Windows Server 2008 RADIUS

From ICO wiki


Contents

Sissejuhatus

RADIUSega tegelevate teenuste struktuur on Windows NT5 (2000, 2003) ja NT6 (2008, 2008R2) vahel oluliselt muutunud. Olles ammustel aegadel 2003 R2 peal RADIUSe tööle pannud, tekkis huvi seda teha ka 2008 peal. Sai seda kord tööl proovitud ühe teise projekti kõrval, kuid eksitasin end seadete põhjatusse sügavikku. Selle raames saigi nüüd asja uuesti proovitud. Asja tööle saamiseks, katsetamiseks ja testimiseks kulus ca nädala jagu õhtuid, iga õhtu mõned tunnid.

  • Peaks töötama ka Windows Server 2008 R2 peal, kuna NPS teenus on jäänud suuresti samaks.
  • Windows 2008 NPS on üsna keeruline (ja võimekas) tööriist, 2003 vastav teenus oli palju lihtsam.

Näidisinfrastruktuur

Teenindav pool

  • Virtual PC 7 virtuaalmasin serveriga, jooksmas sülearvutis 1.
  • Windows Server 2008 eelnevalt paigaldatud. Vaata Windows Server administreerimine. Arvuti nimi TESTSRV.
  • Active Directory eelnevalt paigaldatud. Vaata Active Directory Domain Services Domeen test.internal, NetBIOS nimi TEST.
  • Tugijaam DD-WRT v24 beta, Linksys WRT54GL

Kontod

Kuna ühtegi reaalset masinat domeeni liikmeks ei teinud, ei saanud proovida masinate iseseisvat domeeni logimist. Kasutasin vaid kasutajakontosid test.user kuni test.user3. Katsetasin vastavalt MSCHAPv2, TLS ja mõlemaid kordamööda.

Kliendid

  • Sülearvuti 1 Intel 5300, Windows 7 - Ethernet ühendatud Virtual PC ja tugijaama vahele
  • Sülearvuti 2 Intel 2945, Windows XP
  • PDA 1, Qualcomm, Windows Mobile 6.1 Professional
  • PDA 2, Qualcomm, Windows Mobile 6.5
  • IP võrk 192.168.63.0/24, staatiliselt määratud

Active Directory Certificate Services

Active Directory Certificate Services (ADCS) on tarvilik EAP-TLS sertifikaatide väljastamiseks ja kontrollimiseks. Samuti kasutab seda valikuliselt PEAP. Viimane võib kasutada ka ise väljastataud (self-signed) sertifikaati, kuid kuna seda TLS jaoks juba vaja on, kasutame sedasama.

NB! Kuna meil on domeenikontroller, CA ja RADIUS ühes masinas, tuvastab RADIUS server ennast juursertifikaadiga. Praktikas ei ole see soovitatav, aga hetkel "kärab küll".

Add Roles Wizard

Käivita "Add New Roles" viisard ja märgi ADCS. Nagu näha on eeldatavad AD ja DNS (AD eeldus) rollid juba paigaldatud. Jätkamiseks vajuta "Next".
Radiusadcs1.png

Introduction to Active Directory Certificate Services

Kuvatakse rolli tutvustus ja hoiatatakse, et peale rolli paigaldust ei saa serveri nime ega domeeni kuuluvust muuta. Need tegevused muudaks arvuti ja DNS nime ning juursertifikaati ei saa enam kontrollida, kuna vastav server privaatvõtmega puudub.
Radiusadcs2.png

Select Role Services

Palutakse märkida rolli teenused. Certification Authority on kohustuslik. Web Enrollment võimaldab teha sertifikaaditaotlusi veebibrauseriga, kasutamata otseselt teist arvutit. Hetkel me seda ei vaja, jätkamiseks vajuta "Next".
Radiusadcs3.png

Specify Setup Type

Vali sertifikaadihoidla tüüp. Kuna me käesolevalt kasutame AD andmebaasi RADIUSe jaoks, vali "Enterprise", mis seob CA AD külge. Jätkamiseks vajuta "Next"
Radiusadcs4.png

Specify CA Type

Kuna tegemist on esimese CA'ga, pead määrama selle tasemme. Kuna meil eelnevad CA'd puuduvad, määra Root CA (juursertimisorgan) ja jätks.
Radiusadcs5.png

Set Up Private Key

Kuna meil puuduvad eelnevad CA'd koos privaatvõtmetega, vali uue privaatvõtme loomiseks "Create a new private key" ja jätka.
Radiusadcs6.png

Configure Cryptography for CA

Võimaldab määrate erinevaid krüptoteenuseid ja võtmepikkusi juursertifikaadile. Kuigi turvamiseks võib valida SHA512 räsialgoritmi ja 16384 bitise võtme, on vaikimisi võimalused proof-of-concept jaoks täiesti piisavad. Jätka.
Radiusadcs7.png

Configure CA Name

Common name kohale võib kirjutada midagi kergesti äratuntavat, näiteks "Domeeni juursertifikaat". DN suffiksit pole mõtet muute ilma täpsete teadmisteta LDAPist ja AD struktuurist.
Radiusadcs8.png

Set Validity Period

Juursertifikaadi kehtivusaeg. Vaikimisi 5 aastat on sobiv, jätka.
Radiusadcs9.png

Configure Certificate Database

Praktikas on soovitatav andmed paigutada eraldi partitsioonile, hetkel jätame nad siiski vaikimisi asukohta.
Radiusadcs10.png

Confirm Installation Selections

Kokkuvõte valikutest. Peale "Install" vajutamist pole võimalik arvuti nime ega domeenikuuluvust muuta ilma juursertifikaati tühistamata.
Radiusadcs11.png

Network Protection Services

Add Roles Wizard

Vali rollide nimekirjast Network Policy and Access Services ja vajuta jätkamiseks Next.
Radiusnps1.png

Network Policy and Access Services

Tutvustatakse erinevaid rolli võimalusi, jätka.
Radiusnps2.png

Select Role Services

Vali rolliteenuste seast "Network Policy Server" ja jätka. Teised teenused pakuvad näiteks VPNi ja kliendi tarkvara turvakontrolli, kuid pole hetkel vajalikud.
Radiusnps3.png

Confirm Installation Selections

Kinnita paigaldus vajutades "Install".
Radiusnps4.png

Seadistamine EAP-PEAP (MS-CHAP2) ja PEAP jaoks

Käivita Network Policy Server konsool.

Register server in Active Directory

Esmalt registreeri NPS server AD's. Selle tegemiseks tee paremklõps konsoolipuu juurkaustal ja vajuta "Register server in Active Directory". See võimaldab NPS serveril audentida kliente AD kasutajatega.
Nps1.png
Palutakse luba lisada arvuti objekt gruppi, et lugeda kasutajate Dial-in seadeid. Kuigi NPS võib neid seadeid ignoreerida, on see soovitatav.
Nps2.png
Teiste domeeni kohta forestis tuleb seda käsitsi teha. Hetkel seda vaja pole, kuna teisi domeene pole.
Nps3.png

Viisardi käivitamine

Kasutame NPS seadistamiseks viisardit. Olles NPS konsooli juurkaustas, on tegevuspaanis rippmenüü, kus saab valida erinevate stsenaariumite viisardeid. Vali "RADIUS server for 802.1X Wireless or Wired Connections" ja vajuta "Configure 802.1X".
Nps4.png

Select 802.1X Connections Type

Vali "Secure Wireless Connections". Nime kohale võid kirjutada midagi äratuntavat.
Nps5.png

Specify 802.1X Switches

Dialoogis saad lisada tugijaamu (authenticator).
Nps6.png

New RADIUS Client

Tugijaama lisamise seadete dialoog. Kõik seadmed ei pruugi toetada nii pikka salasõna (shared secret). Maksimaalse pikkus peaks kirjas olema seadme dokumentatsioonis.
Nps7.png

Configure an Authentication Method

Vali EAP-PEAP (Microsoft: Protected EAP), kuna paljud seadmed ei oska otseselt EAP-MSCHAPv2 kasutada. PEAP sisuliselt kapseldab MSCHAPv2 TLS tunnelisse. Ühest küljest võimaldab see serveril ennast korretse TLS sertifikaadiga tuvastada, kuid teisest küljest ei nõua kliendilt sertifikaati.
Nps8.png

Specify User Groups

Saad piirata kasutajaid, kes võivad RADIUSes end tuvastada. Kui soovid, et arvutid (arvutid iseseisvalt, mitte kasutajad) vastavalt poliitikale iseseisvalt WiFisse logiks, tasub lisada ka grupp arvutitega. Teine variant on jätta kõik tühjaks, siis lubatakse ligi kõik kasutajad. Seda valikut saab hiljem täpsemalt määrata Conditions all.
Nps11.png

Configure a Virtual LAN (VLAN)

VLANe hetkel pole, nii et ei puutu.
Nps12.png

Käsitsi seaded

Mõned asjad nõuavad käsitsi muutmist, seega ava uue poliitika seaded.
Nps14.png

Overview

Oluline linnuke on "Ignore user account dial-in properties". See määrab, kas NPS järgib AD õigusi kasutada dial-in ja VPN teenuseid. Vaikimisi on kasutajatel VPN või dial-up keelatud.
Nps15.png

Conditions

Ühenduvad kliendid peavad ühilduma kõigi tingimustega, kui vastav tingimus on määratud. St kui tingimust pole määratud, siis seda ei kontrollita. Kui tingimus eksisteerib, peab klient sellele vastama.
Nps16.png

Constraints

Constraints toimub sarnaselt Conditions'ile, kuid piirangud on eelmääratud.
Nps17.png

Authentication Methods

Lisa nimekirja "Microsoft: Smart Card or other certificate" ehk maakeeli EAP-TLS. Windows Mobile puhul peab EAP-TLS toimimiseks olema nimekirjas esimene. Eemalda kõik ülejäänud linnukesed.
Nps18.png

Settings

RADIUS Attributes

Standard RADIUS attributes all eemalda DD-WRT jaoks atribuut "Framed-Protocol".

Encryption

Encryption all eemalda kõik peale "Strongest encryption (MPPE 128-bit)". Samas kõik seadmed ei pruugi tugevaimat krüpteeringut toetada. Lihtne testimine aitab seda kindlaks teha.

Sertifikaadi taotlemine ja eksport

Kuna me "Web enrollment" teenust ei paigaldanud, peab sertifikaate taotlema läbi AD'sse lisatud arvuti. Meie ainus server on ka domeenikontroller ning tavakasutajad ei saa vaikimisi domeenikontrollerisse logida. Selleks puhuks on domeeni lisatud Windows 7 virtuaalmasin.

"Certificates" konsool pole otseselt kättesaadav, kuid auto-enrollment poliitikaga me hetkel ei tegele.

Sertifikaatide konsooli avamine

Käivita MMC halduskonsool, trükkides "Run" aknasse mmc.
Enrollment1.png
Avanenud aknas vajuta Ctrl+M, et lisada konsoolile laiendusi. Lisa Certificates ja jätka.
Enrollment1.1.png

Sertifikaaditaotlusviisardi avamine

Tee paremklõps kaustal Personal ja vastavalt pildile ava uue sertifikaadi päringu viisard.
Enrollment2.png

Before you begin

Kiire tutvustus - vajuta jätkamiseks "Next".
Enrollment3.png

Select Certificate Enrollment Policy

Enrollment poliitikad meil puuduvad seega jätka vaikimisi valikuga.
Enrollment4.png

Request Certificates

Vali "User" ja jätka.
Enrollment5.png

Certificate Installation Results

Kui päring õnnestus (võrk, DNS, kasutajakonto korras), sulge viisard.
Enrollment6.png

Sertifikaadi eksportimise viisard

Vastavalt pildile ava sertifikaadi eksportimise viisard. See on vajalik eksportimaks sertifikaati seadmetele, millel puudub muu ligipääs võrgule, näiteks PDA'd, isiklikud arvutid või eraldiseisvad seadmed (printerid vms). Seda saaks teha läbi Web Enrollmenti, aga see hetkel puudub.
Enrollment7.png

Welcome to the Certificate Export Wizard

Väike tutvustus - jätka.
Enrollment8.png

Export Private Key

Ekspordi sertifikaat koos privaatvõtmega - muidu ei saa ju sind tuvastada.
Enrollment9.png

Export File Format

Kaasa vahepealsed sertifikaadid, kuna teised seadmed ei tea enne importimist midagi meie juursertifikaadist või vahepealsetest sertifikaatidest.
Enrollment10.png

Password

Kaitse eksporditud sertifikaat parooliga - see võimaldab ju kasutajat tuvastada ning valedesse kätesse sattumisel palju pahandust põhjustada.
Enrollment11.png

File to Export

Määra eksporditud faili asukoht.
Enrollment12.png

Completing the Certificate Export Wizard

Kokkuvõte.
Enrollment13.png

Klientseadmed

Siin ma täpsemalt klientseadmete seadistamisele ei keskendu, kuna fookus on serveripoolel. Sertifikaatide import seisneb vaid eksporditud failil klõpsimises ja parooli sisestamises.

  • MSCHAPv2 puhul võib jätta kasutajanime ette domeeni sisestamata
  • Kui on vaja domeeni määratleda, kasuta vaid domeeni NetBIOS nime. FQDN peale kipub NPS pirtsutama.

Windows

  • Kui klient pole domeeni liige, hoiatatakse isegi usaldusväärse juursertifikaadi puhul, kui profiil pole eelseadistatud. Profiil tuleb panna käsitsi juursertifikaati usaldama. See on kummaline, arvestades, et imporditud isikliku sertifikaadiga kaasneb ka juursertifikaadi avalik võti.
  • Kui server toetab PEAP ja EAP samaaegselt, valib Windows kõigepealt PEAP. Kui ühendusprofiili (eel)seadistada, saab kliendi määrata käsitsi EAP kasutama.
  • Windows puhverdab sisestatud kasutajanime ja parooli. Kui sisestasid valesti, võib osutuda võimatuks puhvrit tühjendada. Lihtne lahendus on taaskäivitus, mis tühjendab puhvri.

WIndows Mobile

  • Profiili juures tuleb käsitsi määrata, kas kasutada PEAP või EAP.
  • Kuna EAP-MSCHAPv2 pole toetatud, tuleb kasutada PEAP.
  • Windows Mobile hoiatab samuti juursertikaadi usaldamatuse eest...?

© Mihkel Soomere 2010