H3C交換機dot1X+AD+IAS+CA配置實驗(解決用戶尚未登錄無法驗證問題)
|
版權聲明:原創作品,允許轉載,轉載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。否則將追究法律責任。http://catcity.blog.51cto.com/310698/59946 |
|
到這裏,實驗已經基本完成,可是有一個問題無法解決。就是我的客戶機都是指定Ip地址了,而非dhcp,也就無法使用動態vlan了。這樣就有一個問題,如果更換一個用戶登錄客戶機,這個用戶此前從未登錄過這臺客戶機。那麼就產生了首先dot1x沒有認證通過,也就無法聯繫域控制器,更談不上下載用戶證書了,沒有用戶證書,就別想通過dot1x認證了。所以新用戶登錄時,總是提示域不可用。
Google查詢,發現也難倒了不少人。於是再查看IAS的日誌,發現並不是想象的那樣沒有向IAS發送認證請求,這樣事情就有轉機了,再仔細查看日誌,有如下信息:
用戶 host/客戶機名.域名 被拒絕訪問。
Full-Qualified-User-Name = 域名/computers/主機名
……
Reason = 連接企圖失敗,因爲用戶帳戶的遠程訪問許可被拒絕……
眼前頓時豁然開朗,呵呵,只要將AD中的domain computers組類屬與遠程訪問策略被授權的用戶組即可。測試ok,出現如下提示:
用戶 host/客戶機名.域名 被授予了訪問權。
總結:域內主機加入AD之後,首先申請得到一個計算機證書,然後用戶登錄之後再得到一個用戶證書。而用戶尚未登錄時,客戶機會傳送主機證書,而主機證書的用戶名所在羣組屬於AD中的domain computer 組。所以廣義的將,AD內的計算機也可視爲用戶了。 |