ACS+802.1x+AAA+AD+CA詳細(xì)記錄.doc

ACS+802.1x+AAA+AD+CA詳細(xì)記錄！目 錄實(shí)驗(yàn)環(huán)境：1實(shí)驗(yàn)拓?fù)洌?實(shí)驗(yàn)部分：2第一部分：DC的安裝與配置過(guò)程：31、安裝DC，在運(yùn)行下輸入dcpromo，會(huì)彈出AD的安裝向?qū)В?2、安裝完DC后，運(yùn)行管理工具Active Directory用戶和計(jì)算機(jī)，將會(huì)出現(xiàn)以下界面53、將另外一臺(tái)服務(wù)器即ACS&CA加入到NAC這個(gè)域當(dāng)中（必要條件），此時(shí)需要輸入域管理員帳戶aaa8第二部分：ACS的安裝與配置過(guò)程：91、安裝部分：92、配置部分123、與AD集成16第1步：Unknown User Policy17第2步：Database Configuration，選擇Windows Database。18第3步：Group Mapping，把AD里面的組與ACS里面的組做一個(gè)映射，作用是通過(guò)AD里面的用戶做認(rèn)證，ACS的組策略做授權(quán)。21第三部分：CA的安裝與配置過(guò)程：241、CA的安裝242、ACS申請(qǐng)證書(shū)253、ACS上配置證書(shū)324、配置PEAP認(rèn)證33第四部分：Switch的配置：36第五部分：客戶端配置38第六部分：測(cè)試效果40實(shí)驗(yàn)環(huán)境：1、 服務(wù)器一臺(tái)運(yùn)行VMWare 6.0：a) Windows 2003 Server Enterprise Edition做DCb) Windows 2003 Server Enterprise Edition做ACS和CA2、 PC客戶端Windows XP (802.1x Client)3、 Switch 3560 POE 一臺(tái)(c3560-ipbase-mz.122-25.SEB4.bin)4、 Cisco Secure Access Control Server 4.1 (90天測(cè)試版)實(shí)驗(yàn)拓?fù)洌簩?shí)驗(yàn)部分：1、 DC的安裝與配置2、 ACS的安裝與配置3、 CA的安裝與配置4、 Switch的配置5、 客戶端的配置6、 測(cè)試效果第一部分：DC的安裝與配置過(guò)程：1、安裝DC，在運(yùn)行下輸入dcpromo，會(huì)彈出AD的安裝向?qū)В壕唧w的安裝過(guò)程，我在微軟的安裝教程下截的屏：DNS全名中我輸入的是NAC.com.所以以后出現(xiàn)的將以代替 我在安裝的過(guò)程中沒(méi)有出現(xiàn)IP地址，所以不用理他了。2、安裝完DC后，運(yùn)行管理工具Active Directory用戶和計(jì)算機(jī)，將會(huì)出現(xiàn)以下界面在User的界面中，右鍵新建一個(gè)用戶aaa：輸入用戶名和密碼：把a(bǔ)aa的隸屬關(guān)系增加多一個(gè)Domain Admins域管理員，并設(shè)置主要組。方便以后的實(shí)驗(yàn)3、將另外一臺(tái)服務(wù)器即ACS&CA加入到NAC這個(gè)域當(dāng)中（必要條件），此時(shí)需要輸入域管理員帳戶aaaACS的安裝與配置過(guò)程：感謝ZhaNKO提供的ACS安裝過(guò)程，省了我很多功夫，呵呵！ACS4.1的安裝過(guò)程與ACS3.3的過(guò)程完全相同。1、安裝部分：點(diǎn)擊完成安裝2、配置部分安裝完后會(huì)自動(dòng)運(yùn)行ACS，在桌面會(huì)也會(huì)自動(dòng)生成一個(gè)ACS Admin的圖標(biāo)，在下面的描述過(guò)程中，著重于后面與AD集成的配置，對(duì)于ACS的使用介紹在這里就不多說(shuō)了，如果需要，可參考ZhaNKO那份詳細(xì)的ACS使用手冊(cè)哈哈，寫(xiě)得非常好！安裝完后，點(diǎn)擊Network Configuration頁(yè)面，按照拓?fù)涞慕Y(jié)構(gòu)指定交換機(jī)（AAA Client）、ACS(AAA Server)，ACS與交換機(jī)的共享密碼為cisco、然后選擇RADIUS(IETF)認(rèn)證、log Update/Watchdog Packets from this AAA ClientACS的地址、密碼cisco、服務(wù)類型RADIUS（IETF）在建立完后會(huì)提示需要重新啟動(dòng)ACS服務(wù)，在System Configuration頁(yè)面第一個(gè)Service Control下方有個(gè)Restart服務(wù),重起即可.（以后在配置中會(huì)多次提示重起服務(wù)，按照此方式重起即可）重起完服務(wù)后，最后建立好后如下圖顯示：3、 與AD集成（本文重點(diǎn)介紹，在這里花了我一天的時(shí)間才研究出來(lái)，呵呵?。┻M(jìn)入External User Databases頁(yè)面，在這頁(yè)面下有3個(gè)選項(xiàng)：a) Unknown User Policyb) Database Group Mappingsc) Database Configuration第1步：Unknown User Policy這里的作用是當(dāng)ACS檢測(cè)到非本地用戶的時(shí)候，可以去找外部的數(shù)據(jù)庫(kù)，所以這也是為什么ACS要加入域的原因，把Windows Database移動(dòng)到右邊然后提交第2步：Database Configuration，選擇Windows Database。選擇 configure如下圖設(shè)置：最后提交（submit）。第3步：Group Mapping，把AD里面的組與ACS里面的組做一個(gè)映射，作用是通過(guò)AD里面的用戶做認(rèn)證，ACS的組策略做授權(quán)。選擇新建（new configuration）選擇NAC這個(gè)域后提交選擇NAC配置這個(gè)域選擇add mapping按實(shí)際需要把域的成員添加進(jìn)來(lái)，這里我選擇的Users、Domain Admins、Domain Users。然后ACS group中選擇ACS的對(duì)應(yīng)組（整個(gè)實(shí)驗(yàn)過(guò)程我只用了缺省的組），然后提交！到此為止，ACS已經(jīng)可以和AD集成起來(lái)了。效果如下第三部分：CA的安裝與配置過(guò)程：1、CA的安裝在添加/刪除windows組件中選中證書(shū)服務(wù)，然后下一步開(kāi)始安裝。安裝的過(guò)程這里就不詳細(xì)說(shuō)了，全部選用缺省的配置，有提示筐出來(lái)就選擇是就可以了。安裝完成后，在管理工具中打開(kāi)證書(shū)頒發(fā)機(jī)構(gòu)。2、ACS申請(qǐng)證書(shū)在ACS服務(wù)器的IE瀏覽器中輸入72/certsrv進(jìn)入證書(shū)申請(qǐng)頁(yè)面，這里因?yàn)槲野袮CS和CA裝在同一臺(tái)服務(wù)器，所以看起來(lái)就像自己給自己頒發(fā)證書(shū)了呵呵。然后選擇申請(qǐng)一個(gè)證書(shū)：選擇高級(jí)證書(shū)申請(qǐng)：選擇創(chuàng)建并向此CA提交一個(gè)申請(qǐng)：然后選擇Web服務(wù)器的證書(shū)模板，在這里我遇到一個(gè)問(wèn)題請(qǐng)哪位高手知道麻煩告訴下我。這個(gè)頁(yè)面中按理說(shuō)應(yīng)該是選擇服務(wù)器證書(shū)的，但是我這里不知道為什么不會(huì)出現(xiàn)，不懂。使用服務(wù)器證書(shū)的話，證書(shū)服務(wù)器上需要執(zhí)行掛起的證書(shū)頒發(fā)，這么一個(gè)過(guò)程，但是我這里選用Web服務(wù)器后，這個(gè)證書(shū)就可以直接使用了，證書(shū)服務(wù)器上什么都不用設(shè)置，比較郁悶！因?yàn)槲覍?duì)CA不熟，所以哪位高人知道其中的原因麻煩告訴下我哈哈！然后的信息就隨便填了密鑰選項(xiàng)中需要注意的地方是需要把“將證書(shū)保存在本地計(jì)算機(jī)儲(chǔ)存中”這個(gè)選項(xiàng)勾上！提交，選擇是點(diǎn)安裝此證書(shū)選擇是證書(shū)安裝成功這時(shí)在證書(shū)服務(wù)器頒發(fā)的證書(shū)頁(yè)面中可以看到剛剛ACS申請(qǐng)的證書(shū)3、ACS上配置證書(shū)回到ACS上，在System Configuration頁(yè)面中選擇ACS Certificate Setup然后選擇Install ACS Certificate選擇Use certificate from storage，然后輸入剛剛申請(qǐng)的證書(shū)名TSGNET（這里填寫(xiě)了第一次申請(qǐng)安裝的證書(shū)，提交后提示找不到證書(shū)，然后在申請(qǐng)安裝一次，再操作一遍就可以了，我也很郁悶，不知道什么原因）最后提交，可以看到已經(jīng)成功安裝的證書(shū)及狀態(tài)。這里需要重起ACS服務(wù)使其生效4、配置PEAP認(rèn)證在System Configuration中選擇Global Authentication Setup在PEAP中選擇Allow EAP-MSCHAPv2，其他都不選最下面的MS-CHAP Configuration中選擇Allow MS-CHAP Version 2 Authentication第四部分：Switch的配置：enable secret 5 $1$yUpo$/O8vCSe57oTveItVZEQqW0!username cisco password 0 cisco創(chuàng)建本地用戶名數(shù)據(jù)庫(kù)aaa new-model啟用AAAaaa authentication login default group radius local登陸時(shí)使用radius認(rèn)證，radius失效時(shí)使用本地?cái)?shù)據(jù)庫(kù)aaa authentication dot1x default group radius使用802.1x，通過(guò)radius認(rèn)證aaa authorization network default group radius 用戶的權(quán)限通過(guò)Radius進(jìn)行授權(quán)!ip routing為后面兩個(gè)網(wǎng)絡(luò)開(kāi)啟VLAN間路由!dot1x system-auth-control開(kāi)啟dot1x系統(tǒng)認(rèn)證控制!interface FastEthernet0/4 F0/4為普通端口 switchport access vlan 10 switchport mode access!interface FastEthernet0/5 F0/5為802.1x認(rèn)證端口 switchport access vlan 20認(rèn)證后的正常VLAN switchport mode access dot1x port-control auto 端口控制模式為自動(dòng) dot1x guest-vlan 10認(rèn)證失敗或者無(wú)802.1x客戶端時(shí)，會(huì)分配到的VLAN!interface FastEthernet0/24連接ACS服務(wù)器端口 switchport mode access!interface Vlan1交換機(jī)管理IP ip address 00 ip helper-address 72!interface Vlan10 Guest_Vlan管理IP ip address 53 ip helper-address 72 DHCP中繼，指向DHCP服務(wù)器地址! interface Vlan20 ip address 53 Normal_Vlan管理IP ip helper-address 72!radius-server host 72 auth-port 1645 acct-port 1646 key cisco指定ACS服務(wù)器地址和交換機(jī)的協(xié)商時(shí)用的密碼，使用Radius協(xié)議radius-server source-ports 1645-1646系統(tǒng)自動(dòng)生成!配置完后，這時(shí)候再進(jìn)去交換機(jī)的時(shí)候，就可以通過(guò)域用戶aaa去登陸交換機(jī)了，AAA實(shí)現(xiàn)起來(lái)很簡(jiǎn)單，這里就不再詳細(xì)描述。第五部分：客戶端配置打開(kāi)本地連接，右鍵屬性，驗(yàn)證，把啟用此網(wǎng)絡(luò)的IEEE 802.1x驗(yàn)證勾上，然后EAP類型：受保護(hù)的EAP（PEAP）如果client已加入了域，可把自動(dòng)使用Windows登陸名和密碼勾上，實(shí)現(xiàn)單點(diǎn)登陸如果沒(méi)有沒(méi)有加入到域，上面的勾必須得去掉，不然不會(huì)出現(xiàn)用戶名和密碼的驗(yàn)證提示框2、啟用802.1x客戶端情況選擇PEAP驗(yàn)證以后，這時(shí)會(huì)在桌面右下腳彈出一個(gè)提示，要求輸入點(diǎn)擊這個(gè)提示，輸入之前域里面定義好的用戶aaa,密碼aaa和登錄域XIAOZHU.COM輸入完后會(huì)通過(guò)ACS把用戶名密碼發(fā)到DC上去驗(yàn)證，這時(shí)可以在交換機(jī)上debug radiux看到認(rèn)證過(guò)程的信息。最后驗(yàn)證成功以后，會(huì)分配到Normal_Vlan的地址這時(shí)候去ACS上面的Report