AD与ACS结合做802.1X认证

一.  测试架构及设备配置 :

1.      架构图 :

2.      设备配置 :   
A.Cisco Catalyst 3750-24TS 交换机 ,Version 12.1(19)EA1d
B. 一台 Windows 2003 Server SP1 服务器做为 AD Server
C. 一台 Windows 2000 Server SP4 服务器做为 ACS Server 和 CA Server
D. 一台 Windows 2003 Server SP1 工作站做为终端接入设备
E.Cisco Secure ACS for Windows version  3.3.1

 

二.  AD 及 CA 安装 :

          AD&CA 安装 ( 在此不做介绍 ), 装 CA 的 SERVER 要在登入 AD 后再安装 CA 服务 .

三.  AD 配置 :

1.      创建 OU.

2.      在 OU 下建 GROUP, 比如 :NETGroup,SYSGroup 等

3.      再创建 User, 把对应的 User 加入到各自的 Group 中 , 便于管理 , 在 ACS 中也需要 , 在 ACS 配置中再介绍 .

 

四.  ACS 的安装与配置 .

1.      ACS 的安装 :

A.     安装 ACS 的 SERVER 必须登入到 AD 中 .

B.     ACS 软件安装很简单 , 下一步下一步 , 到完成 .

C.     还需安装 Java 的插件 .

 

2.      ACS 的配置 :

A.     在 ACS 服务器上申请证书 : 在 ACS 服务器浏览器上键 [url]http://192.168.68.19/certsrv[/url] 进入证书 WEB 申请页面，登录用户采用域管理用户账号 . 选择 “Request a certificate → Advanced request → Submit a certificate request to this CA using a form”,

接下来 Certificate Template 处选择 “Web Server”,Name: 处填入 “TSGNET”,Key Options: 下的 Key Size: 填入 “1024”, 同时勾选 “Mark keys as exportable” 及 “Use local machine store” 两个选项 , 然后 submit. 出现安全警告时均选择 “Yes”, 进行到最后会有 Certificate Installed 的提示信息 , 安装即可 .

 

B.     进行 ACS 证书的配置 : 进入 ACS 的配置接口选择 System Configuration → ACS Certificate Setup → Install ACS Certificate 进入如下图片 , 填写申请的 “TSGNET” 证书 , 再 Submit.

按提示重启 ACS 服务 , 出现如下图片即 OK:

C.       配置 ACS 所信任的 CA:

选择 System Configuration → ACS Certificate Setup → Install ACS    Certificate → Edit Certificate Trust List”, 选择 AD Server 上的根证书做为信任证书 , 如下图所示 :

D.    重启 ACS 服务并进行 PEAP 设置 :
选择 “System Configuration → Global Authentication Setup”, 勾选 “Allow EAP-MSCHAPv 2” 及 “Allow EAP-GTC” 选项 , 同时勾选 “Allow MS-CHAP Version 1 Authentication”&“Allow MS-CHAP Version 2 Authentication” 选项 , 如下图所示 :

 

 

E.     配置 AAA Client:
选择 “Network Configuration → Add Entry”, 在 “AAA Client” 处输入交换机的主机名， “AAA Client IP Address” 处输入 C3750 的管理 IP 地址 , 在 “Key” 处输入 RADIUS 认证密钥 tsgacs,“Authenticate Using” 处选择 “RADIUS(IETF)”, 再 Submit+Restart, 如下图所示 :

 

   

F.      配置外部用户数据库 :
选择 “External User Databases → Database Configuration → Windows Database → Create New Configuration”, 建一个 Database 的名称 PCEBGIT.COM,Submit, 如下图 :

再选择 “External User Databases → Database Configuration → Windows Database → Configure”, 在 Configure Domain List 处将 ACS Server 所在的域名称移动到 “Domain List” 中 . 要注意一点 ACS Server 应加入到域中 . 如下图所示 :

 

同时 “Windows EAP Settings” 的 “Machine Authentication” 下勾选 “Enable PEAP machine authentication” 和 “Enable EAP-TLS machine authentication.EAP-TLS and PEAP machine anthentication name prefix.” 选项 , 其中默认的 “host/” 不用改动 , 如下图所示 :

再选择 “External User Databases → Unknown User Policy → Check the following external user databases”, 将 “External Databases” 移动到右边的 Selected Databases 窗口中 , 完成后再重启服务 , 如下图所示 :

G.    配置 ACS Group Mapping:

由于使用 AD 的用户名作为认证 , 用 ACS 作为用户访问的授权 , 因此须将此 ACS 中的 Group 与 AD 的 Group 映射 .
External User Database → Database Group Mappings → PCEBGIT.COM → New Configure”, 在 Detected Domains 中选择 PCEBGIT, 如下图 :    

      

再 Submit, 确定后出现另一画面 , 选择 PCEBGIT, 如下图所示 :

 

 

选择 PCEBGIT → Add Mapping, 如下图 , 把 NT Groups 中的 Group 添加到 Selected 中 , 以 DBAGroup 为例 , 这里的 DBAGroup 就是 PCEBGIT 域中的 DBAGroup, 添加后 , 再在 CiscoSecure group 中选择 ACS 的 GROUP(ACS 中的 GROUP 默认名称是 Group 1…, 这个名称可以更改 , 为便于管理给他改名为 DBA), 再 Submit 即可 .

 

 

 

H.    配置 Group 的授权 :

通过 ACS 的 Group 来配置用户访问的权限 , 比如访问网络中哪一个 VLAN 及什么时间可以访问网络等 . 现以不同的用户访问不同的 VLAN 为例 . 首先要在 Interface Configuration → RADIUS (IETF) 下勾选 Tunnel-Type; Tunnel-Medium-Type; Tunnel-Private-Group-ID. 如下图所示 :

 

 

再选择 Group Setup → Group:DBA → Edit Settings, 勾选 Tunnel-Type; Tunnel-Medium-Type; Tunnel-Private-Group-ID. 其中 Tunnel-Type 设为 VLAN; Tunnel-Medium-Type 设为 802; Tunnel-Private-Group-ID 设此 Group 用户所要访问的 VLAN 号 , 现以 68 为例 . 如下图所示 :

点 Submit+Restart 即可 . 到此 ACS 的配置就完成了 !

 

五.  AAA Client 的配置 ( 以架构图上 3750 为例介绍 ):

1. 配置一个交换机本地的用户名 / 口令 , 用于交换机本地认证 , 同时可以让交换机在 ACS 认证失败后能登入 .

       TSG_LAB_02#conf t

      TSG_LAB_02(config)# username cisco password *****

2. 配置 ACS 认证 :

   TSG_LAB_02 (config)#aaa new-model

   TSG_LAB_02 (config)# aaa authentication login default local
   TSG_LAB_02 (config)# aaa authentication dot1x default group radius

3. 配置 ACS 授权 :
TSG_LAB_02 (config)# aaa authorization network default group radius

4. 指定 ACS Server 地址和 key, 他是和 ACS 服务器交换的密钥 .
TSG_LAB_02 (config)# radius-server host 192.168.68.19 key tsgacs

5. 应用到 VTY 上 ( 下面是 VTY 采用本地认证 ):
TSG_LAB_02 (config)# line vty 0 4
TSG_LAB_02 (config-line)#password ******
TSG_LAB_02 (config-line)#login authentication local

6. 802.1X 配置 :

   TSG_LAB_02 (config)# dot1x system-auth-control
   TSG_LAB_02 (config)# interface FastEthernet1/0/24

   TSG_LAB_02 (config-if) # switchport mode access
   TSG_LAB_02 (config-if) # dot1x port-control auto 

六.  配置接入设备 PC( 在 OA 装机时完成的动作 ):

1.      将终端设备加入域 .

2.      在终端设备上手动安装根证书
登录域后在浏览器上键入 [url]http://192.168.68.19/certsrv[/url] 进入证书 WEB 申请页面 , 登录用户采用域管理用户账号 . 选择 “Retrieve the CA certificate or certificate revocation list →   Download CA certificate → Install Certificate → Automatically select the certificate store based on the type of the certificate”, 按下一步结束证书安装 .

 

3.      进行 PC 上的 802.1x 认证设置 :
在网卡的连接属性中选择 “ 验证→为此网络启用  IEEE 802.1x  验证 ”,EAP  类型选为 “ 受保护的 (PEAP)”, 勾选 “ 当计算机信息可用时验证为计算机 ”, 然后再点 “ 内容 ”, 在 EAP 属性窗口中选择 “ 确认服务器认证 ”, 同时在 “ 在受信任的目录授权认证单位 ” 窗口中选择对应的 ROOT CA, 这里为 ACSTEST, 认证方法选成 “EAP-MSCHAP v 2” . 再点 “ 设定 ” 按钮勾选选项即可 , 如下图所示 :

 

 

备注 :

对于 WINXP 和 WIN2003 OS 它自带 802.1X 认证 . 如果是 WIN2000 OS 须要在 “ 开始 ” → “ 设定 ” → “ 控制台 ” → “ 系统管理工具 ” → “ 服务 ” 中把 Wireless Configuration 服务打开 , 此服务默认状态下启动类型是 “ 手动 ”, 把它改为 “ 自动 ” 即可 . 这样的话在网卡内容中才会有 “ 验证 ” 选项 !

原文出处：[url]http://blog.csdn.net/yangcage/archive/2006/11/11/1379492.aspx[/url]