四、 系統設計與實作
4.6 各種操作模式的組合
由於原來的系統本身就已經有支援 802.1x 的 RADIUS Client 端的認 證,只是沒有加入 Embedded RADIUS Server。現在我把 Embedded RADIUS Server 及 CA 加進來之後,操作情況變的有點複雜。以下將 分別來探討各種組合:
4.6.1 內部 RADIUS Client+內部 RADIUS Server+內部 CA
這是建議的操作方式,也是本論文要達到的目的。如圖:
圖 13、建議的操作方式
在圖中間的無線網路路由器正在執行著 RADIUS Client、RADIUS
Server,至於 Embedded CA,通常是 Offline 執行的。它的設定組態是將 內部 CA 與內部 RADIUS Server 都設定在有使用的狀態。因為 CA 是 Root CA,它已經對自己簽發憑證,同時它也對內部 RADIUS Server 簽 發憑證。至於無線的使用者端的憑證必須透過 CA 的簽發憑證機制將使用 RADIUS Server 自動提供 WEP session Key。
3. 啟動改變 WLAN 連線為 802.1x,接著無線網路會斷線,因為 RADIUS Server 互相驗證完憑證之後,接著 RADIUS Server 會傳送將來使用的 WEP session Key 給無線使用者,然後無 線使用者就用新的 WEP session Key 來正常上網了,如果網 際網路的連線也一樣正常連線的話。
當使用者想讓他的網路使用 802.1x 的時候,而且他也能使用有線連
接時,設定情況會比較簡單,可能的做法如下: 802.1x,並且可自由選擇是否由 RADIUS Server 自動提供 WEP session Key。
3. 啟動改變 WLAN 連線為 802.1x。注意,這時有線的 LAN 連線並 RADIUS Server 互相驗證完憑證之後,接著 RADIUS Server 會 傳送將來使用的 WEP session Key 給無線使用者,然後無線使用 者就用新的 WEP session Key 來正常上網了,如果網際網路的連 線也一樣正常連線的話。
4.6.2 內部 RADIUS Client+內部 RADIUS Server+外部 CA
這個架構使用到一台外部的 CA,這個外部 CA 的可能性與連接性有
好幾種。如圖:
圖 14、結合外部 CA 的操作方式
在圖中間的 Device 中,只有執行 RADIUS Client 以及 RADIUS Server。CA 卻是在別的機器上執行,可能在 LAN,也可能在 WAN,有 可能是 Windows 2000 server 的 IAS,也有可能是網際網路上的商業化的 CA。
它的設定組態是將內部 CA 設定為停止的狀態,但是內部的 RADIUS Server 是設定在執行的狀態。
在這裡,CA 有無及時連線並不重要,重要的是我們是否有外部 CA 所簽發的使用者憑證以及 CA 的憑證,還有外部 CA 所簽發給 RADIUS Server 的憑證。以這種方式,可能成本必須增加,操作與維護的成本也 相對提高。
當使用者想讓他的網路使用如上圖的架構時,最重要的一點是,記 得透過 WEB GUI 將內部 CA 的功能關閉,然後在 RADIUS Server 的選項 當中,會出現兩個檔名及路徑的空白欄位讓使用者輸入外部 CA 所簽發的 RADIUS Server 的憑證以及 CA 的憑證。
接下來的做法,分別是設定無線路由器端的 802.1x 認證方式,以及 無線使用者端的 802.1x,EAP-TLS 的認證方式。操作步驟如前述 4.6.1 操作方式的第一項所描述的。
4.6.3 內部 RADIUS Client+外部 RADIUS Server+外部 CA
這樣的架構,使用者將會多花兩台電腦的建制費用,其中一台是 CA,一台是 RADIUS server,當然使用者也可以只使用一台電腦,來達 到 CA 及 RADIUS Server 的功能,例如 Windows 2000 Server 來達到。
這個架構等同於原有系統所支援的 802.1x 的架構。如圖:
圖 15、結合外部 CA 與外部 RADIUS Server 的操作方式
在圖 15 中間的無線路由器中,只有執行 RADIUS Client 而已。在 WEB GUI 的設定中是將 Embedded CA 與 RADIUS Server 都設定在關 閉的情形下,另外還必須將 RADIUS Client 所指向的 RADIUS Server 路 徑由使用內部的 RADIUS Server 改成外部的 RADIUS Server。
在憑證的管理與設定上,外部的 RADIUS Server 必須要有外部 CA 所簽發的憑證以及外部 CA 本身的憑證。還有使用者端也必須事先要有外 部 CA 所簽發給無線使用者的憑證和外部 CA 本身的憑證。還有,必須設 定在 RADIUS Server 與 RADIUS Client 在溝通時所用到的共用密文
(Share Secret)。
接下來的做法,分別是設定無線路由器端的 802.1x 認證方式,以及 無線使用者端的 802.1x,EAP-TLS 的認證方式。操作步驟如前述 4.6.1
操作方式的第一項所描述的。
4.6.4 外部 RADIUS Client+內部 RADIUS Server+內部 CA
這樣的架構,不只節省了 CA 與 RADIUS Server 建置的費用,同時 間更可以擴展無線網路的覆蓋範圍!如下圖:
圖 16、兩台相同設備的搭配方式一
使用者可能因為空間比較大的關係,又或者因為某些原因,例如分 級的管理,屬於 Group A 的使用設備甲,屬於 Group B 的使用設備乙。
不管怎樣,我們的系統是有可能被整合起來使用的。就這個 Case 來說 明,我們會希望以一個 RADIUS Server 來做為認證的中心,其他的無線 存取點當做是 RADIUS Client。最好不要把所有的 RADIUS Server 以及 CA 都各自啟動執行,這樣混亂的架構對使用者來說是很不好的,因為可 能使用者必須要自己管理好幾份的憑證。
在圖 16中間的無線路由器中,正在執行著 RADIUS Server 與 CA,
它一定也有執行著 RADIUS Client。不過我們所討論的 RADIUS Client 是 在另一台設備上執行。
底下是角色設定的說明:
1. RADIUS Client,設定使用 802.1x 認證,將 RADIUS Server 的 Link 指向內部的 RADIUS Server,選定共用密文(Share
Secret)。
2. RADIUS Server,新加一項 RADIUS Client,選定共用密文
(Share Secret),設定認證方式為 EAP-TLS。
3. Wireless Client,輸入 CA 所簽發的憑證和 CA 本身的憑證,
使用 802.1x 的 EAP-TLS 連上 RADIUS Client。
4.6.5 外部 RADIUS Client+內部 RADIUS Server+外部 CA
與前一項架構很像,只是 CA 換成使用外部的 CA。如圖所示:
圖 17、兩台相同設備的搭配方式二
使用者可能因為管理上的理由,可能會採用這種方式,同時也方便 憑證的管理。例如小公司使用 Windows 2000 Server 做為 CA 的話。
底下是角色設定的說明:
一、 RADIUS Client , 設 定 使 用 802.1x 認 證 , 將 RADIUS Server 的 Link 指向另一台機器內的 RADIUS Server,選定共用密文(Share Secret)。
二、 RADIUS Server,新加一項外部 RADIUS Client 的 連接設定,選定共用密文(Share Secret),設定認證方
式為 EAP-TLS。關閉與 RADIUS Server 同在一起的 CA,輸入外部 CA 所簽發給 RADIUS Server 的憑證和外 部 CA 的憑證。
三、 Wireless Client,輸入外部 CA 所簽發的憑證和 CA 本身的憑證,使用 802.1x 的 EAP-TLS 連上 RADIUS Client。
總結前五項的設定,這是為了說明新的系統的規劃設計是可以符合 使用者的各種不同的架構與應用。所以在相容性上,是沒有問題的。