搜档网
当前位置:搜档网 › ACS+AD+802.1X+radius

ACS+AD+802.1X+radius

ACS+AD+802.1X+radius
ACS+AD+802.1X+radius

Cisco Secure ACS +AD+CA+ Radius + 802.1x做接入控制

一、服务器端环境的安装及配置

第一部分:AD(DC)的安装。

1 window 2003 的服务器中运行dcpromo,安装AD域控制器。在iDNS诊断中选中“把此计算机作为DNS服务器”,然后默认安装完成。

2 运行中输入dsa。Msc对AD进行配置管理。在user中新建用户aaa。并配置他的密码之后在其属性中的隶属于中增加DomainAdmin的与管理员,并设置为主要组。

第二部分、ACS安装过程

在另外一台window 2003服务器加入配置好的域里面(首先修改ACS的首选DNS为AD域控制器的

面。

ip,然后再在下图中,修改ACS的从属域时输入新建的用户aaa。加入域里

),然后安装ACS。默认进行安装即可,不过在安装过程完整之后需要降低IE的安全级别否则只能显示为空白的设置。具体参考后面ACS安装备注

MicroSoft IAS服务可能会与ACS Radius服务冲突,建议将它关闭,关闭后提示系统重起

三、ACS基本配置

5.1、添加AAA的client。Server等。

在network配置里面配置进行认证AAA的client以及server。

配置完成之后重启ACS服务,在system configtion里面的service control里面的restart即可重启服务。

四ACS与AD集成

1 选择

“External User Databases→Unknown User Policy,将“External Databases”里面的window DB移动到右边的Selected Databases窗口中,完成后再重启服务。

2 再选择

“External User Databases→Database Configuration→Windows Database →Configure”,然后按

照下图进行配置之后点击提交。

3 ACS作为用户访问的授权,因此须将此ACS中的Group与AD的Group映射.

External User Database→Database Group Mappings→新建config里面选中自己配置的域名点击提交之后,在对选中的域进行配置,adding grouping。

这样AD和ACS就结合起来了。

五使用交换机的802.1x认证

CA证书的安装和配置。

在同一台ACS的服务器上CA证书,在window的添加组件里面进行安装证书,

在IE里面输入http://ACS主机的地址/certsrv在出现的页面里面选择申请证书--高级证书申请--选择证书模板是为服务器证书,密钥处勾选将密钥保存到本地选项。然后填写信息进行提交即可(国家一栏可以不填写)。再管理工具--证书颁发机构中队申请的机构进行证书颁发,之后再次登录赐个网站查看提交证书状态里面对证书进行安装即可。

2 证书安装成功之后,在ACS的system config里面的ACS certificate里面进行证书安装,use certificate from storge选项中填写证书服务器名称即可安装成功。

然后重启ACS服务即可。

3 在system config的global authentic按照如下进行配置。

六在交换机上进行802.1x的配置以及客户端配置。

七ACS里面radius认证中vlan配置:

实现802.1x动态的vlan认证还需要对里面的radius认真进行设置。首先在

在进行组设置前,先进Interface Configureation配置项,将[064]、[065]、[081]前面的钩打上

这3个值是Radius的属性,其中[081]的值是通过验证的用户将接入的vlan。

里面进行如图说是设置。

然后再group set

八、客户端的安装及配置

1、MicroSoft 802.1x client

先启动Windows的无线服务,运行-services.msc

启动后,点击网络连接-属性,会多出“验证”选项,按如下配置

将机器接入网络

稍等一下将出现提示信息框

输入在ACS 里面建立的用户名和密码

相关主题