ACS+802.1x+AAA+AD+CA詳細記錄.doc

ACS+802.1x+AAA+AD+CA詳細記錄！目 錄實驗環(huán)境：1實驗拓撲：2實驗部分：2第一部分：DC的安裝與配置過程：31、安裝DC，在運行下輸入dcpromo，會彈出AD的安裝向?qū)В?2、安裝完DC后，運行管理工具Active Directory用戶和計算機，將會出現(xiàn)以下界面53、將另外一臺服務(wù)器即ACS&CA加入到NAC這個域當中（必要條件），此時需要輸入域管理員帳戶aaa8第二部分：ACS的安裝與配置過程：91、安裝部分：92、配置部分123、與AD集成16第1步：Unknown User Policy17第2步：Database Configuration，選擇Windows Database。18第3步：Group Mapping，把AD里面的組與ACS里面的組做一個映射，作用是通過AD里面的用戶做認證，ACS的組策略做授權(quán)。21第三部分：CA的安裝與配置過程：241、CA的安裝242、ACS申請證書253、ACS上配置證書324、配置PEAP認證33第四部分：Switch的配置：36第五部分：客戶端配置38第六部分：測試效果40實驗環(huán)境：1、 服務(wù)器一臺運行VMWare 6.0：a) Windows 2003 Server Enterprise Edition做DCb) Windows 2003 Server Enterprise Edition做ACS和CA2、 PC客戶端Windows XP (802.1x Client)3、 Switch 3560 POE 一臺(c3560-ipbase-mz.122-25.SEB4.bin)4、 Cisco Secure Access Control Server 4.1 (90天測試版)實驗拓撲：實驗部分：1、 DC的安裝與配置2、 ACS的安裝與配置3、 CA的安裝與配置4、 Switch的配置5、 客戶端的配置6、 測試效果第一部分：DC的安裝與配置過程：1、安裝DC，在運行下輸入dcpromo，會彈出AD的安裝向?qū)В壕唧w的安裝過程，我在微軟的安裝教程下截的屏：DNS全名中我輸入的是NAC.com.所以以后出現(xiàn)的將以代替 我在安裝的過程中沒有出現(xiàn)IP地址，所以不用理他了。2、安裝完DC后，運行管理工具Active Directory用戶和計算機，將會出現(xiàn)以下界面在User的界面中，右鍵新建一個用戶aaa：輸入用戶名和密碼：把aaa的隸屬關(guān)系增加多一個Domain Admins域管理員，并設(shè)置主要組。方便以后的實驗3、將另外一臺服務(wù)器即ACS&CA加入到NAC這個域當中（必要條件），此時需要輸入域管理員帳戶aaaACS的安裝與配置過程：感謝ZhaNKO提供的ACS安裝過程，省了我很多功夫，呵呵！ACS4.1的安裝過程與ACS3.3的過程完全相同。1、安裝部分：點擊完成安裝2、配置部分安裝完后會自動運行ACS，在桌面會也會自動生成一個ACS Admin的圖標，在下面的描述過程中，著重于后面與AD集成的配置，對于ACS的使用介紹在這里就不多說了，如果需要，可參考ZhaNKO那份詳細的ACS使用手冊哈哈，寫得非常好！安裝完后，點擊Network Configuration頁面，按照拓撲的結(jié)構(gòu)指定交換機（AAA Client）、ACS(AAA Server)，ACS與交換機的共享密碼為cisco、然后選擇RADIUS(IETF)認證、log Update/Watchdog Packets from this AAA ClientACS的地址、密碼cisco、服務(wù)類型RADIUS（IETF）在建立完后會提示需要重新啟動ACS服務(wù)，在System Configuration頁面第一個Service Control下方有個Restart服務(wù),重起即可.（以后在配置中會多次提示重起服務(wù)，按照此方式重起即可）重起完服務(wù)后，最后建立好后如下圖顯示：3、 與AD集成（本文重點介紹，在這里花了我一天的時間才研究出來，呵呵?。┻M入External User Databases頁面，在這頁面下有3個選項：a) Unknown User Policyb) Database Group Mappingsc) Database Configuration第1步：Unknown User Policy這里的作用是當ACS檢測到非本地用戶的時候，可以去找外部的數(shù)據(jù)庫，所以這也是為什么ACS要加入域的原因，把Windows Database移動到右邊然后提交第2步：Database Configuration，選擇Windows Database。選擇 configure如下圖設(shè)置：最后提交（submit）。第3步：Group Mapping，把AD里面的組與ACS里面的組做一個映射，作用是通過AD里面的用戶做認證，ACS的組策略做授權(quán)。選擇新建（new configuration）選擇NAC這個域后提交選擇NAC配置這個域選擇add mapping按實際需要把域的成員添加進來，這里我選擇的Users、Domain Admins、Domain Users。然后ACS group中選擇ACS的對應(yīng)組（整個實驗過程我只用了缺省的組），然后提交！到此為止，ACS已經(jīng)可以和AD集成起來了。效果如下第三部分：CA的安裝與配置過程：1、CA的安裝在添加/刪除windows組件中選中證書服務(wù)，然后下一步開始安裝。安裝的過程這里就不詳細說了，全部選用缺省的配置，有提示筐出來就選擇是就可以了。安裝完成后，在管理工具中打開證書頒發(fā)機構(gòu)。2、ACS申請證書在ACS服務(wù)器的IE瀏覽器中輸入72/certsrv進入證書申請頁面，這里因為我把ACS和CA裝在同一臺服務(wù)器，所以看起來就像自己給自己頒發(fā)證書了呵呵。然后選擇申請一個證書：選擇高級證書申請：選擇創(chuàng)建并向此CA提交一個申請：然后選擇Web服務(wù)器的證書模板，在這里我遇到一個問題請哪位高手知道麻煩告訴下我。這個頁面中按理說應(yīng)該是選擇服務(wù)器證書的，但是我這里不知道為什么不會出現(xiàn)，不懂。使用服務(wù)器證書的話，證書服務(wù)器上需要執(zhí)行掛起的證書頒發(fā)，這么一個過程，但是我這里選用Web服務(wù)器后，這個證書就可以直接使用了，證書服務(wù)器上什么都不用設(shè)置，比較郁悶！因為我對CA不熟，所以哪位高人知道其中的原因麻煩告訴下我哈哈！然后的信息就隨便填了密鑰選項中需要注意的地方是需要把“將證書保存在本地計算機儲存中”這個選項勾上！提交，選擇是點安裝此證書選擇是證書安裝成功這時在證書服務(wù)器頒發(fā)的證書頁面中可以看到剛剛ACS申請的證書3、ACS上配置證書回到ACS上，在System Configuration頁面中選擇ACS Certificate Setup然后選擇Install ACS Certificate選擇Use certificate from storage，然后輸入剛剛申請的證書名TSGNET（這里填寫了第一次申請安裝的證書，提交后提示找不到證書，然后在申請安裝一次，再操作一遍就可以了，我也很郁悶，不知道什么原因）最后提交，可以看到已經(jīng)成功安裝的證書及狀態(tài)。這里需要重起ACS服務(wù)使其生效4、配置PEAP認證在System Configuration中選擇Global Authentication Setup在PEAP中選擇Allow EAP-MSCHAPv2，其他都不選最下面的MS-CHAP Configuration中選擇Allow MS-CHAP Version 2 Authentication第四部分：Switch的配置：enable secret 5 $1$yUpo$/O8vCSe57oTveItVZEQqW0!username cisco password 0 cisco創(chuàng)建本地用戶名數(shù)據(jù)庫aaa new-model啟用AAAaaa authentication login default group radius local登陸時使用radius認證，radius失效時使用本地數(shù)據(jù)庫aaa authentication dot1x default group radius使用802.1x，通過radius認證aaa authorization network default group radius 用戶的權(quán)限通過Radius進行授權(quán)!ip routing為后面兩個網(wǎng)絡(luò)開啟VLAN間路由!dot1x system-auth-control開啟dot1x系統(tǒng)認證控制!interface FastEthernet0/4 F0/4為普通端口 switchport access vlan 10 switchport mode access!interface FastEthernet0/5 F0/5為802.1x認證端口 switchport access vlan 20認證后的正常VLAN switchport mode access dot1x port-control auto 端口控制模式為自動 dot1x guest-vlan 10認證失敗或者無802.1x客戶端時，會分配到的VLAN!interface FastEthernet0/24連接ACS服務(wù)器端口 switchport mode access!interface Vlan1交換機管理IP ip address 00 ip helper-address 72!interface Vlan10 Guest_Vlan管理IP ip address 53 ip helper-address 72 DHCP中繼，指向DHCP服務(wù)器地址! interface Vlan20 ip address 53 Normal_Vlan管理IP ip helper-address 72!radius-server host 72 auth-port 1645 acct-port 1646 key cisco指定ACS服務(wù)器地址和交換機的協(xié)商時用的密碼，使用Radius協(xié)議radius-server source-ports 1645-1646系統(tǒng)自動生成!配置完后，這時候再進去交換機的時候，就可以通過域用戶aaa去登陸交換機了，AAA實現(xiàn)起來很簡單，這里就不再詳細描述。第五部分：客戶端配置打開本地連接，右鍵屬性，驗證，把啟用此網(wǎng)絡(luò)的IEEE 802.1x驗證勾上，然后EAP類型：受保護的EAP（PEAP）如果client已加入了域，可把自動使用Windows登陸名和密碼勾上，實現(xiàn)單點登陸如果沒有沒有加入到域，上面的勾必須得去掉，不然不會出現(xiàn)用戶名和密碼的驗證提示框2、啟用802.1x客戶端情況選擇PEAP驗證以后，這時會在桌面右下腳彈出一個提示，要求輸入點擊這個提示，輸入之前域里面定義好的用戶aaa,密碼aaa和登錄域XIAOZHU.COM輸入完后會通過ACS把用戶名密碼發(fā)到DC上去驗證，這時可以在交換機上debug radiux看到認證過程的信息。最后驗證成功以后，會分配到Normal_Vlan的地址這時候去ACS上面的Report