SBS 2003 med RADIUS WLAN
I første utgave av denne artikkelen ble dessverre GPO’et for deployering og autoenrollment av maskinsertifikater utelatt. Det er derfor nødvendig å rette opp i dette.
Vi som jobber med SBS 2003 har som kjent mulighet til å konfigurere det trådløse nettverket helt ferdig på serveren, slik at vi ikke behøver å gjøre noe på PC’ene manuelt. I det følgende beskriver jeg hvordan dette kan gjøres, dels basert på MS SBS Accelerator – dels eget opplegg. På SBS 2003 benytter vi i dette scenarioet maskinsertifikater og 802.1x/RADIUS autentisering, i kombinasjon med dynamisk WEP. Alt styrt med GPO, IAS, RRAS, og Certificate Services. Man trenger også 802.1x/ RADIUS-kompatible aksesspunkt(er), som vil være RADIUS klient(er) for IAS på SBS 2003. Eksempel på et helt greit AP for en liten bedrift er 3com RGPOE10075, som heller ikke er særlig kostbart. Dette aksesspunktet kan også ta i mot strøm via ethernet-kabelen, og forenkler absolutt plasseringen i forhold til både estetiske og dekningsmessige behov. Dog er det dessverre slik at de aller fleste produsentene av trådløse aksesspunkter i dag heller prioriterer å levere støtte for WPA Enterprise enn dynamisk WEP, noe som gjør at overgangen til et svært sikrere og mer letthåndterlig trådløst nettverk (enn statisk WEP) kan bli en kostbar affære. Jeg kan derfor bare anbefale bruk av 3com RGPOE10075 for denne spesielle løsningen - selv om det sikkert finnes andre relevante produkter i markedet. Tips mottas for øvrig med takk.
Et spørsmål omkring bruk av løsningen med ISA har dukket opp. Dette trådløse nettverket har jeg pr i dag bare testet med SBS2003 Standard, uten ISA Server.
Dersom du har et RADIUS-kompatibelt aksesspunkt som kan brukes med dynamisk WEP, SBS 2003 med SP1, og ønsker en bedre løsning for dine trådløse nettverk – er det egentlig bare å brette opp ermene og gå i gang med prosedyren.
Generelt om denne løsningen:
§ 802.1x autentisering med RADIUS og EAP-TLS
§ Maskinsertifikater (PKI)
§ Dynamisk WEP-kryptering
§ Konfigurasjon med Active Directory og Windows Wireless Auto Configuration
§ Kan bare benyttes på/med:
o Nettverkskort som støtter Windows Wireless Auto Configuration (de fleste)
o Maskiner som er medlem av Active Directory domenet
o Maskiner med et gyldig PKI-sertifikat installert, utstedt av Active Directory CA
Det forutsettes at SBS 2003 er ferdig installert og oppdatert, samt at alle nettverkstjenester og AD fungerer tilfredsstillende.
PROSEDYRE:
§ Installasjon og konfigurasjon av Internet Authentication Service (IAS)
§ Installasjon og konfigurasjon av Certification Authority (CA)
§ Konfigurasjon av Routing and Remote Access Service (RRAS)
§ Opprettelse og konfigurasjon av GPO for trådløst nett
§ Opprettelse og konfigurasjon av GPO for autorullering av maskinsertifikater
§ Montering og konfigurasjon av RADIUS kompatible aksesspunkter
Internet Authentication Service (IAS)
1) Gå til Control Panel\Add/Remove Programs\Windows Components.
a) Velg Networking Services\Details.
b) Velg Internet Authentication Service, klikk Ok og Next.
c) Ha Windows CD klar (evt i386).
d) Etter IAS er installert klikkes Finish og Close.
2) Åpne et kommandovindu og kjør netsh ras add registeredserver. Dette sørger for at
IAS serveren blir plassert i riktig AD-sikkerhetsgruppe.
3) Følgende policy’er blir automatisk installert og konfigurert sammen med IAS:
a) Policy’er, i rekkefølge:
i) Connections to Microsoft Routing and Remote Access server policy
ii) Connections to other access servers
b) Disse policy’ene skal ligge som hhv nest-sist og sist i rekkefølgen av remote access policies.
Certification Authority (CA)
IAS krever et server sertifikat for EAP-TLS autentisering. Det kan anskaffes et kommersielt sertifikat, eller som i dette tilfellet et sertifikat opprettet fra SBS 2003.
1) Gå til Control Panel\Add/Remove Programs\Windows Components.
a) Velg Networking Services\Details.
b) Velg Certificate Services, en dialog sier at maskinen ikke kan bytte navn
eller flyttes ut og inn av et doméne etter at tjenesten er installert. Klikk Yes og Next.
i) Velg Enterprise Root CA opsjonen.
ii) I Common Name for this CA skrives <firmanavn> CA.
iii) I Validity Period spesifiseres 10 års gyldighetsperiode. Klikk Next.
iv) Godta Default Storage Locations og klikk Next.
v) En dialog sier at Certificate Services must temporarily stop iis. Klikk Yes.
c) Ha Windows CD klar (evt i386). Tjenesten installeres.
d) Etter Certificate Authority er installert klikkes Finish og Close.
CA tildeler automatisk et Domain Controller sertifikat til alle domenekontrollere. IAS benytter dette sertifikatet for EAP-TLS autentisering.
Konfigurasjon av Internet Authentication Service:
1) Åpne Internet Authentication Service console.
a) Høyreklikk Remote Access Policies og velg New Remote Access Policy.
i) Bruk navnet Allow Wireless WEP Access, og velg Typical Policy for a Common Scenario.
ii) Velg Wireless som tilgangsmetode.
iii) Legg til Domain Computers security group til listen over grupper som skal ha trådløse tilgangsrettigheter (spesielle grupper er etter min mening overkill for SMB).
iv) Velg Smart Card or other certificate for EAP Type.
v) Velg Configure og legg så til server-sertifikatet som ble installert for IAS (oftest har domain controller sertifikatet .local endelse). Klikk Ok.
vi) Klikk Next og Finish for å avslutte veiviseren.
2) Sørg for at Allow Wireless WEP Access ligger øverst i listen over Remote Access Policies.
Legg til RADIUS Klientene i Internet Authentication Service:
Man må legge til trådløse aksesspunkter som RADIUS klienter i IAS før de kan konfigureres til å knytte seg til IAS serveren. Gjør følgende i IAS console for hvert AP:
1) Høyreklikk RADIUS Clients mappen og velg New RADIUS Client.
a) Legg inn aksesspunktets friendly name og IP-adresse. Dette må være det samme navnet som gjelder i selve aksesspunktet. Verifiser kontakten med denne IP.
b) Velg RADIUS Standard som client-vendor attribute og legg inn Shared Secret
(22 – 31 tegn) for dette aksesspunktet. Aktiver Request must contain the Message Authenticator attribute.
c) Gjenta prosedyren for hvert AP.
Modifiser Wireless Access Policy Profile Settings:
Her stilles AD til å ignorere user dial-in settings for å unngå problemer med visse typer aksesspunkter. I tillegg må RADIUS-attributtene stilles slik at klientene tvinges til å foreta re-autentisering til gitte intervaller for å sikre at deres WEP-nøkler blir fornyet dynamisk.
Gjør følgende i IAS console:
1) Velg Remote Access Policies og Allow Wireless WEP Access policy'en.
a) Åpne Properties og klikk Edit Profile.
b) I Dial-in Constraints, Minutes clients can be connected (Session-Timeout).
i) Skriv 30 minutter og klikk Apply, WEP-nøkler vil da byttes hver ½ time.
c) I Advanced arkfanen stilles følgende (klikk Add for å få opp attributter):
i) Still Ignore-User-Dialin-Properties attributtet til True
ii) Still Termination-Action attributtet til RADIUS-Request
iii) Service-Type skal være RADIUS Standard og Framed. Klikk Apply
d) I Encryption-arkfanen stilles følgende:
i) Bare Strongest Encryption (MPPE 128 bit) skal være aktivert. Klikk Apply
e) I Authentication-arkfanen sjekkes følgende:
i) Ingen autentiseringsprotokoller i dialogen skal være aktivert
ii) Klikk AEP Methods for å få opp EAP Providers dialogen
(1) Sjekk at kun Smart Card or other certificate er aktivert
(2) Klikk Edit
(a) Sjekk at domain controller sertifikatet er valgt i Smart Card or other Certificate Properties dialogen (<server.domene.local>).
(b) Klikk Ok, Ok, og Apply, deretter Ok, og Ok igjen for å lukke Allow Wireless WEP Access policy’en.
2) (Allow Wireless WEP Access skal til enhver tid være policy nr 1 i rekkefølgen av policy’er.)
3) Lukk dialogboksene og gå ut fra IAS console.
Konfigurasjon av Routing and Remote Access til RADIUS-autentisering
1) Start Routing and Remote Access
a) Høyreklikk <servernavn> (local) og velg Properties
i) Security arkfanen\Authentication Provider
(1) Velg RADIUS Authentication, klikk Configure\Add
(a) Skriv inn <servernavn>
(b) Klikk Change for å legge inn Shared Secret (samme Secret som brukes i AP)
(c) Always use message authenticator → aktivert
(d) Klikk Ok to ganger for å lukke RADIUS Authentication dialogen
ii) Security arkfanen\Authentication Methods
(1) Extensible Authentication Protocol(EAP) → aktivert
(2) (MS-CHAP v2 må også være aktivert dersom du benytter PPTP VPN)
(3) Klikk Ok for å lagre innstillingene
iii) Security arkfanen\Accounting provider:
(1) Velg RADIUS Accounting, klikk Configure\Add
(a) Skriv inn <servernavn>
(b) Klikk Change for å legge inn Shared Secret (samme Secret som brukes i AP)
(c) Klikk Ok to ganger for å lukke RADIUS Accounting dialogen
b) Klikk Ok for å lukke <servernavn>(local) Properties dialogen.
Legge til Brukere (datamaskiner):
Maskinene må være medlem av Domain Computers og ha et maskinsertifikat for å kunne knytte seg til det trådløse nettverket. Sertifikatet får de automatisk vha GPO nr 2 i neste seksjon.
Opprettelse av Group Policy Objects (GPO) for Trådløse Klienter:
Følgende GPO opprettes for å konfigurere trådløst nettverk på brukernes maskiner:
1) Høyreklikk <domenenavn.local>\<Maskin-OU> og velg Create and link a GPO here
a) Navn er <firmanavn> Wireless WEP Policy. Høyreklikk og velg Edit.
b) Konfigurer følgende instillinger:
i) Computer Configuration\Windows Settings\Security Settings\Wireless Network(IEEE 802.11) Policies:
(1) Høyreklikk og velg Create Wireless Network Policy. Bruk veiviseren til å tildele policynavnet: Wireless WEP Policy. Velg Edit Properties og klikk Finish for å avslutte veiviseren.
(2) General, Networks to access: Access point (infrastructure) networks only.
(3) Velg Add i Preferred Networks arkfanen for policy'en Wireless WEP Policy.
(a) Skriv inn nettverksnavnet/SSID f.eks: ”_privat_” for det trådløse nettverket, og
velg følgende avkrysningsbokser:
(i) Network Authentication → Open-system
(ii) Data Encryption → WEP.
(iii) The key is provided automatically → aktivert
(4) Klikk 802.1x arkfanen
(a) Enable network access control using IEEE 802.1x → aktivert
(i) EAPOL-Start message
1. Transmit per IEEE 802.1x
(b) EAP type
(i) Smart Card or other certificate
(c) Klikk Settings for EAP Type
(i) Use a certificate on this computer → aktivert
1. Use simple certificate selection → aktivert
(ii) Validate server certificate → aktivert
(d) Trusted Root Certificate Authorities
(i) <firmanavn> CA → aktivert. Klikk Ok for å lagre innstillingene
(e) Authenticate as computer when computer information is available → aktivert
(i) Computer authentication
1. Computer only
(5) Klikk Ok for å lukke dialogen, klikk deretter General arkfanen
(a) Sørg for at Use Windows to configure wireless network settings for clients er aktivert. Dette bør i de fleste tilfeller sørge for at tredjeparts wlan-styringsverktøy som kan være installert på pc’ene deaktiveres, slik at WZC tar over.
c) Klikk Ok i alle dialoger og lukk Wireless WEP Policy.
Følgende GPO opprettes for å konfigurere automatisk tildeling og rullering av maskinsertifikater:
2) Høyreklikk <domenenavn.local>\<Maskin-OU> og velg Create and link a GPO here
a) Navn er <firmanavn> Client Certificate Policy. Høyreklikk og velg Edit.
b) Konfigurer følgende instillinger:
i) Gå til Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities
(1) Høyreklikk Trusted Root Certification Authorities og velg Import og klikk Next
(2) Klikk Browse og velg <firmanavn CA> sertifikatet som ble opprettet automatisk ved installasjonen av Certification Authority (C:\<servernavn_firmanavn>.crt)
(3) Certificate store: Trusted Root Certification Authorities. Klikk Finish. Sertifikatet skal nå være synlig i Trusted Root Certification Authorities
ii) Gå deretter til Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Automatic Certificate Request Settings
iii) Høyreklikk Automatic Certificate Request Settings og velg New
(1) I Certificate Template velges Computer
(2) Klikk Finish
iv) Gå til Computer Configuration\Windows Settings\Security Settings\Public Key Policies
(1) Høyreklikk Autoenrollment Settings og velg Properties
(a) Renew.. aktivert
(b) Update.. aktivert
Konfigurasjon av Trådløse Aksesspunkter:
Prosedyren for å konfigurere trådløse aksesspunkter varierer avhengig av produkt og modell. Likefullt har leverandører vanligvis instrukser for hvordan man konfigurerer enhetene sine. Gjør følgende basert på instruksene fra leverandøren av det trådløse aksesspunktet:
1) IP-adresse for aksesspunktet: Kontroller at IP-adressen er den samme som ble konfigurert for dette aksesspunktet under konfigurasjonen som RADIUS klient i IAS.
2) 802.1x nettverksinnstillinger: Det bør være en opsjon for å velge EAP-TLS eller MD5/Password. Velg EAP-TLS autentisering.
3) IP-adresse for primær RADIUS autentiseringsserver: Dette er adressen til SBS 2003. RADIUS-porten angis normalt til 1812.
4) RADIUS Accounting port kan angis til 1813 og IP adressen til den primære RADIUS Accounting server: SBS 2003.
5) RADIUS Shared Secret (delt hemmelighet med RADIUS serveren): Kontroller at den samme strengen benyttes i aksesspunktet som for RADIUS klienten i IAS.
I situasjoner hvor flere aksesspunkter benyttes, må hvert aksesspunkt konfigureres med de samme innstillingene. Kontroller at SSID er den samme, men frekvensene vil da være forskjellige for hvert aksesspunkt. Andre ting å huske på er justering av sendestyrke slik at overlappingssonene blir minst mulige, og ikke minst at 11b nett har bedre rekkevidde enn 11g. Avslutningsvis bør man ta med seg en pc rundt i lokalene for å se at roaming fungerer og dekningen er tilfredsstillende. Benytt helst aksesspunkter med autovalg av best tilgjengelige frekvens, samt dual-band opsjon (2,4 GHz og 5 Ghz). Ta også gjerne en tur innom http://www.wi-fi.org/, for å finne frem til sertifisert utstyr iht ønskede kapasiteter.
NB! Aksesspunkt-egenskapene som er nødvendige for akkurat denne designen er: 802.1x autentisering med Microsoft RADIUS og bruk av dynamisk WEP. Det er viktig å verifisere at produktet faktisk kan kjøre denne kombinasjonen før man evt gjør en bestilling.
Baard Schøyen
MCSE NT4+Win2003, Small Business Specialist
http://www.aelia.no/