Установка беспроводного подключения с необходимостью проверки подлинности в частной сети может оказаться очередной задачей, как для пользователя, так и администратора. Входящий в домен Active Directory и подключенный по беспроводной связи клиентский компьютер под управлением Windows должен пройти проверку подлинности IEEE 802.1X, чтобы установить защищенное беспроводное подключение и войти в домен. Поскольку при проверке подлинности необходимы учетные данные пользователя или компьютера, и так как вход в домен зависит от работоспособности сети, определение порядка, по которому будет выполняться проверка подлинности, а также требований к вводимым учетным данным, может быть проблематичным. Все это может повлиять на процессе входа в домен, и у пользователя могут несколько раз запрашиваться его учетные данные.
К счастью, возможность единого входа для беспроводных сетей, реализованная в Windows Vista®, позволяет задать выполнение проверки подлинности IEEE 802.1X для типа Wi-Fi Protected Access 2 (WPA2)-Enterprise, WPA-Enterprise и проверки подлинности 802.1X с WEP (Wireless Equivalency Privacy) до входа пользователя в систему. Это позволит решить проблемы с входом в домен в определенных конфигурациях. В едином входе для беспроводных сетей также сочетается проверка подлинности при беспроводном подключении по типу входа в Windows®, что гарантирует удобство для пользователей. По этим причинам, в этом номере я хотел бы рассмотреть возможности функции единого входа для беспроводных сетей, порядок настройки и действий при входе пользователя в систему.
Единый вход: Основы
Клиентский компьютер под управлением Windows и подключаемый по беспроводной связи может пройти проверку подлинности в беспроводной сети только на основе учетных данных компьютера или пользователя, или и того и другого. Если используются только учетные данные компьютера, Windows проходит проверку подлинности 802.1X, прежде чем отображается заставка входа в систему. Это позволяет подключенному по беспроводной связи клиентскому компьютеру просто получить доступ к сетевым ресурсам, например контроллерам домена Active Directory®.
При использовании только учетных данных пользователя, в Windows без единого входа выполняется проверка подлинности 802.1X после входа пользователя в систему. На Рисунке 1 показана временная шкала загрузки и входа в систему по описанному сценарию.
Рис. 1 Временная шкала при использовании только учетных данных пользователя для проверки подлинности в беспроводной среде
Использование только учетных данных пользователя для проверки подлинности в беспроводной среде приводит к тому, что пользователь не может выполнить начальный вход в домен с компьютера, поскольку локально кэшируемые учетные данные для его учетной записи пользователям отсутствуют, а связи с контроллером домена для проверки подлинности новых учетных данных для входа нет. Более того, некоторые операции входа в домен выполнить не удастся, так как подключение к контроллеру домена Active Directory в данный момент не установлено. Не удастся использовать и сценарии входа в систему, изменения групповой политики и изменения профиля пользователя – это приведет к записи ошибок в журнале событий Windows.
При использовании сочетания учетных данных пользователя и компьютера, в Windows выполняется проверка подлинности 802.1X по учетным данным компьютера, прежде чем отображается заставка для входа. После входа пользователя в систему, в Windows выполняется еще одна проверка подлинности 802.1X по учетным данным пользователям. В некоторых сетевых инфраструктурах используются разные виртуальные локальные сети (VLAN) для компьютеров, проходящих проверку подлинности с учетными данными компьютера, и для компьютеров, проверяемых по учетным данным пользователя. Если проверка подлинности беспроводной сети выполняется по учетным данным пользователя и после входа пользователя в систему происходит переключение в сеть VLAN с проверкой по пользователю, то клиентский компьютер под управлением Windows, подключаемый по беспроводной связи, не будет иметь доступа к сетевым ресурсам в VLAN с проверкой пользователя, таким как контроллеры домена Active Directory, во время процесса входа пользователя в систему. И снова это приводит к неудавшимся попыткам входа в домен.
Другая проблема возникает, когда проверка подлинности в беспроводной среде по учетным данным пользователя основывается на наборе учетных сведений, отличных от учетных данных пользователя для входа. В таких ситуациях, Windows предлагает ввести дополнительные учетные данные пользователя в начале проверки подлинности беспроводной сети, что может озадачить.
Функция единого входа в Windows Vista была разработана для решения проблем с входом в домен, отдельные VLAN-сети с проверкой по учетным данным пользователя или компьютера и обращениями к пользователю с требованием каждый раз указывать разные учетные данные. Используя функцию единого входа, администратор сети может настроить проверку подлинности беспроводной сети по учетным данным пользователя до процесса входа пользователя в систему. Если учетные данные пользователя, необходимые для входа в систему и проверки подлинности беспроводной сети различаются, все требуемые учетные данные запрашиваются и собираются на экране входа в систему.
Благодаря функции единого входа, клиентский компьютер под управлением Windows Vista, подключаемый по беспроводной связи, можно настроить на прохождение проверки подлинности в беспроводной среде по учетным данным пользователя до процесса входа в систему. На Рисунке 2 показана новая временная шкала загрузки и входа в систему.
Рис. 2 Временная шкала: проверка подлинности беспроводной сети по учетным данным пользователя происходит после входа в систему
При этом возможны конфигурации, когда используются только учетные данные пользователя или сочетание учетных данных пользователя и компьютера для отдельных сетей VLAN без потери функциональности. Поскольку беспроводный клиент подключен к сети или VLAN с проверкой пользователя до начала процесса входа в систему, операции входа в домен будут выполнены успешно.
На основе настроек профиля беспроводной сети, при едином входе выполняется «консолидация» полей ввода для учетных данных пользователя для проверки подлинности беспроводной сети, и их отображение на заставке входа в систему. Следовательно, все учетные данные пользователя для входа в систему и проверки подлинности в беспроводной среде по учетным данным пользователя вводятся пользователем одновременно.
Методы EAP (Протокол расширенной проверки подлинности), написанные для новой архитектуры EAPHost в Windows Vista могут использовать интерфейс EAP Pre-Logon Authentication Provider (PLAP) Support API для включения полей ввода, необходимых для проверки подлинности, в заставку входа в систему. Дополнительные сведения см. в описании функции SSO и PLAP API по адресу msdn2.microsoft.com/bb530584.
Чтобы привести пример сеанса единого входа, возьмем клиентский компьютер под управлением Windows Vista, настроенный на проверку подлинности только по учетным данным пользователя, а также имени пользователя и пароля как для входа в домен, так и для проверки подлинности 802.1X. При нажатии пользователем сочетания клавиш Ctrl+Alt+Del на первом экране Windows Vista, функция единого входа определяет, что до входа в систему необходимо провести проверку подлинности 802.1X. После того, как пользователь вводит имя и пароль, функция единого входа сначала выполняет проверку подлинности беспроводной сети по ученым данным пользователя, и выводит сообщение о подключении к беспроводной сети по имени. После проверки подлинности беспроводной сети, в Windows Vista выполняется вход в систему и отображается рабочий стол пользователя.
Настройка единого входа.
Чтобы включить и настроить функцию единого входа, можно использовать расширение групповой политики «Политики беспроводной сети (IEEE 802.11)» и настроить параметры расширенной безопасности для профиля беспроводной сети политики Windows Vista.
В диалоговом окне «Дополнительные параметры безопасности» установите флажок «Включить единую регистрацию для сети» и настройте параметры «Единая регистрация». На Рисунке 3 показан пример включенной единой регистрации с настройками по умолчанию.
Рис. 3 Настройки единой регистрации по умолчанию
За сценой
Чтобы дополнить картину понимания процесса проверки подлинности беспроводной сети, давайте подробнее рассмотрим что происходит, когда пользователь активно пытается войти в систему. После того, как пользователь нажимает сочетание клавиш «Ctrl+Alt+Del» для входа в систему Windows Vista в беспроводной среде, выполняются следующие действия:
1. Средство автоматической настройки беспроводной сети определяет используемый профиль беспроводной сети. Если клиентский компьютер уже успешно прошел проверку подлинности по учетным данным компьютера, используется подключенный на тот момент профиль беспроводной сети. Если выбранный профиль беспроводной сети настроен на выполнение проверки подлинности только по учетным данным компьютера, дополнительная проверка подлинности беспроводной сети по учетным данным пользователя не требуется. На шагах со 2 по 6 предполагается, что выбранный профиль беспроводной сети настроен на проверку подлинности по учетным данным пользователя, функция единого входа включена и выбрана настройка «Выполнять непосредственно перед входом пользователя».
2. Пользователь вводит учетные данные пользователя для входа в систему и проверки подлинности беспроводной сети (в случае необходимости) и входит в систему.
3. Windows сообщает пользователю о попытке подключения к имени беспроводной сети.
4. Windows пытается выполнить проверку подлинности беспроводной сети по учетным данным пользователя. Если установлена настройка «Разрешить отображение дополнительных окон при едином входе» и типу методов EAP требуется отображать дополнительные диалоговое окна для пользователя, в Windows выводятся соответствующие диалоговые окна. Если проверку подлинности в беспроводной среде не удалось выполнить в течение времени, заданного в настройке «Макс. задержка подключения (сек):», проверка подлинности прерывается. Если установлена настройка «Эта сеть использует разные виртуальные локальные сети для проверки подлинности с учетными данными компьютеров и пользователей», Windows выполняет обновление DHCP конфигурации IP-адресов беспроводного сетевого адаптера при успешном выполнении проверки подлинности беспроводной сети.
5. В Windows проходит процесс входа в систему.
6. Отображается рабочий стол Windows.Если установлена настройка «Выполнять сразу после входа пользователя», Windows проходит шаги в следующем порядке: 1, 2, 5, 3, 4, 6.
Существуют настройки SSO для осуществления проверки подлинности 802.1X непосредственно до или сразу после процесса входа пользователя при беспроводном подключении и для указания задержки для установления связи перед началом процесса входа в систему. Можно также задать отображение диалоговых окон перед отображением полей ввода на заставке входа в систему. Например, если типу методов EAP необходимо, чтобы пользователь подтвердил сертификат, отправленный сервером RADIUS (Remote Authentication Dial-in User Service) во время проверки подлинности, тип методов EAP может вызвать отображением диалоговых окон.
Можно также определить запуск клиентом беспроводной сети обновления протокола DHCP конфигурации TCP/IP беспроводного адаптера после выполнения проверки подлинности с учетными данными пользователя. Следует выбрать эту настройку, если используются отдельные сети VLAN для проверки подлинности по учетным данным клиентского компьютера и пользователя, и такие сети VLAN используют разные подсети IPv4 или IPv6.
После создания профиля беспроводной сети с настройками SSO в рамках политики, клиентские компьютеры под управлением Windows Vista можно настроить путем экспорта профиля в виде XML-файла и его импорта на клиентские компьютеры с Windows Vista.
Чтобы создать XML-профиль беспроводной сети с SSO, создайте профиль с соответствующими настройками единой регистрации. На вкладке «Общие» настроек беспроводной политики Windows Vista, щелкните профиль беспроводной сети с настройками единого входа, и нажмите кнопку «Экспорт». По запросу укажите имя XML-файла с профилем и его расположение.
Чтобы использовать XML-профиль SSO для настройки другого клиентского компьютера под управлением Windows Vista, импортируйте XML-профиль при помощи следующей команды:
netsh wlan add profile filename=
"[FileName].xml"
Чтобы определить, включен ли единый вход в профиле беспроводной сети, введите:
netsh wlan show profile=[ProfileName]
Параметры единого входа указываются в области «Настройки безопасности» после выполнения команды «netsh wlan show profile» и в описании событий беспроводных подключений в журнале событий Windows. Можно также воспользоваться оснасткой Просмотр событий для просмотра событий в папке Microsoft\Windows\WLAN-AutoConfig журнала «Приложения и службы» с источником «WLAN-AutoConfig» и номерами событий 13001, 13002, 13003 и 13004.
Автор: Джозеф Дэвис (Joseph Davies)
Взято с ноябрьского номера TechNet Magazine.