配置ldap认证

知iMCEIA802.
1Xzhiliao_4Dtat2018-08-25发表iMCEIA无线802.
1XMSCHAPv2LDAP认证的典型配置案例组网及说明PEAP-MSCHAPv2认证类型是EAP证书认证的一种,当LDAP服务器使用WindowsAD时,LDAP用户支持EAP-PEAP-MSCHAPv2认证,本案例介绍iMCEIA无线802.
1XMSCHAPv2LDAP认证的配置方法.
本案例中iMCEIA服务器和WindowsAD为同一台服务器,实际生产环境请分开部署.
EIA、接入设备、WindowsAD、iNode使用的版本分别如下:iMCEIA版本为iMCEIA7.
3(E0511)接入设备为H3CWX3540HComwareSoftware,Version7.
1.
064,Release5215P01WindowsAD为WindowsServer2012ADiNode版本为7.
3(E0522)配置前提说明:接入设备支持802.
1X协议,且与iMCEIA服务器路由可达.
LDAP服务器为WindowsAD,且与iMCEIA服务器路由可达.
相关根证书和服务器证书已申请完成.
配置步骤1、WindowsAD服务器相关配置本案例中WindowsAD命名林根域为h3c.
com,在h3c.
com下新建一个名为RD的组织单位,并在RD组织中新建两个用户liuming和zhangyu.
2、AC接入设备802.
1X认证关键配置#创建认证方案1x,配置主认证/计费RADIUS服务器的IP地址为192.
168.
127.
96,认证、计费RADIUS服务器的共享密钥为明文字符串zsf_pwd,配置设备发送RADIUS报文使用的源IP地址为192.
168.
127.
33.
radiusscheme1xprimaryauthentication192.
168.
127.
96primaryaccounting192.
168.
127.
96keyauthenticationsimplezsf_pwdkeyaccountingsimplezsf_pwdnas-ip192.
168.
127.
33#创建认证域1x,配置802.
1X用户使用RADIUS方案1x进行认证、授权、计费.
domain1xauthenticationlan-accessradius-scheme1xauthorizationlan-accessradius-scheme1xaccountinglan-accessradius-scheme1x#配置802.
1X的认证方式为EAP.
dot1xauthentication-methodeap#使能radiussession-control.
radiussession-controlenable#创建并配置无线服务模板1x.
wlanservice-template1xssid1xvlan10akmmodedot1xcipher-suiteccmpsecurity-iersnclient-securityauthentication-modedot1xdot1xdomain1xservice-templateenable#将无线服务模板1x绑定到radio1和radio2,并开启射频.
wlanapl2-softwaremodelWA2620i-AGNserial-id210235A1XXXXXX000007radio1radioenableservice-template1xradio2radioenableservice-template1x3、iMC服务器的配置(1)由于采用EAP-PEAP证书认证,所以iMC服务器侧需要配置根证书和服务器证书,如果客户端验证服务器的话,客户端需要安装根证书,否则客户端不需要安装任何证书.
本案例客户端不验证服务器.
用户>接入策略管理>业务参数配置>证书配置,分别导入根证书和服务器证书.
注意:EAP-PEAP认证之前请提前申请和下载证书,本案例不涉及介绍,如有问题可参考《iMCUAM证书使用指导》.
(2)用户>接入策略管理>接入设备管理>接入设备配置,增加接入设备192.
168.
127.
33.
注意:增加的接入设备IP需要和认证设备radiusscheme下的nas-ip一致,共享密钥需要和radiusscheme下的认证、计费radius服务器的密钥一致.
(3)用户>接入策略管理>接入策略管理,增加接入策略1x,首选EAP类型选择EAP-PEAP,子类型选择EAP-MSCHAPV2,其他参数保持缺省即可.
(4)用户>接入策略管理>接入服务管理,增加接入服务1x,服务后缀配置为认证设备上的domain域名1x,缺省接入策略选择1x.
(5)用户>接入策略管理>LDAP业务管理>服务器配置,增加LDAP服务器.
管理员DN为cn=Administrator,cn=Users,dc=h3c,dc=com,管理员密码为Administrator的密码,BaseDN为dc=h3c,dc=com,其他参数可根据实际需求配置.
高级信息中启用MS-CHAPV2认证,虚拟计算机名称本案例命名为hh,虚拟机计算机密码为h3c:(6)在WindowsAD服务器上新建虚拟计算机.
在h3c.
com下右键Computers选择新建计算机,其中计算机名和iMC服务器上的虚拟计算机名称保持一样为hh:(7)给新建的虚拟计算机设置密码.
设置虚拟机计算机密码需要运行一个脚本程序ModiComputerAccoutPass.
vbs,该脚本程序从用户>接入策略管理>LDAP业务管理>参数配置页面点击修改计算机密码脚本的下载链接获取:下载计算机密码脚本程序到本地,使用文本编辑器打开该文件,将CN=testAccount,CN=Computers,DC=CONTOSO,DC=COM替换为虚拟计算机帐号DN,本例中DN为CN=hh,CN=Computers,DC=h3c,DC=com,将iMC123替换为虚拟计算机密码h3c:将修改之后的计算机密码脚本程序拷贝到AD域控服务器,打开命令行窗口,cd进入脚本程序所在路径,执行cscriptModifyComputerAccountPass.
vbs使重置后的虚拟计算机密码生效.
(8)用户>接入策略管理>LDAP业务管理>同步策略配置,增加LDAP同步策略.
同步WindowsAD服务器h3c.
com下组织RD的用户,所以子BaseDN为ou=RD,dc=h3c,dc=com,其他参数本案例保持为缺省选项.
在其他信息配置页面,在接入信息区域,输入密码h3c,当LDAP用户解除与LDAP服务器的绑定关系后作为iMC接入用户使用该密码可以通过认证.
在接入服务区域分配接入服务1x.
(9)LDAP服务器同步策略配置完成后,在同步策略列表中,点击"同步"链接,手动同步LDAP用户.
同步成功之后,在同步策略列表中点击"LDAP用户"链接可以查看同步成功的LDAP用户信息:4、客户端配置(1)iOS客户端使用liuming@1x拨号认证测试无线局域网中连接SSID信号1x,输入用户名liuming@1x和密码,点击加入:点击信任证书:连接成功:在iMC服务器上可以查到到终端的在线信息:(2)Windows7电脑终端使用zhangyu拨号认证测试管理无线网络下手动添加SSID1x的无线网络连接:手动添加无线网络连接后,右键设置属性:网络身份验证方法选择受保护的EAP(PEAP),点击设置,这里不验证服务器证书,所以去勾选"验证服务器证书":身份验证方式选择EAP-MSCHAV2,点击配置,属性去勾选"自动使用Windows登录名和密码(以及域,如果有的话)":设置无线网络连接属性后,连接信号1x,弹出的网络身份验证框中输入用户名zhangyu@1x和密码认证上线:在iMC服务器上可以查看到终端的在线信息:(3)iNode客户端打开iNode客户端,右上角无线图标选择使用iNode管理无线,然后选择无线网络SSID信号1x:点击连接旁边的下拉选项选择属性进行设置:点击802.
1X属性进行设置,认证类型选择PEAP,子类型选择MS-CHAP-V2,不勾选验证服务器证书:输入用户名liuming@1x和密码,点击连接开始认证:连接成功:在iMC服务器上可以查看到终端的在线信息:配置关键点