AD與ACS結合做802.1X認證

一.  測試架構及設備配置:

1.      架構圖:

2.      設備配置:   
A.Cisco Catalyst 3750-24TS交換機,Version 12.1(19)EA1d
B.一臺Windows 2003 Server SP1服務器做爲AD Server
C.一臺Windows 2000 Server SP4服務器做爲ACS Server和CA Server
D.一臺Windows 2003 Server SP1工作站做爲終端接入設備
E.Cisco Secure ACS for Windows version 3.3.1

 

二.  AD及CA安裝:

          AD&CA安裝(在此不做介紹),裝CA的SERVER要在登入AD後再安裝CA服務.

三.  AD配置:

1.      創建OU.

2.      在OU下建GROUP,比如:NETGroup,SYSGroup等

3.      再創建User,把對應的User加入到各自的Group中,便於管理,在ACS中也需要,在ACS配置中再介紹.

 

四.  ACS的安裝與配置.

1.      ACS的安裝:

A.     安裝ACS的SERVER必須登入到AD中.

B.     ACS軟件安裝很簡單,下一步下一步,到完成.

C.     還需安裝Java的插件.

 

2.      ACS的配置:

A.     在ACS服務器上申請證書:在ACS服務器瀏覽器上鍵[url]http://192.168.68.19/certsrv[/url]進入證書WEB申請頁面，登錄用戶採用域管理用戶賬號.選擇“Request a certificate→Advanced request→Submit a certificate request to this CA using a form”,

接下來Certificate Template處選擇“Web Server”,Name:處填入“TSGNET”,Key Options:下的Key Size:填入“1024”,同時勾選“Mark keys as exportable”及“Use local machine store”兩個選項,然後submit.出現安全警告時均選擇“Yes”,進行到最後會有Certificate Installed的提示信息,安裝即可.

 

B.     進行ACS證書的配置:進入ACS的配置接口選擇System Configuration→ACS Certificate Setup→Install ACS Certificate進入如下圖片,填寫申請的“TSGNET” 證書,再Submit.

按提示重啓ACS服務,出現如下圖片即OK:

C.      配置ACS所信任的CA:

選擇System Configuration→ACS Certificate Setup→Install ACS    Certificate→Edit Certificate Trust List”,選擇AD Server上的根證書做爲信任證書,如下圖所示:

D.    重啓ACS服務並進行PEAP設置:
選擇“System Configuration→Global Authentication Setup”,勾選“Allow EAP-MSCHAPv2”及“Allow EAP-GTC”選項,同時勾選“Allow MS-CHAP Version 1 Authentication”&“Allow MS-CHAP Version 2 Authentication”選項,如下圖所示:

 

 

E.     配置AAA Client:
選擇“Network Configuration→Add Entry”,在“AAA Client”處輸入交換機的主機名，“AAA Client IP Address”處輸入C3750的管理IP地址,在“Key”處輸入RADIUS認證密鑰tsgacs,“Authenticate Using”處選擇“RADIUS(IETF)”,再Submit+Restart,如下圖所示:

 

 

 

F.      配置外部用戶數據庫:
選擇“External User Databases→Database Configuration→Windows Database→Create New Configuration”,建一個Database的名稱PCEBGIT.COM,Submit,如下圖:

再選擇“External User Databases→Database Configuration→Windows Database→Configure”,在Configure Domain List處將ACS Server所在的域名稱移動到“Domain List”中.要注意一點ACS Server應加入到域中.如下圖所示:

 

同時“Windows EAP Settings”的“Machine Authentication”下勾選“Enable PEAP machine authentication”和“Enable EAP-TLS machine authentication.EAP-TLS and PEAP machine anthentication name prefix.” 選項,其中默認的“host/”不用改動,如下圖所示:

再選擇“External User Databases→Unknown User Policy→Check the following external user databases”,將“External Databases”移動到右邊的Selected Databases窗口中,完成後再重啓服務,如下圖所示:

G.    配置ACS Group Mapping:

由於使用AD的用戶名作爲認證,用ACS作爲用戶訪問的授權,因此須將此ACS 中的Group與AD的Group映射.
External User Database→Database Group Mappings→PCEBGIT.COM→New Configure”,在Detected Domains中選擇PCEBGIT,如下圖:    

      

再Submit,確定後出現另一畫面,選擇PCEBGIT,如下圖所示:

 

 

選擇PCEBGIT→Add Mapping,如下圖,把NT Groups中的Group添加到Selected中,以DBAGroup爲例,這裏的DBAGroup就是PCEBGIT域中的DBAGroup,添加後,再在CiscoSecure group中選擇ACS的GROUP(ACS中的GROUP默認名稱是Group 1…,這個名稱可以更改,爲便於管理給他改名爲DBA),再Submit即可.

 

 

 

H.    配置Group的授權:

通過ACS的Group來配置用戶訪問的權限,比如訪問網絡中哪一個VLAN及什麼時間可以訪問網絡等.現以不同的用戶訪問不同的VLAN爲例.首先要在Interface Configuration→RADIUS (IETF)下勾選Tunnel-Type; Tunnel-Medium-Type; Tunnel-Private-Group-ID.如下圖所示:

 

 

再選擇Group Setup→Group:DBA→Edit Settings, 勾選Tunnel-Type; Tunnel-Medium-Type; Tunnel-Private-Group-ID.其中Tunnel-Type設爲VLAN; Tunnel-Medium-Type設爲802; Tunnel-Private-Group-ID設此Group用戶所要訪問的VLAN號,現以68爲例.如下圖所示:

點Submit+Restart即可.到此ACS的配置就完成了!

 

五.  AAA Client的配置(以架構圖上3750爲例介紹):

1. 配置一個交換機本地的用戶名/口令,用於交換機本地認證,同時可以讓交換機在ACS認證失敗後能登入.

       TSG_LAB_02#conf t

      TSG_LAB_02(config)# username cisco password *****

2. 配置ACS認證:

   TSG_LAB_02 (config)#aaa new-model

   TSG_LAB_02 (config)# aaa authentication login default local
   TSG_LAB_02 (config)# aaa authentication dot1x default group radius

3. 配置ACS授權:
TSG_LAB_02 (config)# aaa authorization network default group radius

4. 指定ACS Server地址和key,他是和ACS服務器交換的密鑰.
TSG_LAB_02 (config)# radius-server host 192.168.68.19 key tsgacs

5. 應用到VTY上(下面是VTY採用本地認證):
TSG_LAB_02 (config)# line vty 0 4
TSG_LAB_02 (config-line)#password ******
TSG_LAB_02 (config-line)#login authentication local

6. 802.1X配置:

   TSG_LAB_02 (config)# dot1x system-auth-control
   TSG_LAB_02 (config)# interface FastEthernet1/0/24

   TSG_LAB_02 (config-if) # switchport mode access
   TSG_LAB_02 (config-if) # dot1x port-control auto 

六.  配置接入設備PC(在OA裝機時完成的動作):

1.      將終端設備加入域.

2.      在終端設備上手動安裝根證書
登錄域後在瀏覽器上鍵入[url]http://192.168.68.19/certsrv[/url]進入證書WEB申請頁面,登錄用戶採用域管理用戶賬號.選擇“Retrieve the CA certificate or certificate revocation list→  Download CA certificate→Install Certificate→Automatically select the certificate store based on the type of the certificate”,按下一步結束證書安裝.

 

3.      進行PC上的802.1x認證設置:
在網卡的連接屬性中選擇“驗證→爲此網絡啓用 IEEE 802.1x 驗證”,EAP 類型選爲“受保護的(PEAP)”,勾選“當計算機信息可用時驗證爲計算機”,然後再點“內容”,在EAP屬性窗口中選擇“確認服務器認證”,同時在“在受信任的目錄授權認證單位”窗口中選擇對應的ROOT CA,這裏爲ACSTEST,認證方法選成“EAP-MSCHAP v2”.再點“設定”按鈕勾選選項即可,如下圖所示:

 

 

備註:

對於WINXP和WIN2003 OS它自帶802.1X認證.如果是WIN2000 OS須要在“開始” →“設定” →“控制檯” →“系統管理工具” →“服務”中把Wireless Configuration服務打開,此服務默認狀態下啓動類型是“手動”,把它改爲“自動” 即可.這樣的話在網卡內容中纔會有“驗證”選項!

原文出處：[url]http://blog.csdn.net/yangcage/archive/2006/11/11/1379492.aspx[/url]