H3C交换机dot1X+AD+IAS+CA配置实验(分享错误经历)
 
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。 http://catcity.blog.51cto.com/310698/59944
4、IAS配置及相关易发错误
右击IAS,在AD中注册
添加客户端,添加交换机IP地址,客户机-供应商选择raidus standand
密钥与交换机配置要匹配。
添加远程访问策略,按照向导,访问方法选择以太网,群组中添加相对应的用户组,要对整个域用户认证,选择 domain users,最后选择相对应EAP方法即可。
 
配置很简单,但是想一次配置通过还真不容易,我在这里主要分享一下我出现的各种不成功经历及解决方法。
整个过程中,我选择的EAP方法也是由MD5——受保护的EAP,最后是智能卡和其它证书。毕竟MD5看起来最简单么!
在这里顺便提一下,刚开始我也是钻研了好长时间IAS日志格式,后来发现在事件查看器中的系统日志中有相关记录,记录来源名“IAS”,在这里查看,对错误原因可以推断的大概。
 
md5认证常见错误
a、用户没有拨入权限,AD缺省安装是windows 2000混合模式,用户缺省拨入权限为禁止,而根据远程访问策略分配权限又是不可用,在这里可以启用远程拨入权限,也可以提升域功能,变为 2003纯模式,用户拨入权限由远程访问策略分配就可以选中了。这个错误也是三种EAP方法中都容易犯的错误
b、用户密码加密方式,缺省用户密码的加密方式是不可还原算法。通过组策略的计算机设置-安全设置-密码策略中,将用可还原的加密来存储密码启用,然后再将测试用户的密码更改一下(自我感觉如果不更改密码的话,组策略好像对测试帐户还没有立即起效)
c、交换机 raidus schemauser-name-format选项,缺省为 with-domain-name。我测试md5与受保护的eap方法时,故意将AD的域名与交换机内的缺省domain不同名,发现使用without-domain-name可以认证通过,否则容易出错。对于AD中的域名与交换机内的domain名以及user-name-format选项该如何使用,我还没总结一个令人信服的规律,到时候大家多试几次就可以了。
 
受保护的Eap认证常见错误
a、除了用户拨入权限外,还有一个错误就是日志中提示“提供的消息不完整。 无法验证签名。”分析原因可能是用户证书还没有被颁发,可以将客户机的验证方法受保护的EAP的属性中将“验证服务器证书”复选框取消选中。参考[url]http://support.microsoft.com/kb/838502/zh-cn[/url]
b、不提示输入用户名及密码。缺省情况下,这种认证方式会自动使用windows登录名和密码,而如果计算机不在AD中,或者不是以domain users登录计算机,则肯定无法通过认证。解决方法是在EAP属性栏中对验证方法“安全的密码(EAP-MSCHAP v2)”进行配置,取消选中的“自动使用windows登录名和密码”
 
在这里还要提一句,就是前两种验证方法中,在提示输入用户名和密码的对话框中,域一栏我都没有填写任何内容。
智能卡或者其它证书常见错误
首先,此方法中,首先客户机需要加入域中,并登录(从CA中下载根证书),然后在本地连接验证标签中对“智能卡或其它证书”进行配置,在被信任的根证书颁发机构中,选中“Root CA”即可。
实验中发现如果交换机Domain名称与AD域名不一致,交换机根本不转发raidus packet,然后更改同名,并将user-name-format设置为 with-domain-name即可。需要声明的是,这可能是巧合,还需要各位不断验证,更需要高手予以确认。