Остальные материалы цикла:

• Аутентификация клиентов в сетевых службах при помощи цифровых сертификатов — подведение итогов

В предыдущей части мы разобрали достаточно полезные вопросы по требованиям к сертификатам, вне зависимости от того, где вы их будете добывать (с внутреннего CA или покупать у коммерческого), требования везде одинаковые. Сегодня мы завязываем с теорией и приступаем к практике — настройка сервера IIS на использование сертификатов для аутентификации пользователей.

Установка и настройка веб-сервера IIS

Во-первых, нам нужно установить роль IIS (если он ещё не установлен) — Installing IIS 7.5 on Windows Server 2008 R2. По умолчанию IIS не поддерживает клиентскую аутентификацию по сертификатам, поэтому эту поддержку нужно добавить:

1. В Server Manager выберите установленную роль Web Server (IIS).
2. В меню Actions выберите Add Role Services.
3. В списке компонентов промотайте до раздела Security и в нём установите чек-боксы напротив: Client Certificate Mapping Authentication и IIS Client Certificate Mapping Authentication.
4. В диалоговом окне нажмите Next –> Install.

Когда эти компоненты установлены, запустите Internet Information Services Manager. Выделите корневой узел вашего веб-сервера и в средней панели выберите Authentication. Найдите в списке Active Directory Client Certificate Authentication и убедитесь, что он Enabled. Если нет, включите его. Учтите, что эта настройка действует на уровне всего сервера, а не конкретного веб-сайта. Как только включите, этот метод аутентификации будет доступен для всех веб-сайтов.

Следующим этапом следует выбрать веб-сайт, который будет использовать аутентификацию пользователей по сертификатам и настроить для него SSL. Если у вас уже есть серверный сертификат, можете сразу приступать к настройке биндинга. Если нету, можете использовать эту статью для запроса сертификата с корпоративного CA — Web server certificate enrollment with SAN extension.

Биндинг настраиваетя следующим образом:

1. В IIS Manager выберите веб-сайт (или веб-приложение).
2. В правой панели (раздел Actions) выберите Bindings.
3. В диалоговом окне нажмите Add.
4. Укажите прокол HTTPS, номер порта и выберите сертификат SSL, который будет использоваться для доступа к веб-сайту.
5. Примените изменения.

В том же окне (настроек веб-сайта), в средней панели выберите SSL Settings:

Установите флажок на Require SSL (т.е. подключения к веб-сайту без SSL не поддерживаются) и выберите подходящий пункт для клиентских сертификатов:

• Ignore — веб-сайт не будет использовать клиентские сертификаты совсем.
• Accept — если у клиента есть подходящий сертификат, сервер будет пробовать его использовать. Если сертификата у клиента нету или клиент не хочет его использовать — веб-сайт переходит к другим формам аутентификации (Anonymous или Basic Authentication, например).
• Require — если сертификата нет, тогда до свидания. Т.е. для просмотра веб-сайта требуется клиентский сертификат.

Когда выбрали подходящий режим, примените настройки (в правой панели нажмите Apply).

Настройка VPN и 802.11x wirelless

В обоих случаях (VPN и беспроводных сетей) вам потребуется использовать RADIUS для аутентификации пользователей. В Windows Server 2008 R2 есть свой RADIUS сервер, реализованный в службе Network Policy Server (NPS). После того, как роль NPS установлена, вам необходимо авторизовать сервер в Active Directory (если NPS установлен на рядовом сервере). Далее, вам нужно настроить клиенты RADIUS (точки доступа, серверы VPN). После того, как клиенты настроены и сконфигурированы, можно настраивать политики доступа к беспроводным сетям и/или VPN. Вот пример, как настраивается NPS для беспроводных сетей:

1. В левой панели выберите корневой элемент: NPS (Local).
2. В средней панели из выпадающего списка выберите "RADIUS Server for 802.1X Wireless or Wired Connections", и нажмите на ссылку "Configure 802.1X".
3. В мастере "Configure 802.1X" выберите верхний переключатель — Secure Wireless Connections. Выберите имя для вашей политики или используйте имя по умолчанию. Нажмите Next.
4. На странице Specify 802.1X Switches выберите только WAP objects и нажмите Next.
5. На странице Configure an Authentication Method выберите "Microsoft: smart card or other certificate" и нажмите кнопку Configure. В открывшемся окне выберите сертификат, выданный для сервера NPS и нажмите Ok и Next.
6. На странице Specify User Groups можете настроить группы пользователей, которым разрешён доступ к беспроводным сетям. Для всех пользователей Active Directory, используйте группу Domain Users. Нажмите Next.
7. На странице Configure RADIUS Attributes вы можете настроить дополнительные атрибуты для WAP. Нажмите Next и Finish.
8. В левой панели разверните Policies и выберите Network Policies.
9. В средней панели выберите только что созданную политику.
10. Перейдите во вкладку Conditions выберите дефолтный элемент и нажмите Edit.
11. В секции Other снимите флажок с "Wireless – Other" и нажмите Ok.
12. Вы можете добавить дополнительные требования. Например, ограничить доступ к беспроводным сетям по времени. Скажем, только в рабочее время.
13. Перейдите во вкладку Constraints выберите секцию Authentication Methods и снимите флажки с:
    1. Microsoft Encrypted Authentication Version 2 (MS-CHAP-v2);
    2. Microsoft Encrypted Authentication (MS-CHAP).
14. Перейдите во вкладку Settings.
15. Выберите секцию Encryption и снимите флажки со всех элементов, кроме "Strongest Encryption (MPPE 128-bit)".
16. Нажмите Ok, чтобы сохранить изменения.

По аналогичному принципу настраиваете аутентификацию клиентов по сертификатам и для VPN.

Вот, наверное, и всё, что я хотел рассказать в этом цикле постов. Надеюсь, кому-нибудь поможет.