將WindowsVista無線客戶端加入到域

字號(hào):

導(dǎo)言
    無線客戶端需要域憑據(jù)(名稱/密碼)或證書來執(zhí)行身份驗(yàn)證,以確保無線訪問的安全。若要加入域并獲得域憑據(jù)或證書,無線客戶端計(jì)算機(jī)需要成功地連接到包含該域的域控制器的無線網(wǎng)絡(luò)。若要訪問安全無線網(wǎng)絡(luò)并將一臺(tái)計(jì)算機(jī)加入到域,無線客戶端用戶必須手動(dòng)提供其域用戶名和密碼。一旦連接到了無線網(wǎng)絡(luò)后,無線客戶端用戶即可以將該計(jì)算機(jī)加入到域。
    在經(jīng)過 802.1X 身份驗(yàn)證的無線網(wǎng)絡(luò)中,無線客戶端需要提供經(jīng)過 RADIUS 服務(wù)器身份驗(yàn)證的安全憑據(jù)。這些憑據(jù)可以包括用戶名和密碼(用于受保護(hù)的 EAP [PEAP]-Microsoft 質(zhì)詢握手身份驗(yàn)證協(xié)議版本 2 [MS-CHAP v2])或證書(用于 EAP-傳輸層安全性 [TLS])。對(duì)于 PEAP-MS-CHAP v2 或 EAP-TLS,無線客戶端還會(huì)驗(yàn)證在身份驗(yàn)證過程中由 RADIUS 發(fā)送的計(jì)算機(jī)證書。這是 Windows 無線客戶端的默認(rèn)行為??梢越眠@一行為,但在生產(chǎn)環(huán)境中不推薦這樣做。
    如果 RADIUS 服務(wù)器使用商業(yè)公鑰基礎(chǔ)結(jié)構(gòu) (PKI)(比如 VeriSign, Inc.)提供的計(jì)算機(jī)證書,并且無線客戶端上已經(jīng)安裝了 RADIUS 服務(wù)器計(jì)算機(jī)證書的根認(rèn)證機(jī)構(gòu)證書,則無線客戶端可以驗(yàn)證 RADIUS 服務(wù)器的計(jì)算機(jī)證書,不管該無線客戶端是否已經(jīng)加入到了 Active Directory 域。
    如果 RADIUS 服務(wù)器使用私有 PKI 提供的與 Active Directory 集成的計(jì)算機(jī)證書(比如基于 Windows Server® 2003 證書服務(wù)的證書),則尚未加入到域的無線客戶端不會(huì)具有 RADIUS 服務(wù)器計(jì)算機(jī)證書的根 CA 證書,默認(rèn)情況下,身份驗(yàn)證過程將失敗。無線客戶端加入到域中后,會(huì)自動(dòng)安裝 RADIUS 服務(wù)器計(jì)算機(jī)證書的根 CA 證書。
    本文介紹這樣的方法:使用無線配置文件配置基于 Windows Vista 的無線客戶端,以執(zhí)行手動(dòng) PEAP-MS-CHAP v2 身份驗(yàn)證,但不驗(yàn)證 RADIUS 服務(wù)器計(jì)算機(jī)證書。在連接到無線網(wǎng)絡(luò)之后,無線客戶端計(jì)算機(jī)會(huì)加入到域并獲得相應(yīng)的根 CA 證書。計(jì)算機(jī)用戶(手動(dòng))或 IT 管理員(通過組策略)可以重新配置無線配置文件,以便使 PEAP-MS-CHAP v2 身份驗(yàn)證可以驗(yàn)證 RADIUS 服務(wù)器的計(jì)算機(jī)證書,并自動(dòng)使用域憑據(jù)。
    用于將無線客戶端加入到域的方法
    本部分介紹以下用于將無線客戶端加入到域的方法:
    •IT 人員將無線計(jì)算機(jī)加入到域,并配置單一登錄引導(dǎo)程序無線配置文件
    •用戶使用 XML 文件通過引導(dǎo)程序無線配置文件來配置其無線計(jì)算機(jī),并加入到域
    •用戶通過引導(dǎo)程序無線配置文件手動(dòng)配置其無線計(jì)算機(jī)并加入到域
    IT 人員將無線計(jì)算機(jī)加入到域,并配置單一登錄引導(dǎo)程序無線配置文件
    在這種方法中,IT 管理員要在將無線計(jì)算機(jī)分發(fā)給用戶之前將其加入到域。用戶啟動(dòng)計(jì)算機(jī)后,會(huì)使用為用戶登錄而手動(dòng)指定的憑據(jù)建立與無線網(wǎng)絡(luò)的連接,并登錄到域。
    下面是執(zhí)行這種方法的步驟:
    1.IT 管理員將新的無線計(jì)算機(jī)加入到域(例如,通過不需要進(jìn)行 IEEE 802.1X 身份驗(yàn)證的以太網(wǎng)連接),并將具有以下設(shè)置的引導(dǎo)程序無線配置文件添加到該計(jì)算機(jī)中:
    •PEAP-MS-CHAP v2 身份驗(yàn)證
    •禁用 RADIUS 服務(wù)器證書驗(yàn)證
    •啟用單一登錄