Общие сведения о беспроводном доступе с проверкой подлинности по стандарту безопасности 802.1X
Применимо к:Windows Server 2012
В этом документе приводится обзор доступа с проверкой подлинности IEEE 802.1X для беспроводных подключений IEEE 802.11. Здесь также представлены ссылки на источники сведений о технологиях, тесно связанных с беспроводным доступом с проверкой подлинности 802.1X либо имеющих иное отношение к беспроводному доступу.
Примечание
Помимо этого раздела также доступна следующая документация по беспроводному доступу с проверкой подлинности 802.1X для Windows Server 2012.
Возможно, вы имели в виду...
Проводной доступ с проверкой подлинности в соответствии со стандартом безопасности 802.1X
Команды Netsh для беспроводной локальной сети (WLAN) в Windows Server 2008 R2 и технической библиотеке TechNet Windows Server 2008.
Беспроводной доступ с проверкой подлинности 802.1X в Windows Server 2008 R2 и технической библиотеке по TechNet Windows Server 2008.
Описание компонента
Стандарт безопасности IEEE 802.1X обеспечивает дополнительную защиту интрасети от несанкционированного подключения к ней гостевых, неавторизованных или неуправляемых компьютеров, которые не прошли проверку подлинности.
Усиленная безопасность, ради которой администраторы настраивают проверку подлинности IEEE 802.1X для проводных сетей IEEE 802.3, побуждает их внедрять стандарт безопасности IEEE 802.1X и для обеспечения защиты беспроводных сетевых подключений. Аналогично тому, как клиент проводной сети при проверке подлинности должен представить определенный набор учетных данных, чтобы получить разрешение на передачу кадров в проводную интрасеть Ethernet, клиент беспроводной сети IEEE 802.1X также должен пройти проверку подлинности, чтобы получить разрешение на передачу трафика через порт беспроводной точки доступа по сети.
Обзор важных терминов и технологий
Ниже представлены общие сведения, объясняющие суть различных технологий для развертывания беспроводного доступа с проверкой подлинности 802.1X.
Примечание
В этом документе беспроводной доступ с проверкой подлинности 802.1X называется беспроводным доступом.
IEEE 802.1X
Стандарт безопасности IEEE 802.1X определяет управление доступом к сети на базе портов для беспроводного доступа с проверкой подлинности к корпоративным сетям. При управлении доступом к сети на базе портов для проверки подлинности устройств, подключенных к определенному сетевому порту используются физические характеристики инфраструктуры беспроводных точек доступа с поддержкой 802.1X. В случае непрохождения проверки подлинности доступ к данному порту может быть запрещен. Указанный стандарт, изначально предназначенный для проводных Ethernet-сетей, был адаптирован и для использования в беспроводных локальных сетях 802.11.
Проводные Ethernet-коммутаторы, поддерживающие IEEE 802.1X
Для развертывания беспроводного доступа 802.1X необходимо установить в сети и настроить одну или несколько беспроводных точек доступа, поддерживающих 802.1X. Эти беспроводные точки доступа должны поддерживать протокол RADIUS.
Когда 802.1X и RADIUS-совместимые беспроводные точки доступа развернуты в инфраструктуре протокола RADIUS с RADIUS-сервером (таким, как NPS), они называются RADIUS-клиентами.
Беспроводные сети IEEE 802.11.
IEEE 802.11 представляет собой набор стандартов, определяющих уровень-1 (физический уровень) и уровень-2 (уровень управления доступом к среде передачи данных — MAC) в беспроводной сети.
Сервер политики сети
Сервер политики сети (NPS) позволяет централизованно настраивать сетевые политики и управлять ими при помощи следующих трех компонентов: RADIUS-сервера, прокси-сервера RADIUS и сервера политики защиты сетевого доступа (NAP). NPS-сервер необходим для развертывания беспроводного доступа на базе 802.1X.
Сертификаты сервера
Для развертывания беспроводного доступа требуются сертификаты каждого NPS-сервера, выполняющего проверку подлинности 802.1X.
Сертификат сервера — это электронный документ, который широко применяется для аутентификации и защиты данных в общедоступных сетях. Сертификат безопасно привязывает открытый ключ к объекту, обладающему закрытым ключом. Сертификаты утверждаются цифровой подписью в центре выдачи сертификатов (ЦС) и могут быть оформлены на пользователя, компьютер или службу.
Центр сертификации (ЦС) подтверждает подлинность открытых ключей, принадлежащих субъектам (как правило, пользователям или компьютерам) либо другим ЦС, под свою ответственность. ЦС может привязывать открытые ключи к различающимся именам посредством подписанных сертификатов, управлять серийными номерами сертификатов, а также аннулировать сертификаты.
Службы сертификатов Active Directory (AD CS) реализуют роль сервера Windows Server 2012 по выдаче сертификатов. Инфраструктура сертификатов AD CS, которая также называется инфраструктурой открытых ключей (PKI), предоставляет настраиваемые службы выдачи и управления сертификатов для предприятия.
EAP
Протокол EAP является расширением протокола PPP и реализует дополнительные проверки подлинности, использующие обмен учетными и другими данными произвольной длины. Для успешной проверки подлинности по протоколу EAP и клиент сетевого доступа, и структура проверки подлинности (например, сервер политики сети) должны поддерживать один и тот же тип EAP.
Новые и измененные функции
В Windows Server 2012 беспроводной доступ (WiFi) лишь незначительно отличается от проводного доступа, реализованного в Windows Server 2008 R2. Изменения можно представить следующим образом:
Компонент или функция |
Предыдущая операционная система |
Новая операционная система |
|---|---|---|
Добавление туннельного протокола EAP-TLS (EAP-TTLS) в список сетевых методов проверки подлинности, включенных по умолчанию |
Не включено |
Включено по умолчанию |
См. также:
Ниже приводятся дополнительные ресурсы, относящиеся к беспроводному доступу с проверкой подлинности 802.1X.