Раздача Wi-Fi и настройки клиента 802 1X
Введение
Реализация безопасности WPA2-Enterprise с аутентификацией 802.1X в настоящее время обеспечивает наилучшую возможную безопасность для соединений Wi-Fi. Однако, помимо запуска сервера аутентификации, вы должны быть обеспокоены относительно сложной конфигурацией клиента. Хотя, как мы обсудим, существуют решения, помогающие распространять и настраивать беспроводные параметры клиентов.
Используйте групповую политику для пользователей домена
Если вы работаете в доменной сети с Windows Server и Active Directory, вы можете передавать сетевые профили на компьютеры, присоединенные к домену, с помощью групповой политики. Вы можете указать параметры беспроводной сети для клиентов под управлением Windows 7, Windows Vista, Windows XP, Windows Server 2008 R2 или Windows Server 2008.
Если ваши контроллеры домена работают под управлением Windows Server 2003 или Windows Server 2003 R2, необходимо расширить схему Active Directory, чтобы добавить поддержку GPO для беспроводной сети. Затем, чтобы указать параметры беспроводной сети, откройте консоль управления Microsoft (MMC), откройте оснастку групповой политики и перейдите в раздел «Конфигурация компьютера » > «Параметры Windows » > «Параметры безопасности » > «Политики беспроводной сети (IEEE 802.11) ».
Если ваши контроллеры домена работают под управлением Windows Server 2008 или 2008 R2, используйте Консоль управления групповыми политиками (GPMC) и перейдите в раздел Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности > Политики беспроводной сети (IEEE 802.11).
Когда вы перейдете к политикам беспроводной сети (IEEE 802.11) в любой из версий Windows Server, вы можете создать предпочтительную сетевую запись с нужными настройками Wi-Fi и 802.1X.
Используйте Netsh для доменных или не доменных пользователей
Если вы хотите настроить беспроводные параметры клиентов вне домена или если вы не реализуете Active Directory и групповую политику, вы можете использовать инструмент командной строки Netsh для клиентов под управлением Windows Vista и более поздних версий. Вы можете запускать команды локально на каждом компьютере или удаленно через ту же сеть, указав их учетные данные Windows. Вы можете вручную ввести команды; или, чтобы помочь автоматизировать процесс, вы можете использовать их в пакетных файлах или сценариях входа.
Инструмент Netsh не позволяет напрямую настраивать параметры беспроводной сети, но вы можете экспортировать существующий профиль беспроводной сети и импортировать его на другие компьютеры. Таким образом, сначала необходимо настроить сетевые параметры хотя бы на одном клиенте, создав профиль для сети Wi-Fi. Вы можете вручную создать профиль через Центр управления сетями и общим доступом или просто подключиться к беспроводной сети и сохранить подключение.
Вы можете получить сведения о профиле беспроводной сети с помощью следующей команды:
netshwlan показать все
Теперь вы можете экспортировать нужный профиль, используя имя профиля, указанное в предыдущей команде:
имя профиля экспорта netshwlan = YOUR_PROFILE_NAME
Наконец, вы можете импортировать профиль локально, используя имя экспортированного XML-файла:
netshwlan добавить имя файла профиля = «ИМЯ ФАЙЛА.xml»
Также вы можете импортировать на удаленный компьютер в той же сети:
netshwlan добавить профиль имя_файла = «ИМЯ ФАЙЛА.xml» –r ИМЯ_КОМПЬЮТЕРА -u ДОМЕНИМЯ ПОЛЬЗОВАТЕЛЯ-p ПАРОЛЬ
Используйте сторонние коммерческие решения
Возможно, вы захотите изучить стороннее решение, которое поможет распространить ваши сетевые настройки среди клиентов. Например, если вы не используете Windows Server, у вас также есть компьютеры с Mac OS X или Linux, или большинство конечных пользователей используют свои собственные клиенты (например, в сети кампуса). XpressConnect от Cloudpath Networks и Quick1X от Avenda Systems — это две сторонние опции. Они могут помочь настроить компьютеры Windows, Mac и Linux. Оба они также поддерживают iPhone, iPad и iPod Touch, а XpressConnect также поддерживает Android.
Как администратор, вы должны войти в их веб-консоль администратора, ввести свои сетевые настройки и предпочтения, и он создаст настраиваемый фирменный мастер для конечных пользователей. Затем вы можете загрузить мастер и распространить его среди пользователей, например, через авторизованный портал, веб-страницу, компакт-диск или флэш-накопитель. Затем конечные пользователи просто запускают мастер на своем компьютере или мобильном устройстве, и он автоматически настроит для них сетевые параметры.
Используйте бесплатное и открытое стороннее решение
Еще одно стороннее решение, которое вы можете рассмотреть, — это средство развертывания конфигурации SU1X 802.1X, разработанное Гаретом Эйресом из Университета Суонси совместно с Университетом Лафборо. Он может помочь в настройке клиентов под управлением Windows XP (SP3), Vista и Windows 7, а также поддерживает iPhone. Это похоже на решения XpressConnect и Quick1X, которые мы обсуждали. Хотя вам придется вручную подготовить мастер конечного пользователя, это не так уж сложно.
Чтобы подготовить мастер конечного пользователя, вы начинаете с редактирования файла config.ini, чтобы настроить и маркировать интерфейс, а также определить параметры функций. Затем вы запускаете программу getprofile.exe для захвата вашей сети и настроек аутентификации с компьютера, уже настроенного для вашей сети Wi-Fi. Он экспортирует их в виде XML-файлов точно так же, как это можно сделать с помощью инструмента командной строки Netsh. Затем вы можете упаковать необходимые файлы вместе и раздать их конечным пользователям. Наконец, конечные пользователи просто запускают программу su1x-setup.exe, и она автоматически настраивает их компьютеры с Windows в соответствии с вашими настройками.
Используйте утилиту настройки iPhone для устройств Apple
Если у вас есть устройства iOS — iPhone, iPad или iPod Touch — или компьютеры Mac OS Lion в сети, вы можете использовать утилиту настройки iPhone (iPCU), чтобы распространять на них настройки беспроводной сети. Apple предлагает утилиту как для Windows, так и для Mac OS X.
Вы можете использовать iPCU для создания, шифрования, обслуживания и установки профилей конфигурации на основе XML. Помимо настроек Wi-Fi, эти профили могут содержать политики безопасности устройства, конфигурацию VPN, настройки MS Exchange и электронной почты, а также цифровые сертификаты. Вы можете создавать профили для определенных пользователей, групп или профиль для всех. Вы можете либо установить профили непосредственно с компьютера, на котором работает iPCU, либо распространять конфигурацию.mobile. файл другими способами.
Используйте BlackBerry Enterprise Server для устройств BlackBerry
Если в вашей сети работает BlackBerry Enterprise Server или бесплатный BlackBerry Enterprise Server Express, вы можете использовать его для распространения профилей Wi-Fi, профилей VPN и правил ИТ-политики на устройства BlackBerry, которыми он управляет. Определив параметры Wi-Fi на сервере BlackBerry, вы можете отправить их на устройства BlackBerry, повторно отправив ИТ-политику.
Если вы в настоящее время не используете BlackBerry Server, рассмотрите возможность его установки на сервере Windows Server, Windows Small Business Server или сервере IBM Lotus Domino. Конечные пользователи также могут получить доступ к вашим службам Exchange или Lotus Domino через сотовые сети и сети Wi-Fi. Это позволяет им получать беспроводной доступ и синхронизировать свою электронную почту, календарь и контакты. Кроме того, они могут удаленно загружать, просматривать и редактировать файлы, хранящиеся в вашей сети.
Резюме
Мы обсудили несколько различных решений, помогающих распространять и настраивать параметры беспроводной сети для клиентов в сети WPA2-Enterprise. Лучший вариант зависит от вашей конкретной среды.
Если большинство ваших клиентов находятся в домене Windows, вы, вероятно, захотите придерживаться групповой политики. Тогда рассмотрите стороннее решение для настройки мобильных устройств.
Если вы не используете доменную сеть с Windows Server или конечные пользователи используют свои собственные устройства, рассмотрите возможность использования стороннего решения. Бесплатное средство развертывания конфигурации SU1X 802.1X поддерживает клиенты Windows и iOS. XpressConnect и Quick1X поддерживают Windows, Mac, Linux, iOS и (только для XpressConnect) Android.