其实还是基于802.1x cisco 有两款专门这样的产品 有钱的单位可以直接购买 没钱的还是基于802.1x ba
主要是AD+802.1
2. 设备配置:
A.Cisco Catalyst 3750-24TS交换机,Version 12.1(19)EA1d
B.一台Windows 2003 Server SP1服务器做为AD Server
C.一台Windows 2000 Server SP4服务器做为ACS Server和CA Server
D.一台Windows 2003 Server SP1工作站做为终端接入设备
E.Cisco Secure ACS for Windows version 3.3.1
二. AD及CA安装:
AD&CA安装(在此不做介绍),装CA的SERVER要在登入AD后再安装CA服务.
三. AD配置:
1. 创建OU.
2. 在OU下建GROUP,比如:NETGroup,SYSGroup等
3. 再创建User,把对应的User加入到各自的Group中,便于管理,在ACS中也需要,在ACS配置中再介绍.
四. ACS的安装与配置.
1. ACS的安装:
A. 安装ACS的SERVER必须登入到AD中.
B. ACS软件安装很简单,下一步下一步,到完成.
C. 还需安装Java的插件.
2. ACS的配置:
A. 在ACS服务器上申请证书:在ACS服务器浏览器上键[url]http://192.168.68.19/certsrv[/url]进入证书WEB申请页面,登录用户采用域管理用户账号.选择“Request a certificate→Advanced request→Submit a certificate request to this CA using a form”,
接下来Certificate Template处选择“Web Server”,Name:处填入“TSGNET”,KeyOptions:下的Key Size:填入“1024”,同时勾选“Mark keys as exportable”及“Use localmachine store”两个选项,然后submit.出现安全警告时均选择“Yes”,进行到最后会有CertificateInstalled的提示信息,安装即 可.
B. 进行ACS证书的配置:进入ACS的配置接口选择System Configuration→ACS Certificate Setup→Install ACS Certificate进入如下图片,填写申请的“TSGNET” 证书,再Submit.
按提示重启ACS服务,出现如下图片即OK:
C. 配置ACS所信任的CA:
选择System Configuration→ACS Certificate Setup→Install ACS Certificate→Edit Certificate Trust List”,选择AD Server上的根证书做为信任证书,如下图所示:
D. 重启ACS服务并进行PEAP设置:
选择“System Configuration→Global Authentication Setup”,勾选“AllowEAP-MSCHAPv2”及“Allow EAP-GTC”选项,同时勾选“Allow MS-CHAP Version 1Authentication”&“Allow MS-CHAP Version 2 Authentication”选项,如下图所示:
E. 配置AAA Client:
选择“Network Configuration→Add Entry”,在“AAAClient”处输入交换机的主机名,“AAA Client IPAddress”处输入C3750的管理IP地址,在“Key”处输入RADIUS认证密钥tsgacs,“AuthenticateUsing”处 选择“RADIUS(IETF)”,再Submit+Restart,如下图所示:
F. 配置外部用户数据库:
选择“External User Databases→Database Configuration→WindowsDatabase→Create New Configuration”,建一个Database的名称PCEBGIT.COM,Submit,如下图:
不粘了 太长呵呵
[url]http://bbs.cnw.com.cn/redirect.php?fid=64&tid=66116&goto=nextoldset[/url]
本文转自 song8575 51CTO博客,原文链接:http://blog.51cto.com/song8575/124944