يصف هذا المستند كيفية تكوين الوصول اللاسلكي الآمن باستخدام وحدات التحكم في الشبكة المحلية اللاسلكية (WLCs) وبرنامج Microsoft Windows 2003 و Cisco Secure Access Control Server (ACS) 4.0 عبر بروتوكول المصادقة المتوسع - أمان طبقة النقل (EAP-TLS).
ملاحظة: للحصول على مزيد من المعلومات حول نشر الاتصال اللاسلكي الآمن، ارجع إلى موقع Microsoft Wi-Fi على الويب ومخطط Cisco SAFE اللاسلكي.
هناك افتراض بأن المثبت لديه معرفة بتثبيت Windows 2003 الأساسي وتثبيت وحدة التحكم من Cisco حيث يغطي هذا المستند التكوينات المحددة فقط لتسهيل الاختبارات.
للحصول على معلومات التثبيت الأولي ومعلومات التكوين لوحدات التحكم من السلسلة Cisco 4400 Series، ارجع إلى دليل البدء السريع: وحدات التحكم في الشبكة المحلية اللاسلكية من السلسلة Cisco 4400 Series. للحصول على معلومات التثبيت الأولي ومعلومات التكوين لوحدات التحكم من السلسلة Cisco 2000 Series، ارجع إلى دليل البدء السريع: سلسلة وحدات التحكم في الشبكة المحلية اللاسلكية Cisco 2000 Series.
قبل البدء، قم بتثبيت Windows Server 2003 باستخدام نظام التشغيل Service Pack (SP)1 على كل خادم في مختبر الاختبار وقم بتحديث جميع حزم الخدمة. قم بتثبيت وحدات التحكم ونقاط الوصول (AP) وتأكد من تكوين آخر تحديثات البرامج.
هام: في الوقت الذي تمت فيه كتابة هذا المستند، يكون SP1 هو آخر تحديث لنظام التشغيل Windows Server 2003، كما أن SP2 المزود بتصحيحات تحديث هو أحدث برنامج لنظام التشغيل Windows XP Professional.
يستخدم Windows Server 2003 المزود بحزمة الخدمة SP1، Enterprise Edition لتكوين التسجيل التلقائي لشهادات المستخدم ومحطة العمل لمصادقة EAP-TLS. وهذا موضح في قسم مصادقة EAP-TLS في هذا المستند. يعمل التسجيل التلقائي للشهادة والتجديد التلقائي على تسهيل نشر الشهادات وتحسين الأمان من خلال إنهاء الشهادات وتجديدها تلقائيا.
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
وحدة التحكم من السلسلة Cisco 2006 أو 4400 Series التي تشغل الإصدار 3.2.116.21
نقطة الوصول Cisco 1131 Lightweight Access Point Protocol (LWAPP) AP
Windows 2003 Enterprise مع تثبيت Internet Information Server (IIS) و Certificate Authority (CA) و DHCP ونظام اسم المجال (DNS)
Windows 2003 Standard مع خادم التحكم في الوصول (ACS)، الإصدار 4.0
Windows XP Professional مع SP (وحزم الخدمة المحدثة) وبطاقة واجهة الشبكة اللاسلكية (NIC) (مع دعم CCX v3) أو طالب من طرف ثالث.
المحول Cisco 3560 Switch
يستخدم هذا المستند إعداد الشبكة التالي:
طبولوجيا المختبرات اللاسلكية الآمنة من Cisco
الغرض الأساسي من هذا المستند هو توفير إجراء مفصل لتنفيذ EAP-TLS تحت شبكات لاسلكية موحدة مع ACS 4.0 و Windows 2003 Enterprise server. ينصب التركيز الرئيسي على التسجيل التلقائي للعميل حتى يتمكن العميل من التسجيل التلقائي ويأخذ الشهادة من الخادم.
ملاحظة: من أجل إضافة Wi-Fi Protected Access (WPA)/WPA2 مع بروتوكول سلامة المفاتيح المؤقتة (TKIP)/معيار التشفير المتقدم (AES) إلى Windows XP Professional مع SP، راجع تحديث عنصر معلومات خدمات الإمداد اللاسلكي (WPS IE) ل Windows XP مع SP2 .
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
DC_CA هو كمبيوتر يعمل بنظام التشغيل Windows Server 2003 المزود بحزمة الخدمة SP1، إصدار Enterprise، ويقوم بأداء الأدوار التالية:
وحدة التحكم بالمجال للمجال اللاسلكي.local domain الذي يشغل IIS
خادم DNS لمجال WirelessDemo.DNS المحلي
خادم DHCP
المرجع المصدق الجذر للمؤسسة للمجال اللاسلكي.local
أكمل الخطوات التالية لتكوين DC_CA لهذه الخدمات:
أكمل الخطوات التالية:
قم بتثبيت Windows Server 2003 باستخدام SP1، Enterprise Edition كخادم مستقل.
قم بتكوين بروتوكول TCP/IP باستخدام عنوان IP الخاص ب 172.16.100.26 وقناع الشبكة الفرعية 255.255.255.0.
أكمل الخطوات التالية:
لبدء معالج تثبيت Active Directory، أختر Start (البدء) > Run، واكتب dcpromo.exe، ثم انقر على موافق.
في صفحة معالج تثبيت Active Directory، انقر فوق التالي.
في صفحة "توافق نظام التشغيل"، انقر فوق التالي.
في صفحة "نوع وحدة التحكم بالمجال"، حدد وحدة التحكم بالمجال لمجال جديد وانقر فوق التالي.
في صفحة إنشاء مجال جديد، حدد مجال في غابة جديدة وانقر التالي.
في صفحة "تثبيت DNS أو تكوينه"، حدد لا، قم فقط بتثبيت DNS وتكوينه على هذا الكمبيوتر وانقر بعد ذلك.
في صفحة "اسم المجال الجديد"، اكتب wirelessdemo.local وانقر على التالي.
في صفحة اسم مجال NetBIOS، أدخل اسم المجال NetBIOS كاسم لاسلكي وانقر بعد ذلك.
في صفحة موقع "مجلدات قاعدة البيانات والسجل"، اقبل الدلائل الافتراضية لمجلدات "قاعدة البيانات" و"السجل" وانقر فوق التالي.
في شاشة وحدة تخزين النظام المشتركة، تحقق من صحة موقع المجلد الافتراضي ثم انقر فوق التالي.
في الصفحة أذون، تحقق من تحديد الأذونات المتوافقة فقط مع أنظمة التشغيل Windows 2000 أو Windows Server 2003 وانقر فوق التالي.
في صفحة كلمة مرور "إستعادة وضع إدارة خدمات الدليل"، أترك مربعات كلمة المرور فارغة وانقر فوق التالي.
راجع المعلومات الموجودة في صفحة الملخص وانقر فوق التالي.
في صفحة إكمال معالج تثبيت Active Directory، انقر فوق إنهاء.
عند المطالبة بإعادة تشغيل الكمبيوتر، انقر فوق إعادة التشغيل الآن.
أكمل الخطوات التالية:
افتح "مجالات Active Directory" واتصال الأدوات الإضافية من مجلد الأدوات الإدارية(ابدأ > أدوات إدارية > مجالات Active Directory والوصايا)، ثم انقر بزر الماوس الأيمن فوق كمبيوتر المجال dc_CA.wirelessdemo.local.
انقر فوق رفع المستوى الوظيفي للمجال، ثم حدد Windows Server 2003 في صفحة رفع المستوى الوظيفي للمجال.
انقر فوق رفع، انقر فوق موافق، ثم انقر فوق موافق مرة أخرى.
أكمل الخطوات التالية:
قم بتثبيت بروتوكول التكوين الديناميكي للمضيف (DHCP) كمكون خدمة شبكة باستخدام إضافة أو إزالة البرامج في لوحة التحكم.
افتح الأداة الإضافية DHCP من مجلد الأدوات الإدارية (ابدأ > برامج > أدوات إدارية > DHCP، ثم قم بإبراز خادم DHCP، dc_CA.wirelessdemo.local.
طقطقت إجراء، وبعد ذلك طقطقت يخول in order to خولت ال DHCP خدمة.
على شجرة وحدة التحكم، انقر بزر الماوس الأيمن فوق dc_ca.wirelessdemo.local، ثم انقر فوق نطاق جديد.
في صفحة الترحيب الخاصة بمعالج "النطاق الجديد"، انقر فوق التالي.
في صفحة اسم النطاق، اكتب CorpNet في حقل الاسم.
انقر فوق التالي وقم بتعبئة هذه المعلمات:
عنوان Start IP— 172.16.100.1
نهاية عنوان IP— 172.16.100.254
الطول — 24
قناع الشبكة الفرعية - 255.255.255.0
طقطقت بعد ذلك وأدخل 172.16.100.1 ل بداية عنوان و 172.16.100.100 ل النهاية عنوان أن يكون استثنيت. ثم انقر فوق التالي. يحجز هذا العنوان في النطاق من 172.16.100.1 إلى 172.16.100.100. لم يتم تخصيص عناوين IP المحجوزة هذه من قبل خادم DHCP.
في صفحة مدة التأجير، انقر فوق التالي.
أخترت على ال configure DHCP خيار، نعم، أنا أريد أن يشكل هذا خيار الآن وطقطقة بعد ذلك.
في صفحة الموجه (البوابة الافتراضية) أضف عنوان الموجه الافتراضي 172.16.100.1 وانقر على التالي.
في صفحة اسم المجال وخوادم DNS، اكتب wirelesdemo.local في حقل المجال الرئيسي، اكتب 172.16.100.26 في حقل عنوان IP، ثم انقر فوق إضافة وانقر فوق التالي.
في الصفحة خوادم WINS، انقر فوق التالي.
في صفحة "تنشيط النطاق"، أختر نعم، أريد تنشيط هذا النطاق الآن وانقر فوق التالي.
في صفحة "معالج إكمال نطاق جديد"، انقر فوق إنهاء.
أكمل الخطوات التالية:
ملاحظة: يجب تثبيت IIS قبل تثبيت "خدمات الشهادات" ويجب أن يكون المستخدم جزءا من "إدارة المؤسسة".
في لوحة التحكم، افتح إضافة أو إزالة برامج، ثم انقر فوق إضافة/إزالة مكونات Windows.
في صفحة معالج مكونات Windows، أختر خدمات الشهادات، ثم انقر فوق التالي.
في صفحة نوع المرجع المصدق، أختر المرجع المصدق الجذر للمؤسسة وانقر بعد ذلك.
في صفحة معلومات تعريف CA، اكتب wirelessdemoca في الاسم العام لمربع CA هذا. يمكنك إدخال التفاصيل الاختيارية الأخرى ثم انقر فوق التالي. قبول الافتراضيات على صفحة إعدادات قاعدة بيانات الشهادات.
انقر فوق Next (التالي). بعد اكتمال التثبيت، انقر فوق إنهاء.
انقر فوق موافق بعد قراءة التحذير حول تثبيت IIS.
أكمل الخطوات التالية:
أختر ابدأ > أدوات إدارية > المرجع المصدق.
انقر بزر الماوس الأيمن فوق WirelessDemoca CA ثم انقر فوق خصائص.
في علامة التبويب "الأمان"، انقر فوق Administrators في قائمة "المجموعة" أو أسماء المستخدمين.
في قائمة الأذون أو المسؤولين ، تحقق من تعيين هذه الخيارات على السماح:
إصدار الشهادات وإدارتها
إدارة CA
طلب الشهادات
إذا تم تعيين أي من هذه إلى رفض أو لم يتم تحديده، قم بتعيين الإذن للسماح.
انقر فوق موافق لإغلاق مربع حوار خصائص المرجع المصدق اللاسلكي، ثم قم بإغلاق مرجع التصديق.
أكمل الخطوات التالية:
ملاحظة: إذا كان الكمبيوتر قد تمت إضافته بالفعل إلى المجال، فقم بالمتابعة لإضافة مستخدمين إلى المجال.
فتح الأداة الإضافية "مستخدمو Active Directory وأجهزة الكمبيوتر".
في شجرة وحدة التحكم، قم بتوسيع WirelessDemo.local.
انقر بزر الماوس الأيمن فوق المستخدمين، ثم انقر فوق جديد، ثم انقر فوق الكمبيوتر.
في شاشة كائن جديد - كمبيوتر، اكتب اسم الكمبيوتر في حقل اسم الكمبيوتر وانقر التالي. يستخدم هذا المثال عميل اسم الكمبيوتر.
في شاشة الإدارة، انقر التالي.
في شاشة كائن-كمبيوتر جديد، انقر إنهاء.
كرر الخطوات من 3 إلى 6 لإنشاء حسابات كمبيوتر إضافية.
أكمل الخطوات التالية:
في شجرة وحدة تحكم مستخدمي Active Directory وأجهزة الكمبيوتر، انقر فوق المجلد أجهزة الكمبيوتر وانقر بزر الماوس الأيمن فوق الكمبيوتر الذي تريد تعيين وصول لاسلكي له. يوضح هذا المثال الإجراء مع عميل الكمبيوتر الذي أضفته في الخطوة 7.
انقر فوق خصائص، ثم انتقل إلى علامة التبويب "الطلب الهاتفي".
أخترت يسمح منفذ وطقطقة ok.
أكمل الخطوات التالية:
في شجرة وحدة تحكم مستخدمي Active Directory وأجهزة الكمبيوتر، انقر بزر الماوس الأيمن فوق المستخدمين، ثم انقر فوق جديد، ثم انقر فوق مستخدم.
في مربع الحوار كائن جديد - مستخدم، اكتب WirelessUser في حقل الاسم الأول، واكتب WirelessUser في حقل اسم تسجيل دخول المستخدم وانقر فوق التالي.
في شاشة كائن جديد - مستخدم، اكتب كلمة مرور من إختيارك في حقول كلمة المرور و قم بتأكيد كلمة المرور. امسح المستخدم يجب أن يغير كلمة المرور في خانة الاختيار التالي لتسجيل الدخول، ثم انقر فوق التالي.
في شاشة كائن جديد - مستخدم، انقر إنهاء.
كرر الخطوات من 2 إلى 4 لإنشاء حسابات مستخدمين إضافية.
أكمل الخطوات التالية:
في شجرة وحدة تحكم مستخدمي Active Directory وأجهزة الكمبيوتر، انقر فوق المجلد Users، وانقر بزر الماوس الأيمن فوق WirelessUser، ثم انقر فوق خصائص، ثم انتقل إلى علامة التبويب Dial-in.
أخترت يسمح منفذ وطقطقة ok.
أكمل الخطوات التالية:
في شجرة وحدة تحكم مستخدمي Active Directory وأجهزة الكمبيوتر، انقر بزر الماوس الأيمن فوق المستخدمين، ثم انقر فوق جديد، ثم انقر فوق مجموعة.
في شاشة كائن جديد - مجموعة، اكتب اسم المجموعة في حقل اسم المجموعة وانقر موافق. يستخدم هذا المستند اسم المجموعة WirelessUsers.
أكمل الخطوات التالية:
في جزء التفاصيل الخاص ب Active Directory Users and Computers، انقر نقرا مزدوجا فوق Group WirelessUsers.
انتقل إلى علامة التبويب "أعضاء" وانقر فوق إضافة.
في شاشة تحديد مستخدمين، جهات اتصال، أجهزة كمبيوتر، أو مجموعات، اكتب اسم المستخدمين الذين تريد إضافتهم إلى المجموعة. يوضح هذا المثال كيفية إضافة المستخدم اللاسلكي إلى المجموعة. وانقر فوق OK.
في شاشة الأسماء المتعددة التي تم العثور عليها، انقر موافق. تتم إضافة حساب مستخدم WirelessUser إلى مجموعة WirelessUsers.
انقر على موافق لحفظ التغييرات في مجموعة WirelessUsers.
كرر هذا الإجراء لإضافة المزيد من المستخدمين إلى المجموعة.
أكمل الخطوات التالية:
كرر الخطوات 1 و 2 في قسم إضافة مستخدمين إلى مجموعة WirelessUsers في هذا المستند
في شاشة تحديد المستخدمين أو جهات الاتصال أو أجهزة الكمبيوتر، اكتب اسم الكمبيوتر الذي تريد إضافته إلى المجموعة. يوضح هذا المثال كيفية إضافة الكمبيوتر المسمى عميل إلى المجموعة.
انقر فوق أنواع الكائن، وقم بإلغاء تحديد خانة الاختيار المستخدمون، ثم حدد أجهزة الكمبيوتر.
طقطقت ok مرتين. تتم إضافة حساب الكمبيوتر العميل إلى مجموعة WirelessUsers.
كرر الإجراء لإضافة المزيد من أجهزة الكمبيوتر إلى المجموعة.
Cisco Secure ACS هو كمبيوتر يعمل بنظام التشغيل Windows Server 2003 المزود بحزمة الخدمة SP1، الإصدار Standard Edition، الذي يوفر مصادقة RADIUS والتخويل لوحدة التحكم. أتمت الإجراء في هذا قسم in order to شكلت ACS ك RADIUS نادل:
أكمل الخطوات التالية:
قم بتثبيت Windows Server 2003 باستخدام SP1، Standard Edition كخادم عضو يسمى ACS في مجال wirelesdemo.local.
ملاحظة: يظهر اسم خادم ACS على هيئة cisco_w2003 في التكوينات المتبقية. إستبدال ACS أو Cisco_w2003 على إعداد المختبر المتبقي.
بالنسبة لاتصال المنطقة المحلية، قم بتكوين بروتوكول TCP/IP باستخدام عنوان IP 172.16.100.26، وقناع الشبكة الفرعية 255.255.255.0، وعنوان IP لخادم DNS ل 127.0.0.1.
ملاحظة: راجع دليل التثبيت ل Cisco Secure ACS 4.0 ل Windows للحصول على مزيد من المعلومات حول كيفية تكوين ACS 4.0 الآمن من Cisco ل Windows.
أكمل الخطوات التالية:
باستخدام حساب مسؤول مجال، قم بتسجيل الدخول إلى الكمبيوتر المسمى ACS إلى ACS الآمن من Cisco.
ملاحظة: يتم دعم عمليات التثبيت التي يتم تنفيذها على الكمبيوتر حيث تقوم بتثبيت ACS الآمن من Cisco. لا يتم إختبار التثبيتات البعيدة التي يتم تنفيذها باستخدام خدمات أو منتجات Windows الطرفية مثل حوسبة الشبكة الظاهرية (VNC) ولا يتم دعمها.
أدخل القرص المضغوط ل Cisco Secure ACS في محرك أقراص مضغوطة على الكمبيوتر.
إذا كان محرك الأقراص المضغوطة يدعم ميزة التشغيل التلقائي ل Windows، يظهر مربع الحوار "مصدر المحتوى الإضافي الآمن من Cisco ل Windows Server".
ملاحظة: في حالة عدم تثبيت حزمة الخدمة المطلوبة على الكمبيوتر، يظهر مربع حوار. يمكن تطبيق حزم خدمة Windows قبل تثبيت Cisco Secure ACS أو بعد تثبيته. يمكنك متابعة التثبيت، ولكن يجب تطبيق حزمة الخدمة المطلوبة بعد اكتمال التثبيت. وإلا، قد لا يعمل مصدر المحتوى الإضافي الآمن من Cisco بشكل موثوق.
قم بتنفيذ واحدة من هذه المهام:
إذا ظهر مربع الحوار "مصدر المحتوى الإضافي الآمن من Cisco" ل Windows Server، فانقر على تثبيت.
إذا لم يظهر مربع الحوار "مصدر المحتوى الإضافي الآمن من Cisco" ل Windows Server، فقم بتشغيل setup.exe، الموجود في الدليل الجذر لقرص ACS الآمن من Cisco.
يعرض مربع الحوار "إعداد ACS الآمن من Cisco" إتفاقية ترخيص البرامج.
اقرأ إتفاقية ترخيص البرامج. إذا قمت بقبول إتفاقية ترخيص البرامج، فانقر فوق قبول.
تعرض شاشة الترحيب المعلومات الأساسية حول برنامج الإعداد.
بعد قراءة المعلومات في شاشة الترحيب، انقر التالي.
تسرد شاشة قبل البدء العناصر التي يجب عليك إكمالها قبل متابعة التثبيت. إذا قمت بإكمال كل العناصر المسرودة في شاشة قبل البدء، حدد المربع المقابل لكل عنصر وانقر التالي.
ملاحظة: إذا لم تكن قد أكملت كافة العناصر المدرجة في المربع قبل البدء، انقر فوق إلغاء الأمر ثم انقر فوق إنهاء الإعداد. بعد أن تقوم بإكمال كل العناصر المدرجة في شاشة قبل البدء، قم بإعادة تشغيل التثبيت.
سوف يظهر مربع الحوار إختيار موقع الوجهة. تحت مجلد الوجهة، يظهر موقع التثبيت. هذا هو محرك الأقراص والمسار حيث يقوم برنامج الإعداد بتثبيت ACS الآمن من Cisco.
إذا أردت تغيير موقع التثبيت، أكمل الخطوات التالية:
انقر على إستعراض. سوف يظهر مربع الحوار إختيار مجلد. يحتوي مربع المسار على موقع التثبيت.
تغيير موقع التثبيت. يمكنك إما كتابة الموقع الجديد في مربع المسار أو إستخدام قوائم محركات الأقراص والدلائل لتحديد محرك أقراص ودليل جديدين. يجب أن يكون موقع التثبيت على محرك أقراص محلي للكمبيوتر.
ملاحظة: لا تقم بتحديد مسار يحتوي على حرف نسبة مئوية، "٪". إذا قمت بذلك، قد يظهر التثبيت للمتابعة بشكل صحيح لكنه يفشل قبل اكتماله.
وانقر فوق OK.
ملاحظة: إذا قمت بتحديد مجلد غير موجود، فإن برنامج الإعداد يعرض مربع حوار لتأكيد إنشاء المجلد. للمتابعة، انقر فوق نعم.
في شاشة إختيار موقع الوجهة، يظهر موقع التثبيت الجديد تحت مجلد الوجهة.
انقر فوق Next (التالي).
يسرد مربع حوار تكوين قاعدة بيانات المصادقة خيارات مصادقة المستخدمين. يمكنك المصادقة مع قاعدة بيانات المستخدم الآمن من Cisco فقط، أو أيضا مع قاعدة بيانات مستخدم Windows.
ملاحظة: بعد تثبيت Cisco Secure ACS، يمكنك تكوين دعم المصادقة لجميع أنواع قواعد بيانات المستخدم الخارجي بالإضافة إلى قواعد بيانات مستخدمي Windows.
إن يريد أنت أن يصادق مستعمل مع ال cisco يأمن قاعدة معطيات فقط، يختار ال cisco يأمن قاعدة معطيات خيار فقط.
إذا كنت ترغب في مصادقة المستخدمين باستخدام قاعدة بيانات مستخدم "إدارة الوصول إلى الأمان ل Windows" (SAM) أو قاعدة بيانات مستخدم Active Directory بالإضافة إلى قاعدة بيانات المستخدم الآمنة من Cisco، أكمل الخطوات التالية:
أخترت أيضا فحصت ال Windows مستعمل قاعدة معطيات خيار.
يصبح خانة الاختيار نعم، ارجع إلى خانة الاختيار منح إذن الطلب للمستخدم" متوفرة.
ملاحظة: ينطبق خانة الاختيار نعم، ارجع إلى خانة الاختيار "منح إذن للمستخدم من خلال الطلب" على جميع أشكال الوصول التي يتم التحكم فيها بواسطة ACS الآمن من Cisco، وليس فقط الوصول إلى الطلب الهاتفي. على سبيل المثال، لا يتصل المستخدم الذي يصل إلى الشبكة من خلال نفق VPN بخادم وصول إلى الشبكة. ومع ذلك، إذا تم تحديد نعم، ارجع إلى مربع الإعداد منح إذن إلى المستخدم"، فإن مصدر المحتوى الإضافي الآمن من Cisco يطبق أذونات طلب اتصال مستخدم Windows لتحديد ما إذا كان سيتم منح المستخدم حق الوصول إلى الشبكة أم لا.
إذا كنت ترغب في السماح بالوصول إلى المستخدمين الذين تمت مصادقتهم بواسطة قاعدة بيانات مستخدم مجال Windows فقط عندما يكون لديهم إذن الطلب الهاتفي في في حساب Windows الخاص بهم، فتحقق من نعم، ارجع إلى مربع إعداد "منح إذن الطلب إلى المستخدم".
انقر فوق Next (التالي).
يقوم برنامج الإعداد بتثبيت ACS الآمن من Cisco وتحديث سجل Windows.
تسرد شاشة الخيارات المتقدمة العديد من ميزات Cisco Secure ACS التي لا يتم تمكينها بشكل افتراضي. لمزيد من المعلومات حول هذه الميزات، ارجع إلى دليل المستخدم ل Cisco Secure ACS ل Windows Server، الإصدار 4.0.
ملاحظة: تظهر الميزات المدرجة في واجهة HTML الآمنة من Cisco فقط إذا قمت بتمكينها. بعد التثبيت، يمكنك تمكينها أو تعطيلها في صفحة الخيارات المتقدمة في قسم تكوين الواجهة.
لكل ميزة تريد تمكينها، حدد المربع المرادف.
انقر فوق Next (التالي).
يظهر مربع الحوار "مراقبة الخدمة النشطة".
ملاحظة: بعد التثبيت، يمكنك تكوين ميزات مراقبة الخدمة النشطة على صفحة إدارة الخدمة النشطة في قسم تكوين النظام.
إذا كنت تريد من Cisco تأمين ACS أن يراقب خدمات مصادقة المستخدم، حدد مربع تمكين مراقبة تسجيل الدخول. من قائمة البرنامج النصي إلى التنفيذ، أختر الخيار الذي تريد تطبيقه في حالة فشل خدمة المصادقة:
لا يوجد إجراء علاجي—لا يشغل ACS الآمن من Cisco برنامج نصي.
ملاحظة: يكون هذا الخيار مفيدا إذا قمت بتمكين إعلامات بريد الحدث.
reboot— cisco يأمن ACS يركض نص تنفيذي أن يركض الكومبيوتر أن يركض cisco يأمن ACS.
إعادة تشغيل الكل—يعيد Cisco Secure ACS تشغيل جميع خدمات Cisco Secure ACS.
إعادة تشغيل RADIUS/TACACS+—يعيد ACS الآمن من Cisco تشغيل خدمات RADIUS و TACACS+ فقط.
إذا كنت تريد من Cisco Secure ACS أن يرسل رسالة بريد إلكتروني عند اكتشاف مراقبة الخدمة لحدث، فتحقق من مربع إعلام البريد.
انقر فوق Next (التالي).
يظهر مربع الحوار تشفير كلمة مرور قاعدة البيانات.
ملاحظة: يتم تشفير كلمة مرور تشفير قاعدة البيانات وتخزينها في سجل ACS. قد تحتاج إلى إعادة إستخدام كلمة المرور هذه عند ظهور مشاكل خطيرة وضرورة الوصول إلى قاعدة البيانات يدويا. احتفظ بكلمة المرور هذه في المتناول حتى يتمكن الدعم الفني من الوصول إلى قاعدة البيانات. يمكن تغيير كلمة المرور كل فترة انتهاء صلاحية.
أدخل كلمة مرور لتشفير قاعدة البيانات. يجب أن يكون طول كلمة المرور ثمانية أحرف على الأقل ويجب أن تحتوي على كل من الأحرف والأرقام. لا توجد أحرف غير صحيحة. انقر فوق Next (التالي).
ينتهي برنامج الإعداد وتظهر مربع الحوار "بدء خدمة ACS الآمنة من Cisco".
لكل خيار بدء خدمات ACS الآمنة من Cisco الذي تريده، حدد المربع المقابل. تحدث الإجراءات المرتبطة بالخيارات بعد انتهاء برنامج الإعداد.
نعم، أريد بدء تشغيل خدمة ACS الآمنة من Cisco الآن— تبدأ خدمات Windows التي تشكل ACS الآمن من Cisco. إن لا ينتقي أنت هذا خيار، ال cisco يأمن acs HTML قارن لا يتوفر ما لم أنت reboot الكومبيوتر أو يبدأ ال CSAdmin خدمة.
نعم، أريد من برنامج الإعداد تشغيل مسؤول ACS الآمن من Cisco من المستعرض الخاص بي بعد التثبيت—يفتح واجهة HTML ل Cisco ACS الآمنة في مستعرض الويب الافتراضي لحساب مستخدم Windows الحالي.
نعم، أريد عرض ملف Readme—يفتح ملف README.txt في Windows Notepad.
انقر فوق Next (التالي).
إذا قمت بتحديد خيار، فسيبدأ تشغيل خدمات ACS الآمنة من Cisco. تعرض شاشة اكتمال الإعداد معلومات حول واجهة HTML ل ACS الآمن من Cisco.
انقر فوق إنهاء.
ملاحظة: يتم توثيق بقية التكوين ضمن القسم الخاص بنوع EAP الذي تم تكوينه.
أكمل الخطوات التالية:
ملاحظة: من المفترض أن يكون لوحدة التحكم اتصال أساسي بالشبكة وأن تكون قابلية الوصول إلى IP لواجهة الإدارة ناجحة.
قم بتسجيل الدخول إلى وحدة التحكم عن طريق الاستعراض إلى https://172.16.101.252.
انقر على تسجيل الدخول.
قم بتسجيل الدخول باستخدام مسؤول المستخدم الافتراضي وكلمة المرور الافتراضية admin.
خلقت القارن VLAN يخطط تحت الجهاز تحكم قائمة.
طقطقة قارن.
طقطقت جديد.
في نوع حقل اسم الواجهة موظف. (يمكن أن يكون هذا الحقل أي قيمة تحبها.)
في حقل معرف شبكة VLAN نوع 20. (يمكن أن يكون هذا الحقل أي شبكة VLAN يتم نقلها في الشبكة.)
طقطقة يطبق.
شكلت المعلومة بما أن هذا قارن > حرر نافذة يبدي.
طقطقة يطبق.
طقطقت WLAN.
طقطقت جديد.
في نوع حقل SSID الخاص بشبكة WLAN الموظف.
طقطقة يطبق.
قم بتكوين المعلومات مثل هذه الشبكات المحلية اللاسلكية (WLANs) > تحرير عروض الإطارات.
ملاحظة: WPA2 هو طريقة تشفير الطبقة 2 المختارة لهذا المختبر. للسماح ل WPA مع عملاء TKIP-MIC بالاقتران بمعرف SSID هذا، يمكنك أيضا تحديد مربعات وضع توافق WPA والسماح لعملاء WPA2 TKIP أو العملاء الذين لا يؤيدون أسلوب تشفير 802.11i AES.
طقطقة يطبق.
انقر فوق قائمة الأمان وأضف خادم RADIUS.
طقطقت جديد.
إضافة عنوان IP لخادم RADIUS (172.16.100.25) وهو خادم ACS الذي تم تكوينه مسبقا.
تأكد من تطابق المفتاح المشترك مع عميل AAA الذي تم تكوينه في خادم ACS.
طقطقة يطبق.
اكتمل التكوين الأساسي الآن ويمكنك البدء في إختبار EAP-TLS.
تتطلب مصادقة EAP-TLS وجود شهادات كمبيوتر ومستخدم على العميل اللاسلكي، وإضافة EAP-TLS كنوع EAP إلى سياسة الوصول عن بعد للوصول اللاسلكي، وإعادة تكوين توصيل الشبكة اللاسلكية.
لتكوين DC_CA لتوفير التسجيل التلقائي لشهادات الكمبيوتر والمستخدمين، أكمل الإجراءات الواردة في هذا القسم.
ملاحظة: قامت Microsoft بتغيير قالب خادم الويب من خلال إصدار Windows 2003 Enterprise CA حتى لا تعود المفاتيح قابلة للتصدير ويتم تحديد الخيار بدقة. لا توجد قوالب شهادات أخرى مزودة بخدمات شهادات لمصادقة الخادم وتعطي القدرة على وضع علامة على المفاتيح قابلة للتصدير المتوفرة في القائمة المنسدلة بحيث يتعين عليك إنشاء قالب جديد يقوم بذلك.
ملاحظة: يسمح نظام التشغيل Windows 2000 باستخدام مفاتيح قابلة للتصدير، ولا يلزم اتباع هذه الإجراءات إذا كنت تستخدم نظام التشغيل Windows 2000.
أكمل الخطوات التالية:
أختر ابدأ > تشغيل، واكتب mmc، وانقر فوق موافق.
من القائمة "ملف"، انقر فوق إضافة/إزالة الأداة الإضافية ثم انقر فوق إضافة.
تحت الأداة الإضافية، انقر نقرا مزدوجا على قوالب الترخيص، ثم انقر على إغلاق، ثم انقر على موافق.
في شجرة وحدة التحكم، انقر فوق قوالب الشهادات. تظهر كل قوالب الشهادات في جزء التفاصيل.
لتخطي الخطوات من 2 إلى 4، اكتب certtmpl.msc الذي يفتح الأداة الإضافية "قوالب الشهادات".
أكمل الخطوات التالية:
في جزء التفاصيل من الأداة الإضافية "قوالب الشهادات"، انقر فوق قالب خادم الويب.
في قائمة الإجراء، انقر فوق مضاعفة قالب.
في حقل اسم عرض القالب ، اكتب acs.
انتقل إلى علامة التبويب "معالجة الطلب" وحدد السماح بتصدير المفتاح الخاص.
أختر طلبات يجب أن تستخدم أحد CSP التالية وفحص موفر التشفير الأساسي Microsoft v1.0. قم بإلغاء تحديد أي CSPs أخرى تم تحديدها ثم انقر فوق موافق.
انتقل إلى علامة التبويب اسم الموضوع، واختر التزويد في الطلب وانقر فوق موافق.
انتقل إلى علامة التبويب "أمان"، وأبرز مجموعة مسؤولي المجال وتأكد من تحديد خيار التسجيل ضمن "مسموح به".
هام: إذا أخترت الإنشاء من معلومات Active Directory هذه فقط، فتحقق من اسم المستخدم الأساسي (UPN) وألغي تحديد اسم تضمين البريد الإلكتروني في اسم الموضوع واسم البريد الإلكتروني لأنه لم يتم إدخال اسم بريد إلكتروني لحساب WirelessUser في الأداة الإضافية Active Directory Users and Computers. إذا لم تقم بتعطيل هذين الخيارين، فسيحاول التسجيل التلقائي إستخدام البريد الإلكتروني، مما ينتج عنه خطأ في التسجيل التلقائي.
هناك إجراءات أمان إضافية إذا لزم الأمر لمنع دفع الشهادات تلقائيا. ويمكن العثور على هذه العناصر ضمن علامة التبويب متطلبات الإصدار. لم يتم مناقشة هذا الأمر في هذه الوثيقة.
انقر فوق موافق لحفظ القالب والانتقال إلى إصدار هذا القالب من الأداة الإضافية "مرجع الشهادات".
أكمل الخطوات التالية:
فتح الأداة الإضافية المرجع المصدق. اتبع الخطوات 1-3 في قسم إنشاء قالب الشهادة لخادم ويب ACS، واختر مرجع الشهادة، واختر الكمبيوتر المحلي وانقر فوق إنهاء.
في شجرة وحدة التحكم، قم بتوسيع WirelessDemoca، ثم انقر بزر الماوس الأيمن فوق قوالب الترخيص.
أختر جديد > قالب الشهادة لإصداره.
انقر على قالب شهادة ACS.
انقر فوق موافق وافتح الأداة الإضافية Active Directory Users and Computers.
في شجرة وحدة التحكم، انقر نقرا مزدوجا فوق Active Directory Users and Computers، ثم انقر بزر الماوس الأيمن فوق WirelessDemo.local domain، ثم انقر فوق خصائص.
في علامة التبويب "نهج المجموعة"، انقر فوق نهج المجال الافتراضي، ثم انقر فوق تحرير. يؤدي ذلك إلى فتح الأداة الإضافية "محرر كائنات نهج المجموعة".
في شجرة وحدة التحكم، قم بتوسيع تكوين جهاز الكمبيوتر > إعدادات Windows > إعدادات التأمين > سياسات المفتاح العام، ثم حدد إعدادات طلب الترخيص الآلي.
انقر بزر الماوس الأيمن على إعدادات طلب الترخيص الآلي واختر جديد > طلب الترخيص التلقائي.
في صفحة "معالج إعداد طلب الشهادة التلقائي"، انقر فوق التالي.
في صفحة "قالب الشهادة"، انقر على الكمبيوتر وانقر فوق التالي.
في صفحة إكمال معالج إعداد طلب الشهادة التلقائي، انقر فوق إنهاء.
يظهر الآن نوع شهادة الكمبيوتر في جزء التفاصيل الخاص بالأداة الإضافية "محرر كائنات نهج المجموعة".
في شجرة وحدة التحكم، قم بتوسيع تكوين المستخدم > إعدادات Windows > إعدادات التأمين > سياسات المفتاح العام.
في جزء التفاصيل، انقر نقرا مزدوجا على إعدادات التسجيل التلقائي.
أختر تسجيل الشهادات تلقائيا وافحص تجديد الشهادات منتهية الصلاحية وتحديث الشهادات المعلقة وإزالة الشهادات الملغاة وتحديث الشهادات التي تستخدم قوالب الشهادات.
وانقر فوق OK.
هام: يجب أن يحصل خادم ACS على شهادة خادم من خادم CA الجذر للمؤسسة لمصادقة عميل WLAN EAP-TLS.
هام: تأكد من عدم فتح إدارة IIS أثناء عملية إعداد الشهادة لأنها تتسبب في حدوث مشاكل مع المعلومات المخزنة مؤقتا.
قم بتسجيل الدخول إلى خادم ACS باستخدام حساب له حقوق Enterprise Admin.
على جهاز ACS المحلي، قم بتوجيه المستعرض إلى خادم مرجع مصدق Microsoft على http://IP-address-of-Root-CA/certsrv. في هذه الحالة، يكون عنوان IP 172.16.100.26.
قم بتسجيل الدخول كمسؤول.
أختر طلب شهادة وانقر التالي.
أخترت طلب متقدم وطقطقة بعد ذلك.
أختر إنشاء طلب وإرساله إلى المرجع المصدق هذا وانقر فوق التالي.
هام: يرجع السبب وراء هذه الخطوة إلى أن Windows 2003 لا يسمح بالمفاتيح القابلة للتصدير وأنك تحتاج إلى إنشاء طلب شهادة استنادا إلى شهادة ACS التي قمت بإنشائها مسبقا والتي تسمح بذلك.
من "قوالب الشهادات"، حدد قالب الشهادة الذي تم إنشاؤه سابقا باسم ACS. تتغير الخيارات بعد أن تقوم بتحديد القالب.
قم بتكوين الاسم ليكون اسم المجال المؤهل بالكامل لخادم ACS. في هذه الحالة يكون اسم خادم ACS هو cisco_w2003.wirelessdemo.local. تأكد من أن شهادة المتجر في مخزن شهادات الكمبيوتر المحلي تم فحصها وانقر على إرسال.
تظهر نافذة منبثقة تحذر من إخلال محتمل للبرمجة النصية. طقطقة نعم.
انقر على تثبيت هذه الشهادة.
تظهر نافذة منبثقة مرة أخرى وتحذر من انتهاك محتمل للبرمجة النصية. طقطقة نعم.
بعد النقر فوق نعم، يتم تثبيت الشهادة.
عند هذه النقطة، يتم تثبيت الشهادة في مجلد الشهادات. للوصول إلى هذا المجلد، أختر بدء > تشغيل، واكتب mmc، واضغط على إدخال، واختر شخصي > شهادات.
الآن بعد أن تم تثبيت الشهادة على الكمبيوتر المحلي (ACS أو Cisco_w2003 في هذا المثال)، يلزمك إنشاء ملف شهادة (.cer) لتكوين ملف شهادة ACS 4.0.
على خادم ACS (Cisco_w2003 في هذا المثال)، وجه المتصفح في خادم مرجع مصدق Microsoft إلى http://172.16.100.26 /certsrv.
أكمل الخطوات التالية:
على خادم ACS (Cisco_w2003 في هذا المثال)، قم بتوجيه المستعرض في خادم Microsoft CA إلى http://172.16.100.26 /certsrv.
من خيار تحديد مهمة أختر تنزيل شهادة CA أو سلسلة شهادات أو CRL.
أخترت القاعدة 64 ترميز أسلوب وطقطقة download ca شهادة.
يظهر إطار تحذير أمان تنزيل الملفات. طقطقة حفظ.
احفظ الملف باسم مثل ACS.CER أو أي اسم تريده. تذكر هذا الاسم لأنك تستخدمه أثناء إعداد "مرجع شهادة ACS" في ACS 4.0.
افتح مسؤول ACS من إختصار سطح المكتب الذي تم إنشاؤه أثناء التثبيت.
طقطقة نظام تشكيل.
انقر على إعداد شهادة ACS.
انقر على تثبيت شهادة ACS.
أختر إستخدام الشهادة من التخزين واكتب اسم المجال المؤهل بالكامل ل Cisco_w2003.wirelessdemo.local (أو ACS.wirelessdemo.local إذا كنت تستخدم ACS كاسم).
انقر على إرسال.
طقطقة نظام تشكيل.
انقر فوق التحكم في الخدمة ثم انقر فوق إعادة التشغيل.
طقطقة نظام تشكيل.
انقر على إعداد المصادقة العامة.
حدد السماح ب EAP-TLS وجميع المربعات التي تحته.
انقر فوق إرسال + إعادة تشغيل.
طقطقة نظام تشكيل.
انقر على إعداد مرجع مصدق ACS.
تحت نافذة "إعداد مرجع مصدق ACS"، اكتب اسم وموقع ملف *.cer الذي تم إنشاؤه سابقا. في هذا المثال، ملف *.cer الذي تم إنشاؤه هو ACS.CER في الدليل الجذر c:\.
اكتب c:\acs.cer في حقل ملف شهادة CA وانقر إرسال.
أعد تشغيل خدمة ACS.
العميل هو كمبيوتر يعمل بنظام التشغيل Windows XP Professional باستخدام SP2 الذي يعمل كعميل لاسلكي ويحصل على حق الوصول إلى موارد إنترانت من خلال نقطة الوصول اللاسلكية. أكمل الإجراءات الواردة في هذا القسم لتكوين العميل كعميل لاسلكي.
أكمل الخطوات التالية:
توصيل Client بمقطع شبكة إنترانت باستخدام كبل إيثرنت متصل بالمحول.
على العميل، قم بتثبيت Windows XP Professional مع SP2 ككمبيوتر عضو يسمى Client على المجال wirelessdemo.local.
قم بتثبيت Windows XP Professional مع SP2. يجب تثبيت هذا للحصول على دعم EAP-TLS و PEAP.
ملاحظة: يتم تشغيل جدار حماية Windows تلقائيا في Windows XP Professional مع SP2. عدم إيقاف تشغيل جدار الحماية.
أكمل الخطوات التالية:
قم بتسجيل الخروج ثم تسجيل الدخول باستخدام حساب WirelessUser في المجال WirelessDemo.local.
ملاحظة: تحديث إعدادات نهج مجموعة تكوين الكمبيوتر والمستخدمين والحصول على شهادة كمبيوتر وشهادة مستخدم لكمبيوتر العميل اللاسلكي فورا، وذلك بكتابة GPordate في موجه الأوامر. وإلا، عندما تقوم بتسجيل الخروج ثم تسجيل الدخول، فإنه يؤدي نفس وظيفة Gpupdate. يجب تسجيل الدخول إلى المجال من خلال الاتصال عبر السلك.
ملاحظة: للتحقق من تثبيت الشهادة تلقائيا على العميل، افتح MMC للشهادة وتحقق من توفر شهادة WirelessUser في مجلد الشهادات الشخصية.
أختر ابدأ > لوحة التحكم، وانقر نقرا مزدوجا فوق إتصالات الشبكة، ثم انقر بزر الماوس الأيمن على اتصال الشبكة اللاسلكية.
انقر على خصائص، انتقل إلى علامة التبويب الشبكات اللاسلكية، وتأكد من أن Windows الخاص بالمستخدم لتكوين إعدادات الشبكة اللاسلكية محدد.
انقر فوق إضافة (Add).
انتقل إلى علامة تبويب الاقتران، واكتب الموظف في حقل اسم الشبكة (SSID).
تأكد من تعيين تشفير البيانات على WEP ومن توفير المفتاح لي تلقائيا.
انتقل إلى علامة تبويب المصادقة.
تحقق من تكوين نوع EAP لاستخدام البطاقة الذكية أو شهادة أخرى. إذا لم يكن كذلك، فحدده من القائمة المنسدلة.
إذا كنت تريد مصادقة الجهاز قبل تسجيل الدخول (مما يسمح بتطبيق برامج تسجيل الدخول النصية أو نهج المجموعة) أختر الخيار مصادقة كجهاز كمبيوتر عند توفر معلومات الكمبيوتر.
انقر فوق خصائص.
تأكد من تحديد المربعات الموجودة في هذه النافذة.
وانقر فوق OK ثلاث مرات.
انقر بزر الماوس الأيمن على رمز توصيل الشبكة اللاسلكية في النظام ثم انقر على عرض الشبكات اللاسلكية المتاحة.
انقر على شبكة الموظف اللاسلكية ثم انقر على توصيل.
تشير لقطات الشاشة هذه إلى ما إذا تم إكمال الاتصال بنجاح.
بعد نجاح المصادقة، تحقق من تكوين TCP/IP للمهايئ اللاسلكي باستخدام توصيلات الشبكة. يجب أن يكون له نطاق عنوان 172.16.100.100-172.16.100.254 من نطاق DHCP أو النطاق الذي تم إنشاؤه للعملاء اللاسلكي.
لاختبار الوظائف، افتح متصفح وتصفح حتى http://wirelessdemoca (أو عنوان IP الخاص بخادم Enterprise CA).
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
01-Dec-2013 |
الإصدار الأولي |