iMC EIA 802.1X认证+LDAP认证

典型配置举例

资料版本：5W113-20230831

产品版本：EIA 7.3 (E0629)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

本文档中的信息可能变动，恕不另行通知。

1 介绍

在已使用LDAP服务器对用户进行管理的网络中，引入EIA认证系统，实现EIA与LDAP服务器联动认证。进入EIA认证系统，EIA无需创建接入用户，直接从LDAP服务器同步用户信息。EIA收到用户的认证请求后，将用户名和密码的校验转给LDAP服务器处理。EIA根据LDAP服务器的验证结果允许或拒绝用户接入网络，并使用各种控制策略对接入网络的用户进行接入控制。LDAP用户信息在LDAP服务器和EIA中各保存一份，LDAP服务器负责维护用户的各种信息，EIA定时从LDAP服务器中将用户信息同步到EIA中。

· LDAP：LDAP是轻量级目录访问协议（Lightweight Directory Access Protocol）的简称，它用来访问用于认证的目录服务器（LDAP服务器），目录服务器通过目录树的结构提供了用户认证的相关信息。现在业界流行的LDAP服务器包括iPlanet（Netscape）、Open LDAP、NDS（Novell）及Active Directory（Microsoft）等。

· EIA：EIA终端智能接入(End-user Intelligent Access)，是一款网络接入策略管理解决方案。实现企业有线、无线和VPN网络的一体化接入管理。可以按照用户角色、设备类型、接入时间、接入地点等条件自由定义不同的接入场景，对网络访问权限做精细化控制。满足企业多种接入形式、多种终端类型、多种用户角色的统一运维管理需求，确保终端安全策略在整个网络无缝地执行。

2 使用指南

2.1 使用场合

网络中已经存在统一管理用户的LDAP服务器，向此类比较成熟的网络中引入EIA认证系统，实现EIA与LDAP服务器联动认证。

2.2 配置前提

接入设备支持802.1X协议，网络中存在基于Windows AD的LDAP服务器，安装Windows AD可参考4 附录。

3 配置举例

3.1 组网需求

某公司计划在原有LDAP认证基础上引入EIA系统，用户接入网络时向EIA服务器发送认证请求，用户密码由LDAP服务器校验，并将校验结果返回给EIA，EIA根据LDAP服务器的验证结果允许或拒绝用户接入网络。

具体的组网如图1所示。EIA服务器IP地址为10.114.119.45，LDAP服务器IP地址为10.114.119.41，接入设备IP地址为192.168.30.100。PC安装了Windows操作系统，并且已安装iNode PC客户端。

注：本案例中各部分使用的版本如下：

· EIA版本为iMC EIA 7.3 (E0629)

· 接入设备为H3C S5500-28C-PWR-EI Comware Software, Version 5.20, Release 2220P02

· iNode版本为iNode PC 7.3 (E0585)

图1 组网图

3.2 配置步骤

3.2.1 LDAP服务器配置

(1) 在h3c.com下新建test组织，在test组织下新建test01用户，该用户的Base DN为ou=test,dc=h3c,dc=com。

图2 用户数据目录

(2) 查看administrator管理员所在的文件夹为Users，所以管理员DN为cn=administrator,cn=users,dc=h3c,dc=com,管理员密码为administrator的密码iMC123。

图3 管理员

(3) 确认LDAP服务器上认证监听端口，缺省值“389”

3.2.2 配置EIA服务器

配置EIA服务器时，需要配置以下功能：

· 增加接入设备

· 增加接入策略

· 增加接入服务

· 增加LDAP服务器

· 增加LDAP同步策略

· 同步用户数据

1. 增加接入设备

增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。

增加接入设备的方法如下：

(1) 选择“用户”页签。

(2) 单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项，进入接入设备配置页面，如图4所示。

图4 接入设备列表

(3) 在接入设备列表中，单击<增加>按钮，进入增加接入设备页面，如图5所示。

图5 增加接入设备页面

(4) 接入配置参数

¡ 认证端口：EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。

¡ 计费端口：EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。

目前仅支持将EIA同时作为认证和计费服务器，即不支持将EIA作为认证服务器，而其他服务器作为计费服务器的场景。

¡ 共享密钥/确认共享密钥：输入两次相同的共享密钥。接入设备与EIA配合进行认证时，使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果[用户>接入策略管理>业务参数配置>业务参数配置]系统参数中的“密钥显示方式”设置为明文时，只需输入一次共享密钥即可，本例配置为“fine”。

¡ 其他参数：保持默认。

(5) 配置接入设备

配置接入设备有两种方法：

¡ 在设备列表中单击<选择>按钮，弹出选择设备窗口，根据IP地址从iMC平台中选择设备。单击<确定>按钮，增加设备成功，返回增加接入设备页面。

¡ 在设备列表中单击<手工增加>按钮，弹出手工增加接入设备窗口，如图6所示。在起始IP地址处输入接入设备的IP地址。单击<确定>按钮，增加设备成功，返回增加接入设备页面。

图6 手工输入接入设备的IP地址

无论采用哪种方式接入设备的IP地址都必须满足以下要求：

¡ 如果在接入设备上配置radius scheme时配置了nas ip命令，则EIA中接入设备的IP地址必须与nas ip的配置保持一致。

¡ 如果未配置nas ip命令，则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址（或接口所在VLAN的虚接口IP地址）。

参数设置完成后的效果图如图7所示。

图7 接入设备参数配置

(6) 单击<确定>按钮，增加接入设备完毕，进入结果显示页面。单击“返回接入设备列表”链接，返回接入设备列表，在列表中查看新增的接入设备，如图8所示。

图8 查看新增的接入设备

2. 增加接入策略

配置一个简单的接入策略。

增加接入策略的方法如下：

(1) 选择“用户”页签。

(2) 单击导航树中的“接入策略管理 > 接入策略管理”菜单项，进入接入策略管理页面，如图9所示。

图9 接入策略列表

(3) 在接入策略列表中，单击<增加>按钮，进入增加接入策略页面。输入接入策略名，本例为“CA策略”，其他参数均保持为空即可，如图10所示。

图10 增加接入策略页面

(4) 单击<确定>按钮，接入策略增加完毕。返回接入策略列表，在列表中查看新增的接入策略，如图11所示。

图11 查看增加的接入策略

3. 增加接入服务

接入服务是对用户进行认证授权的各种策略的集合。

增加接入服务的方法如下：

(1) 选择“用户”页签。

(2) 单击导航树中的“接入策略管理 > 接入服务管理”菜单项，进入接入服务管理页面，如图12所示。

图12 接入服务列表

(3) 在接入服务列表中，单击<增加>按钮，进入增加接入服务页面。

配置接入服务参数如下：

¡ 服务名：输入服务名称，在EIA中必须唯一。本例为“CA服务”。

¡ 服务后缀：服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关，具体的搭配关系请参见表1。本例为“cert”。

¡ 缺省接入策略：选择之前新增的接入策略。在下拉框中选择“CA策略”。

¡ 其他参数：保持缺省值。

参数设置完成后的效果图如图13所示。

表1 EIA中服务后缀的选择

认证连接用户名	设备用于认证的Domain	设备Radius scheme中的命令	EIA中服务的后缀
X@Y	Y	user-name-format with-domain	Y
X@Y	Y	user-name-format without-domain	无后缀
X	[Default Domain] 设备上指定的缺省域	user-name-format with-domain	[Default Domain]
X	[Default Domain] 设备上指定的缺省域	user-name-format without-domain	无后缀

图13 增加接入服务页面

(4) 单击<确定>按钮，接入服务增加完毕。返回接入服务列表，在列表中查看新增的接入服务，如图14所示。

图14 查看增加的接入服务

4. 增加LDAP服务器

在EIA中配置LDAP服务器，将Windows AD纳入EIA的管理，让EIA可以从LDAP服务器读取各种数据。

增加LDAP服务器的方法如下：

(1) 选择“用户”页签。

(2) 单击导航树中的“接入策略管理 > LDAP业务管理 > 服务器配置”菜单项，进入服务器配置页面，如图15所示。

图15 LDAP服务器配置列表

(3) 在服务器配置列表中，单击<增加>按钮，进入增加LDAP服务器页面。

(4) 配置基本参数

¡ 服务器名称：输入服务器名称，在EIA中唯一。本例为“Windows AD”。

¡ 服务器IP地址：输入LDAP服务器的IP地址，该参数和Base DN的组合必须唯一。本例为“10.114.119.41”。

¡ 服务器类型：LDAP服务器是Windows AD，推荐选择微软活动目录，所以本例保持缺省值“微软活动目录”。

¡ 管理员DN：输入LDAP服务器的管理员（用户可以自行创建管理员用户），必须输入能定位到管理员的绝对路径。本例为3.2.1 (2)中的管理员DN“cn=administrator,cn=users,dc=h3c,dc=com”。

¡ 管理员密码：输入LDAP服务器管理员的密码，本例为3.2.1 (2)中administrator的密码，系统利用管理员DN和密码与LDAP服务器建立连接。

¡ Base DN：输入LDAP服务器中保存用户数据的目录路径，必须使用LDAP服务器上的绝对路径。本例为3.2.1 (1)中的Base DN“ou=test,dc=h3c,dc=com”。

¡ 实时认证：当服务器类型为“微软活动目录”，实时认证只能设置为“是”。

¡ 端口：输入3.2.1 (3)LDAP服务器监听端口，本例为缺省值“389”。

- 用户分组：取值为“按OU同步”、“按OU属性同步”和“手工指定”。本例选择“手工指定”。

- 当选择“按OU同步”时，BaseDN下的OU会被同步为iMC中的用户分组。当使用该LDAP服务器的LDAP同步策略同步用户时，不同OU下的用户会同步到和OU对应的用户分组下。在提交配置后，这些用户分组会立即被系统自动同步一次。

- 当选择“按OU属性同步”时，功能与”按OU同步”相似，区别是选择按OU属性同步后，以所选择的OU属性值作为用户分组的名称。需要注意的是，按OU属性同步时，推荐选择一个变量作为属性，以区分不同的用户分组。

- 当选择“手工指定”时，可以为选择此LDAP服务器的LDAP同步策略设置一个用户分组，同步LDAP用户时，同步策略下的所有用户都被同步到该用户分组下

¡ 服务同步方式：当“服务器类型”设置为通用LDAP服务器时，该参数只能设置为手工指定；当“服务器类型”设置为微软活动目录时，该参数可以设置为手工指定或基于AD组。手工指定表示为LDAP服务器配置同步策略时，可以为绑定用户指定服务；基于AD组表示为LDAP服务器配置同步策略时，只能为LDAP组指定服务，根据绑定用户所属的LDAP组自动为用户分配服务。本例选择“手工指定”。

¡ 其他参数：保持缺省值。

(5) 配置备份服务器信息，保持缺省值。参数设置完成后的效果图如图16所示。

图16 LDAP服务器设置

(6) 单击<确定>按钮，LDAP服务器配置增加完毕。返回服务器配置列表，在列表中查看新增的服务器配置，如图17所示。

图17 查看新增的服务器配置

(7) 点击对应的“检测”链接，测试iMC与LDAP服务器的连通性。测结果会显示在页面的上方，如图18所示。

图18 检测结果

5. 增加LDAP同步策略

配置EIA与Windows AD之间进行数据同步的策略，让EIA根据策略定时或手工从LDAP服务器中同步用户等关键数据，以便EIA和LDAP服务器配合完成对接入用户的认证。

增加同步策略的方法如下：

(1) 选择“用户”页签。

(2) 单击导航树中的“接入策略管理 > LDAP业务管理 > 同步策略配置”菜单项，进入同步策略配置页面，如图19所示。

图19 同步策略列表

(3) 在同步策略配置列表中，单击<增加>按钮，进入增加LDAP同步策略页面。

(4) 配置同步策略的基本信息：

¡ 同步策略名称：输入LDAP同步策略的名称，在EIA中必须唯一。本例为“LDAP同步策略”。

¡ 服务器名称：在下拉框中选择“Windows AD”。

¡ 子Base DN：输入LDAP服务器中保存用户数据的子目录路径。同步策略同步该目录下的用户数据。子Base DN用LDAP服务器上的绝对路径来表示，且必须是Base DN或其子集。本例为“ou=test,dc=h3c,dc=com”。

¡ 同步的用户类型：本例以选择“接入用户”的方式进行介绍。

- 增加同步策略时，只有选择接入用户，新增的同步策略才属于接入用户类型的LDAP同步策。

- 增加同步策略时，只有选择设备管理用户，新增的同步策略才属于设备管理用户类型的LDAP同步策略。

¡ 同步选项：选择同步选项，本例选择“用户同步”、“新增用户及其接入账号”、“为已存在的用户新增接入账号”和“过滤计算机账号”。

- 自动同步：每天按照系统参数中“LDAP同步/备份任务”设置的时间进行同步。

- 按需同步：iMC EIA系统中不存在、而LDAP服务器中存在的用户进行接入认证时，EIA自动将认证请求转给LDAP服务器进行校验。如果用户通过认证，系统将自动将此用户从LDAP服务器同步到iMC中。需要注意的是，如果iMC中用户相关的License已达授权数量的上限，则无法进行同步，同时强制用户下线。LDAP按需同步功能只能同步采用PAP和EAP-MD5方式认证的用户，不能同步采用CHAP和任何证书认证的用户。PEAP/MS-CHAPv2认证方式支持LDAP按需同步用户特性需要具备的条件是：LDAP按需同步用户申请的服务，需要配置缺省接入策略，而不能配置为“禁止接入”，而且这个缺省接入策略需要配置为PEAP/MS-CHAPv2认证方式。当一个按需同步用户首次发起EAP认证时（此时还拿不到用户的密码信息），EIA会检查这个LDAP临时用户是否符合上述条件，符合则把这个用户同步为正式用户，无论随后的认证能否通过。

- 启用第三方认证：勾选该选项时，该同步策略同步过来的LDAP用户认证时会做第三方认证，当不勾选时，做LDAP认证。

- 新增用户及其接入帐号：如果在LDAP服务器中存在某个用户，而在iMC平台中不存在该用户，则同步时会在iMC平台中新增该用户，并在EIA组件中新增对应的接入用户。

- 为已存在用户新增接入帐号：如果在LDAP服务器和iMC平台中都存在某个用户，而在EIA组件中不存在该用户对应的接入用户，则同步时会在EIA组件中新增对应的接入用户。

- 仅同步当前节点下的用户：如果选中该项，则只同步子BaseDN下的用户，不同步子BaseDN下属OU的用户；如果不选中，则同步子BaseDN及其下属OU中的所有用户。

- 过滤计算机帐号：如果去勾选该项，则计算机帐号会被同步为接入用户。

- 发送密码通知短信：通过短信发送密码通知。

- 发送密码通知电子邮件：通过电子邮件发送密码通知

¡ 其他参数：保持缺省值。

参数设置完成后的效果图如图20所示。

图20 LDAP同步策略

(5) 单击<下一步>按钮，进入接入用户参数配置页面。

(6) 配置接入用户的各个参数与LDAP服务上各个属性的对应关系。

¡ 配置接入信息：

- 密码：可自定义填写，本例输入密码为“iMC123”。

- 其他参数：保持缺省值。

¡ 配置接入服务：如果同步策略对应的LDAP服务器的服务同步方式为基于AD组，则使用该同步策略同步的用户所申请的服务由用户所属LDAP组、同步策略中LDAP组和服务的对应关系、LDAP服务器上LDAP组的结构共同决定。选择服务的原则如下：选择以用户为根，在用户所属的直接组和间接组所组成的树状结构中，层数上离用户最近且优先级最高的服务；如果同步策略对应的LDAP服务器的服务同步方式为手工指定，可以为绑定用户指定服务，本例指定“CA服务”的服务。