无线802.X计算机认证与用户认证WithWindowsIASNPS.PDF

无线802.X 计算机认证与用户认证With Windows IAS （NPS） 版本 1.0 时间 2015 年9 月 支持的版本 Fortios v5.0.x 及以上版本 作者 李威峰 状态 草稿 反馈 support_cn@ 特别的提示 目录 介绍3 认证原理3 组件4 测试拓扑5 计算机身份认证部分5 配置步骤5 FortiAC 配置5 活动目录配置7 IAS(NPS)配置10 测试过程16 1.第一次连接该SSID 时，需要手工点击该SSID 连接。16 2.在FortiAC 上观察，此认证已经通过16 3.抓包分析16 4.认证通过后客户端自动生成的配置18 5.重启Windows ，开机后观察802.1X 计算机认证状态19 计算机机认证与帐号认证相结合应用场景20 配置步骤21 FortiAC 配置21 配置IAS 用户认证22 在IAS 服务器上的访问策略中添加Radius-Att vlan AVP 23 连接该SSID 下的802.1X 客户端认证参数调整24 测试过程25 1.开机，不操作电脑,802.1x 客户端使用计算机身份认证25 2.使用Windows 域帐号登录Windows 域26 总结26 参考文档26 附录26 Fortinet 公司 第 2 页 / 共28 页 介绍 无线802.1X 认证是目前企业办公中最为常见也是最安全的认证方式，在企 业Windows 域环境中，认证凭证往往存储在Windows 活动目录的Database 中， 在有早期的Windows 版本中（XP，WindowsNT,Windows 2000)的环境中，计算机 认证结合用户帐号认证更能够体现价值，即便Windows 支持单点登录的今天，仍 有实用价值。本文详细的介绍计算机认证及用户帐号认证，是一道综合题，所以 请感兴趣的同学仔细阅读。 802.1X 认证有几十认证方式（外层EAP 方法与内层身份认证），由于Windows 大面积使用的原因，其中最为常见的是PEAP-MS-CHAPV2，现将项目中常见的搭 配的总结如下： 内层身份认证方式 外层EAP 方法 帐号或用户数据库类型 备注 PAP TTLS 单向散列系统（大部分的LDAP 目录(Open 第二常见的内层身份验 LDAP )，Unix 密码格式），令牌卡 证方式，可以搭配任何类 型的数据库使用，认证过 程通过TLS 通道进行保护 MS-CHAP-V2 PEAP /TTLS Windows 用户帐号，计算名（ 第一常见的认证方式，认 Windows AD 或任何存储为MD4 散列值方式 证过程通过TLS 通道保护 的数据库） X.509 方式