1简介..................................................................................................................................... 2 2认证机制............................................................................................................................. 3 3用户登陆形式..................................................................................................................... 3 4安装证书服务器................................................................................................................. 4 3 Cisco Secure ACS Solution Engine 安装和配置...................................................... 7
3.1安装.......................................................................................................................... 7 3.2安装证书................................................................................................................ 10 3.3针对思科交换机和AP的配置.............................................................................. 22 3.4针对华为交换机的配置........................................................................................ 29 4 交换机和AP配置............................................................................................................ 29
4.1思科交换机配置.................................................................................................... 29 4.2华为交换机配置.................................................................................................... 30 4.3AP的配置................................................................................................................ 31 5.客户端PEAP认证设置.................................................................................................... 33
5.1获取证书................................................................................................................ 33 5.2客户端PEAP设置.................................................................................................. 34
1简介
IEEE 802.1x 标准定义了基于client/server 模式的访问控制和验证协议,以此来限制非授权用户通过公用的访问端口连接到LAN。在Switch 或LAN 指定的services 可用之前,验证服务器验证每个连接到Switch 端口上的客户端。802.1x 访问控制只允许EAPOL(Extensible Authentication Protocol over LAN )包通过客户端连接的端口,直到客户验证成功。验证成功以后,端口就可以传输正常数据包。网络拓扑图如下:
Client-工作站请求访问LAN 、交换机服务和响应请求。工作站必需运行8021.x 兼容的客户端软件;
Authentication server -真正负责对客户端的验证。Authentication server 确认客户的的身份并且通知交换机是否授权访问LAN 和交换服务。因为交换机作为了一个代理,所以验证服务对客户来说是透明的;
Switch (边缘交换机或无线AP)-根据客户的验证状态控制到网络的物理访问。交换机做为客户端和验证服务器之间的一个代理,从客户端要求验证信息并送到验证服务器验证。交换机包含一个Radius client,负责封装和解装EAP 帧并和验证服务器交互。
在李宁公司802.1x实施中,我们使用windows AD 作为后端用户数据库,使用的Radius server为Cisco ACS ,交换机使用Cisco switch和无线AP ,同时CA服务、DNS服务、DHCP服务也在AD服务器上安装,客户端则使用windows xp 。具体环境配置如下:
后端用户数据库:Windows 2003 standard Edition 中文版 AD; Radius Server:Cisco Secure ACS Solution Engine;
接入层交换机:Cisco Catalyst 2950、Cisco Catalyst2960、Cisco Catalyst 3550; 客户端:Windows XP SP2;
接入层交换机管理地址:不同交换机使用本机的管理地址 Radius Server服务器IP地址: AD服务器IP地址: CA服务器IP地址:
DNS服务器IP地址: DHCP服务器IP地址:
2认证机制
在用户计算机连接网线并开机后,用户的计算机进入启动过程,在启动过程中用户使用机器认证方式进行认证,具体为用户将自己的计算机名发送给连接的交换机,交换机再将计算机名发送给AAA认证服务器(即ACS服务器),AAA认证服务器AAA认证服务器将该计算机名发送给域控服务器,域控服务器根据自己的数据库对该计算机名进行检验,若计算机名存在于域控的数据库,则返回给AAA认证服务器一个肯定的信息;若计算机名不存在于域控的数据库,则返回给AAA认证服务器一个否定的信息,AAA认证服务器根据域控服务器返回的信息判断该用户是否认证成功,若认证成功则通知交换机打开该用户连接的端口的信息并下发该用户的VLAN信息(即vlan252),否则通知交换机不打开该用户连接的端口。若用户连接的交换机端口打开并划入到指定VLAN,则用户开始申请IP地址,实现网络的正常连接。机器认证通过的机器,可以拿到VLAN 252的地址,可以进行域策略下发。若机器认证不成功,则用户将无法进入VLAN252,不能获得域策略。
当用户输入用户名和口令后,用户的计算机将该用户名和口令发送给连接的交换机,交换机再将用户名和口令发送给AAA认证服务器(即ACS服务器),AAA认证服务器将该用户名和口令发送给域控服务器,域控服务器根据自己的用户数据库对该用户名和口令进行检验,若用户名和口令正确,则返回给AAA认证服务器一个肯定的信息;若用户名和口令不正确,则返回给AAA认证服务器一个否定的信息,AAA认证服务器根据域控服务器返回的信息判断该用户是否认证成功,若认证成功则通知交换机打开该用户连接的端口的信息并下发该用户的VLAN信息(即用户vlan)。若认证不成功,则用户保留在VLAN1中,无法获得地址。
3用户登陆形式
1、授权用户在连网情况下开机,先进行机器认证,进入VLAN252,获得地址,与域控制器通信,再采用域用户登录,进行用户认证,成功后,进行VLAN转换,进入指定的用户VLAN,重新获得地址;
2、logout 后进行机器认证,进入VLAN252,再用其他用户登录,进行VLAN转换,获得地址;
3、认证成功后,断开网线,再接上,开始网络不可用,过一段时间(20到30秒),
获得地址,进入指定的用户VLAN,时间长的原因时微软客户端的问题,用第三方客户端没有这个问题,可以很快获得地址;
4、授权用户在未连网情况下开机,用域用户登录,当插上网线时,将进行用户认证,成功后,进入指定的用户VLAN,获得地址,不需要重新输入用户名、密码; 5、授权用户在未连网情况下开机,用本地用户登录,当插上网线时,不会进行1x认证,不能连接到网络,logout 后进行机器认证,进入VLAN252;
6、授权用户在连网情况下开机,先进行机器认证,进入VLAN252,获得地址,与域控制器通信,用本地用户登录,不会进行1x认证,不会换VLAN,还在VLAN252中;
7、外地员工、访客连到网络上时,采用手工输入用户名、密码(去掉“Automatically use my windows logon name and password”选项)的方式登录,成功后进入指定VLAN,获得地址;不能改变外地员工、访客的域(会造成用户原有的域不能用,这些用户的机器也可能没有管理员权限,不能修改域),在AD上要为这些人建立帐号,不进行机器认证。
4安装证书服务器
1、在AD服务器上启用IIS服务:
2、在AD服务器上启用证书服务:
3、选择CA类型为企业根CA:
4、设置CA识别信息,在测试时使用如下信息: CA公用名称:rootca
可分辨名称后缀:DC=lining,DC=lngroup 如图所示:
5、设置CA服务证书数据库等信息的存储位置:
6、完成CA服务的安装:
3 Cisco Secure ACS Solution Engine 安装和配置
3.1安装
Cisco Secure ACS Solution Engine是思科公司将ACS4.0、windows2000英文版、HP服务器集成在一起的一款产品,在购买产品时上述组件已经集成在一起,因此无需专门进行软件的安装。
1、Cisco Secure ACS Solution Engine上架,接通电源和网线
Cisco Secure ACS Solution Engine机箱后面有2个网线插口,缺省使用下面的网口,这一点在安装时要注意。
另外,对于Cisco Secure ACS Solution Engine机箱后面的键盘、鼠标、USB口,
由于思科为了安全的目的已经全部禁用;显示器接口可以使用,但由于ACS的配置是通过WEB的方式进行管理,因此只有在做整机恢复时是有用的。
2、使用随机提供的CONSOLE线连接笔记本的串口和Solution Engine的串口,设置超级终端或SecureCRT的参数为:
速率:115200 数据位:8 校验:无 停止位:1 流量控制:无
3、配置Cisco Secure ACS Solution Engine基本参数
第一步:在连接到Solution Engine后可以在超级终端或SecureCRT上看到下面的信息:
Cisco Secure ACS: [version number]
Appliance Management Software: [version number] Appliance Base Image: [version number]
CSA build [version number]: (Patch: [version number]) Status: Appliance is functioning properly The ACS Appliance has not been configured.
Logon as “Administrator” with password “setup” to configure appliance. Login:
第二步:输入administrator,口令为setup,该用户名和口令可以在下面的第五步和ACS中进行删除或修改
第三步:进入ACS的配置后首先出现的是定义本机名,提示信息为: ACS Appliance name [deliverance1]:
这里输入ACS的本机名(最多15个字符且五空格),如CISCO,回车后出现如下提示信息:
ACS Appliance name is set to xxx.
第四步:定义DNS域名,提示信息如下: DNS domain [ ]:
输入DNS的域名并回车后出现如下提示信息: DNS name is set to xxx.com.
You need to set the administrator account name and password. 第五步:定义管理员用户名和口令
在“Enter new account name:”处输入管理员的用户名并回车;在“Enter new
password:”处输入管理员的口令(口令要求最少六个字符并混合三种字符类型,如1PaSsWoRd)并回车,在“Enter new password again:”处再次输入口令并回车,出现如下提示信息:
Password is set successfully. Administrator name is set to xxx. 第六步:定义数据库口令 接下来的提示信息如下:
Please enter the Encryption Password for the Configuration Store. Please note this is different from the administrator account, it is used to encrypt the Database.
输入数据库口令(口令要求最少六个字符并混合三种字符类型,如1PaSsWoRd)并回车,在“Enter new password again:”处再次输入数据库口令并回车,出现如下提示:
Password is set successfully. 第六步:定义ACS地址信息 接下来的提示信息如下: Use Static IP Address [Yes]:
输入yes并回车,在“IP Address [xx.xx.xx.xx]:”处输入本机的地址并回车,在“Subnet Mask [xx.xx.xx.xx]:”处输入掩码并回车,在“Default Gateway [xx.xx.xx.xx]:”处输入网关地址并回车,在“DNS Servers [xx.xx.xx.xx]:”处输入DNS服务器地址并回车,随后出现下面的信息:
IP Address is reconfigured. Confirm the changes? [Yes]:
直接回车确认设置的改变,然后出现下面的信息: New ip address is set.
Default gateway is set to xx.xx.xx.xx
DNS servers are set to: xx.xx.xx.xx xx.xx.xx.xx.
在“Test network connectivity [Yes]:”处输入yes以便进行网络测试(测试前必须保证ACS已经连接到网内),在“Enter hostname or IP address:”处输入目的主机的地址,ACS将ping目的主机并显示ping的结果。
若上述ping成功,则在“Accept network setting [Yes]:”处输入yes,接受上述设置。
第七步:设置时间 接下来显示如下信息:
Current Date Time Setting:
Time Zone: (GMT -xx:xx) XXX Time Date and Time: mm/dd/yyyy
NTP Server(s): NTP Synchronization Disabled. Change Date & Time Setting [N]:
选择输入yes并回车来修改时间信息,在“Enter desired time zone index (0 for more choices):”处输入0以便翻页,直到找到北京的时区并输入序号,在“Synchronize with NTP server? [N]:”处属于yes或no来确定是否使用NTP,若不使用NTP,则在“Enter date [mm/dd/yyyy]:”处输入当前日期并回车,在“Enter time [hh:mm:ss]:”输入当前时间并回车,随后显示如下信息:
Initial configuration is successful. Appliance will now reboot. ACS重启。 3.2安装证书
ACS上需要安装2种证书:根证书和ACS服务器证书,下面一一进行配置: 准备工作:由于ACS是使用FTP方式到下载证书的电脑上取证书,因此下载证书的电脑上必须事先安装FTP服务器软件(如SERVER-U)并设置用户名、口令、用户的主目录。 1下载根证书
第一步:在本机的浏览器上输入http://证书服务器-IP/certsrv,出现下面的界面,然后选择“下载一个CA证书,证书链或CRL”
第二步:在下面的页面中选择“base64”和“下载CA证书”
第三步:在下面的页面中选择保存到本机的已经建立的FTP用户主目录下,至此根证书下载完毕
2下载ACS服务器证书
第一步:在浏览器中输入http://ACS-IP:2002,在出现登陆界面时输入安装时定义的用户名和口令,出现如下界面
第二步:点击“system configuration”,然后点击“ACS certificate setup”
第三步:点击“generate certificate signing request ”
第四步:在“certificate subject”处输入“CN=liningacs01”,在“pravite key file”处输入pravite key file文件名和在ACS上存储的路径(如c:\\PK),在“pravite key password”处输入pravite key口令,在“retype pravite key password”再输入pravite key口令,在“key length”处选择“1024 bits”,在“digest to sign with”处选择“sha1”,点击提交将会在页面的右侧生成requst。
将生成的requst拷贝到写字板上,准备在CA服务器上申请ACS服务器证书。
第五步:在本机的浏览器上输入http://证书服务器-IP/certsrv,出现下面的界面,然后选择“申请一个证书”
第六步:在下面的页面选择“高级证书申请”
第六步:在下面的页面选择“使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用base64编码的PKCS#7文件”
第七步:在“保存的申请”处粘贴前面生成的requst,在证书模板处选择“WEB服务器”,点击“提交”
第八步:选择“base64编码”和“下载证书”
第九步:点击“保存”,将ACS服务器证书保存到本机的已经建立的FTP用户主目录下,至此ACS服务器证书下载完毕
3安装证书 (1)安装根证书
点击system configuration,再点击ACS Certificate Setup,再点击ACS Certification Authority Setup,出现下面的界面。点击“download CA certificate file”
在FTP server处输入保存证书的FTP服务器的地址,在login处输入访问FTP服务器
的用户名,password处输入口令,directory处输入/(建议将证书保存在用户主目录的根目录下),file处输入根证书的文件名(以.cer为扩展名),点击提交
提交后返回到前面的页面,可以看到根证书的文件名出现在“CA certificate file”的框中,点击提交。
提交后可以看到页面右侧出现根证书的名称。
(2)安装ACS服务器证书
点击system configuration,再点击ACS Certificate Setup,再点击ACS Certification Authority Setup,出现下面的界面。
点击“download certificate file”,出现如下界面。在FTP server处输入保存ACS服务器证书的FTP服务器的地址,在login处输入访问FTP服务器的用户名,password处输入口令,directory处输入/(建议将证书保存在用户主目录的根目录下),file处输入ACS服务器证书的文件名(以.cer为扩展名),点击提交
提交后返回到前面的页面,可以看到ACS服务器证书的文件名出现在“CA certificate file”的框中,private key file处自动出现前面定义的点击private key文件名,private key password处自动出现前面定义的点击private key口令,点击提交。
提交后出现下面的页面,提示证书安装成功
(3)定义证书信任列表
点击system configuration,再点击ACS Certificate Setup,再点击ACS Certification Authority Setup,出现下面的界面。在已安装的根证书前打上对钩,点击提交。
(4)重启ACS服务
点击system configuration,再点击Service Control,点击restart,重启ACS服务。至此证书安装完毕。
3.3针对思科交换机和AP的配置
1.在ACS server 上点击桌面上的ACS admin 或在浏览器中输入http://ACS-IP:2002
2.确认NAS配置正确。
在Network configuration中确认已配置提供认证服务的交换机,可修改已定义交换机的属性(点击NAS的Name),通过Add Entry添加交换机,属性为交换机名称(注意大小写)、NAS地址(即交换机管理地址)、认证协议(对于交换机使用radius(IETF),对于AP使用radius(aironet))和认证密钥(与交换机上的配置相匹配):
3.配置remote agent (1)安装remote agent
由于ACS Solution Engine无法加入到windows域,因此ACS Solution Engine使用remote agent作为代理与windows AD进行联系。
remote agent分为如下几步: 第一步:以AD管理员登陆到AD上
第二步:将随机附带的Migration CD插入到服务器的光驱内 第三步:在Migration CD中找到remote agen子目录,点击“setup” 第四步:进入安装界面后点击“next”,出现Agent Services对话框 第五步:选择要使用的agent服务,可选项为Logging Service和Windows Authentication Service,这里选择Windows Authentication Service。
第六步:在hostname处输入ACS Solution Engine的ip地址 第七步:点击next,选择reboot,再点击finish,系统重启。
(2)配置remote agent
点击network configuration,在remote agent处点击add entry,出现如下界面,在remote agent ip address处输入安装了remote agent的AD服务器地址,点击“submit+apply”
4.配置外部数据库为windows database 。
(1)配置remote agent。
点击External user Database->Database Configuration->windows remote agent selection,在primary处选择AD的名称
(2)配置windows数据库
点击External user Database->Database Configuration->Windows Database,点击Configure,如果只想给AD 用户和计算机中配置里启用了dial-in 的用户做验证,则选择Dial-in permission 里的复选框。
5.将Available Domains 加入到Domain List 中。在windows EAP Settings 中,选中Permit PEAP machine authentication ,点击submit 保存配置。
6.External user Databases->configure unknown User policy. 选择Check the following external user databases ,并将windows database 加入到selected databases 中,点击
submit 保存配置。
7.Interface configuration ->Radius (IETF) ,分别为User 和Group 选择064(Tunnel-type)、065(Tunnel-Medium-Type)、081(Tunnel-Private-group-id),点击Submit。这些是分配VLAN时必须使用的属性。
8.System configuration ->Global Authentication Setup. 选择
Allow EAP
MSCHAPV2,ALLOW EAP-GTC, 点击submit+Restart ,保存并重起服务。这样ACS
就可以支持PEAP 认证。
9. Group setup->选中所要编辑的组,点击Edit settings 。如果想要分配VLAN ,则选中[064] Tunnel-Type 、[065] Tunnel-Medium-Type 和[081] Tunnel-Private-Group-ID 复选框。将[064] Tunnel-Type Tag 1 值设为VLAN,[065] Tunnel-Medium-Type Tag1 为802,在[081] Tunnel-Private-Group-ID 输入要分配给组的VLAN name (如user_vlan、user_lining)。点击submit+Restart,保存并重起服务。
10. ACS 基本配置已完成。客户机验证成功后,会自动添加计算机帐户和域用户账号到Acs 用户列表里,计算机账号格式如下:host/computer name.domain name ,如下图host/g.a.com ,用户名格式为:domain\ame, 如A\\paul 。在User setup 中,可以对单个用户进行特殊配置,如可以分配与所属的组不同的VLAN 和Access-list..
3.4针对华为交换机的配置
ACS上对于华为交换机的配置基本与思科设备相同,因此在ACS上配置针对华为交换机时只需增加下面的配置步骤即可:
前提:必须保证华为交换机上连接的用户均属于AD上的一个组,以便在ACS上做组映射,切记切记!!!。
第一步:选择一个组(如group 4),在属性的64处选择tag为0,属性为VLAN;在属性的65处选择tag为0,属性为802;在属性的81处选择tag为0,属性为user_vlan。 第二步:在外部数据库配置中选择组映射,将AD上包含华为交换机上连接的用户的组映射到上第一步在ACS上配置的组
第三步:在网络配置中配置AAA客户端,配置方法与思科交换机相同
4 交换机和AP配置
4.1思科交换机配置 aaa new-model
aaa authentication dot1x default group radius aaa authorization network default group radius
radius-server host 192.168.1.60 auth-port 1812 acct-port 1813 key cisco dot1x system-auth-control vlan XX name user_vlan vlan 252 name guest_vlan interface FastEthernet0/X switchport mode access dot1x port-control auto dot1x guest-VLAN 252 dot1x auth-fail vlan 252 spanning-tree portfast
interface FastEthernet0/24(上联口) switchport mode trunk
4.2华为交换机配置 radius scheme lining
primary authentication 192.168.1.60 1645 primary accounting 192.168.1.60 1646 key authentication cisco key accounting cisco
user-name-format without-domain
domain lining8021x radius-scheme lining access-limit disable state active
vlan-assignment-mode string idle-cut disable self-service-url disable messenger time disable
domain default enable lining8021x dot1x dot1x retry 1
dot1x authentication-method peap
vlan xx(用户vlan) name user_vlan vlan 252
name guest_vlan
interface Ethernet0/X(连接用户的端口) stp edged-port enable dot1x port-method portbased dot1x guest-vlan 252 dot1x
interface Ethernet0/24(TRUNK端口) port link-type trunk
4.3AP的配置
(1)在AP的基本配置完成后需要进行如下的配置
第一步:定义vlan及其名称。在service选项中选择vlan,在vlan属性页中选择new,在vlan ID处输入vlan号(数字),在vlan name处输入ACS上用户组上81属性所定义的vlan名字,选择802.11属性,然后选择apply。
第二步:定义encryption manager
在security选项中选择encryption manager,在set encryption mode andkeys for vlan处选择上一步定义的vlan号,在encryption mode选择wep encryption(mandatory),然后选择apply
第三步:定义SSID manager
在security选项中选择SSID manager,选中已创建的SSID,在vlan处选择前面已定义的vlan号,interface处选择802.11属性,在open authentication处选择“with EAP”,然后选择apply。
第三步:定义server manager
在security选项中选择server manager,点击new,在server处输入ACS服务器地址,在shared secret处选择ACS上定义的key,在interface处选择802.11属性,然后选择apply。在EAP authentication处选择ACS服务器地址,然后选择apply
(2)在连接AP的交换机端口上配置trunk interface FastEthernet0/24(下联AP端口) switchport mode trunk 5.客户端PEAP认证设置
5.1获取证书
1)在AD服务器上打开Active Directory Users and Computers. 2)右键选中Domain,选择Properties 。
3)选择Group policy,点击Default Domain policy ,点击Edit。
4)到Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Automatic Certificate Request Settings.
5)在菜单条上,Action > New > Automatic Certificate Request ,然后点击Next 。 6)选择计算机,点击Next 。 7)检查CA,点击Next。 8)点击Finish 完成。
5.2客户端PEAP设置 (1)有线网卡的设置
(2)无线网卡
因篇幅问题不能全部显示,请点此查看更多更全内容