• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

iMC UAM MsChapV2 LDAP认证的典型配置

2012-11-22 发表
  • -1关注
  • 0收藏,3368浏览
粉丝:1人 关注:0人

iMC UAM MsChapV2 LDAP认证的典型配置

一、 组网需求:

安装有iNode的客户端通过接入设备连接至iMC:

1. 接入设备将客户端发出的认证请求报文发往UAMUAM根据用户帐号查得该用户需要进行MsChapV2 LDAP认证;

2. UAM为该用户提交一个请求报文给mschapv2server.exe进程,后者再转交给域控服务器;

3. 域控服务器根据用户信息决定用户是否能认证通过,然后再将认证结果经由mschapv2server.exe进程返交给UAM

4.UAM将认证结果通过接入设备返回给客户端。

说明:MsChapV2 LDAP认证方式是从iMC UAM 3.60-E6209才有的新特性。

二、 组网图:

UAM MsChapV2 LDAP认证组网如图2-1所示

2-1

三、 配置步骤:

1. 接入设备配置

(1): 配置各接口IP地址(略)

(2): 配置radius方案为h3c

  [sw] radius scheme h3c

  [sw-radius-h3c] server-type extended

  [sw-radius-h3c] primary authentication 10.2.0.2 1812

  [sw-radius-h3c] primary accounting 10.2.0.2 1813

  [sw-radius-h3c] key authentication simple h3c

  [sw-radius-h3c] key accounting simple h3c

  [sw-radius-h3c] user-name-format with-domain

(3): 配置domaindot1x引用方案h3c

  [sw] domain dot1x

  [sw-isp-dot1x] authentication lan-access radius-scheme h3

  [sw-isp-dot1x] authorization lan-access radius-scheme h3c

  [sw-isp-dot1x] accounting lan-access radius-scheme h3c

(4): 开启全局dot1x特性,目前证书认证只能与802.1x配合

  [sw] dot1x

(5): 配置dot1x的认证模式为eap类型

  [sw] dot1x authentication-method eap

(6):开启接口的dot1x特性

  [sw-GigabitEthernet2/0/3] dot1x

2.iMC侧配置:

(1): 由于采用PEAP证书认证,所以服务器侧必须安装根证书和服务器证书,客户端验证服务器的话,需要安装根证书,否则不需要安装任何证书。本案例客户端不验证服务器;

将从CA服务器中下载的根证书和服务器证书导入到iMC中(下载过程略):

业务-用户接入管理-业务参数配置-证书配置-动作,如图3-1所示;

3-1

点击浏览,找到根证书文件,然后点击下一步,如图3-2所示;

3-2

保持默认值,点击下一步,如图3-3

3-3

如图3-4所示点击浏览,找到从IE里面导出的服务器证书(与根证书同一CA机构颁发),勾选服务器证书和私钥在同一文件,单击下一步;

3-4

输入之前创建的私钥密码;

3-5

点击确定,至此我们在iMC侧导入了根证书和服务器证书,iMC具有了证书认证的能力,如图3-6所示;

3-6

(2): 新建服务chapv2ldap,后缀为之前新建的域dot1x,认证类型选择EAP-PEAP认证,点击确定,如图3-7所示;

3-7

(3): LDAP服务器上(iMC服务器)新建虚拟计算机,依次点击;

3-8

输入新建计算机名称h3c,点击确定,如图3-9所示;

3-9

为新建的虚拟计算机设置密码,需要运行一个脚本程序——ModiComputerAccoutPass.vbs,该脚本程序从PEAP认证域控配置界面下载获得,先下载到本地,使用文本编辑器打开该文件,将CN=testAccount,CN=Computers, DC= CONTOSO,DC=COM替换为虚拟计算机帐号DN,本例中DNCN=h3c, CN= Computers,DC=h3c,DC=com,将iMC123替换为虚拟计算机密码“q1w2e3R4”;

3-10

(4): LDAP服务器中新建组织单元haha如图3-11依次点击;

3-11

(5): 在组织单元haha里面新建三个用户“x111”、“x112”、“x113”,并为其设置LDAP密码,勾选密码永不过期(新建用户时会自动提示创建密码);

3-12

效果如图3-13所示;

3-13

(6): iMCLDAP配置,业务-用户接入管理-LDAP业务管理-服务器配置,其中Base DN为获取用户数据的范围;对于LDAP服务器来说,管理员DN确定为图3-14所示;其他选项意义分别为:

服务器类型:分为通用LDAP服务器和微软活动目录。前者表示所有符合LDAP标准的服务器,后者专指Microsoft Windows活动目录;

服务同步方式:服务器类型设置为通用LDAP服务器时,该参数只能设置为手工指定;当服务器类型设置为微软活动目录时,该参数可以设置为手工指定或基于AD组;

手工指定:LDAP服务器配置同步策略时,可以为绑定用户指定服务;

基于AD:LDAP服务器配置同步策略时,只能为LDAP组指定服务,根据绑定用户所属的LDAP组自动为用户分配服务。

3-14

配置完后点击检测,看到如图3-15提示说明配置成功,然后点击确定;

3-15

LDAP同步策略配置;

3-16

如果在LDAP配置了telephonenumbermail,则选择从LDAP导入,当从LDAP服务器同步过来的用户和LDAP解除绑定关系后,认证时将使用图3-17配置的密码“h3c”。

3-17

勾选之前创建的服务,点击完成;

3-18

(7): PEAP认证域控配置,业务-用户接入管理-业务参数配置;

3-19

此处注意点较多:

1:域控服务器全名为安装域控服务器PC的全名,具体可通过单击我的电脑-右键-属性-查看;

2:虚拟计算机名称和之前新建的保持一致;

3:虚拟计算机密码为之前为虚拟计算机新建的密码。

3-20

至此,iMC侧的配置全部完成,接下来配置客户端。

3. iNode客户端配置:

1):新建802.1x连接(证书认证唯一支持);

3-21

2):选择证书认证里面的PEAP认证,如图3-22所示,安全密码为LDAP里面创建用户时设置的密码,由于客户端不需要验证服务器,所以不选择验证服务器证书,当客户端安装有根证书时,可勾选此项。

3-22

配置完成后,发起连接,可以成功认证,如上图3-22所示。

4. 配置关键点:

1):该认证方式只能与802.1x配合,不支持Portal认证方式;

2): 导入iMC的根证书和服务器证书为同一CA机构颁发;服务器证书需先安装   IE里面,导出后才能导入iMC中;

3): PEAP域控配置里面IP只能填写实际IP地址,不能填写127.0.0.1

4): iNode客户端认证时,输入的密码为LDAP中为用户创建的密码,解除绑定关系后使用iMC中创建的密码h3c

5): 客户端认证时尽量不要携带前缀;

6): 有时PC认证不成功,在配置正确时,可以将域控服务器的类型选择为2003或以前,此时可以解决问题。

 


0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作