Installasjonen krever en Windows 2003 server innmeldt i domene.



Like dokumenter
Installasjonen krever en Windows 2008 server innmeldt i domene.

Konfigurasjon av Eduroam i Windows Vista

Eduroam på Windows Vista

Trådløst nett UiT Feilsøking. Wireless network UiT Problem solving

Trådløst nett UiT. Feilsøking. Wireless network UiT Problem solving

Trådløsnett med Windows Vista. Wireless network with Windows Vista

Trådløsnett med Windows XP. Wireless network with Windows XP

Intentor Helpdesk - Installasjon Step #3: Microsoft Reporting Services

INTEGRASJONSGUIDE BP CODE Check Point R75.x R76

6105 Windows Server og datanett

6105 Windows Server og datanett

6105 Windows Server og datanett

Før du starter, del 2

Eduroam. Hvordan koble seg til trådløst nettverk på UiS?

TRÅDLØS TILKOBLING PÅ KHIO

Trådløsnett med. Wireless network. MacOSX 10.5 Leopard. with MacOSX 10.5 Leopard

Velkommen til Pressis.

Remote Desktop Services

SQL Server guide til e-lector

6105 Windows Server og datanett

VMware Horizon View Client. Brukerveiledning for nedlasting, installasjon og pålogging for fjerntilgang

6105 Windows Server og datanett

6105 Windows Server og datanett

Hurtigstart guide. Searchdaimon ES (Enterprise Server)

Tekniske krav. Installasjonsrekkefølge. Operativsystem og web-server. Maskinvare. .Net Framework 2.0. ASP.Net AJAX 1.0

Viktig informasjon til nye brukere av Mac-klient fra UiB

6105 Windows Server og datanett

Oppsett av PC mot Linksys trådløsruter

LAB-L SETTE OPP MICROSOFT SERVER 2003

Controller Brukerstøttedatabase Ottar Holstad/Cantor 09.

6105 Windows Server og datanett

6105 Windows Server og datanett

1. MSI fra Group Policy

6105 Windows Server og datanett

Tilpasning av Windows 2000 server til Skolelinux tynnklienttjener

Veiledning for programvareinstallering NPD NO

6105 Windows Server og datanett

SPSS Høgskolen i Innlandet

INTEGRASJONSGUIDE BP CODE Cisco ASA 8.3x 9.1x

Huldt & Lillevik Ansattportal. Installere systemet

Programvare som installeres Følgende tre programmer benyttes til oppgraderingen og kan lastes ned fra

Huldt & Lillevik Lønn 5.0. Installere systemet

Printer Driver. Denne veiledningen beskriver installasjonen av skriverdriveren for Windows Vista. Før denne programvaren brukes

Innhold RDP... 2 Oppkobling Kirkedata... 2 Flere brukerpålogginger til Kirkedata... 8

6105 Windows Server og datanett

Trådløskurs del 2, dag 2. Sesjon 6. Fredag kl. 09:00-10:30

Intentor Helpdesk - Installasjon Step #4: Database

VPN for Norges idrettshøgskole, Windows

6105 Windows Server og datanett

Utrulling av sertifikater til IOS

SPSS Høgskolen i Innlandet

6105 Windows Server og datanett

For kunder som bruker Windows for nettverkstilkobling

Gå til Nedlastninger på menylinjen for Visma Skolelisens og velg Visma Lønn versjon 9.5.

Huldt & Lillevik Ansattportal. Installere systemet

Spørsmål: Hvordan setter jeg opp routeren uten cd? Svar: Routeren kan settes opp manuelt med denne steg for steg guiden nedenfor

SuperOffice hurtigstart guide

LW153 Sweex Wireless 150N Adapter USB

PowerOffice Server Service

Utgave 2.0. wssurvhw0021. wssurvp2

Norsk Data Senter AS Oppgradering av Intentor Helpdesk

Innhold RDP... 2 Oppkobling Kirkedata... 2 Flere brukerpålogginger til Kirkedata... 8

Konfigurasjon av nettverksløsning for Eldata 8.0 basert på PostgreSQL databasesystem.

Innhold RDP... 2 Oppkobling Kirkedata... 2 Flere brukerpålogginger til Kirkedata... 6

Norsk Internett Brukermanual. Sist oppdatert Side 1/37

Steg 1: Installasjon. Steg 2: Installasjon av programvare. ved nettverkstilkoblingen på baksiden av kameraet. Kameraet vil rotere og tilte automatisk.

Manuelt oppsett av softphone

NorskInternett Brukermanual. Sist oppdatert Side 1/30

Innhold RDP... 2 Oppkobling Kirkedata... 2 Flere brukerpålogginger til Kirkedata... 6

6105 Windows Server og datanett

Innhold. Epostprogrammer og webmail.

GigaCampus Mobilitetskurs Del 2. Sesjon 4. Torsdag

Introduksjon til versjonskontroll av Ola Lie

6105 Windows Server og datanett

Nettverkstilgang - problemstilling

HJEMMEKONTOR. Del 1 Installasjon på jobb-pc Norsk Helsenett SF [Forfatter]

4. Prøv om du kan finne en tastatur-snarvei for å komme til dette kontrollpanelet.

BRUKERHÅNDBOK FOR NETTVERKET

2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 1

Bachelor E. Theodor Rove Nordgård, Chris Sonko HIST DRIFT AV DATASYSTEMER

PowerOffice Server Service

Din verktøykasse for anbud og prosjekt

Administrator guide. Searchdaimon ES (Enterprise Server)

Installasjon av Pocket

Nedlastning og installasjon av Visma Lønn Gå til Visma Community og logg inn:

Huldt & Lillevik Lønn 5.0. Installere systemet

Installasjon og Oppsett av Weather Display Denne artikkelen er ment å være en hjelp til å laste ned, installere og sette opp Weather Display.

1. Installasjon av ISA 2004

Oppkobling mot trådløst internett for studenter og ansatte som bruker egen datamaskin eller benytter MAC/smarttelefon/nettbrett. (Gruppe B): Innhold

CMI. Brukermanual. Comendo Dronning Eufemias Gate 16 N-0191 Oslo T: F:

Hvordan koble seg opp mot prosjekt i SAFE fra Mac OS X?

Installasjonsveiledning PowerOffice SQL

6105 Windows Server og datanett Jon Kvisli, HSN Skriveradministrasjon - 1. Utskrift i nettverk

Norsk versjon. Installasjon Windows XP og Vista. LW311 Sweex trådløs LAN innstikkort 300 Mbps

Flytte Lønn 5.0 fra SQL 2000 til SQL 2005 / 2008

6105 Windows Server og datanett

Norsk Data Senter AS Installasjon av Intentor Helpdesk

BRUKERVEILEDNING. Oppsett av Activesync klient for Windows Smartphone og Pocket PC mot Exchange Customer Service Center

SM-720 / Service tool / SM-850

Trådløssamling NORDUnet Stockholm Tom Ivar Myren

Transkript:

Installasjon av IAS Installasjonen krever en Windows 2003 server innmeldt i domene. Det kreves en IAS server pr. domene Steg 1) Installasjon av IAS Gå til Kontrollpanel Legg til eller fjern programmer Legg til / fjern Windows komponenter Velg Nettverkstjenester og klikk Detaljer Huk av for Internet Authentication Service. Klikk så OK, Neste og Fullfør for at IAS skal installeres. Denne veiledningen kan inneholde ord og utrykk fra både Norsk og Engelsk språklige versjoner av Windows 2003 server.

Steg 2) Tilkobling til domene og sertifikater Gå til Administrative verktøy på kontrollpanelet. Start Internet Authentication Service Klikk Action på filmenyen. Klikk Register Server in Active Directory For å få PEAP til å fungere kreves det ett sertifikat. For å legge til ett sertifikat: Start Kjør Skriv mmc og klikk OK. I vinduet som åpner seg, klikk på File og så på Add/Remove Snap-in. Klikk Add på fanen Standalone. Velg Certificates og klikk Add Velg Computer account og klikk Neste Velg Local computer og klikk Fullfør Klikk først Close og deretter OK på de vinduene som er åpne. Klikk på plusstegnet foran Certificates. Høyreklikk på Personal velg All tasks og Request New Certificate Følg instruksene på skjermen til ett nytt sertifikat er opprettet. Lukk konsoll vinduet.

Steg 3) Legge til klienter i IAS. Klientene er de som har lov til å spørre radius serveren om autentisering, som da radius serveren autentiserer lokalt eller videresender. For mer informasjon rundt strukturen i Eduroam se dokumentasjonen om struktur og Eduroam på websiden. Klientene som legges inn her kan være aksesspunkt, en styringsenhet for det trådløse utstyret (for eksempel en Security Switch.) eller andre RADIUS servere som videresender autentisering hit. Merk: Når man benytter styringsenheter for det trådløse nettverk som for eksempel en Security Switch eller tilsvarende trenger man som oftest kun å legge til den som klient og ikke alle aksesspunktene. Gå til Administrative verktøy på kontrollpanelet. Start Internet Authentication Service Sjekk om IAS tjenesten går, hvis ikke klikk Action på filmenyen og klikk Start Service (Hvis denne er grå er tjenesten startet) Høyreklikk på RADIUS Clients velg New RADIUS Client Skriv inn Friendly name og IP adresse og klikk Neste (Eksempel på Friendly name kan være Aksesspunkt1, AP-E314, SecuritySwitch, SkoleRadius. Velg ett som beskriver!) Som Client-Vendor kan RADIUS Standard velges Shared Secret må være lik på både klienten og i IAS oppsettet. o Man kan benytte forskjellige Shared Secret for hver klient Repeter dette til alle klientene er lagt til. Og husk at andre RADIUS server som videresender autentiseringen også skal legges til som klienter. Hvis dette er den sentrale RADIUS serveren som skal ha tilknytning til Eduroam må kjernen legges til! For å legge til kjernen i Eduroam må man følge det samme som ved innlegging av klient men med disse innstillingene: IP-Adresse: 128.39.2.22 (hegre) 158.38.0.184 (trane) Friendly Name: Eduroam Shared Secret: Har du ikke fått denne ta kontakt med kolbjorn.barmen@uninett.no

Steg 4) Legge til servergrupper i IAS. For at IAS skal kunne videresende autentisering må dette settes opp en servergruppe. Hvis denne Radius serveren er den siste i en rekke av flere og ikke skal videresende autentisering trengs det ikke å definere noen servergrupper. Men likt som i steg 3, hvis denne skal ha tilkobling til Eduroam, må Eduroam legges til som servergruppe. Høyreklikk på Remote RADIUS Server Groups og velg New Remote RADIUS Server Group Klikk Neste Velg Custom og skriv inn ett navn på servergruppen Hvis dette er servergruppen for tilknytning mot Eduroam bør servergruppen hete Eduroam Klikk Add for å legge til Radius servere til servergruppen. På fanen Address fyll inn IP-adressen eller DNS navnet til serveren. På fanen Authentication/Accounting fyll inn Authentication port og shared secret Endringen på fanen Load Balancing er kun nødvendig i systemer med redundans. Klikk OK og så Neste Fjern haken på Start the New Connection Request Policy Wizard when this Wizard closes Klikk Fullfør Repeter dette til alle servergruppene er lagt til. For eksempel en servergruppe for Eduroam og en servergruppe for Skole. For mer informasjon rundt strukturen i Eduroam se dokumentasjonen om struktur og Eduroam på websiden

Steg 5) Connection Request Policies avgjør hvor autentiseringen skal skje etter gitte kritterier. En policy kan autentisere ansatte lokalt, videresende alle elevene til radius tilknyttet skoledomene og en policy sender alle andre som ikke passer i de to andre til Eduroam kjernen. Ettersom policyene behandles i en bestem rekkefølge er det viktig at dette gjøres rett. 1. De som skal autentiseres lokalt 2. De som skal sendes videre til en annen radius (denne kan det settes opp flere av) 3. Alle andre til Eduroam Høyreklikk på Connection Request Policy og velg New Connection Request Policy Klikk Neste Velg A custom policy fyll inn Policy name (for eksempel Lokalt, Skole eller Eduroam) og klikk Neste Klikk Add for å legge til kriterier for tilkoblingen. For enkelt å kunne avgjøre hvor en bruke tilhører benytter Eduroam realms basert på at brukeren skriver brukernavn@organisasjon. Realmene har ingen tilknytning til e-post adresse fordi om de kan se like ut. I de fleste tilfeller er det mulig å benytte realm tilsvarende e-post adressen. Realmene dere benytter er ofte avtalt på forhånd. Men har du spørsmål kontakt tore.kristiansen@uninett.no Eksempel på realm; stud.skol.no er tilkoblingen til Eduroam og videresender autentisering til ansatt.skole.no radius. Ansatt radius er sist i rekken og mottar autentisering den skal benytte og videresender denne. Kriterier for Connection Policies på stud.skole.no radius.*@stud.skole.no Alle studenter, autentiseres lokalt.*@ansatt.skole.no Alle ansatte, sendes til ansattradius.*@.* Alle andre, sendes til ansattradius Kriterier for Connection Policies på Ansatt radius.*@ansatt.skole.no Alle ansatte, autentiseres lokalt.*@.* Alle andre, sendes til Eduroam

Velg User-Name og klikk Add. Fyll inn kriteriet f.eks.*@stud.skole.no setter at alle brukerne som skriver inn brukernavn@stud.skole.no skal autentiseres med denne policyen. Klikk Neste og så klikk Edit Profile På fanen Authentication settes det hvor autentiseringen skal gå. Velger man Authenticate request on this server autentiseres brukeren på denne radiusserveren og det domene denne er medlem av. Eller man kan velge Forward requests to the following remote RADIUS server group for authentication da sendes autentiseringen til en av de servergruppene vi satte opp i steg 4. KUN hvis Authenticate request on this server ble valg i forrige punkt Klikk på fanen Attribute velg Attribute: User-Name klikk Add Fyll inn under Find:(.*)@(.*) Fyll inn under Replace with: $1 klikk OK og deretter Neste og Fullfør. Sett opp en Connection Request Policy hvor hver tilkobling denne RADIUS serveren skal betjene.

Steg 6) Remote Access Policies behandler lokal autentiseringen, og kan for eksempel gi forskjellige brukere tilgang til forskjellig nett. Noen på gjestenett, noen på VLAN 10, VLAN 12 osv Høyreklikk Remote Access Policies New Remote Access Policy Klikk Neste, velg Set up a custom policy og skriv inn ett navn på policyen Velg beskrivende navn på policyene for eksempel Ansatte med gjestenett, studenter på vlan10, osv. Klikke Neste Policy conditions er kriteriene som avgjør om en bruker skal benytte denne policyen eller prøve med neste. Klikk Add Hvilke kriterier det skal sjekkes på for hver Remote Access Policy er opp til dere og kommer mye an på hvordan fordelingen skal skje. Noen standardvalg kan være: NAS-Port-Type og legg ved Ethernet, Wireless IEEE802.11 og Wireless Other Windows- Groups og legg ved Domain Users og for eksempel Karantene eller Wifi vlan10 eller andre grupper fra AD. Merk: AD-gruppene må opprettes først! Når kriteriene er satt klikk Neste, velg Grant remote access permission og klikk Neste Det kan også settes opp Remote Access Policies som nekter brukere tilgang. For eksempel alle brukere som er medlem av sikkerhetsgruppen Nektes Trådløst får Deny remote access permission. Men husk: policyene behandles i en satt rekkefølge og brukerne får tilgang på den første som passer. Derfor kan det være lurt å sette alle policyer som benytter Deny remote access persmission først! Klikk Edit Profile Hvilke egenskaper som skal settes opp på profilen kommer litt an på bruken men det som MÅ være med er: Klikk på fanen Authentication, Klikk EAP Methods Klikk Add, velg Protected EAP (PEAP), klikk OK. o For å sjekke at PEAP er satt opp med ett sertifikat klikk Edit Klikk OK og huk av for: Microsoft Encrypted Authentication version 2 (MS-CHAP v2) Det er valgfritt om man vil benytte seg av User can change password after it has expired Klikk OK, Klikk Neste og Fullfør Gjennomfør dette for hver Remote Access Policy som behøves.

Steg 7) Remote Access Policies kan utvides med bruk av RADIUS attributter. RADIUS attributtene kan bl.a. gi brukeren forskjellige VLAN osv. Høyreklikk på en Remote Access policy for eksempel studenter på vlan 10 og velg Properties Klikk Edit Profile og gå til fanen Advanced Mulighetene med å sette forskjellige RADIUS attributter er mange. Jeg går gjennom det som trengs for å få satt om VLAN til brukeren fra det som leveres som standard av aksesspunktene eller styringsenheten. Klikk Add velg Tunnel-Medium-Type og klikk Add Klikk Add igjen og velg 802 (Includes all 802 media plus Ethernet canonical format) Klikk OK to ganger til du er tilbake for å velge flere attributter. Velg Tunnel-Pvt-Group-ID og klikk Add Klikk Add igjen og fyll inn VLAN som skal benyttes. For eksempel 10 Klikk OK to ganger til du er tilbake for å velge flere attributter. Velg Tunnel-Type og klikk Add Klikk Add igjen og velg Virtual LANs (VLAN) Klikk OK to ganger klikk Close på Add attribute vinduet Nå ser listen ut ca. som på bildet under. Klikk OK to ganger og repeter dette steget på alle Remote Access Policies som skal ha endring.

Steg 8) IAS logger til Event log og til fil Åpne Event Viewer velg System. Alle hendelsene med Source IAS er logger generert av IAS. IAS logger med Error, Warning og Information Loggene inneholder mye viktig informasjon som: User ola.nordmann was granted access. Fikk tilgang (granted access) eller nektet (denied access) Fully-Qualified-User-Name = skole.no/brukere/ola Nordmann Full sti for brukeren i AD Client-Friendly-Name = SecuritySwitch Hvilken klient som har sendt autentiseringen til denne RADIUS serveren Client-IP-Address = 10.10.10.91 IP-adressen til klienten Calling-Station-Identifier = 00-1A-73-F5-34-7D MAC adressen til brukeren som prøver å få tilgang NAS-Port-Type = Wireless - IEEE 802.11 Hvilken nettverkstype som er benyttet Proxy-Policy-Name = Skole Hvilken Connection Request Policy som er benyttet Authentication-Provider = Windows Hvilken programvare som benyttes av brukeren for å koble til det trådløse nettverket Policy-Name = studenter på vlan10 Hvilken Remote Access Policy som er benyttet Denne veiledningen er skrevet av Stian Lysberg og modifert av Tore A. Kristiansen Kommentarer og spørsmål rettes til tore.kristiansen@uninett.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding