购买

¥ 10.0

加入VIP
  • 专属下载特权
  • 现金文档折扣购买
  • VIP免费专区
  • 千万文档免费下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 AD+CA+EAP-TLS认证模型基本安装(修改版)

AD+CA+EAP-TLS认证模型基本安装(修改版).doc

AD+CA+EAP-TLS认证模型基本安装(修改版)

Sky
2018-08-04 0人阅读 举报 0 0 暂无简介

简介:本文档为《AD+CA+EAP-TLS认证模型基本安装(修改版)doc》,可适用于领域

拓扑传统x认证采用MDChallenge认证用户在接入网络时需输入用户名和口令安全性也相对薄弱。PEAP和EAPTLS都是利用了TLSSSL隧道PEAP只使用了服务器端的认证只是服务器端拥有证书并向用户提供证明而EAPTLS使用了双向认证ACS服务器和客户端均拥有证书并进行相互间的身份证明。(具体的认证流程后续补充这篇主要介绍服务器的搭建组网)设备情况:*CiscoCatalyst交换机NAS(后续可以替换为我们的S)*一台WindowsServerSP服务器做为ADServer及CAServer*一台WindowsServerSP服务器做为ACSServer*一台WindowsXPSP工作站做为终端接入设备*CiscoSecureACSforWindowsversionADCAServer的安装配置域控制器和DNS服务器。ADCAServer的安装配置域控制器和DNS服务器。选择ldquo开始rdquomdashldquo管理您的服务器rdquo点击ldquo添加或删除角色rdquo点击ldquo下一步rdquo然后选择ldquo域控制器(ActiveDirectory)rdquo,然后点击ldquo下一步rdquo点击ldquo下一步rdquo然后会出现ldquoActiveDirectory安装向导rdquo点击ldquo下一步rdquo再点击ldquo下一步rdquo然后选择ldquo新域的域控制器rdquo点击ldquo下一步rdquo然后选择ldquo在新林中的域rdquo点击ldquo下一步rdquo然后填写DNS全名。本例填写的是ldquoRuijierenwqcnrdquo注:如果是在一个全新的系统上配置在上述对话框出现之前可能会弹出下图所示的对话框按照下图所示配置即可。单击ldquo下一步rdquo本例使用默认名称然后再点击ldquo下一步rdquo选择数据库和日志保存地点本例使用默认设置然后点击ldquo下一步rdquo然后选择ldquoSYSVOLrdquo文件夹位置本例使用默认设置。点击ldquo下一步rdquo然后在ldquoDNS注册诊断rdquo对话框中选择ldquo在这台计算机安装并配置DNS服务器rdquo。点击下一步在权限对话框中选择ldquowin或win操作系统兼容权限rdquo点击ldquo下一步rdquo然后填写ldquo目录还原模式管理员密码rdquo本例在这里填写的密码和计算机管理员的密码一样。ldquo下一步rdquo这时候会出现一个ldquo摘要rdquo对话框在这里您可以核对您的配置。本例中直接点击ldquo下一步rdquo然后计算机就开始安装域控制器和DNS服务器。至此域控制器和相应的DNS服务器就配置完成了重新启动计算机即可生效。安装IIS和证书颁发服务器安装IIS开始mdashmdash〉控制面板mdashmdash〉添加或删除程序mdashmdash〉添加删除window组件在ldquowindows组件rdquo对话框中选择ldquo应用程序服务器rdquo点击ldquo下一步rdquo即可。安装证书颁发服务器)开始mdashmdash〉控制面板mdashmdash〉添加或删除程序mdashmdash〉添加删除window组件在ldquowindows组件rdquo对话框中选择ldquo证书服务rdquo。)单击ldquo下一步rdquo在CA类型对话框中选择ldquo企业根CArdquo。)点击ldquo下一步rdquo在ldquoCA识别信息rdquo对话框中填写CA的名称本例中填写的是:redgiant然后点击ldquo下一步rdquo。安装过程中出现的对话框本例中均使用默认设置。安装服务器证书)在浏览器中输入地址:http:本机IP地址certsrv,然后会出现登陆对话框用计算机管理员账号登陆即可。注:本例中本机的IP地址是浏览器必须支持脚本win默认是不支持脚本的因此需在浏览器的工具mdashmdash〉internet选项mdashmdash〉高级中把ldquo禁止脚本调试rdquo前面的小勾去掉。建议把本机IP地址加入ldquo受信任的站点rdquo。加入点在:浏览器的工具mdashmdash〉internet选项mdashmdash〉安全。)在网页中选择ldquo申请一个证书rdquo)在接下来的网页中选择ldquo高级证书申请rdquo)在接下来的网页中选择ldquo创建并向此CA提交一个申请rdquo)在接下来的网页中证书模板选择ldquoWeb服务器rdquo识别信息中姓名必须填写建议使用本机的名称。其余选项采用默认设置不要改动。然后点击ldquo提交rdquo。)在接下来的网页中安装证书即可)核对证书是否安装成功。浏览器的工具mdashmdash〉internet选项mdashmdash〉内容mdashmdash〉证书。选中安装的证书点击ldquo查看rdquo如出现如下图所示的信息则证书安装成功。至此证书的相关配置就配置完成了。重新启动计算机即可(刷新证书缓冲区)。添加认证的用户)开始mdashmdash〉管理您的服务器。选择域控制器中的管理ActiveDirectory中的用户和计算机。)在下图所示的地方添加组。本例添加组switch。)在下图所示的地方添加新用户即可。本例添加用户test。注:在设置用户密码的时候系统可能会提醒你无法设置用户密码这是由于您的系统密码安全策略的配置非常严格。您可以在开始mdashmdash〉帮助中输入关键字ldquo应用或修改密码策略rdquo搜索。展开第二个ldquordquo号根据里面的提示进行修改。修改生效可能需要重新启动计算机。)将用户test加入组switch。右键单击用户testmdashmdash〉属性mdashmdash〉隶属于。单击ldquo添加rdquo输入ldquoswitchrdquo单击ldquo确定rdquo即可。)设置用户的拨入属性。右键单击用户testmdashmdash〉属性mdashmdash〉拨入。选择ldquo允许访问rdquo。至此用户的添加就完成了。ACSServer的安装与配置ACS安装。ACS的服务器加入到AD中)更改DNS服务器要将DNS服务器设置成为AD的服务器的IP地址。本例中即为)使用本机的管理员帐号登录到计算机更改域此时会弹出来输入域的用户名和密码这里输入caserver服务器的administrator帐号来授权即可hellip注意:重启之后要使用管理员的帐号来登入。ACS的安装安装ACS的之前登录到计算机的时候应该使用管理员帐号登录)ACS软件安装很简单,下一步下一步,到完成)还需安装Java的插件ACS配置ACS服务器证书申请在ACS服务器上申请证书:在ACS服务器浏览器上键http:certsrv进入证书WEB申请页面登录用户采用域管理员用户账号选择ldquoRequestacertificaterarrAdvancedrequestrarrSubmitacertificaterequesttothisCAusingaformrdquo,接下来CertificateTemplate处选择ldquoWebServerrdquo,Name:处填入ldquoACSNETrdquo,KeyOptions:下的KeySize:填入ldquordquo,同时勾选ldquoMarkkeysasexportablerdquo及ldquoUselocalmachinestorerdquo两个选项,然后submit出现安全警告时均选择ldquoYesrdquo,进行到最后会有CertificateInstalled的提示信息,安装即可注意:如果ldquoMarkkeysasexportablerdquo选项为灰色无法勾选的时候如下解决办法:此时发现Markkeysasexportablerdquo选项为灰色无法选中这时候先不管它点击下一步。下一步申请到了证书需要安装此时先不急安装点击网页的ldquo后退ldquo按钮退后后退之后发现可以选中了之后重新申请一次并安装。即可。ACS证书配置进行ACS证书的配置:进入ACS的配置接口选择SystemConfigurationrarrACSCertificateSetuprarrInstallACSCertificate进入如下图片,填写申请的ldquoACSNETrdquo证书,再Submit按提示重启ACS服务,出现如下图片即OK:配置ACS所信任的CA:选择SystemConfigurationrarrACSCertificateSetuprarrEditCertificateTrustListrdquo,选择ADServer上的根证书做为信任证书,如下图所示:EAPTLS配置重启ACS服务并进行EAPTLS设置:选择ldquoSystemConfigurationrarrServiceControlrarrRestartrdquo重启服务选择ldquoSystemConfigurationrarrGlobalAuthenticationSetuprdquo勾选ldquoAllowEAPTLSrdquo选项同时勾选ldquoCertificateSANcomparisionrdquo、ldquoCertificateCNcomparisionrdquo及ldquoCertificateBinarycomparisionrdquo选项配置外部用户数据库选择ldquoExternalUserDatabasesrarrDatabaseConfigurationrarrWindowsDatabaserarrConfigurerdquo,在ConfigureDomainList处将ACSServer所在的域名称移动到ldquoDomainListrdquo中要注意一点ACSServer应加入到域中如下图所示:同时ldquoWindowsEAPSettingsrdquo的ldquoMachineAuthenticationrdquo下勾选ldquoEnablePEAPmachineauthenticationrdquo和ldquoEnableEAPTLSmachineauthenticationEAPTLSandPEAPmachineanthenticationnameprefixrdquo选项,其中默认的ldquohostrdquo不用改动,如下图所示:再选择ldquoExternalUserDatabasesrarrUnknownUserPolicyrarrCheckthefollowingexternaluserdatabasesrdquo,将ldquoExternalDatabasesrdquo移动到右边的SelectedDatabases窗口中,完成后再重启服务,如下图所示:配置ACSGroupMapping:由于使用AD的用户名作为认证,用ACS作为用户访问的授权,因此须将此ACS中的Group与AD的Group映射ExternalUserDatabaserarrDatabaseGroupMappingsWindowsDatabaseNewconfigation将ACS所在的域加进去。ExternalUserDatabaserarrDatabaseGroupMappingsWindowsDatabase刚才建立的Domainndash》addmapping配置AAAClient选择ldquoNetworkConfigurationrarrAddEntryrdquo,在ldquoAAAClientrdquo处输入交换机的主机名ldquoAAAClientIPAddressrdquo处输入S的管理IP地址,在ldquoKeyrdquo处输入RADIUS认证密钥test,ldquoAuthenticateUsingrdquo处选择ldquoRADIUS(IETF)rdquo,再SubmitRestart,如下图所示:NAS的配置:配置Group的授权(可选项)用来下发VLAN注意下发当Group里配置了下发VLAN选项的时候交换机上应该提前配置好想响应的VLAN。否则认证将失败。通过ACS的Group来配置用户访问的权限,比如访问网络中哪一个VLAN及什么时间可以访问网络等现以不同的用户访问不同的VLAN为例首先要在InterfaceConfigurationrarrRADIUS(IETF)下勾选TunnelTypeTunnelMediumTypeTunnelPrivateGroupID如下图所示:再选择GroupSetuprarrGroup:defualtrarrEditSettings,勾选TunnelTypeTunnelMediumTypeTunnelPrivateGroupID其中TunnelType设为VLANTunnelMediumType设为TunnelPrivateGroupID设此Group用户所要访问的VLAN号,现以为例如下图所示:点SubmitRestart即可到此ACS的配置就完成了!NAS配置配置一个交换机本地的用户名口令,用于交换机本地认证,同时可以让交换机在ACS认证失败后能登入S#conftS(config)#usernameNASpassword*****配置ACS认证:S(config)#aaanewmodelS(config)#aaaauthenticationdotxdefaultgroupradius指定ACSServer地址和key,他是和ACS服务器交换的密钥S(config)#radiusserverhostkeytestX配置:S(config)#interfaceFastEthernetS(configif)#switchportmodeaccessS(configif)#dotxportcontrolautoVLAN的下发注意:有VLAN下发的时候应该将要下发到端口的VLAN提前配置。如下:S(config)#vlan终端接入的PC的配置将终端设备加入域)更改DNS服务器要将DNS服务器设置成为AD的服务器的IP地址。本例中即为)使用本机的管理员帐号登录到计算机更改域此时会弹出来输入域的用户名和密码这里输入caserver服务器的域用户(之前配置的test)帐号来授权即可hellip使用域帐号登录当终端PC加入域重启之后应该使用域帐号登录这个帐号是在前面的AD里设置的用户的帐号。详见)!!!注意:要想使用域帐号登录必须保证该PC此时能够域ADserver能够通信可是在上面的模型中该端口在受控口下面所以不能直接通信。其解决办法有下面两个:在登录域和下面到CAserver上申请证书的时候手动的将该PC接到一个非受控口上去。等完成之后再接回来进行认证。(该方法只限于实验)部署guestvlan(实际的应用的做法)该方法过程如下:在终端链接的受控口上打开guestvlan。保证通过此guestvlan能够访问ADCAserver当终端通过受控口登录域的时候该受控口将域终端进行认证发送request报文给终端PC但是此时终端还没有登录肯定是无法认证回应的。当交换机连续发送个报文都没有收到回应之后自动将该端口至为属于guestvlan里。这样该端口下面的PC就能够于ADCAserver进行通信了在终端设备上手动安装根证书终端PC登录域后在浏览器上键入http:certsrv进入证书WEB申请页面,登录用户采用之前配置的域用户账号选择ldquoRetrievetheCAcertificateorcertificaterevocationlistrarrDownloadCAcertificaterarrInstallCertificaterarrAutomaticallyselectthecertificatestorebasedonthetypeofthecertificaterdquo,按下一步结束证书安装进行PC上的x认证设置在以太网卡的连接属性中选择ldquoAuthenticationrarrEnableIEEExauthenticationforthisnetworkrdquoEAPtype选为ldquoProtectedEAP(PEAP)rdquo勾选ldquoAuthenticateascomputerwhencomputerinformationisavailablerdquo然后再点Properties在EAP属性窗口中选择ldquoValidateservercertificaterdquo同时在ldquoTrustedRootCertificastionAuthorities:rdquo窗口中选择对应的ROOTCA这里为ruijierenwqcnAuthenticationMethod选成ldquoSecurepassword(EAPMSCHAPv)rdquo。再点Configure按钮确保ldquoAutomaticallyusemyWindowslogonnameandpassword(anddomainifany)rdquo选项已被选中备注:对于WINXP和WINOS它自带X认证如果是WINOS须要在ldquo开始rdquorarrldquo设定rdquorarrldquo控制台rdquorarrldquo系统管理工具rdquorarrldquo服务rdquo中把WirelessConfiguration服务打开,此服务默认状态下启动类型是ldquo手动rdquo,把它改为ldquo自动rdquo即可这样的话在网卡内容中才会有ldquo验证rdquo选项!验证终端PC上可以看到身份验证成功。并且可以访问相应的网络NAS上可以看到认证成功Switch#shdotxintfSupplicantMACbaacbAuthSMState=AUTHENTICATINGBendSMState=RESPONSEPortStatus=UNAUTHORIZEDMaxReq=HostMode=SinglePortControl=AutoQuietPeriod=SecondsReauthentication=DisabledReAuthPeriod=SecondsServerTimeout=SecondsSuppTimeout=SecondsTxPeriod=SecondsGuestVlan=ACS上可以看到loginuserACS的user上可以看到自动从数据库里面映射过来的用户。如下:注意ACS当PC开机之后不会自动start需要手动自动如下:即systemconfigurationmdashservicecontrolstart客户端有的时候会出现下面现象:NAS已经认证成功并发送了success报文client端也可以正常访问网络了但是

VIP尊享8折文档

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

文档小程序码

使用微信“扫一扫”扫码寻找文档

1

打开微信

2

扫描小程序码

3

发布寻找信息

4

等待寻找结果

我知道了
评分:

/37

AD+CA+EAP-TLS认证模型基本安装(修改版)

¥10.0

会员价¥8.0

VIP

在线
客服

免费
邮箱

爱问共享资料服务号

扫描关注领取更多福利