+ACS(本地或AD域)
本地验证方法:
安装ACS4.0(win2003+sp2也可)
一个本地帐号
只输入CiscoSecure PAP的密码即可。
系统配置-----产生一个自签名证书
第一行输入以下,当然值是可以自己随便写的:
CN=guestofdcfs,O=dcfs,C=cn,
证书文件位置:c:\2.cer(位置随便放,名字随便起)
私有KEY文件位置:c:\2.pvk
填入私有KEY密码
其他不变
勾选安装产生的证书。
网络配置--- 增加一个AAA客户端
AAA client hostname 填入随便一个名称
IP地址填写无线设备的地址,LINKSYS的是192.168.1.1
KEY 输入一个自定义的密码
验证使用:选Radius(IETF)
其他不选,提交+应用。
系统配置---全局验证设置--
选择:
PEAP下的容许MSCHAPV2,容许EAP-GTC
EAP-MD5也容许
MS-CHAP 配置里的2个项目都容许。
--------提交+重启
检查AAA SERVER配置是正确,这里一般自动的。
本地+域帐号验证方法:(当帐号在本地不存在时,自动到域上认证)
前提:ACS机器先加入到域中
1.按照本地验证方法执行所有工作(除了配置本地帐号)
2.点 外部用户数据库--未知用户策略
将左边的外部用户数据库里的windows database选到右边,其他不变。
3.点 外部用户数据库--数据库配置
点配置,进入后,将可用的DOMAINS中的域选择到右边
MS-CHAP设置里勾选全部,WINDOWS EAP设置里勾选启用password change inside PEAP or EAP-FAST
机器验证 选择第一,第二项,其他不变。
提交
-------------------下面是为了让ACS本地帐号与域帐号映射对应以实现AD验证,ACS授权工作。如只作验证,无需以下工作 -------
4. 点 外部用户数据库--Database Group Mappings
进去后 点 Windows Database 进去
然后点 新配置 按钮
在检测到的域中 选择需要的域名 提交
在新出的画面中点 出现的域名 然后
在新出页面 点 增加映射 按钮 然后
在新出页面 NT GROUPS中选帐号存在的组,增加到下面框中。
然后选择要对应的ACS组号即可。
--------------------------------------------------------------------------------------------------------------
无线设备上的设置:
如果你愿意,你可以启用WPA方式,不过有些无线网卡不支持这玩意。
我的测试设备是linksys 无线安全里 选择 radius (效果就是,要访无线需先输入用户名和密码),填入服务器IP地址,填写和服务器通信的KEY值(和ACS上到时候设置的一致即可),然后自己设置一个 WEP密码。
无线网卡上的设置:
找到对应的无线名称,点属性,点验证卡片
启用802.1X, EAP类型选 受保护的EAP 然后点属性
取消验证服务器选项
验证方法选 MSCHAPV2
(如果客户段机器已经加域,则可以看看验证方法旁边的配置按钮)
阅读(1887) | 评论(0) | 转发(0) |
