Bereitstellung von sicheren 802.11-Unternehmensnetzwerken mit Microsoft Windows
Übersicht
Dieser Artikel beschreibt die Bereitstellung eines sicheren IEEE 802.11-WLAN-Zugriffs über die IEEE 802.1X-Authentifizierung für Access-Points (APs), WLAN-Clients unter Windows XP, Windows Server 2003 oder Windows 2000 und eine WLAN-Authentifizierungs-Infrastruktur mit Active Directory-Domänencontrollern, Zertifizierungsstellen (Certification Authorities - CAs) und IAS-Servern unter Windows Server 2003 oder Windows 2000.
Einleitung
In diesem Artikel erfahren Sie, wie Sie eine Infrastruktur zur Authentifizierung, Autorisierung und Abrechnung von sicheren WLAN-Verbindungen erstellen. Hierbei wird eine typische Unternehmenskonfiguration mit den folgenden Komponenten angenommen:
WLAN-Clients unter Windows |
Mindestens zwei IAS-Server (Internet Authentication Service) |
Active Directory®-Domänen |
Auf den IAS-Servern installierte Computerzertifikate |
Eine Zertifikatsinfrastruktur zur EAP--Authentifizierung |
Zertifikate der Stammzertifizierungsstellen auf den WLAN-Clients für eine Authentifizierung über PEAP (Protected EAP) mit MS-CHAP v2(Microsoft Challenge Handshake Authentication Protocol version 2) |
WLAN-RAS-Richtlinie |
Mehrere Access-Points (APs) |
In Abbildung 1 sehen Sie eine typische WLAN-Konfiguration in einem Unternehmen.
Abbildung 1: WLAN-Konfiguration im Unternehmen
Hintergrundinformationen zu Technologien, Komponenten und Verfahren bezüglich der sicheren WLAN-Authentifizierung finden Sie mit Artikel "Windows XP Wireless Deployment Technology and Component Overview" unter http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wificomp.mspx.
Die Schritte zur Bereitstellung eines Intranet-WLANs
Die folgenden Schritte sind notwendig:
1. | Konfigurieren der Zertifikatsinfrastruktur |
2. | Konfigurieren der Active Directory-Benutzer und -Gruppen |
3. | Konfigurieren des primären IAS-Servers |
4. | Konfigurieren des sekundären IAS-Servers |
5. | Bereitstellung und Konfiguration des APs |
6. | Konfiguration der Drahtlosnetzwerk (IEEE 802.11)-Gruppenrichtlinieneinstellungen |
7. | Installation von Computerzertifikaten auf den WLAN-Clients (EAP-TLS) |
8. | Installation von Benutzerzertifikaten auf den WLAN-Clients (EAP-TLS) |
9. | Konfiguration der WLAN-Clients für EAP-TLS |
10. | Konfiguration der WLAN-Clients für PEAP-MS-CHAP v2 |
Schritt 1: Konfigurieren der Zertifikatsinfrastruktur
In Tabelle 1 sehen Sie, welche Zertifikate für die beiden Authentifizierungstypen erforderlich sind.
| Authentifizierungstyp | Zertifikate auf den WLAN-Clients | Zertifikate auf den IAS-Servern |
EAP-TLS | Computerzertifikate | Zertifikate der Stammzertifizierungsstelle, die die Computerzertifikate des WLAN-Clients und des Benutzers ausgestellt hat |
PEAP-MS-CHAP v2 | Zertifikate der Stammzertifizierungsstelle, die die Computerzertifikate der IAS-Server ausgestellt hat | Computerzertifikate |
Tabelle 1: Authentifizierungstypen und die notwendigen Zertifikate
Unabhängig von der verwendeten Authentifizierungsmethode (EAP-TLS oder PEAP-MS-CHAP v2) müssen Sie auf den IAS-Servern auf jeden Fall Computerzertifikate installieren.
Bei PEAP-MS-CHAP v2 ist es nicht notwendig, eine PKI (Zertifikatsinfrastruktur) zum Ausstellen von Computer- und Benutzerzertifikaten bereitzustellen. Stattdessen können Sie die Zertifikate für die IAS-Server von einer kommerziellen Zertifizierungsstelle (CA) beziehen und diese auf den Servern installieren. Weitere Informationen hierzu finden Sie in unter "Schritt 3: Konfigurieren des primären IAS-Servers " und "Schritt 4: Konfigurieren des sekundären IAS-Servers ". WLAN-Clients unter Windows verfügen bereits standardmäßig über einige Stammzertifikate bekannter und vertrauenswürdiger kommerzieller CAs. Wenn Sie ein Computerzertifikat einer solchen CA erhalten, dann müssen Sie auf den Clients keine zusätzlichen Zertifikate installieren. Andernfalls müssen Sie das Stammzertifikat der CA, die die Computerzertifikate der IAS-Server ausgestellt hat, auf allen Clients installieren. Weitere Informationen hierzu finden Sie unter "Schritt 10: Konfiguration der WLAN-Clients für PEAP-MS-CHAP v2".
Bei der Authentifizierung mit EAP-TLS müssen Sie ein Computerzertifikat auf den Clients installieren. Dieses wird zur Authentifizierung des Computers verwendet. Um dem Benutzer einen Zugriff zu ermöglichen, müssen Sie außerdem ein Benutzerzertifikat auf dem jeweiligen WLAN-Client installieren.
Auch auf dem IAS-Server muss ein Computerzertifikat installiert werden. Ansonsten ist keine gegenseitige Authentifizierung mit den Clients möglich.
Die Zertifikatskette können Sie sich unter Windows Server 2003, Windows XP und Windows 2000 im Snap-In Zertifikate über die Registerkarte Zertifizierungspfad eines Zertifikats ansehen. Das installierte Zertifikat der Stammzertifizierungsstelle können Sie unter Vertrauenswürdige Stammzertifizierungsstellen\Zertifikate anzeigen lassen. Unter Zwischenzertifizierungsstellen\Zertifikate finden Sie die Zertifikate der Zwischenzertifizierungsstellen.
In einer typischen Unternehmensumgebung gibt es nur eine einzelne Stammzertifizierungsstelle und eine Hierarchie mit drei Ebenen (Stammzertifizierungsstelle, Zwischenzertifizierungsstellen, ausstellende Zertifizierungsstellen). Die ausstellenden Zertifizierungsstellen stellen die Benutzer- und Computerzertifikate aus. Wenn ein Computer- oder Benutzerzertifikat auf einem WLAN-Client oder IAS-Server installiert wird, dann werden auch die Zertifikate der Stammzertifizierungsstelle, Zwischenzertifizierungsstelle und ausstellenden Zertifizierungsstelle installiert. Die ausstellende Zertifizierungsstelle kann für die IAS-Server eine andere sein als für die WLAN-Clients.
Best-Practices: Wenn Sie die EAP-TLS-Authentifizierung verwenden, dann führen Sie die Computer- und die Benutzerauthentifizierung über Zertifikate durch.
Wenn Sie keine EAP-TLS-Authentifizierung verwenden, dann verwenden Sie kein PEAP-TLS. Wenn Sie geschützten und ungeschützten Authentifizierungs-Netzwerkverkehr über die gleiche Netzwerkverbindung zulassen, dann setzen Sie den geschützten Authentifizierungsverkehr der Gefahr eines Spoofing-Angriffes aus.
Wenn Sie bereits über eine PKI zur EAP-TLS-Authentifizierung verfügen und RADIUS für VPN-RAS-Verbindungen nutzen, dann können Sie einige der Schritte zur Einrichtung der PKI überspringen. Sie müssen allerdings sicherstellen, dass Computerzertifikate zur Computerauthentifizierung installiert sind. Bei Computern unter Windows XP ohne Service Packs müssen für die Benutzerauthentifizierung Benutzerzertifikate auf dem Computer installiert sein (sie dürfen sich nicht auf Smartcards befinden). Bei Computer unter Windows Server 2003, Windows XP mit Service Pack (SP1), Windows XP mit Service Pack 2 (SP2) oder Windows 2000 können Sie die Zertifikate auf dem Computer installieren oder Smartcards verwenden.
Schritt 1a: Installieren einer PKI (Zertifikatsinfrastruktur)
Die folgenden Best-Practices sollten Sie bei der Installation der PKI berücksichtigen:
| • | Planen Sie die PKI, bevor Sie Zertifizierungsstellen einrichten. | ||||||
| • | Die Stammzertifizierungsstelle sollte offline sein, und ihr Schlüssel sollte von einem HSM (Hardware Security Module) gesichert und in einem Safe verwart werden. | ||||||
| • | Große Unternehmen sollten die Zertifikate für die Benutzer und Computer nicht direkt über die Stammzertifizierungsstelle ausstellen, sondern die folgenden Zertifizierungsstellen einrichten:
Durch die Zertifizierungsstellenhierarchie erreichen Sie mehr Flexibilität und sichern die Stammzertifizierungsstelle dagegen ab, dass Ihr privater Schlüssel durch Angreifer kompromittiert wird. Die Offline-Stammzertifizierungsstelle und die Zwischenzertifizierungsstellen müssen nicht unter Windows Server 2003 oder Windows 2000 ausgeführt werden. Ausstellende Zertifizierungsstellen können einer Zwischenzertifizierungsstelle eines Drittanbieters untergeordnet sein. | ||||||
| • | Um diese Daten zu schützen ist es von grundlegender Bedeutung, die Zertifizierungsstellendatenbank, das Zertifikat der Zertifizierungsstelle und die Schlüssel der Zertifizierungsstelle zu sichern. Dies sollte regelmäßig geschehen (täglich, wöchentlich, monatlich) - je nach Anzahl der im entsprechenden Zeitraum ausgestellten Zertifikate. Wenn mehr Zertifikate ausgestellt werden, dann sollte auch häufiger eine Sicherung durchgeführt werden. | ||||||
| • | Sie sollten sich noch einmal ausführlich über die Konzepte bezüglich der Sicherheitsberechtigungen und Zugriffskontrollen unter Windows informieren. Unternehmenszertifizierungsstellen stellen Zertifikate auf Basis der Sicherheitsberechtigungen des Zertifikatsanforderers aus. |
Wenn Sie außerdem die Vorteile einer automatischen Ausstellung von Computerzertifikaten nutzen wollen, dann erstellen Sie mithilfe der Zertifikatdienste von Windows 2000 oder Windows Server 2003 auf Ebene der ausstellenden Zertifizierungsstellen eine Unternehmenszertifizierungsstelle. Wenn Sie die Benutzerzertifikate automatisch ausstellen möchten, dann erstellen Sie eine Unternehmenszertifizierungsstelle unter Windows Server 2003 Enterprise Edition oder Windows Server 2003 Datacenter Edition auf Ebene der ausstellenden Zertifizierungsstellen.
Zusätzliche Informationen finden Sie unter "Checkliste: Bereitstellen von Zertifizierungsstellen und einer Infrastruktur öffentlicher Schlüssel für ein Intranet" in der Hilfe von Windows 2000 Server oder unter "Checkliste: Erstellen einer Zertifizierungshierarchie, wenn die Stammzertifizierungsstelle offline ist: Zertifikatdienste" im Hilfe- und Supportcenter von Windows Server 2003.
Weitere Informationen zu den Windows Server 2003-Sicherheitdiensten finden Sie unter http://www.microsoft.com/windowsserver2003/technologies/security/default.mspx.
Standardmäßig überprüft der IAS-Server während des EAP-TLS-Authentifizierungsprozesses für alle Zertifikate der Zertifizierungskette, ob diese gesperrt sind. Wenn für irgendein Zertifikat in der Kette nicht festgestellt werden kann, dass dieses Zertifikat gültig ist, dann wird keine Authentifizierung durchgeführt und es kommt keine Verbindung zustande. Folgende Gründe können dazu führen, dass eine entsprechende Feststellung nicht möglich ist:
| • | Das Zertifikat wurde gesperrt. |
| • | Die Zertifikatssperrliste (Certificate Revocation List - CRL) für ein Zertifikat steht nicht zur Verfügung oder ist nicht erreichbar. |
| • | Das Zertifikat wurde nicht vom Herausgeber der CRL ausgestellt. |
| • | Die CRL ist nicht aktuell. |
Das Verhalten von IAS bezüglich der Überprüfung von Sperrlisten kann über Registrierungseinstellungen verändert werden. Weitere Informationen hierzu finden Sie unter http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wifitrbl.mspx.
Die Überprüfung der Sperrlisten kann dazu führen, dass kein Zugriff auf das WLAN möglich ist (zum Beispiel, wenn die Sperrliste nicht verfügbar oder abgelaufen ist), deshalb sollten Sie Ihre PKI so entwerfen, dass einen Hochverfügbarkeit für die CRLs gegeben ist. Konfigurieren Sie beispielsweise mehrere Verteilungspunkte für jede Zertifizierungsstelle in der Hierarchie und konfigurieren Sie Veröffentlichungszeitpläne, über die eine ständige Verfügbarkeit der aktuellsten CRLs sichergestellt ist.
Die Überprüfung von CRLs ist nur dann effektiv, wenn die veröffentlichte CRL auch korrekt ist. Wenn ein Zertifikat zum Beispiel gesperrt wird, dann wird die neue CRL mit dem gesperrten Zertifikat beispielsweise nicht automatisch veröffentlicht. Das bedeutet, dass das gesperrte Zertifikat weiterhin verwendet werden kann. Um dies zu verhindern, muss der Administrator die neue CRL manuell veröffentlichen.
Standardmäßig verwendet der IAS-Server die in den Zertifikaten angegebenen CRLs. Es ist jedoch auch möglich, eine lokale Kopie der CRL auf dem IAS-Server zu nutzen. Wenn manuell eine neue CRL in Active Directory veröffentlicht wird, dann wird die lokale CLR auf dem IAS-Server nicht automatisch aktualisiert. Dies geschieht erst dann, wenn die lokale CRL abläuft. So kann es zu Situationen kommen, in denen ein Zertifikat gesperrt ist, jedoch vom IAS-Server noch immer akzeptiert wird.
Schritt 1b: Installieren der Computerzertifikate
Wenn Sie eine Unternehmenszertifizierungsstelle unter Windows Server 2003 oder Windows 2000 als ausstellende Zertifizierungsstelle nutzen, dann können Sie Computerzertifikate über eine Gruppenrichtlinie ausstellen lassen.
Konfigurieren der automatischen Installation von Computerzertifikaten für eine Unternehmenszertifizierungsstelle
1. | Öffnen Sie das Snap-In "Active Directory-Benutzer und -Computer". |
2. | Klicken Sie doppelt auf Active Directory-Benutzer und -Computer, klicken Sie mit rechts auf die Domäne, der die Zertifizierungsstelle angehört, und klicken Sie dann auf Eigenschaften. |
3. | Wechseln Sie zur Registerkarte Gruppenrichtlinien, klicken Sie auf das entsprechende Gruppenrichtlinienobjekt (standardmäßig ist dies die Default Domain Policy), und klicken Sie dann auf Bearbeiten. |
4. | Erweitern Sie die Knoten Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, Richtlinien öffentlicher Schlüssel und Einstellungen der automatischen Zertifikatesanforderung. |
5. | Klicken Sie mit rechts auf Einstellungen der automatischen Zertifikatsanforderung, zeigen Sie auf Neu, und klicken Sie auf Automatische Zertifikatsanforderung…. |
6. | Klicken Sie im Assistenten auf Weiter. |
7. | Markieren Sie Computer und klicken Sie dann auf Weiter. |
8. | Markieren Sie die Zertifizierungsstelle, und klicken Sie dann auf Weiter und Fertig stellen. |
9. | Um unter Windows 2000 Server sofort ein Zertifikat anzufordern, führen Sie den Befehl secedit /refreshpolicy machine_policy aus. |
10. | Um unter Windows Server 2003 sofort ein Zertifikat anzufordern, führen Sie den Befehl gpupdate /target:computer aus. |
Nachdem Sie die Domäne für die automatische Ausstellung konfiguriert haben, fordert jeder Computer, der Mitglied der Domäne ist, beim Aktualisieren der Gruppenrichtlinie ein Computerzertifikat an. Standardmäßig werden Gruppenrichtlinien jedoch erst nach 90 Minuten aktualisiert. Um eine Aktualisierung der Gruppenrichtlinien zu erzwingen, führen Sie den Befehl secedit /refreshpolicy machine_policy (unter Windows 2000) oder gpupdate /target:computer (unter Windows XP oder Windows Server 2003) aus oder starten Sie den Computer neu. Führen Sie dies für jeden Computer in der Domäne aus.
Best-Practices: Verwenden Sie eine Unternehmenszertifizierungsstelle unter Windows Server 2003 oder Windows 2000 als ausstellende Zertifizierungsstelle, und lassen Sie die Computerzertifikate über eine Gruppenrichtlinien automatisch ausstellen. Stellen Sie sicher, dass alle entsprechenden Container der Domäne entsprechenden konfiguriert sind - entweder durch entsprechende Einstellungen oder über die Vererbung von Gruppenrichtlinieneinstellungen.
Schritt 1c: Installation der Benutzerzertifikate
Wenn Sie eine Unternehmenszertifizierungsstelle als ausstellende Zertifizierungsstelle unter Windows Server 2003 Enterprise Edition oder Windows Server 2003 Datacenter Edition nutzen, dann können Sie die Benutzerzertifikate automatisch ausstellen lassen. Um eine entsprechende Konfiguration vorzunehmen, müssen Sie vorhandene Zertifikatsvorlagen duplizieren - und dieses Feature wird nur von Windows Server 2003 Enterprise Edition oder Windows Server 2003 Datacenter Edition unterstützt.
Die automatische Ausstellung wird außerdem nur von Clients unter Windows XP und Windows Server 2003 unterstützt.
Konfigurieren der automatischen Installation von Benutzerzertifikaten für eine Unternehmenszertifizierungsstelle unter Windows Server 2003 Enterprise Edition oder Windows Server 2003 Datacenter Edition
1. | Klicken Sie auf Start und Ausführen, und geben Sie mmc ein. Dann klicken Sie auf OK. |
2. | Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen und dann auf Hinzufügen. |
3. | Klicken Sie doppelt auf Zertifikatsvorlagen und dann auf Schließen und OK. |
4. | Klicken Sie auf Zertifikatsvorlagen. Es sollten nun rechts alle Vorlagen angezeigt werden. |
5. | Klicken Sie auf die Vorlage Benutzer. |
6. | Klicken Sie im Menü Aktion auf Doppelte Vorlage. |
7. | Geben Sie im Feld Vorlagenanzeigename zum Beispiel den Text WLAN-Benutzer ein. |
8. | Stellen Sie sicher, dass die Option Zertifikate in Active Directory veröffentlichen aktiviert ist. |
9. | Wechseln Sie zur Registerkarte Sicherheit. |
10. | Wählen Sie Domänen-Benutzer aus. |
11. | Geben Sie der Gruppe die Rechte Registrieren:Zulassen und Automatisch registrieren:Zulassen, und klicken Sie auf OK. |
12. | Öffnen Sie das Snap-In "Zertifizierungsstelle". |
13. | Erweitern Sie den Knoten Zertifizierungsstelle (Lokal), klicken Sie auf den Namen der Zertifizierungsstelle, und klicken Sie dann auf Zertifikatsvorlagen. |
14. | Klicken Sie im Menü Aktion auf Neu und dann auf Auszustellendes Zertifikat. |
15. | Klicken Sie auf WLAN-Benutzer (siehe Schritt 7), und klicken Sie dann auf OK. |
16. | Öffnen Sie das Snap-In "Active Directory-Benutzer und -Computer". |
17. | Klicken Sie doppelt auf Active Directory-Benutzer und -Computer, mit rechts auf die Domäne und dann auf Eigenschaften. |
18. | Wechseln Sie zur Registerkarte Gruppenrichtlinien, klicken Sie auf das entsprechende Gruppenrichtlinienobjekt (standardmäßig ist dies die Default Domain Policy), und klicken Sie dann auf Bearbeiten. |
19. | Erweitern Sie die Knoten Benutzerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, Richtlinien öffentlicher Schlüssel. |
20. | Klicken Sie doppelt auf Einstellungen der automatischen Registrierung. |
21. | Aktivieren Sie die Option Zertifikate automatisch registrieren. |
22. | Aktivieren Sie die Option Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen. |
23. | Aktivieren Sie die Option Zertifikate aktualisieren, die Zertifikatsvorlagen verwenden und klicken Sie auf OK. |
Wiederholen Sie die Schritte 17-23 für alle erforderlichen Container.
Best-Practices: Verwenden Sie eine Unternehmenszertifizierungsstelle unter Windows Server 2003 oder Windows 2000 als ausstellende Zertifizierungsstelle, und lassen Sie die Benutzerzertifikate über eine Gruppenrichtlinien automatisch ausstellen. Stellen Sie sicher, dass alle entsprechenden Container der Domäne entsprechenden konfiguriert sind - entweder durch entsprechende Einstellungen oder über die Vererbung von Gruppenrichtlinieneinstellungen.
Schritt 2: Konfigurieren der Active Directory-Benutzer und -Gruppen
Zur Konfiguration der Active Directory-Benutzer und -Gruppen gehen Sie folgendermaßen vor:
1. | Wenn Sie Domänencontroller unter Windows 2000 verwenden, installieren Sie Windows 2000 SP3 oder SP4 auf allen Domänencontrollern. |
2. | Stellen Sie sicher, dass alle Benutzer, die WLAN-Verbindungen nutzen sollen, über ein entsprechendes Benutzerkonto verfügen. |
3. | Stellen Sie sicher, dass alle Computer, die WLAN-Verbindungen aufbauen sollen, über ein entsprechendes Computerkonto verfügen. |
4. | Konfigurieren Sie die Remotezugriffsberechtiungen der Benutzer- und Computerkonten mit den entsprechenden Einstellungen (entweder Zugriff zulassen oder Zugriff über RAS-Richtlinien steuern). |
Nehmen Sie die WLAN-Benutzer- und Computerkonten in die entsprechenden Gruppen auf. Bei einer Domäne im Modus "Windows 2000 pur" können Sie universelle und verschachtelte globale Gruppe verwenden. Erstellen Sie zum Beispiel eine universelle Gruppe mit dem Namen WLAN-Benutzer und nehmen Sie in diese globale Gruppe mit den WLAN-Benutzern und -Computer auf.
Best-Practice: Verwenden Sie eine Domäne im Modus "Windows 200 pur" und universelle und globale Gruppen.
Schritt 3: Konfigurieren des primären IAS-Servers
Zur Konfiguration des primären IAS-Servers sind die folgenden Schritte erforderlich:
Konfiguration des IAS-Servers |
Konfiguration einer RAS-Richtlinie für den WLAN-Zugriff |
Schritt 3a: Konfiguration des IAS-Servers
Zur Konfiguration des primären IAS-Servers führen Sie die folgenden Schritte aus:
1. | Wenn Sie die Computerzertifikate automatisch ausstellen lassen und der IAS-Server unter Windows 2000 ausgeführt wird, dann erzwingen Sie eine Aktualisierung der Gruppenrichtlinien über den Befehl secedit /refreshpolicy machine_policy. Unter Windows Server 2003 verwenden Sie den Befehl gpupdate /target:computer. |
2. | Wenn Sie die PEAP-MS-CHAP v2-Authentifizierung nutzen und ein Computerzertifikat von einer kommerziellen Zertifizierungsstelle erhalten haben, dann importieren Sie dieses über das Snap-In Zertifikate in den Ordner Eigenen Zertifikate\Zertifikate. Hierzu müssen Sie in der Gruppe Administratoren auf dem entsprechenden Computer sein, oder die entsprechenden Rechte müssen Ihnen delegiert werden. Es ist außerdem möglich, ein Zertifikat über einen Doppelklick auf das Zertifikat zu importieren. Dies funktioniert jedoch nur mit Zertifikaten, die von einer Windows-Zertifizierungsstelle ausgestellt wurden. Es wird daher empfohlen, das Snap-In zu benutzen. Weitere Informationen dazu, wie Sie ein Zertifikat von VeriSign Inc. zur PEAP-MS-CHAP v2-Authentifizierung installieren, finden Sie unter Obtaining and Installing a VeriSign WLAN Server Certificate for PEAP-MS-CHAP v2 Wireless Authentication. |
3. | Installieren Sie die optionale Netzwerkkomponente IAS. |
4. | Unter Windows 2000 installieren Sie Windows 2000 SP4. |
5. | Der primäre IAS-Server muss in der Lage sein, auf die Kontoeigenschaften in den entsprechenden Domänen zuzugreifen. Wenn Sie IAS auf einem Domänencontroller installieren, ist hierzu keine weitere Konfiguration erforderlich. |
6. | Wenn es Konten in anderen Domänen gibt und diese Domänen nicht über bidirektionale Vertrauensstellungen verfügen, dann müssen Sie einen RADIUS-Proxy zwischen den beiden Domänen konfigurieren. Wenn sich Konten in anderen Gesamtstrukturen befinden, dann müssen Sie den RADIUS-Proxy zwischen diesen Gesamtstrukturen konfigurieren. Weitere Informationen Finden Sie unter "Authentifizierung bei mehreren Gesamtstrukturen". |
7. | Wenn Sie die Authentifizierungs- und Kontenverwaltungsinformationen für eine spätere Analyse speichern wollen, dann aktivieren Sie die Protokollierung von Authentifizierungs- und Kontenereignissen. Unter Windows 2000 können diese Informationen in eine lokale Datei geschrieben werden. Unter Windows Server ist außerdem die Protokollierung in einer SQL-Datenbank möglich. Weitere Informationen hierzu finden Sie unter "Konfiguration von Protokolleigenschaften " in der Windows 2000-Hilfe oder unter "Konfigurieren der Protokollierung für die Benutzerauthentifizierung" im Hilfe- und Supportcenter von Windows Server 2003. |
8. | Wenn notwendig, konfigurieren Sie für die von RADIUS-Clients gesendeten Authentifizierungs- und Abrechnungsnachrichten zusätzliche UDP-Ports. Weitere Informationen hierzu finden Sie unter "Konfigurieren von IAS-Ports". Standardmäßig nutzt IAS die UDP-Ports 1812 und 1645 für Authentifizierungsnachrichten und 1813 und 1646 für Abrechnungsnachrichten. |
9. | Fügen Sie die WLAN-APs als RADIUS-Clients dem IAS-Server hinzu. Weitere Informationen finden sie unter "RADIUS-Clients hinzufügen". Überprüfen Sie, dass Sie den richtigen Clientnamen oder die korrekte IP-Adresse und das geheime Schlüsselwort für die einzelnen APs konfiguriert haben. |
Den IAS-Server für das Lesen von Benutzerkonten in Active Directory konfigurieren
Um den IAS-Server mithilfe des Internetauthentifizierungsdienstes (Internet Authentication Service - IAS) in der Domäne zu registrieren:
1. | Melden Sie sich als Domänenadministrator am IAS-Server an. |
2. | Öffnen Sie das Snap-In Internetauthentifizierungsdienst. |
3. | Klicken Sie mit rechts auf Internetauthentifizierungsdienst und dann auf Server in Active Directory registrieren. Klicken Sie im folgenden Dialogfenster auf OK. |
Um den IAS-Server mithilfe von netsh in der Domäne zu registrieren:
1. | Melden Sie sich als Domänenadministrator am IAS-Server an. |
2. | Öffnen Sie eine Eingabeaufforderung. |
3. | Führen Sie den Befehl netsh ras add registeredserver aus. |
Um den IAS-Server mithilfe von Active Directory-Benutzer und -Computer in der Domäne zu registrieren:
1. | Melden Sie sich als Domänenadministrator am IAS-Server an. |
2. | Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer. |
3. | Klicken Sie auf den Container Users der Domäne. |
4. | Klicken Sie rechts mit der rechten Maustaste auf RAS- und IAS-Server und dann auf Eigenschaften. |
5. | Wechseln Sie zur Registerkarte Mitglieder und fügen Sie den IAS-Server hinzu. |
Um den IAS-Server mithilfe von Active Directory-Benutzer und -Computer in einer anderen Domäne zu registrieren:
1. | Melden Sie sich als Domänenadministrator am IAS-Server an. |
2. | Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer. |
3. | Klicken Sie auf den Container Users der entsprechenden Domäne. |
4. | Klicken Sie rechts mit der rechten Maustaste auf RAS- und IAS-Server und dann auf Eigenschaften. |
5. | Wechseln Sie zur Registerkarte Mitglieder, und fügen Sie den IAS-Server hinzu. |
Um den IAS-Server mithilfe von netsh in einer anderen Domäne zu registrieren:
1. | Melden Sie sich als Domänenadministrator am IAS-Server an. |
2. | Öffnen Sie eine Eingabeaufforderung. |
3. | Führen Sie den Befehl netsh ras add registeredserver Domäne IASServer aus. Wobei Domäne der Name der anderen Domäne und IASServer der Name des IAS-Servers ist. |
Konfigurieren von IAS-Ports
1. | Öffnen Sie das Snap-In Internetauthentifizierungsdienst. |
2. | Klicken Sie mit rechts auf Internetauthentifizierungsdienst und dann auf Eigenschaften. |
3. | Wechseln Sie unter Windows 2000 zur Registerkarte RADIUS und unter Windows Server 2003 zur Registerkarte Ports. Überprüfen Sie die Einstellungen. Wenn die von Ihnen für den RADIUS-Netzwerkverkehr genutzten Ports von den Standardwerten abweichen (1812, 1813, 1645 und1646), dann geben Sie die korrekten Ports an. |
RADIUS-Clients hinzufügen
1. | Öffnen Sie das Snap-In Internetauthentifizierungsdienst. |
2. | Klicken Sie unter Windows 2000 links mit der rechten Maustaste auf Clients und dann auf Neuer Client. Unter Windows Server 2003 klicken Sie links auf RADIUS-Clients und dann auf Neuer RADIUS-Client. |
3. | Tragen Sie einen aussagekräftigen Namen unter Angezeigter Name ein. |
4. | Klicken Sie unter Windows 2000 bei Protokoll auf RADIUS und dann auf Weiter. |
5. | Tragen Sie unter Clientadresse (IP oder DNS) den DNS-Namen oder die IP-Adresse des Clients ein. Wenn Sie einen DNS-Namen verwenden, überprüfen Sie diesen mit dem Schalter Verifizieren. Klicken Sie dann auf Weiter. |
6. | Wenn Sie die Nutzung von AP-Spezifischen RAS-Richtlinien planen (zum Beispiel eine RAS-Richtlinien mit herstellerspezifischen Attributen), dann wählen Sie unter Clienthersteller den entsprechenden Hersteller aus. Wenn Sie den Hersteller nicht kennen oder dieser nicht in der Liste ist, dann wählen Sie RADIUS Standard aus. |
7. | Geben Sie unter Gemeinsamer geheimer Schlüssel den entsprechenden Schlüssel ein. Bestätigen Sie die Eingabe im zweiten Feld. |
8. | Klicken Sie auf Fertig stellen. |
Best-Practices: Nutzen Sie - wenn möglich - IPsec-ESP. Verwenden Sie mindestens die 3DES-Verschüsselung. Wenn möglich, verwenden Sie Zertifikate für die IKE-Hauptmodus-Authentifizierung (Internet Key Exchange).
Verwenden Sie geheime Schlüssel mit einer zufälligen Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen mit mindesten 22 Zeichen Länge.
Schritt 3b: Konfiguration einer RAS-Richtlinie für den WLAN-Zugriff
Um eine RAS-Richtlinie für den primären IAS-Server zu konfigurieren, gehen Sie folgendermaßen vor:
1. | Unter Windows 2000 erstellen Sie eine neue RAS-Richtlinien mit den folgenden Einstellungen: |
2. | Unter Windows Server 2003 verwenden Sie den "Assistent für neue RAS-Richtlinien", um eine typische RAS-Richtlinie mit den folgenden Einstellungen zu erstellen: |
3. | Wenn für den AP bestimmte herstellerspezifischen Attribute (Vendor Specific Attributes - VSAs) erforderlich sind, dann müssen Sie diese der RAS-Richtlinie hinzufügen. Weitere Informationen hierzu finden Sie unter "Konfigurieren von herstellerspezifischen Attributen in einer RAS-Richtlinie". |
4. | Unter Windows 2000 löschen Sie die standardmäßige RAS-Richtlinie mit dem Namen Zugriff zulassen, wenn Einwahlberechtigung aktiviert ist. |
Hinzufügen einer RAS-Richtlinie
1. | Öffnen Sie das Snap-In Internetauthentifizierungsdienst. |
2. | Klicken Sie mit rechts auf RAS-Richtlinien und dann auf Neue RAS-Richtlinie. |
Konfigurieren von herstellerspezifischen Attributen in einer RAS-Richtlinie
| • | Öffnen Sie das Snap-In Internetauthentifizierungsdienst. |
| • | Klicken Sie auf RAS-Richtlinien. |
| • | Klicken Sie rechts doppelt auf die Richtlinien, die Sie bearbeiten möchten. |
| • | Klicken Sie auf Profil bearbeiten, und wechseln Sie dann zur Registerkarte Erweitert. Klicken sie hier auf Hinzufügen. |
| • | Prüfen Sie, ob das herstellerspezifische Attribut bereits in der Liste ist. Wenn dies der Fall ist, dann konfigurieren Sie es entsprechend. |
| • | Wenn das Attribut nicht vorhanden ist, dann klicken Sie auf Herstellerspezifisches Attribut und dann auf Hinzufügen. |
| • | Klicken Sie im nächsten Dialogfenster auf Hinzufügen. |
| • | Wählen Sie den Hersteller Ihres APs aus der Liste aus. Wenn der Hersteller nicht in der Liste ist, geben Sie den Herstellercode ein. Eine Liste mit den SMI Network Management Private Enterprise Codes finden Sie in RFC 1007. |
| • | Lesen Sie fest, ob das Attribut zum in RFC 2865 definierten VSA-Format konform ist. Wenn Sie nicht sicher sind, schlagen Sie in der Dokumentation des APs nach. |
| • | Wenn das Attribut konform ist, dann klicken Sie auf Ja und dann auf Attribut konfigurieren. Geben Sie die dem Attribut zugewiesene Nummer ein (eine Ganzzahl zwischen 0 und 255), und legen Sie das Attributformat und den Attributwert fest. |
| • | Wenn das Attribut nicht konform ist, dann klicken Sie auf Nein und dann auf Attribut konfigurieren. Geben Sie dann den Attributwert ein. |
Schritt 4: Konfigurieren des sekundären IAS-Servers
Mit den folgenden Schritten können Sie den sekundären IAS-Server konfigurieren:
1. | Wenn Sie die Computerzertifikate automatisch ausstellen lassen und der IAS-Server unter Windows 2000 ausgeführt wird, dann erzwingen Sie eine Aktualisierung der Gruppenrichtlinien über den Befehl secedit /refreshpolicy machine_policy. Unter Windows Server 2003 verwenden Sie den Befehl gpupdate /target:computer. |
2. | Wenn Sie die PEAP-MS-CHAP v2-Authentifizierung nutzen und ein Computerzertifikat von einer kommerziellen Zertifizierungsstelle erhalten haben, dann importieren Sie dieses über das Snap-In Zertifikate in den Ordner Eigenen Zertifikate\Zertifikate. |
3. | Installieren Sie die optionale Netzwerkkomponente IAS. |
4. | Unter Windows 2000 installieren Sie Windows 2000 SP4. |
5. | Der sekundäre IAS-Server muss in der Lage sein, auf die Kontoeigenschaften in den entsprechenden Domänen zuzugreifen. Wenn Sie IAS auf einem Domänencontroller installieren, ist hierzu keine weitere Konfiguration erforderlich. |
6. | Mit dem Befehl netsh show config > Pfad\datei.txt können Sie auf dem primären IAS-Server eine Kopie der Konfiguration erstellen. |
7. | Kopieren Sie die Datei auf den sekundären Server. Führen Sie den Befehl netsh execPfad\datei.txt aus. Hierdurch werden die Konfigurationseinstellungen importiert. |
Schritt 5: Bereitstellung und Konfiguration der APs
Richten Sie die APs so ein, dass alle erforderlichen Bereiche abgedeckt sind. Konfigurieren Sie die APs so, dass WPA-, WPA2- oder WEP-Verschlüsselung mit 802.1X-Authentifizierung unterstützt wird. Konfigurieren Sie die RADIUS-Einstellung der APs folgendermaßen:
1. | IP-Adresse oder Name des primären RADIUS-Servers, geheimer Schlüssel, UDP-Port für Authentifizierung. |
2. | IP-Adresse oder Name des sekundären RADIUS-Servers, geheimer Schlüssel, UDP-Port für Authentifizierung. |
Um die Last auf die beiden IAS-Server zu verteilen, konfigurieren Sie die Hälfte der APs mit dem primären IAS-Server als primären RADIUS-Server und mit dem sekundären IAS-Server als sekundären RADIUS-Server. Die andere Hälfte konfigurieren Sie genau andersrum.
Weitere Informationen finden Sie in der Dokumentation Ihres APs. Informationen zu APs von Enterasys finden Sie unter http://www.enterasys.com/. Informationen zu Cisco-Produkten gibt es unter http://www.cisco.com/, und Informationen zu APs von Agere Systems finden Sie unter http://www.orinocowireless.com/.
Wenn VSAs (Vendor Specific Attributes) für den AP erforderlich sind, dann müssen Sie die VSAs zu den RAS-Richtlinien der IAS-Server hinzufügen. Weitere Informationen hierzu finden Sie unter "Konfigurieren von herstellerspezifischen Attributen in einer RAS-Richtlinie".
Schritt 6: Konfiguration der Drahtlosnetzwerk (IEEE 802.11)-Gruppenrichtlinieneinstellungen
Mit diesen Gruppenrichtlinieneinstellungen von Windows Server 2003 können Sie eine Liste mit bevorzugten Netzwerken und den entsprechenden Einstellungen angeben. So können Sie die WLAN-Konfiguration für Clients unter Windows XP SP1, Windows XP SP2 und Windows Server 2003 automatisieren.
Mit den folgenden Schritten können Sie die Gruppenrichtlinieneinstellungen konfigurieren:
1. | Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer. |
2. | Klicken Sie doppelt auf Active Directory-Benutzer und -Computer und dann mit rechts auf den Container mit den Konten der WLAN-Clients. Klicken Sie dann auf Eigenschaften. |
3. | Wechseln Sie zur Registerkarte Gruppenrichtlinien. Klicken Sie auf die entsprechende Gruppenrichtlinie und dann auf Bearbeiten. |
4. | Erweitern Sie die Knoten Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen und Drahtlosnetzwerk (IEEE 802.11)-Richtlinien. |
5. | Klicken Sie mit rechts auf Drahtlosnetzwerk (IEEE 802.11)-Richtlinien und dann auf Drahtlosnetzwerkrichtlinie erstellen. Geben Sie einen Namen und eine Beschreibung ein. |
6. | Klicken Sie doppelt auf die neu erstellte Richtlinien. |
7. | Ändern Sie auf der Registerkarte Allgemein alle erforderlichen Einstellungen. |
8. | Wechseln Sie zur Registerkarte Bevorzugte Netzwerke. Klicken Sie auf Hinzufügen. |
9. | Wechseln Sie zur Registerkarte Netzwerkeigenschaften, und geben Sie die SSID und den geheimen Schlüssel ein. |
10. | Wechseln Sie zur Registerkarte IEEE 802.1x. Konfigurieren Sie die 802.1X-Einstellungen entsprechend des Netzwerkes. Klicken Sie zweimal auf OK. |
Bei der nächsten Aktualisierung der Clients werden diese dann automatisch konfiguriert.
Anmerkung: Unter Windows Server 2003 ohne Service Packs können Sie keine WPA-Authentifizierung und -Verschlüsselung konfigurieren. Installieren Sie hierzu das 811233-Update oder SP1.
Damit die Einstellungen in einer Windows 2000-Domäne zur Verfügung stehen, muss das Active Directory-Schema erweitert werden. Hierzu müssen Sie mindestens einen Domänencontroller unter Windows Server 2003 oder Windows Server 2003 SP1 in der Domäne einrichten. Zur Konfiguration müssen Sie dann das entsprechende Snap-In auf einem Computer unter Windows Server 2003 oder Windows Server 2003 SP1 verwenden.
Anmerkung: Unter Windows Server 2003 SP1 können keine WPA2-Authentifizierungseinstellungen konfiguriert werden.
Schritt 7: Installation von Computerzertifikaten auf den WLAN-Clients (EAP-TLS)
Zur Computerauthentifizierung mit EAP-TLS ist die Installation von Computerzertifikaten auf den WLAN-Clients erforderlich.
Bei Clients unter Windows Server 2003, Windows XP oder Windows 2000 gehen Sie hierzu folgendermaßen vor:
| • | Wenn Sie die Computerzertifikate automatisch ausstellen lassen, dann erzwingen Sie unter Windows 2000 eine Aktualisierung der Gruppenrichtlinien über den Befehl secedit /refreshpolicy machine_policy. Unter Windows Server 2003 oder Windows XP verwenden Sie den Befehl gpupdate /target:computer. Die Computerzertifikate werden so von den Clients automatisch angefordert. |
| • | Wenn die Ausstellung nicht automatisch geschieht, dann können Sie mit dem Snap-In Zertifikate manuell ein Zertifikat anfordern. |
Außerdem ist es möglich, dass bereits bei der Einrichtung des Computers ein Computerzertifikat installiert wird.
Schritt 8: Installation von Benutzerzertifikaten auf den WLAN-Clients (EAP-TLS)
Für die Benutzerauthentifizierung mit EAP-TLS werden entweder lokal installierte Zertifikate oder Smart Cards verwendet. Das lokale Installieren des Zertifikats kann über eine automatische Ausstellung, über das Web, über eine Anforderung mithilfe des Snap-Ins Zertifikate, über den Import einer Zertifikatsdatei oder über ein Skript geschehen.
Am einfachsten ist die Installation der Zertifikate, wenn Sie voraussetzen können, dass bereits eine Netzwerkverbindung besteht (zum Beispiel eine normale Ethernetverbindung). In diesem Fall kann der Benutzer sein Zertifikat automatisch über den Zertifikatsmanager oder über eine Web-Anforderung erhalten. Weitere Informationen zur Anforderung von Zertifikaten finden Sie unter "Benutzerzertifikate über das Web anfordern" und "Anfordern eines Zertifikates".
Alternativ kann der Administrator zum Beispiel ein Anmeldeskript erstellen, das für die Anforderung eines Zertifikates sorgt.
Wenn Sie das automatische Ausstellen nutzen, dann wird bei der Aktualisierung der Gruppenrichtlinien automatische ein Zertifikat angefordert. Andernfalls müssen Sie das Zertifikat mithilfe eines der folgenden Verfahren manuell anfordern.
Benutzerzertifikate über das Web anfordern
1. | Starten Sie den Internet Explorer. |
2. | Rufen Sie die Seite http://servername/certsrv auf (servername ist der Name des Webserver, auf dem sich die Zertifizierungsstelle befindet). |
3. | Klicken Sie auf Zertifikat anfordern und auf Weiter. |
4. | Wählen Sie unter Benutzerzertifikat anfordern den anzufordernden Zertifikatstyp aus, und klicken Sie auf Weiter. |
5. | Wenn auf der nächsten Seite die Meldung "Alle zur Identifizierung erforderlichen Informationen wurden bereits gesammelt. Sie können Ihre Anforderung jetzt übertragen." angezeigt wird, dann klicken Sie auf Übertragen. |
6. | Wenn die Seite Zertifikat ausgestellt angezeigt wird, klicken Sie auf Dieses Zertifikat installieren. |
7. | Schließen Sie den Internet Explorer. |
Anfordern eines Zertifikates über das Snap-In Zertifikate
1. | Öffnen Sie das Snap-In Zertifikate mit den Zertifikaten für das eigene Benutzerkonto. | ||||||
2. | Klicken Sie mit rechts auf Eigene Zertifikate und dann auf Alle Tasks und Neues Zertifikat anfordern. | ||||||
3. | Im nun folgenden Assistenten müssen Sie den anzufordernden Zertifikatstyp angeben. Wenn Sie die Option Erweitert aktivieren, müssen Sie zusätzlich die folgenden Informationen angeben:
Wenn es mehr als eine Zertifizierungsstelle gibt, dann wählen Sie im letzten Schritt die passende Zertifizierungsstelle aus. | ||||||
4. | Geben Sie einen angezeigten Namen und eine Beschreibung ein. | ||||||
5. | Klicken Sie auf OK. |
Installation über Disketten
Eine weitere Möglichkeit ist die Installation des Benutzerzertifikates über eine Diskette. Hierbei können Sie das Zertifikat auf der Diskette auf dem WLAN-Client importieren.
1. | Lassen Sie sich über die Webseite ein Zertifikat für den Benutzer ausstellen. |
2. | Exportieren Sie das Zertifikat in eine .pfx-Datei. Speichern Sie die Datei auf einer Diskette. |
3. | Importieren Sie das Zertifikat auf dem WLAN-Client. |
Ein Zertifikat exportieren
1. | Öffnen Sie das Snap-In Zertifikate mit den Zertifikaten des angemeldeten Benutzers. |
2. | Erweitern Sie die Knoten Eigenen Zertifikate und Zertifikate. |
3. | Klicken Sie mit rechts auf das zu exportierende Zertifikat und auf Alle Tasks und Exportieren. |
4. | Klicken Sie auf Ja, privaten Schlüssel exportieren (dies ist nur möglich, wenn der private Schlüssel als exportierbar gekennzeichnet ist). Klicken Sie auf Weiter. |
5. | Wählen Sie das Exportformat Personal Information Exchange – PKCS (.PFX), und klicken Sie auf Weiter. |
6. | Geben Sie ein Kennwort ein, und bestätigen Sie es. Dann klicken Sie auf Weiter. |
7. | Geben Sie einen Dateinamen an, und klicken Sie auf Weiter. |
8. | Klicken Sie auf Fertigstellen. |
Ein Zertifikat importieren
1. | Öffnen Sie das Snap-In Zertifikate mit den Zertifikaten des angemeldeten Benutzers. |
2. | Erweitern Sie die Knoten Eigenen Zertifikate und Zertifikate. |
3. | Klicken Sie mit rechts auf Zertifikate und auf Alle Tasks und Importieren. |
4. | Wählen Sie die Datei mit dem Zertifikat aus. |
5. | Wenn es sich um eine PKCS #12-Datei handelt: |
6. | Wenn das Zertifikat automatisch in einem Zertifikatsspeicher gespeichert werden soll, dann wählen Sie die Option Zertifikatsspeicher automatisch auf Basis des Zertifikatstyps auswählen. Andernfalls wählen Sie Alle Zertifikate im folgenden Zertifikatsspeicher speichern und wählen einen Zertifikatsspeicher aus. |
Schritt 9: Konfiguration der WLAN-Clients für EAP-TLS
Wenn Sie die Drahtlosnetzwerk (IEEE 802.11)-Richtlinien-Gruppenrichtlinienenstellungen verwenden und dort EAP-TLS (EAP-Typ Smart Card oder anderes Zertifikat) festgelegt haben, dann sind unter Windows XP SP1, Windows XP SP2 oder Windows Server 2003 keine weiteren Konfigurationen erforderlich.
Um die EAP-TLS-Authentifizierung unter den oben genannten Betriebssystemen manuell zu konfigurieren, gehen Sie folgendermaßen vor:
1. | Öffnen Sie über den Ordner Netzwerkverbindungen die Eigenschaften der WLAN-Verbindung. Wechseln Sie zur Registerkarte Drahtlosnetzwerke, klicken Sie auf das entsprechende WLAN, und klicken Sie auf Eigenschaften. |
2. | Wechseln Sie zur Registerkarte Authentifizierung, und wählen Sie Netzwerkzugriff über IEEE 802.1X aktivieren und EAP-Typ Smart Card oder anderes Zertifikat aus. |
3. | Klicken Sie auf Eigenschaften. Wählen Sie Ein Zertifikat auf diesem Computer verwenden oder Meine Smart Card verwenden. |
4. | Klicken Sie auf OK. |
Unter Windows XP ohne Service Packs gehen Sie folgendermaßen vor:
1. | Öffnen Sie über den Ordner Netzwerkverbindungen die Eigenschaften der WLAN-Verbindung. Wechseln Sie zur Registerkarte Authentifizierung, und wählen Sie Netzwerkzugriff über IEEE 802.1X aktivieren und EAP-Typ Smart Card oder anderes Zertifikat aus. |
2. | Klicken Sie auf Eigenschaften. Wählen Sie Ein Zertifikat auf diesem Computer verwenden oder Meine Smart Card verwenden. |
3. | Klicken Sie auf OK. |
Unter Windows 2000 SP4 gehen Sie folgendermaßen vor:
1. | Öffnen Sie über den Ordner DFÜ- und Netzwerkverbindungen die Eigenschaften der WLAN-Verbindung. Wechseln Sie zur Registerkarte Authentifizierung, und wählen Sie Netzwerkzugriff über IEEE 802.1X aktivieren und EAP-Typ Smart Card oder anderes Zertifikat aus. |
2. | Klicken Sie auf Eigenschaften. Wählen Sie Ein Zertifikat auf diesem Computer verwenden oder Meine Smart Card verwenden. |
3. | Klicken Sie auf OK. |
Schritt 10: Konfiguration der WLAN-Clients für PEAP-MS-CHAP v2
Wenn Sie die Drahtlosnetzwerk (IEEE 802.11)-Richtlinien-Gruppenrichtlinienenstellungen verwenden und dort PEAP-MS-CHAP v2 (EAP-Typ Geschütztes EAP (PEAP)) mit EAP-MSCHAP v2 festgelegt haben, dann sind unter Windows XP SP1, Windows XP SP2 oder Windows Server 2003 keine weiteren Konfigurationen erforderlich.
Um PEAP-MS-CHAP v2 unter den oben genannten Betriebssystemen manuell zu konfigurieren, gehen Sie folgendermaßen vor:
1. | Öffnen Sie über den Ordner Netzwerkverbindungen die Eigenschaften der WLAN-Verbindung. Wechseln Sie zur Registerkarte Drahtlosnetzwerke, klicken Sie auf das entsprechende WLAN, und klicken Sie auf Eigenschaften. |
2. | Wechseln Sie zur Registerkarte Authentifizierung, und wählen Sie Netzwerkzugriff über IEEE 802.1X aktivieren und EAP-Typ Geschütztes EAP aus. |
3. | Klicken Sie auf Eigenschaften. Wenn Sie das Serverzertifikat des IAS-Servers überprüfen möchten, dann wählen Sie in den Eigenschaften von Geschütztes EAP die Option Serverzertifikat überprüfen. Wenn Sie hierfür bestimmte Authentifizierungsserver verwenden möchten, dann tragen Sie diese ein. Wählen Sie unter Auswählen der Authentifizierungsmethode die Option Geschütztes Kennwort (EAP-MSCHAP v2). |
Unter Windows 2000 SP4 gehen Sie folgendermaßen vor:
1. | Öffnen Sie über den Ordner DFÜ- und Netzwerkverbindungen die Eigenschaften der WLAN-Verbindung. |
2. | Wechseln Sie zur Registerkarte Authentifizierung, und wählen Sie Netzwerkzugriff über IEEE 802.1X aktivieren und EAP-Typ Geschütztes EAP aus. |
3. | Klicken Sie auf Eigenschaften. Wenn Sie das Serverzertifikat des IAS-Servers überprüfen möchten, dann wählen Sie in den Eigenschaften von Geschütztes EAP die Option Serverzertifikat überprüfen. Wenn Sie hierfür bestimmte Authentifizierungsserver verwenden möchten, dann tragen Sie diese ein. Wählen Sie unter Auswählen der Authentifizierungsmethode die Option Geschütztes Kennwort (EAP-MSCHAP v2). |
Wenn das Zertifikat der Stammzertifizierungsstelle, die das auf dem IAS-Server installierte Computerzertifikat ausgestellt hat, bereits auf den WLAN-Clients installiert ist, dann ist keine weitere Konfiguration notwendig. Wenn Ihre ausstellende Zertifizierungsstelle eine Online-Unternehmensstammzertifizierungsstelle unter Windows 2000 Server oder Windows Server 2003 ist, dann wird das Zertifikat über die Gruppenrichtlinien automatisch auf den Domänenmitgliedern installiert.
Um dies zu überprüfen, öffnen Sie die Eigenschaften des Computerzertifikates auf dem IAS-Server über das Snap-In Zertifikate. Lassen Sie die Zertifizierungskette über die Registerkarte Zertifizierungspfad anzeigen. Das Zertifikat ganz oben ist das Zertifikat der Stammzertifizierungsstelle. Stellen Sie mit dem Zertifikate-Snap-In auf den Clients sicher, dass dieses Zertifikat zur Liste der vertrauenswürdigen Stammzertifizierungsstellen gehört (unter Lokaler Computer\Vertrauenswürdige Stammzertifizierungsstellen\Zertifikate).
Wenn dies nicht der Fall ist, dann müssen Sie das Zertifikat installieren. Hierzu gehen Sie folgendermaßen vor:
1. | Exportieren Sie das Zertifikat auf dem IAS-Server über das Snap-In Zertifikate in eine Datei (*.PB7). Sie finden das Zertifikat unter Lokaler Computer)\Vertrauenswürdige Stammzertifizierungsstellen\Zertifikate. |
2. | Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer. |
3. | Klicken Sie doppelt auf Active Directory-Benutzer und -Computer und dann mit rechts auf die Domäne und auf Eigenschaften. |
4. | Wechseln Sie zur Registerkarte Gruppenrichtlinien, klicken Sie auf die entsprechenden Gruppenrichtlinien und auf Bearbeiten. |
5. | Erweitern Sie Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen und Richtlinien öffentlicher Schlüssel. |
6. | Klicken Sie mit rechts auf Vertrauenswürdige Stammzertifizierungsstellen und dann auf Importieren. |
7. | Importieren Sie das in Schritt 1 gespeicherte Zertifikat. |
8. | Wiederholen Sie die Schritte 3 bis 7 für alle erforderlichen Container. |
Das Zertifikat wird nur bei der nächsten Aktualisierung der Gruppenrichtlinien auf allen betreffenden Clients installiert.
Zusätzliche Bereitstellungskonfigurationen für WLANs
In diesem Abschnitt werden die folgenden zusätzlichen Konfigurationsmöglichkeiten beschrieben:
| • | Intranet-Zugriff für Partner |
| • | Verwendung einer Drittanbieter-Zertifizierungsstelle |
| • | Authentifizierung bei mehreren Gesamtstrukturen |
| • | Verwendung von RADIUS-Proxies |
Intranet-Zugriff für Partner
Die meisten aktuellen APs erhalten Sie in Bezug auf RADIUS-Access-Accept- und Access-Reject-Nachrichten folgendermaßen:
| • | Wenn eine Access-Accept-Nachicht empfangen wird, dann wird ein Zugriff gewährt. |
| • | Wenn eine Access-Reject-Nachricht empfangen wird, dann wird der Zugriff verweigert. |
Um externen Partnern oder Besuchern über die gleiche WLAN-Infrastruktur einen Zugriff auf ein separates Netzwerk zu ermöglichen, muss der Versuch eines Verbindungsaufbaus vom RADIUS-Server mit einer Access-Accept-Nachricht beantwortet werden. Hierzu muss der jeweilige Benutzer entweder über ein gültiges Konto und passende Zertifikate verfügen oder einen Gastzugriff nutzen.
Gastzugriff
Ein Gastzugriff tritt dann auf, wenn ein WLAN-Client verbunden ist und keine Benutzeridentität übermittelt (zum Beispiel einen Benutzernamen). In diesem Fall kann der AP in die Access-Request-Nachrichten keine entsprechenden Informationen einfügen. Der IAS-Server überprüft daher, ob ein nicht authentifizierter Zugriff in den für die Verbindung geltenden RAS-Richtlinien zugelassen ist. Er verwendet in diesem Fall die Einwahleigenschaften und Gruppenmitgliedschaften des Gastkontos. Wurde zwar ein Benutzer angegeben, aber keine weiteren Informationen (Kennwort, Zertifikat etc.), dann verwendet der IAS-Server das entsprechende Konto.
Ein eingeschränkter Netzwerkzugriff für Gast-Clients wird auf APs über die IP-Filterung oder VLANs durchgesetzt. Um eine VLAN-ID für den nicht authentifizierten Zugriff zu definieren, konfigurieren Sie über die erweiterten Eigenschaften der entsprechenden RAS-Richtlinien den Tunneltyp und die Tunnel-Pvt-Group-ID.
Weitere Informationen zu Gastzugriffen im Zusammenhang mit IAS finden Sie in der Windows Hilfe beziehungsweise im Hilfe- und Supportcenter.
Verwendung eines gültigen Kontos
In diesem Fall müssen Sie für alle Benutzer (Partner, Besucher etc.) Computer- und Benutzerkonten erstellen und Zertifikate ausstellen. Danach erstellen Sie Gruppen, in denen die Konten Mitglieder sind, so dass Sie den erforderlichen Zugriff über gruppenbasierte RAS-Richtlinien steuern können.
Mit den folgenden Schritten können Sie eine RAS-Richlinie für Partner, Besucher und andere Nicht-Mitarbeiter konfigurieren:
| • | Erstellen Sie eine neue RAS-Richtlinien mit den folgenden Einstellungen: |
| • | Richtlinienname: Zum Beispiel WLAN-Zugriff |
| • | Bedingungen: NAS-Port-Typ=Drahtlos-Andere oder Drahtlos-IEEE 802.11, Windows-Gruppen=WLANInternetBenutzer |
| • | Berechtigungen: Remotezugriffsberechtigungen gewähren. |
| • | Profil/Authentifizierung: Unter Windows 2000 IAS wählen Sie den EAP-Typ Extensible Authentication Protocol und Smart Card oder anderes Zertifikat. Deaktivieren Sie alle anderen Optionen. Wenn mehrere Computerzertifikate auf dem IAS-Server installiert sind, klicken Sie auf Konfigurieren und wählen Sie das entsprechende Zertifikat aus. |
| • | Profil/Verschlüsselung: Wenn der AP MS-MPPE unterstützt wird, dann deaktivieren Sie alle Optionen außer Stärkste. Wenn dies nicht der Fall ist, deaktivieren Sie alles bis auf Keine Verschlüsselung. |
| • | Profil/Erweitert (wenn der AP VLANs unterstützt): |
| • | Legen Sie für das Attribut Tunnel-Typ "Virtual LANs (VLAN)" fest. |
| • | Legen Sie das Attribut Tunnel-Pvt-Group-ID mit der VLAN-ID des VLANs fest, das mit dem Internet verbunden ist. |
Wenn der AP VSAs benötigt, dann müssen Sie diese zu den entsprechenden RAS-Richtlinien hinzufügen. Weitere Informationen hierzu erhalten Sie unter "Konfigurieren von herstellerspezifischen Attributen in einer RAS-Richtlinie".
Verwenden einer Drittanbieter-Stammzertifizierungsstelle
Solange die Zertifikate überprüft werden können und über die richtigen Eigenschaften verfügen, können Sie problemlos eine Drittanbieter-Stammzertifizierungsstelle für das Ausstellen der Zertifikate verwenden.
Zertifikate auf den IAS-Servern
Für die Computerzertifikate auf den IAS-Servern muss in diesem Fall folgendes gegeben sein:
| • | Sie müssen im Zertifikatsspeicher "Lokaler Computer" installiert sein. |
| • | Sie müssen einen entsprechenden privaten Schlüssel haben. In den Eigenschaften des Zertifikates (im Snap-In Zertifikate) sollte unter Allgemein die Meldung Sie verfügen über einen Privaten Schüssel für dieses Zertifikat angezeigt werden. |
| • | Der Kryptografiedienstanbieter für die Zertifikate unterstützt SChannel. Wenn dies nicht der Fall ist, kann der IAS-Server das Zertifikat nicht verwenden. |
| • | Die Zertifikate müssen das Feld Server Authentication Certificate Purpose (auch Enhanced Key Usage oder EKU genannt) enthalten. Eine EKU wird über einen Object Identifier (OID) angegeben. Die OID für die Serverauthentifizierung ist "1.3.6.1.5.5.7.3.1". |
| • | In den Zertifikaten muss der vollqualifizierte Domänenname (Fully Qualified Domain Name - FQDN) des Computerkontos des IAS-Servers gespeichert sein (Eigenschaft Subject Alternative Name property). |
Außerdem muss das Zertifikat der Stammzertifizierungsstelle der ausstellenden Zertifizierungsstelle auf den Clients installiert sein (unter Lokaler Computer\Vertrauenswürdige Stammzertifizierungsstellen\Zertifikate).
Zertifikate auf WLAN-Clients
Für die Benutzer- und Computerzertifikate auf den WLAN-Clients muss in diesem Fall folgendes gegeben sein:
| • | Sie müssen einen entsprechenden privaten Schlüssel haben. |
| • | Die EKU muss OID "1.3.6.1.5.5.7.3.2" sein. |
| • | Die Computerzertifikate müssen im Zertifikatsspeicher "Lokaler Computer" installiert sein. |
| • | In den Computerzertifikaten muss der FQDN des Computerkontos des Clients gespeichert sein (Eigenschaft Subject Alternative Name property). |
| • | Die Benutzerzertifikate müssen im Zertifikatsspeicher Aktueller Benutzer installiert sein. |
| • | In den Benutzerzertifikaten muss der UPN (Universal Principal Name) des Benutzers gespeichert sein (Eigenschaft Subject Alternative Name property). |
Außerdem muss das Zertifikat der Stammzertifizierungsstelle der ausstellenden Zertifizierungsstelle auf den Clients installiert sein (unter Lokaler Computer\Vertrauenswürdige Stammzertifizierungsstellen\Zertifikate oder unter Aktueller Benutzer\Vertrauenswürdige Stammzertifizierungsstellen\Zertifikate).
Konfiguration von Proxy-Server-Einstellungen
Zertifikate, die von Drittanbieter wie zum Beispiel VeriSign Inc. ausgestellt wurden, können CRL-URLs enthalten, die sich im Internet befinden. Wenn der IAS-Server auf diese URLs nicht zugreifen kann, dann kann er die Zertifikate nicht überprüfen.
In vielen Unternehmen werden Proxy-Server verwendet (zum Beispiel Microsoft Internet Security and Acceleration Server -ISA). Die Konfiguration der Proxy-Server-Einstellungen wird normalerweise über DHCP-Optionen vorgenommen. Viele IAS-Server verwenden jedoch eine statische IP-Adresskonfiguration, und daher kann es sein, dass sie nicht automatisch mit den richtigen Einstellungen konfiguriert werden.
Um einen IAS-Server mit den richtigen Proxy-Einstellungen zu konfigurieren, gehen Sie folgendermaßen vor:
1. | Melden Sie sich am IAS-Server mit administrativen Rechten an. |
2. | Öffnen Sie eine Eingabeaufforderung. |
3. | Führen Sie den Befehl time aus. |
4. | Drücken Sie die EINGABETASTE. |
5. | Geben Sie at[uhrzeit+1 minute]/interactive "cmd.exe" ein, und drücken Sie die EINGABETASTE. |
6. | Nach einer Minute öffnet sich eine neue Eingabeaufforderung. Alle Befehle in dieser Eingabeaufforderung werden im Sicherheitskontext Lokales System ausgeführt. Auch IAS wird in diesem Sicherheitskontext ausgeführt (würden Sie diesen Schritt nicht machen, so würden sich die Proxie-Konfigurationen auf Ihr Benutzerkonto und nicht auf den IAS-Dienst beziehen). |
7. | Führen Sie in der neuen Eingabeaufforderung den Befehl "%programfiles%\Internet Explorer\Iexplore.exe"(inklusive der Anführungsstriche) aus. |
8. | Klicken Sie auf Extras und Internetoptionen. |
9. | Klicken Sie auf der Registerkarte Verbindungen auf LAN-Einstellungen. |
10. | Klicken Sie unter Proxyserver auf Proxyserver für LAN verwenden. |
11. | Geben Sie die IP oder den Namen des Proxyservers und den Port ein (normalerweise 80). |
12. | Klicken Sie auf OK. |
13. | Klicken Sie auf OK. |
14. | Schließen Sie den Internet Explorer. |
15. | Schließen Sie die Eingabeaufforderung, die in Schritt 6 geöffnet wurde. |
Ein weiterer Weg zur Konfiguration der Proxy-Einstellungen ist das Tool ProxyCfg.exe tool from the (über die in Schritt 6 geöffnete Eingabeaufforderung). Es steht jedoch nur unter Windows Server 2003 standardmäßig zur Verfügung. Eine Version für Windows 2000 Server finden Sie unter 830605 - The Proxycfg.exe configuration tool is available for WinHTTP 5.1. Weitere Informationen zu ProxyCfg.exe finden Sie unter ProxyCfg.exe, a Proxy Configuration Tool.
Authentifizierung bei mehreren Gesamtstrukturen
Da IAS Active Directory zur Überprüfung der Anmeldeinformationen und zur Abfrage der Eigenschaften von Benutzer- und Computerkonten verwendet, muss in den folgenden Fällen ein RADIUS-Proxy zwischen AP und IAS-Server platziert werden:
| • | Die Benutzer- und Computerkonten befinden sich in zwei verschiedene Active Directory-Gesamtstrukturen. |
| • | Die Benutzer- und Computerkonten befinden sich in zwei verschiedene Domänen, die einander nicht vertrauen. |
| • | Die Benutzer- und Computerkonten befinden sich in zwei verschiedene Domänen, die nur mit einer einseitigen Vertrauensstellung verbunden sind. |
In der folgenden Diskussion gehen wir von einer gesamtstrukturübergreifenden Konfiguration aus.
Wenn ein Client seine Anmeldeinformationen übermittelt, ist in diesen oftmals ein Benutzername enthalten. Dieser setzt sich aus zwei Komponenten zusammen:
| • | Der Name des Kontos |
| • | Der Speicherort des Kontos |
Beim Benutzernamen user1@microsoft.com ist user1 zum Beispiel der Kontenname und microsoft.com dessen Speicherort. Der Speicherort wird auch als Realm bezeichnet. Es gibt zwei verschiedene Realm-Formen:
| • | Der Realm-Name kann ein Prefix sein. |
| • | Der Realm-Name kann ein Suffix ein. |
Der Benutzername wird vom WLAN-Client an den AP übergeben (während der Authentifizierungsphase). Dieser Benutzername wird in der Access-Request-Nachricht zum RADIUS-Attribute User-Name. Die Nachricht wird vom AP an den RADIUS-Server gesendet, und dieser ist als RADIUS-Proxy konfiguriert. Wenn der RADIUS-Proxy die Nachricht empfängt, dann stellt er über konfigurierte Regeln oder Richtlinien fest, an welchen IAS-Server die Nachricht weitergeleitet werden muss. In Abbildung 2 sehen Sie ein Beispiel für einen solchen Vorgang.
Abbildung 2: Verwendung von IAS-RADIUS-Proxies bei einer gesamtstrukturübergreifenden Authentifizierung
Die nächste Konfiguration ist für Unternehmen gedacht, die über die folgenden Komponenten verfügen:
| • | Active Directory-Domänen |
| • | Mindesten zwei IAS-Server in jeder Gesamtstruktur |
| • | RAS-Richtlinien |
| • | Mindestens zwei IAS-RADIUS-Proxies. |
Um IAS korrekt zu konfigurieren, führen Sie die folgenden Schritte aus:
1. | Konfigurieren Sie die Active Directory-Gesamtstruktur mit den entsprechenden Konten und Gruppen. |
2. | Konfigurieren Sie den primären IAS-Server in der ersten Gesamtstruktur. |
3. | Konfigurieren Sie den sekundären IAS-Server in der ersten Gesamtstruktur. |
4. | Konfigurieren Sie den primären IAS-Server in der zweiten Gesamtstruktur. |
5. | Konfigurieren Sie den sekundären IAS-Server in der zweiten Gesamtstruktur. |
6. | Konfigurieren Sie den primären IAS-RADIUS-Proxy. |
7. | Konfigurieren Sie den sekundären IAS-RADIUS-Proxy. |
8. | Konfigurieren Sie die RADIUS-Authentifizierung auf den APs. |
Unter Windows 2000 unterstützt IAS keine RADIUS-Proxies. Sie können jedoch IAS unter Windows Server 2003 als RADIUS-Proxy konfigurieren. Weitere Informationen hierzu finden Sie unter "Authentifizierung bei mehreren Gesamtstrukturen" im Hilfe- und Supportcenter von Windows Server.
Konfigurieren Sie die Active Directory-Gesamtstruktur mit den entsprechenden Konten und Gruppen
1. | Installieren Sie Windows 2000 SP4 auf allen Windows 2000-Domänencontrollern. |
2. | Stellen Sie sicher, dass alle WLAN-Benutzer über ein entsprechendes Benutzerkonto verfügen. Stellen Sie sicher, dass alle WLAN-Clients über ein entsprechendes Computerkonto verfügen. |
3. | Konfigurieren Sie die Remotezugriffsberechtigungen der Benutzer- und Computerkonten mit den entsprechenden Einstellungen. |
4. | Organisieren Sie die Konten in entsprechenden Gruppen, damit Sie gruppenbasierte RAS-Richtlinien verwenden können. |
Konfigurieren Sie den primären IAS-Server in der ersten Gesamtstruktur
1. | Wenn Sie Windows 2000 nutzen, installieren Sie auf einem Computer in der Gesamtstruktur IAS, und installieren Sie dann Windows 2000 SP4. Wenn Sie Windows Server 2003 nutzen, installieren Sie nur IAS. |
2. | Konfigurieren Sie den IAS-Server so, dass er die Eigenschaften der Benutzerkonten der Domäne lesen kann. |
3. | Wenn der IAS-Server Verbindungen für Benutzerkonten anderer Domänen authentifizieren soll, dann überprüfen Sie, ob die beiden Domänen mit einer bidirektionalen Vertrauensstellung verbunden sind. Konfigurieren Sie den IAS-Server so, dass er die Eigenschaften der Benutzerkonten der anderen Domäne lesen kann. |
4. | Wenn notwendig, aktivieren Sie die Protokollierung der Authentifizierungsereignisse auf dem IAS-Server. |
5. | Fügen Sie die IAS-RADIUS-Proxies auf dem IAS-Server als RADIUS-Clients hinzu. Überprüfen Sie, ob Sie die richtigen Namen oder IP-Adressen und die korrekten geheimen Schlüssel konfiguriert haben. |
6. | Erstellen Sie eine entsprechende RAS-Richtlinie für die Clients. |
Konfigurieren Sie den sekundären IAS-Server in der ersten Gesamtstruktur
1. | Wenn Sie Windows 2000 nutzen, installieren Sie auf einem Computer in der Gesamtstruktur IAS, und installieren Sie dann Windows 2000 SP4. Wenn Sie Windows Server 2003 nutzen, installieren Sie nur IAS. |
2. | Konfigurieren Sie den IAS-Server so, dass er die Eigenschaften der Benutzerkonten der Domäne lesen kann. |
3. | Wenn der IAS-Server Verbindungen für Benutzerkonten anderer Domänen authentifizieren soll, dann überprüfen Sie, ob die beiden Domänen mit einer bidirektionalen Vertrauensstellung verbunden sind. Konfigurieren Sie den IAS-Server so, dass er die Eigenschaften der Benutzerkonten der anderen Domäne lesen kann. |
4. | Kopieren Sie die Konfiguration des primären IAS-Servers auf den sekundären Server. |
Konfigurieren Sie den primären IAS-Server in der zweiten Gesamtstruktur
Gehen Sie genauso wie in der ersten Gesamtstruktur vor.
Konfigurieren Sie den sekundären IAS-Server in der zweiten Gesamtstruktur
Gehen Sie genauso wie in der ersten Gesamtstruktur vor.
Konfigurieren Sie die primären IAS-RADIUS-Proxies
1. | Installieren Sie IAS auf einem Computer unter Windows Server 2003. Dieser Computer muss nicht ausschließlich für die Weiterleitung von RADIUS-Nachrichten zuständig sein. Es kann sich zum Beispiel auch um einen Dateiserver handeln. |
2. | Wenn notwendig, konfigurieren Sie zusätzliche UDP-Ports für die RADIUS-Nachrichten. Standardmäßig verwendet IAS die UDP-Ports 1812, 1813, 1645 und 1646. |
3. | Fügen Sie die APs als RADIUS-Clients zum IAS-RADIUS-Proxy hinzu. Stellen Sie sicher, dass Sie die richtigen IP-Adressen oder Namen und den korrekten geheimen Schlüssel konfiguriert haben. |
4. | Erstellen Sie eine Richtlinie, die RADIUS-Request-Nachrichten mit dem Realmnamen der ersten Gesamtstruktur an die IAS-Server der ersten Gesamtstruktur weiterleitet (deaktivieren Sie die Option, durch die die Realmnamen entfernt werden). Erstellen Sie eine neue Remote-RADIUS-Server-Gruppe mit den beiden IAS-Servern in der ersten Gesamtstruktur. |
5. | Erstellen Sie eine Richtlinie, die RADIUS-Request-Nachrichten mit dem Realmnamen der zweiten Gesamtstruktur an die IAS-Server der zweiten Gesamtstruktur weiterleitet (deaktivieren Sie die Option, durch die die Realmnamen entfernt werden). Erstellen Sie eine neue Remote-RADIUS-Server-Gruppe mit den beiden IAS-Servern in der zweiten Gesamtstruktur. |
6. | Löschen Sie die Standardrichtlinie (Windows-Authentifizierung für alle Benutzer verwenden). |
Konfigurieren Sie die primären IAS-RADIUS-Proxies
1. | Installieren Sie IAS auf einem Computer unter Windows Server 2003. |
2. | Kopieren Sie die Konfiguration des primären IAS-RADIUS-Proxies auf den sekundären Server. |
Konfigurieren Sie die RADIUS-Authentifizierung auf den APs
1. | Geben Sie die IP-Adresse oder den Namen des primären RADIUS-Servers, den geheimen Schlüssel und die UDP-Ports an. |
2. | Geben Sie die IP-Adresse oder den Namen des sekundären RADIUS-Servers, den geheimen Schlüssel und die UDP-Ports an. |
Um die Last auf die beiden IAS-RADIUS-Proxies zu verteilen, konfigurieren Sie die Hälfte der APs mit dem primären IAS-RADIUS-Proxies als primären RADIUS-Server und mit dem sekundären IAS-RADIUS-Proxies als sekundären RADIUS-Server. Die andere Hälfte konfigurieren Sie genau andersrum. Weitere Informationen finden Sie in der Dokumentation Ihres APs. Informationen zu APs von Enterasys finden Sie unter http://www.enterasys.com/. Informationen zu Cisco-Produkten gibt es unter http://www.cisco.com/, und Informationen zu APs von Agere Systems finden Sie unter http://www.orinocowireless.com/.
Wenn VSAs (Vendor Specific Attributes) für den AP erforderlich sind, dann müssen Sie die VSAs zu den RAS-Richtlinien der IAS-Server hinzufügen. Weitere Informationen hierzu finden Sie unter "Konfigurieren von herstellerspezifischen Attributen in einer RAS-Richtlinie".
Skalierung mit RADIUS-Proxies
Wenn eine Authentifizierung für eine große Anzahl von WLAN-Clients über EAP-TLS und Zertifikate durchgeführt werden muss, dann kann dies zu recht umfangreichem Netzwerkverkehr führen. In großen Umgebungen ist es am besten, die Last auf mehrere IAS-Server zu verteilen.
Da Sie sich nicht darauf verlassen können, dass die APs ihre Authentifizierungsanfragen auf alle IAS-Server verteilen, müssen Sie IAS-RADIUS-Proxies einsetzen.
Die nachfolgend beschriebene Konfiguration ist für Unternehmen gedacht, die die folgenden Komponenten einsetzen:
| • | Active Directory-Domänen |
| • | Mehrere IAS-Server in jeder Gesamtstruktur |
| • | RAS-Richtlinien |
| • | Mindestens zwei IAS-RADIUS-Proxies. |
In Abbildung 3 sehen Sie eine Lastverteilung durch IAS-RADIUS-Proxies.
Abbildung 3: Lastverteilung durch IAS-RADIUS-Proxies
Um IAS korrekt zu konfigurieren, führen Sie die folgenden Schritte aus:
1. | Konfigurieren Sie die Active Directory-Gesamtstruktur mit den entsprechenden Konten und Gruppen. |
2. | Konfigurieren Sie IAS auf mehreren Computern als RADIUS-Server. |
3. | Konfigurieren Sie den primären IAS-RADIUS-Proxy. |
4. | Konfigurieren Sie den sekundären IAS-RADIUS-Proxy. |
5. | Konfigurieren Sie die RADIUS-Authentifizierung auf den APs. |
Unter Windows 2000 unterstützt IAS keine RADIUS-Proxies. Sie können jedoch IAS unter Windows Server 2003 als RADIUS-Proxy konfigurieren. Weitere Informationen hierzu finden Sie unter "Lastverteilung mit IAS-Proxies" im Hilfe- und Supportcenter von Windows Server 2003.
Konfigurieren Sie die Active Directory-Gesamtstruktur mit den entsprechenden Konten und Gruppen
1. | Installieren Sie Windows 2000 SP4 auf allen Windows 2000-Domänencontrollern. |
2. | Stellen Sie sicher, dass alle WLAN-Benutzer über ein entsprechendes Benutzerkonto verfügen. Stellen Sie sicher, dass alle WLAN-Clients über ein entsprechendes Computerkonto verfügen. |
3. | Konfigurieren Sie die Remotezugriffsberechtigungen der Benutzer- und Computerkonten mit den entsprechenden Einstellungen. |
4. | Organisieren Sie die Konten in entsprechenden Gruppen, damit Sie gruppenbasierte RAS-Richtlinien verwenden können. |
Konfigurieren Sie IAS auf mehreren Computern als RADIUS-Server
1. | Wenn Sie Windows 2000 nutzen, installieren Sie IAS und installieren Sie dann Windows 2000 SP4. Wenn Sie Windows Server 2003 nutzen, installieren Sie nur IAS. |
2. | Konfigurieren Sie die IAS-Server so, dass sie die Eigenschaften der Benutzerkonten der Domäne lesen können. |
3. | Wenn notwendig, aktivieren Sie die Protokollierung der Authentifizierungsereignisse auf den IAS-Servern. |
4. | Fügen Sie die IAS-RADIUS-Proxies als RADIUS-Clients hinzu. Überprüfen Sie, ob Sie die richtigen Namen oder IP-Adressen und die korrekten geheimen Schlüssel konfiguriert haben. |
5. | Erstellen Sie eine entsprechende RAS-Richtlinie. |
Konfigurieren Sie den primären IAS-RADIUS-Proxy
1. | Installieren Sie IAS auf einem Computer unter Windows Server 2003. Dieser Computer muss nicht ausschließlich für die Weiterleitung von RADIUS-Nachrichten zuständig sein. Es kann sich zum Beispiel auch um einen Dateiserver handeln. |
2. | Wenn notwendig, konfigurieren Sie zusätzliche UDP-Ports für die RADIUS-Nachrichten. Standardmäßig verwendet IAS die UDP-Ports 1812, 1813, 1645 und 1646. |
3. | Fügen Sie die APs dem IAS-Server als RADIUS-Clients hinzu. Überprüfen Sie, ob Sie die richtigen Namen oder IP-Adressen und die korrekten geheimen Schlüssel konfiguriert haben. |
4. | Erstellen Sie mit dem Assistenten für Remote-RADIUS-Server-Gruppen eine RADIUS-Servergruppe. Nehmen Sie die IAS-RADIUS-Server als Mitglieder in die Gruppe auf. Konfigurieren Sie jedes Gruppenmitglied mit der Priorität 1 und der Gewichtung 50. |
5. | Erstellen Sie eine Richtlinie, die RADIUS-Request-Nachrichten an die IAS-Server weiterleitet, die für den entsprechenden Realmnamen zuständig sind. |
6. | Löschen Sie die Standardrichtlinie (Windows-Authentifizierung für alle Benutzer verwenden). |
Konfigurieren Sie den sekundären IAS-RADIUS-Proxy
1. | Installieren Sie IAS auf einem Computer unter Windows Server 2003. |
2. | Kopieren Sie die Konfiguration des primären IAS-RADIUS-Proxies auf den sekundären Server. |
Konfigurieren Sie die RADIUS-Authentifizierung auf den APs
1. | Geben Sie die IP-Adresse oder den Namen des primären RADIUS-Servers, den geheimen Schlüssel und die UDP-Ports an. |
2. | Geben Sie die IP-Adresse oder den Namen des sekundären RADIUS-Servers, den geheimen Schlüssel und die UDP-Ports an. |
Um die Last auf die beiden IAS-RADIUS-Proxies zu verteilen, konfigurieren Sie die Hälfte der APs mit dem primären IAS-RADIUS-Proxy als primären RADIUS-Server und mit dem sekundären IAS-RADIUS-Proxy als sekundären RADIUS-Server. Die andere Hälfte konfigurieren Sie genau andersrum.
Weitere Informationen finden Sie in der Dokumentation Ihres APs. Informationen zu APs von Enterasys finden Sie unter http://www.enterasys.com/. Informationen zu Cisco-Produkten gibt es unter http://www.cisco.com/, und Informationen zu APs von Agere Systems finden Sie unter http://www.orinocowireless.com/.
Wenn VSAs (Vendor Specific Attributes) für den AP erforderlich sind, dann müssen Sie die VSAs zu den RAS-Richtlinien der IAS-Server hinzufügen. Weitere Informationen hierzu finden Sie unter "Konfigurieren von herstellerspezifischen Attributen in einer RAS-Richtlinie".
Anhang A: Empfehlungen und Best-Practices
Die folgenden Empfehlungen und Best-Practices beziehen sich auf Bereitstellungen in großen Umgebungen.
Sicherheit
Microsoft empfiehlt ihnen, eine der folgenden Kombinationen von Sicherheitstechnologien zu nutzen (die Auflistung ist von der sichersten bis zu unsichersten sortiert):
| • | WPA2 mit EAP-TLS und Benutzer- und Computerzertifikaten |
| • | WPA2 mit PEAP-MS-CHAP v2 und sicheren Benutzerkennwörtern |
| • | WPA mit EAP-TLS und Benutzer- und Computerzertifikaten |
| • | WPA mit PEAP-MS-CHAP v2 und sicheren Benutzerkennwörtern |
Die folgenden Kombinationen von Sicherheitstechnologien sind nicht zu empfehlen (wiederum von der sichersten bis zur unsichersten sortiert). Sie sollten höchstens während des Wechsels zu WPA2 oder einer WPA-basierten Sicherheitskonfiguration eingesetzt werden:
| • | WEP mit 802.1X-Authentifizierung, EAP-TLS und Benutzer- und Computerzertifikaten und einer regelmäßigen Neu-Authentifizierung |
| • | WEP mit 802.1X authentication, PEAP-MS-CHAP v2, regelmäßige Neu-Authentifizierung und starke Kennwörter |
PKI
Informationen zu Best-Practices bezüglich einer PKI finden Sie im Dokument "Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure" unter http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws3pkibp.mspx.
Die folgenden Best-Practices gelten für den Einsatz von Zertifikaten für die Authentifizierung in WLANs:
| • | Automatisches Ausstellen von Computerzertifikaten |
| • | Automatisches Ausstellen von Benutzertifikaten |
| • | Die Zertifikatsüberprüfung kann durch nicht verfügbare oder abgelaufene CRLs fehlschlagen. Entwerfen Sie Ihre PKI so, dass für die CRLs eine Hochverfügbarkeit gegeben ist. Konfigurieren Sie zum Beispiel mehrere CRL-Verteilungspunkte. |
APs
| • | Verwenden Sie APs, die WPA2 oder WPA unterstützen. Wenn Sie APs nutzen müssen, die nur WEP unterstützen, dann stellen Sie sicher, dass diese 802.1X, 128-Bit WEP und Multicast/Global- und Unicast-Sitzungverschlüsselungschlüssel unterstützen. |
| • | Ändern Sie die Standardkonfiguration der APs (zum Beispiel Benutzernamen mit administrativen Rechten usw.) |
| • | Um Übersprechen auf den entsprechenden Frequenzen zu verhindern, sollten überlappende Bereiche durch fünf Kanäle voneinander getrennt sein. |
| • | Wenn Sie Ihre APs über SNMP verwalten, ändern Sie den Standard-Community-Namen. Wenn möglich, verwenden Sie APs, die SNMPv2 unterstützen. |
WLAN-Netzwerkadapter
| • | Verwenden Sie WLAN-Adapter, deren Treiber die automatische Drahtlosnetzwerkkonfiguration von Windows XP unterstützen. |
| • | Verwenden Sie WLAN-Adapter, die WPA2 oder WPA unterstützen. Wenn Sie WLAN-Adapter verwenden müssen, die Nur WEP unterstützen, dann stellen Sie sicher, dass 128-Bit WEP-Schlüssel möglich sind. |
| • | Verwenden Sie WLAN-Adapter, deren Treiber bereits von Windows zur Verfügung gestellt werden oder über Windows Update (http://www.windowsupdate.com) zu erhalten sind. |
| • | Vermeiden Sie die Installation von WLAN-Konfigurationstools, und verwenden Sie die Autokonfiguration von Windows XP. |
Active Directory
Wenn Ihre Domäne im einheitlichen Modus ausgeführt wird und Sie gruppenbasierte RAS-Richtlinien verwenden, dann verwenden Sie universelle Gruppen und globale Gruppen, um die WLAN-Konten in einer Gruppe zusammenzufassen. Konfigurieren Sie die RAS-Berechtigungen für Benutzer- und Computerkonten mit Remotezugriff über RAS-Richtlinien steuern.
| • | Wenn Sie eine Unternehmenszertifizierungsstelle unter Windows 2000 als ausstellende Zertifizierungsstelle verwenden, dann verwenden Sie die Gruppenrichtlinieneinstellungen für die automatische Zertifikatsanforderung. |
RADIUS
| • | Wenn Ihre APs dies unterstützen, verwenden Sie IPSec (Internet Protocol security) und Encapsulating Security Payload (ESP), um den RADIUS-Netzwerkverkehr zu schützen. Wenn möglich, verwenden Sie die 3DES-Verschlüsselung und Zertifikate für die IKE-Hauptmodus-Aushandlung. Weitere Informationen zu IPSec finden Sie auf der Windows Server 2003 IPsec Website unter http://www.microsoft.com/windowsserver2003/technologies/networking/ipsec/default.mspx. |
| • | Den maximalen Schutz des RADIUS-Netzwerkverkehrs erreichen Sie mit geheimen Schlüsseln, die aus mindestens 22 Zeichen mit einer zufälligen Kombination aus Klein- und Großbuchstaben, Zahlen und Sondezeichen bestehen. Wenn möglich, lassen Sie die Schlüssel durch ein entsprechendes Zufallprogramm erstellen. |
| • | Verwenden Sie so viele unterschiedliche geheime Schlüssel wie möglich. Bei vielen APs ist es zum Beispiel leider nur möglich, einen gemeinsamen Schlüssel für den primären und den sekundären RADIUS-Server zu definieren. |
| • | Wenn es verschiedene Kontendatenbanken gibt (zum Beispiel mehrere Active Directory-Gesamtstruktur oder -Domänen ohne bidirektionale Vertrauensstellungen), dann müssen Sie einen RADIUS-Proxy zwischen den APs und den RADIUS-Servers einrichten. |
| • | Stellen Sie fest, ob Ihre APs VSAs (Vendor-Specific Attributes) benötigen, und konfigurieren Sie diese wenn nötig. |
Leistung
| • | Überlasten Sie Ihre APs nicht mit zu vielen Clientverbindungen. Die meisten APs können zwar theoretisch mehrere hundert Clients bedienen, aber das praktische Limit liegt normalerweise bei 20 bis 25 Verbindungen. Mit durchschnittlichen zwei bis vier Benutzern pro AP erreichen Sie das beste Verhältnis zwischen Leistung und Auslastung der APs. |
| • | Bei einer größeren Dichte senken Sie die Signalstärke der APs und reduzieren so den Abdeckungsbereich. So können Sie mehr APs auf einer bestimmten Fläche unterbringen und steigern daher die Bandbreite. |
Skalierbarkeit
| • | Bei umfangreichem Authentifizierungs-Netzwerkverkehr innerhalb einer Active Directory Gesamtstruktur setzen Sie RADIUS-Proxies unter Windows Server 2003 zwischen den APs und den RADIUS-Servern ein. |
Anhang B: Nur die Computer authentifizieren
Einige Administratoren möchten ausschließlich die Computer authentifizieren. Hierbei muss der Client eine 802.1X-Authentifizierung mit einem AP mithilfe eines Computerzertifikates (bei EAP-TLS) oder mit seinem Kontonamen und seinem Kennwort (bei PEAP-MS-CHAP v2) durchführen. Somit können sich nur die Computer mit dem Netzwerk verbinden, die über ein gültiges Konto verfügen.
Weitere Informationen zur Benutzer- und Computerauthentifizierung finden Sie unter "Windows XP Wireless Deployment Technology and Component Overview" unter http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wificomp.mspx.
Konfiguration der Nur-Computerauthentifizierung über die Drahtlosnetzwerk (IEEE 802.11)-Richtlinien-Gruppenrichtlinieneinstellungen
Wählen Sie für das entsprechende WLAN auf der Registerkarte IEEE 802.1x die Option Nur Computer aus.
Abbildung 4: Nur-Computerauthentifizierung über die Drahtlosnetzwerk (IEEE 802.11)-Richtlinien-Gruppenrichtlinieneinstellungen
Weitere Informationen zu den Drahtlosnetzwerk (IEEE 802.11) Richtlinien-Gruppenrichtlinieneinstellungen finden Sie unter http://www.microsoft.com/technet/community/columns/cableguy/cg0703.mspx.
Konfiguration der Nur-Computerauthentifizierung über die Registrierung
Konfigurieren Sie auf allen windowsbasierten Clients den folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters\General
\Global\AuthMode=2
Mit dem Wert 2 wird nur der Computer authentifiziert.
Mit den folgenden Tools können Sie die Registrierung bearbeiten:
| • | Regini.exe aus den Windows 2000 Server Resource Kit Tools |
| • | Reg.exe aus den Windows Server 2003 Resource Kit Tools |
Beide Tools müssen im Sicherheitskontext eines lokalen Administratorkontos ausgeführt werden.
Zusammenfassung
Eine sichere WLAN-Authentifizierung ist entweder über EAP-TLS oder PEAP-MS-CHAP v2 möglich. Für EAP-TLS müssen Sie eine PKI bereitstellen, die Computerzertifikate für Ihre IAS-Server und Computer- und Benutzerzertifikate für Ihre WLAN-Clients und -Benutzer ausstellen kann. Bei PEAP-MS-CHAP v2 benötigen Sie nur Computerzertifikate für die IAS-Server - zumindest dann, wenn auf den Clients bereits das entsprechende Zertifikate der Stammzertifizierungsstelle installiert ist. In beiden Fällen müssen Sie die Active Directory Benutzer und -Gruppen entsprechend konfigurieren, die IAS-Server als RADIUS-Server auf den APs einrichten, und die APs als RADIUS-Clients konfigurieren. Außerdem haben Sie die Möglichkeit, auch Besuchern oder Partnern einen Zugriff auf das WLAN zu gestatten, können Drittanbieter-Zertifizierungsstellen nutzen und die gesamtstrukturübergreifende Authentifizierung und die Lastverteilung mit IAS-RADIUS-Proxies verbessern.
Zusätzliche Informationen
| • | Wi-Fi Website: http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx. |
| • | Windows Server 2003-IAS-Website: http://www.microsoft.com/windowsserver2003/technologies/ias/default.mspx. |
| • | Windows 2000 Server-IAS-Website: http://www.microsoft.com/windows2000/technologies/communications/ias/. |
| • | Windows Server 2003-Sicherheitsdienste-Website: http://www.microsoft.com/windowsserver2003/technologies/security/default.mspx |
| • | Windows Server 2003-PKI-Website: http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx |
| • | Windows XP-WLAN-Bereitstellungstechnologien und -Komponenten: http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wificomp.mspx. |
| • | Fehlersuche bei Windows XP-IEEE 802.11 WLANs: http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wifitrbl.mspx. |
| • | Windows 2000 Service Pack 4: http://www.microsoft.com/windows2000/downloads/servicepacks/default.asp |
| • | Wireless Update Rollup Package für Windows XP: http://support.microsoft.com/?id=826942. |
Die aktuellsten Informationen zu Windows XP finden Sie auf der Windows XP-Website unter http://www.microsoft.com/windowsxp.