Installasjon av IAS Installasjonen krever en Windows 2003 server innmeldt i domene. Det kreves en IAS server pr. domene Steg 1) Installasjon av IAS Gå til Kontrollpanel Legg til eller fjern programmer Legg til / fjern Windows komponenter Velg Nettverkstjenester og klikk Detaljer Huk av for Internet Authentication Service. Klikk så OK, Neste og Fullfør for at IAS skal installeres. Denne veiledningen kan inneholde ord og utrykk fra både Norsk og Engelsk språklige versjoner av Windows 2003 server.
Steg 2) Tilkobling til domene og sertifikater Gå til Administrative verktøy på kontrollpanelet. Start Internet Authentication Service Klikk Action på filmenyen. Klikk Register Server in Active Directory For å få PEAP til å fungere kreves det ett sertifikat. For å legge til ett sertifikat: Start Kjør Skriv mmc og klikk OK. I vinduet som åpner seg, klikk på File og så på Add/Remove Snap-in. Klikk Add på fanen Standalone. Velg Certificates og klikk Add Velg Computer account og klikk Neste Velg Local computer og klikk Fullfør Klikk først Close og deretter OK på de vinduene som er åpne. Klikk på plusstegnet foran Certificates. Høyreklikk på Personal velg All tasks og Request New Certificate Følg instruksene på skjermen til ett nytt sertifikat er opprettet. Lukk konsoll vinduet.
Steg 3) Legge til klienter i IAS. Klientene er de som har lov til å spørre radius serveren om autentisering, som da radius serveren autentiserer lokalt eller videresender. For mer informasjon rundt strukturen i Eduroam se dokumentasjonen om struktur og Eduroam på websiden. Klientene som legges inn her kan være aksesspunkt, en styringsenhet for det trådløse utstyret (for eksempel en Security Switch.) eller andre RADIUS servere som videresender autentisering hit. Merk: Når man benytter styringsenheter for det trådløse nettverk som for eksempel en Security Switch eller tilsvarende trenger man som oftest kun å legge til den som klient og ikke alle aksesspunktene. Gå til Administrative verktøy på kontrollpanelet. Start Internet Authentication Service Sjekk om IAS tjenesten går, hvis ikke klikk Action på filmenyen og klikk Start Service (Hvis denne er grå er tjenesten startet) Høyreklikk på RADIUS Clients velg New RADIUS Client Skriv inn Friendly name og IP adresse og klikk Neste (Eksempel på Friendly name kan være Aksesspunkt1, AP-E314, SecuritySwitch, SkoleRadius. Velg ett som beskriver!) Som Client-Vendor kan RADIUS Standard velges Shared Secret må være lik på både klienten og i IAS oppsettet. o Man kan benytte forskjellige Shared Secret for hver klient Repeter dette til alle klientene er lagt til. Og husk at andre RADIUS server som videresender autentiseringen også skal legges til som klienter. Hvis dette er den sentrale RADIUS serveren som skal ha tilknytning til Eduroam må kjernen legges til! For å legge til kjernen i Eduroam må man følge det samme som ved innlegging av klient men med disse innstillingene: IP-Adresse: 128.39.2.22 (hegre) 158.38.0.184 (trane) Friendly Name: Eduroam Shared Secret: Har du ikke fått denne ta kontakt med kolbjorn.barmen@uninett.no
Steg 4) Legge til servergrupper i IAS. For at IAS skal kunne videresende autentisering må dette settes opp en servergruppe. Hvis denne Radius serveren er den siste i en rekke av flere og ikke skal videresende autentisering trengs det ikke å definere noen servergrupper. Men likt som i steg 3, hvis denne skal ha tilkobling til Eduroam, må Eduroam legges til som servergruppe. Høyreklikk på Remote RADIUS Server Groups og velg New Remote RADIUS Server Group Klikk Neste Velg Custom og skriv inn ett navn på servergruppen Hvis dette er servergruppen for tilknytning mot Eduroam bør servergruppen hete Eduroam Klikk Add for å legge til Radius servere til servergruppen. På fanen Address fyll inn IP-adressen eller DNS navnet til serveren. På fanen Authentication/Accounting fyll inn Authentication port og shared secret Endringen på fanen Load Balancing er kun nødvendig i systemer med redundans. Klikk OK og så Neste Fjern haken på Start the New Connection Request Policy Wizard when this Wizard closes Klikk Fullfør Repeter dette til alle servergruppene er lagt til. For eksempel en servergruppe for Eduroam og en servergruppe for Skole. For mer informasjon rundt strukturen i Eduroam se dokumentasjonen om struktur og Eduroam på websiden
Steg 5) Connection Request Policies avgjør hvor autentiseringen skal skje etter gitte kritterier. En policy kan autentisere ansatte lokalt, videresende alle elevene til radius tilknyttet skoledomene og en policy sender alle andre som ikke passer i de to andre til Eduroam kjernen. Ettersom policyene behandles i en bestem rekkefølge er det viktig at dette gjøres rett. 1. De som skal autentiseres lokalt 2. De som skal sendes videre til en annen radius (denne kan det settes opp flere av) 3. Alle andre til Eduroam Høyreklikk på Connection Request Policy og velg New Connection Request Policy Klikk Neste Velg A custom policy fyll inn Policy name (for eksempel Lokalt, Skole eller Eduroam) og klikk Neste Klikk Add for å legge til kriterier for tilkoblingen. For enkelt å kunne avgjøre hvor en bruke tilhører benytter Eduroam realms basert på at brukeren skriver brukernavn@organisasjon. Realmene har ingen tilknytning til e-post adresse fordi om de kan se like ut. I de fleste tilfeller er det mulig å benytte realm tilsvarende e-post adressen. Realmene dere benytter er ofte avtalt på forhånd. Men har du spørsmål kontakt tore.kristiansen@uninett.no Eksempel på realm; stud.skol.no er tilkoblingen til Eduroam og videresender autentisering til ansatt.skole.no radius. Ansatt radius er sist i rekken og mottar autentisering den skal benytte og videresender denne. Kriterier for Connection Policies på stud.skole.no radius.*@stud.skole.no Alle studenter, autentiseres lokalt.*@ansatt.skole.no Alle ansatte, sendes til ansattradius.*@.* Alle andre, sendes til ansattradius Kriterier for Connection Policies på Ansatt radius.*@ansatt.skole.no Alle ansatte, autentiseres lokalt.*@.* Alle andre, sendes til Eduroam
Velg User-Name og klikk Add. Fyll inn kriteriet f.eks.*@stud.skole.no setter at alle brukerne som skriver inn brukernavn@stud.skole.no skal autentiseres med denne policyen. Klikk Neste og så klikk Edit Profile På fanen Authentication settes det hvor autentiseringen skal gå. Velger man Authenticate request on this server autentiseres brukeren på denne radiusserveren og det domene denne er medlem av. Eller man kan velge Forward requests to the following remote RADIUS server group for authentication da sendes autentiseringen til en av de servergruppene vi satte opp i steg 4. KUN hvis Authenticate request on this server ble valg i forrige punkt Klikk på fanen Attribute velg Attribute: User-Name klikk Add Fyll inn under Find:(.*)@(.*) Fyll inn under Replace with: $1 klikk OK og deretter Neste og Fullfør. Sett opp en Connection Request Policy hvor hver tilkobling denne RADIUS serveren skal betjene.
Steg 6) Remote Access Policies behandler lokal autentiseringen, og kan for eksempel gi forskjellige brukere tilgang til forskjellig nett. Noen på gjestenett, noen på VLAN 10, VLAN 12 osv Høyreklikk Remote Access Policies New Remote Access Policy Klikk Neste, velg Set up a custom policy og skriv inn ett navn på policyen Velg beskrivende navn på policyene for eksempel Ansatte med gjestenett, studenter på vlan10, osv. Klikke Neste Policy conditions er kriteriene som avgjør om en bruker skal benytte denne policyen eller prøve med neste. Klikk Add Hvilke kriterier det skal sjekkes på for hver Remote Access Policy er opp til dere og kommer mye an på hvordan fordelingen skal skje. Noen standardvalg kan være: NAS-Port-Type og legg ved Ethernet, Wireless IEEE802.11 og Wireless Other Windows- Groups og legg ved Domain Users og for eksempel Karantene eller Wifi vlan10 eller andre grupper fra AD. Merk: AD-gruppene må opprettes først! Når kriteriene er satt klikk Neste, velg Grant remote access permission og klikk Neste Det kan også settes opp Remote Access Policies som nekter brukere tilgang. For eksempel alle brukere som er medlem av sikkerhetsgruppen Nektes Trådløst får Deny remote access permission. Men husk: policyene behandles i en satt rekkefølge og brukerne får tilgang på den første som passer. Derfor kan det være lurt å sette alle policyer som benytter Deny remote access persmission først! Klikk Edit Profile Hvilke egenskaper som skal settes opp på profilen kommer litt an på bruken men det som MÅ være med er: Klikk på fanen Authentication, Klikk EAP Methods Klikk Add, velg Protected EAP (PEAP), klikk OK. o For å sjekke at PEAP er satt opp med ett sertifikat klikk Edit Klikk OK og huk av for: Microsoft Encrypted Authentication version 2 (MS-CHAP v2) Det er valgfritt om man vil benytte seg av User can change password after it has expired Klikk OK, Klikk Neste og Fullfør Gjennomfør dette for hver Remote Access Policy som behøves.
Steg 7) Remote Access Policies kan utvides med bruk av RADIUS attributter. RADIUS attributtene kan bl.a. gi brukeren forskjellige VLAN osv. Høyreklikk på en Remote Access policy for eksempel studenter på vlan 10 og velg Properties Klikk Edit Profile og gå til fanen Advanced Mulighetene med å sette forskjellige RADIUS attributter er mange. Jeg går gjennom det som trengs for å få satt om VLAN til brukeren fra det som leveres som standard av aksesspunktene eller styringsenheten. Klikk Add velg Tunnel-Medium-Type og klikk Add Klikk Add igjen og velg 802 (Includes all 802 media plus Ethernet canonical format) Klikk OK to ganger til du er tilbake for å velge flere attributter. Velg Tunnel-Pvt-Group-ID og klikk Add Klikk Add igjen og fyll inn VLAN som skal benyttes. For eksempel 10 Klikk OK to ganger til du er tilbake for å velge flere attributter. Velg Tunnel-Type og klikk Add Klikk Add igjen og velg Virtual LANs (VLAN) Klikk OK to ganger klikk Close på Add attribute vinduet Nå ser listen ut ca. som på bildet under. Klikk OK to ganger og repeter dette steget på alle Remote Access Policies som skal ha endring.
Steg 8) IAS logger til Event log og til fil Åpne Event Viewer velg System. Alle hendelsene med Source IAS er logger generert av IAS. IAS logger med Error, Warning og Information Loggene inneholder mye viktig informasjon som: User ola.nordmann was granted access. Fikk tilgang (granted access) eller nektet (denied access) Fully-Qualified-User-Name = skole.no/brukere/ola Nordmann Full sti for brukeren i AD Client-Friendly-Name = SecuritySwitch Hvilken klient som har sendt autentiseringen til denne RADIUS serveren Client-IP-Address = 10.10.10.91 IP-adressen til klienten Calling-Station-Identifier = 00-1A-73-F5-34-7D MAC adressen til brukeren som prøver å få tilgang NAS-Port-Type = Wireless - IEEE 802.11 Hvilken nettverkstype som er benyttet Proxy-Policy-Name = Skole Hvilken Connection Request Policy som er benyttet Authentication-Provider = Windows Hvilken programvare som benyttes av brukeren for å koble til det trådløse nettverket Policy-Name = studenter på vlan10 Hvilken Remote Access Policy som er benyttet Denne veiledningen er skrevet av Stian Lysberg og modifert av Tore A. Kristiansen Kommentarer og spørsmål rettes til tore.kristiansen@uninett.no