ACS与windows域联动认证1.docVIP

CISCO ACS与AD结合的Radius的认证环境及需求： * Cisco Catalyst 3750-24TS交换机,Version 12.1(19)EA1d * 一台Windows 2003 Server SP1服务器做为AD Server * 一台Windows 2003 Server SP1服务器做为ACS Server * 一台Windows XP SP2工作站做为终端接入设备 * Cisco Secure ACS for Windows version 4.0 注:传统802.1x认证采用MD5-Challenge认证，用户在接入网络时需输入用户名和口令，安全性也相对薄弱。PEAP和EAP-TLS都是利用了TLS/SSL隧道，PEAP只使用了服务器端的认证，只是服务器端拥有证书并向用户提供证明，而EAP-TLS使用了双向认证，ACS服务器和客户端均拥有证书并进行相互间的身份证明。 ACS的安装与配置.1.?? ACS的安装:??? A.?先以AD Admin的身份登陆AD B.安装ACS,安装很简单,只要根据向导点击下一步即可. C.安装Java的插件. 在network configuration 中添加AAA Clients ，配置其地址和KEY，注意将authenticate using改为radius(IETF)。 B．然后添加AAA Sservers 配置RADIUS地址和KEY（此KEY必须与配置交换机KEY一样）。 C．创建证书并导入ACS，system configuration 》ACS certificate setup 》generated self-signed certificate 证书格式为如下：密码随便写，注意勾选最下面的Install generated certificate。 记得要在ACS certification authority setup 中导入证书。 D．重启ACS服务并进行PEAP设置:选择“System Configuration→Global Authentication Setup”,勾选“Allow EAP-MSCHAPv2”及“Allow EAP-GTC”选项 同时勾选“Allow MS-CHAP Version 1 Authentication”“Allow MS-CHAP Version 2 Authentication”选 E．选择“External User Databases → Unknown User PolicyCheck the following external user databases ,将“ Databases”移动到右边的Selected Databases窗口中,完成后再重启服务 F．配置External User Database → database configuration → windows Database →Configure 保证ACS Server所在机器应已加入到域中，同时“Dialin Permission”中的默认勾选项应去掉，如不去掉的话，域管理用户和终端用户均需设置Dial-in访问权限 点击database configuration 进入下图。 点击windows Database，进入下图。 点击Configure，进入下图。 将Dialin Permission”中的默认勾选项应去掉由于使用Windows Active directory的用户名作为认证，因此配置此用户的授权由ACS的组完成，然后将此group与Windows Active directory的组映射。domain list中，然后点击Submit 。 同时“Windows EAP Settings”的“Machine Authentication”下勾选“Enable PEAP machine authentication”和“Enable EAP-TLS machine authentication.EAP-TLS and PEAP machine anthentication name prefix.” 选项,其中默认的“host/”不用改动 G．配置ACS Group Mapping: 由于使用AD的用户名作为认证,用ACS作为用户访问的授权,因此须将此ACS 中的Group与AD的Group映射External User Database → Database Group Mappings → windows database → New Configure ,新建一个域名组，其中选择再Submit,确定后出现另一画面 点击windows database后，进入下图。 点击submit