日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

交換機使用PEAP及EAP-TLS協(xié)議進行802.1x認證( 三 )

云知道


* MS QB323172 hotfix應在證書服務安裝之后再進行,如已安裝了此hotfix后才安裝證書服務,則需在安裝證書服務后再安裝一遍此hotfix;
* MS QB323172 hotfix是針對Windows SP3以前的補丁,如已安裝了SP4則此hotfix不能安裝 。但我裝了SP4后“Downloading ActiveX Control”出錯信息仍然存在,只好用SP1的版本安裝后再裝此hotfix問題方消除,不知何故;
* 如是在實際環(huán)境中使用,應確保AAA client到AAA server的UDP 1812/1813端口沒被無意中被block;
* ACS版本應盡量新,因為那個眾所周知的Java出錯問題,安裝ACS機器的OS最好是E文版的OS;
* 配置ACS Server前先確保ACS Server已加入到域中;
* ACS Server中的“Reports and Activity→Failed Attempts→Failed Attempts XXX.csv”能給你些認證出錯上的幫助;
* 最后的最后,ACS Server和Windows客戶機上的安裝證書可通過MMC中的Console Root→Certificates (Local Computer) →Trusted Root Certification Authorities→Certificates及Console Root→Certificates - Current User→Trusted Root Certification Authorities→Certificates進行校驗 。
EAP-TLS的配置和PEAP是類似的,唯一不同的是Windows客戶機上要多做一次證書申請的過程,同時ACS Server上的協(xié)議勾選為EAP-TLS即可,晚了,下次補充了 。
EAP-TLS的配置
一、配置Secure ACS
1、在ACS服務器上申請證書
同PEAP部分;
2、進行ACS的證書配置
同PEAP;
3、配置ACS所信任的CA
同PEAP;
4、重啟ACS服務并進行EAP-TLS設置
選擇“System Configuration→Service Control→Restart”重啟服務;
選擇“System Configuration→Global Authentication Setup”,勾選“Allow EAP-TLS”選項,同時勾選“Certificate SAN comparision”、“Certificate CN comparision”及“Certificate Binary comparision”選項;
5、配置AAA Client
同PEAP;
6、配置外部用戶數(shù)據(jù)庫
同PEAP 。
唯一不同是在“Windows EAP Settings”的“Machine Authentication”下勾選“Enable EAP-TLS machine authentication”選項,“EAP-TLS and PEAP machine authentication name prefix.”處使用默認的“host/”不用改動;
二、配置AAA客戶端及802.1x
同PEAP
三、配置終端接入設備
1、在AD Server上配置MS Certificate Machine Autoenrollment
同PEAP;
2、將終端設備加入域
同PEAP;
3、為終端設備申請證書
在ACS服務器瀏覽器上鍵入http://192.168.168.196/certsrv進入證書WEB申請頁面,登錄用戶采用當前用戶賬號 。
選擇“Request a certificate→Advanced request→Submit a certificate request to this CA using a form”,接下來Certificate Template處選擇“User”,Key Options:下的Key Size:填入“1024”,然后submit 。出現(xiàn)安全警告時均選擇“Yes”,在CA Server上issue這個certificate,終端設備上會有Certificate Issued的提示信息,然后安裝這個證書,如有需要安裝CA自己的證書的提示信息,選擇“Yes”;
4、進行終端設備上的802.1x認證設置
在以太網(wǎng)卡的連接屬性中選擇“Authentication→Enable IEEE 802.1x authentication for this network”,EAP type選為“Smart Card or other Certificate”,勾選“Authenticate as computer when computer information is available”,然后再點Properties,在Smart Card屬性窗口中選擇“Use a certificate on this computer”、“Use simple certificate selection(Recommended)”及“Validate server certificate”,同時在“Trusted Root Certificastion Authorities:”窗口中選擇對應的ROOT CA,這里為acs-ca 。

推薦閱讀