Ćwiczenie 4

Download Report

Transcript Ćwiczenie 4 

Uwierzytelnienie i autoryzacja
sieci WiFi za pomocą serwera
Radius w Windows server 2008
Jarosław Kurek
WZIM SGGW
1
Test routera
Podłączamy router to internetu – port WAN
2. Przywracamy ustawienia domyślne routera
3. Wchodzimy na zarządzanie routerem
4. Konfigurujemy port WAN, aby uzyskiwał dostęp z
172.16.1.x (DHCP z naszej sieci SGGW)
5. Na interfejsie LAN ustawiamy zakres 192.168.x.100
6. Włączamy server DHCP na routerze i ustawiamy pule
zakresu od 192.168.x.230-192.168.x.240
7. Łączymy się po WiFi z routerem sprawdzamy czy
dostajemy dostęp do sieci Internet.
1.
Instalacja i konfiguracja Win2008
Instalujemy nową instancję win2008
2. Konto Administrator hasło:Qwerty123
3. Zmieniamy nazwę servera na DCx, gdzie x to index
komputera stacjonarnego
4. Wyłączamy Firewalla
5. Wyłączamy IPv6
6. Ustawiamy sieć statycznie na 192.168.x.1 /24
7. Ustawiamy DNS na 127.0.0.1
8. Zainstalować kontroler domeny np. SGGW.com,
1.
Instalacja roli NPS -Network Policy
Server
1.
2.
3.
Instalujemy nową rolę Network Policy and Access
Services->Network Policy Server
Instalujemy rolę Active Directory Certificate Services
Generujemy certyfikat Root CA – urzędu certyfikacji
Generacja certyfikatu dla serwera
1.
Generujemy certyfikat dla serwera
Open a new MMC console
2. Go to File -> Add/Remove Snap-in and add the
Certificates snap-in
3. Select Computer Account for the local computer
4. When finished with adding the snap-in expand the
Certificates -> Personal node
5. Right click on Certificates and choose Request new
Certificate
6. In the wizard choose Computer for the certificate type
and click Enroll
7. Close the MMC console
Konfiguracja roli NPS -Network Policy Server
1.
2.
3.
Next, click Start -> Administrative Tools -> Network
Policy Server
Right click the NPS (local) node and choose Register
server in Active Directory
With the NPS (Local) node still selected choose
RADIUS server for 802.1X Wireless or Wired
Connections from the drop- down box and click
Configure 802.1x
Konfiguracja roli NPS -Network Policy Server
Konfiguracja roli NPS -Network Policy Server
A. Under Type of 802.1X connections, select Secure
Wireless Connections and configure a name for the
policy's created.
B. Next the Access Point is configured by clicking Add,
filling in a name for the Access Point and providing
the wizard with the IP address or DNS entry
C. Then you can define a shared secret by either creating
one manually or generating one randomly
Konfiguracja roli NPS -Network Policy Server
Konfiguracja roli NPS -Network Policy Server
A. Note that some Access Points (particulary Linksys)
B.
C.
D.
A.
have a 22 character limit on the shared key, so keep
that in mind while creating one.
In the next screen choose Microsoft: Protected
EAP (PEAP) and click Configure
Ensure the Certificate issued drop-down box has
the certificate you've created
Click Next, and click Add to use an Active Directory
group to secure your wireless (you need to add both
the machine accounts and user accounts to this
group to allow authentication on the wireless)
Tu Dodajemy grupę Domain Admins
Close and restart the Network Policy Server
service
Konfiguracja AP/Routerze
A. W routerze wprowadzamy security na RADIUS, port
1812,
B. Ustawiamy IP serwera NPS-Radiusa na routerze,
C. Ustawiamy identyczny pre-shared-key co w NPS na
Win2008
D. Ustawiamy WEP/WPA
Konfiguracja klienta
A. Ustawiamy profil sieci, tak aby korzystał z PAEP –
B.
C.
D.
E.
zakładak sieci bezprzewodowe->właściwości profilu
Ustawiamy
checkbox
–
otrzymuję
klucz
automatycznie
Zakładka uwierzytelnienie – protokół PEAP
PEAP -> właściwości – wyłączyć weryfikuj certyfikat
serwera (potem należy wgrać certyfikat i sprawdzić)
Wybierz
metdoą
uwierzytelenia->konfiguruj->
odhaczyć checkbox.
Sprawdzenie połączenia
A. Sprawdzamy czy Win2008 widzi się z AP/Routerem
B. Łączymy się u klienta z siecią (routerem)
C. Wyskoczy popup na który trzeba kliknąć i podać
parametry połączenia: Administrator Qwerty123 i
sggw
D. UWAGA w textbox dotyczący domeny podajemy
nazwę netbiosową serwera na którym stoi domena
E. Jeżeli wszystko zrobiliśmy poprawnie w event
viewer security pojawi się wpis success!
Np. zamiast sggw.com podajemy sggw !
Zwiększenie bezpieczeństwa
A. Ustawić u klienta weryfikację certyfikatu i przenieść
go do klienta
B. Sprawdzić działanie
Utworzenie nowej grupy w AD
A. Należy utworzyć nową grupę w AD
B. Dodać usera i przypisać go do tej grupy
C. Spróbować
użytkownika
połączyć
się
u
klienta
na
tego