一. 測試架構及設備配置:
1. 架構圖:
2. 設備配置:
A.Cisco Catalyst 3750-24TS交換機,Version 12.1(19)EA1d
B.一臺Windows 2003 Server SP1服務器做爲AD Server
C.一臺Windows 2000 Server SP4服務器做爲ACS Server和CA Server
D.一臺Windows 2003 Server SP1工作站做爲終端接入設備
E.Cisco Secure ACS for Windows version3.3.1
A.Cisco Catalyst 3750-24TS交換機,Version 12.1(19)EA1d
B.一臺Windows 2003 Server SP1服務器做爲AD Server
C.一臺Windows 2000 Server SP4服務器做爲ACS Server和CA Server
D.一臺Windows 2003 Server SP1工作站做爲終端接入設備
E.Cisco Secure ACS for Windows version
二. AD及CA安裝:
AD&CA安裝(在此不做介紹),裝CA的SERVER要在登入AD後再安裝CA服務.
三. AD配置:
1. 創建OU.
2. 在OU下建GROUP,比如:NETGroup,SYSGroup等
3. 再創建User,把對應的User加入到各自的Group中,便於管理,在ACS中也需要,在ACS配置中再介紹.
四. ACS的安裝與配置.
1. ACS的安裝:
A. 安裝ACS的SERVER必須登入到AD中.
B. ACS軟件安裝很簡單,下一步下一步,到完成.
C. 還需安裝Java的插件.
2. ACS的配置:
A. 在ACS服務器上申請證書:在ACS服務器瀏覽器上鍵[url]http://192.168.68.19/certsrv[/url]進入證書WEB申請頁面,登錄用戶採用域管理用戶賬號.選擇“Request a certificate→Advanced request→Submit a certificate request to this CA using a form”,
接下來Certificate Template處選擇“Web Server”,Name:處填入“TSGNET”,Key Options:下的Key Size:填入“1024”,同時勾選“Mark keys as exportable”及“Use local machine store”兩個選項,然後submit.出現安全警告時均選擇“Yes”,進行到最後會有Certificate Installed的提示信息,安裝即可.
B. 進行ACS證書的配置:進入ACS的配置接口選擇System Configuration→ACS Certificate Setup→Install ACS Certificate進入如下圖片,填寫申請的“TSGNET” 證書,再Submit.
C. 配置ACS所信任的CA:
選擇System Configuration→ACS Certificate Setup→Install ACS Certificate→Edit Certificate Trust List”,選擇AD Server上的根證書做爲信任證書,如下圖所示:
D. 重啓ACS服務並進行PEAP設置:
選擇“System Configuration→Global Authentication Setup”,勾選“Allow EAP-MSCHAPv2” 及“Allow EAP-GTC”選項,同時勾選“Allow MS-CHAP Version 1 Authentication”&“Allow MS-CHAP Version 2 Authentication”選項,如下圖所示:
選擇“System Configuration→Global Authentication Setup”,勾選“Allow EAP-MSCHAPv
E. 配置AAA Client:
選擇“Network Configuration→Add Entry”,在“AAA Client”處輸入交換機的主機名,“AAA Client IP Address”處輸入C3750的管理IP地址,在“Key”處輸入RADIUS認證密鑰tsgacs,“Authenticate Using”處選擇“RADIUS(IETF)”,再Submit+Restart,如下圖所示:
選擇“Network Configuration→Add Entry”,在“AAA Client”處輸入交換機的主機名,“AAA Client IP Address”處輸入C3750的管理IP地址,在“Key”處輸入RADIUS認證密鑰tsgacs,“Authenticate Using”處選擇“RADIUS(IETF)”,再Submit+Restart,如下圖所示:
F. 配置外部用戶數據庫:
選擇“External User Databases→Database Configuration→Windows Database→Create New Configuration”,建一個Database的名稱PCEBGIT.COM,Submit,如下圖:
選擇“External User Databases→Database Configuration→Windows Database→Create New Configuration”,建一個Database的名稱PCEBGIT.COM,Submit,如下圖:
再選擇“External User Databases→Database Configuration→Windows Database→Configure”,在Configure Domain List處將ACS Server所在的域名稱移動到“Domain List”中.要注意一點ACS Server應加入到域中.如下圖所示:
同時“Windows EAP Settings”的“Machine Authentication”下勾選“Enable PEAP machine authentication”和“Enable EAP-TLS machine authentication.EAP-TLS and PEAP machine anthentication name prefix.” 選項,其中默認的“host/”不用改動,如下圖所示:
再選擇“External User Databases→Unknown User Policy→Check the following external user databases”,將“External Databases”移動到右邊的Selected Databases窗口中,完成後再重啓服務,如下圖所示:
G. 配置ACS Group Mapping:
External User Database→Database Group Mappings→PCEBGIT.COM→New Configure”,在Detected Domains中選擇PCEBGIT,如下圖:
再Submit,確定後出現另一畫面,選擇PCEBGIT,如下圖所示:
選擇PCEBGIT→Add Mapping,如下圖,把NT Groups中的Group添加到Selected中,以DBAGroup爲例,這裏的DBAGroup就是PCEBGIT域中的DBAGroup,添加後,再在CiscoSecure group中選擇ACS的GROUP(ACS中的GROUP默認名稱是Group 1…,這個名稱可以更改,爲便於管理給他改名爲DBA),再Submit即可.
H. 配置Group的授權:
通過ACS的Group來配置用戶訪問的權限,比如訪問網絡中哪一個VLAN及什麼時間可以訪問網絡等.現以不同的用戶訪問不同的VLAN爲例.首先要在Interface Configuration→RADIUS (IETF)下勾選Tunnel-Type; Tunnel-Medium-Type; Tunnel-Private-Group-ID.如下圖所示:
再選擇Group Setup→Group:DBA→Edit Settings, 勾選Tunnel-Type; Tunnel-Medium-Type; Tunnel-Private-Group-ID.其中Tunnel-Type設爲VLAN; Tunnel-Medium-Type設爲802; Tunnel-Private-Group-ID設此Group用戶所要訪問的VLAN號,現以68爲例.如下圖所示:
點Submit+Restart即可.到此ACS的配置就完成了!
五. AAA Client的配置(以架構圖上3750爲例介紹):
1. 配置一個交換機本地的用戶名/口令,用於交換機本地認證,同時可以讓交換機在ACS認證失敗後能登入.
TSG_LAB_02#conf t
TSG_LAB_02(config)# username cisco password *****
2. 配置ACS認證:
TSG_LAB_02 (config)#aaa new-model
TSG_LAB_02 (config)# aaa authentication login default local
TSG_LAB_02 (config)# aaa authentication dot1x default group radius
TSG_LAB_02 (config)# aaa authentication dot1x default group radius
3. 配置ACS授權:
TSG_LAB_02 (config)# aaa authorization network default group radius
TSG_LAB_02 (config)# aaa authorization network default group radius
4. 指定ACS Server地址和key,他是和ACS服務器交換的密鑰.
TSG_LAB_02 (config)# radius-server host 192.168.68.19 key tsgacs
TSG_LAB_02 (config)# radius-server host 192.168.68.19 key tsgacs
5. 應用到VTY上(下面是VTY採用本地認證):
TSG_LAB_02 (config)# line vty 0 4
TSG_LAB_02 (config-line)#password ******
TSG_LAB_02 (config-line)#login authentication local
TSG_LAB_02 (config)# line vty 0 4
TSG_LAB_02 (config-line)#password ******
TSG_LAB_02 (config-line)#login authentication local
6. 802.1X配置:
TSG_LAB_02 (config)# dot1x system-auth-control
TSG_LAB_02 (config)# interface FastEthernet1/0/24
TSG_LAB_02 (config)# interface FastEthernet1/0/24
TSG_LAB_02 (config-if) # switchport mode access
TSG_LAB_02 (config-if) # dot1x port-control auto
TSG_LAB_02 (config-if) # dot1x port-control auto
六. 配置接入設備PC(在OA裝機時完成的動作):
1. 將終端設備加入域.
2. 在終端設備上手動安裝根證書
登錄域後在瀏覽器上鍵入[url]http://192.168.68.19/certsrv[/url]進入證書WEB申請頁面,登錄用戶採用域管理用戶賬號.選擇“Retrieve the CA certificate or certificate revocation list→ Download CA certificate→Install Certificate→Automatically select the certificate store based on the type of the certificate”,按下一步結束證書安裝.
登錄域後在瀏覽器上鍵入[url]http://192.168.68.19/certsrv[/url]進入證書WEB申請頁面,登錄用戶採用域管理用戶賬號.選擇“Retrieve the CA certificate or certificate revocation list→ Download CA certificate→Install Certificate→Automatically select the certificate store based on the type of the certificate”,按下一步結束證書安裝.
3. 進行PC上的802.1x認證設置:
在網卡的連接屬性中選擇“驗證→爲此網絡啓用 IEEE 802.1x 驗證”,EAP 類型選爲“受保護的(PEAP)”,勾選“當計算機信息可用時驗證爲計算機”,然後再點“內容”,在EAP屬性窗口中選擇“確認服務器認證”,同時在“在受信任的目錄授權認證單位”窗口中選擇對應的ROOT CA,這裏爲ACSTEST,認證方法選成“EAP-MSCHAP v
備註:
對於WINXP和WIN2003 OS它自帶802.1X認證.如果是WIN2000 OS須要在“開始” →“設定” →“控制檯” →“系統管理工具” →“服務”中把Wireless Configuration服務打開,此服務默認狀態下啓動類型是“手動”,把它改爲“自動” 即可.這樣的話在網卡內容中纔會有“驗證”選項!