组网概述:
1、用户通过连接启用了dot1x认证的无线SSID-1x进行认证上网
2、IMC作为认证服务器和无线AC控制器交互认证报文
3、IMC里面对接微软AD域导入ladp用户,终端使用ladp用户进行认证
**4、IMC接入策略的认证方式选择的EAP-PEAP/MS-CHAPv2认证类型(对接dot1x认证)。ladp所属的服务器启用MS-CHAPv2功能,认证方式选择的“通过虚拟计算机认证”
5、根证书和服务器证书已经导入IMC
问题疑问:主要解答问题和确认信息
1、IMC中根证书用来验证服务器证书签名是否生效,服务器证书是推给终端进行加密使用的(类似于非对称加密中的公钥),IMC和终端的报文交互由无线AC进行eap中继转发,且服务器证书过期后用户就会无法认证--------该条主要确认内容是否正确
2、IMC接收到无线AC转发来的Radius-EAP流量后通过本地的服务器私钥进行解密,识别报文内携带的用户名信息,然后在IMC本地查看该登录名所属的属性(如果是本地用户就直接校验,结果返回无线AC?),识别到终端使用LADP用户名进行登录,此时IMC就需要向微软AD域进行用户信息认证,这一部分也是我的疑问点:我理解的是IMC发现终端使用LADP用户进行认证,此时IMC发现该用户所属AD域启用MS-CHAPv2认证,就会生成一个认证请求下发给IMC的ms-chapv2server进程,由该进程向AD域发起连接(这个连接是否基于SMB、TCP445,还是直接复用UDP389),IMC该进程将认证相关的用户名信息采用chap机制处理后,将处理后的值和chap值发给AD进行校验,AD根据信息查询用户信息返回给IMC相关结果???
此时认证方式选择的“通过虚拟计算机认证”是不是IMC会使用虚拟计算机的值向AD发起连接???
总结:最大的疑问就是LADP里面的MS-CHAPv2是不是接入策略里面认证子类型为MS-CHAPv2时就必须配置。此处配置的认证方式选择的“通过虚拟计算机认证”又有什么含义呢? 以及LADP启用了MS-CHAPv2后,IMC和AD直接交互验证用户认证状态的过程是什么样的,最好能体现出相关端口信息
!!!!!
暂无评论
针对你提出的几个问题,我来逐一为你解答。你的理解大部分是正确的,核心差异在于iMC与AD域交互验证密码的具体方式。
你关于证书的理解是完全正确的。
这是你疑问最多的地方。当iMC识别到用户来自AD域,并且接入策略选择了“EAP-PEAP/MS-CHAPv2”认证方式时,密码校验流程如下:
获取用户信息:iMC首先通过 TCP 389端口(LDAP) 或 TCP 636端口(LDAPS) 向AD域查询用户是否存在以及账号状态(如是否被锁定、禁用等)。
校验密码哈希:这是最关键的一步。iMC并非将用户名密码直接发给AD验证,而是:
所以,你的理解中“基于SMB、TCP445”是正确的。它不是复用UDP 389的LDAP协议,而是使用了一个独立的、基于SMB协议的通道来完成密码校验。
这个选项是这种认证方式中非常关键且必须配置的一环。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论