• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

IMC+无线AC+dot1x证书认证+LADP认证相关原理

1天前提问
  • 0关注
  • 0收藏,70浏览
粉丝:0人 关注:0人

问题描述:

组网概述:

1、用户通过连接启用了dot1x认证的无线SSID-1x进行认证上网

2、IMC作为认证服务器和无线AC控制器交互认证报文

3、IMC里面对接微软AD域导入ladp用户,终端使用ladp用户进行认证

**4、IMC接入策略的认证方式选择的EAP-PEAP/MS-CHAPv2认证类型(对接dot1x认证)。ladp所属的服务器启用MS-CHAPv2功能,认证方式选择的“通过虚拟计算机认证

5、根证书和服务器证书已经导入IMC

问题疑问:主要解答问题和确认信息

1、IMC中根证书用来验证服务器证书签名是否生效,服务器证书是推给终端进行加密使用的(类似于非对称加密中的公钥),IMC和终端的报文交互由无线AC进行eap中继转发,且服务器证书过期后用户就会无法认证--------该条主要确认内容是否正确

2、IMC接收到无线AC转发来的Radius-EAP流量后通过本地的服务器私钥进行解密,识别报文内携带的用户名信息,然后在IMC本地查看该登录名所属的属性(如果是本地用户就直接校验,结果返回无线AC?),识别到终端使用LADP用户名进行登录,此时IMC就需要向微软AD域进行用户信息认证,这一部分也是我的疑问点:我理解的是IMC发现终端使用LADP用户进行认证,此时IMC发现该用户所属AD域启用MS-CHAPv2认证,就会生成一个认证请求下发给IMC的ms-chapv2server进程,由该进程向AD域发起连接(这个连接是否基于SMB、TCP445,还是直接复用UDP389),IMC该进程将认证相关的用户名信息采用chap机制处理后,将处理后的值和chap值发给AD进行校验,AD根据信息查询用户信息返回给IMC相关结果???

此时认证方式选择的“通过虚拟计算机认证”是不是IMC会使用虚拟计算机的值向AD发起连接???

总结:最大的疑问就是LADP里面的MS-CHAPv2是不是接入策略里面认证子类型为MS-CHAPv2时就必须配置。此处配置的认证方式选择的“通过虚拟计算机认证”又有什么含义呢?  以及LADP启用了MS-CHAPv2后,IMC和AD直接交互验证用户认证状态的过程是什么样的,最好能体现出相关端口信息
!!!!!

 

 

3 个回答
Xcheng 九段
粉丝:136人 关注:3人

打个400吧

暂无评论

粉丝:23人 关注:2人

1、证书部分

整套 PEAP 外层 TLS 隧道依赖 IMC 服务器证书(内含公钥给终端加密),根证书用于两端互验证书合法性;证书过期会直接 TLS 握手失败,全程 AC 仅做 EAP 中继转发 RADIUS,不解密隧道。

2、整体认证链路

无线终端 PEAP 802.1X → AC 封装 RADIUS (UDP1812) 转发 IMC → IMC 私钥解密 TLS 隧道拿到 AD 账号与 MSCHAPv2 哈希 → 分两步和 AD 交互:
  1. LDAP (389/636) 查用户是否存在、账号状态;
  2. LDAP 服务开启 MS-CHAPv2 后,IMC 走 TCP445 (SMB/NTLM) 校验密码哈希。

3、虚拟计算机认证含义

IMC 不用域管理员账号,而是用 AD 机器账号建立 445 端口 NTLM 会话做密码校验,权限更小更安全;对接 AD 域 + PEAP-MSCHAPv2 场景,LDAP 服务器必须开启 MS-CHAPv2 开关,否则无法校验密码。

4、端口区分

  • 用户信息查询:389 (LDAP)/636 (LDAPS)
  • 密码哈希校验:TCP445 SMB,独立通道不共用 LDAP 端口

5、核心故障点

445 不通、虚拟机器账号失效、LDAP 端口拦截、证书过期、AD 禁用 NTLMv2 均会导致认证失败。

暂无评论

粉丝:24人 关注:1人

针对你提出的几个问题,我来逐一为你解答。你的理解大部分是正确的,核心差异在于iMC与AD域交互验证密码的具体方式。

✅ 问题1:证书的作用与流程(你的理解正确)

你关于证书的理解是完全正确的。

  • 根证书:用于在iMC服务器和终端之间建立信任关系,验证彼此证书的合法性

  • 服务器证书:iMC服务器将自己的服务器证书(内含公钥)下发给终端,用于加密后续的EAP-TLS隧道通信

  • 证书过期:如果服务器证书过期,TLS握手会直接失败,导致用户无法认证

  • AC的角色:无线AC在整个过程中只负责EAP中继转发,将RADIUS报文(UDP 1812端口)在终端和iMC之间传递,自身不解密隧道内容


🔐 问题2:iMC与AD域的用户密码验证流程(核心解答)

这是你疑问最多的地方。当iMC识别到用户来自AD域,并且接入策略选择了“EAP-PEAP/MS-CHAPv2”认证方式时,密码校验流程如下

  1. 获取用户信息:iMC首先通过 TCP 389端口(LDAP) 或 TCP 636端口(LDAPS) 向AD域查询用户是否存在以及账号状态(如是否被锁定、禁用等)

  2. 校验密码哈希:这是最关键的一步。iMC并非将用户名密码直接发给AD验证,而是:

    • iMC的 mschapv2server 进程将认证过程中收到的密码哈希值,通过 TCP 445端口(SMB协议) 发送给AD域控制器

    • AD域控制器在本地完成密码哈希的比对,并将“成功或失败”的结果返回给iMC。

所以,你的理解中“基于SMB、TCP445”是正确的。它不是复用UDP 389的LDAP协议,而是使用了一个独立的、基于SMB协议的通道来完成密码校验


🖥️ 问题3:“通过虚拟计算机认证”的含义

这个选项是这种认证方式中非常关键且必须配置的一环。

  • 为什么需要它?:AD域控制器为了安全,默认不接受任何外来计算机的NTLM密码校验请求

  • 它的作用是什么?:它要求你在AD域中手动创建一个计算机对象(即“虚拟计算机”),并运行一个脚本

  • 如何工作?:iMC会使用这个“虚拟计算机”的账号和密码,与AD域控制器建立NTLM会话。这样,iMC就相当于一个被AD域信任的“域内成员”,从而获得权限去执行密码校验。

  • 好处:这种方式比直接使用一个拥有高权限的域管理员账号更安全、权限更小

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明