The Cable Guy - Dezember 2003

Wireless Provisioning Services - Übersicht

Veröffentlicht: Dezember 2003
Von The Cable Guy

Die Wireless Provisioning Services (WPS) sind das Thema dieser Cable Guy-Kolumne. Bei den WPS handelt es sich um eine Erweiterung für Windows XP und Windows Server 2003, die in die nächsten Service Packs für diese Betriebssysteme aufgenommen werden soll. Die Funktion der WPS: Sie erweitern die WLAN-Clientsoftware von Windows XP und den Internet Authentication Service (IAS) von Windows Server 2003 um einen automatischen Konfigurationsprozess für öffentliche oder private drahtlose Netzwerke.

*
**
Links zu verwandten Themen
Engl. Originalversion dieses Artikels
**
**
Download

Artikel im Word-Format

Downloadcableguydec03.doc
Microsoft Word-Datei
Viewer für Office-Dateien downloaden

Artikel im PDF-Format

Downloadcableguydec03.pdf
PDF-Datei
Adobe Acrobat Reader downloaden
**
Auf dieser Seite
Komponenten einer WPS-InfrastrukturKomponenten einer WPS-Infrastruktur
WPS-fähige WLAN-ClientsWPS-fähige WLAN-Clients
APs, die VLANs oder IP-Filterung unterstützenAPs, die VLANs oder IP-Filterung unterstützen
Access-ControllerAccess-Controller
Provisioning-ServerProvisioning-Server
Active Directory-DomänencontrollerActive Directory-Domänencontroller
IAS-ServerIAS-Server
DHCP-ServerDHCP-Server
Beispiel für die Verbindung mit einem neuen KontoBeispiel für die Verbindung mit einem neuen Konto
Phase 1: Der Client findet das WISP-Netzwerk an einem Wi-Fi-HotspotPhase 1: Der Client findet das WISP-Netzwerk an einem Wi-Fi-Hotspot
Phase 2: Der Client authentifiziert sich als GastPhase 2: Der Client authentifiziert sich als Gast
Phase 3: Der Client ist eingerichtet und ein neues Konto wurde erstelltPhase 3: Der Client ist eingerichtet und ein neues Konto wurde erstellt
Phase 4: Der Client wird mit dem neuen Konto authentifiziert und greift auf das Internet zuPhase 4: Der Client wird mit dem neuen Konto authentifiziert und greift auf das Internet zu
Zusätzliche InformationenZusätzliche Informationen

Bei den Wireless Provisioning Services (WPS) handelt es sich um eine Erweiterung, die für Microsoft Windows XP Servicepack 2 (SP2) und Windows Server 2003 Servicepack 1 (SP1) vorgesehen ist. Die WPS erweitern die WLAN-Clientsoftware von Windows XP und den IAS (Internet Authentication Service) von Windows Server 2003 um einen automatischen Konfigurationsprozess für:

öffentliche drahtlose Hotspots mit einem Internetzugriff und

private drahtlose Netzwerke, die einen Gastzugriff auf das Internet ermöglichen.

Dieser Artikel beschreibt die Infrastruktur, die erforderlich ist, damit drahtlose Clients über einen öffentlichen WLAN-Hotspot auf das Internet zugreifen können, sowie die Prozesse, die dabei ablaufen.

Wenn ein Benutzer mit seinem WLAN-Client eine Verbindung zu einem öffentlichen Hotspot aufbaut, um Zugang zum Internet zu erhalten, bestehen zwei Möglichkeiten: Entweder ist der Benutzer bereits Kunde des entsprechenden WISP (Wireless Internet Service Provider), oder er stellt die Verbindung zum ersten Mal her. Im zweiten Fall, d. h. wenn er kein Kunde ist, muss der Client folgende Aufgaben ausführen:

Die Netzwerkeinstellungen müssen für eine Verbindung zum Netzwerk des WISP konfiguriert werden.

Der WISP benötigt Informationen zur Identität des Benutzers und zur Zahlweise.

Der Client muss seine Anmeldeinformationen erhalten.

Nachdem diese Informationen verfügbar sind, muss sich der Client wieder mit dem WISP-Netzwerk verbinden.

Die WPS wurden entwickelt, um diese Erstanmeldung und die Erneuerung von Anmeldungen zu vereinfach, zu automatisieren und zu standardisieren.

Komponenten einer WPS-Infrastruktur

Die folgenden Komponenten sind für die WPS erforderlich:

WPS-fähige WLAN-Clients

APs (Access Points), die VLANs (Virtual Local Area Networks) oder IP-Filterung unterstützen

Access-Controller

Provisioning-Server

Active Directory-Domänencontroller

IAS-Server (Internet Authentication Service)

DHCP-Server (Dynamic Host Configuration Protocol)

Die folgende Abbildung zeigt die Anordnung dieser Komponenten.

Bild

Zum SeitenanfangZum Seitenanfang

WPS-fähige WLAN-Clients

WPS-fähige WLAN-Clients sind alle Computer unter Windows XP Home Edition mit SP2, Windows XP Professional mit SP2 oder Windows XP Tablet PC Edition mit SP2.

Zum SeitenanfangZum Seitenanfang

APs, die VLANs oder IP-Filterung unterstützen

Für die WPS muss ein AP eine der beiden folgenden Optionen unterstützen:

VLANs
In VLANs kann der Verkehr von WLAN-Clients mit einer VLAN-ID markiert werden, um festzustellen, ob er authentifiziert ist. Wenn der Verkehr authentifiziert ist, wird er zum Internet-VLAN weitergeleitet. Andernfalls wird er zu einem Provisioning-VLAN umgeleitet, in dem sich Server für die Konfiguration des WLAN-Clients befinden. Der Access-Controller entscheidet nach der VLAN-ID, wohin er den Verkehr leitet.

IP-Filterung
Als Alternative zu VLAN kann der AP den Verkehr einzelner Clients auf Basis ihrer IP-Adresse filtern oder Verkehr für die Filterung durch den Access-Controller markieren. Die IP-Filterung ermöglicht es dem AP, den Verkehr durch nicht autorisierte Clients auf bestimmte Ressourcen des Netzwerkes zu beschränken.

LANs und IP-Filterung isolieren den Verkehr durch nicht autorisierte Clients auf Server, von denen die WLAN-Clients konfiguriert werden können und von denen die Clients ihre Anmeldeinformationen bekommen können. Außerdem sollten die APs die Verwendung von virtuellen APs unterstützen - mit diesen kann ein einzelner physikalischer AP sich so verhalten, als wären mehrere APs vorhanden (über die Ausgabe mehrerer SSIDs (Service Set Identifiers) mit unterschiedlichen Sicherheitskonfigurationen). Mit virtuellen APs können WISPs ihre bestehenden öffentlichen Hotspots sehr einfach über UAM (Universal Access Method - ein browserbasiertes Anmeldeverfahren) zu den WPS migrieren.

Der AP ist als RADIUS-Client für den IAS-Server des WISP-Netzwerkes konfiguriert.

Zum SeitenanfangZum Seitenanfang

Access-Controller

Der Access-Controller führt das Routing und die Filterung oder das VLAN-Switching für alle Pakete, die von den APs kommen oder zu diesen gehen. Wenn die Paketfilterung verwendet wird, nutzt der Access-Controller die Markierungen (Tags) der Frames für die Filterung. Bei VLANs verwendet der Access-Controller die VLAN-ID der Pakete. Er leitet diese dann zu den folgenden Zielen:

Provisioning-VLAN
Das Provisioning-VLAN ermöglicht nicht authentifizierten WLAN-Clients einen Zugriff auf den DHCP und die Provisioning-Server. So erhält der Client eine DHCP-Konfiguration, Informationen zur Identifizierung und Bezahlung und Anmeldeinformationen, mit denen er sich als authentifizierter WLAN-Client anmelden kann.

Internet-VLAN
Das Internet-VLAN stellt den Internetzugriff zur Verfügung. Nur Kunden, die Konten eingerichtet, für diese bezahlt und sich mit gültigen Anmeldeinformationen authentifiziert haben, werden in dieses VLAN weitergeleitet.

Die IP-Filter oder die VLAN-ID für den Verkehr der Clients werden über herstellerspezifische RADIUS-Attribute der RADIUS-Access-Accept-Nachricht des IAS-Servers zur Verfügung gestellt.

Zum SeitenanfangZum Seitenanfang

Provisioning-Server

Der Provisioning-Server setzt sich aus den folgenden Komponenten zusammen:

HTTPS-Webserver

Web-Anwendung
Der Webserver führt eine WPS-basierte Webanwendung aus, die Informationen für den Anmeldeprozess des Kunden zur Verfügung stellt. Wenn ein Kunde den WPS-Anmeldungsassistenten auf dem WLAN-Client verwendet um ein WISP-Konto zu erstellen, dann gibt er Informationen zu seiner Identität und zu den Zahlungsbedingungen an (zum Beispiel Name, Adresse und Kreditkarteninformationen). Diese Informationen werden von den WPS in ein XML-Dokument konvertiert und an den Provisioning-Server geschickt.

Die Webanwendung auf dem Provisioning-Server muss in der Lage sein, die XML-Dokumente mit den Client-Benutzerinformationen zu empfangen und zu verarbeiten. Bei neuen Kunden muss die Anwendung zum Beispiel dynamisch ein neues Active Directory-Konto erstellen, und bei Abonnementerneuerungen muss sie die Konto- und Zahlungsinformationen dynamisch aktualisieren können.

XML-Master- und XML-Sub-Dateien
Der Provisioning-Server pflegt die XML-Master- und XML-Sub-Dateien, die der WLAN-Client zur Verfügung stellt. Diese enthalten alle Informationen zum Netzwerkzugriff, um ein Konto zu erstellen, Zahlungsinformationen zu übertragen und auf das Internet zuzugreifen. Die XML-Daten enthalten außerdem Informationen über den WISP - zum Beispiel die Hotspot-Standorte und Hilfeinformationen.

Zum SeitenanfangZum Seitenanfang

Active Directory-Domänencontroller

Der Active Directory-Domänencontroller dient zur Speicherung der Kundenkonten. Wenn ein Kunde sich zum ersten Mal anmeldet, erstellt der Provisioning-Server ein neues Active Directory-Konto und fügt dieses den entsprechenden Gruppen hinzu.

Statt Active Directory kann ein WISP auch eine andere LDAP-basierte Datenbank verwenden, wenn diese das dynamische Erstellen von Konten unterstützt.

Zum SeitenanfangZum Seitenanfang

IAS-Server

IAS, die Windows-Implementierung eines RADIUS-Servers und Proxys, wird zur Authentifizierung und Autorisierung von Benutzern verwendet, die eine Verbindung mit dem WISP-Netzwerk aufbauen möchten. Über RAS-Richtlinien ist der IAS-Server so konfiguriert, dass er den folgenden Zugriff zulässt:

Eine Gast-Authentifizierung für den Zugriff auf die Provisioning-Ressourcen durch die WLAN-Clients, die noch kein Konto mit gültigen Anmeldeinformationen haben.

Einen Zugriff auf das Internet für die WLAN-Clients, die über ein gültiges Konto mit korrekten Anmeldeinformationen verfügen.

Der IAS-Server muss unter Windows Server 2003 mit SP1 ausgeführt werden. Dieser unterstützt das neue PEAP-Protokoll (Protected Extensible Authentication Protocol) - auch PEAP-Type-Length-Value (TLV) genannt. PEAP-TLV ist im Internet-Draft A Container Type for the Extensible Authentication Protocol (EAP) definiert und gibt IAS die Möglichkeit, den WLAN-Clients den Standort des Provisioning-Servers als URL zu schicken. Mit der URL des Provisioning-Servers können die WPS auf dem WLAN-Client die Provisioning-XML-Dateien herunterladen und mit der Anmeldung oder der Abonnementerneuerung beginnen.

Für eine serverseitige PEAP-Authentifizierung gegenüber den Clients verwendet der IAS-Server ein Computerzertifikat, das im lokalen Zertifikatsspeicher des Servers gespeichert wird. Dieses Zertifikat wird normalerweise von der Zertifizierungsstelle eines Drittanbieters ausgestellt (zum Beispiel VeriSign).

Ein Zertifikat eines Drittanbieters wird verwendet, da die Windows XP-WLAN-Clients für eine Überprüfung des Zertifikats auf das Stammzertifikat der ausstellenden Zertifizierungsstelle zugreifen müssen. Windows XP enthält bereits die Stammzertifikate vieler öffentlicher Zertifizierungsstellen.

Wenn Sie IAS auf dem Active Directory-Domänencontroller installieren, muss dieser auf jeden Fall ein Computerzertifikat besitzen. Wenn IAS-Server und Domänencontroller auf unterschiedlichen Computern installiert sind, muss nur der IAS-Server über ein Computerzertifikat verfügen.

Zum SeitenanfangZum Seitenanfang

DHCP-Server

Der DHCP-Server muss in der Lage sein, den WLAN-Clients IP-Adressen zuzuweisen.

Zum SeitenanfangZum Seitenanfang

Beispiel für die Verbindung mit einem neuen Konto

Das folgende Beispiel zeigt den WPS-Prozess für einen neuen Kunden an einem Wi-Fi-Hotspot-Standort. Dieser Prozess wird über die folgenden vier Phasen durchgeführt:

Phase 1: Der Client findet das WISP-Netzwerk an einem Wi-Fi-Hotspot.

Phase 2: Der Client authentifiziert sich als Gast.

Phase 3: Der Client ist eingerichtet und ein neues Konto wurde erstellt.

Phase 4: Der Client wird mit dem neuen Konto authentifiziert und greift auf das Internet zu.

Zum SeitenanfangZum Seitenanfang

Phase 1: Der Client findet das WISP-Netzwerk an einem Wi-Fi-Hotspot

Ein Kunde begibt sich an einem Wi-Fi-Hotspot mit einem WPS-fähigen WLAN-Client in die Reichweite eines APs. Der WLAN-Netzwerkadapter informiert die Windows XP Wireless- Autokonfiguration über den WISP-Netzwerknamen (auch SSID genannt). Windows XP benachrichtigt den Kunden über das verfügbare Netzwerk. Der Kunde entscheidet sich dazu, eine Verbindung zum WISP-Netzwerk aufzubauen.

Zum SeitenanfangZum Seitenanfang

Phase 2: Der Client authentifiziert sich als Gast

Da es sich um ein unbekanntes WLAN handelt, verwendet die Wireless Autokonfiguration eine PEAP- TLS-Gastauthentifizierung für die Verbindung zum WISP-Netzwerk. Er übergibt hierbei einen leeren Benutzernamen ohne Zertifikat an den IAS-Server.

Der IAS-Server autorisiert den neuen Client als Gast. Nach der PEAP-TLS-Authentifizierung wird dem Client die URL des Provisioning-Servers über PEAP-TLV gesendet. Die letzte RADIUS-Access-Accept-Nachricht enthält entweder die VLAN-ID der Provisioning-Ressource oder die entsprechenden IP-Filter. Der Client fordert dann eine IP-Adresskonfiguration vom DHCP-Server an.

Zum SeitenanfangZum Seitenanfang

Phase 3: Der Client ist eingerichtet und ein neues Konto wurde erstellt

Über die erhaltene URL verbindet sich der Client mit dem Provisioning-Server. Die WPS laden die XML-Masterdatei und die entsprechenden Sub-Dateien auf den Client herunter. Basierend auf den Informationen in diesen Dateien wird der WPN-Anmeldeassistent ausgeführt. Über diesen kann der Kunde Informationen zu seiner Identität und zur Bezahlung eintragen, ein Konto erstellen und seine Anmeldeinformationen abrufen.

Die vom Kunden eingegebenen Informationen werden von den WPS in ein XML-Dokument konvertiert. Dieses wird dann an den Provisioning-Server geschickt. Nachdem die Zahlung bestätigt ist, erstellt die Webanwendung ein Active Directory-Benutzerkonto und fügt das Konto zu den entsprechenden Gruppen hinzu.

Der Provisioning-Server erstellt ein XML-Dokument mit den neuen Anmeldeinformationen und schickt es an den Client. Diese Informationen werden dann auf dem Client von den WPS gespeichert.

Zum SeitenanfangZum Seitenanfang

Phase 4: Der Client wird mit dem neuen Konto authentifiziert und greift auf das Internet zu

Die Wireless-Autokonfiguration trennt die Verbindung zum AP und baut eine neue Verbindung auf. Da es jetzt ein Profil für dieses WISP-Netzwerk gibt, authentifiziert sich Wireless-Autokonfiguration jetzt über MS-CHAP v2 mit den in diesem Profil gespeicherten Anmeldeinformationen.

Der IAS-Server authentifiziert und autorisiert die Verbindung und schickt eine Access-Accept-Nachricht an den AP. Diese enthält die VLAN-ID des Internet-VLANs oder die neuen IP-Filter. Nach dem die authentifizierte Verbindung akzeptiert wurde, fordert der Client über eine DHCP-Anfrage eine IP-Konfiguration an. Danach kann er auf das Internet zugreifen.

Zum SeitenanfangZum Seitenanfang

Zusätzliche Informationen

Weitere Informationen zur Wi-Fi-Unterstützung von Windows XP finden Sie unter den folgenden Quellen:

Deploying Wireless Provisioning Services (WPS) Technology

Wireless Provisioning Services (WPS) Authoring Tool

Wireless Provisioning Service in the Platform SDK

Microsoft Wi-Fi-Website

The Cable Guy

The Cable Guy
Alle verfügbaren Cable Guy-Kolumnen finden Sie unter http://www.microsoft.com/germany/technet/community/columns/cableguy/cgarch.mspx.


Zum SeitenanfangZum Seitenanfang