate Templates Console
Правый клик на Certificate Templates -> New -> Certificate Template to Issue
cs1i34.png
cs1i34.png (21.59 KiB) Viewed 4856 times
В открывшемся списке выбираем только что созданный нами Copy of RAS and IAS Server(мы можем назвать его как угодно при создании дубликата), жмем Ok.

То же самое проделываем снова, но выбираем Copy of Workstation Authentication
cs1i35.png
cs1i35.png (17 KiB) Viewed 4856 times
Далее открываем групповые политики, Run -> gpmc.msc
Разворачиваем строки и находим созданную нами OU(В нашем случае это Wireless), правый клик -> Create a GPO in this domain, and Link it here...
cs1i36.png
cs1i36.png (20.37 KiB) Viewed 4854 times
Задаем название, в нашем случае я назвал WS Access
cs1i37.png
cs1i37.png (18.47 KiB) Viewed 4854 times
Жмем ОК. Кликаем на нашу политику. Кликаем ОК в окне предупреждения.
cs1i38.png
cs1i38.png (15.09 KiB) Viewed 4854 times
В разделе Security Filtering, выбираем Add и указываем группу, созданную нами в AD(В нашем случае это WirelessAccess)
cs1i39.png
cs1i39.png (10.1 KiB) Viewed 4854 times
Далее правый клик на нашей политике и Edit
cs1i40.png
cs1i40.png (15.56 KiB) Viewed 4854 times
В редакторе политик идем по пути Computer Configuration -> Windows Settings -> Security Settings -> Public Key Policies.
Двойной клик на Certificate Services Client - Auto-Enrollment, в выпадающем списке Configuration Model, выбираем Enabled.
И ставим галочки Renew expired certificates, update pending certificates, and remove revoked certificates, Select the Update certificates that use certificate templates, потом кликаем Apply и OK.
cs1i41.png
cs1i41.png (34.12 KiB) Viewed 4854 times
Далее идем по пути Computer Configuration->Policies->Windows Settings->Security Settings->Wireless Network (IEEE 802.11) Policies
Жмём правую кнопку и выбираем Create A New Wireless Network Policy for Windows Vista and Later Releases
Эта опция позволит нам настроить политики для ОС выше Windows Vista
cs1i42.png
cs1i42.png (23.82 KiB) Viewed 4854 times
Описание можно написать как удобно, остальные параметры задаём как на фото.
cs1i43.png
cs1i43.png (37.72 KiB) Viewed 4853 times
Network Name(s) SSID: Это будущее название WIFI.(В нашем случае ITSOLS WIFI)
cs1i44.png
cs1i44.png (8.16 KiB) Viewed 4853 times
Во вкладке Security следующие параметры:
cs1i45.png
cs1i45.png (21.17 KiB) Viewed 4853 times
cs1i46.png
cs1i46.png (26.62 KiB) Viewed 4853 times
Нажимаем ок, переходим во вкладку Network Permissions и выставляем галочки как на фото. Далее Apply и Ок, что завершить конфигурацию данной политики.
cs1i47.png
cs1i47.png (11.03 KiB) Viewed 4839 times
После опять правую кнопку и создаем политику для XP. (Create A New Windows XP Policy)
cs1i48.png
cs1i48.png (31.79 KiB) Viewed 4839 times
cs1i49.png
cs1i49.png (6.94 KiB) Viewed 4834 times
cs1i50.png
cs1i50.png (8.33 KiB) Viewed 4834 times
cs1i51.png
cs1i51.png (10.51 KiB) Viewed 4834 times
cs1i52.png
cs1i52.png (9.99 KiB) Viewed 4834 times
cs1i53.png
cs1i53.png (11.27 KiB) Viewed 4834 times
Apply и Ок

Теперь нужно привязать политику, правый клик на нашем домене и выбираем "Link an Existing GPO..."
, выбираем созданную нами политику и ОК
cs1i99.png
cs1i99.png (21.16 KiB) Viewed 4807 times
cs1i100.png
cs1i100.png (41.01 KiB) Viewed 4807 times
После этого на отдельном сервере поднимаем Network Policy Server (NPS), не забываем поменять имя сервера, вводим машину в домен, вбиваем статику и поднимаем службы. Обращаем внимание на то, что в качестве основного ДНС должен быть указан наш контроллер домена, где подняты ДНС службы, в противном случае мы не сможем ввести в домен и будем получать ошибку: "The following error occurred attempting to join the domain "":
An attempt to resolve the DNS name of a domain controller in the domain being joined has failed. Please verify this client is configured to reach a DNS server that can resolve DNS names in the target domain."


Start > Administrative Tools > Server Manager.
cs1i54.png
cs1i54.png (18.55 KiB) Viewed 4832 times

Roles > Add Roles.
cs1i55.png
cs1i55.png (17.45 KiB) Viewed 4832 times
cs1i56.png
cs1i56.png (12.5 KiB) Viewed 4832 times
Выбираем Network Policy and Access Services
cs1i57.png
cs1i57.png (17.84 KiB) Viewed 4832 times
cs1i58.png
cs1i58.png (14.75 KiB) Viewed 4832 times
cs1i59.png
cs1i59.png (12.83 KiB) Viewed 4832 times
cs1i60.png
cs1i60.png (11.74 KiB) Viewed 4832 times
cs1i61.png
cs1i61.png (16.71 KiB) Viewed 4832 times
После того как служба установлена, переходим к конфигурации
Start > Administrative Tools > Network Policy Server

Правый клик на NPS(local) -> Register Server in Active Directory
cs1i62.png
cs1i62.png (25.77 KiB) Viewed 4832 times
cs1i63.png
cs1i63.png (28.01 KiB) Viewed 4832 times
Если у вас ошибка "The task was not completed. You may not have sufficient privileges in the domain to perform this task. Please make sure that you have appropriate privileges in the domain to perform this task, or check with your network administrator", то скорее всего вы случайно вошли локальным админом, вместо администратора домена. Или ваш пользователь домена не имеет достаточных прав. При логине используйте логин домен\логин администратора. Логинимся админом домена и завершаем регистрацию.
cs1i64.png
cs1i64.png (4.66 KiB) Viewed 4832 times
cs1i65.png
cs1i65.png (27.59 KiB) Viewed 4832 times
cs1i66.png
cs1i66.png (16.75 KiB) Viewed 4832 times
cs1i67.png
cs1i67.png (13.41 KiB) Viewed 4832 times
Address(IP or DNS) адрес нашего CISCO WLAN Controller-а, в нашем случае это 10.1.1.250. Далее выбираем чекбокс "Generate" и нажимаем соответствующую кнопку. После генерации копируем ключ, лучше в отдельный текстовый документ и сохраням. Это ключ нам понадобится позже.
cs1i68.png
cs1i68.png (20.94 KiB) Viewed 4832 times
Нажимаем ОК и Next
cs1i69.png
cs1i69.png (22.54 KiB) Viewed 4831 times
Добавляем ранее созданную нами группу в АД
cs1i70.png
cs1i70.png (29.32 KiB) Viewed 4831 times
cs1i71.png
cs1i71.png (26.72 KiB) Viewed 4831 times
cs1i72.png
cs1i72.png (26.11 KiB) Viewed 4831 times
cs1i73.png
cs1i73.png (29.42 KiB) Viewed 4831 times
Во вкладке "Condition" Удаляем "NAS Port Type"
cs1i74.png
cs1i74.png (17.93 KiB) Viewed 4831 times
cs1i75.png
cs1i75.png (26.81 KiB) Viewed 4831 times
Apply и Ok

Далее на том же NPS сервере запускаем MMC. Run -> MMC -> Add/Remove Snap-in...
cs1i76.png
cs1i76.png (6.54 KiB) Viewed 4831 times
cs1i77.png
cs1i77.png (27.98 KiB) Viewed 4831 times
cs1i78.png
cs1i78.png (13.51 KiB) Viewed 4831 times
cs1i79.png
cs1i79.png (16.13 KiB) Viewed 4831 times
cs1i80.png
cs1i80.png (28.83 KiB) Viewed 4831 times
cs1i81.png
cs1i81.png (19.14 KiB) Viewed 4831 times
cs1i82.png
cs1i82.png (23.8 KiB) Viewed 4831 times
cs1i83.png
cs1i83.png (23.94 KiB) Viewed 4831 times
cs1i84.png
cs1i84.png (26.81 KiB) Viewed 4831 times
cs1i85.png
cs1i85.png (26.09 KiB) Viewed 4831 times
cs1i86.png
cs1i86.png (22.14 KiB) Viewed 4831 times
Для проверки заходим "Network Policies"
cs1i73.png
cs1i73.png (29.42 KiB) Viewed 4831 times
Выделяем Microsoft: Protected EAP(PEAP) кликаем Edit
cs1i87.png
cs1i87.png (22.54 KiB) Viewed 4831 times
У нас должно высветиться следующее окно, если при нажатии Edit выходит ошибка, то значит проблема с сертификатом.
cs1i88.png
cs1i88.png (14.34 KiB) Viewed 4831 times
Осталось настроить CISCO Wireless Controller (Cisco 2100 Series Controller) и провести тестирование

Переходим во вкладку Security, потом AAA -> Radius -> Authentication. Кликаем New
cs1i89.png
cs1i89.png (131.01 KiB) Viewed 4818 times
cs1i90.png
cs1i90.png (39.4 KiB) Viewed 4818 times
Server IP Address: вводим адрес нашего NPS сервера (в нашем случае это 10.1.1.211)
Shared Secret/Confirm Shared Secret: ключ который мы ранее скопировали в текстовый документ, когда настраивали NPS сервер (читайте выше)
Остальное как на фото:
cs1i91.png
cs1i91.png (49.66 KiB) Viewed 4818 times
Нажимаем Apply и видим созданный нами сервер авторизации
cs1i92.png
cs1i92.png (41.43 KiB) Viewed 4818 times
Переходим во вкладку WLANs, кликаем Create New -> Go
cs1i93.png
cs1i93.png (24.73 KiB) Viewed 4818 times
Заполняем Profile Name и SSID(название Wi-Fi), кликаем Apply
cs1i94.png
cs1i94.png (26.98 KiB) Viewed 4818 times
Открывается окно редактирования, там выполняем следующую конфигурацию:
Во вкладке General всё остаётся по умолчанию
cs1i95.png
cs1i95.png (15.87 KiB) Viewed 4818 times
cs1i96.png
cs1i96.png (10.51 KiB) Viewed 4818 times
Во вкладке AAA Servers, в выпадающем списке Server 1 выбираем наш сервер авторизации, который мы настроили чуть ранее.
В разделе Authentication priority order for web-auth user с помощью стрелок оставляем только RADIUS, кликаем Apply
cs1i97.png
cs1i97.png (37.56 KiB) Viewed 4818 times
Видим созданные нами профиль беспроводного подключения в списке, убеждаемся что Admin Status Enabled, если нет кликаем на цифру подключения, и во вкладке General ставим галочку Enabled и кликаем Apply
cs1i98.png
cs1i98.png (27.21 KiB) Viewed 4818 times
Всё готово. Берём лаптом, вводим в домен пробуем подключиться к Wi-Fi (обращаем внимание чтобы не были вбиты ip и dns статично, всё автоматом)
cs1i101.png
cs1i101.png (107.98 KiB) Viewed 4790 times
Как видим подключение осуществлено, и сертификат для компьютера автоматически сгенерирован. Имя компьютера GA01WS22. Для интереса также проверим сгенерированный сертификат на Certificate Server(он у нас на той же машине, где и Active Directory), и события в журнале NPS.
cs1i102.png
cs1i102.png (31.23 KiB) Viewed 4790 times
cs1i103.png
cs1i103.png (40.33 KiB) Viewed 4790 times
Видим, что там кроме сертификата тестового лаптопа имеются и сгенерированные сертификаты для контроллера домена, NPS и других компьютеров введенных в домен.
Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest