Windows 7结合iMC UAM单点登录的配置

Windows 7结合iMC UAM单点登录的配置

一、        实现原理：

能够实现单点登录，核心一点就是要能拿到用户登录操作系统时输入的用户名和密码。微软提供了定制GINA技术，iNode通过定制的GINA动态库可以拿到用户登录操作系统时输入的用户名和密码等信息，并使用这些信息去完成网络接入认证。

iNode定制的GINA动态库不在iNode自己的进程空间中运行，而是在系统进程WinLogon.exe的进程空间中运行。WinLogon.exe进程在每次机器重启时加载GINA动态库。

单点登录和普通的802.1x或者Portal认证方式唯一的区别在于单点登录先进行接入认证，然后登录操作系统，而802.1x或者Portal认证是先登录操作系统然后进行接入认证，两者只是顺序不同，所以在配置方面单点登录和LDAP认证没有大的区别。

注：单点登录功能更适用于Vista之前的操作系统，Vista及Windows 7勾选iNode的“开机后自动运行”即可，本案例是以Windows 7操作系统为例演示单点登录的配置方法。

iNode PC V3.60-E6202 及以上版本均支持单点登录功能。

二、  组网图：

图1-1

注：AD和iMC为同一台服务器，实际应用中不局限于此。

三、  配置步骤：

1. 接入设备配置，本案例选用802.1x认证方式

(1): 配置各接口IP地址，保证各个设备路由可达（略）

(2): 配置radius方案为h3c

  [sw] radius scheme h3c

  [sw-radius-h3c] server-type extended

  [sw-radius-h3c] primary authentication 172.16.0.1 1812

  [sw-radius-h3c] primary accounting 172.16.0.1 1813

  [sw-radius-h3c] key authentication simple h3c

  [sw-radius-h3c] key accounting simple h3c

  [sw-radius-h3c] user-name-format with-domain

(3): 配置domain为h3c引用方案h3c

注：此处的域名h3c必须和域控服务器中AD域的名称保持一致。

  [sw] domain h3c

  [sw-isp-h3c] authentication lan-access radius-scheme h3c

  [sw-isp-h3c] authorization lan-access radius-scheme h3c

  [sw-isp-h3c] accounting lan-access radius-scheme h3c

(4): 开启全局dot1x特性

  [sw] dot1x

(5): 配置dot1x的认证模式为EAP类型

  [sw] dot1x authentication-method eap

注：单点登录不支持CHAP验证方式。

 (6):开启接口的dot1x特性

  [sw-GigabitEthernet1/0/12] dot1x

2：域控服务器配置：

2.1 域控服务器安装

“开始”-“运行”输入dcpromo，按照提示一步步安装即可，具体过程略；

注：此处的域名必须与domain h3c保持一致，如下图3-1所示：

图3- 1

2.2 新建域账号

在AD服务器中新建组织单元haha，如图3-2依次点击；

图3- 2

在组织单元haha里面新建三个用户“x111”、“x112”、“x113”，并为其设置LDAP密码，勾选密码永不过期（新建用户时会自动提示创建密码，只需新建一个账号即可）；

图3- 3

效果如图3-4所示；

图3- 4

将用户x111加入域管理员组，如下图所示：

图3- 5

手工输入 domain admins或者单击“高级”进行查找

图3- 6

看到如下提示即可

图3- 7

3. 将终端加入域h3c，加入域之前需保证终端的DNS服务器地址为域控服务器的IP，如下所示：

图3- 8

依次点击“我的电脑”-“属性”-“更改设置”-“更改”，计算机名可以不修改，点击“隶属于”，输入之前新建的域h3c.com，确定

 

图3- 9

在弹出的框中输入之前新建的用户x111和密码，确定

图3- 10

图3- 11

系统会提示重启，正常重启即可。

4. iMC侧配置

4.1配置服务，后缀为h3c

图3- 12

4.2配置接入设备，秘钥需和接入设备保持一致。

图3- 13

4.3配置LDAP服务

将终端加入h3c域后，域账号还不具有单点登录功能，要想具有单点登录功能，需将域账号同步到iMC中（LDAP同步），具体步骤如下：

图3- 14

服务器类型：分为通用LDAP服务器和微软活动目录。前者表示所有符合LDAP标准的服务器，后者专指Microsoft Windows活动目录；

服务同步方式：当“服务器类型”设置为通用LDAP服务器时，该参数只能设置为手工指定；当“服务器类型”设置为微软活动目录时，该参数可以设置为手工指定或基于AD组；

手工指定：为LDAP服务器配置同步策略时，可以为绑定用户指定服务；

基于AD组：为LDAP服务器配置同步策略时，只能为LDAP组指定服务，根据绑定用户所属的LDAP组自动为用户分配服务

图3- 15

Base DN：获取用户数据的范围；

子Base DN：Base DN的子集，本案例x111在组织单元haha中

过滤条件：保持默认即可，表示从users中获取所有用户数据；

最后点击同步按钮。

图3- 16

至此，iMC侧配置完成。

5. iNode客户端配置

5.1 订制具有单点登录功能的iNode客户端

图3- 17

5.2  iNode客户端新建单点登录连接

图3- 18

5.3 设备iNode客户端的运行方式

图3- 19

 

5.3 输入账号信息

图3- 20

四、       验证配置

图3- 21

五、  配置关键点：

1. 802.1x验证方式选为PAP或者EAP；

2. 终端DNS IP地址为域控服务器IP地址；

3. 单点登录功能适用于Windows Vista之前的操作系统；

4：在配置服务时，如果接入设备为华三设备，可不配置后缀或者配置后缀且和域控保持一致；如果是其他厂家接入设备，服务一定要带后缀。