目前大部分的企業網路均已建置Active Directory作為IT營運的基礎建設,讓網管人員在面對身分驗證管理機制時可以更有效率,盡可能地讓所有的網路服務都連接於現有的網域進行認證,其中整合無線區域網路(WLAN)認證的需求,更是重要的一環。本文將介紹如何將無線區域網路整合Active Directory以進行認證管理。
接下來,如圖5所示在「開始」功能表的【系統管理工具】選單之中點選【網路原則伺服器】選項。
|
▲圖5 開啟網路原則伺服器。 |
圖6所示便是網路原則伺服器的管理介面,展開至「RADIUS用戶端及伺服器」→「RADIUS用戶端」節點下,然後在「動作」窗格中點選「新增」連結。
|
▲圖6 網路原則伺服器介面。 |
如圖7所示,在「新增RADIUS用戶端」頁面中先確認已經勾選「啟用此RADIUS用戶端」,接著在「好記的名稱」欄位內輸入無線區域網路基地台的廠牌名稱,然後輸入此基地台的IP位址並按下〔驗證〕按鈕以確認是否可以連線。
|
▲圖7 新增RADIUS用戶端。 |
最後,再設定一組共用密碼(手動)。這組共用密碼務必牢記,因為後續將在基地台的設定中輸入。然後,切換至〔進階〕活頁標籤內。
在〔進階〕活頁標籤內,從「廠商名稱」下拉選單中選取對應的無線區域網路基地台的廠牌,或是直接選擇【RADIUS Standard】,然後按下〔確定〕按鈕,如圖8所示。
|
▲圖8 進階設定。 |
如圖9所示,接著便可以在「RADIUS用戶端」節點頁面中,看到剛才所建立的無線區域網路基地台連線設定。
|
▲圖9 完成新增RADIUS用戶端。 |
必須注意的是,在這個頁面中可以新增多筆不同用途的RADIUS用戶端,例如可以將VPN等遠端連線的服務,都加入到同一部RADIUS伺服器內進行驗證。若須要修改任一RADIUS用戶端設定,只要針對該項目點選「內容」連結即可。
接下來,如圖10所示點選至「原則」→「連線要求原則」節點下,然後選取預設現有的原則項目,並點選「內容」繼續。
|
▲圖10 連線要求原則。 |
開啟預設的連線要求原則內容後,如圖11所示切換至〔設定〕活頁標籤內,然後點選進入「驗證方法」頁面中,勾選「覆寫網路原則驗證設定」、「Microsoft加密驗證版本2」以及下方的「使用者在密碼到期後可以變更密碼」選項。
|
▲圖11 設定驗證方法。 |
接著,在「EAP類型」窗格中只保留「Microsoft Protected EAP (PEAP)」項目,然後按下〔編輯〕按鈕。
來到「設定受保護的EAP內容」頁面後,在「憑證發給」下拉選單中選擇本機的伺服器憑證,然後勾選「啟用快速重新連線」選項再按下〔確定〕按鈕(圖12)。
|
▲圖12 設定受保護的EAP。 |
設定無線基地台
完成安裝與設定Windows Server 2008 R2網路原則伺服器之後,接下來設定無線區域網路基地台。
以一部簡易型的TP-LINK設備為例,在連線登入此裝置的管理頁面後,如圖13所示點選至「無線網路」→「無線網路加密設定」節點頁面,然後選取其中的「WPA/WPA2」項目,「版本」設定建議選擇「WPA2」,加密方式則選擇「AES」。
|
▲圖13 無線區域網路基地台設定畫面。 |