• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

802.1X 认证+证书认证典型配置案例

2021-09-08 发表
  • 2关注
  • 2收藏 1885浏览
粉丝:4人 关注:1人

组网及说明

某公司用户接入网络时采用 802.1X进行身份验证,同时在通信前用户客户端相互验证对方的证书。具体的组网如 3-1 所示。UAM服务器IP地址为 192.168.40.239,接入设备IP地址为192.168.30.100,连接PC的端口为Eth1/0/9,此端口进行接入认证,用户PC使用的IP地址为192.168.30.235

注:本案例中各部分使用的版本如下:

    UAM 版本为 iMC UAM 7.2 (E0403)

    接入设备为 H3C S3600V2-28TP-EI Comware SoftwareVersion 5.20Release 2103

    iNode 版本为 iNode PC 7.2 (E0402)

3-1 组网图


配置步骤

配置步骤

3.2.1 配置UAM服务器

配置 UAM 服务器时,需要配置以下功能:

    接入设备

    接入策略

    接入服务

    接入用户

    导入证书

1. 增加接入设备

(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备列表页面,如 3-2 所示。

3-2 进入接入设备列表


(2) 在接入设备列表中,单击<增加>按钮,进入增加接入设备页面,如 3-3 所示。

3-3 增加接入设备页面


(3) 增加接入设备。

增加接入设备有两种方法:

    在设备列表中单击<选择>按钮从 iMC 平台中选择设备。

    在设备列表中单击<手工增加>按钮,手工配置接入设备。

本例采用手工增加的方式进行说明。

a)       单击页面下方设备列表中的<手工增加>按钮,弹出手工增加接入设备窗口,如 3-4 所示。

b)       输入接入设备的 IP 地址,单击<确定>按钮,页面返回增加接入设备页面。

3-4 手工输入接入设备的 IP 地址


(4) 配置公共参数。

    认证端口:UAM 监听 RADIUS 认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致,一般都采用默认端口 1812

    计费端口:UAM 监听 RADIUS 计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致,一般都采用默认端口 1813

说明

目前仅支持将 UAM 同时作为认证和计费服务器,即不支持将 UAM 作为认证服务器,而其他服务器作为计费服务器的场景。

    共享密钥/确认共享密钥:接入设备与 UAM 配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致,这里使用 hello

3-5 公共参数配置


(5) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面。点击“返回接入设备列表”链接,返回接入设备列表,在列表中查看新增的接入设备,如 3-6 所示。

3-6 查看新增的接入设备


2. 增加接入策略

为了验证接入用户及 UAM 服务器的证书,创建接入策略时必须选择证书认证。

(1) 单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面。单击<增加>按钮,增加接入策略,如 3-7 所示。

3-7 增加接入策略


接入策略参数配置如下:

    接入策略名:输入 CA 策略。

    首选 EAP 类型:选择“EAP-TLS”。

    EAP 自协商:选择“不启用”。

其他参数保持默认即可。

(2) 单击<确定>按钮,完成接入策略的配置。

3. 增加接入服务

(1) 单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面。单击接入服务管理页面中的<增加>按钮,增加接入服务,如 3-8 所示。

3-8 增加接入服务


接入服务参数配置如下:

    服务名:输入 CA 服务。

    服务后缀:输入 cert

    缺省接入策略:选择“CA 策略”。

其他参数保持默认即可。

(2) 单击<确定>按钮完成接入服务的配置。

4. 增加接入用户

如果系统参数中启用了“检查帐号名与证书中的属性”参数,且勾选了“主题-CN、主题-Email、主题备用名-DNS、主题备用名-UPN”中的一项或几项属性,则增加接入用户时,帐号名至少要与选中的一项属性一致,否则认证失败;如果系统参数中没有启用“检查帐号名与证书中的属性”参数,则没有该限制。本案例没有启用“检查帐号名与证书中的属性”参数。

(1) 选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户列

表页面。

(2) 单击<增加>按钮,进入增加接入用户页面,如 3-9 所示。

3-9 增加接入用户页面


(3) 配置接入信息和接入服务:

    用户姓名:接入用户所关联的 iMC 平台用户,有两种方式关联平台用户:

Ø  单击<选择>按钮可选择已存在的平台用户,如 3-10 所示。

Ø  单击<增加用户>按钮可新增平台用户,本案例使用新增用户,参数设置如 3-11 所示。

3-10 选择平台用户


3-11 新增平台用户


    帐号名:输入用于认证的帐号名 sam

    密码/密码确认:输入两次相同的密码。

    接入服务:选择“CA 服务”。

其他参数保持默认即可。

(4) 全部参数设置如 3-12 所示。

3-12 增加接入用户


(5) 单击<确定>按钮,完成接入用户的配置。

5. 证书配置

申请根证书和服务器证书的详细操作请参考 iMC UAM 用户接入-证书使用指导。

(1) 选择“用户”页签。

(2) 单击导航树中的“接入策略管理 > 业务参数配置 > 证书配置”菜单项,进入证书配置页面,如 3-13 所示。

3-13 证书配置


(3) 在“根证书配置”页签下,单击<导入 EAP 根证书>按钮,进入根证书配置页面。

(4) 单击<浏览>按钮,选择要导入的根证书,如 3-14 所示。

3-14 选择文件


(5) 单击<下一步按钮,进入CRL配置页面,如 3-15 所示。

3-15 CRL 配置


(6) 这里不进行CRL的配置,单击<确定>按钮,完成根证书的配置,如 3-16 所示。

3-16 根证书配置完成


(7) 点击“服务器证书配置”页签,开始配置服务器证书。

(8) 单击<导入 EAP 服务器证书>按钮,进入服务器证书配置页面。

(9) 勾选“服务器证书和私钥在同一文件”,单击<浏览>按钮,选择导出的服务器证书文件,如 3-17 所示。

3-17 配置服务器证书


(10) 单击<下一步>按钮,输入服务器私钥密码(私钥密码为导出服务器证书时设置的),如 3-18所示。

3-18 服务器私钥密码


(11) 单击<确定>按钮,服务器证书配置完成,如 3-19 所示。

3-19 服务器证书配置完成


(12) 单击<已导入证书校验>按钮,校验根证书和服务器证书的合法性,如 3-20 所示。

3-20 校验已导入证书


3.2.2 配置接入设备

1. RADIUS方案配置

system-view

//配置 RADIUS 方案 capolicy

[SWITCH]radius scheme capolicy

//配置 RADIUS 认证服务器 IP,端口(端口默认为 1812,与 iMC 配置的认证端口保持一致)。

[SWITCH-radius-capolicy]primary authentication 192.168.40.239 1812

//配置 RADIUS 计费服务器 IP,端口(端口默认为 1813,与 iMC 配置的计费端口保持一致)。

[SWITCH-radius-capolicy]primary accounting 192.168.40.239 1813

//配置 RADIUS 认证和计费密钥,与 iMC 配置的共享密钥一致。

[SWITCH-radius-capolicy]key authentication hello

[SWITCH-radius-capolicy]key accounting hello

//指定设备发送 RADIUS 报文使用的源地址。

[SWITCH-radius-capolicy] nas-ip 192.168.30.100

//配置服务器类型,extended 表示支持扩展属性。

[SWITCH-radius-capolicy]server-type extended

//配置用户名格式,without-domain 表示用户名后不携带域名。

[SWITCH-radius-capolicy]user-name-format with-domain

[SWITCH-radius-capolicy]quit

2. Domain配置

//配置 Domain uamca

[SWITCH]domain cert

//指定 802.1X 关联的 RADIUS 方案。

[SWITCH-isp- cert]authentication lan-access radius-scheme capolicy

[SWITCH-isp- cert]authorization lan-access radius-scheme capolicy

[SWITCH-isp- cert]accounting lan-access radius-scheme capolicy

[SWITCH-isp- cert]quit

3. 802.1X配置

//必须使能全局和接口的 802.1X 功能后,接口的 802.1X 功能才生效。

[SWITCH]dot1x

[SWITCH]dot1x interface Ethernet 1/0/9

//因为是证书认证,所以必须选择 EAP 认证方式。

[SWITCH]dot1x authentication-method eap

3.3 客户端配置

3.3.1 安装根证书

客户端根证书的申请和安装请参考 iMC UAM 用户接入-证书使用指导。

3.3.2 申请并安装客户端证书

客户端证书的申请和安装请参考 iMC UAM 用户接入-证书使用指导。

3.3.3 iNode PC客户端配置

1. 证书认证配置

(1) 打开iNode客户端,点击“802.1X连接”,如 3-21 所示。

3-21 iNode 客户端


(2) 点击“更多” 图标,选择“属性”菜单项,弹出属性设置窗口,如 3-22 所示。

3-22 属性设置


(3) 点击“高级”页签,配置高级认证,如 3-23 所示。

3-23 高级认证配置


(4) 勾选“启用高级认证”前的复选框,如所示。

3-24 启用高级认证


(5) 配置证书认证,如 3-26 所示。

a.       在下拉框中选择“证书认证”。

b.       证书类型选择“EAP-TLS”。

c.        单击<选择客户端证书…>按钮,在弹出的窗口中选择用于认证的客户端证书,如 3-25所示;单击<确定>按钮,证书选择完成。

d.       勾选“验证服务器证书”前的复选框。

3-25 选择证书


3-26 证书认证配置


(6) 单击<确定>按钮,证书认证配置完成。

2. iNode客户端认证

(1) 双击“我的 802.1X连接”,弹出连接信息确认窗口,如 3-27 所示。

3-27 连接确认


(2) 输入用户名“sam@cert”,单击<连接>按钮,iNode智能客户端开始请求身份验证,身份验证完成后,用户成功接入网络,如 3-28 所示。

3-28 身份验证成功


3.3.4 UAM中查看在线用户

选择“用户”页签,点击导航树中的“接入用户管理 > 在线用户”菜单项,进入在线用户页面。在本地在线用户列表中可以sam@cert在线,如 3-29 所示

3-29 在线用户


配置关键点

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作