使用域账号统一管理cisco网络设备

思科与微软综合实验系列之二:
使用域账号统一管理cisco网络设备
1. 思科设备和微软系统整合的背景:
公司内部有一定数量的客户端,为了实现统一化,在管理内部部署了域架构,这样可以通过组策略对客户端进行批量化管理,提高了管理的效率。
同样公司内部有一定数量的网 络设备(交换机,路由器,防火墙等),在远程管理的时候是通过Telnet方式。
在本案例中,希望用户远程管理网络设备的时候通过到微软的DC(域控制器)上进行身份验证,这样实现了身份验证的单一化,避免维护多套身份验证的架构,大大的简化了公司IT的管理。
2. 搭建模拟环境:
 
clip_image002
如图:搭建的环境核心就为上图所示,一台DC域控制器:03Server 1(对网络进行域管理)、一台RADIUS服务器:03Server2(提供cisco设备认证和微软环境兼容整合)、一台交换机、一台路由器、一台PC客户机:XP1。
(此实验涉及到 思科与微软综合实验系列之一:cisco模拟器GNS3和虚拟机VMware的整合 中的环境搭建步骤)
1) 首先在GNS3模拟器中搭建下图环境:交换机的位置我们用云来替代,按照系列之一的方式把云与我们的虚拟机网卡VMnet1桥接起来。 (具体步骤见 cisco 模拟器GNS3 和虚拟机VMware 的整合
clip_image004
2) 再在VMware中开启三台虚拟机:a)03Server1;b)03Server2;c)XP1,分别依次模拟a)DC域控制器;b)RADIUS服务器;c)Alice客户机。把三台网卡桥接到VMnet1上,使他们与GNS3中的云连接起来,成功构造出我们要搭建的环境。 (具体步骤见 cisco 模拟器GNS3 和虚拟机VMware 的整合
3) 在路由器R1中配置f0/0接口的IP地址和掩码:
R1(config)#int f0/0
R1(config-if)#ip add 10.0.0.11 255.255.255.0
R1(config-if)#no shutdown
4) 在三台虚拟机中配置IP地址:10.0.0.x、子网掩码:255.255.255.0、默认网关:10.0.0.11、首选DNS服务器:10.0.0.2,这里DNS服务器就是DC域控制器。
5) 如果在进行互相ping命令检测时发现XP1的10.0.0.100总是ping不通,那么把XP1上的防火墙功能关闭后,再ping。
3. 具体实现步骤:
第1步: 把03Server1服务器提升为DC域控制器:
a) 开始――>运行――>输入dcpromo――>确定
clip_image005
b) 进入Active Directory安装向导:
clip_image007
c) 一直点击下一步直到出现下图――>创建一个新域并输入域名:例如ilync.cn――>下一步
clip_image009
d) 一直点击下一步直到出现下图――>输入配置的密码――>下一步
clip_image011
e) 一直点击下一步――>等待安装向导完成――>点击完成――>点击重新启动计算机――>等待重启
第2步: 在03Server1上创建用户Alice:
a) 开始――>管理工具――>Active Directory用户和计算机――>点击“在当前容器中创建一个新的组织单位”按钮――>进入新建对象-组织单位对话框
clip_image013
b) 输入要创建的组织单位名称:如sales(销售部)――>确定
clip_image015
c) 在Active Directory用户和计算机中出现sales――>点击“sales”――>点击“在当前容器中创建一个新用户”按钮――>进入新建对象-用户对话框
clip_image017
d) 输入要添加的用户名称:如Alice――>下一步
clip_image019
e) 输入用户登录的密码并且勾选红框中的信息――>下一步――>完成
clip_image021
f) 在Active Directory用户和计算机中出现Alice用户――>点击“在当前容器中创建一个新组”按钮――>输入组名――>确定――>在Active Directory用户和计算机中出现一个创建的telnet新组
clip_image023
g) 把Alice用户加入到telnet组内――>双击telnet组――>进入telnet属性对话框――>在成员选项卡下――>添加――>进入选择用户、联系人或计算机对话框――>输入要加入改组的用户名称,如Alice――>点击“位置”按钮――>选择ilync.cn――>确定――>确定
clip_image025
第3步: 03Server2和XP1加入03Server1创建的域ilync:
a) 在03Server2和XP1中右击我的电脑――>属性――>点击计算机名选项卡――>更改――>出现计算机名称更改对话框。
b) 在对话框中点击域选项――>在框中输入要加入的域名称――>确定――>出现计算机名更改对话框。
clip_image027
c) 在对话框中输入加入该域的账户名和密码――>确定――>出现“欢迎加入ilync域”字样对话框――>确定――>出现重新启动计算机对话框――>确定――>原来的系统属性对话框点击确定――>重新启动计算机――>是
clip_image028 clip_image030
clip_image031 clip_image033
d) 重新启动计算机后登陆到域环境下――>点击“选项”――>登录到:下拉框选择“ILYNC”――>输入用户名――>输入密码――>确定
clip_image035
clip_image037
第4步: 在03Server2上添加RADIUS组件服务:
a) 开始――>控制面板――>添加或删除程序――>添加/删除windows组件(A)――>进入“windows组件向导”对话框――>网络服务――>详细信息
clip_image039
b) 进入网络服务对话框――>Internet 验证服务――>确定――>下一步――>完成
c) 开始――>管理工具――>Internet验证服务――>右击Internet验证服务(本地)――>点击“在Active Directory中注册服务器”――>确定――>确定
clip_image041
d) 右击RADIUS客户端――>点击新建RADIUS客户端――>出现新建RADIUS客户端对话框
clip_image043
e) 在新建RADIUS客户端对话框中输入添加的客户端名称和IP地址,如:我们环境中的R1路由器和它的IP――>下一步
clip_image045
f) 输入配置AAA认证中的key,也就是登陆R1时要输入的密码――>完成
clip_image047
g) 右击“远程访问策略”――>新建远程访问策略――>下一步――>选择“设置自定义策略”,并填写策略名――>下一步
clip_image049
h) 添加――>选择Windows-Group类型――>添加
clip_image051
i) 在组对话框中点击添加――>进入选择组对话框――>点击“位置”――>选择ilync.cn――>输入要添加的对象名称――>确定――>确定――>下一步
clip_image053
j) 在权限中选择“授予远程访问权限”――>下一步――>编辑配置文件――>身份验证选项卡下――>勾选未加密的身份验证――>确定――>是――>直接关闭出现的“路由和远程访问对话框”――>下一步――>完成
clip_image055
第5步: 在R1上配置AAA的身份验证到RADIUS Server上:
R1(config)#aaa new-model
R1(config)#radius-server host 10.0.0.3 key 123.com
R1(config)#aaa authentication login telnet group radius
R1(config)#aaa authentication enable default none
R1(config)#line vty 0 4
R1(config-line)#login authentication telnet
第6步: 验证主机XP1远程访问R1:
a) XP1上点击开始――>运行――>输入cmd――>telnet 10.0.0.11
clip_image057
b) 进入telnet下――>输入用户名:(域名\用户名)模式――>输入配置在R1上的AAA认证的密码
可以看到结果:XP1远程访问R1失败!
clip_image059
c) 在03Server2上的事件查看器中查看失败原因:在03Server2中点击开始――>管理工具――>事件查看器――>系统――>在右面的事件中产生的警告条目上双击――>出现事件属性对话框――>可以看到用户被拒绝访问信息
clip_image061
d) 解决方法是:在03Server1上设置用户允许访问:在03Server1中打开Active Directory用户和计算机对话框――>双击Alice用户――>出现用户属性对话框――>在拨入选项卡下――>勾选允许访问――>确定
clip_image063
e) 再次在XP1上telnet R1验证远程访问:
可以看到结果:XP1远程访问R1成功!
clip_image065
f) 在03Server2上的事件查看器中查看:事件条目中没出现警告信息,双击最上面的信息查看――>可以看到用户被授予了访问权
clip_image067
实验到此完成!!
可以在XP1上对R1进行配置!!
 
 
----本文档由 联科教育 ( http://www.iLync.cn)原创提供,有任何问题访问我们站点并咨询我们专家团队,谢谢!

本文出自 “iLync” 博客,转载请与作者联系!

你可能感兴趣的:(p,center,的,微软系统,思科设备)