H3C交换机dot1X+AD+IAS+CA配置实验(分享错误经历)四
来源:互联网 发布:全职法师 知乎 编辑:程序博客网 时间:2024/05/16 20:28
4、IAS配置及相关易发错误
右击IAS,在AD中注册
添加客户端,添加交换机IP地址,客户机-供应商选择raidus standand
密钥与交换机配置要匹配。
添加远程访问策略,按照向导,访问方法选择以太网,群组中添加相对应的用户组,要对整个域用户认证,选择 domain users,最后选择相对应EAP方法即可。
配置很简单,但是想一次配置通过还真不容易,我在这里主要分享一下我出现的各种不成功经历及解决方法。
整个过程中,我选择的EAP方法也是由MD5——受保护的EAP,最后是智能卡和其它证书。毕竟MD5看起来最简单么!
在这里顺便提一下,刚开始我也是钻研了好长时间IAS日志格式,后来发现在事件查看器中的系统日志中有相关记录,记录来源名“IAS”,在这里查看,对错误原因可以推断的大概。
md5认证常见错误
a、用户没有拨入权限,AD缺省安装是windows 2000混合模式,用户缺省拨入权限为禁止,而根据远程访问策略分配权限又是不可用,在这里可以启用远程拨入权限,也可以提升域功能,变为 2003纯模式,用户拨入权限由远程访问策略分配就可以选中了。这个错误也是三种EAP方法中都容易犯的错误
b、用户密码加密方式,缺省用户密码的加密方式是不可还原算法。通过组策略的计算机设置-安全设置-密码策略中,将用可还原的加密来存储密码启用,然后再将测试用户的密码更改一下(自我感觉如果不更改密码的话,组策略好像对测试帐户还没有立即起效)
c、交换机 raidus schema中user-name-format选项,缺省为 with-domain-name。我测试md5与受保护的eap方法时,故意将AD的域名与交换机内的缺省domain不同名,发现使用without-domain-name可以认证通过,否则容易出错。对于AD中的域名与交换机内的domain名以及user-name-format选项该如何使用,我还没总结一个令人信服的规律,到时候大家多试几次就可以了。
受保护的Eap认证常见错误
a、除了用户拨入权限外,还有一个错误就是日志中提示“提供的消息不完整。 无法验证签名。”分析原因可能是用户证书还没有被颁发,可以将客户机的验证方法受保护的EAP的属性中将“验证服务器证书”复选框取消选中。参考[url]http://support.microsoft.com/kb/838502/zh-cn[/url]
b、不提示输入用户名及密码。缺省情况下,这种认证方式会自动使用windows登录名和密码,而如果计算机不在AD中,或者不是以domain users登录计算机,则肯定无法通过认证。解决方法是在EAP属性栏中对验证方法“安全的密码(EAP-MSCHAP v2)”进行配置,取消选中的“自动使用windows登录名和密码”
在这里还要提一句,就是前两种验证方法中,在提示输入用户名和密码的对话框中,域一栏我都没有填写任何内容。
智能卡或者其它证书常见错误
首先,此方法中,首先客户机需要加入域中,并登录(从CA中下载根证书),然后在本地连接验证标签中对“智能卡或其它证书”进行配置,在被信任的根证书颁发机构中,选中“Root CA”即可。
实验中发现如果交换机Domain名称与AD域名不一致,交换机根本不转发raidus packet,然后更改同名,并将user-name-format设置为 with-domain-name即可。需要声明的是,这可能是巧合,还需要各位不断验证,更需要高手予以确认。
- H3C交换机dot1X+AD+IAS+CA配置实验(分享错误经历)四
- H3C交换机dot1X+AD+IAS+CA配置实验(分享错误经历)一
- H3C交换机dot1X+AD+IAS+CA配置实验(分享错误经历)二
- H3C交换机dot1X+AD+IAS+CA配置实验(分享错误经历)三
- H3C交换机dot1X+AD+IAS+CA配置实验五(解决用户尚未登录无法验证问题)
- H3C交换机 802.1X+AD+CA+IAS进行RADIUS身份验证
- 交换机dot1x认证配置
- H3C交换机SNMP配置
- H3C交换机配置vlan
- H3C交换机的简单配置
- h3c交换机基本ACL配置
- h3c交换机基本ACL配置
- H3C交换机配置命令大全
- 如何初始化配置H3C交换机
- H3C交换机配置端口聚合
- H3C交换机配置命令大全
- H3C S500交换机配置笔记
- H3C交换机通用配置方法
- H3C交换机dot1X+AD+IAS+CA配置实验(分享错误经历)一
- H3C交换机dot1X+AD+IAS+CA配置实验(分享错误经历)二
- NEMA 0183 语句解析
- H3C交换机dot1X+AD+IAS+CA配置实验(分享错误经历)三
- 怎样才能学好C#?
- H3C交换机dot1X+AD+IAS+CA配置实验(分享错误经历)四
- H3C交换机dot1X+AD+IAS+CA配置实验五(解决用户尚未登录无法验证问题)
- 命令解释中option和non-option参数
- 收集java常用的一些方法
- arp欺骗事故
- limit "+currentPage* pageSize +" ,"+pageSize
- Mrtg(进阶篇)Mrtg+rrdtool+routers2cgi 监控交换机端口流量
- 声明式事务管理
- 使用MRTG监控路由、交换设备(上)