日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

交換機(jī)使用PEAP及EAP-TLS協(xié)議進(jìn)行802.1x認(rèn)證

云知道


設(shè)備情況:
* Cisco Catalyst 2950T-24交換機(jī),Version 12.1(22)EA1b
* 一臺(tái)windows 2000 Server SP1服務(wù)器做為AD Server及CA Server
* 一臺(tái)Windows 2000 Server SP4服務(wù)器做為ACS Server
* 一臺(tái)Windows XP SP2工作站做為終端接入設(shè)備
* Cisco Secure ACS for Windows version 3.2.3
嚴(yán)重說明:因?yàn)镸S CA證書服務(wù)的一個(gè)缺陷,在某些客戶機(jī)上使用WEB頁面進(jìn)行證書申請(qǐng)時(shí)會(huì)出現(xiàn)“Downloading ActiveX Control”提示信息后不能繼續(xù)下一步的錯(cuò)誤,請(qǐng)參閱MS QB323172下載相關(guān)補(bǔ)丁進(jìn)行處理,并請(qǐng)參閱文末的tips:
http://support.microsoft.com/default.ASPx?...kb;en-us;330389
http://support.microsoft.com/default.aspx?...kb;en-us;323172
拓?fù)鋱D見下:
傳統(tǒng)802.1x認(rèn)證采用MD5-Challenge認(rèn)證,用戶在接入網(wǎng)絡(luò)時(shí)需輸入用戶名和口令,安全性也相對(duì)薄弱 。PEAP和EAP-TLS都是利用了TLS/SSL隧道,PEAP只使用了服務(wù)器端的認(rèn)證,只是服務(wù)器端擁有證書并向用戶提供證實(shí),而EAP-TLS使用了雙向認(rèn)證,ACS服務(wù)器和客戶端均擁有證書并進(jìn)行相互間的身份證實(shí) 。
一、配置Secure ACS
1、在ACS服務(wù)器上申請(qǐng)證書
在AD Server上做好AD安裝及證書服務(wù)設(shè)置后,在ACS服務(wù)器瀏覽器上鍵入http://192.168.168.196/certsrv進(jìn)入證書WEB申請(qǐng)頁面,登錄用戶采用域治理用戶賬號(hào) 。
選擇“Request a certificate→Advanced request→Submit a certificate request to this CA using a form”,接下來Certificate Template處選擇“Web Server”,Name:處填入“TestACS”,Key Options:下的Key Size:填入“1024”,同時(shí)勾選“Mark keys as exportable”及“Use local machine store”兩個(gè)選項(xiàng),然后submit 。出現(xiàn)安全警告時(shí)均選擇“Yes”,進(jìn)行到最后會(huì)有Certificate Installed的提示信息;
2、進(jìn)行ACS的證書配置
進(jìn)入ACS配置界面后選擇“System Configuration→ACS Certificate Setup→Install ACS Certificate→Use certificate from storage→Certificate CN”,填入上一步的CA CN名“TestACS”,然后submit;
3、配置ACS所信任的CA
再選擇“System Configuration→ACS Certificate Setup→Edit Certificate Trust List”,選擇AD Server上的根證書做為信任證書;
4、重啟ACS服務(wù)并進(jìn)行PEAP設(shè)置
選擇“System Configuration→Service Control→Restart”重啟服務(wù);
選擇“System Configuration→Global Authentication Setup”,勾選“Allow EAP-MSCHAPv2”及“Allow EAP-GTC”選項(xiàng),同時(shí)勾選“Allow MS-CHAP Version 1 Authentication”及“Allow MS-CHAP Version 2 Authentication”選項(xiàng);
5、配置AAA Client
選擇“Network Configuration→Add Entry”,在“AAA Client”處輸入交換機(jī)的主機(jī)名,“AAA Client IP Address”處輸入C2950T的治理IP地址,在“Key”處輸入RADIUS認(rèn)證密鑰,“Authenticate Using”處選擇“RADIUS(IETF)”;
6、配置外部用戶數(shù)據(jù)庫
選擇“External User Databases→Database Configuration→Windows Database→Create New Configuration→Configure”,在Configure Domain List處將ACS Server所在的域名移動(dòng)到“Domain List”中 。這里要注重的一點(diǎn)是ACS Server所在機(jī)器這時(shí)應(yīng)已加入到域中,同時(shí)“Dialin Permission”中的默認(rèn)勾選項(xiàng)應(yīng)去掉,如不去掉的話,域治理用戶和終端用戶均需設(shè)置Dial-in訪問權(quán)限 。
同時(shí)在“Windows EAP Settings”的“Machine Authentication”下勾選“Enable PEAP machine authentication”選項(xiàng),“EAP-TLS and PEAP machine authentication name prefix.”處使用默認(rèn)的“host/”不用改動(dòng) 。
再選擇“External User Databases→Unknown User Policy→Check the following external user databases”,將“Windows Database from External Databases”移動(dòng)到右邊的Selected Databases窗口中 。
做完修改后再在Service Control中重啟服務(wù);
二、配置AAA客戶端及802.1x
aaa new-model
aaa authentication dot1x default group radius

推薦閱讀