Aruba Controller基于Windows NPS实现8021 X认证.docx
《Aruba Controller基于Windows NPS实现8021 X认证.docx》由会员分享,可在线阅读,更多相关《Aruba Controller基于Windows NPS实现8021 X认证.docx(17页珍藏版)》请在冰豆网上搜索。
ArubaController基于WindowsNPS实现8021X认证
Aruba基于Windows2008NPS实现802.1X认证
一:
测试目的及测试内容:
测试目的:
某企业内部使用Windows的域环境进行统一管理,随着企业移动设备的增多,企业内部需要使用无线网络来满足日益增加的移动性设备的连网需求,要求用户连接无线网络时,使用WindowsADdatabase做认证。
并且不同的group有不同的接入权限。
所有无线用户使用802.1x方式进行认证,认证的用户帐号使windowsAD中的数据库,并且根据AD中用户所处的group进行vlan和访问策略的授权。
(不同的group做不同的权限处理)
例如:
10vlan组:
为企业内网员工,可以访问所有
20vlan组:
为企业访客,只能访问公网,不能访问企业内网。
”技术部”组,可以访问所有。
测试内容:
●释放一个SSID,叫wifi-NPS,使用802.1X基于Radius服务器(window2008)进行统一认证管理,为了保证安全性,要求使用WPA2-AES加密无线数据。
●要求10vlan用户组登陆,获取vlan10地址,具有vlan10用户的权限;
●要求20vlan用户组登陆,获取vlan20地址,具有vlan20用户的权限;
●要求”技术部”用户组登陆,获取vlan30地址,具有vlan30用户的权限;
二:
测试设备:
1:
IMBT420笔记本2台,一台安装AD+IAS(windows2003),另一台做测试客户端(windowsXP);
2:
1台Aruba3200controller做NAS;
3:
1颗AP105。
三:
测试拓扑:
典型无线环境网络整体架构
实验环境测试拓扑
四:
测试过程:
1:
Windows2008NPS服务器的配置;
2:
AC上802.1X认证的配置;
3:
客户端结果测试。
1:
Windows2008NPS服务器的配置
1.1:
ADServer的安装与配置:
1:
配置WindowsAD2008Server,安装AD。
(域名为)
2:
在AD上添加一个新的OU,名称为gome。
添加用户组10vlan,添加用户10vlanuser1,密码,将这个用户隶属于”10vlan”组。
添加用户组20vlan,添加用户20vlanuser1,密码,将这个用户隶属于”20vlan”组。
添加用户组”技术部”,添加用户jishu1,密码,将这个用户隶属于”技术部”
1.2:
NPS的安装与配置:
•添加角色中添加网络策略和访问服务。
•设置好AD做为主域控服务器
•在运行中点击nps.msc
•在Radius客户端中,右键单击新建RADIUS客户端,Windows显示以下对话框。
•设置个名字,并填写Aruba控制器的IP地址。
(在Aruba控制器上同样设置NPS服务器的地址。
)
•使用标准Radius,共享密钥和AC上设置一致(此处为:
123456789)
•在策略中选择网络策略,通过向导模式完成。
•定义一个便于记忆的策略名称。
• 添加AD内的组与与访问策略做捆绑。
• 以后此AD组的用户都将属于此访问策略。
• 不改变缺省身份验证的类型PAP(PEAP),单击下一步。
•右键点刚才建好的策略,单击“属性”,选择“编辑配置文件”再选择“高级”里的“编辑配置文件”点击“添加”
• 在出现的列表中选择“vendorspecific”,点击添加。
• 点击添加。
• 选择输入供应商代码,输入14823。
• 选择符合。
• 点击配置属性。
• 配置Aruba指派属性号为1。
• 属性格式字符串。
(属性值即为最终NPS会传给Aruba控制器的用户角色字段。
)
• 注意:
在AD上建立的用户,保持缺省的使用NPS网络策略访问即可。
2:
AC上802.1X认证的配置
(Aruba3200)(config)#aaaauthentication-serverradiusht-radius
(Aruba3200)(RADIUSServer"ht-radius")#host192.168.10.111
(Aruba3200)(RADIUSServer"ht-radius")#key123456789
(Aruba3200)(RADIUSServer"ht-radius")#enable
(Aruba3200)(RADIUSServer"ht-radius")#exit
(Aruba3200)#aaatest-servermschapv2ht-radius10vlanuser1
AuthenticationSuccessful
(Aruba3200)(config)#aaaserver-groupht-dot1x-server-group
(Aruba3200)(ServerGroup"ht-dot1x-server-group")#auth-serverht-radius
(Aruba3200)(ServerGroup"ht-dot1x-server-group")#setroleconditionrolevalue-of
(Aruba3200)(ServerGroup"ht-dot1x-server-group")#exit
(Aruba3200)(config)#aaaauthenticationdot1xht-dot1x-aaa-auth-profile
(Aruba3200)(802.1XAuthenticationProfile"ht-dot1x-aaa-auth-profile")#terminationenable
(Aruba3200)(802.1XAuthenticationProfile"ht-dot1x-aaa-auth-profile")#terminationeap-typeeap-peap
(Aruba3200)(802.1XAuthenticationProfile"ht-dot1x-aaa-auth-profile")#terminationinner-eap-typeeap-mschapv2
(Aruba3200)(802.1XAuthenticationProfile"ht-dot1x-aaa-auth-profile")#exit
(Aruba3200)(config)#aaaprofileht-dot1x-aaa-profile
(Aruba3200)(AAAProfile"ht-dot1x-aaa-profile")#dot1x-server-groupht-dot1x-server-group
(Aruba3200)(AAAProfile"ht-dot1x-aaa-profile")#authentication-dot1xht-dot1x-aaa-auth-profile
(Aruba3200)(AAAProfile"ht-dot1x-aaa-profile")#exit
(Aruba3200)(config)#wlanssid-profileht-dot1x-ssid-profile
(Aruba3200)(SSIDProfile"ht-dot1x-ssid-profile")#essidwifi-NPS
(Aruba3200)(SSIDProfile"ht-dot1x-ssid-profile")#opmodewpa-tkip
(Aruba3200)(SSIDProfile"ht-dot1x-ssid-profile")#exit
(Aruba3200)(config)#wlanvirtual-ap ht-dot1x-vap-profile
(Aruba3200)(VirtualAPprofile"ht-dot1x-vap-profile")#aaa-profileht-dot1x-aaa-profile
(Aruba3200)(VirtualAPprofile"ht-dot1x-vap-profile")#ssid-profileht-dot1x-ssid-profile
(Aruba3200)(VirtualAPprofile"ht-dot1x-vap-profile")#vlan10,20
(Aruba3200)(VirtualAPprofile"ht-dot1x-vap-profile")#exit
(Aruba3200)(config)#ap-groupdefault
(Aruba3200)(APgroup"default")#virtual-apht-dot1x-vap-profile
(Aruba3200)(APgroup"default")#exit
用户角色的定义
(Aruba3200)(config)#ipaccess-listsessionvlan10
(Aruba3200)(config-sess-vlan10)#network192.168.10.0255.255.255.0network10.0.0.0255.0.0.0anydeny
(Aruba3200)(config-sess-vlan10)#network192.168.10.0255.255.255.0anyanypermit
(Aruba3200)(config-sess-vlan10)#anynetwork192.168.10.0255.255.255.0anypermit
(Aruba3200)(config-sess-vlan10)#exit
(Aruba3200)(config)#ipaccess-listsessionvlan20
(Aruba3200)(config-sess-vlan10)#network192.168.20.0255.255.255.0anyanypermit
(Aruba3200)(config-sess-vlan20)#anynetwork192.168.20.0255.255.255.0anypermit
(Aruba3200)(config-sess-vlan10)#exit
(Aruba3200)(config)#user-roleholtzhangvlan10 //此角色名需要与AD中传回来的角色属性名称相同
(Aruba3200)(config-role)#vlan10
(Aruba3200)(config-role)#access-listsessionvlan10
(Aruba3200)(config-role)#exit
(Aruba3200)(config)#user-roleholtzhangvlan20
(Aruba3200)(config-role)#vlan20
(Aruba3200)(config-role)#access-listsessionvlan20
(Aruba3200)(config-role)#exit
(Aruba3200)(config)#ipaccess-listsessionjishu
(Aruba3200)(config-sess-vlan10)#anyanyany permit
(Aruba3200)(config-sess-vlan10)#exit
(Aruba3200)(config)#user-rolejishu
(Aruba3200)(config-role)#vlan30
(Aruba3200)(config-role)#access-listsessionjishu
(Aruba3200)(config-role)#exit
3:
客户端测试
配置客户端网卡的wifi-NPS属性,身份验证使用WPA2,加密使用AES;
验证的EAP类型选择使用eap-peap,点击属性,认证方式选择mschapV2;
使用windows登陆用户名和密码进行认证。
测试结果
1:
基础架构测试:
用户连接到wifi-NPS热点:
使用10vlanuser1用户组登陆,可以获取vlan10地址,具有vlan10用户role“holtzhangvlan10”;
使用20vlanuser1用户组登陆,可以获取vlan20地址,具有vlan20用户role“holtzhangvlan20”;
使用”技术部”用户组登陆,可以获取vlan30地址,具有vlan30用户role“jishu”;
五:
测试总结
在实际企业环境中不同类型的用户连接到企业内部的同一SSID可以根据预先设定的策略授权到相应的vlan,并且下发相应的策略。
上篇我们使用LDAP做认证对接,其中对中文OU和Group的支持不好,但2003中的IAS和2008中的NPS对中文OU和Group支持的很好。
而且,使用LDAP不能做到OU中的某些用户组中的用户可以作为认证用户,某些组中的用户不能作为认证用户,而IAS和NPS可以很好的控制那些。
(在IAS或NPS中需要将认证拨入的组加入到IAS或NPS,不需要的组不加入IAS或NPS即可实现)
升级会员 