Windows 7结合iMC UAM单点登录的配置
一、 实现原理:
能够实现单点登录,核心一点就是要能拿到用户登录操作系统时输入的用户名和密码。微软提供了定制GINA技术,iNode通过定制的GINA动态库可以拿到用户登录操作系统时输入的用户名和密码等信息,并使用这些信息去完成网络接入认证。
iNode定制的GINA动态库不在iNode自己的进程空间中运行,而是在系统进程WinLogon.exe的进程空间中运行。WinLogon.exe进程在每次机器重启时加载GINA动态库。
单点登录和普通的802.1x或者Portal认证方式唯一的区别在于单点登录先进行接入认证,然后登录操作系统,而802.1x或者Portal认证是先登录操作系统然后进行接入认证,两者只是顺序不同,所以在配置方面单点登录和LDAP认证没有大的区别。
注:单点登录功能更适用于Vista之前的操作系统,Vista及Windows 7勾选iNode的“开机后自动运行”即可,本案例是以Windows 7操作系统为例演示单点登录的配置方法。
iNode PC V3.60-E6202 及以上版本均支持单点登录功能。
二、 组网图:
图1-1
注:AD和iMC为同一台服务器,实际应用中不局限于此。
三、 配置步骤:
1. 接入设备配置,本案例选用802.1x认证方式
(1): 配置各接口IP地址,保证各个设备路由可达(略)
(2): 配置radius方案为h3c
[sw] radius scheme h3c
[sw-radius-h3c] server-type extended
[sw-radius-h3c] primary authentication 172.16.0.1 1812
[sw-radius-h3c] primary accounting 172.16.0.1 1813
[sw-radius-h3c] key authentication simple h3c
[sw-radius-h3c] key accounting simple h3c
[sw-radius-h3c] user-name-format with-domain
(3): 配置domain为h3c引用方案h3c
注:此处的域名h3c必须和域控服务器中AD域的名称保持一致。
[sw] domain h3c
[sw-isp-h3c] authentication lan-access radius-scheme h3c
[sw-isp-h3c] authorization lan-access radius-scheme h3c
[sw-isp-h3c] accounting lan-access radius-scheme h3c
(4): 开启全局dot1x特性
[sw] dot1x
(5): 配置dot1x的认证模式为EAP类型
[sw] dot1x authentication-method eap
注:单点登录不支持CHAP验证方式。
(6):开启接口的dot1x特性
[sw-GigabitEthernet1/0/12] dot1x
2:域控服务器配置:
2.1 域控服务器安装
“开始”-“运行”输入dcpromo,按照提示一步步安装即可,具体过程略;
注:此处的域名必须与domain h3c保持一致,如下图3-1所示:
图3- 1
2.2 新建域账号
在AD服务器中新建组织单元haha,如图3-2依次点击;
图3- 2
在组织单元haha里面新建三个用户“x111”、“x112”、“x113”,并为其设置LDAP密码,勾选密码永不过期(新建用户时会自动提示创建密码,只需新建一个账号即可);
图3- 3
效果如图3-4所示;
图3- 4
将用户x111加入域管理员组,如下图所示:
图3- 5
手工输入 domain admins或者单击“高级”进行查找
图3- 6
看到如下提示即可
图3- 7
3. 将终端加入域h3c,加入域之前需保证终端的DNS服务器地址为域控服务器的IP,如下所示:
图3- 8
依次点击“我的电脑”-“属性”-“更改设置”-“更改”,计算机名可以不修改,点击“隶属于”,输入之前新建的域h3c.com,确定
图3- 9
在弹出的框中输入之前新建的用户x111和密码,确定
图3- 10
图3- 11
系统会提示重启,正常重启即可。
4. iMC侧配置
4.1配置服务,后缀为h3c
图3- 12
4.2配置接入设备,秘钥需和接入设备保持一致。
图3- 13
4.3配置LDAP服务
将终端加入h3c域后,域账号还不具有单点登录功能,要想具有单点登录功能,需将域账号同步到iMC中(LDAP同步),具体步骤如下:
图3- 14
服务器类型:分为通用LDAP服务器和微软活动目录。前者表示所有符合LDAP标准的服务器,后者专指Microsoft Windows活动目录;
服务同步方式:当“服务器类型”设置为通用LDAP服务器时,该参数只能设置为手工指定;当“服务器类型”设置为微软活动目录时,该参数可以设置为手工指定或基于AD组;
手工指定:为LDAP服务器配置同步策略时,可以为绑定用户指定服务;
基于AD组:为LDAP服务器配置同步策略时,只能为LDAP组指定服务,根据绑定用户所属的LDAP组自动为用户分配服务
图3- 15
Base DN:获取用户数据的范围;
子Base DN:Base DN的子集,本案例x111在组织单元haha中
过滤条件:保持默认即可,表示从users中获取所有用户数据;
最后点击同步按钮。
图3- 16
至此,iMC侧配置完成。
5. iNode客户端配置
5.1 订制具有单点登录功能的iNode客户端
图3- 17
5.2 iNode客户端新建单点登录连接
图3- 18
5.3 设备iNode客户端的运行方式
图3- 19
5.3 输入账号信息
图3- 20
四、 验证配置
图3- 21
五、 配置关键点:
1. 802.1x验证方式选为PAP或者EAP;
2. 终端DNS IP地址为域控服务器IP地址;
3. 单点登录功能适用于Windows Vista之前的操作系统;
4:在配置服务时,如果接入设备为华三设备,可不配置后缀或者配置后缀且和域控保持一致;如果是其他厂家接入设备,服务一定要带后缀。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作