Windows Server 2008 RADIUS: Difference between revisions
mNo edit summary |
mNo edit summary |
||
| Line 1: | Line 1: | ||
[[Category:Traadita side alused]] | [[Category:Traadita side alused]] | ||
=Sissejuhatus= | =Sissejuhatus= | ||
RADIUSega tegelevate teenuste struktuur on Windows NT5 (2000, 2003) ja NT6 (2008, 2008R2) vahel oluliselt muutunud. | |||
* Peaks töötama ka Windows Server 2008 R2 peal | * Peaks töötama ka Windows Server 2008 R2 peal | ||
* Windows 2008 NPS on üsna keeruline tööriist, 2003 vastav teenus oli palju lihtsam. | * Windows 2008 NPS on üsna keeruline tööriist, 2003 vastav teenus oli palju lihtsam. | ||
= | =Infrastruktuur= | ||
* Windows Server 2008 on eelnevalt paigaldatud. Vaata [[Windows Server administreerimine]] | * Windows Server 2008 on eelnevalt paigaldatud. Vaata [[Windows Server administreerimine]] | ||
* Active Directory on eelnevalt paigaldatud. Vaata [[Active Directory Domain Services]] | * Active Directory on eelnevalt paigaldatud. Vaata [[Active Directory Domain Services]] | ||
| Line 12: | Line 13: | ||
=Active Directory Certificate Services= | =Active Directory Certificate Services= | ||
Active Directory Certificate Services (ADCS) on tarvilik EAP-TLS sertifikaatide väljastamiseks ja kontrollimiseks. Samuti kasutab seda valikuliselt PEAP. Viimane võib kasutada ka ise väljastataud (self-signed) sertifikaati, kuid kuna seda TLS jaoks juba vaja on, kasutame sedasama. | Active Directory Certificate Services (ADCS) on tarvilik EAP-TLS sertifikaatide väljastamiseks ja kontrollimiseks. Samuti kasutab seda valikuliselt PEAP. Viimane võib kasutada ka ise väljastataud (self-signed) sertifikaati, kuid kuna seda TLS jaoks juba vaja on, kasutame sedasama. | ||
==Add Roles Wizard== | |||
Käivita "Add New Roles" viisard ja märgi ADCS. Jätkamiseks vajuta "Next"[[ | Käivita "Add New Roles" viisard ja märgi ADCS. Nagu näha on eeldatavad AD ja DNS (AD eeldus) rollid juba paigaldatud. Jätkamiseks vajuta "Next".<br> | ||
[[image:Radiusadcs1.png]] | |||
Kuvatakse rolli tutvustus ja hoiatatakse, et peale rolli paigaldust ei saa serveri nime ega domeeni kuuluvust muuta. Need tegevused muudaks arvuti ja DNS nime ning juursertifikaati ei saa enam kontrollida, kuna vastav server puudub. [[ | ==Introduction to Active Directory Certificate Services== | ||
Kuvatakse rolli tutvustus ja hoiatatakse, et peale rolli paigaldust ei saa serveri nime ega domeeni kuuluvust muuta. Need tegevused muudaks arvuti ja DNS nime ning juursertifikaati ei saa enam kontrollida, kuna vastav server privaatvõtmega puudub.<br> | |||
Palutakse märkida rolli teenused. Certification Authority on kohustuslik. Web Enrollment võimaldab teha sertifikaaditaotlusi veebibrauseriga, kasutamata otseselt teist arvutit. Hetkel me seda ei vaja, jätkamiseks vajuta "Next".[[ | [[image:Radiusadcs2.png]] | ||
==Select Role Services== | |||
Vali sertifikaadihoidla tüüp. Kuna me käesolevalt kasutame AD andmebaasi RADIUSe jaoks, vali "Enterprise" | Palutakse märkida rolli teenused. Certification Authority on kohustuslik. Web Enrollment võimaldab teha sertifikaaditaotlusi veebibrauseriga, kasutamata otseselt teist arvutit. Hetkel me seda ei vaja, jätkamiseks vajuta "Next".<br> | ||
[[image:Radiusadcs5.png | [[image:Radiusadcs3.png]] | ||
[[image:Radiusadcs6.png | ==Specify Setup Type== | ||
[[image:Radiusadcs7.png | Vali sertifikaadihoidla tüüp. Kuna me käesolevalt kasutame AD andmebaasi RADIUSe jaoks, vali "Enterprise", mis seob CA AD külge. Jätkamiseks vajuta "Next"<br> | ||
[[image:Radiusadcs8.png | [[image:Radiusadcs4.png]] | ||
[[image:Radiusadcs10.png | ==Specify CA Type== | ||
[[image:Radiusadcs11.png | Kuna tegemist on esimese CA'ga, pead määrama selle tasemme. Kuna meil eelnevad CA'd puuduvad, määra Root CA (juursertimisorgan) ja jätks.<br> | ||
[[image:Radiusadcs5.png]] | |||
==Set Up Private Key== | |||
Kuna meil puuduvad eelnevad CA'd koos privaatvõtmetega, vali uue privaatvõtme loomiseks "Create a new private key" ja jätka.<br> | |||
[[image:Radiusadcs6.png]] | |||
==Configure Cryptography for CA== | |||
Võimaldab määrate erinevaid krüptoteenuseid ja võtmepikkusi juursertifikaadile. Kuigi turvamiseks võib valida SHA512 räsialgoritmi ja 16384 bitise võtme, on vaikimisi võimalused proof-of-concept jaoks täiesti piisavad. Jätka. | |||
[[image:Radiusadcs7.png]] | |||
==Configure CA Name== | |||
Common name kohale võib kirjutada midagi kergesti äratuntavat, näiteks "Domeeni juursertifikaat". DN suffiksit pole mõtet muute ilma täpsete teadmisteta LDAPist ja AD struktuurist. | |||
[[image:Radiusadcs8.png]] | |||
==Set Validity Period== | |||
Juursertifikaadi kehtivusaeg. Vaikimisi 5 aastat on sobiv, jätka. | |||
[[image:Radiusadcs9.png]] | |||
==Configure Certificate Database== | |||
Praktikas on soovitatav andmed paigutada eraldi partitsioonile, hetkel jätame nad siiski vaikimisi asukohta. | |||
[[image:Radiusadcs10.png]] | |||
==Confirm Installation Selections== | |||
Kokkuvõte valikutest. Peale "Install" vajutamist pole võimalik arvuti nime ega domeenikuuluvust muuta ilma juursertifikaati tühistamata. | |||
[[image:Radiusadcs11.png]] | |||
=Network Protection Services= | =Network Protection Services= | ||
Revision as of 17:52, 29 May 2010
Sissejuhatus
RADIUSega tegelevate teenuste struktuur on Windows NT5 (2000, 2003) ja NT6 (2008, 2008R2) vahel oluliselt muutunud.
- Peaks töötama ka Windows Server 2008 R2 peal
- Windows 2008 NPS on üsna keeruline tööriist, 2003 vastav teenus oli palju lihtsam.
Infrastruktuur
- Windows Server 2008 on eelnevalt paigaldatud. Vaata Windows Server administreerimine
- Active Directory on eelnevalt paigaldatud. Vaata Active Directory Domain Services
- Tugijaam on DD-WRT v23 SP2 baseeruv
- Klientseade on Windows XP, Vista, 7
Active Directory Certificate Services
Active Directory Certificate Services (ADCS) on tarvilik EAP-TLS sertifikaatide väljastamiseks ja kontrollimiseks. Samuti kasutab seda valikuliselt PEAP. Viimane võib kasutada ka ise väljastataud (self-signed) sertifikaati, kuid kuna seda TLS jaoks juba vaja on, kasutame sedasama.
Add Roles Wizard
Käivita "Add New Roles" viisard ja märgi ADCS. Nagu näha on eeldatavad AD ja DNS (AD eeldus) rollid juba paigaldatud. Jätkamiseks vajuta "Next".
Introduction to Active Directory Certificate Services
Kuvatakse rolli tutvustus ja hoiatatakse, et peale rolli paigaldust ei saa serveri nime ega domeeni kuuluvust muuta. Need tegevused muudaks arvuti ja DNS nime ning juursertifikaati ei saa enam kontrollida, kuna vastav server privaatvõtmega puudub.
Select Role Services
Palutakse märkida rolli teenused. Certification Authority on kohustuslik. Web Enrollment võimaldab teha sertifikaaditaotlusi veebibrauseriga, kasutamata otseselt teist arvutit. Hetkel me seda ei vaja, jätkamiseks vajuta "Next".
Specify Setup Type
Vali sertifikaadihoidla tüüp. Kuna me käesolevalt kasutame AD andmebaasi RADIUSe jaoks, vali "Enterprise", mis seob CA AD külge. Jätkamiseks vajuta "Next"
Specify CA Type
Kuna tegemist on esimese CA'ga, pead määrama selle tasemme. Kuna meil eelnevad CA'd puuduvad, määra Root CA (juursertimisorgan) ja jätks.
Set Up Private Key
Kuna meil puuduvad eelnevad CA'd koos privaatvõtmetega, vali uue privaatvõtme loomiseks "Create a new private key" ja jätka.
Configure Cryptography for CA
Võimaldab määrate erinevaid krüptoteenuseid ja võtmepikkusi juursertifikaadile. Kuigi turvamiseks võib valida SHA512 räsialgoritmi ja 16384 bitise võtme, on vaikimisi võimalused proof-of-concept jaoks täiesti piisavad. Jätka.
Configure CA Name
Common name kohale võib kirjutada midagi kergesti äratuntavat, näiteks "Domeeni juursertifikaat". DN suffiksit pole mõtet muute ilma täpsete teadmisteta LDAPist ja AD struktuurist.
Set Validity Period
Juursertifikaadi kehtivusaeg. Vaikimisi 5 aastat on sobiv, jätka.
Configure Certificate Database
Praktikas on soovitatav andmed paigutada eraldi partitsioonile, hetkel jätame nad siiski vaikimisi asukohta.
Confirm Installation Selections
Kokkuvõte valikutest. Peale "Install" vajutamist pole võimalik arvuti nime ega domeenikuuluvust muuta ilma juursertifikaati tühistamata.
Network Protection Services
Rolli install ja vajalikud klõpsud
Tugijaama seadistamine
Seadistamine EAP-PEAP (MS-CHAP2) jaoks
Audentimisskeem vastu DC'd
Seadistamine EAP-TLS jaoks
Cerdid, kliendicerdid
Group Policy seaded WiFi RADIUS klientide halduseks
GP'ga tuntud levialad jms.
© Mihkel Soomere 2010
