H3C WX系列AC實現(xiàn)Portal+LDAP功能的典型配置(賬號的姓名使用中文)課件

1、WX系列AC實現(xiàn)Portal+LDAP功能的典型配置（賬號的姓名使用中文）一、組網(wǎng)需求：WX系列AC、FIT AP、便攜機（安裝有無線網(wǎng)卡）、LDAP服務(wù)器二、組網(wǎng)圖：本典型配置舉例中AC使用WX5004無線控制器，AP和Client通過DHCP方式獲取IP地址。WX5004上LDAP Server屬于VLAN 100（網(wǎng)關(guān)/24），AP屬于VLAN 10（網(wǎng)關(guān)/24），Client屬于VLAN 20（網(wǎng)關(guān)/24）。三、特性介紹：LDAP是一種基于TCP/IP的目錄訪問協(xié)議，用于提供跨平臺的、基于標(biāo)準(zhǔn)的目錄服務(wù)。LDAP協(xié)議

2、的典型應(yīng)用是用來保存系統(tǒng)的用戶信息，如Microsoft的Windows操作系統(tǒng)就是使用了Active Directory Server來保存操作系統(tǒng)的用戶、用戶組等信息，用于用戶登錄Windows時的認(rèn)證和授權(quán)。LDAP的目錄服務(wù)功能建立在Client/Server的基礎(chǔ)之上。所有的目錄信息存儲在LDAP服務(wù)器上。LDAP服務(wù)器就是一系列實現(xiàn)目錄協(xié)議并管理存儲目錄數(shù)據(jù)的數(shù)據(jù)庫程序。目前，Microsoft的Active Directory Server、IBM的Tivoli Directory Server和Sun的Sun ONE Directory Server都是常用的LDAP服務(wù)器軟件

3、。使用LDAP協(xié)議進(jìn)行認(rèn)證時，其基本的工作流程如下：（1）LDAP客戶端使用LDAP服務(wù)器管理員DN與LDAP服務(wù)器進(jìn)行綁定，與LDAP服務(wù)器建立連接并獲得查詢權(quán)限。（2）LDAP客戶端使用認(rèn)證信息中的用戶名構(gòu)造查詢條件，在LDAP服務(wù)器指定根目錄下查詢此用戶，得到用戶的DN。（3）LDAP客戶端使用用戶DN和用戶密碼與LDAP服務(wù)器進(jìn)行綁定，檢查用戶密碼是否正確。使用LDAP協(xié)議進(jìn)行授權(quán)時，操作與認(rèn)證過程相似，只是在查詢用戶時，除獲得用戶DN外，還可以獲得用戶信息中的授權(quán)信息。如果只需要查詢用戶時獲得的授權(quán)信息，則可不再進(jìn)行后面的操作，如果還需要其他授權(quán)信息可以在獲得相應(yīng)查詢權(quán)限后，繼續(xù)再對

4、其他授權(quán)信息進(jìn)行查詢。四、主要配置步驟：AC配置：#創(chuàng)建VLAN，端口加入VLAN，并配置VLAN接口IP地址。 system-viewAC vlan 10AC vlan10 port GigabitEthernet 1/0/1AC vlan10 quitAC vlan 20AC vlan20 quitAC vlan 100AC vlan100 port GigabitEthernet 1/0/2AC vlan100 quitAC interface Vlan-interface10AC-Vlan-interface10ip address A

5、C-Vlan-interface10 quitAC interface Vlan-interface20AC-Vlan-interface20ip address AC-Vlan-interface20 quitAC interface Vlan-interface100AC-Vlan-interface100ip address AC-Vlan-interface100 quit#配置DHCP server。AC dhcp enableAC dhcp server ip-pool pool

6、01dhcp server ip-pool pool01 network mask dhcp server ip-pool pool01 gateway-list dhcp server ip-pool pool01 quitAC dhcp server ip-pool pool02dhcp server ip-pool pool02 network mask dhcp server ip-pool pool02 gateway-list dhcp s

7、erver ip-pool pool02 quitAC dhcp server forbidden-ip AC dhcp server forbidden-ip #配置LDAP方案。AC ldap scheme ldap1AC-ldap- ldap1 authentication-server 00AC-ldap- ldap1 login-dn cn=administrator,cn=users,dc=wlan,dc=comAC-ldap- ldap1 login-password simple 1AC-ldap- ldap

8、1 user-parameters search-base-dn cn=users,dc=wlan,dc=comAC-ldap- ldap1 user-parameters user-name-attribute samaccountnameAC-ldap- ldap1 quit#配置ISP域。AC domain ldapAC-isp-ldap authentication default ldap-scheme ldap1AC-isp-ldap authorization default noneAC-isp-ldap accounting default noneAC-isp-ldap q

9、uit#配置系統(tǒng)缺省的ISP域為ldap。AC domain default enable ldap#配置本地Portal服務(wù)。AC portal server ldap ip url /portal/logon.htmAC portal local-server httpAC interface Vlan-interface20AC-Vlan-interface20 portal server ldap method directAC-Vlan-interface20 quit#配置WLAN ESS接口。AC interface WL

10、AN-ESS 1AC-WLAN-ESS1 port access vlan 20AC-WLAN-ESS1 quit#配置service-template服務(wù)模板。AC wlan service-template 1 clearAC-wlan-st-1 ssid H3CAC-wlan-st-1 bind WLAN-ESS 1AC-wlan-st-1 service-template enableAC-wlan-st-1 quit#配置ap01。AC wlan ap ap01 model WA2210-AGAC-wlan-ap-ap01 serial-id 210235A29DB094004423

11、AC-wlan-ap-ap01radio 1AC-wlan-ap-ap01-radio-1 service-template 1AC-wlan-ap-ap01-radio-1radio enableAC-wlan-ap-ap01-radio-1 quitAC-wlan-ap-ap01 quit注：user-parameters user-name-attribute samaccountname命令用來配置用戶查詢的用戶屬性，允許賬戶的姓名使用中文。LDAP配置：#在Users組新建用戶“測試”。（1）在LDAP服務(wù)器上，選擇開始/管理工具中的Active Directory用戶和計算機，打開Active Directory用戶管理界面。（2）選擇Users組，右鍵新建姓名為“測試”、用戶登錄名為“test”的賬戶，并設(shè)置密碼。配