このドキュメントでは、Wi-Fiネットワークでセキュリティレベルを確立する方法を説明します, 制御された安全な機器アクセスのために, 当社のActive Directoryのユーザーによる認証に基づく,

最初に必要なのは、お客様のWi-Fiアクセスを保護するために、ドメインにエンタープライズ認証局をインストールすることです.

認証局がインストールされたら、Radiusの検証に使用するコンピューター証明書を生成します. これを行うには、MMC コンソールを開き、証明書コンソールを追加します.

次に、新しい証明書のリクエストを行います, この場合、NPSサーバーをインストールするドメインコントローラーであるため、ドメインコントローラーのタイプです. 異なる場合は、設備証明書の発行をお願いします.

登録を押します.

証明書が作成されたら、アクセス権限を付与するユーザーとコンピューターを含む Active Directory グループの構成に進みます.

それらのために、Active Directoryユーザーとコンピューターを開き、WIFIネットワークの認証で権限を付与するユーザーとコンピューターを含むユニバーサルグループをActive Directoryに作成します.

このグループには、アクセスを許可するユーザーとコンピューターを追加します.

これで、NPSサーバーの作業を開始するための基礎ができました. 次に、ロールをインストールします “ネットワークポリシーとアクセスサービス”,

私たちは痕跡を残します “ネットワークポリシーサーバ”, “ルーティングおよびリモートアクセスサービス”, “リモートアクセスサービス” & “ルーティング”

次に、NPSに移動して標準構成を作成しましょう: “802.1X ワイヤレスの RADIUS” を押して、 “802.1X の設定”,

印 “安全なワイヤレス接続” そして、私たちはそれに名前を付けます,

アクセスポイントとなるRadiusクライアントを追加します

APに名前を付けます, あなたのIPアドレスと私たちはあなたがAPと共有するパスワードを作成します

Radiusによる認証に必要な数のAPを追加します.

既存のさまざまな認証方法の説明:
– EAPの (拡張認証プロトコル) 任意の認証方法を使用する, 証明書など, スマートカード, または資格情報.
– EAP-TLSの (EAP-トランスポート層セキュリティ) は、証明書ベースのセキュリティ環境で使用される EAP タイプです, また、最も強力な認証およびキー決定方法を提供します.
– EAP-MS-CHAP v2 (英語) (EAP-Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2) は、パスワードベースのユーザー認証またはコンピュータ認証をサポートする相互認証方式です.
– ピープ (保護された EAP) は、TLS を使用して他の EAP 認証プロトコルのセキュリティを強化する認証方法です.

認証メカニズムを選択する場合, 必要なセキュリティのレベルと、デプロイに必要な労力とのバランスを取る必要があります. 最高レベルのセキュリティのために, 証明書付きの PEAP を選択 (EAP-TLSの). 導入を最も簡単に, パスワード付きの PEAP を選択 (EAP-MS-CHAP v2 (英語)).

Elegimos el tipo de autenticación “Microsoft Protected EAP (ピープ)” をクリックし、をクリックします “セット” para elegir el certificado que hemos generado anteriormente de nuestra CA.

Elegimos el Certificado generado anteriormente por nuestra CA y en este caso vamos utilizar el metodo de autenticación EAP-MSCHAPv2

OKと次へ

次に、アクセス権を付与する Active Directory グループを指定します, 私が言いたいのは, 先ほど作成したグループ “ワイヤレス ユーザー”. “次に”,

次,

終わり.

NPSサーバーをActive Directoryに登録します. NPSを右クリックし、Active Directoryにサーバーを登録.

“わかりました”,

受け入れる.

これでウィザードは終了し、APと顧客からの接続を受け入れるようにNPSサーバーをすばやく構成しました。.

構成を微調整するには、内部で微調整できます ネットワークポリシー ウィザードで作成されたポリシー

または、新しい AP を RADIUS のお客様

AP の設定,

ドキュメントのこの部分では、アクセスポイントの設定について説明します,

次のパラメータを使用して、NPSサーバに対して撃つようにAPを設定します:

– WPA2エンタープライズ
– 暗号化: AESの
– RADIUSサーバーのIP
– NPS サーバーと共有されるパスワード

ドメイン機器ポリシー,

ドメイン内のコンピューターに対して新しいポリシーを作成し、関心のある場合に GPO を介して Wi-Fi ネットワークが構成されるようにしました.

これを行うには、グループポリシー管理に移動し、ドキュメント「ワイヤレスユーザー」の冒頭で作成したグループに配置した機器に適用する新しいポリシーを作成します’ ここでは、以下を設定します。.

行きましょう “機器構成” > “ワイヤレスネットワーク” > “Windows Vista 以降のリリースの新しいワイヤレス ネットワーク ポリシーを作成する”,

私たちは政治に名前を付けます, 説明と “足す…” > “インフラ”,

名前を付けてWi-Fiネットワークを追加します.

ネットワークを作成したときにすべてのパラメータを設定し、 “Microsoft Protected EAP (ピープ)” > “プロパティ”

作動させる “サーバー証明書の検証” そして、ドメインのCAを確認し、受け入れます

タブに戻りましょう “安全” そして、私たちは入れます “アドバンスド” をアクティブにするには、 “シングルサインオン”.

私たちはすべてを受け入れ、Wifiネットワークへの接続のための自動構成ポリシーをすでに構成しています.