WLAN登录安全管理

WLAN集成AD凭据管理

如今，在大部分的企业网络中，都使用Active Directory来作为为IT营运的基础建设，因此，对于网管人员来说，为了让身分验证管理机制更有效率，往往会希望尽可能让所有的网络服务都连接于现有网域来进行认证，其中，集成无线局域网络（WLAN）认证的需求更是重要的一环。

RADIUS客户端设置

其实，只要在Active Directory网域中，安装网络政策服务器角色，就可以在其管理界面，展开至“RADIUS客户端及服务器→RADIUS客户端”节点，在“动作”窗格中点击“新增”超链接。在“新增RADIUS客户端”页面中，首先请确认已勾选了“启用此RADIUS客户端”，接着，建议您在“好记的名称”字段中输入无线局域网络基站的厂牌名称，然后输入此基站的IP地址以及点击“验证”按钮来确定可以连接。最后，再设置一组共享密码（手动），关于这组共享密码务必牢记，因为后续将在基站的设置中输入。请切换至“进阶”页面继续。

在“进阶”页面中，请从“厂商名称”下拉选单中选取相对的无线接入点的厂牌，或是直接选择“RADIUS Standard”也是可以的。点击“确定”，回到“RADIUS客户端”节点页面中，看到我们所创建的无线接入点连接设置。

值得注意的是，在这个页面中是可以新增多个不同用途的RADIUS客户端，例如，您可以将VPN等远程连接的服务，加入到同一部RADIUS服务器中来进行验证。若需要修改任一RADIUS客户端设置，只需要针对该项目点击“属性”即可。

设置连接政策

接下来请点击至“政策→连接要求政策”节点下，在选取默认现有的政策项目之后点击“属性”。开启默认的连接政策属性之后，切换到“设置”页面中，点击至“验证方法”页面，将“覆盖网络政策验证设置”、“Microsoft加密验证版”项目以及旗下的“用户在密码到期后可以变更密码”项目选中，在“EAP类型”窗口中只要保留“Microsoft Protected EAP（EAP）”项并且点击“编辑”。

在“设置受保护的EAP属性”页面的“证书发给”下拉选单中，选择本地的服务器证书，将“启用快速重新连接”项选中，点击“确定”即可。

设置无线设备（AP）

完成了网络政策服务器的安装与设置之后，接下来设置无线接入点，在此以一部简易型的AP设备为例。在连接登录此设备的管理页面后，点击至“无线网络→无线网络加密设置”节点页面，选取“WPA/WPA2”项目，在版本中建议您选择“WPA2”，加密方式可以选择“AES”，接着输入RADIUS 服务器的IP地址（也就是网络政策服务器）与前面步骤中所设置好的RADIUS 密码，至于 RADIUS 服务器使用通讯端口,则可以保留默认值即可。

关于WPA与WPA2:WPA全名为 Wi-Fi Protected Access，顾名思义就是一种用以保护无线网络存取的安全标准。WPA2是WPA的第二个版本，它的设计完全符合了IEEE 802.11i无线局域网安全标准，适用于企业的无线局域网络安全管理中。其实,有些设备中（包括Windows 7/Windows Server 2008 R2操作系统）所提到的WPA-Enterprise/WPA2-Enterprise,指的也就是WPA/WPA2。而需要特别为每个使用者设置相同的预先共享密钥（PSK）则称为WPA-Personal或WPA2-Personal，较适用在小公司或SOHO环境。

安装客户端证书

完成了RADIUS服务器（网络政策服务器）与无线局域网络基站的配置之后，接下来我们便可以找一部Windows 7以上版本的计算机，来进行相关连接测试设置，建议您在设置前计算机已经开机登录了Active Directory。

在开启IE浏览器之后，连接至证书服务器网站（例 如 ：https://dc01/certsrv），点击“下载CA证书、证书链结或CRL”超超连接。在“下载CA证书、证书链结或CRL”页面中，点击“下载CA证书”的超链接。紧接着，将文件选择以cer类型保存在任一安全位置即可。在此，笔者将证书文件保存在Windows桌面上，对该文件点击鼠标右键，选择“安装证书”。接着，将会开启证书汇入向导窗口，在“证书存放区”页面中，选取“将所有证书放入以下的存放区”，然后点击“浏览”选至“受信任的跟证书授”。点击“下一步”。

在“完 成证书汇入向导”页面中点击“完成”。

设置无线客户端连接

接下来请开启Windows客户端的“网络和共享中心”页面，点击“管理无线网络”超链接。接着，将会开启“管理使用的无线网络”页面，在此，您将会看见所有曾经连接过的无线局域网设备项目，在找到前面步骤中所设置的RADIUS客户端的无线网络项目之后，针对点击鼠标右键，选择“属性”。在无线网络属性的“安全性”页面，将安全性类型设置为“WPA2-Enterprise”，而加密类型则选“AES”。在“选择网络验证方”字段中选“Microsoft Protected EAP（EAP）”并且点击“设置”。

注意：在“安全性”页面中的“每次登录时都记住我在此连接的认证”选项请务必勾选。

在“受保护的EAP属性”页面中，将“确认服务器证书”勾选，然后在“受信任的根证书授权单位”列表中，找到安装的证书项目并勾选，将“启用快速重新连接”选项勾选之后，点击“设置”按钮。在“EAP MSCHAP属性”页面，将“连接时：自动使用我的Windows登录名称及密码”项勾选即可。

完成上述设置后，赶快试一下您的Windows 7无线局域网络集成Active Directory验证的登录。