配置ldap认证
ldap认证 时间:2021-04-05 阅读:()
知iMCEIA802.
1Xzhiliao_4Dtat2018-08-25发表iMCEIA无线802.
1XMSCHAPv2LDAP认证的典型配置案例组网及说明PEAP-MSCHAPv2认证类型是EAP证书认证的一种,当LDAP服务器使用WindowsAD时,LDAP用户支持EAP-PEAP-MSCHAPv2认证,本案例介绍iMCEIA无线802.
1XMSCHAPv2LDAP认证的配置方法.
本案例中iMCEIA服务器和WindowsAD为同一台服务器,实际生产环境请分开部署.
EIA、接入设备、WindowsAD、iNode使用的版本分别如下:iMCEIA版本为iMCEIA7.
3(E0511)接入设备为H3CWX3540HComwareSoftware,Version7.
1.
064,Release5215P01WindowsAD为WindowsServer2012ADiNode版本为7.
3(E0522)配置前提说明:接入设备支持802.
1X协议,且与iMCEIA服务器路由可达.
LDAP服务器为WindowsAD,且与iMCEIA服务器路由可达.
相关根证书和服务器证书已申请完成.
配置步骤1、WindowsAD服务器相关配置本案例中WindowsAD命名林根域为h3c.
com,在h3c.
com下新建一个名为RD的组织单位,并在RD组织中新建两个用户liuming和zhangyu.
2、AC接入设备802.
1X认证关键配置#创建认证方案1x,配置主认证/计费RADIUS服务器的IP地址为192.
168.
127.
96,认证、计费RADIUS服务器的共享密钥为明文字符串zsf_pwd,配置设备发送RADIUS报文使用的源IP地址为192.
168.
127.
33.
radiusscheme1xprimaryauthentication192.
168.
127.
96primaryaccounting192.
168.
127.
96keyauthenticationsimplezsf_pwdkeyaccountingsimplezsf_pwdnas-ip192.
168.
127.
33#创建认证域1x,配置802.
1X用户使用RADIUS方案1x进行认证、授权、计费.
domain1xauthenticationlan-accessradius-scheme1xauthorizationlan-accessradius-scheme1xaccountinglan-accessradius-scheme1x#配置802.
1X的认证方式为EAP.
dot1xauthentication-methodeap#使能radiussession-control.
radiussession-controlenable#创建并配置无线服务模板1x.
wlanservice-template1xssid1xvlan10akmmodedot1xcipher-suiteccmpsecurity-iersnclient-securityauthentication-modedot1xdot1xdomain1xservice-templateenable#将无线服务模板1x绑定到radio1和radio2,并开启射频.
wlanapl2-softwaremodelWA2620i-AGNserial-id210235A1XXXXXX000007radio1radioenableservice-template1xradio2radioenableservice-template1x3、iMC服务器的配置(1)由于采用EAP-PEAP证书认证,所以iMC服务器侧需要配置根证书和服务器证书,如果客户端验证服务器的话,客户端需要安装根证书,否则客户端不需要安装任何证书.
本案例客户端不验证服务器.
用户>接入策略管理>业务参数配置>证书配置,分别导入根证书和服务器证书.
注意:EAP-PEAP认证之前请提前申请和下载证书,本案例不涉及介绍,如有问题可参考《iMCUAM证书使用指导》.
(2)用户>接入策略管理>接入设备管理>接入设备配置,增加接入设备192.
168.
127.
33.
注意:增加的接入设备IP需要和认证设备radiusscheme下的nas-ip一致,共享密钥需要和radiusscheme下的认证、计费radius服务器的密钥一致.
(3)用户>接入策略管理>接入策略管理,增加接入策略1x,首选EAP类型选择EAP-PEAP,子类型选择EAP-MSCHAPV2,其他参数保持缺省即可.
(4)用户>接入策略管理>接入服务管理,增加接入服务1x,服务后缀配置为认证设备上的domain域名1x,缺省接入策略选择1x.
(5)用户>接入策略管理>LDAP业务管理>服务器配置,增加LDAP服务器.
管理员DN为cn=Administrator,cn=Users,dc=h3c,dc=com,管理员密码为Administrator的密码,BaseDN为dc=h3c,dc=com,其他参数可根据实际需求配置.
高级信息中启用MS-CHAPV2认证,虚拟计算机名称本案例命名为hh,虚拟机计算机密码为h3c:(6)在WindowsAD服务器上新建虚拟计算机.
在h3c.
com下右键Computers选择新建计算机,其中计算机名和iMC服务器上的虚拟计算机名称保持一样为hh:(7)给新建的虚拟计算机设置密码.
设置虚拟机计算机密码需要运行一个脚本程序ModiComputerAccoutPass.
vbs,该脚本程序从用户>接入策略管理>LDAP业务管理>参数配置页面点击修改计算机密码脚本的下载链接获取:下载计算机密码脚本程序到本地,使用文本编辑器打开该文件,将CN=testAccount,CN=Computers,DC=CONTOSO,DC=COM替换为虚拟计算机帐号DN,本例中DN为CN=hh,CN=Computers,DC=h3c,DC=com,将iMC123替换为虚拟计算机密码h3c:将修改之后的计算机密码脚本程序拷贝到AD域控服务器,打开命令行窗口,cd进入脚本程序所在路径,执行cscriptModifyComputerAccountPass.
vbs使重置后的虚拟计算机密码生效.
(8)用户>接入策略管理>LDAP业务管理>同步策略配置,增加LDAP同步策略.
同步WindowsAD服务器h3c.
com下组织RD的用户,所以子BaseDN为ou=RD,dc=h3c,dc=com,其他参数本案例保持为缺省选项.
在其他信息配置页面,在接入信息区域,输入密码h3c,当LDAP用户解除与LDAP服务器的绑定关系后作为iMC接入用户使用该密码可以通过认证.
在接入服务区域分配接入服务1x.
(9)LDAP服务器同步策略配置完成后,在同步策略列表中,点击"同步"链接,手动同步LDAP用户.
同步成功之后,在同步策略列表中点击"LDAP用户"链接可以查看同步成功的LDAP用户信息:4、客户端配置(1)iOS客户端使用liuming@1x拨号认证测试无线局域网中连接SSID信号1x,输入用户名liuming@1x和密码,点击加入:点击信任证书:连接成功:在iMC服务器上可以查到到终端的在线信息:(2)Windows7电脑终端使用zhangyu拨号认证测试管理无线网络下手动添加SSID1x的无线网络连接:手动添加无线网络连接后,右键设置属性:网络身份验证方法选择受保护的EAP(PEAP),点击设置,这里不验证服务器证书,所以去勾选"验证服务器证书":身份验证方式选择EAP-MSCHAV2,点击配置,属性去勾选"自动使用Windows登录名和密码(以及域,如果有的话)":设置无线网络连接属性后,连接信号1x,弹出的网络身份验证框中输入用户名zhangyu@1x和密码认证上线:在iMC服务器上可以查看到终端的在线信息:(3)iNode客户端打开iNode客户端,右上角无线图标选择使用iNode管理无线,然后选择无线网络SSID信号1x:点击连接旁边的下拉选项选择属性进行设置:点击802.
1X属性进行设置,认证类型选择PEAP,子类型选择MS-CHAP-V2,不勾选验证服务器证书:输入用户名liuming@1x和密码,点击连接开始认证:连接成功:在iMC服务器上可以查看到终端的在线信息:配置关键点
1Xzhiliao_4Dtat2018-08-25发表iMCEIA无线802.
1XMSCHAPv2LDAP认证的典型配置案例组网及说明PEAP-MSCHAPv2认证类型是EAP证书认证的一种,当LDAP服务器使用WindowsAD时,LDAP用户支持EAP-PEAP-MSCHAPv2认证,本案例介绍iMCEIA无线802.
1XMSCHAPv2LDAP认证的配置方法.
本案例中iMCEIA服务器和WindowsAD为同一台服务器,实际生产环境请分开部署.
EIA、接入设备、WindowsAD、iNode使用的版本分别如下:iMCEIA版本为iMCEIA7.
3(E0511)接入设备为H3CWX3540HComwareSoftware,Version7.
1.
064,Release5215P01WindowsAD为WindowsServer2012ADiNode版本为7.
3(E0522)配置前提说明:接入设备支持802.
1X协议,且与iMCEIA服务器路由可达.
LDAP服务器为WindowsAD,且与iMCEIA服务器路由可达.
相关根证书和服务器证书已申请完成.
配置步骤1、WindowsAD服务器相关配置本案例中WindowsAD命名林根域为h3c.
com,在h3c.
com下新建一个名为RD的组织单位,并在RD组织中新建两个用户liuming和zhangyu.
2、AC接入设备802.
1X认证关键配置#创建认证方案1x,配置主认证/计费RADIUS服务器的IP地址为192.
168.
127.
96,认证、计费RADIUS服务器的共享密钥为明文字符串zsf_pwd,配置设备发送RADIUS报文使用的源IP地址为192.
168.
127.
33.
radiusscheme1xprimaryauthentication192.
168.
127.
96primaryaccounting192.
168.
127.
96keyauthenticationsimplezsf_pwdkeyaccountingsimplezsf_pwdnas-ip192.
168.
127.
33#创建认证域1x,配置802.
1X用户使用RADIUS方案1x进行认证、授权、计费.
domain1xauthenticationlan-accessradius-scheme1xauthorizationlan-accessradius-scheme1xaccountinglan-accessradius-scheme1x#配置802.
1X的认证方式为EAP.
dot1xauthentication-methodeap#使能radiussession-control.
radiussession-controlenable#创建并配置无线服务模板1x.
wlanservice-template1xssid1xvlan10akmmodedot1xcipher-suiteccmpsecurity-iersnclient-securityauthentication-modedot1xdot1xdomain1xservice-templateenable#将无线服务模板1x绑定到radio1和radio2,并开启射频.
wlanapl2-softwaremodelWA2620i-AGNserial-id210235A1XXXXXX000007radio1radioenableservice-template1xradio2radioenableservice-template1x3、iMC服务器的配置(1)由于采用EAP-PEAP证书认证,所以iMC服务器侧需要配置根证书和服务器证书,如果客户端验证服务器的话,客户端需要安装根证书,否则客户端不需要安装任何证书.
本案例客户端不验证服务器.
用户>接入策略管理>业务参数配置>证书配置,分别导入根证书和服务器证书.
注意:EAP-PEAP认证之前请提前申请和下载证书,本案例不涉及介绍,如有问题可参考《iMCUAM证书使用指导》.
(2)用户>接入策略管理>接入设备管理>接入设备配置,增加接入设备192.
168.
127.
33.
注意:增加的接入设备IP需要和认证设备radiusscheme下的nas-ip一致,共享密钥需要和radiusscheme下的认证、计费radius服务器的密钥一致.
(3)用户>接入策略管理>接入策略管理,增加接入策略1x,首选EAP类型选择EAP-PEAP,子类型选择EAP-MSCHAPV2,其他参数保持缺省即可.
(4)用户>接入策略管理>接入服务管理,增加接入服务1x,服务后缀配置为认证设备上的domain域名1x,缺省接入策略选择1x.
(5)用户>接入策略管理>LDAP业务管理>服务器配置,增加LDAP服务器.
管理员DN为cn=Administrator,cn=Users,dc=h3c,dc=com,管理员密码为Administrator的密码,BaseDN为dc=h3c,dc=com,其他参数可根据实际需求配置.
高级信息中启用MS-CHAPV2认证,虚拟计算机名称本案例命名为hh,虚拟机计算机密码为h3c:(6)在WindowsAD服务器上新建虚拟计算机.
在h3c.
com下右键Computers选择新建计算机,其中计算机名和iMC服务器上的虚拟计算机名称保持一样为hh:(7)给新建的虚拟计算机设置密码.
设置虚拟机计算机密码需要运行一个脚本程序ModiComputerAccoutPass.
vbs,该脚本程序从用户>接入策略管理>LDAP业务管理>参数配置页面点击修改计算机密码脚本的下载链接获取:下载计算机密码脚本程序到本地,使用文本编辑器打开该文件,将CN=testAccount,CN=Computers,DC=CONTOSO,DC=COM替换为虚拟计算机帐号DN,本例中DN为CN=hh,CN=Computers,DC=h3c,DC=com,将iMC123替换为虚拟计算机密码h3c:将修改之后的计算机密码脚本程序拷贝到AD域控服务器,打开命令行窗口,cd进入脚本程序所在路径,执行cscriptModifyComputerAccountPass.
vbs使重置后的虚拟计算机密码生效.
(8)用户>接入策略管理>LDAP业务管理>同步策略配置,增加LDAP同步策略.
同步WindowsAD服务器h3c.
com下组织RD的用户,所以子BaseDN为ou=RD,dc=h3c,dc=com,其他参数本案例保持为缺省选项.
在其他信息配置页面,在接入信息区域,输入密码h3c,当LDAP用户解除与LDAP服务器的绑定关系后作为iMC接入用户使用该密码可以通过认证.
在接入服务区域分配接入服务1x.
(9)LDAP服务器同步策略配置完成后,在同步策略列表中,点击"同步"链接,手动同步LDAP用户.
同步成功之后,在同步策略列表中点击"LDAP用户"链接可以查看同步成功的LDAP用户信息:4、客户端配置(1)iOS客户端使用liuming@1x拨号认证测试无线局域网中连接SSID信号1x,输入用户名liuming@1x和密码,点击加入:点击信任证书:连接成功:在iMC服务器上可以查到到终端的在线信息:(2)Windows7电脑终端使用zhangyu拨号认证测试管理无线网络下手动添加SSID1x的无线网络连接:手动添加无线网络连接后,右键设置属性:网络身份验证方法选择受保护的EAP(PEAP),点击设置,这里不验证服务器证书,所以去勾选"验证服务器证书":身份验证方式选择EAP-MSCHAV2,点击配置,属性去勾选"自动使用Windows登录名和密码(以及域,如果有的话)":设置无线网络连接属性后,连接信号1x,弹出的网络身份验证框中输入用户名zhangyu@1x和密码认证上线:在iMC服务器上可以查看到终端的在线信息:(3)iNode客户端打开iNode客户端,右上角无线图标选择使用iNode管理无线,然后选择无线网络SSID信号1x:点击连接旁边的下拉选项选择属性进行设置:点击802.
1X属性进行设置,认证类型选择PEAP,子类型选择MS-CHAP-V2,不勾选验证服务器证书:输入用户名liuming@1x和密码,点击连接开始认证:连接成功:在iMC服务器上可以查看到终端的在线信息:配置关键点
UCloud年度大促活动可选香港云服务器低至年134元
由于行业需求和自媒体的倾向问题,对于我们个人站长建站的方向还是有一些需要改变的。传统的个人网站建站内容方向可能会因为自媒体的分流导致个人网站很多行业不再成为流量的主导。于是我们很多个人网站都在想办法进行重新更换行业,包括前几天也有和网友在考虑是不是换个其他行业做做。这不有重新注册域名重新更换。鉴于快速上手的考虑还是采用香港服务器,这不腾讯云和阿里云早已不是新账户,考虑到新注册UCLOUD账户还算比...
BuyVM老牌商家新增迈阿密机房 不限流量 月付2美元
我们很多老用户对于BuyVM商家还是相当熟悉的,也有翻看BuyVM相关的文章可以追溯到2014年的时候有介绍过,不过那时候介绍这个商家并不是很多,主要是因为这个商家很是刁钻。比如我们注册账户的信息是否完整,以及我们使用是否规范,甚至有其他各种问题导致我们是不能购买他们家机器的。以前你嚣张是很多人没有办法购买到其他商家的机器,那时候其他商家的机器不多。而如今,我们可选的商家比较多,你再也嚣张不起来。...
wordpress公司网站模板 wordpress简洁高级通用公司主题
wordpress公司网站模板,wordpresss简洁风格的高级通用自适应网站效果,完美自适应支持多终端移动屏幕设备功能,高级可视化后台自定义管理模块+规范高效的搜索优化。wordpress公司网站模板采用标准的HTML5+CSS3语言开发,兼容当下的各种主流浏览器: IE 6+(以及类似360、遨游等基于IE内核的)、Firefox、Google Chrome、Safari、Opera等;同时...
ldap认证为你推荐
-
同ip网站同IP的两个网站,做单向链接,会不会被K掉??www.yahoo.com.hk香港有什么网页avtt4.comCOM1/COM3/COM4是什么意思??/avtt4.comwww.51kao4.com为什么进不去啊?sodu.tw今天sodu.org为什么打不开了?机器蜘蛛《不思议迷宫》四个机器蜘蛛怎么得 获得攻略方法介绍梦遗姐男人梦遗,女人会吗?朴容熙这个人男的女的,哪国人。叫什么。本冈一郎本冈一郎有副作用吗?主要有什么呢?月风随笔散文校园月色600字初中作文