ACS+802.1x+AAA+AD+CA详细记录.doc

ACS+802.1x+AAA+AD+CA详细记录！目 录实验环境：1实验拓扑：2实验部分：2第一部分：DC的安装与配置过程：31、安装DC，在运行下输入dcpromo，会弹出AD的安装向导：32、安装完DC后，运行管理工具Active Directory用户和计算机，将会出现以下界面53、将另外一台服务器即ACS&CA加入到NAC这个域当中（必要条件），此时需要输入域管理员帐户aaa8第二部分：ACS的安装与配置过程：91、安装部分：92、配置部分123、与AD集成16第1步：Unknown User Policy17第2步：Database Configuration，选择Windows Database。18第3步：Group Mapping，把AD里面的组与ACS里面的组做一个映射，作用是通过AD里面的用户做认证，ACS的组策略做授权。21第三部分：CA的安装与配置过程：241、CA的安装242、ACS申请证书253、ACS上配置证书324、配置PEAP认证33第四部分：Switch的配置：36第五部分：客户端配置38第六部分：测试效果40实验环境：1、 服务器一台运行VMWare 6.0：a) Windows 2003 Server Enterprise Edition做DCb) Windows 2003 Server Enterprise Edition做ACS和CA2、 PC客户端Windows XP (802.1x Client)3、 Switch 3560 POE 一台(c3560-ipbase-mz.122-25.SEB4.bin)4、 Cisco Secure Access Control Server 4.1 (90天测试版)实验拓扑：实验部分：1、 DC的安装与配置2、 ACS的安装与配置3、 CA的安装与配置4、 Switch的配置5、 客户端的配置6、 测试效果第一部分：DC的安装与配置过程：1、安装DC，在运行下输入dcpromo，会弹出AD的安装向导：具体的安装过程，我在微软的安装教程下截的屏：DNS全名中我输入的是NAC.com.所以以后出现的将以代替 我在安装的过程中没有出现IP地址，所以不用理他了。2、安装完DC后，运行管理工具Active Directory用户和计算机，将会出现以下界面在User的界面中，右键新建一个用户aaa：输入用户名和密码：把aaa的隶属关系增加多一个Domain Admins域管理员，并设置主要组。方便以后的实验3、将另外一台服务器即ACS&CA加入到NAC这个域当中（必要条件），此时需要输入域管理员帐户aaaACS的安装与配置过程：感谢ZhaNKO提供的ACS安装过程，省了我很多功夫，呵呵！ACS4.1的安装过程与ACS3.3的过程完全相同。1、安装部分：点击完成安装2、配置部分安装完后会自动运行ACS，在桌面会也会自动生成一个ACS Admin的图标，在下面的描述过程中，着重于后面与AD集成的配置，对于ACS的使用介绍在这里就不多说了，如果需要，可参考ZhaNKO那份详细的ACS使用手册哈哈，写得非常好！安装完后，点击Network Configuration页面，按照拓扑的结构指定交换机（AAA Client）、ACS(AAA Server)，ACS与交换机的共享密码为cisco、然后选择RADIUS(IETF)认证、log Update/Watchdog Packets from this AAA ClientACS的地址、密码cisco、服务类型RADIUS（IETF）在建立完后会提示需要重新启动ACS服务，在System Configuration页面第一个Service Control下方有个Restart服务,重起即可.（以后在配置中会多次提示重起服务，按照此方式重起即可）重起完服务后，最后建立好后如下图显示：3、 与AD集成（本文重点介绍，在这里花了我一天的时间才研究出来，呵呵！）进入External User Databases页面，在这页面下有3个选项：a) Unknown User Policyb) Database Group Mappingsc) Database Configuration第1步：Unknown User Policy这里的作用是当ACS检测到非本地用户的时候，可以去找外部的数据库，所以这也是为什么ACS要加入域的原因，把Windows Database移动到右边然后提交第2步：Database Configuration，选择Windows Database。选择 configure如下图设置：最后提交（submit）。第3步：Group Mapping，把AD里面的组与ACS里面的组做一个映射，作用是通过AD里面的用户做认证，ACS的组策略做授权。选择新建（new configuration）选择NAC这个域后提交选择NAC配置这个域选择add mapping按实际需要把域的成员添加进来，这里我选择的Users、Domain Admins、Domain Users。然后ACS group中选择ACS的对应组（整个实验过程我只用了缺省的组），然后提交！到此为止，ACS已经可以和AD集成起来了。效果如下第三部分：CA的安装与配置过程：1、CA的安装在添加/删除windows组件中选中证书服务，然后下一步开始安装。安装的过程这里就不详细说了，全部选用缺省的配置，有提示筐出来就选择是就可以了。安装完成后，在管理工具中打开证书颁发机构。2、ACS申请证书在ACS服务器的IE浏览器中输入72/certsrv进入证书申请页面，这里因为我把ACS和CA装在同一台服务器，所以看起来就像自己给自己颁发证书了呵呵。然后选择申请一个证书：选择高级证书申请：选择创建并向此CA提交一个申请：然后选择Web服务器的证书模板，在这里我遇到一个问题请哪位高手知道麻烦告诉下我。这个页面中按理说应该是选择服务器证书的，但是我这里不知道为什么不会出现，不懂。使用服务器证书的话，证书服务器上需要执行挂起的证书颁发，这么一个过程，但是我这里选用Web服务器后，这个证书就可以直接使用了，证书服务器上什么都不用设置，比较郁闷！因为我对CA不熟，所以哪位高人知道其中的原因麻烦告诉下我哈哈！然后的信息就随便填了密钥选项中需要注意的地方是需要把“将证书保存在本地计算机储存中”这个选项勾上！提交，选择是点安装此证书选择是证书安装成功这时在证书服务器颁发的证书页面中可以看到刚刚ACS申请的证书3、ACS上配置证书回到ACS上，在System Configuration页面中选择ACS Certificate Setup然后选择Install ACS Certificate选择Use certificate from storage，然后输入刚刚申请的证书名TSGNET（这里填写了第一次申请安装的证书，提交后提示找不到证书，然后在申请安装一次，再操作一遍就可以了，我也很郁闷，不知道什么原因）最后提交，可以看到已经成功安装的证书及状态。这里需要重起ACS服务使其生效4、配置PEAP认证在System Configuration中选择Global Authentication Setup在PEAP中选择Allow EAP-MSCHAPv2，其他都不选最下面的MS-CHAP Configuration中选择Allow MS-CHAP Version 2 Authentication第四部分：Switch的配置：enable secret 5 $1$yUpo$/O8vCSe57oTveItVZEQqW0!username cisco password 0 cisco创建本地用户名数据库aaa new-model启用AAAaaa authentication login default group radius local登陆时使用radius认证，radius失效时使用本地数据库aaa authentication dot1x default group radius使用802.1x，通过radius认证aaa authorization network default group radius 用户的权限通过Radius进行授权!ip routing为后面两个网络开启VLAN间路由!dot1x system-auth-control开启dot1x系统认证控制!interface FastEthernet0/4 F0/4为普通端口 switchport access vlan 10 switchport mode access!interface FastEthernet0/5 F0/5为802.1x认证端口 switchport access vlan 20认证后的正常VLAN switchport mode access dot1x port-control auto 端口控制模式为自动 dot1x guest-vlan 10认证失败或者无802.1x客户端时，会分配到的VLAN!interface FastEthernet0/24连接ACS服务器端口 switchport mode access!interface Vlan1交换机管理IP ip address 00 ip helper-address 72!interface Vlan10 Guest_Vlan管理IP ip address 53 ip helper-address 72 DHCP中继，指向DHCP服务器地址! interface Vlan20 ip address 53 Normal_Vlan管理IP ip helper-address 72!radius-server host 72 auth-port 1645 acct-port 1646 key cisco指定ACS服务器地址和交换机的协商时用的密码，使用Radius协议radius-server source-ports 1645-1646系统自动生成!配置完后，这时候再进去交换机的时候，就可以通过域用户aaa去登陆交换机了，AAA实现起来很简单，这里就不再详细描述。第五部分：客户端配置打开本地连接，右键属性，验证，把启用此网络的IEEE 802.1x验证勾上，然后EAP类型：受保护的EAP（PEAP）如果client已加入了域，可把自动使用Windows登陆名和密码勾上，实现单点登陆如果没有没有加入到域，上面的勾必须得去掉，不然不会出现用户名和密码的验证提示框2、启用802.1x客户端情况选择PEAP验证以后，这时会在桌面右下脚弹出一个提示，要求输入点击这个提示，输入之前域里面定义好的用户aaa,密码aaa和登录域XIAOZHU.COM输入完后会通过ACS把用户名密码发到DC上去验证，这时可以在交换机上debug radiux看到认证过程的信息。最后验证成功以后，会分配到Normal_Vlan的地址这时候去ACS上面的Report