设备情况:
* Cisco Catalyst 2950T-24交换机,Version 12.1(22)EA1b
* 一台windows 2000 Server SP1服务器做为AD Server及CA Server
* 一台Windows 2000 Server SP4服务器做为ACS Server
* 一台Windows XP SP2工作站做为终端接入设备
* Cisco Secure ACS for Windows version 3.2.3
严重说明:因为MS CA证书服务的一个缺陷,在某些客户机上使用WEB页面进行证书申请时会出现“Downloading ActiveX Control”提示信息后不能继续下一步的错误,请参阅MS QB323172下载相关补丁进行处理,并请参阅文末的tips:
http://support.microsoft.com/default.ASPx?...kb;en-us;330389
http://support.microsoft.com/default.aspx?...kb;en-us;323172
拓扑图见下:
传统802.1x认证采用MD5-Challenge认证,用户在接入网络时需输入用户名和口令,安全性也相对薄弱 。PEAP和EAP-TLS都是利用了TLS/SSL隧道,PEAP只使用了服务器端的认证,只是服务器端拥有证书并向用户提供证实,而EAP-TLS使用了双向认证,ACS服务器和客户端均拥有证书并进行相互间的身份证实 。
一、配置Secure ACS
1、在ACS服务器上申请证书
在AD Server上做好AD安装及证书服务设置后,在ACS服务器浏览器上键入http://192.168.168.196/certsrv进入证书WEB申请页面,登录用户采用域治理用户账号 。
选择“Request a certificate→Advanced request→Submit a certificate request to this CA using a form”,接下来Certificate Template处选择“Web Server”,Name:处填入“TestACS”,Key Options:下的Key Size:填入“1024”,同时勾选“Mark keys as exportable”及“Use local machine store”两个选项,然后submit 。出现安全警告时均选择“Yes”,进行到最后会有Certificate Installed的提示信息;
2、进行ACS的证书配置
进入ACS配置界面后选择“System Configuration→ACS Certificate Setup→Install ACS Certificate→Use certificate from storage→Certificate CN”,填入上一步的CA CN名“TestACS”,然后submit;
3、配置ACS所信任的CA
再选择“System Configuration→ACS Certificate Setup→Edit Certificate Trust List”,选择AD Server上的根证书做为信任证书;
4、重启ACS服务并进行PEAP设置
选择“System Configuration→Service Control→Restart”重启服务;
选择“System Configuration→Global Authentication Setup”,勾选“Allow EAP-MSCHAPv2”及“Allow EAP-GTC”选项,同时勾选“Allow MS-CHAP Version 1 Authentication”及“Allow MS-CHAP Version 2 Authentication”选项;
5、配置AAA Client
选择“Network Configuration→Add Entry”,在“AAA Client”处输入交换机的主机名,“AAA Client IP Address”处输入C2950T的治理IP地址,在“Key”处输入RADIUS认证密钥,“Authenticate Using”处选择“RADIUS(IETF)”;
6、配置外部用户数据库
选择“External User Databases→Database Configuration→Windows Database→Create New Configuration→Configure”,在Configure Domain List处将ACS Server所在的域名移动到“Domain List”中 。这里要注重的一点是ACS Server所在机器这时应已加入到域中,同时“Dialin Permission”中的默认勾选项应去掉,如不去掉的话,域治理用户和终端用户均需设置Dial-in访问权限 。
同时在“Windows EAP Settings”的“Machine Authentication”下勾选“Enable PEAP machine authentication”选项,“EAP-TLS and PEAP machine authentication name prefix.”处使用默认的“host/”不用改动 。
再选择“External User Databases→Unknown User Policy→Check the following external user databases”,将“Windows Database from External Databases”移动到右边的Selected Databases窗口中 。
做完修改后再在Service Control中重启服务;
二、配置AAA客户端及802.1x
aaa new-model
aaa authentication dot1x default group radius
推荐阅读
- 新购的CHT 9000的使用心得
- 联想s5中将短信删除具体操作方法
- 一滴香可以用吗
- 新保温壶第一次怎么清洗才能使用
- NOKIA 6020使用两年以来的感想
- 自热火锅怎么使用 自热火锅如何使用
- Realme x语音助手怎么唤醒 Breeno语音助手使用操作设置方法
- 美的电饭煲使用说明 美的电饭煲怎么使用
- 电磁炉的锅能在燃气灶上使用吗 电磁炉专用的锅可以在煤气灶上用的
- 无线蓝牙耳机怎么使用 无线蓝牙耳机如何使用