版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、Outline,Introduction System Environment Setting Internet Authentication Service Active Directory Switch Problems old-model需要很多手動配置*/ username xxx password xxx /*為避免因啟動AAA機制而需要帳號密碼,在此輸入以確保不被密碼擋在外*/ aaa authentication dot1x default group radius none /*定義802.1x認證方式,所有RADIUS Server皆使用802.1x認證,若找不到radius
2、認證則不認證 dot1x default即設定IEEE 802.1x預設之驗證清單;group radius為使用Radius host名單, none 即no authentication*/ aaa authorization network default group radius /*設定per-user ACLs定義user的網路存取權限,若要實行VLAN Assignment,必須執行network authorization*/ radius-server host 00 key foxnet802 radius-server host 00
3、key foxnet802 /*定義RADIUS Server和其共用密碼,提供了加密驗證所使用之金鑰*/ radius-server vsa send authentication /*因執行VLAN Assignment所需執行的Vendor-specific attributes值,允許switch識別與使用這些vsa設定值*/ dot1x system-auth-control /*當該port之狀態由down轉為up或未通過認證,即啟用802.1x*/,Switch Configuration,For each interface,switchport mode access aut
4、hentication event fail action authorize vlan 362 authentication event no-response action authorize vlan 362 /*當認證失敗或server沒有回應時,將該port分配至具有限制的VLAN 362*/ authentication order mab /*將MAC Auth Bypass (MAB)設為第一個認證方式, 除了dot1x和MAB外,尚有webauth*/ authentication port-control auto /* 該port須完成802.1x認證程序後,才可傳輸資料
5、 1. Auto:啟動802.1x且預測port狀態為未授權,需透過EAPOL或是MAB進行認證程序 2. force-authorized:關閉802.1x,強制每個port皆為已授權的狀態傳輸資料 3. force-unauthorized:強制每個port停留在未授權狀態並忽略認證要求,不提供認證機制 */ mab /*啟用MAC Authentication Bypass*/ spanning-tree portfast /*簡化建Tree之時間,不再使用STP演算法,縮短port啟用時間*/,Authentication events fail 認證失敗時可設定re-auth或是引導
6、至特定VLAN no-response 當authentication server逾時未有回應時,設定該 port分配至特定VLAN server 當server無法連線時(Inaccessible authentication), 對所有clients重啟認證機制或直接分配至critical VLAN;或當server狀況排除後,重啟認證機制,Switch Configuration,802.1x host modes For clients who use VMware authentication host-mode multi-auth,/*允許單一port通過多個認證通過之MAC
7、Address*/ /*使用此模式需指定存取之vlan*/,Problems & Solutions,Invalid users 使用了不明的使用者名稱或不正確的密碼,因此驗證並未成功 判斷原則 Invalid.MAC.Address 654,Problems & Solutions,Error disable 過度頻繁地切換MAC Address會致使switch判斷為security-violation,進而以err-disable關閉該連接埠 請使用者等候約30秒的時候使系統自行恢復,或由管理者於該interface下指令shutdown, n
8、o shutdown,重啟驗證機制 若狀況未排除,則該連接埠會再次被判斷為err-disable,errdisable recovery cause security-violation errdisable recovery interval 30,/*啟動因security violation所導致之error disable的回復機制 設定回復時間為30秒 */,References,802.1x concept http:/ http:/cwc.hk/index.php?op=ViewArticle&articleId=11&blogId=1 Software Internet Aut
9、hentication Service (IAS) http:/ Active Directory http:/ DNS Server,Thanks for your attention!,Internet Authentication Service,安裝IAS 控制台新增/移除Windows元件,Internet Authentication Service,安裝IAS 點擊Networking Services,Internet Authentication Service,安裝IAS Networking Services網際網路驗證服務(IAS),Internet Authentic
10、ation Service,安裝IAS,Internet Authentication Service,IAS設定同步 於命令提示字元下輸入netsh aaaa show config path|file.txt EX: netsh aaaa show config c:IASconfig.txt 在目的電腦之命令提示字元下輸入netsh exec path|file.txt EX: netsh exec c:IASconfig.txt,Internet Authentication Service,安裝完成,設定IAS相關參數,Active Directory,安裝Active Direct
11、ory,Active Directory,執行安裝程序,自動偵測系統環境是否符合,Active Directory,選擇網域控制站(Active Directory),Active Directory,依據AD所支援之服務不同,選擇相對應之角色 選擇”第一台伺服器的一般設定”,將電腦定位為Domain controller,系統亦自動安裝DNS相關設定,Active Directory,填入該AD網域名稱 DNS請Jack協助設定相關系統,Active Directory,Active Directory,Active Directory,Active Directory,Active Dir
12、ectory,Active Directory,Active Directory,Active Directory,Active Directory,安裝備援Server之Active Directory,於伺服器精靈的設定選項自訂設定網域控制站 網路控制站類型設定為現存網域中的網域控制站 因IAS已經命名DNS網域為,備援server必須加入TWN網域以進行資料同步,Active Directory,Active Directory,加入TWN網域,需先輸入IAS管理者之帳號和密碼,Active Directory,輸入TWN網域名稱,Active Directory,Active Directory,Active Directory,可於其他AD上查看是否有新增成功,透過增加刪除資料確保AD同步,Active Directory,RAS and IAS Servers群組中加入IAS3,Lesson Learned,AD安裝前不需啟動DNS;若已安裝則建議先移除 AD安裝過程會檢查DNS設定,若未安裝則自行啟動,將避免繁複的手動更改 Domain controller的電腦名稱需於AD安裝
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论