交換機(jī)使用PEAP及EAP

1、設(shè)備情況：Cisco Catalyst 2950T-24 交換機(jī)，Version 12.1(22)EA1b一臺(tái) windows 2000 Server SP1 服務(wù)器做為 AD Server 及 CA Server一臺(tái) Windows 2000 Server SP4 服務(wù)器做為 ACS Server一臺(tái)Windows XP SP2工作站做為終端接入設(shè)備Cisco Secure ACS for Windows version 3.2.3嚴(yán)重說明：因?yàn)镸S CA證書服務(wù)的一個(gè)缺陷，在某些客戶機(jī)上使用WEB頁(yè)面進(jìn)行證 書申請(qǐng)時(shí)會(huì)出現(xiàn)“Downloading ActiveX Control”提示信息后

2、不能繼續(xù)下一步的錯(cuò)誤， 請(qǐng)參閱MS QB323172下載相關(guān)補(bǔ)丁進(jìn)行處理，并請(qǐng)參閱文末的tips：/default.ASPx?.kb;en-us;330389/default.aspx?.kb;en-us;323172拓?fù)鋱D見下:WIN2K AD Server96ACS Server 55CAT2950T 50WINXP PC68i營(yíng)風(fēng)網(wǎng)結(jié)htt p：/irtwW.vipc n. com傳統(tǒng)802.1x認(rèn)證采用MD5-Challenge認(rèn)證，用戶在接入網(wǎng)絡(luò)時(shí)需輸入用戶名和口 令，安全性也相對(duì)薄弱。PEAP和EAP-TLS都是利用了 TLS/SSL隧道，PEAP只使用了服 務(wù)器端的認(rèn)證，只是服務(wù)

3、器端擁有證書并向用戶提供證實(shí)，而EAP-TLS使用了雙向認(rèn)證， ACS服務(wù)器和客戶端均擁有證書并進(jìn)行相互間的身份證實(shí)。一、配置 Secure ACS1、在ACS服務(wù)器上申請(qǐng)證書在AD Server上做好AD安裝及證書服務(wù)設(shè)置后，在ACS服務(wù)器瀏覽器上鍵入 96/certsrv進(jìn)入證書WEB申請(qǐng)頁(yè)面，登錄用戶采用域治理用戶賬 號(hào)。選擇 “Request a certificateAdvanced requestSubmit a certificate request to this CA using a form”，接下來 Certificate Template 處選擇 “Web Server

4、”, Name :處填入 “TestACS”，Key Options: 下 的 Key Size:填入 “1024”，同 時(shí)勾選 “Mark keys as exportable”及 “Use local machine store”兩個(gè)選項(xiàng)，然后 submit。出現(xiàn)安全警告時(shí)均選擇“Yes”，進(jìn)行到最后會(huì)有Certificate Installed的 提示信息；2、進(jìn)行ACS的證書配置進(jìn) 入 ACS 配 置界面 后選擇 “System ConfigurationACS Certificate SetupInstall ACS CertificateUse certificate from s

5、torageCertificate CN”，填入上一步的 CA CN 名 “TestACS”，然后 submit；3、配置ACS所信任的CA再選擇 “System ConfigurationACS Certificate SetupEdit Certificate Trust List”，選擇AD Server上的根證書做為信任證書；4、重啟ACS服務(wù)并進(jìn)行PEAP設(shè)置選擇 “System ConfigurationService ControlRestart重啟服務(wù)；選擇 “System ConfigurationGlobal Authentication Setup，勾選 “Allow E

6、AP-MSCHAPv2及 “Allow EAP -GTC選項(xiàng)，同時(shí)勾選 “Allow MS -CHAP Version 1 Authentication”及 “Allow MS-CHAP Version 2 Authentication”選項(xiàng)；5、配置 AAA Client選擇 “Network ConfigurationAdd Entry，在 “AAA Client”處輸入交換機(jī)的 主機(jī)名，“AAA Client IP Address處輸入C2950T的治理IP地址，在“Key處輸入 RADIUS 認(rèn)證密鑰 ,“Authenticate Using ”處選擇 “RADIUS(IETF)；6、

7、配置外部用戶數(shù)據(jù)庫(kù)選擇 “External User DatabasesDatabase ConfigurationWindows DatabaseCreate New ConfigurationConfigure,在 Configure Domain List 處 將ACS Server所在的域名移動(dòng)到“Domain List”中。這里要注重的一點(diǎn)是ACS Server 所在機(jī)器這時(shí)應(yīng)已加入到域中，同時(shí)“Dialin Permission”中的默認(rèn)勾選項(xiàng)應(yīng)去掉， 如不去掉的話，域治理用戶和終端用戶均需設(shè)置Dial-in訪問權(quán)限。同時(shí)在 “Windows EAP Settings”的 “Mac

8、hine Authentication下勾選 “Enable PEAP machine authentication ”選項(xiàng)，“EAP-TLS and PEAP machine authentication name prefix. ”處使用默認(rèn)的“host/不用改動(dòng)。再選擇 “External User DatabasesUnknown User PolicyCheckthe following external user databases，將 “Windows Database from External Databases移 動(dòng)到右邊的Selected Databases窗口中。做完修

9、改后再在Service Control中重啟服務(wù)；二、配置AAA客戶端及802.1xaaa new-modelaaa authentication dotlx default group radiusaaa authorization network default group radius!-和802.1x相關(guān)的AAA設(shè)置dot1x system-auth-control! 打開802.1x功能interface FastEthernet0/2switchport mode Accessdot1x port-control autospanning-tree portfast!-在F0/2

10、口上打開802.1x端口控制功能radius-server host 55 key xxxxxx!-定義 RARIUS Server三、配置終端接入設(shè)備1、在 AD Server 上配置 MS Certificate Machine Autoenrollment在 AD Server 的治理工具中打開 “Active Directory Users and Computers”，在 域名 上點(diǎn)右鍵選擇 Properties ,然 后選擇 “Group PolicyDefault Domain PolicyEdit”，然后選擇 “Computer ConfigurationWindows Set

11、tingsSecurity SettingsPublic Key PoliciesAutomatic Certificate Request Settings, 在 菜單項(xiàng)中選擇 “ActionNewAutomatic Certificate RequestComputer”，選中 CA 服務(wù)器后按下一步結(jié)束配置；2、將終端設(shè)備加入域這個(gè)過程大家都會(huì)，不多說了；3、在終端設(shè)備上手動(dòng)安裝根證書如已配置 “Certificate Machine Autoenrollment”，此步驟可忽略。登錄域后在瀏覽器上鍵入96/certsrv進(jìn)入證書WEB申請(qǐng)頁(yè) 面，登錄用戶采用域治理用戶賬號(hào)。選擇 “Re

12、trieve the CA certificate or certificate revocation listDownload CA certificate Install CertificateAutomatically select the certificate store based on the type of the certificate ”，按下一步結(jié)束證書安裝；4、進(jìn)行終端設(shè)備上的802.1x認(rèn)證設(shè)置在以太網(wǎng)卡的連接屬性中選擇 “AuthenticationEnable IEEE 802.1x authentication for this network”，EAP typ

13、e 選為 “Protected EAP(PEAP)，勾選 “Authenticate as computer when computer information is available ”，然后再 點(diǎn) Properties，在 EAP 屬性窗口中選擇 “Validate server certificate”，同時(shí)在 “Trusted Root Certificastion Authorities:窗口中選擇對(duì)應(yīng)的ROOT CA，這里為 acs-ca, Authentication Method 選成 “Secure passWord (EAP-MSCHAP v2)”。再點(diǎn) Configur

14、e 按鈕確保 “Automatically use my Windows bgon name and password (and domain if any) ”選項(xiàng)已被選中;四、結(jié)果查看所有配置完成后查看認(rèn)證結(jié)果：Switch#sh dot1x int f0/2Supplicant MAC AuthSM State = CONNECTINGBendSM State = IDLEPortStatus = UNAUTHORIZEDMaxReq = 2HostMode = SinglePort Control = AutoQuietPeriod = 60 SecondsRe-authenticat

15、ion = DisabledReAuthPeriod = 3600 SecondsServerTimeout = 30 SecondsSuppTimeout = 30 SecondsTxPeriod = 30 SecondsGuest-Vlan = 0Switch#sh dot1x int f0/2Supplicant MAC 000b.6a2a.03cbAuthSM State = AUTHENTICATINGBendSM State = RESPONSEPortStatus = UNAUTHORIZEDMaxReq = 2HostMode = SinglePort Control = Au

16、toQuietPeriod = 60 SecondsRe-authentication = DisabledReAuthPeriod = 3600 SecondsServerTimeout = 30 SecondsSuppTimeout = 30 SecondsTxPeriod = 30 SecondsGuest-Vlan = 0Switch#sh dot1x int f0/2Supplicant MAC 000b.6a2a.03cbAuthSM State = AUTHENTICATEDBendSM State = IDLEPortStatus = AUTHORIZEDMaxReq = 2H

17、ostMode = SinglePort Control = AutoQuietPeriod = 60 SecondsRe-authentication = DisabledReAuthPeriod = 3600 SecondsServerTimeout = 30 SecondsSuppTimeout = 30 SecondsTxPeriod = 30 SecondsGuest-Vlan = 0!-認(rèn)證通過查看終端設(shè)備網(wǎng)絡(luò)連接提示，此時(shí)已為“Authentication sUCceeded.”五、TIPS*注重Windows客戶端在安裝根證書時(shí)應(yīng)保持和網(wǎng)絡(luò)的正常連接，如此時(shí)在端口上 設(shè)置了 8

18、02.1x，則網(wǎng)絡(luò)是斷開的；AD Server上的證書服務(wù)應(yīng)在IIS服務(wù)安裝之后再裝，否則certificate web enrollment不能成功；MS QB323172 hotfix應(yīng)在證書服務(wù)安裝之后再進(jìn)行，如已安裝了此hotfix后才 安裝證書服務(wù)，則需在安裝證書服務(wù)后再安裝一遍此hotfix；MS QB323172 hotfix是針對(duì)Windows SP3以前的補(bǔ)丁，如已安裝了 SP4則此hotfix 不能安裝。但我裝了 SP4后“Downloading ActiveX Control”出錯(cuò)信息仍然存在，只 好用SP1的版本安裝后再裝此hotfix問題方消除，不知何故；*如是在實(shí)際

19、環(huán)境中使用，應(yīng)確保AAA client到AAA server的UDP 1812/1813端 口沒被無(wú)意中被block；ACS版本應(yīng)盡量新，因?yàn)槟莻€(gè)眾所周知的Java出錯(cuò)問題，安裝ACS機(jī)器的OS最 好是E文版的OS；*配置ACS Server前先確保ACS Server已加入到域中；ACS Server中的 “Reports and ActivityFailed AttemptsFailed Attempts XXX.csv”能給你些認(rèn)證出錯(cuò)上的幫助；*最后的最后,ACS Server和Windows客戶機(jī)上的安裝證書可通過MMC中的Console RootCertificates (Loca

20、l Computer) Trusted Root Certification AuthoritiesCertificates及Console RootCertificates - Current UserTrusted Root Certification AuthoritiesCertificates 進(jìn)行校驗(yàn)。EAP-TLS的配置和PEAP是類似的，唯一不同的是Windows客戶機(jī)上要多做一次證書 申請(qǐng)的過程，同時(shí)ACS Server上的協(xié)議勾選為EAP-TLS即可，EAP-TLS的配置一、配置 Secure ACS1、在ACS服務(wù)器上申請(qǐng)證書同PEAP部分；2、進(jìn)行ACS的證書配置 同

21、PEAP；3、配置ACS所信任的CA同 PEAP；4、重啟ACS服務(wù)并進(jìn)行EAP-TLS設(shè)置選擇 “System ConfigurationService ControlRestart”重啟服務(wù)；選擇 “System ConfigurationGlobal Authentication Setup”，勾選 “Allow EAP-TLS” 選項(xiàng)，同 時(shí)勾選 “Certificate SAN comparision”、“Certificate CN comparision”及 “Certificate Binary comparision”選項(xiàng)；5、配置 AAA Client同 PEAP；6、配置

22、外部用戶數(shù)據(jù)庫(kù)同 PEAP。唯一不同是在 “Windows EAP Settings”的 “Machine Authentication” 下勾選 “Enable EAP-TLS machine authentication” 選項(xiàng)， “EAP-TLS and PEAP machine authentication name prefix. ”處使用默認(rèn)的 “host/”不用改動(dòng)；二、配置AAA客戶端及802.1x同 PEAP三、配置終端接入設(shè)備1、在 AD Server 上配置 MS Certificate Machine Autoenrollment同 PEAP；2、將終端設(shè)備加入域同 PEAP；3、為終端設(shè)備申請(qǐng)證書在ACS服務(wù)器瀏覽器上鍵入96/certsrv進(jìn)入證書WEB申請(qǐng) 頁(yè)面，登錄用戶采用當(dāng)前用戶賬號(hào)。選擇 “