内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体






摩托罗拉无线网络基于角色认证的安全应用方案

时间:2013-06-07 来源:上海敏照计算机科技有限公司 作者:黄升新 点击:

暨某厂办公区域无线网络覆盖方案

上海敏照计算机科技有限公司     黄升新

 一、客户需求分析

相对于传统的有线网络,无线网络因其布置便捷、灵活及优越的可拓展性得到越来越多的企业的青睐。同时随着无线网络技术的发展,之前受人质疑的速度和安全性都已经有了很大的改善,因此这两项已经不再是无线网络进一步推广的技术瓶颈。而且随着越来越多的厂商对新品的不断推出,为企业的无线应用提供了更多选择的机会,同时无线覆盖的成本也较以往大大的降低。但选择合适的无线产品和拥有一套完善的无线解决方案仍旧是无线应用及推广的成功关键。

 为了给员工和访客提供便捷的网络接入,我们计划在该厂的办公区域和访客区域实施无线网络覆盖。初步的无线规划是针对目前全厂的访客区域进行无线网络覆盖。目前全部访客区域包括以下各厂:F1、 F2、 F4、 F6、 F7、 QBUS、H1 和 H2。各厂区的具体覆盖范围为各厂区的大厅会议室和厂区内部会议室。具体的应用需求如下:

大厅会议室要求发送两个无线ESSID:Staff 和 Guest。其中 Staff 供内部员工(包括普通员工和VIP 员工)使用; Guest 供到访的来宾使用。

厂内办公区域部分发送一个ESSID: Staff 供内部员工使用(包括普通员工和VIP 员工),访客用户无权通过 Staff 使用内部网络。其中普通员工在大厅会议室或在厂内办公区域通过 Staff 只能访问访问内部网络,无权访问Internet;VIP 员工通过 Staff 既可以访问内部网络也可以访问Internet。当员工通过 Staff 这个ESSID 连接到网络时,无需提供无线连接密码,便可自动获取到公司内部网段IP 地址。此时还无权访问任何内部资源。当员工打开一个网页时,自动显示无线网络登陆验证画面。员工输入公司内部的AD 账号和密码后方可登陆无线网络。之后员工就可以正常公司的内部网络,而VIP 员工在访问内部网络的同时还可以访问Internet网络。

 而访客到大厅会议室时,先到前台获取一组无线网络访问的用户名和密码。访客通过无线网络先获取到一个非内部网段的私有IP 地址。打开网页时,出现无线网络登陆验证画面,输入从前台获取的用户名和密码后,则可正常访问Internet,但无权访问内部网络。

 

二、无线覆盖方案介绍

1. 方案应用介绍

为了实现内部员工和访客对无线网络的使用需求,本技术方案主要会应用到以下几个技术要点:

 无线访问的使用者权限要和内部的活动目录(ActiveDirectory) 整合

为了控制不同的内部员工的无线访问权限,在进行无线登陆验证时,员工输入自己在公司内部分配的活动目录中的账号。验证服务器根据不同的账号传递给无线控制器相关的账号信息,而无线控制则根据预先设定好的不同使用者权限进行验证和区分。

 利用Windows 本身的验证服务器(IAS)来整合活动目录和无线控制器的账号

为了整合活动目录中的使用者账号和无限控制对不同账号的使用权限进行控制,需要用到Radius 服务器来整合账号的认证和权限的控制。虽然目前第三方的Radius 服务器也有很多,如cisco 的ACS、TekRadius、WinRadius 等等, 但Windows Server2003 系统本身自带的IAS 作为Radius 有其必然的优越性。IAS 作为Microsoft 本身的一款服务器系统能够很好的和Windows 活动目录进行整合,而且沿用windows 所有产品的方便操作、容易上手的特点为部署IAS 提供了很好的条件。

 在活动目录中对不同的内部员工分成两个组一个是普通员工组(StaffGroup),另外一组是特权用户组(VIPGroup)。把只能访问内部网络而不能访问Internet 的内部员工加入到StaffGroup中;把既能够访问内部网络又需要访问Internet 的内部员工加入到VIPGroup 中。在IAS 中设定不同的访问策略来区分StaffGroup 和VIPGroup 的访问权限,并把不同组的ID 号传递给无限控制器来处理。

 利用无线控制器的角色(Role)功能来区分不同的Windows 账号的访问网络权限

通过购买高级角色安全证书可以激活无线控制器的角色(Role) 管理功能。在无线控制其中设定不同的组,这些组和活动目录中的组一一对应。当IAS 根据不同的访问者组传递回不同的组ID (GroupID)时,利用角色管理功能,无线控制可以接收这些不同的GroupID。并根据不同的GroupID 和访问列表进行绑定,从而达到不同使用者组访问不通网络的目的。

 利用核心无线控制器的本地的验证服务器来来验证访客的使用权限

无线控制器本身提供了内置的验证服务器功能,这可以为访客系统提供相关的访客账号信息。前台工作人员可以根据管理提供的账号和密码登陆无线控制,无限控制器根据前台工作人员账号权限提供给前台创建访客账号权限。通过简单且易操作的账号设置画面,前台可以为访客打印一张含有访客账号信息的卡片,卡片中包含了账号、密码及可访问的时间段等信息。访客可根据这张账号卡片方便的访问的无线网络。

利用无线控制器的角色(Role)功能来区分不同的Windows 账号的访问网络权限
(中国集群通信网 | 责任编辑:陈晓亮)

中国集群通信网,国内首家集群通信专业网站。

Copyright © PttCn.Net, All Rights Reserved.   

联系我们 联系我们 中国集群通信网 对讲机学堂 对讲机世界