AD与ACS结合做802.1x认证
来源:互联网 发布:离差数据标准化处理 编辑:程序博客网 时间:2024/04/28 06:55
一. 测试架构及设备配置:
1. 架构图:
2. 设备配置:
A.Cisco Catalyst 3750-24TS交换机,Version 12.1(19)EA1d
B.一台Windows 2003 Server SP1服务器做为AD Server
C.一台Windows 2000 Server SP4服务器做为ACS Server和CA Server
D.一台Windows 2003 Server SP1工作站做为终端接入设备
E.Cisco Secure ACS for Windows version
二. AD及CA安装:
AD&CA安装(在此不做介绍),装CA的SERVER要在登入AD后再安装CA服务.
三. AD配置:
1. 创建OU.
2. 在OU下建GROUP,比如:NETGroup,SYSGroup等
3. 再创建User,把对应的User加入到各自的Group中,便于管理,在ACS中也需要,在ACS配置中再介绍.
四. ACS的安装与配置.
1. ACS的安装:
A. 安装ACS的SERVER必须登入到AD中.
B. ACS软件安装很简单,下一步下一步,到完成.
C. 还需安装Java的插件.
2. ACS的配置:
A. 在ACS服务器上申请证书:在ACS服务器浏览器上键http://192.168.68.19/certsrv进入证书WEB申请页面,登录用户采用域管理用户账号.选择“Request a certificate→Advanced request→Submit a certificate request to this CA using a form”,
接下来Certificate Template处选择“Web Server”,Name:处填入“TSGNET”,Key Options:下的Key Size:填入“1024”,同时勾选“Mark keys as exportable”及“Use local machine store”两个选项,然后submit.出现安全警告时均选择“Yes”,进行到最后会有Certificate Installed的提示信息,安装即可.
B. 进行ACS证书的配置:进入ACS的配置接口选择System Configuration→ACS Certificate Setup→Install ACS Certificate进入如下图片,填写申请的“TSGNET” 证书,再Submit.
C. 配置ACS所信任的CA:
选择System Configuration→ACS Certificate Setup→Install ACS Certificate→Edit Certificate Trust List”,选择AD Server上的根证书做为信任证书,如下图所示:
D. 重启ACS服务并进行PEAP设置:
选择“System Configuration→Global Authentication Setup”,勾选“Allow EAP-MSCHAPv
E. 配置AAA Client:
选择“Network Configuration→Add Entry”,在“AAA Client”处输入交换机的主机名,“AAA Client IP Address”处输入C3750的管理IP地址,在“Key”处输入RADIUS认证密钥tsgacs,“Authenticate Using”处选择“RADIUS(IETF)”,再Submit+Restart,如下图所示:
F. 配置外部用户数据库:
选择“External User Databases→Database Configuration→Windows Database→Create New Configuration”,建一个Database的名称PCEBGIT.COM,Submit,如下图:
再选择“External User Databases→Database Configuration→Windows Database→Configure”,在Configure Domain List处将ACS Server所在的域名称移动到“Domain List”中.要注意一点ACS Server应加入到域中.如下图所示:
同时“Windows EAP Settings”的“Machine Authentication”下勾选“Enable PEAP machine authentication”和“Enable EAP-TLS machine authentication.EAP-TLS and PEAP machine anthentication name prefix.” 选项,其中默认的“host/”不用改动,如下图所示:
再选择“External User Databases→Unknown User Policy→Check the following external user databases”,将“External Databases”移动到右边的Selected Databases窗口中,完成后再重启服务,如下图所示:
G. 配置ACS Group Mapping:
External User Database→Database Group Mappings→PCEBGIT.COM→New Configure”,在Detected Domains中选择PCEBGIT,如下图:
再Submit,确定后出现另一画面,选择PCEBGIT,如下图所示:
选择PCEBGIT→Add Mapping,如下图,把NT Groups中的Group添加到Selected中,以DBAGroup为例,这里的DBAGroup就是PCEBGIT域中的DBAGroup,添加后,再在CiscoSecure group中选择ACS的GROUP(ACS中的GROUP默认名称是Group 1…,这个名称可以更改,为便于管理给他改名为DBA),再Submit即可.
H. 配置Group的授权:
通过ACS的Group来配置用户访问的权限,比如访问网络中哪一个VLAN及什么时间可以访问网络等.现以不同的用户访问不同的VLAN为例.首先要在Interface Configuration→RADIUS (IETF)下勾选Tunnel-Type; Tunnel-Medium-Type; Tunnel-Private-Group-ID.如下图所示:
再选择Group Setup→Group:DBA→Edit Settings, 勾选Tunnel-Type; Tunnel-Medium-Type; Tunnel-Private-Group-ID.其中Tunnel-Type设为VLAN; Tunnel-Medium-Type设为802; Tunnel-Private-Group-ID设此Group用户所要访问的VLAN号,现以68为例.如下图所示:
点Submit+Restart即可.到此ACS的配置就完成了!
五. AAA Client的配置(以架构图上3750为例介绍):
1. 配置一个交换机本地的用户名/口令,用于交换机本地认证,同时可以让交换机在ACS认证失败后能登入.
TSG_LAB_02#conf t
TSG_LAB_02(config)# username cisco password *****
2. 配置ACS认证:
TSG_LAB_02 (config)#aaa new-model
TSG_LAB_02 (config)# aaa authentication login default local
TSG_LAB_02 (config)# aaa authentication dot1x default group radius
3. 配置ACS授权:
TSG_LAB_02 (config)# aaa authorization network default group radius
4. 指定ACS Server地址和key,他是和ACS服务器交换的密钥.
TSG_LAB_02 (config)# radius-server host 192.168.68.19 key tsgacs
5. 应用到VTY上(下面是VTY采用本地认证):
TSG_LAB_02 (config)# line vty 0 4
TSG_LAB_02 (config-line)#password ******
TSG_LAB_02 (config-line)#login authentication local
6. 802.1X配置:
TSG_LAB_02 (config)# dot1x system-auth-control
TSG_LAB_02 (config)# interface FastEthernet1/0/24
TSG_LAB_02 (config-if) # switchport mode access
TSG_LAB_02 (config-if) # dot1x port-control auto
六. 配置接入设备PC(在OA装机时完成的动作):
1. 将终端设备加入域.
2. 在终端设备上手动安装根证书
登录域后在浏览器上键入http://192.168.68.19/certsrv进入证书WEB申请页面,登录用户采用域管理用户账号.选择“Retrieve the CA certificate or certificate revocation list→ Download CA certificate→Install Certificate→Automatically select the certificate store based on the type of the certificate”,按下一步结束证书安装.
在网卡的连接属性中选择“验证→为此网络启用 IEEE 802.1x 验证”,EAP 类型选为“受保护的(PEAP)”,勾选“当计算机信息可用时验证为计算机”,然后再点“内容”,在EAP属性窗口中选择“确认服务器认证”,同时在“在受信任的目录授权认证单位”窗口中选择对应的ROOT CA,这里为ACSTEST,认证方法选成“EAP-MSCHAP v
备注:
对于WINXP和WIN2003 OS它自带802.1X认证.如果是WIN2000 OS须要在“开始” →“设定” →“控制台” →“系统管理工具” →“服务”中把Wireless Configuration服务打开,此服务默认状态下启动类型是“手动”,把它改为“自动” 即可.这样的话在网卡内容中才会有“验证”选项!
- AD与ACS结合做802.1x认证
- 802.1X认证+DHCP+ACS Server+Windows XP
- 华为S5500系列交换机与ACS配合做tacacs认证的典型配置
- 搭建基于AD和IAS的802.1X无线认证系统
- ACS 與AD 結合認證配置文檔
- 利用ACS实现AAA认证(华为+acs)
- WSUS与ACS共存
- ACS
- redmine与AD集成实现账号统一认证
- 浅谈802.1X认证
- 802.1x认证
- Radius认证服务器的配置与应用(802.1x)
- Radius认证服务器的配置与应用(802.1x)
- Java 中AD认证
- 通过ACS做AAA管控网络设备
- 应用系统AD-及AD认证
- 忆龙2009:ACS+Vista采用PEAP认证失败
- 802.1x EAP 认证过程
- 数据加密-无聊杂谈
- 时间 时间 太快 有点觉得赶不上
- 项目开发中经常要用到的知识----Java读取.Properties,.Xml,.Ini文件(二)
- 20个VC开发小技巧
- 项目开发中经常要用到的知识----Java读取.Properties,.Xml,.Ini文件(三)
- AD与ACS结合做802.1x认证
- Just another blog
- 左了
- 如何在 Windows Server 2003 中配置权威时间服务器
- Linux 引导过程内幕
- 如何限制文本框只能输入数字,小数点,英文,汉字等各类代码
- 《未来之路》读后感
- 什么是RSS
- 收到退税单子……