Wireless Authentication Using Microsoft IAS Server

Autentificare Wireless utilizând Microsoft IAS Server
1. Introducere
Crearea unei reţele wireless (fără fir) ce oferă o siguranţă maximă este un
proces destul de complicat. Dacă reţeaua necesită autentificarea fiecărui utilizator în
parte, ceea ce este recomandat pentru întreprinderile mari şi mijlocii, atunci veţi avea
nevoie de protocoalele AAA (Authentication, Authorization, Accounting).
Autentificarea (Authentication) se referă la procesul de autentificare a
unei identităţi, ce are loc, de obicei, prin furnizarea unui anumit set de dovezi,
cum ar fi un cod de identificare şi acreditările corespunzătoare.
Autorizarea (Authorization) determină dacă identitatea autentificată este
autorizată să efectueze anumite activităţi. Autorizaţia poate fi determinată de o
serie de restricţii, de exemplu, restricţii pe timp de zi.
Audit (Accounting) se referă la urmărirea traficului de reţea de către
utilizatori.
În reţelele wireless din zilele noastre, acestea, sunt caracteristice generale ale
unui RADIUS (Remote Authentication Dial-in User Service) Server.
După ce am stabilit că avem nevoie de un RADIUS Server, următorul pas

constă în căutarea unei soluţii. La moment, există mai multe opţiuni disponibile
pentru consumatorii de toate tipurile, de la soluţii gratuite, cum ar fi FreeRADIUS,
până la soluţii ce necesită procurarea unei licenţe şi o administrare cu mult mai
complicată .
Cu toate acestea, ceea ce mulţi oameni nu îşi dau seama este că ei pot avea
deja un RADIUS Server complet funcţional, uşor de configurat şi cu o licenţă ce nu
necesită costuri adăugătoare. Soluţia este Windows 2003 Server, care implementează
RADIUS Serverul prin IAS (Serviciul de Internet Autentificare) care furnizează
AAA.
Un alt beneficiu care îl oferă Windows Server 2003 este faptul că el suportă
criptarea AES, necesară pentru securizarea datelor transmise, ceea ce nu implică alte
costuri adiţionale pentru crearea reţelei fără fir bazate pe standardul 802.11x.
Beneficiul major care îl oferă Windows 2003 Server este faptul că el poate fi
configurat ca o Autoritate de Certificate. Aceasta înseamnă că el poate fi configurat
pentru a genera certificate, care cresc securitatea reţelei, dar care trebuie să fie în lista
de certificate aprobate ale clientului wireless.
Astfel utilizând funcţiile Windows Server 2003, noi am realizat autentificarea

reciprocă a serverului şi staţiei de lucru (clientului wireless) cu utilizatorul prin
intermediului procesului de autentificare a utilizatorilor pe Domain (cu ajutorul
ferestrei Enter Credentials).
Pagina 1 din 59
2. Procesul de Autentificare
Într-o reţea wireless cu 802.1x, un utilizator sau un calculator (denumit în
continuare client wireless) solicită accesul la un Access Point, pentru a deveni client
al reţelei. Astfel, clientul wireless transmite o cerere de conectare către Access Point.
La primirea cererii, Access Pointul returnează un mesaj prin care cere datele de
indentificare utilizatorului (identităţii). Clientul wireless întoarce datele de identificare
ale utilizatorului, prin intermediul ferestrei de autentificare, care transmite datele,
criptate, spre verificare catre RADIUS Server, care utilizează diferite certificate şi
politici de verificare a identităţii utilizatorului (care este înregistrat în prealabil în
Active Directory). După verificarea identităţii utilizatorului, Serverul returnează un
mesaj prin care anunţă dacă el a autorizat sau nu accesul clientului la reţeaua wireless
şi astfel traficul de reţea poate începe sau nu. Schematic, acest process este ilustrat în
imaginea de mai jos.
3. Hardware-ul şi Software-ul Necesar

Pagina 2 din 59
1. CD-ul cu Windows Server 2003 Entreprise Edition ( licenţiat)
2. Un PC pe care vom instala Windows 2003 Server cu următoarele
caracteristici minime:
• 1 GB RAM
• 40 GB HDD
• Procesor de 2 GHz
• Video Cartelă 256 MB
3. Access Point care suportă tehnologia 802.11x şi tipul de criptare WEP
(AES)
4. Fir de reţea UTP (categoria 5e)
5. Clienţi cu cartelă de reţea wireless care suportă WEP (AES)
6. Aplicaţia Wifi Signal Strength pentru a testa semnalul reţelei Wireless.
Pagina 3 din 59
4. Instalare Windows Server 2003

Înainte de a introduce cd-ul în unitatea optică, verificaţi dacă în BIOS la Boot
Device Priority prima este setată unitatea optică (CD) apoi unitatea de disc (HDD).
După ce aţi introdus cd-ul cu sistemul de operare Windows Server 2003

Entreprise Edition va începe procesul de instalare.
Pagina 4 din 59
Tastaţi Enter.
Tastaţi F8.
Tastaţi C pentru a crea o partiţie nouă.
Pagina 5 din 59
Tastaţi Enter pentru a crea partiţia nouă.
Setaţi mărimea partiţiei. Însăşi sistemul de operare ocupă 3 GB însă pentru a vă

asigura alocaţi minimum 10-20 GB. Apoi tastaţi Enter.
Pagina 6 din 59
După ce aţi creat partiţia, trebuie să o formataţi. Alegeţi tipul de formatare

NTFS. Tastaţi Enter şi apoi va începe procesul de formatare.
Pagina 7 din 59
După ce s-a formatat partiţia şi s-au copiat fişierele pentru instalare, se va face
un restart al calculatorului şi va începe instalarea sistemului de operare propriu-zis .
Pagina 8 din 59
Tastaţi Next pentru a seta opţiunile.
Introduceţi key-ul şi apăsaţi Next.
Pagina 9 din 59
Selectaţi Per Server şi tastaţi Next.
Setaţi numele calculatorului şi parola administratorului, apoi tastaţi Next.
Pagina 10 din 59
Setaţi data şi timpul, apoi tastaţi Next.
Instalarea a luat sfîrşit. Este necesar de a descărca toate update-urile de pe site-

ul official pentru a evita ulterioare erori în procesul de configurare al Serverului.
Pagina 11 din 59
5. Configurare Windows Server 2003
După instalare, la pornirea sistemului de operare Windows Server 2003 se

deschide fereastra Manage your Server. Ea poate fi deschisă şi din meniul Start ->
Manage Your Server. Alegeţi Add or remove a role.
Va apărea urmatoarea fereastră în caz că nu aveţi un cablu de reţea conectat la

calculator sau setările conexiunilor de reţea sunt incorecte. Selectaţi Continue şi mai
târziu faceţi schimbările necesare legate de reţea.
Pagina 12 din 59
Selectaţi Custom Configuration şi tastaţi Next.
Selectaţi Domain Controller şi alegeţi Next.
Pagina 13 din 59
Selectaţi Next.
Selectaţi Next.
Pagina 14 din 59
Selectaţi Domain Controller for a new domain, apoi Next.
Selectaţi Domain in a new Forest. Tastaţi Next.
Pagina 15 din 59
Pentru a configura DNS selectaţi opţiunea a II-a.
Scrieţi DNS Name. În cazul nostru am ales wificfbc.com .
Pagina 16 din 59
Selectaţi Netbios Name.
Alegeţi locaţia pentru stocarea bazei de date din Active Directory. Selectaţi
Next.
Pagina 17 din 59
Selectaţi locaţia pentru mapa SYSVOL. Selectaţi Next.
Selectaţi Next.
Pagina 18 din 59
Setaţi parola. Selectaţi Next.
Aici sunt afişate toate configurările pentru Active Directory, dacă sunteţi de
acord selectaţi Next, însă dacă doriţi să modificaţi ceva, selectaţi Back.
Pagina 19 din 59
Introduceţi CD-ul nr. 1 cu sistemul de operare Windows Server 2003.
Pagina 20 din 59
Selectaţi Proprieties.
Trebuie să configuraţi adresele IP apoi tastaţi OK.
Pagina 21 din 59
Selectaţi Finish.
Pagina 22 din 59
Selectaţi Restart Now.
După restartare va apărea urmatoarea fereastra, după care trebuie să selectaţi

Finish.
Acum Serverul are rolul de DNS şi Domain Controller.
Pagina 23 din 59
Pentru a instala Autoritatea de certificate şi IAS, intraţi în Control Panel->

Add remove Programs-> Add remove Windows Components.
Selectaţi Certificate Services, Network Services → details->Internet

Authentication Service. Selectaţi Next.
Pagina 24 din 59
Pagina 25 din 59
Daţi numele certificatului. Selectaţi valadilitatea lui.
Pagina 26 din 59
Bifaţi Store configuration information in a shared folder, apoi alegeţi

locaţia pentru a salva certificatul. Din această mapă trebuie să selectaţi apoi
certificatul şi să-l importaţi pe calculatorul clienţilor. (Vedeţi Configurare Client).
Selectaţi Next.
Odată ce aveţi certificatul instalat, este timpul de a configura Clientul Radius.

Acum faceţi următorii paşi -> Start, Programs, Administrative Tools, Internet
Authentication Service.
Pagina 27 din 59
Faceţi click dreapta şi selectaţi New RADIUS Client.
Pagina 28 din 59
Introduceţi Friendly name şi IP adresa a acces pointului. Apoi selectaţi Next.
Selectaţi RADIUS Standard din lista Client-Vendor. Setaţi parola (care

trebuie să coincidă şi pe Acces Point) şi apoi cofirmaţi-o. Bifaţi următorul mesaj
<Request must contain the Message Authenticator attribute>. Selectaţi Finish.
Pagina 29 din 59
Tastaţi Remote Access Logging şi faceţi dublu click la Local File.
Bifaţi următoarele opţiuni din fereastra deschisă şi tastaţi OK.
Pagina 30 din 59
Dacă alegeţi Log File puteţi face schimbările necesare legate de stocarea de
date a logărilor.
Tastaţi click dreapta pe Remote Access Policies şi selectaţi New Remote

Access Policy.
Pagina 31 din 59
Selectaţi Next.
Selectaţi Next. Selectaţi primul rînd, şi introduceţi Policy name apoi selectaţi
Next.
Selectaţi Wireless şi apoi selectaţi Next.
Pagina 32 din 59
Selectaţi User apoi selectaţi Next.
Pagina 33 din 59
Selectaţi EAP type 'Protected EAP (PEAP)'.
Faceţi click pe Configure.
Asiguraţi-vă că aţi ales certificatul corect. Bifaţi Enable Fast Reconnect. Selectaţi
the Eap Type 'Secured password (EAP-MSCHAPv2)' şi tastaţi Edit. Ajustaţi
opţiunele dorite.
Pagina 34 din 59
Tastaţi OK, OK, Next, Finish.
După ce aţi făcut toate configurăriel necesare, faceţi click dreapta pe IAS, selectaţi
Register Server in Active Directory.
La acest punct Radius Serverul este setat şi este gata să accepte cererile pentru
conexiune.
Pagina 35 din 59
6. Crearea unui utilizator în Active Directory

Pentru a crea un utilizator în Active Directory veţi deschide aplicaţia Active
Directory Users and Computers, urmând calea Start>Administrative Tools>
Active Directory Users and Computers.
Următorul pas este indicat în imaginea de mai jos:
Pagina 36 din 59
În fereastra care a apărut veţi indica datele despre utilizator, îi veţi defini un
nume de utilizator, apoi veţi tasta Next.
În următoarea fereastră veţi indica parola, şi veţi scoate toate bifele de pe

selecţii, continuând procesul cu Next:
Pagina 37 din 59
Procesul de creare va fi încheiat prin apăsarea butonului Finish.
Pentru a-i garanta utilizatorului dreptul de a intra în reţea, veţi efectua următorii
paşi:
[nume utilizator]>Properties>Dial-In>Allow access>OK
Pagina 38 din 59
Pagina 39 din 59
7. Configurarea Access Point-ului

Access point-ul folosit în această lucrare este Linksys WRT150N Home
Router. Pentru a-l configura, el trebuie resetat, apoi trebuie conectat la calculator prin
cablu cross-over. Configurările AP-ului se fac prin intermediului browserului web.
Adresa IP de bază a AP-ului, după resetare, este 192.168.1.1 (pentru AP-ul folosit în
cazul nsotru), iar numele de utilizator ‘admin’ şi parola ‘admin’. Ele pot fi
modificate mai târziu, la dorinţă, dacă doriţi o securitatea mai mare a reţelei. În
fereastra Basic setup veţi efectua următoarele modificări (conturate):
Următorul pas va fi setarea numelui reţelei (SSID), în fereastra Wireless-

>Basic Wireless Settings:
Pagina 40 din 59
După ce aţi setat SSID-ul veţi indica tipurile de securitate şi criptare, apoi şi
adresa IP a serverului RADIUS, în fereastra Wireless>Wireless security:
După ce au fost indicate toate modificările, ele vor fi salvate apăsând butonul
Save Settings. Access Point-ul este pregătit pentru a primi cererile de conectare la
reţea.
8. Configurare Client
Pagina 41 din 59
Windows Seven
Pentru a avea acces la reţea utilizatorul trebuie să instaleze certificatul eliberat

de server (mapa în care se află o vedeţi în secţiunea Configurare Windows) pe
calculatorul propriu. Copiaţi certificatul pe un CD sau un Flash Usb şi apoi îl instalaţi.
Acest lucru se face în felul următor:
Bifaţi mapa Trusted Root Certification Authorities apoi alegeţi OK pentru ca

certificatul să devină vizibil în lista de certificate aprobate de către client. Apoi
alegeţi opţiunile indicate şi Next.
Pagina 42 din 59
Procesul va fi încheiat apăsând butonul Finish.
Pagina 43 din 59
După ce reţeaua a fost adăugată în lista de reţele (lucru ce variază foarte mult la
diferite sisteme de operare), în fereastra properties se vor aplica următoarele setări.
În caz că reţeaua nu a fost adăugată în mod automat, ea poate fi adăugată şi
manual.
Pagina 44 din 59
După ce am instalat certificatul şi am configurat setările clientului, ne putem

conecta la reţea:
Pagina 45 din 59
În ferestra de autentificare trebuie să introduceţi numele de utilizator

(formatul- nume@DNS name) şi parola Dvs.
În final, iată rezultatul:
Pagina 46 din 59
Windows Xp
Instalaţi certificatul făcând double click pe certificatul importat. Apoi click pe

Install Certificate.
Pagina 47 din 59
Tastaţi Next.
În următoarea fereastră alegeţi Place all certificates in the following store,
apoi click pe browse.
Pagina 48 din 59
În următoarea fereasrtă care va aparea selectaţi Trusted Root Certification

Authorities.
Faceţi click pe OK.

Apoi alegeţi Next.
Pagina 49 din 59
Alegeţi Finish.
Certificatul a fost instalat cu succes. Alegeţi OK.
Pagina 50 din 59
Acum dupa ce aţi instalat certificatul, urmează să configuraţi cartela de reţea

wireless.
Înainte de a începe configurarea asiguraţi-vă că cartela de reţea e pornită.
Alegeţi Refresh pentru a identifica reţeaua wifi, apoi alegeţi Change advanced
settings.
În următoarea fereastră selectaţi Wireless Networks. Apoi alegeţi Properties.
Pagina 51 din 59
Selectaţi la Network Authentication - WPA şi la Data encryption - AES.
Pagina 52 din 59
Selectaţi Authentication şi setaţi Protected EAP (PEAP), apoi alegeţi

Properties.
În următoarea fereastră bifaţi certificatul care l-aţi instalat anterior.
Pagina 53 din 59
Selectaţi Configure. Debifaţi opţiunea Automatically use my Windows logon

name and password (and domain if any). Selectaţi OK.
Acum după ce aţi terminat de configurat selectaţi OK pentru a se salva setările

făcute.
Pagina 54 din 59
Pentru a vă conecta la reţea, selectaţi Connect.
Faceţi click pe mesajul ce va apărea.
Pagina 55 din 59
Introduceţi numele de utilizator şi parola, apoi alegeţi OK.
Pagina 56 din 59
Acum sunteţi conectat la reţeaua wireless.
Pagina 57 din 59
Linux Ubuntu 10.04.
Porniţi cartela de reţea wireless., apoi mergeţi la System->Preferences-

>Network Connections. În următoarea fereastră selectaţi Wireless, apoi alegeţi Edit.
Selectaţi Wireless Security şi configuraţi conform imaginii de mai jos. La CA

certificate: indicaţi calea către certificat. Apoi selectaţi Apply.
Pagina 58 din 59
În secţiunea IPv4 Settings selectaţi Automatic DHCP.
Acum sunteţi conectat la reţeaua wireless.
Pagina 59 din 59

Wireless Authentication Using Microsoft IAS Server

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Wireless Authentication Using Microsoft IAS Server

Încărcat de

Drepturi de autor:

Formate disponibile

Autentificare Wireless utilizând Microsoft IAS Server

După ce am stabilit că avem nevoie de un RADIUS Server, următorul pas

Astfel utilizând funcţiile Windows Server 2003, noi am realizat autentificarea

3. Hardware-ul şi Software-ul Necesar

1. CD-ul cu Windows Server 2003 Entreprise Edition ( licenţiat)

2. Un PC pe care vom instala Windows 2003 Server cu următoarele

3. Access Point care suportă tehnologia 802.11x şi tipul de criptare WEP

4. Fir de reţea UTP (categoria 5e)

5. Clienţi cu cartelă de reţea wireless care suportă WEP (AES)

6. Aplicaţia Wifi Signal Strength pentru a testa semnalul reţelei Wireless.

4. Instalare Windows Server 2003

După ce aţi introdus cd-ul cu sistemul de operare Windows Server 2003

Tastaţi C pentru a crea o partiţie nouă.

Tastaţi Enter pentru a crea partiţia nouă.

Setaţi mărimea partiţiei. Însăşi sistemul de operare ocupă 3 GB însă pentru a vă

După ce aţi creat partiţia, trebuie să o formataţi. Alegeţi tipul de formatare

Introduceţi key-ul şi apăsaţi Next.

Setaţi numele calculatorului şi parola administratorului, apoi tastaţi Next.

Setaţi data şi timpul, apoi tastaţi Next.

Instalarea a luat sfîrşit. Este necesar de a descărca toate update-urile de pe site-

După instalare, la pornirea sistemului de operare Windows Server 2003 se

Va apărea urmatoarea fereastră în caz că nu aveţi un cablu de reţea conectat la

Selectaţi Custom Configuration şi tastaţi Next.

Selectaţi Domain Controller şi alegeţi Next.

Selectaţi Domain Controller for a new domain, apoi Next.

Selectaţi Domain in a new Forest. Tastaţi Next.

Scrieţi DNS Name. În cazul nostru am ales wificfbc.com .

Introduceţi CD-ul nr. 1 cu sistemul de operare Windows Server 2003.

Trebuie să configuraţi adresele IP apoi tastaţi OK.

Selectaţi Restart Now.

După restartare va apărea urmatoarea fereastra, după care trebuie să selectaţi

Acum Serverul are rolul de DNS şi Domain Controller.

Pentru a instala Autoritatea de certificate şi IAS, intraţi în Control Panel->

Selectaţi Certificate Services, Network Services → details->Internet

Daţi numele certificatului. Selectaţi valadilitatea lui.

Bifaţi Store configuration information in a shared folder, apoi alegeţi

Odată ce aveţi certificatul instalat, este timpul de a configura Clientul Radius.

Faceţi click dreapta şi selectaţi New RADIUS Client.

Introduceţi Friendly name şi IP adresa a acces pointului. Apoi selectaţi Next.

Selectaţi RADIUS Standard din lista Client-Vendor. Setaţi parola (care

Bifaţi următoarele opţiuni din fereastra deschisă şi tastaţi OK.

Tastaţi click dreapta pe Remote Access Policies şi selectaţi New Remote

Selectaţi Wireless şi apoi selectaţi Next.

Selectaţi User apoi selectaţi Next.

Selectaţi EAP type 'Protected EAP (PEAP)'.

Faceţi click pe Configure.

Tastaţi OK, OK, Next, Finish.

6. Crearea unui utilizator în Active Directory

Următorul pas este indicat în imaginea de mai jos:

În următoarea fereastră veţi indica parola, şi veţi scoate toate bifele de pe

[nume utilizator]>Properties>Dial-In>Allow access>OK

7. Configurarea Access Point-ului

Următorul pas va fi setarea numelui reţelei (SSID), în fereastra Wireless-

Pentru a avea acces la reţea utilizatorul trebuie să instaleze certificatul eliberat

Bifaţi mapa Trusted Root Certification Authorities apoi alegeţi OK pentru ca

Procesul va fi încheiat apăsând butonul Finish.

După ce am instalat certificatul şi am configurat setările clientului, ne putem

În ferestra de autentificare trebuie să introduceţi numele de utilizator

Instalaţi certificatul făcând double click pe certificatul importat. Apoi click pe

În următoarea fereasrtă care va aparea selectaţi Trusted Root Certification

Faceţi click pe OK.

Acum dupa ce aţi instalat certificatul, urmează să configuraţi cartela de reţea

În următoarea fereastră selectaţi Wireless Networks. Apoi alegeţi Properties.