目 录 介 绍... 3 认 证 原 理... 3 组 件... 4 测 试 拓 扑... 5 计 算 机 身 份 认 证 部 分... 5 配 置 步 骤... 5 FortiAC 配 置... 5 活 动 目 录 配 置... 7 IAS(NPS) 配 置 测 试 过 程... 16

无 线 802.X 计 算 机 认 证 与 用 户 认 证 With Windows IAS (NPS) 版 本 1.0 时 间 支 持 的 版 本 作 者 状 态 反 馈 2015 年 9 月 Fortios v5.0.x 及 以 上 版 本 李 威 峰 草 稿 support_cn@fortinet.com 特 别 的 提 示

目 录 介 绍... 3 认 证 原 理... 3 组 件... 4 测 试 拓 扑... 5 计 算 机 身 份 认 证 部 分... 5 配 置 步 骤... 5 FortiAC 配 置... 5 活 动 目 录 配 置... 7 IAS(NPS) 配 置... 10 测 试 过 程... 16 1. 第 一 次 连 接 该 SSID 时, 需 要 手 工 点 击 该 SSID 连 接... 16 2. 在 FortiAC 上 观 察, 此 认 证 已 经 通 过... 16 3. 抓 包 分 析... 16 4. 认 证 通 过 后 客 户 端 自 动 生 成 的 配 置... 18 5. 重 启 Windows, 开 机 后 观 察 802.1X 计 算 机 认 证 状 态... 19 计 算 机 机 认 证 与 帐 号 认 证 相 结 合 应 用 场 景... 20 配 置 步 骤... 21 FortiAC 配 置... 21 配 置 IAS 用 户 认 证... 22 在 IAS 服 务 器 上 的 访 问 策 略 中 添 加 Radius-Att vlan AVP... 23 连 接 该 SSID 下 的 802.1X 客 户 端 认 证 参 数 调 整... 24 测 试 过 程... 25 1. 开 机, 不 操 作 电 脑,802.1x 客 户 端 使 用 计 算 机 身 份 认 证... 25 2. 使 用 Windows 域 帐 号 登 录 Windows 域... 26 总 结... 26 参 考 文 档... 26 附 录... 26 Fortinet 公 司 第 2 页 / 共 28 页 www.fortinet.com.cn

介 绍 无 线 802.1X 认 证 是 目 前 企 业 办 公 中 最 为 常 见 也 是 最 安 全 的 认 证 方 式, 在 企 业 Windows 域 环 境 中, 认 证 凭 证 往 往 存 储 在 Windows 活 动 目 录 的 Database 中, 在 有 早 期 的 Windows 版 本 中 (XP,WindowsNT,Windows 2000) 的 环 境 中, 计 算 机 认 证 结 合 用 户 帐 号 认 证 更 能 够 体 现 价 值, 即 便 Windows 支 持 单 点 登 录 的 今 天, 仍 有 实 用 价 值 本 文 详 细 的 介 绍 计 算 机 认 证 及 用 户 帐 号 认 证, 是 一 道 综 合 题, 所 以 请 感 兴 趣 的 同 学 仔 细 阅 读 802.1X 认 证 有 几 十 认 证 方 式 ( 外 层 EAP 方 法 与 内 层 身 份 认 证 ), 由 于 Windows 大 面 积 使 用 的 原 因, 其 中 最 为 常 见 的 是 PEAP-MS-CHAPV2, 现 将 项 目 中 常 见 的 搭 配 的 总 结 如 下 : 内 层 身 份 认 证 方 式 外 层 EAP 方 法 帐 号 或 用 户 数 据 库 类 型 备 注 PAP TTLS 单 向 散 列 系 统 ( 大 部 分 的 LDAP 目 录 (Open LDAP ),Unix 密 码 格 式 ), 令 牌 卡 第 二 常 见 的 内 层 身 份 验 证 方 式, 可 以 搭 配 任 何 类 型 的 数 据 库 使 用, 认 证 过 程 通 过 TLS 通 道 进 行 保 护 MS-CHAP-V2 PEAP /TTLS Windows 用 户 帐 号, 计 算 名 ( Windows AD 或 任 何 存 储 为 MD4 散 列 值 方 式 第 一 常 见 的 认 证 方 式, 认 证 过 程 通 过 TLS 通 道 保 护 的 数 据 库 ) X.509 方 式 EAP-TLS 用 户 个 人 证 书 文 件 需 要 PKI 密 钥 体 系, 认 证 过 程 是 证 书 交 换 不 加 密 EAP-GTC TTLS 或 Cisco PEAP 与 PAP 相 同 一 句 话, 只 要 使 用 了 作 为 MS-CHAP-V2 内 层 身 份 认 证 后, 就 要 求 Radius 能 够 访 问 用 户 密 码 的 MD4 散 列 值, 也 要 求 密 码 是 MD4 散 列 值 方 式 存 储 当 然 也 可 以 通 过 巧 妙 的 设 计 进 行 变 通 访 问, 详 细 见 其 它 文 章 认 证 原 理 认 证 前 置 条 件 : Fortinet 公 司 第 3 页 / 共 28 页 www.fortinet.com.cn

已 经 把 计 算 机 加 入 到 域 ( 不 是 使 用 域 上 的 用 户 名 和 密 码 登 录 域 ) 在 活 动 目 录 的 computer 中 已 经 能 够 看 到 该 计 算 机 认 证 过 程 : 1. 建 立 PEAP 保 护 通 道, 即 TLS 通 道 2. 在 保 护 的 TLS 通 道 内 进 行 MS-CHAP-V2 认 证, 即 所 有 的 MS-CHAP-V2 交 换 过 程 由 TLS 保 护,FortiAC 作 为 NAS 并 不 清 楚 里 面 交 互 了 什 么 内 容,FortiAC 仅 仅 把 认 证 EAP 的 报 文 封 装 在 Radius 消 息 中 ( 即 FortiAC 充 当 了 EAP 中 继 的 角 色, 这 与 802.1X 认 证 选 择 本 地 或 远 程 用 户 组 不 同 ) 交 互 内 容 如 下 : 计 算 机 认 证 身 份 是 以 host/ 计 算 机 名 的 格 式 作 为 认 证 标 识 ( 即 我 们 常 说 的 用 户 帐 号 ), 密 码 是 在 加 入 计 算 机 加 入 域 过 程 中 生 成 的 密 码 (MD4 方 式 存 储 ) 然 后 通 过 MS-CHAP-V2 的 方 式 FortiAC 的 Radius 报 文 封 装, 传 递 给 IAS(NPS) 时 进 行 交 互 3. 如 果 认 证 通 过,IAS(NPS) 发 送 Radius-accept 消 息 给 FortiAC 组 件 名 称 型 号 版 本 数 量 备 注 无 线 控 制 器 FortiGate V5.2.3 1 FAP FAP223 V5.0.10 1 Windows DC 服 务 Windows 2003R2 1 器 IAS 服 务 器 Windows 2003R2 自 1 带 组 件 无 线 测 试 终 端 Thinkpad220 Windows7 64 位 旗 舰 版 1 Fortinet 公 司 第 4 页 / 共 28 页 www.fortinet.com.cn

测 试 拓 扑 如 上 图 所 示, 要 求 的 基 础 配 置 如 下 : 1. FAP 注 册 到 FortiAC, FAP 发 布 的 SSID 启 用 本 地 转 发 模 式 2. FAP 发 布 的 SSID 下 的 认 证 方 式 配 置 为 WPA-Enterprise 企 业 认 证 3. WPA-Enterprise 认 证 数 据 库 选 择 Radius 4. Radius 服 务 器 引 用 远 程 IAS(NPS) 5. Windows AD 域 控 制 器 DC 上 要 求 启 用 IAS( 远 程 拨 号 访 问 ), 证 书 服 务, 并 开 启 允 许 相 应 计 算 机 拨 入 6. 认 证 的 无 线 终 端 之 前 加 入 过 域 了, 且 在 DC 上 的 目 录 结 构 中 在 能 够 computers 下 看 到 相 应 的 计 算 机 计 算 机 身 份 认 证 部 分 配 置 步 骤 FortiAC 配 置 1. 配 置 Radius client Fortinet 公 司 第 5 页 / 共 28 页 www.fortinet.com.cn

确 保 两 端 预 共 享 机 密 一 致,Radius 认 证 请 求 报 文 和 应 答 报 文 中 会 有 Message-Authenticator 信 息, 这 个 信 息 是 Authenticator 使 用 预 共 享 机 密 参 与 下 算 出 来 的 hash 值, 认 证 的 双 方 可 以 根 据 此 信 息 确 定 预 共 享 机 密 是 否 一 致 2. 配 置 SSID 下 的 802.1X 认 证 注 意, 默 认 802.1x 认 证 后 空 口 层 面 的 加 密 是 AES 3. 把 该 802.x 的 SSID 下 发 到 AP( 先 加 入 到 AP 的 配 置 文 件, 然 后 把 配 置 文 件 下 发 到 AP) Fortinet 公 司 第 6 页 / 共 28 页 www.fortinet.com.cn

活 动 目 录 配 置 1. 在 win7 上 提 示 加 入 域 成 功 后, 从 域 控 制 器 DC 上 能 看 到 Computers 下 计 算 机 加 入 了 域 2. 允 许 该 计 算 机 远 程 拨 入 Fortinet 公 司 第 7 页 / 共 28 页 www.fortinet.com.cn

3. 创 建 认 证 组 ( 该 组 内 成 员 为 计 算 机 ) Fortinet 公 司 第 8 页 / 共 28 页 www.fortinet.com.cn

把 需 要 认 证 的 计 算 机 加 入 到 组 : 从 组 中 可 以 校 验 计 算 机 是 否 加 入 了 该 组 Fortinet 公 司 第 9 页 / 共 28 页 www.fortinet.com.cn

IAS(NPS) 配 置 Internet 验 证 服 务 是 一 个 综 合 的 微 软 的 Radius 服 务 器, 集 成 了 Radius 标 准 的 扩 展 的 自 定 义 的 Radius AVP 集 合, 集 成 EAP 代 理, 微 软 以 IAS 命 名 目 前 Fortinet 对 应 的 产 品 叫 做 FortiAuthenticator, 功 能 非 常 强 大 Cisco 的 Radius 服 务 器 产 品 为 ACS,H3C 产 品 为 IMC 1. 添 加 Radius client Fortinet 公 司 第 10 页 / 共 28 页 www.fortinet.com.cn

2. 创 建 拨 入 策 略 下 一 步 Fortinet 公 司 第 11 页 / 共 28 页 www.fortinet.com.cn

下 一 步 选 择 无 线 认 证 模 版 Fortinet 公 司 第 12 页 / 共 28 页 www.fortinet.com.cn

添 加, 找 到 位 置, 输 入 名 称, 检 查, 确 定 确 定 Fortinet 公 司 第 13 页 / 共 28 页 www.fortinet.com.cn

确 定, 下 一 步 选 择 EAP 方 法, 默 认 为 PEAP, 正 是 我 们 需 要 的 点 击 配 置, 可 以 选 择 TLS 协 商 中 的 服 务 器 端 证 书 Fortinet 公 司 第 14 页 / 共 28 页 www.fortinet.com.cn

Fortinet 公 司 第 15 页 / 共 28 页 www.fortinet.com.cn

测 试 过 程 1. 第 一 次 连 接 该 SSID 时, 需 要 手 工 点 击 该 SSID 连 接 点 击 连 接 后, 在 不 需 要 输 入 用 户 和 密 码 的 情 况 下, 认 证 通 过 2. 在 FortiAC 上 观 察, 此 认 证 已 经 通 过 3. 抓 包 分 析 802.1x 客 户 端 使 用 的 计 算 机 认 证 方 式 Fortinet 公 司 第 16 页 / 共 28 页 www.fortinet.com.cn

完 整 报 文 jsj-auth.pcapng 认 证 第 一 个 Request 报 文 最 后 一 个 accept 报 文 Fortinet 公 司 第 17 页 / 共 28 页 www.fortinet.com.cn

4. 认 证 通 过 后 客 户 端 自 动 生 成 的 配 置 最 主 要 的 是 生 成 了 使 用 计 算 机 身 份 认 证 (Windows 默 认 使 用 计 算 机 名 认 证 方 式,), 如 果 计 算 机 身 份 无 法 通 过, 使 用 Windows 登 录 信 息 进 行 验 证 还 有 以 下 其 它 选 项 Fortinet 公 司 第 18 页 / 共 28 页 www.fortinet.com.cn

注 意 : 使 用 计 算 机 验 证, 自 动 使 用 Windows 登 录 名 和 密 码 就 没 有 用 了 5. 重 启 Windows, 开 机 后 观 察 802.1X 计 算 机 认 证 状 态 刚 刚 开 启 后, 没 有 登 录 Windows 没 有 登 录 Windows, 但 是 已 经 连 接 上 无 线 了 Fortinet 公 司 第 19 页 / 共 28 页 www.fortinet.com.cn

这 正 是 802.1X 计 算 机 身 份 验 证 的 精 妙 之 处, 不 需 要 登 录 操 作 系 统, 就 可 以 完 成 802.1x 认 证 虽 然 在 Windows7 增 加 了 登 录 Windows 域 之 前 验 证 802.1X 单 点 登 录 方 式, 但 是 除 域 服 务 外, 磁 盘 驱 动 器 映 射 也 进 行 的 相 当 早, 如 果 计 算 机 没 有 通 过 身 份 认 证, 这 些 操 作 都 将 失 败 在 大 多 数 情 况 下,Windows 计 算 机 验 证 都 应 该 视 为 网 络 是 否 运 行 顺 畅 的 必 要 条 件 所 以,Windows 域 环 境 下 802.1X 计 算 机 身 份 验 证 很 重 要! 计 算 机 机 认 证 与 帐 号 认 证 相 结 合 应 用 场 景 因 为 计 算 机 身 份 认 证 接 入 无 线 网 络 是 网 络 顺 畅 的 必 要 条 件, 即 加 入 域 的 计 算 机 没 有 人 登 录 也 能 运 行 和 域 服 务 及 其 它 服 务 相 关 的 应 用 当 有 人 使 用 域 帐 号 登 录 该 计 算 机 时,802.1X 使 用 登 录 该 计 算 机 的 域 帐 号 进 行 验 证, 然 后 根 据 认 证 结 果, 重 新 分 配 vlan 和 IP, 从 而 改 变 这 台 域 计 算 机 的 网 络 访 问 权 限 场 景 举 例 1. 实 现 计 算 机 身 份 认 证 后 分 配 到 vlan 20 中, 域 帐 号 登 录 后 分 配 vlan30 中 IP 地 址 Fortinet 公 司 第 20 页 / 共 28 页 www.fortinet.com.cn

配 置 步 骤 FortiAC 配 置 1. 接 口 配 置 vlan20 和 vlan30 2.SSID 下 启 用 动 态 vlan FGT60D4614022596 (802.1x) # show config wireless-controller vap edit "802.1x" set vdom "root" set ssid "802.1x" set security wpa2-only-enterprise set auth radius set radius-server "IAS" set local-bridging enable Fortinet 公 司 第 21 页 / 共 28 页 www.fortinet.com.cn

set dynamic-vlan enable // 启 用 动 态 vlan, 即 根 据 Radius-Accept 报 文 返 回 的 Attribute 决 定 用 户 所 在 的 vlan set alias "b" end next 配 置 IAS 用 户 认 证 过 程 与 计 算 机 认 证 过 程 基 本 致 ( 略 ) 主 要 的 配 置 : 1. 配 置 用 户, 允 许 远 程 拨 入 2. 配 置 用 户 组, 并 把 802.1x 认 证 的 用 户 加 入 到 组 3. 配 置 IAS 访 问 策 略, 根 据 向 导 创 建 注 : 我 使 用 用 户 组 认 证 时 需 要 把 向 导 创 建 的 wireless 一 条 策 略 状 况 删 掉, 仅 仅 保 留 用 户 组 策 略 的 策 略 状 况 同 时 把 基 于 帐 号 认 证 的 访 问 策 略 调 整 成 以 下 才 行 Fortinet 公 司 第 22 页 / 共 28 页 www.fortinet.com.cn

在 IAS 服 务 器 上 的 访 问 策 略 中 添 加 Radius-Att vlan AVP 动 态 vlan 联 合 使 用 了 三 个 标 准 的 AVP: 65 (Tunnel-Medium-Type) 设 置 成 802 64 (Tunnel-Type) 设 置 成 VLAN 81 (Tunnel-Private-Group-ID) 设 置 成 vlan ID 计 算 机 身 份 认 证 访 问 策 略 添 加 65,Tunnel-Medium-Type 设 置 成 802 依 次 添 加 后 如 下 : Fortinet 公 司 第 23 页 / 共 28 页 www.fortinet.com.cn

802.x 用 户 帐 号 访 问 访 问 策 略 下 配 置 Radius att vlan AVP 连 接 该 SSID 下 的 802.1X 客 户 端 认 证 参 数 调 整 红 色 框 调 整 内 容 含 义 : 即 使 用 用 户 认 证 和 计 算 机 认 证 相 结 合 的 方 式, 当 在 Windows 登 录 框 中 输 入 用 户 名 和 密 码, 使 用 输 入 的 用 户 名 和 密 码 进 行 802.1x 认 证, 认 证 通 过 后 发 生 两 件 事 情 : Fortinet 公 司 第 24 页 / 共 28 页 www.fortinet.com.cn

1. 无 线 网 卡 重 新 发 起 获 取 IP 地 址 过 程 2. 进 行 Windows 域 登 录 测 试 过 程 验 证 计 算 机 认 证 与 用 户 认 证 配 置 后 的 效 果 1. 开 机, 不 操 作 电 脑,802.1x 客 户 端 使 用 计 算 机 身 份 认 证 根 据 IAS 上 配 置 的 访 问 策 略, 计 算 机 认 证 组 应 该 分 配 到 vlan20 符 合 设 想 Fortinet 公 司 第 25 页 / 共 28 页 www.fortinet.com.cn

2. 使 用 Windows 域 帐 号 登 录 Windows 域 当 输 入 Windows 域 帐 号 和 密 码 后,802.1x 客 户 端 尝 试 用 Windows 域 的 帐 号 和 密 码 进 行 认 证, 认 证 后 获 取 到 vlan30 IP. 符 合 设 想 总 结 本 文 主 要 是 给 大 家 提 供 802.X windonws 域 环 境 下 计 算 机 认 证 和 用 户 认 证 方 案 的 启 发, 测 试 中 发 现 两 者 配 合 时 802.1x 用 户 帐 号 认 证 方 式 有 点 慢, 更 改 延 迟 时 间 好 像 不 生 效 但 登 录 域 后 能 够 看 到 使 用 域 帐 号 进 行 802.1x 认 证, 总 体 上 符 合 计 算 机 认 证 是 一 种 网 络 权 限, 用 户 认 证 方 式 是 一 种 网 络 访 问 权 限 构 想 其 中 的 缘 由 将 继 续 追 踪 参 考 文 档 802.11 无 线 网 络 权 威 指 南 MS-CHAP-V2 认 证 http://tools.ietf.org/html/rfc2759 附 录 Windonws 加 入 域 过 程 Fortinet 公 司 第 26 页 / 共 28 页 www.fortinet.com.cn

Fortinet 公 司 第 27 页 / 共 28 页 www.fortinet.com.cn

Fortinet 公 司 第 28 页 / 共 28 页 www.fortinet.com.cn