- 1、本文档共23页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
[H3CEAD与域统一实施方案详细步骤图文并茂】
H3C EAD与域统一实施方案详细步骤【图文并茂】
客户需求:EAD如何与域统一
解决方案:采用IMC的域统一认证方案即可
方案实施原理:
1、 同步域用户与802.1x接入用户的身份信息(用户名、密码),IMC系统使用LDAP组件实现IMC用户和windows域用户信息的同步。
2、 同步域登录与802.1x认证流程,IMC系统通过H3C自主开发的802.1x客户端实现认证流程的同步。
统一认证的基本流程如下图所示:
1)802.1x接入认证阶段
a、装有H3C 802.1x 客户端的用户终端开机后进入普通的域登录界面
b、用户按一般的域登录流程输入用户名、密码和域名,点击登录按钮
c、H3C 802.1x 客户端截获Windows域登录请求,使用域登录使用的用户名、密码同步发起802.1x认证
d、802.1x认证请求通过交换机转发到IMC服务器(AAA服务器),进行身份认证
2)认证转发阶段
a、IMC将用户认证请求通过LDAP接口转发到域控制器,进行用户名、密码验证。
b、通过域控制器的身份认证后,由IMC向用户终端授权网络访问权限
3)域认证阶段
a、认证通过并获得网络访问权限的用户终端通过H3C 802.1x 客户端的控制,继续进行域登录认证
b、Windows操作系统继续完成普通的域登录流程,获取应用资源访问权限
通过以上的统一认证流程,用户只需按照正常的域登录操作,即可同时完成802.1x接入认证和Windows域登录认证,达到了统一认证和单点登录的目的。
具体实施步骤:
前提条件iMC、AD、NAS、User均路由可达。举例配置如下:
1、交换机配置
1)配置Radius服务器
[H3C]radius scheme test
[H3C -radius-h3c]server-type extended
[H3C -radius-h3c]primary authentication 2 1812[地址要改]
[H3C -radius-h3c]primary accounting 2 1813 [地址要改]
[H3C -radius-h3c]key authentication h3c [Test]
[H3C -radius-h3c]key accounting h3c[Test]
[H3C -radius-h3c]user-name-format without-domain
2)配置认证域
[H3C]domain h3c 此处域名必须与AD中的域名一致。
[H3C]authentication lan-access radius-scheme test
[H3C] authorization lan-access radius-scheme test
[H3C] accounting lan-access radius-scheme test
3)启动802.1X认证
[H3C] dot1x //全局启动802.1x
[H3C]interface Ethernet x/x/x //准备对接口启用802.1x认证
注:这里只是列出了802.1X的所有必须的配置,还有一些高级选项可以自行配置,如version check、accounting on等。
2、安装AD
Windows 2000 server和windows server 2003都带有Active Directory,这里已windows server 2003为例说明AD的安装过程。
1).首先为服务器配置正确的IP地址并连接网络。
2).选择“开始-所有程序-管理工具-配置您的服务器向导”
3).在欢迎界面点击“下一步”
4).直接点击“下一步”
5).会出现如下进度框
6).选中“第一台服务器的典型配置”,点击下一步
7).在Active Directory域名一栏输入AD的域名,例如:“”,然后点击“下一步”:
8).输入NetBIOS域名(推荐采用默认值),然后点击“下一步”:
9).选择“否,不转发查询”,点击“下一步”:
10).确认选项正确后点击“下一步”
11).点击“确定”,开始服务器配置
12).放入操作系统光盘后,点击“确定”:
13).配置过程当中会重新启动操作系统,无需人工干预,当下一次登陆系统后会继续完成域控制器的配置
14).点击“下一步”:
15).点击“完成”,至此域控制器安装完毕
3.配置AD
1).配置域用户,选择“开始-所有程序-管理工具-Active Directory用户和计算机”
2).右键菜单服务器图标“”,选择“新建-组织单位”:
3).填写组织单位名称,中英文皆可:
4).右
文档评论(0)