ACS和windows域联动认证1.docVIP

CISCO ACS与AD结合的Radius的认证 一、环境及需求： * Cisco Catalyst 3750-24TS交换机,Version 12.1(19)EA1d * 一台Windows 2003 Server SP1服务器做为AD Server * 一台Windows 2003 Server SP1服务器做为ACS Server * 一台Windows XP SP2工作站做为终端接入设备 * Cisco Secure ACS for Windows version 4.0 注:传统802.1x认证采用MD5-Challenge认证，用户在接入网络时需输入用户名和口令，安全性也相对薄弱。PEAP和EAP-TLS都是利用了TLS/SSL隧道，PEAP只使用了服务器端的认证，只是服务器端拥有证书并向用户提供证明，而EAP-TLS使用了双向认证，ACS服务器和客户端均拥有证书并进行相互间的身份证明。 二、ACS的安装与配置.1.?? ACS的安装:??? A.?先以AD Admin的身份登陆AD B.安装ACS,安装很简单,只要根据向导点击下一步即可. C.安装Java的插件. 2． ACS的配置： A．由于认证使用的是域用户认证，所以不用在ACS里面建立用户，首先配置交换机地址与认真所需的KEY，如图： 在network configuration 中添加AAA Clients ，配置其地址和KEY，注意将authenticate using改为radius(IETF)。 B．然后添加AAA Sservers 配置RADIUS地址和KEY（此KEY必须与配置交换机KEY一样）。 C．创建证书并导入ACS，system configuration 》ACS certificate setup 》generated self-signed certificate 证书格式为如下：密码随便写，注意勾选最下面的Install generated certificate。 记得要在ACS certification authority setup 中导入证书。 D．重启ACS服务并进行PEAP设置:选择“System Configuration→Global Authentication Setup”,勾选“Allow EAP-MSCHAPv2”及“Allow EAP-GTC”选项。 同时勾选“Allow MS-CHAP Version 1 Authentication”“Allow MS-CHAP Version 2 Authentication”选项。 E．选择“External User Databases → Unknown User Policy 将Check the following external user databases ,将“windows Databases”移动到右边的Selected Databases窗口中,完成后再重启服务。 F．配置External User Database → database configuration → windows Database →Configure 保证ACS Server所在机器应已加入到域中，同时“Dialin Permission”中的默认勾选项应去掉，如不去掉的话，域管理用户和终端用户均需设置Dial-in访问权限。 点击database configuration 进入下图。 点击windows Database，进入下图。 点击Configure，进入下图。 将Dialin Permission”中的默认勾选项应去掉。 由于使用Windows Active directory的用户名作为认证，因此配置此用户的授权由ACS的组完成，然后将此group与Windows Active directory的组映射。因此将configure domain list中左边的域名移到右面的domain list中，然后点击Submit 。 同时“Windows EAP Settings”的“Machine Authentication”下勾选“Enable PEAP machine authentication”和“Enable EAP-TLS machine authentication.EAP-TLS and PEAP machine anthentication name prefix.” 选项,其中默认的“host/”不用改动。 G．配置ACS Group Mapping: 由于使用AD的用户名作为认证,用ACS作为用户访问的授权,因此须将此ACS 中的Group与AD的Group映射。 配置External User Databa