ACS+802.1x+AAA+AD+CA詳細(xì)記錄.doc

ACS+802.1x+AAA+AD+CA詳細(xì)記錄！目 錄實(shí)驗(yàn)環(huán)境：1實(shí)驗(yàn)拓?fù)洌?實(shí)驗(yàn)部分：2第一部分：DC的安裝與配置過程：31、安裝DC，在運(yùn)行下輸入dcpromo，會彈出AD的安裝向?qū)В?2、安裝完DC后，運(yùn)行管理工具Active Directory用戶和計(jì)算機(jī)，將會出現(xiàn)以下界面53、將另外一臺服務(wù)器即ACS&CA加入到NAC這個(gè)域當(dāng)中（必要條件），此時(shí)需要輸入域管理員帳戶aaa8第二部分：ACS的安裝與配置過程：91、安裝部分：92、配置部分123、與AD集成16第1步：Unknown User Policy17第2步：Database Configuration，選擇Windows Database。18第3步：Group Mapping，把AD里面的組與ACS里面的組做一個(gè)映射，作用是通過AD里面的用戶做認(rèn)證，ACS的組策略做授權(quán)。21第三部分：CA的安裝與配置過程：241、CA的安裝242、ACS申請證書253、ACS上配置證書324、配置PEAP認(rèn)證33第四部分：Switch的配置：36第五部分：客戶端配置38第六部分：測試效果40實(shí)驗(yàn)環(huán)境：1、 服務(wù)器一臺運(yùn)行VMWare 6.0：a) Windows 2003 Server Enterprise Edition做DCb) Windows 2003 Server Enterprise Edition做ACS和CA2、 PC客戶端Windows XP (802.1x Client)3、 Switch 3560 POE 一臺(c3560-ipbase-mz.122-25.SEB4.bin)4、 Cisco Secure Access Control Server 4.1 (90天測試版)實(shí)驗(yàn)拓?fù)洌簩?shí)驗(yàn)部分：1、 DC的安裝與配置2、 ACS的安裝與配置3、 CA的安裝與配置4、 Switch的配置5、 客戶端的配置6、 測試效果第一部分：DC的安裝與配置過程：1、安裝DC，在運(yùn)行下輸入dcpromo，會彈出AD的安裝向?qū)В壕唧w的安裝過程，我在微軟的安裝教程下截的屏：DNS全名中我輸入的是NAC.com.所以以后出現(xiàn)的將以代替 我在安裝的過程中沒有出現(xiàn)IP地址，所以不用理他了。2、安裝完DC后，運(yùn)行管理工具Active Directory用戶和計(jì)算機(jī)，將會出現(xiàn)以下界面在User的界面中，右鍵新建一個(gè)用戶aaa：輸入用戶名和密碼：把a(bǔ)aa的隸屬關(guān)系增加多一個(gè)Domain Admins域管理員，并設(shè)置主要組。方便以后的實(shí)驗(yàn)3、將另外一臺服務(wù)器即ACS&CA加入到NAC這個(gè)域當(dāng)中（必要條件），此時(shí)需要輸入域管理員帳戶aaaACS的安裝與配置過程：感謝ZhaNKO提供的ACS安裝過程，省了我很多功夫，呵呵！ACS4.1的安裝過程與ACS3.3的過程完全相同。1、安裝部分：點(diǎn)擊完成安裝2、配置部分安裝完后會自動運(yùn)行ACS，在桌面會也會自動生成一個(gè)ACS Admin的圖標(biāo)，在下面的描述過程中，著重于后面與AD集成的配置，對于ACS的使用介紹在這里就不多說了，如果需要，可參考ZhaNKO那份詳細(xì)的ACS使用手冊哈哈，寫得非常好！安裝完后，點(diǎn)擊Network Configuration頁面，按照拓?fù)涞慕Y(jié)構(gòu)指定交換機(jī)（AAA Client）、ACS(AAA Server)，ACS與交換機(jī)的共享密碼為cisco、然后選擇RADIUS(IETF)認(rèn)證、log Update/Watchdog Packets from this AAA ClientACS的地址、密碼cisco、服務(wù)類型RADIUS（IETF）在建立完后會提示需要重新啟動ACS服務(wù)，在System Configuration頁面第一個(gè)Service Control下方有個(gè)Restart服務(wù),重起即可.（以后在配置中會多次提示重起服務(wù)，按照此方式重起即可）重起完服務(wù)后，最后建立好后如下圖顯示：3、 與AD集成（本文重點(diǎn)介紹，在這里花了我一天的時(shí)間才研究出來，呵呵！）進(jìn)入External User Databases頁面，在這頁面下有3個(gè)選項(xiàng)：a) Unknown User Policyb) Database Group Mappingsc) Database Configuration第1步：Unknown User Policy這里的作用是當(dāng)ACS檢測到非本地用戶的時(shí)候，可以去找外部的數(shù)據(jù)庫，所以這也是為什么ACS要加入域的原因，把Windows Database移動到右邊然后提交第2步：Database Configuration，選擇Windows Database。選擇 configure如下圖設(shè)置：最后提交（submit）。第3步：Group Mapping，把AD里面的組與ACS里面的組做一個(gè)映射，作用是通過AD里面的用戶做認(rèn)證，ACS的組策略做授權(quán)。選擇新建（new configuration）選擇NAC這個(gè)域后提交選擇NAC配置這個(gè)域選擇add mapping按實(shí)際需要把域的成員添加進(jìn)來，這里我選擇的Users、Domain Admins、Domain Users。然后ACS group中選擇ACS的對應(yīng)組（整個(gè)實(shí)驗(yàn)過程我只用了缺省的組），然后提交！到此為止，ACS已經(jīng)可以和AD集成起來了。效果如下第三部分：CA的安裝與配置過程：1、CA的安裝在添加/刪除windows組件中選中證書服務(wù)，然后下一步開始安裝。安裝的過程這里就不詳細(xì)說了，全部選用缺省的配置，有提示筐出來就選擇是就可以了。安裝完成后，在管理工具中打開證書頒發(fā)機(jī)構(gòu)。2、ACS申請證書在ACS服務(wù)器的IE瀏覽器中輸入72/certsrv進(jìn)入證書申請頁面，這里因?yàn)槲野袮CS和CA裝在同一臺服務(wù)器，所以看起來就像自己給自己頒發(fā)證書了呵呵。然后選擇申請一個(gè)證書：選擇高級證書申請：選擇創(chuàng)建并向此CA提交一個(gè)申請：然后選擇Web服務(wù)器的證書模板，在這里我遇到一個(gè)問題請哪位高手知道麻煩告訴下我。這個(gè)頁面中按理說應(yīng)該是選擇服務(wù)器證書的，但是我這里不知道為什么不會出現(xiàn)，不懂。使用服務(wù)器證書的話，證書服務(wù)器上需要執(zhí)行掛起的證書頒發(fā)，這么一個(gè)過程，但是我這里選用Web服務(wù)器后，這個(gè)證書就可以直接使用了，證書服務(wù)器上什么都不用設(shè)置，比較郁悶！因?yàn)槲覍A不熟，所以哪位高人知道其中的原因麻煩告訴下我哈哈！然后的信息就隨便填了密鑰選項(xiàng)中需要注意的地方是需要把“將證書保存在本地計(jì)算機(jī)儲存中”這個(gè)選項(xiàng)勾上！提交，選擇是點(diǎn)安裝此證書選擇是證書安裝成功這時(shí)在證書服務(wù)器頒發(fā)的證書頁面中可以看到剛剛ACS申請的證書3、ACS上配置證書回到ACS上，在System Configuration頁面中選擇ACS Certificate Setup然后選擇Install ACS Certificate選擇Use certificate from storage，然后輸入剛剛申請的證書名TSGNET（這里填寫了第一次申請安裝的證書，提交后提示找不到證書，然后在申請安裝一次，再操作一遍就可以了，我也很郁悶，不知道什么原因）最后提交，可以看到已經(jīng)成功安裝的證書及狀態(tài)。這里需要重起ACS服務(wù)使其生效4、配置PEAP認(rèn)證在System Configuration中選擇Global Authentication Setup在PEAP中選擇Allow EAP-MSCHAPv2，其他都不選最下面的MS-CHAP Configuration中選擇Allow MS-CHAP Version 2 Authentication第四部分：Switch的配置：enable secret 5 $1$yUpo$/O8vCSe57oTveItVZEQqW0!username cisco password 0 cisco創(chuàng)建本地用戶名數(shù)據(jù)庫aaa new-model啟用AAAaaa authentication login default group radius local登陸時(shí)使用radius認(rèn)證，radius失效時(shí)使用本地?cái)?shù)據(jù)庫aaa authentication dot1x default group radius使用802.1x，通過radius認(rèn)證aaa authorization network default group radius 用戶的權(quán)限通過Radius進(jìn)行授權(quán)!ip routing為后面兩個(gè)網(wǎng)絡(luò)開啟VLAN間路由!dot1x system-auth-control開啟dot1x系統(tǒng)認(rèn)證控制!interface FastEthernet0/4 F0/4為普通端口 switchport access vlan 10 switchport mode access!interface FastEthernet0/5 F0/5為802.1x認(rèn)證端口 switchport access vlan 20認(rèn)證后的正常VLAN switchport mode access dot1x port-control auto 端口控制模式為自動 dot1x guest-vlan 10認(rèn)證失敗或者無802.1x客戶端時(shí)，會分配到的VLAN!interface FastEthernet0/24連接ACS服務(wù)器端口 switchport mode access!interface Vlan1交換機(jī)管理IP ip address 00 ip helper-address 72!interface Vlan10 Guest_Vlan管理IP ip address 53 ip helper-address 72 DHCP中繼，指向DHCP服務(wù)器地址! interface Vlan20 ip address 53 Normal_Vlan管理IP ip helper-address 72!radius-server host 72 auth-port 1645 acct-port 1646 key cisco指定ACS服務(wù)器地址和交換機(jī)的協(xié)商時(shí)用的密碼，使用Radius協(xié)議radius-server source-ports 1645-1646系統(tǒng)自動生成!配置完后，這時(shí)候再進(jìn)去交換機(jī)的時(shí)候，就可以通過域用戶aaa去登陸交換機(jī)了，AAA實(shí)現(xiàn)起來很簡單，這里就不再詳細(xì)描述。第五部分：客戶端配置打開本地連接，右鍵屬性，驗(yàn)證，把啟用此網(wǎng)絡(luò)的IEEE 802.1x驗(yàn)證勾上，然后EAP類型：受保護(hù)的EAP（PEAP）如果client已加入了域，可把自動使用Windows登陸名和密碼勾上，實(shí)現(xiàn)單點(diǎn)登陸如果沒有沒有加入到域，上面的勾必須得去掉，不然不會出現(xiàn)用戶名和密碼的驗(yàn)證提示框2、啟用802.1x客戶端情況選擇PEAP驗(yàn)證以后，這時(shí)會在桌面右下腳彈出一個(gè)提示，要求輸入點(diǎn)擊這個(gè)提示，輸入之前域里面定義好的用戶aaa,密碼aaa和登錄域XIAOZHU.COM輸入完后會通過ACS把用戶名密碼發(fā)到DC上去驗(yàn)證，這時(shí)可以在交換機(jī)上debug radiux看到認(rèn)證過程的信息。最后驗(yàn)證成功以后，會分配到Normal_Vlan的地址這時(shí)候去ACS上面的Report