• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

无线本地802.1x+AD认证可以实现吗

2小时前提问
  • 0关注
  • 0收藏,22浏览
粉丝:2人 关注:0人

问题描述:

无线本地802.1x+AD域账号认证可以实现吗

3 个回答
粉丝:12人 关注:9人

可以实现。H3C无线支持本地802.1x结合AD域认证,需配置如下:
1. 配置无线服务模板启用802.1x认证:
wlan service-template <模板号>
port-security port-mode psk
port-security authentication-mode dot1x
service-template enable
2. 配置RADIUS服务器指向AD域(需AD部署NPS或第三方RADIUS代理):
radius scheme <名称>
primary authentication
key authentication simple <共享密钥>
user-name-format without-domain
3. 关联RADIUS方案到无线服务模板:
wlan service-template <模板号>
radius scheme <名称>
4. AD侧需配置NPS(网络策略服务器),添加H3C设备为RADIUS客户端,配置网络策略允许域用户认证。
注:需确保无线AC与AD-RADIUS服务器网络可达,AD用户需加入允许认证的安全组。

暂无评论

粉丝:133人 关注:11人

可以的 

暂无评论

粉丝:20人 关注:2人

:可以实现,分两种主流方案(H3C AC+Fit AP 无线 802.1X 对接 AD 域账号)
两种方案区分(你说的「本地 802.1X」对应两种模式)
方案 1:AC 本地内置 LDAP 对接 AD(纯 AC 本地处理认证,无需额外 RADIUS 服务器,符合你 “本地” 需求)
核心逻辑:AC 自身作为认证终结点,通过LDAP 协议直接读取 AD 域控账号库,无线 802.1X(PEAP-GTC)认证时 AC 本地校验 AD 账号密码,不依赖 Windows NPS/iMC 第三方 RADIUS 服务。
适用场景
不想额外部署 Windows NPS、iMC,仅靠 AC 完成域账号无线准入,AC 本地完成全部认证流程。
关键约束
AC 必须是 Comware V7 平台(WX 系列、WAC 系列,V5 老 AC 不支持 LDAP 本地 EAP 终结);
AD 域控开放 LDAP 389 端口,AC 与域控三层互通;
无线 802.1X 仅支持PEAP-GTC认证方式(Windows 自带无线客户端无需证书即可登录)。
极简配置框架
plaintext
# 1、全局开启802.1X,指定EAP认证
dot1x authentication-method eap
# 2、配置LDAP服务器(AD域控)
ldap scheme ad-ldap
authentication-server ad-server
method peap-gtc
user-credentials ldap-scheme ad-ldap
ldap server ad-server
ip 192.168.1.10 //AD域控IP
login-dn cn=admin,cn=users,dc=company,dc=com
login-password simple Admin@123
search-base-dn dc=company,dc=com
# 3、创建ISP域,绑定LDAP本地认证
domain ad-dot1x
authentication lan-access local
authorization lan-access local
accounting lan-access local
# 4、无线服务模板绑定802.1X+AD域
wlan service-template wifi-ad
ssid Company-WiFi
akm mode dot1x
cipher-suite ccmp
security-ie rsn
dot1x domain ad-dot1x
service-template enable
方案 2:Windows AD+NPS 做 RADIUS 代理(行业最通用,兼容性最强)
核心逻辑:AD 域控加装NPS 网络策略服务器,把 AD 域账号封装成标准 RADIUS 报文;AC 作为 802.1X 认证客户端,将无线认证请求转发给 NPS,由 NPS 校验 AD 账号,AC 仅转发、不本地校验账号。
适用场景
多厂商设备混合组网、需要统一 RADIUS 审计;
需要 AD 组策略、VLAN 下发、动态 ACL、设备证书 EAP-TLS 高级能力;
V5 老款 AC(WX3000/V5)不支持 LDAP 本地对接 AD,只能用 NPS 方案。
组网逻辑
无线终端 → Fit AP → AC(802.1X 转发) → Windows NPS(RADIUS) → AD 域控(账号校验)
二、两种方案对比(按需选择)
表格
对比项 AC 本地 LDAP 直连 AD(本地认证) AD+NPS RADIUS 代理
是否额外服务器 不需要,AC 本地完成认证 需要 Windows 服务器装 NPS
AC 版本要求 仅 V7 平台 AC 支持 V5/V7 全系列 AC 通用
客户端方式 仅 PEAP-GTC(无证书) PEAP-MSCHAPv2、EAP-TLS(证书)全支持
授权能力 仅基础上网放行 支持 AD 用户组下发 VLAN、ACL、会话时长
运维复杂度 简单,仅配置 AC+AD LDAP 复杂,AD、NPS、AC 三方配置
三、常见误区澄清
误区:AD 域控原生支持 802.1X
错误,AD 只存账号,不识别 802.1X EAP 报文;要么 AC 用 LDAP 读取账号本地校验,要么靠 NPS 把 AD 封装成 RADIUS。
误区:“本地 802.1X”=AC 本地创建账号
不是,本地分两层:①AC 本地自建账号;②AC 本地终结 EAP、本地 LDAP 对接 AD(你需求的域账号本地认证)。
漫游影响
两种方案漫游均正常,认证终结在 AC,跨 AP 漫游无需重输域账号。
四、极简总结
能实现无线 802.1X 使用 AD 域账号认证,有两种成熟方案;
想要纯 AC 本地处理、不新增服务器:选 V7 AC LDAP 直连 AD 本地认证;
多设备、需要组策略 / 证书 / 动态 VLAN:选 Windows NPS 作为 RADIUS 对接 AD;
V5 老无线控制器不支持 LDAP 本地对接 AD,只能用 NPS 方案。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明