EAP-TLS认证

需要的

需要，TLS证书认证必须在EIA上创建对应的认证用户。

 架构说明：为何必须创建用户

这是因为EAP-TLS认证遵循“证书名即账号名”的绑定原则。

• 账号绑定：申请客户端证书时，其证书名必须与EIA中接入用户的账号名完全一致。

• 认证流程：当用户接入网络时，EIA服务器会提取客户端证书的CN（通用名称）字段，然后在本地数据库中查找匹配的接入用户：

  • 匹配成功：证书验证通过，用户上线。

  • 无匹配：即使证书合法，也会因“用户不存在”而认证失败。

简单来说，即使证书是由受信任的CA颁发，只要EIA内没有创建对应的用户账号，认证就会失败。

一、纯 EAP‑TLS（证书认证）

• 认证依据：客户端证书 + 服务器证书，不依赖用户密码。
• 但 EIA 作为 RADIUS 服务器，必须有 “接入用户” 条目，用来：
  • 绑定客户端证书（证书的主题 / 用户名 / 指纹）；
  • 关联接入服务、授权策略（VLAN、ACL、带宽）；
  • 记账、上线管理。
• 配置要点：
  1. EIA 创建接入用户（可虚拟，不用密码）；
  2. 用户属性里绑定客户端证书（按证书主题或证书文件）；
  3. 接入策略选 EAP‑TLS，不启用 EAP 自协商。

二、EAP‑TLS + 计算机认证（机器证书）

• 同样要在 EIA 建计算机接入用户（可自动 / 模板化）；
• 绑定计算机证书（机器证书的主题）；
• 不需要人工建每个用户，可配置 “主机名用户” 自动匹配。

三、能不能不建用户，只靠证书？

• EIA不支持 “无用户、只凭证书” 认证；
• 所有 802.1X/EAP 认证，EIA 都要求：接入用户 + 认证方式（证书 / 密码）；
• 证书只是这个用户的认证凭证，不是用户本身。

四、最简做法（EAP‑TLS）

1. 在 EIA 创建一个接入用户（如：eaptlsuser，密码可随机 / 不启用）；
2. 在该用户下导入 / 绑定客户端证书；
3. 接入服务、认证策略选 EAP‑TLS；
4. 交换机配置：
   plaintext

   dot1x authentication-method eap