H3C交換機dot1X+AD+IAS+CA配置實驗(分享錯誤經歷)
|
版權聲明:原創作品,允許轉載,轉載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。否則將追究法律責任。http://catcity.blog.51cto.com/310698/59944 |
|
4、IAS配置及相關易發錯誤
右擊IAS,在AD中註冊
添加客戶端,添加交換機IP地址,客戶機-供應商選擇raidus standand
密鑰與交換機配置要匹配。
添加遠程訪問策略,按照嚮導,訪問方法選擇以太網,羣組中添加相對應的用戶組,要對整個域用戶認證,選擇 domain users,最後選擇相對應EAP方法即可。
配置很簡單,但是想一次配置通過還真不容易,我在這裏主要分享一下我出現的各種不成功經歷及解決方法。
整個過程中,我選擇的EAP方法也是由MD5——受保護的EAP,最後是智能卡和其它證書。畢竟MD5看起來最簡單麼!
在這裏順便提一下,剛開始我也是鑽研了好長時間IAS日誌格式,後來發現在事件查看器中的系統日誌中有相關記錄,記錄來源名“IAS”,在這裏查看,對錯誤原因可以推斷的大概。
md5認證常見錯誤
a、用戶沒有撥入權限,AD缺省安裝是windows 2000混合模式,用戶缺省撥入權限爲禁止,而根據遠程訪問策略分配權限又是不可用,在這裏可以啓用遠程撥入權限,也可以提升域功能,變爲 2003純模式,用戶撥入權限由遠程訪問策略分配就可以選中了。這個錯誤也是三種EAP方法中都容易犯的錯誤
b、用戶密碼加密方式,缺省用戶密碼的加密方式是不可還原算法。通過組策略的計算機設置-安全設置-密碼策略中,將用可還原的加密來存儲密碼啓用,然後再將測試用戶的密碼更改一下(自我感覺如果不更改密碼的話,組策略好像對測試帳戶還沒有立即起效)
c、交換機 raidus schema中user-name-format選項,缺省爲 with-domain-name。我測試md5與受保護的eap方法時,故意將AD的域名與交換機內的缺省domain不同名,發現使用without-domain-name可以認證通過,否則容易出錯。對於AD中的域名與交換機內的domain名以及user-name-format選項該如何使用,我還沒總結一個令人信服的規律,到時候大家多試幾次就可以了。
受保護的Eap認證常見錯誤
a、除了用戶撥入權限外,還有一個錯誤就是日誌中提示“提供的消息不完整。 無法驗證簽名。”分析原因可能是用戶證書還沒有被頒發,可以將客戶機的驗證方法受保護的EAP的屬性中將“驗證服務器證書”複選框取消選中。參考[url]http://support.microsoft.com/kb/838502/zh-cn[/url]
b、不提示輸入用戶名及密碼。缺省情況下,這種認證方式會自動使用windows登錄名和密碼,而如果計算機不在AD中,或者不是以domain users登錄計算機,則肯定無法通過認證。解決方法是在EAP屬性欄中對驗證方法“安全的密碼(EAP-MSCHAP v2)”進行配置,取消選中的“自動使用windows登錄名和密碼”
在這裏還要提一句,就是前兩種驗證方法中,在提示輸入用戶名和密碼的對話框中,域一欄我都沒有填寫任何內容。
智能卡或者其它證書常見錯誤
首先,此方法中,首先客戶機需要加入域中,並登錄(從CA中下載根證書),然後在本地連接驗證標籤中對“智能卡或其它證書”進行配置,在被信任的根證書頒發機構中,選中“Root CA”即可。
實驗中發現如果交換機Domain名稱與AD域名不一致,交換機根本不轉發raidus packet,然後更改同名,並將user-name-format設置爲 with-domain-name即可。需要聲明的是,這可能是巧合,還需要各位不斷驗證,更需要高手予以確認。 |