基于无线场景的企业认证802.1x域控环境方案(2)认证篇
基于无线场景的企业认证802.1x域控环境方案(2)认证篇
域控环境案例
域集成环境是在企业原有域控的架构上面,我们搭建NPS、CA服务,这个时候的认证信息数据都直接通过域控里面的信息进行交互,而不存在NPS上面了。说下实际的环境,注意这里用的全是真机环境,可能大家注意到了这个环境里面没有AC,是的,博主这边暂时没有AC的真机在,本来可以用AR充当AC的,但是发现配置方式跟AC有点区别,所以把手里的3030DN刷成胖了,胖版本跟AC的配置思路流程以及方式都一模一样,所以这里就用了这样一个环境,这里再次说下跟AC+AP瘦环境是一模一样的。(并且模拟器不支持这个实验),环境很简单,爱快路由器LAN口地址192.168.1.5,然后POE做傻瓜POE交换机,接了一台AP(192.168.1.254)以及认证服务器(NPS/CA是192.168.1.252 域控是251)
1、定义认证模板
[Huawei]dot1x-access-profile name dot1x
用的FAT里面最新的版本
2、定义Radius服务器
[Huawei]radius-server template dot1x
[Huawei-radius-dot1x]radius-server authentication 192.168.1.252 1812
[Huawei-radius-dot1x]undo radius-server user-name domain-included
[Huawei-radius-dot1x]radius-server shared-key cipher ccieh3c.com3、服务器端配置
这里服务器定义是有两个,一个NPS/CA服务器,一个域控服务器,之前我们已经把NPS/CA加入域了,也安装了服务,首先我们来配置NPS服务。
首先是加入了域的,但是这里要注意一个事情,比如我们用的xxx用户加入域跟登陆的,那么这个账户需要加入一个组,加入RSA and IAS Servers。这边用的是Administrator登陆
的,所以需要在域控上面把这个用户加入这个组。
记得,这是在域控操作,这样的话,NPS服务器才有权限跟域控进行交互。然后我们回到NPS服务器继续操作。
在AD中注册服务器
注册后,这样NPS加上登陆的帐号就有读取用户的属性权限了。
ISA组里面多了一个计算机的,就是刚刚我们注册的时候自动加入的。
在域控里面新建立一个组
新建立一个用户
输入密码, 然后下一步完成。可以看到登录名是有后缀的。
我们把这个组加入到dot1x去,这样可以通过组来调用。
打开NPS,用向导创建
添加客户端
这里注意要选择PEAP,默认是智能卡或其他证书,也就是TLS
这里调用dot1x组
默认下一步
完成
我们把网络策略最后一条改下,用于测试,至于为什么在第二十篇里面讲解的很详细,可以回顾下。
首先授予权限,并且忽略用户属性,然后约束里面选择PAP与CHAP认证。
都配置完了,我们首先又是测试连通性,这个步骤非常重要,成功了表示已经成功了50%以上。
先ping测试,基本通信要OK
这里出现了第一个问题,超时了,超时一般三个问题
1、抵达不了服务器,服务器没收到,这里我们ping了服务器连通性没问题,
2、服务器指定客户端的地址出错了,所以没办法回包。
3、服务器个人防火墙阻止了
第一点,我们测试了连通性可达的,我们来看下第二点
客户端地址指定的是1.250
而我们实际是1.254,所以会超时,修改下。
还是超时,那就得检查下第三点了。
在控制面板里面,发现域网络的防火墙是开启的。
关闭后。
成功了。
4、定义认证方式
[Huawei]aaa
[Huawei-aaa]authentication-scheme dot1x
[Huawei-aaa-authen-dot1x]authentication-mod radius5、定义认证模板
[Huawei]authentication-profile name dot1x
[Huawei-authentication-profile-dot1x]radius-server dot1x
[Huawei-authentication-profile-dot1x]authentication-scheme dot1x
[Huawei-authentication-profile-dot1x]dot1x-access-profile dot1x6、无线业务配置
[Huawei]wlan
[Huawei-wlan-view]ssid-profile name dot1x
[Huawei-wlan-ssid-prof-dot1x]ssid dot1x
[Huawei-wlan-view]security-profile name dot1x
[Huawei-wlan-sec-prof-dot1x]security wpa2 dot1x aes
[Huawei-wlan-view]vap-profile name dot1x
[Huawei-wlan-vap-prof-dot1x]ssid-profile dot1x
[Huawei-wlan-vap-prof-dot1x]security-profile dot1x
[Huawei-wlan-vap-prof-dot1x]authentication-profile dot1x到这里,AP跟AC的配置都是一样的通用,就最后调用的时候不太一样,AC是调用在AP组,而AP就调用在射频口
[Huawei]interface Wlan-Radio 0/0/0
[Huawei-Wlan-Radio0/0/0]vap-profile dot1x wlan 2
[Huawei]interface Wlan-Radio 0/0/1
[Huawei-Wlan-Radio0/0/1]vap-profile dot1x wlan 2Windows7测试验证
跟独立一样,Windows自动搜索的不行,必须手动添加
点击更改设置
设置
这个沟去掉
高级设置
输入用户名信息
这是因为我们服务器的证书是自己的,并且不是买的公有的,所以会提示不信任,这里可以点击连接即可,如果不想这个提示出来,可以把验证码服务器证书给关了。
这个时候就连上了,这个就是WINDOWS客户端的一些问题。
Windows10 测试验证
点击确定
连接即可。
可以连上了,并没有任何问题,可以发现Windows10还是优化了很多的。
手机客户端 测试验证
手机的话 不同的系统有点不太一样,博主荣耀30的需要手动选择阶段2的身份证验证以及CA证书,然后输入身份跟密码
输入身份密码即可(身份就是用户名)
这个时候就连上了。而小米的系统则人性化一些,直接输入帐号密码就行,不需要用户来选择PEAP跟CA证书。
排错与维护命令
display aaa online-fail-record all:查看AAA认证失败的原因
display station online-fail-record all:查看客户端上线失败的原因
display access-user detail :查看用户的详细情况
display dot1x:查看dot1x的认证情况
display authentication-profile configuration name dot1x:查看认证模板的参数
可以看到我们调用的一些参数,以及绑定在了哪个VAP模板里面。
排错日志维护
关于域集成环境的话,查看日志还是在NPS的安全日志里面,所有的认证信息都是由他来审核,所以排错还是在这。另外这里说下,域控集成环境,只是
用户信息存在了域控上面,我们NPS就起到一个查询数据以及策略的作用,而独立环境则是用户信息策略都在NPS上面。
总结
在整个流程中最容易出现的问题就在于radius客户端(AC)与服务器之间的交互了,这里总结几个容易忽略的地方。
1、当AC与服务器都搭建完成后,先ping测试下到服务器的连通性,基本通信都不行,后面就没法进行(服务器注意防火墙关闭了)
2、AC或者FAT AP指定服务器模板,主要是认证服务器地址、端口号、秘钥以及是否包含域信息。
3、服务器可以通过向导模式创建基于无线的802.1x环境,但是test-aaa是基于有线的环境,默认匹配有线的策略是拒绝的,我们需要开启,并且应许CHAP与PAP协议,这样就可以test-aaa成功。
4、域控环境下NPS负责策略应用,然后查询域控里面的用户信息,给予用户审核结果,在刚开始的时候一定要注册到AD域中,否则会出现查询不了的情况
5、遇到test-aaa超时的情况,一定要通过几个要素来判断(1)是否能ping通 (2)客户端与服务器是否指向正确 (3)服务器的域控防火墙是否关闭
6、在遇到客户端接入不成功的情况下,我们要利用查看命令 display aaa online-fail-record all display station online-fail-record all 包括Windows服务器的日志都能给出提示出现在哪个环节。
7、用户名密码创建的时候一定要细心,否则会认证失败,找到用户信息。(Windows日志主要安全里面---任务类别是Network policy server这个)
8、关于服务器证书,这里是CA与NPS装在一起,默认已经生成了一个服务器的证书,而且有效期是10年。
9、可以通过查看dot1x以及认证模板的参数来看调用的是否正确。
10、关于不同客户端的参数不太一样,需要细微的调整,这个根据实际情况来查看。
腾讯云开发者
