- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
H3C EIA MSCHAPv2 LDAP认证
典型配置举例
资料版本:5W117-20240515
产品版本:EIA (E0215)
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍使用LDAP进行EIA MSCHAPv2认证的方法。EAP-PEAP认证类型是EAP证书认证的一种,EAP-PEAP-MSCHAPv2是EAP-PEAP的子类型。当LDAP服务器使用Windows AD时,LDAP用户支持EAP-PEAP-MSCHAPv2认证方法。
某公司计划使用EIA MSCHAPv2 LDAP认证系统控制员工接入公司网络的权限。
本案例中终端用户通过iNode客户端,使用802.1X证书认证;EIA中增加LDAP服务器,并配置EAP证书MSCHAPv2认证方法;LDAP服务器为Windows AD。
具体的组网如图2所示。
· EIA服务器IP地址为192.168.7.196,查看方式如下:
· 在集群部署环境中,会涉及EIA服务器IP地址使用北向业务虚IP还是所在实际节点IP的问题,该地址请务必填写为北向业务虚IP。
· 下述步骤为查看EIA服务器IP地址的通用步骤,涉及到的IP地址与本文档无关,以查看EIA服务器IP地址“10.114.117.164”为例进行介绍。
a. 打开浏览器输入https://ip_address:8443/matrix/ui,打开matrix页面。其中,ip_address为北向业务虚IP或节点IP。
b. 选择“部署”页签,单击“集群”菜单项,切换至“集群参数”页签,进入集群参数页面。
c. 该页面中的北向业务虚IP即为EIA服务器的IP地址,如图1所示。
图1 查看EIA服务器IP地址
· LDAP服务器IP地址为192.168.7.192。
· 接入设备IP地址为172.19.254.101。
注:本案例中各部分使用的版本如下:
· EIA:EIA (E0215)
· Windows AD:安装于Windows Server 2012
· 接入设备:H3C S7502E-XS Comware Software, Version 7.1.070, Release 7536P05
· iNode PC:iNode PC 7.3 (E0558)
· 接入设备支持802.1X协议,且与EIA路由可达。
· LDAP服务器为Windows AD,且与EIA路由可达。
· 服务器证书申请完成。
在Windows AD服务器中做以下配置:
· 命名林根域为“xin.h3c”
· 配置域NetBIOS名称为“xin”
· 在xin.h3c下将Users组中的Administrator用户密码重置为“EIA123456”
· 在xin.h3c下新建一个“test”的组织,并在组织中新建两个成员“test001”和“test002”
· 在xin.h3c下新建一个虚拟计算机“xin10939”,并参考2.3.2 4. 重置虚拟计算机密码执行ModifyComputerAccountPass.vbs脚本文件,以重置虚拟计算机的密码
· Windows AD运行在全称为“ad.xin.h3c”的Windows Server 2012服务器上
配置EIA服务器时,建议按照以下顺序配置:
· 增加接入策略
· 增加接入服务
· 增加LDAP服务器
· 重置虚拟计算机密码
· 增加LDAP同步策略
· 同步用户数据
· 导入服务器证书
· 配置系统参数
· 增加接入设备
增加接入策略的方法如下:
(1) 选择“自动化”页签。单击导航树中的“用户业务 > 接入服务 > 接入策略”菜单项,进入接入策略管理页面,如图3所示。
(2) 在接入策略列表中,单击<增加>按钮,进入增加接入策略页面,如图4所示。
· 接入策略名:输入接入策略名“CA策略”;
· 首选EAP类型:首选EAP类型下拉框中选择“EAP-PEAP”;
· 子类型:在子类型下拉框中选择“EAP-MSCHAPv2”;
· 其他参数均保持默认值即可,详细介绍可参见产品联机帮助。
(3) 单击<确定>按钮,接入策略增加完成。返回接入策略列表,在列表中查看新增的接入策略,如图5所示。
接入服务是对用户进行认证授权的各种策略的集合。
增加接入服务的方法如下:
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 接入服务”菜单项,进入接入服务管理页面,如图6所示。
(2) 在接入服务列表中,单击<增加>按钮,进入增加接入服务页面,如图7所示。
配置接入服务参数如下:
· 服务名:输入接入服务名“CA服务”;
· 服务后缀:输入服务后缀“cert”;
· 缺省接入策略:选择缺省接入策略“CA策略”;
表1 EIA中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
EIA中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。本案例中EIA服务配置了服务后缀,认证连接用户名使用X@Y,接入设备中配置user-name-format with-domain命令。
(3) 单击<确定>按钮,接入服务增加完毕。返回接入服务列表,在列表中查看新增的接入服务,如图8所示。
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 接入用户 > LDAP业务管理”菜单项,进入LDAP服务器配置页面,如图9所示。
图9 LDAP服务器列表
(2) 在LDAP服务器列表中,单击<增加>按钮,进入增加LDAP服务器页面,如图10和图11所示。
· 服务器名称:输入服务器名称“Windows AD”
· 服务器地址:输入服务器地址“192.168.7.192”
· 服务器类型:选择服务器类型“微软活动目录”
· 管理员DN:输入管理员DN“cn=administrator,cn=users,dc=xin,dc=h3c”
· 管理员密码:输入管理员密码“EIA123456”
· Base DN:输入Base DN“dc=xin,dc=h3c”
· 用户分组:选择用户分组方式“按OU同步”
· 启用MS-CHAPv2认证:选择“是”,为Windows AD服务器启用MSCHAPv2认证
· 认证方式:选择“通过虚拟计算机认证”
· 域控服务器地址与LDAP服务器地址一致:由于本案例中域控服务器与LDAP服务器是同一服务器,二者地址相同,所以选择“是”
· 域控服务器全名:输入域控服务器的全名“ad.xin.h3c”
· 自动加入计算机域:选择“否”。配置为“是”的情况详见联机帮助文档。
· 虚拟计算机名称:输入虚拟计算机的名称“xin10939”
· 虚拟计算机密码:输入虚拟计算机的密码,并再次输入虚拟计算机的密码以确保二者一致
· 其他参数保持缺省值即可
图10 增加LDAP服务器1
图11 增加LDAP服务器2
(3) LDAP服务器信息配置完成后,单击<检测>按钮,测试服务器的连通性。如果服务器信息正确,检测结果如图12所示。
(4) 单击<确定>按钮,增加LDAP服务器操作完成。在列表中查看新增LDAP服务器,如图13所示。
在域控服务器上增加虚拟计算机后,需要执行ModifyComputerAccountPass.vbs脚本文件重置虚拟计算机的密码。
(1) 选择“自动化”页签。单击导航树中的“用户业务 > 接入用户 > LDAP业务管理 > 参数配置”菜单项,进入LDAP参数配置页面,如图14所示。
(2) 点击“下载”超链接,将虚拟计算机密码脚本文件保存到本地,如图15所示。以文本编辑器打开该脚本文件,修改虚拟计算机的对象值和密码并保存,如图16所示。在域控服务器上执行该脚本文件,使重置后的虚拟计算机密码生效。
(1) 选择“自动化”页签。单击导航树中的“用户业务 > 接入用户 > LDAP业务管理 > 同步策略配置”菜单项,进入同步策略配置页面,如图17所示。
(2) 在同步策略列表中,单击<增加>按钮,进入增加同步策略页面,如图18所示。
· 同步策略名称:输入同步策略名称“LDAP同步策略”;
· 服务器名称:选择服务器名称“Windows AD”;
· 子Base DN:输入“ou=test,dc=xin,dc=h3c”;
· 其他参数保持缺省值即可。
(3) 单击<下一步>按钮,进入其他信息配置页面,如图19所示。
· 在接入信息区域,输入密码“EIA123”;当LDAP用户解除与LDAP服务器的绑定关系时,作为接入用户使用该密码可以通过EIA认证。
· 在接入服务区域,勾选“CA服务”;
· 可根据Windows AD的具体配置为其他参数选择合适的属性,本案例中其他参数均保持缺省值。
图20 勾选“CA服务”
(4) 单击<确定>按钮,增加LDAP同步策略操作完成。
图21 LDAP同步策略增加成功
LDAP服务器同步策略配置完成后,在同步策略列表中,点击“同步”链接,手动同步LDAP用户。同步结果如图22所示。
选择“自动化”页签。单击导航树中的“用户业务 > 接入用户”菜单项,进入接入用户管理页面。在接入用户列表中查看LDAP接入用户,如图23所示。
导入服务器证书通常产品都是导入预置证书,如果客户自己额外购买或自己已有证书,可采用此章节方法导入。
导入服务器证书的方法如下:
(1) 选择“自动化”页签。单击导航树中的“用户业务 >接入参数 > 证书配置”菜单项,进入证书配置页面,如图24所示。
(2) 选择“服务器证书配置”页签,进入服务器证书列表页面,如图25所示。
(3) 单击<导入EAP服务器证书>按钮,进入服务器证书配置页面,如图26所示。
(4) 勾选“服务器证书和私钥在同一文件”,如图27所示。
(5) 单击<选择文件>按钮,在弹出的窗口中选择服务器证书,如图28所示。
(6) 单击<打开>按钮,服务器证书添加完成,如图29所示。
(7) 单击<下一步>按钮,输入服务器证书的私钥密码,如图30所示。
(8) 单击<确定>按钮,服务器证书添加完成。
增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。
增加接入设备的方法如下:
(1) 选择“自动化”页签。单击导航树中的“用户业务 > 接入服务 > 接入设备”菜单项,进入接入设备配置页面,如图31所示。
(2) 在接入设备列表中,单击<增加>按钮,进入增加接入设备页面,如图32所示。
a. 输入及确认共享密钥“expert”。其他参数保持缺省值。
b. 在设备列表中单击<增加IPv4设备>按钮,在弹出的选择设备窗口中输入IP地址为“172.19.254.101”的接入设备。单击<确定>按钮,返回增加接入设备页面。
接入设备的IP地址必须满足以下条件:
· 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
· 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
(3) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面,在列表中查看新增的接入设备。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口Telnet到接入设备并进行配置,具体的命令及其说明如下:
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C]radius session-control enable
//启用radius session-control 参数避免强制下线不生效。
[H3C]radius scheme test
New RADIUS scheme
[H3C-radius-test]primary authentication 192.168.7.196 1812
[H3C-radius-test]primary accounting 192.168.7.196 1813
//认证、计费服务器都指向EIA,认证、计费端口与EIA中增加接入设备时的配置保持一致。
[H3C-radius-test]key authentication simple expert
[H3C-radius-test]key accounting simple expert
//认证、计费共享密钥与EIA中增加接入设备时的配置保持一致。
[H3C-radius-test]user-name-format with-domain
//本案例采用携带Domain的认证方式。EIA、设备中配置的搭配关系请参见表1。
[H3C-radius-test]nas-ip 172.19.254.101
[H3C-radius-test]quit
[H3C]domain cert
[H3C-isp-cert]authentication lan-access radius-scheme test
[H3C-isp-cert]authorization lan-access radius-scheme test
[H3C-isp-cert]accounting lan-access radius-scheme test
//认证、授权、计费都采用之前配置的Radius scheme test。
[H3C-isp-cert]quit
[H3C]dot1x authentication-method eap
//Windows AD进行EAP-MSCHAPv2认证时,802.1X认证方式必须设置为EAP。
[H3C]dot1x
[H3C]interface Ten-GigabitEthernet 1/1/23
[H3C-Ten-GigabitEthernet 1/1/23]dot1x
[H3C-Ten-GigabitEthernet 1/1/23]quit
//只有在全局和接口上都启用802.1X认证,802.1X认证才生效。
认证步骤如下:
当前EIA适配所有版本的iNode,iNode的版本可以按需进行选择。
(1) 打开iNode客户端,如图33所示。
(2) 单击<连接>按钮边的
图标,选择“属性”菜单,弹出802.1X属性设置窗口,如图34所示。
(3) 选择“高级”页签,进入高级认证配置页面,如图35所示。
(4) 勾选“启用高级认证”前的复选框,并在下拉框中选择“证书认证”,认证类型选择“PEAP”,子类型选择“MS-CHAP-V2”,如图36所示。
(5) 单击<确定>按钮,802.1X属性设置完成。
打开iNode客户端,如图37所示。输入用户名密码,单击<连接>按钮,客户端开始认证。认证信息打印在iNode客户端主窗口中,如图39所示。认证信息显示认证成功,验证了本例配置的正确性。
图38 802.1X认证
在EIA配置页面中,选择“监控”页签。单击导航树中的“监控列表 >用户”菜单项,查看在线用户,如图40所示。
支持
售前咨询
售后咨询
人工在线咨询
