一 组网需求:
功能描述
CAMS整合了策略服务机制后,同H3C认证客户端实现了脱离设备特性(即设备无关功能),可以实现下述功能:
客户端版本检测;
用户消息下发(包括登录提示信息、用户余额/欠费信息、系统自定义提示信息和在线用户下发消息);
防代理;
防多网卡;
防IE设置代理;
IP获取方式限制;
客户端弹出式广告;
在线修改密码;
实时强制踢用户下线;
客户端在线升级。
这些功能特性均不需要接入设备有特殊的配置(但必须支持EAP透传的802.1x认证方式),需要CAMS(整合策略服务器)、客户端管理代理及客户端配合实现。
使用限制
必须使用支持802.1X协议信息透传功能(即EAP-MD5认证方式)的以太网交换机(包括我司S2008以上支持802.1x认证的交换机,思科交换机如cisco3750等,实达交换机如Star-S2126G等)
H3C 认证客户端的版本:V2.30-0221及以上版本
CAMS的版本:V1.20-0388及以上版本(Windows版本)
二 组网
组网说明:客户端管理代理服务器可以与CAMS分开安装以保证安全性,当然也可以安装在同一台机器上。
本文假设两者安装在不同的服务器上并做如下假设,实际参数请根据实际组网变化:
CAMS IP : 192.168.4.26
Client Proxy Server IP :192.168.4.44
LanSwitch IP :192.168.4.100
三 配置步骤
1 事先检查项
检查项
检查项说明
CAMS版本
安装Windows版本V1.20-0388以上版本
1X客户端版本
V2.30-0221版本及以后版本
接入设备版本
支持802.1X协议信息透传功能(即EAP-MD5认证方式)的以太网交换机,详见上文描述
服务
在[服务管理/服务配置]中增加一条服务。
用户
在[用户管理/帐号用户]中增加一个帐号并申请上面的服务
2 交换机配置
以下以H3C交换机S3026E作为NAS接入设备做配置介绍,思科和实达设备由于配置较为简单,后面会给出配置案例文件以及说明。
配置IP地址及路由
<S3026E> --登录
<S3026E>sys --进入系统视图(以下配置均在系统配置视图下,后略)
[S3026E]quit --退出系统配置视图(以下退出某项配置均要用quit命令)
[S3026E]interface Vlan-interface1
[S3026E-Vlan-interface1]]ip address 192.168.4.100 255.255.255.0 --配置IP地址掩码
配置缺省路由:
[S3026E ]ip route-static 0.0.0.0 0.0.0.0 192.168.4.1 preference 60
上述IP、掩码、路由等需要根据实际情况修改配置,达到接入设备与CAMS三层可达(即可以ping通)的目的。
配置Radius认证策略及域
配置Radius认证策略:
[S3026E] radius scheme cams
[S3026E-radius-cams]server-type huawei --认证协议
[S3026E-radius-cams]primary authentication 192.168.4.26 1812 --CAMS认证IP、端口
[S3026E-radius-cams]primary accounting 192.168.4.26 1813 --CAMS计费IP、端口
[S3026E-radius-cams]key authentication expert --认证密钥
[S3026E-radius-cams]key accounting expert --计费密钥(必须与认证密钥相同)
[S3026E-radius-cams]user-name-format with-domain –用户名格式(有域名)
[S3026E-radius-cams]session-control-server 192.168.4.44 --客户端管理代理地址( Client Proxy Server IP )
配置认证域:
[S3026E]domain cams
[S3026E-isp-cams] radius-scheme cams --应用上面配置的Radius认证策略
配置缺省域生效:
[S3026E]domain default enable cams --配置cams域为缺省认证域
认证和计费密钥、端口如果需要修改,则两个密钥必须相同且与CAMS配置同步(参见图2);同时与必须策略服务器配置文件定义相一致。
(注意:如果需要给用户申请使用具有不同后缀的多个服务,则需要在我司交换机上配置不同的域,如下:
[S3026E]domain huawei-3com
[S3026E-isp-huawei-3com] radius-scheme cams --应用Radius认证策略
用户申请了带后缀的服务后,在客户端用该服务认证时必须输入格式如下:用户名@域名,如camsservice@huawei-3com)
配置802.1x认证
[S3026E]dot1x --全局启动802.1x认证
[S3026E]dot1x authentication-method eap --配置EAP透传模式的认证方式
[S3026E]dot1x interface Ethernet 0/1 to Ethernet 0/10 --在端口0/1~0/10启动802.1x认证
2 CAMS配置
以下配置(3.3.1-3.3.3)均需要以系统管理员admin的权限登录CAMS配置台(%CAMSIP%/cams,本文为http://192.168.4.26/cams/ ),缺省密码为Admin。
接入设备信息配置
在CAMS的[系统管理/系统配置/接入设备配置]中增加接入交换机设备的IP、认证端口、共享密钥、业务类型(LAN),确定并返回到系统配置页面点击<立即生效>按钮,使这些信息生效。
策略服务系统参数配置
在CAMS的[系统管理/系统配置]中修改“策略服务参数配置”,将“策略服务器IP”修改为CAMS的IP地址(由于安全策略服务器与CAMS安装在同一台服务器上),“代理服务器IP”修改为客户端管理代理服务器(即Client Proxy Server)的IP地址,“自助服务平台主机地址”填入安装的用户自助服务器的地址和端口信息(一般用户自助服务与客户端管理代理安装在同一台服务器上);最后启用“设备独立特性”,点击确定按钮,并且返回到系统配置页面点击<立即生效>按钮使得策略服务配置生效。(其他的参数建议保留初始值,有必要可以参考在线帮助进行修改)
运行参数配置
在CAMS的[系统管理/系统配置]中查看并修改“运行参数配置”,确认“是否启用EAP认证”的标志已经启用EAP认证方式(CAMS缺省是打开该开关的),如果没有启用则必须使之启用,确定修改退出后返回到系统配置页面点击<立即生效>按钮使配置生效。
策略服务器配置
在CAMS服务器上以管理员身份登录,在CAMS安装路径的server/bin/路径下执行config.bat脚本,会弹出策略服务器配置窗口
此配置工具可以对安全策略服务器及客户端管理代理服务器进行向导式或详细(高级)配置,并且可以进行初步测试。强烈建议不需要修改缺省的通讯与监听端口信息。
修改完安全策略服务器配置或者客户端管理代理服务器配置后,需要重新启动服务,重启CAMS服务器上的安全策略服务器对应的服务“Huawei-3Com CAMS Strategy Center”(在控制面板>>管理工具>>服务中查看);如果安全策略客户端管理代理服务器与用户自助安装在不同于CAMS的服务器上,也需要在修改配置后重启服务,控制面板>>管理工具>>服务中查找客户端管理代理对应的服务“Huawei-3Com CAMS Endpoint Proxy”,请重新启动该服务。
相关功能及结果测试
客户端版本检测
CAMS配置台侧服务管理 >> 服务配置 页面中,修改用户申请的服务,设置“屏蔽非华为客户端”,即图7中红线圈定的部分。
在CAMS的服务管理 >> 系统配置 >> 业务参数配置中修改需要检测的最低客户端版本号(注意设定版本的型号格式),修改后点击“立即生效”使配置生效。
客户端启用连接认证上网,如果客户端版本号(可以通过点击客户端的帮助菜单关于对话框查看)低于配置的客户端版本,则认证失败并且客户端显示“E2591: 检查客户端版本太低”的信息。否则可以认证通过。
用户消息下发
可以下发给认证成功用户的消息包括:
用户的登录提示信息(在开户时或者帐号维护的修改页面进行设置);
用户余额/欠费信息(需要在CAMS的系统管理>>用户提示信息 页面使能“是否提示用户余额”和“是否提示用户欠费金额”);
系统自定义提示信息(需要在CAMS的系统管理>>用户提示信息 页面中配置自定义提示信息);
在线用户消息(针对在线用户查询页面的用户单个或者批量下发消息,与非设备独立特性不同的是在线用户消息下发是实时下发的,不需要等待)。
配置了这些消息下发后用户启用连接认证通过后客户端会弹出对话框提示用户收到信息,并且在右下方的log显示窗口会分别显示。
防代理、防多网卡、防IE设置代理、IP获取方式限制
如图7所示在CAMS配置台侧服务管理 >> 服务配置 页面中,修改用户申请的服务,选中“屏蔽非华为客户端”并配置禁用代理,IE设置代理或者多网卡检测以及限制客户端IP获取方式,确定后客户端连接重新启用认证,如果客户端不符合上述配置的规定则认证不通过,并且客户端会提示明确的认证失败信息(如“IP地址获取方式检查不通过,将强制用户下线”等)。
弹出式广告和修改密码
在CAMS配置台侧系统管理 >> 弹出式广告 页面中配置需要弹出的广告内容,确认后客户端连接重新启用认证。客户端软件会以单独的web页面弹出配置的广告内容。在连接启用的状态下选择右键菜单中的“弹出式广告”也可以调出广告。
在认证通过连接图标的右键菜单中选择“更改密码”,会弹出“用户密码修改”对话框,用户可以不必登录自助平台方便的更改本连接所对应的用户密码,还可以在更改成功后更新本地保存的密码(需要连接配置自动保存密码属性)。修改密码成功后客户端会提示“用户密码修改成功”
强制下线
使用强制下线功能管理员可以实时使在线用户下线,在CAMS配置台的在线用户管理页面,选择需要踢下线的用户,点击后面的“下线”或者使用批量下线功能,可以立即使该上网用户下线。客户端侧会提示“服务器要求用户下线”。
客户端自动和在线升级
客户端升级支持强制升级以及可选升级,在CAMS配置台侧的系统管理>>客户端升级 页面配置客户端升级信息,升级包是包含客户端版本信息的zip格式文件,并使某一条升级配置生效。在客户端侧认证上网成功后,如果配置生效的是“强制升级”则如果客户端版本低于配置的版本号,客户端会提示用户需要升级版本信息,用户点击确定后客户端自动在线下载升级文件进行升级;如果CAMS侧配置的是“可选升级”,则客户端在认证成功后可以点击帮助菜单中的“在线升级”进行升级操作。
四 配置关键点:
配置EAP透传模式的认证方式:
dot1x authentication-method eap
与设备无关性关键在与EAP透传,对于思科设备默认就EAP透传的认证方式。