AD+CA+EAPTLS认证模型基本安装修改版.docx

1、AD+CA+EAPTLS认证模型基本安装修改版拓扑受控口传统802.1x认证采用MD5-Challenge认证，用户在接入网络时需输入用户名和口令，安全性也相对薄弱。PEAP和EAP-TLS都是利用了TLS/SSL隧道，PEAP只使用了服务器端的认证，只是服务器端拥有证书并向用户提供证明，而EAP-TLS使用了双向认证，ACS服务器和客户端均拥有证书并进行相互间的身份证明。（具体的认证流程后续补充这篇主要介绍服务器的搭建组网）设备情况：* Cisco Catalyst 3550交换机-NAS（后续可以替换为我们的S3760）* 一台Windows 2003 Server SP1服务器做为AD

2、Server及CA Server* 一台Windows 2003 Server SP1服务器做为ACS Server* 一台Windows XP SP2工作站做为终端接入设备* Cisco Secure ACS for Windows version 4.1.0AD+CA Server的安装配置域控制器和DNS服务器。AD+CA Server的安装配置域控制器和DNS服务器。选择“开始” “管理您的服务器”点击“添加或删除角色”点击“下一步”，然后选择“域控制器（Active Directory）”,然后点击“下一步”点击“下一步”然后会出现“Active Directory 安装向导”点击“

3、下一步”，再点击“下一步”，然后选择“新域的域控制器”点击“下一步”，然后选择“在新林中的域”点击“下一步”，然后填写DNS全名。本例填写的是“Ruijie-”注：如果是在一个全新的系统上配置，在上述对话框出现之前可能会弹出下图所示的对话框，按照下图所示配置即可。单击“下一步”，本例使用默认名称，然后再点击“下一步”，选择 数据库和日志保存地点，本例使用默认设置，然后点击“下一步”，然后选择 “SYSVOL”文件夹位置，本例使用默认设置。点击“下一步”，然后在“DNS注册诊断”对话框中选择“在这台计算机安装并配置DNS服务器”。点击下一步，在 权限 对话框中选择 “win 2000或 win

4、2003操作系统兼容权限”点击“下一步”，然后填写“目录还原模式管理员密码”，本例在这里填写的密码和计算机管理员的密码一样。 “下一步”，这时候会出现一个 “摘要” 对话框，在这里您可以核对您的配置。本例中，直接点击“下一步”，然后计算机就开始安装域控制器和DNS服务器。至此，域控制器和相应的DNS服务器就配置完成了，重新启动计算机即可生效。安装IIS 和 证书颁发服务器安装IIS开始 控制面板 添加或删除程序 添加/删除window组件，在“windows组件”对话框中选择“应用程序服务器”，点击“下一步”即可。安装证书颁发服务器1) 开始 控制面板 添加或删除程序 添加/删除window组

5、件，在“windows组件”对话框中选择“证书服务”。2) 单击“下一步”，在CA类型对话框中选择“企业根CA”。3) 点击“下一步”，在“CA识别信息”对话框中 填写CA的名称，本例中填写的是：red-giant然后点击“下一步”。安装过程中出现的对话框，本例中均使用默认设置。安装服务器证书1) 在浏览器中 输入 地址：http:/本机IP地址/certsrv ,然后会出现 登陆对话框，用计算机管理员账号登陆即可。注：1. 本例中，本机的IP 地址是 192.168.5.2252. 浏览器必须支持脚本，win2003默认是不支持脚本的，因此需在 浏览器的 工具internet选项 高级 中把

6、 “禁止脚本调试” 前面的小勾去掉。3. 建议把 本机IP地址 加入 “受信任的站点”。加入点在：浏览器的 工具internet选项 安全 。2) 在网页中选择“申请一个证书”3) 在接下来的网页中选择“高级证书申请”4) 在接下来的网页中选择“创建并向此CA提交一个申请”5) 在接下来的网页中，证书模板选择“Web服务器”，识别信息中 姓名 必须填写建议 使用 本机的名称。其余选项采用默认设置，不要改动。然后点击“提交”。6) 在接下来的网页中，安装证书即可7) 核对证书是否安装成功。浏览器的 工具internet选项 内容 证书。选中 安装的证书 点击“查看”，如出现 如下图所示的信息，则

7、证书安装成功。至此，证书的相关配置就配置完成了。 重新启动计算机即可（刷新证书缓冲区）。添加认证的用户1) 开始 管理您的服务器 。选择域控制器中的管理Active Directory 中的用户和计算机。2) 在下图所示的地方添加组。本例添加组switch。3) 在下图所示的地方添加新用户即可。本例添加用户test。注：在设置用户密码的时候，系统可能会提醒你无法设置用户密码，这是由于您的系统密码安全策略的配置非常严格。您可以在开始帮助 中输入关键字“应用或修改密码策略”搜索。展开第二个“+”号，根据里面的提示进行修改。修改生效可能需要重新启动计算机。4) 将用户test加入组switch。右键

8、单击用户test属性隶属于。单击“添加”，输入“switch”，单击“确定”即可。5) 设置用户的拨入属性。右键单击用户test属性拨入。选择“允许访问”。至此，用户的添加就完成了。ACS Server的安装与配置 ACS安装。ACS的服务器加入到AD中1) 更改DNS，服务器，要将DNS服务器设置成为AD的服务器的IP地址。本例中即为192.168.32.32) 使用本机的管理员帐号登录到计算机，更改域 此时会弹出来输入域的用户名和密码这里输入caserver服务器的administrator帐号来授权即可注意：重启之后要使用管理员的帐号来登入。ACS的安装安装ACS的之前，登录到计算机的时

9、候应该使用管理员帐号登录.1) ACS软件安装很简单,下一步下一步,到完成.2) 还需安装Java的插件.ACS配置ACS服务器证书申请在ACS服务器上申请证书:在ACS服务器浏览器上键http:/192.168.32.3/certsrv进入证书WEB申请页面，登录用户采用域管理员用户账号.选择“Request a certificateAdvanced requestSubmit a certificate request to this CA using a form”,接下来Certificate Template处选择“Web Server”,Name:处填入“ACSNET”,Key

10、Options:下的Key Size:填入“1024”,同时勾选“Mark keys as exportable”及“Use local machine store”两个选项,然后submit.出现安全警告时均选择“Yes”,进行到最后会有Certificate Installed的提示信息,安装即可.注意：如果“Mark keys as exportable”选项，为灰色无法勾选的时候，如下解决办法：1.此时发现Mark keys as exportable”选项，为灰色，无法选中，这时候，先不管它，点击下一步。2.下一步申请到了证书，需要安装，此时先不急安装，点击网页的“后退“按钮，退后2

11、.后退之后发现可以选中了，之后重新申请一次，并安装。即可。ACS证书配置进行ACS证书的配置:进入ACS的配置接口选择System ConfigurationACS Certificate SetupInstall ACS Certificate进入如下图片,填写申请的“ACSNET” 证书,再Submit.按提示重启ACS服务,出现如下图片即OK:配置ACS所信任的CA:选择System ConfigurationACS Certificate SetupEdit Certificate Trust List”,选择AD Server上的根证书做为信任证书,如下图所示:EAP-TLS配置重启

12、ACS服务并进行EAP-TLS设置:选择“System ConfigurationService ControlRestart”重启服务；选择“System ConfigurationGlobal Authentication Setup”，勾选“Allow EAP-TLS”选项，同时勾选“Certificate SAN comparision”、“Certificate CN comparision”及“Certificate Binary comparision”选项；配置外部用户数据库选择“External User DatabasesDatabase ConfigurationWind

13、ows DatabaseConfigure”,在Configure Domain List处将ACS Server所在的域名称移动到“Domain List”中.要注意一点ACS Server应加入到域中.如下图所示: 同时“Windows EAP Settings”的“Machine Authentication”下勾选“Enable PEAP machine authentication”和“Enable EAP-TLS machine authentication.EAP-TLS and PEAP machine anthentication name prefix.” 选项,其中默认的

14、“host/”不用改动,如下图所示:再选择“External User DatabasesUnknown User PolicyCheck the following external user databases”,将“External Databases”移动到右边的Selected Databases窗口中,完成后再重启服务,如下图所示:配置ACS Group Mapping:由于使用AD的用户名作为认证,用ACS作为用户访问的授权,因此须将此ACS 中的Group与AD的Group映射.External User DatabaseDatabase Group Mappings Wind

15、ows DatabaseNew configation-将ACS所在的域加进去。External User DatabaseDatabase Group Mappings Windows Database刚才建立的Domain add mapping 配置AAA Client选择“Network ConfigurationAdd Entry”,在“AAA Client”处输入交换机的主机名，“AAA Client IP Address”处输入S3760的管理IP地址,在“Key”处输入RADIUS认证密钥test,“Authenticate Using”处选择“RADIUS(IETF)”,再S

16、ubmit+Restart,如下图所示:NAS的配置：配置Group的授权(可选项)-用来下发VLAN注意下发当Group里配置了下发VLAN选项的时候，交换机上应该提前配置好想响应的VLAN。否则认证将失败。通过ACS的Group来配置用户访问的权限,比如访问网络中哪一个VLAN及什么时间可以访问网络等.现以不同的用户访问不同的VLAN为例.首先要在Interface ConfigurationRADIUS (IETF)下勾选Tunnel-Type; Tunnel-Medium-Type; Tunnel-Private-Group-ID.如下图所示:再选择Group SetupGroup:d

17、efualtEdit Settings, 勾选Tunnel-Type; Tunnel-Medium-Type; Tunnel-Private-Group-ID.其中Tunnel-Type设为VLAN; Tunnel-Medium-Type设为802; Tunnel-Private-Group-ID设此Group用户所要访问的VLAN号,现以68为例.如下图所示:点Submit+Restart即可.到此ACS的配置就完成了!NAS配置1. 配置一个交换机本地的用户名/口令,用于交换机本地认证,同时可以让交换机在ACS认证失败后能登入. S3760#conf t S3760(config)# us

18、ername NAS password *2. 配置ACS认证: S3760 (config)#aaa new-model S3760 (config)# aaa authentication dot1x default group radius3. 指定ACS Server地址和key,他是和ACS服务器交换的密钥.S3760 (config)# radius-server host 192.168.32.4 key test4. 802.1X配置: S3760 (config)# interface FastEthernet1/0/24 S3760 (config-if) # switch

19、port mode access S3760 (config-if) # dot1x port-control auto 5. VLAN的下发 -注意：有VLAN下发的时候应该将要下发到端口的VLAN提前配置。如下： S3760 (config)# vlan 68终端接入的PC的配置将终端设备加入域1) 更改DNS，服务器，要将DNS服务器设置成为AD的服务器的IP地址。本例中即为192.168.32.32) 使用本机的管理员帐号登录到计算机，更改域 此时会弹出来输入域的用户名和密码这里输入caserver服务器的域用户（之前配置的test）帐号来授权即可使用域帐号登录当终端PC加入域重启之后

20、，应该使用域帐号登录，这个帐号是在前面的AD里设置的，用户的帐号。详见2.3 3)！注意：要想使用域帐号登录，必须保证该PC此时能够域AD server能够通信，可是在上面的模型中，该端口在受控口下面，所以，不能直接通信。其解决办法有下面两个：1. 在登录域和下面到CA server上申请证书的时候手动的将该PC接到一个非受控口上去。等完成之后，再接回来进行认证。（该方法只限于实验）2. 部署guest vlan （实际的应用的做法）该方法过程如下： 在终端链接的受控口上打开guest vlan。保证通过此guest vlan能够访问AD &CA server 当终端通过受控口登录域的时候，该

21、受控口将域终端进行认证，发送request报文给终端PC，但是此时，终端还没有登录，肯定是无法认证回应的。当交换机连续发送3个报文都没有收到回应之后，自动将该端口至为属于guest vlan里。这样该端口下面的PC就能够于AD&CA server进行通信了.在终端设备上手动安装根证书终端PC登录域后在浏览器上键入http:/192.168.32.3/certsrv进入证书WEB申请页面,登录用户采用之前配置的域用户账号.选择“Retrieve the CA certificate or certificate revocation list Download CA certificateIns

22、tall CertificateAutomatically select the certificate store based on the type of the certificate”,按下一步结束证书安装.进行PC上的802.1x认证设置在以太网卡的连接属性中选择“AuthenticationEnable IEEE 802.1x authentication for this network”，EAP type选为“Protected EAP(PEAP)”，勾选“Authenticate as computer when computer information is availab

23、le”，然后再点Properties，在EAP属性窗口中选择“Validate server certificate”，同时在“Trusted Root Certificastion Authorities:”窗口中选择对应的ROOT CA，这里为ruijie-，Authentication Method选成“Secure password (EAP-MSCHAP v2)”。再点Configure按钮确保“Automatically use my Windows logon name and password (and domain if any)”选项已被选中；备注:对于WINXP和WIN2

24、003 OS它自带802.1X认证.如果是WIN2000 OS须要在“开始” “设定” “控制台” “系统管理工具” “服务”中把Wireless Configuration服务打开,此服务默认状态下启动类型是“手动”,把它改为“自动” 即可.这样的话在网卡内容中才会有“验证”选项!验证1. 终端PC上可以看到 身份验证成功。并且可以访问相应的网络2. NAS上可以看到认证成功Switch#sh dot1x int f0/2 Supplicant MAC 000b.6a2a.03cbAuthSM State = AUTHENTICATINGBendSM State = RESPONSEPort

25、Status = UNAUTHORIZEDMaxReq = 2 HostMode = Single Port Control = AutoQuietPeriod = 60 Seconds Re-authentication = Disabled ReAuthPeriod = 3600 SecondsServerTimeout = 30 Seconds SuppTimeout = 30 Seconds TxPeriod = 30 Seconds Guest-Vlan = 0 3. ACS上可以看到login user4. ACS的user上可以看到自动从数据库里面映射过来的用户。如下：注意1. ACS4.0当PC开机之后不会自动start.需要手动自动如下：即system configuration service control-start3. 客户端有的时候会出现下面现象：NAS已经认证成功，并发送了success报文，client端也可以正常访问网络了，但是4.