ACS 与AD 结合认证配置方法

 

ACS 与AD 结合认证配置方法，在我网络上找的，先收藏下来。
一. 测试架构及设备配置:
1. 架构图:
2. 设备配置:
A.Cisco Catalyst 3750-24TS 交换机,Version 12.1(19)EA1d
B.一台Windows 2003 Server SP1 服务器做为AD Server
C.一台Windows 2000 Server SP4 服务器做为ACS Server 和CA Server
D.一台Windows 2003 Server SP1 工作站做为终端接入设备
E.Cisco Secure ACS for Windows version 3.3.1
二. AD 及CA 安装:
AD&CA 安装(在此不做介绍),装CA 的SERVER 要在登入AD 后再安装CA
服务.
三. AD 配置:
1. 创建OU.
2. 在OU 下建GROUP, 比如:NETGroup,SYSGroup 等
3. 再创建User, 把对应的User 加入到各自的Group 中,便于管理,在ACS 中
也需要,在ACS 配置中再介绍.

四. ACS 的安装与配置.
1. ACS 的安装:
A. 安装ACS 的SERVER 必须登入到AD 中.
B. ACS 软件安装很简单,下一步下一步,到完成.
C. 还需安装Java 的插件.
2. ACS 的配置:
A. 在ACS 服务器上申请证书: 在ACS 服务器浏览器上键
http://192.168.68.19/certs... 进入证书WEB 申请页面，登录用户采用
域管理用户账号. 选择“Request a certificate →Advanced request →
Submit a certificate request to this CA using a form”,
接下来Certificate Template 处选择“Web Server”,Name: 处填入
“TSGNET”,Key Options: 下的Key Size: 填入“1024”, 同时勾选
“Mark keys as exportable”及“Use local machine store”两个选项, 然后
submit. 出现安全警告时均选择“Yes”, 进行到最后会有
Certificate Installed 的提示信息,安装即可.
B. 进行ACS 证书的配置: 进入ACS 的配置接口选择System
Configuration→ACS Certificate Setup→Install ACS Certificate 进入如
下图片,填写申请的“TSGNET” 证书,再Submit.
 
按提示重.ACS 服务,出现如下图片即OK:
C. 配置ACS 所信任的CA:
选择System Configuration → ACS Certificate Setup → Install ACS
Certificate→Edit Certificate Trust List”,选择AD Server 上的根证书做为
信任证书,如下图所示:
 
D. 重启ACS 服务并进行PEAP 设置:
选择“System Configuration → Global Authentication Setup”, 勾选
“Allow EAP-MSCHAPv2”及“Allow EAP-GTC” 选项, 同时勾选
“Allow MS-CHAP Version 1 Authentication”&“Allow MS-CHAP Versi
on 2 Authentication”选项,如下图所示:
 
E. 配置AAA Client:
选择“Network Configuration→ Add Entry”, 在“AAA Client”处输入交
换机的主机名，“AAA Client IP Address”处输入C3750 的管理IP 位
址,在“Key”处输入RADIUS 认证密钥tsgacs,“Authenticate Using”处
选择“RADIUS(IETF)”,再Submit+Restart, 如下图所示:
 
F. 配置外部用户数据库:
选择“External User Databases→Database Configuration→
Windows Database→Create New Configuration”,建一个Database 的名
称PCEBGIT.COM,Submit, 如下图:
再选择“External User Databases→Database Configuration→
Windows Database→Configure”,在Configure Domain List 处将
ACS Server 所在的域名称移动到“Domain List”中.要注意一点
ACS Server 应加入到域中.如下图所示:
 
同时“Windows EAP Settings”的“Machine Authentication”下勾选
“Enable PEAP machine authentication”和“Enable
EAP-TLS machine authentication.EAP-TLS and PEAP machine
anthentication name prefix.” 选项,其中默认的“host/”不用改动,如下图所
示:
再选择“External User Databases→Unknown User Policy→
Check the following external user databases”,将“External Databases”移动
到右边的Selected Databases 窗口中,完成后再重启服务,如下图所示:

G. 配置ACS Group Mapping:
由于使用AD 的用户名作为认证,用ACS 作为用户访问的授权,因此须将
此ACS 中的Group 与AD 的Group 映射.
External User Database→Database Group Mappings→PCEBGIT.COM→
New Configure”,在Detected Domains 中选择PCEBGIT, 如下图:
再Submit, 确定后出现另一画面,选择PCEBGIT, 如下图所示:
 
选择PCEBGIT→Add Mapping, 如下图,把NT Groups 中的Group 添加到
Selected 中,以DBAGroup 为例,这里的DBAGroup 就是PCEBGIT 域中
的DBAGroup, 添加后,再在CiscoSecure group 中选择ACS 的
GROUP(ACS 中的GROUP 默认名称是Group 1…,这个名称可以更改,
为便于管理给他改名为DBA), 再Submit 即可.

H. 配置Group 的授权:
通过ACS 的Group 来配置用户访问的权限,比如访问网络中哪一个
VLAN 及什么时间可以访问网络等.现以不同的用户访问不同的VLAN
为例.首先要在Interface Configuration→RADIUS (IETF) 下勾选
Tunnel-Type; Tunnel-Medium-Type; Tunnel-Private-Group-ID. 如下图所
示:
 
再选择Group Setup→Group:DBA→Edit Settings, 勾选Tunnel-Type;
Tunnel-Medium-Type; Tunnel-Private-Group-ID. 其中Tunnel-Type 设为
VLAN; Tunnel-Medium-Type 设为802; Tunnel-Private-Group-ID 设此
Group 用户所要访问的VLAN 号,现以68 为例.如下图所示:
点Submit+Restart 即可.到此ACS 的配置就完成了!

五. AAA Client 的配置(以架构图上3750 为例介绍):
1. 配置一个交换机本地的用户名/口令,用于交换机本地认证,同时可以让交换
机在ACS 认证失败后能登入.
TSG_LAB_02#conf t
TSG_LAB_02(config)# username cisco password *****
2. 配置ACS 认证:
TSG_LAB_02 (config)#aaa new-model
TSG_LAB_02 (config)# aaa authentication login default local
TSG_LAB_02 (config)# aaa authentication dot1x default group radius
3. 配置ACS 授权:
TSG_LAB_02 (config)# aaa authorization network default group radius
4. 指定ACS Server 地址和key, 他是和ACS 服务器交换的密钥.
TSG_LAB_02 (config)# radius-server host 192.168.68.19 key tsgacs
5. 应用到VTY 上(下面是VTY 采用本地认证):
TSG_LAB_02 (config)# line vty 0 4
TSG_LAB_02 (config-line)#password ******
TSG_LAB_02 (config-line)#login authentication local
6. 802.1X 配置:
TSG_LAB_02 (config)# dot1x system-auth-control
TSG_LAB_02 (config)# interface FastEthernet1/0/24
TSG_LAB_02 (config-if) # switchport mode access
TSG_LAB_02 (config-if) # dot1x port-control auto
六. 配置接入设备PC( 在OA 装机时完成的动作):
1. 将终端设备加入域.
2. 在终端设备上手动安装根证书
登录域后在浏览器上键入http://192.168.68.19/certs... 进入证书WEB 申请
页面,登录用户采用域管理用户账号.选择
“Retrieve the CA certificate or certificate revocation list→
Download CA certificate→Install Certificate→
Automatically select the certificate store based on the type of the certificate”,
按下一步结束证书安装.

3. 进行PC 上的802.1x 认证设置:
在网卡的连接属性中选择“验证→为此网络启用IEEE 802.1x 验
证”,EAP 类型选为“受保护的(PEAP)”,勾选“当计算机信息可用时验证为电
脑”,然后再点“内容”,在EAP 属性窗口中选择“确认服务器认证”,同时在
“在受信任的目录授权认证单位”窗口中选择对应的ROOT CA, 这里为
ACSTEST, 认证方法选成“EAP-MSCHAP v2”.再点“设定”按钮勾选选项即
可,如下图所示:
备注:
对于WINXP 和WIN2003 OS 它自带802.1X 认证.如果是WIN2000 OS 须要在“开
始” →“设定” →“控制台” →“系统管理工具” →“服务”中把Wireless
Configuration 服务打开,此服务默认状态下启动类型是“手动”,把它改为“自动” 即
可.这样的话在网卡内容中才会有“验证”选项!