您好,欢迎来到华拓网。
科技 教育 生活 旅游 时尚 美容 美食 健康 体育 游戏 汽车 家电
搜索
您的当前位置:首页ACS5.6 EAP-TLS认证

ACS5.6 EAP-TLS认证

来源:华拓网


无线EAP安全认证

为了公司IT无线上网侧更加安全,现在我们需要对无线客户端进行认证,目前采用两种方式对移动终端进行认证,一种是802.1X中的PEAP+AD域认证,第二种是EAP+TLS认证。相对而言EAP+TLS认证更加安全,但是部署相对复杂.

拓扑图如下:

一、ACS5.6上的配置

1、 添加AAA客户端,本次用的是华为的AC6605:

2、 添加AD域

3、 添加域中的认证组

4、 在Policy Elements > Authorization and Permissions > Access > Authorization Profiles > Edit: \"dot1x-profile\"中创建profile:

下一步创建profile里面的属性

Network

5、在Access Policies > Access Services > 中添加service

点击Allowed Protocols,选择我们需要用的几个协议EAP-TLS ,PEAP

6、在Access Policies > ... > Access Services > Service Selection Rules中创

建RADIUS的认证,所有匹配radius的服务全部转到dot1x-service中去处理,注意默认的default 策略需要改成deny

7、在Access Policies > Access Services > dot1x-service > Identity中创建规则,这个规则表明当匹配到EAP-TLS认证是,转到CN Username中去处理,如果不匹配的话,就转到AD1中去处理,这个是做PEAP认证。

8、创建授权信息,主要创建2个规则一个是对EAP-TLS的,一个是对PEAP用的。

默认的的规则里是没有EAP的方式的,需要自定义规则的匹配项:

在这里选择了EAP

上图是给EAP-TLS认证用的

上图是给PEAP使用的

9、由于EAP认证需要用到证书,这个证书是服务器发给客户端的,让客户端对服务器进行验证,因此需要客户端加入域,而且也必需给ACS颁发域证书,这样客户端才能信任服务器的证书,完成EAP-TLS的TLS隧道的建立,具体做法附件文档中;

WIN7 PEAP rejected the ACS Loc

10、到第九步来说,PEAP认证的配置过程就做完了,EAP还需要2步,我们需要再ACS上导入域的根证书:

先申请根证书:

下载证书:

在Users and Identity Stores > Certificate Authorities > Create中导入证书

最后在Users and Identity Stores >Certificate Authentication Profile > 中创建新

的CN Username

二、客户端上的配置

默认的来说,客户端上需要加入域,而且无线侧需要开启WLAN AutoConfig

在无线网卡中需要做如下的配置:

EAP-TLS的

在这里需要注意的书,我们需要将我们的域中的CA服务器选上,不然认证会失败

PEAP认证的设置如下:

在这里需要注意的书,我们需要将我们的域中的CA服务器选上,不然认证会失败

三、AC控制器上的配置:

由于HUAWEI无线控制的版本不同,导致AC的命令也是不同的,现在我们的版本是AC6605 V200R006C10SPC200。

1、创建radius服务器模板

radius-server template ACS

radius-server shared-key cipher cisco

radius-server authentication 10.101.20.220 1645 source ip-address

10.101.20.120 weight 80

2、创建radius认证方式:

authentication-scheme radius_acs

authentication-mode radius

3、配置802.1x接入模板,管理802.1x接入控制参数

dot1x-access-profile name wlan-acs

dot1x authentication-method eap

4、创建名为“wlan-authentication”的认证模板,并绑定802.1X接入模板、认证方案和

RADIUS服务器模板

authentication-profile name wlan-authen

dot1x-access-profile wlan-acs

authentication-scheme radius_acs

radius-server ACS

5、创建WLAN侧配置

wlan

创建无线radius 认证方式

security-profile name radius

security wpa2 dot1x aes

创建无线的SSID

ssid-profile name ssid_test

ssid Lytest

创建VAP文件

vap-profile name wlan-vap

service-vlan vlan-id 200

ssid-profile ssid_test

security-profile radius

authentication-profile wlan-authen

创建AP组

ap-group name AP_test

regulatory-domain-profile demo

radio 0

vap-profile wlan-vap wlan 1

radio 1

vap-profile wlan-vap wlan 1

因篇幅问题不能全部显示,请点此查看更多更全内容

查看全文

Copyright © 2019- huatuo3.cn 版权所有 湘ICP备2023017654号-3

违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com

本站由北京市万商天勤律师事务所王兴未律师提供法律服务