H3C交换机dot1X+AD+IAS+CA配置实验（分享错误经历）四

 

4、ＩＡＳ配置及相关易发错误

右击ＩＡＳ，在ＡＤ中注册

添加客户端，添加交换机ＩＰ地址，客户机－供应商选择 raidus standand

密钥与交换机配置要匹配。

添加远程访问策略，按照向导，访问方法选择以太网，群组中添加相对应的用户组，要对整个域用户认证，选择　ｄｏｍａｉｎ　ｕｓｅｒｓ，最后选择相对应ＥＡＰ方法即可。

 

配置很简单，但是想一次配置通过还真不容易，我在这里主要分享一下我出现的各种不成功经历及解决方法。

整个过程中，我选择的ＥＡＰ方法也是由ＭＤ５――受保护的ＥＡＰ，最后是智能卡和其它证书。毕竟ＭＤ５看起来最简单么！

在这里顺便提一下，刚开始我也是钻研了好长时间ＩＡＳ日志格式，后来发现在事件查看器中的系统日志中有相关记录，记录来源名“ IAS ”，在这里查看，对错误原因可以推断的大概。

 

ｍｄ５认证常见错误

ａ、用户没有拨入权限，ＡＤ缺省安装是 windows 2000 混合模式，用户缺省拨入权限为禁止，而根据远程访问策略分配权限又是不可用，在这里可以启用远程拨入权限，也可以提升域功能，变为　 2003 纯模式，用户拨入权限由远程访问策略分配就可以选中了。这个错误也是三种ＥＡＰ方法中都容易犯的错误

ｂ、用户密码加密方式，缺省用户密码的加密方式是不可还原算法。通过组策略的计算机设置－安全设置－密码策略中，将用可还原的加密来存储密码启用，然后再将测试用户的密码更改一下（自我感觉如果不更改密码的话，组策略好像对测试帐户还没有立即起效）

ｃ、交换机 raidus schema 中 user-name-format 选项，缺省为 with-domain-name 。我测试 md5 与受保护的 eap 方法时，故意将 AD 的域名与交换机内的缺省 domain 不同名，发现使用 without-domain-name 可以认证通过，否则容易出错。对于 AD 中的域名与交换机内的 domain 名以及 user-name-format 选项该如何使用，我还没总结一个令人信服的规律，到时候大家多试几次就可以了。

 

受保护的 Eap 认证常见错误

a 、除了用户拨入权限外，还有一个错误就是日志中提示“提供的消息不完整。 无法验证签名。”分析原因可能是用户证书还没有被颁发，可以将客户机的验证方法受保护的 EAP 的属性中将“验证服务器证书”复选框取消选中。参考 [url]http://support.microsoft.com/kb/838502/zh-cn[/url]

b 、不提示输入用户名及密码。缺省情况下，这种认证方式会自动使用 windows 登录名和密码，而如果计算机不在 AD 中，或者不是以 domain users 登录计算机，则肯定无法通过认证。解决方法是在 EAP 属性栏中对验证方法“安全的密码（ EAP-MSCHAP v2 ）”进行配置，取消选中的“自动使用 windows 登录名和密码”

 

在这里还要提一句，就是前两种验证方法中，在提示输入用户名和密码的对话框中，域一栏我都没有填写任何内容。

智能卡或者其它证书常见错误

首先，此方法中，首先客户机需要加入域中，并登录（从 CA 中下载根证书），然后在本地连接验证标签中对“智能卡或其它证书”进行配置，在被信任的根证书颁发机构中，选中“ Root CA ”即可。

实验中发现如果交换机 Domain 名称与 AD 域名不一致，交换机根本不转发 raidus packet ，然后更改同名，并将 user-name-format 设置为 with-domain-name 即可。需要声明的是，这可能是巧合，还需要各位不断验证，更需要高手予以确认。

 

本文出自 “ 乱窜的猫真实可靠” 博客，请务必保留此出处 http://catcity.blog.51cto.com/310698/59944