Cisco Secure ACS +AD+CA+ Radius + 802.1x做接入控制
一、服务器端环境的安装及配置
第一部分:AD(DC)的安装。
1 window 2003 的服务器中运行dcpromo,安装AD域控制器。在iDNS诊断中选中“把此计算机作为DNS服务器”,然后默认安装完成。
2 运行中输入dsa。Msc对AD进行配置管理。在user中新建用户aaa。并配置他的密码之后在其属性中的隶属于中增加DomainAdmin的与管理员,并设置为主要组。
第二部分、ACS安装过程
在另外一台window 2003服务器加入配置好的域里面(首先修改ACS的首选DNS为AD域控制器的
面。
ip,然后再在下图中,修改ACS的从属域时输入新建的用户aaa。加入域里
),然后安装ACS。默认进行安装即可,不过在安装过程完整之后需要降低IE的安全级别否则只能显示为空白的设置。具体参考后面ACS安装备注
MicroSoft IAS服务可能会与ACS Radius服务冲突,建议将它关闭,关闭后提示系统重起
三、ACS基本配置
5.1、添加AAA的client。Server等。
在network配置里面配置进行认证AAA的client以及server。
配置完成之后重启ACS服务,在system configtion里面的service control里面的restart即可重启服务。
四ACS与AD集成
1 选择
“External User Databases→Unknown User Policy,将“External Databases”里面的window DB移动到右边的Selected Databases窗口中,完成后再重启服务。
2 再选择
“External User Databases→Database Configuration→Windows Database →Configure”,然后按
照下图进行配置之后点击提交。
3 ACS作为用户访问的授权,因此须将此ACS中的Group与AD的Group映射.
External User Database→Database Group Mappings→新建config里面选中自己配置的域名点击提交之后,在对选中的域进行配置,adding grouping。
这样AD和ACS就结合起来了。
五使用交换机的802.1x认证
CA证书的安装和配置。
在同一台ACS的服务器上CA证书,在window的添加组件里面进行安装证书,
在IE里面输入http://ACS主机的地址/certsrv在出现的页面里面选择申请证书--高级证书申请--选择证书模板是为服务器证书,密钥处勾选将密钥保存到本地选项。然后填写信息进行提交即可(国家一栏可以不填写)。再管理工具--证书颁发机构中队申请的机构进行证书颁发,之后再次登录赐个网站查看提交证书状态里面对证书进行安装即可。
2 证书安装成功之后,在ACS的system config里面的ACS certificate里面进行证书安装,use certificate from storge选项中填写证书服务器名称即可安装成功。
然后重启ACS服务即可。
3 在system config的global authentic按照如下进行配置。
六在交换机上进行802.1x的配置以及客户端配置。
七ACS里面radius认证中vlan配置:
实现802.1x动态的vlan认证还需要对里面的radius认真进行设置。首先在
在进行组设置前,先进Interface Configureation配置项,将[064]、[065]、[081]前面的钩打上
这3个值是Radius的属性,其中[081]的值是通过验证的用户将接入的vlan。
里面进行如图说是设置。
然后再group set
八、客户端的安装及配置
1、MicroSoft 802.1x client
先启动Windows的无线服务,运行-services.msc
启动后,点击网络连接-属性,会多出“验证”选项,按如下配置
将机器接入网络
稍等一下将出现提示信息框
输入在ACS 里面建立的用户名和密码