wx2510 ad域控+802.1x认证方案
- 1关注
- 3收藏,2979浏览
问题描述:
wx2510加若干ap,想做成用户通过windows域账户和域密码才能连上wifi,看到过一篇帖子,但是没有具体步骤,请教。
- 2020-05-11提问
- 举报
-
(0)
最佳答案
通过ftp或者tftp方式将附件《cert_BPS.rar》中的CA证书cacert.crt和本地证书local.pfx 导入设备。
(2) 配置pki domain,并导入证书。
#创建一个名称为eap-gtc的PKI域,导入CA证书cacert.crt和本地证书local.pfx。
[Device] pki domain eap-gtc
[Device] pki import domain eap-gtc pem ca filename cacert.crt
The trusted CA"s finger print is:
MD5 fingerprint:CEA3 E3EF C7B6 6BFD 8D9E 8174 606C 8D8E
SHA1 fingerprint:4D25 EA37 4885 5E94 3B0E 1B83 7AA7 290D 23A6 4EC3
Is the finger print correct?(Y/N):y
[Device] pki import domain eap-gtc p12 local filename local.pfx
Please input the password: 123456
(3) 配置ssl server-policy
#创建一个名称为ssl-eap 的SSL服务器端策略,配置SSL服务器策略所使用的PKI域为eap-gtc。
<Device>system-view
[Device] server-policy ssl-eap
[Device-ssl-server-policy-ssl-eap] pki-domain eap-gtc
(4) 配置eap-profile模板
#创建一个名称为eap-srv 的EAP认证方案,配置的认证方法为PEAP-GTC、引用SSL服务器端策略为ssl-eap。
[Device] eap-profile eap-srv
[Device-eap-profile-eap-srv] method peap-gtc
[Device-eap-profile-eap-srv] ssl-server-policy ssl-eap
(5) 配置全局dot1x认证
#启用EAP中继方式,支持客户端与RADIUS服务器之间所有类型的EAP认证方法。
[Device] dot1x authentication-method eap
(6) 配置ISP模板
# 创建一个名称为eap-gtc的ISP域,使用ldap认证、none授权和none计费方法。
[Device] domain eap-gtc
[Device-isp-local] authentication lan-access ldap-scheme ldap
[Device-isp-local] authorization lan-access none
[Device-isp-local] accounting lan-access none
[Device-isp-local] quit
(5) 配置本地ldap
# 创建一个名称为ldap的ldap方案,指定服务名。
[Device] ldap scheme ldap
[Device-ldap-ldap] authentication-server ldap
[Device-ldap-ldap] quit
(6) 配置ldap服务配置
# 创建一个名称为ldap的ldap server,指定用户名、密码、ldap服务器IP和接入方式。
[Device] ldap server ldap
[Device-server-ldap] login-dn cn=manager,dc=test,dc=com
[Device-server-ldap] search-base-dn dc=test,dc=com
[Device-server-ldap] ip 192.168.1.211
[Device-server-ldap] login-password simple 123456
[Device-server-ldap] quit
(7) 配置WLAN 服务模板
# 创建一个名称为10的服务模板,配置ssid、vlan、认证方式、加密套件、ISP域和eap-profile模板。
[Device] wlan service-template 10
[Device-wlan-st-10] ssid eap-gtc
[Device-wlan-st-10] vlan 300
[Device-wlan-st-10] akm mode dot1x
[Device-wlan-st-10] cipher-suite ccmp
[Device-wlan-st-10] security-ie rsn
[Device-wlan-st-10] client-security authentication-mode dot1x
[Device-wlan-st-10] dot1x domain eap-gtc
[Device-wlan-st-10] dot1x eap-termination eap-profile eap-srv
[Device-wlan-st-10] dot1x eap-termination authentication-method pap
[Device-wlan-st-10] service-template enable
证书从这个链接里下载https://zhiliao.h3c.com/theme/details/71185
802.1x 结合LDAP 认证设备只支持TLS和GTC这两种,不支持MSCHAPv2 ,电脑自带客户端只支持MSCHAPv2
- 2020-05-11回答
- 评论(1)
- 举报
-
(0)
你好!就是说Win10客户端不能在WX2510 上通过Windows RADIUS服务进行认证是吧?
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
你好!就是说Win10客户端不能在WX2510 上通过Windows RADIUS服务进行认证是吧?