- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
03-iMC EIA 802.1X认证+RSA认证典型配置举例-整本手册.pdf (1.47 MB)
iMC EIA 802.1X认证+RSA认证
典型配置举例
资料版本:5W112-20230608
产品版本:EIA 7.3 (E0623)
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
在配置了802.1X接入和RSA认证的网络中,用户使用动态密码向EIA发送认证请求,EIA将用户认证请求转发给RSA服务器,由RSA服务器来验证用户身份。EIA根据RSA服务器的验证结果允许或拒绝用户接入网络,并使用各种控制策略对接入网络的用户进行接入控制。
· 802.1X:802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要用于解决以太网内认证和安全方面的问题。802.1X协议是一种基于端口的网络接入控制协议,在局域网接入设备的端口级,对所接入的用户设备通过认证来控制对网络资源的访问。
· RSA:RSA是一种基于公钥密码体制的加密算法。RSA的公钥、私钥都可以用来加密和解密,并且一方加密的内容只能由对方进行解密,即由公钥加密的内容只能由私钥进行解密,由私钥加密的内容只能由公钥进行解密。
适用于需要使用动态密码的应用环境,比如银行系统,可以提高密码的安全性。
PC安装支持使用RSA动态密钥的iNode客户端,接入设备支持802.1X协议,网络中存在RSA服务器,用户具有RSA认证令牌。
某银行计划启用RSA认证系统,用户接入网络时向EIA服务器发送认证请求,EIA将认证请求转发给RSA服务器,由RSA服务器来验证用户身份。
具体的组网如图1所示。EIA服务器IP地址为192.168.40.139,RSA服务器IP地址为192.168.3.95,接入设备IP地址为192.168.30.111。PC安装了Windows操作系统,并安装了iNode客户端。
注:本案例中各部分使用的版本如下:
· EIA版本为iMC EIA 7.3 (E0623)
· 接入设备为H3C S5500-28C-SI Comware Software, Version 5.20, Release 2215
· iNode版本为iNode PC 7.3 (E0616)
配置EIA服务器时,需要配置以下功能:
· 增加接入设备
· 增加接入策略
· 增加接入服务
· 启用第三方认证策略
增加接入设备是为了建立iMC服务器和接入设备之间的联动关系。
增加接入设备的方法如下:
(1) 选择“用户”页签。
(2) 单击导航树中的[接入策略管理>接入设备管理>接入设备配置]菜单项,进入接入设备配置页面,如图2所示。
(3) 单击<增加>按钮,进入增加接入设备页面,如图3所示。
(4) 接入配置参数
· 认证端口/计费端口:此处的配置必须与接入设备命令行配置的端口保持一致。本例采用缺省值1812和1813。
· 共享密钥:此处的配置必须与接入设备命令行配置的共享密钥保持一致。本例采用“fine”做为共享密钥。如果系统参数中的“密钥显示方式”设置为密文时,需输入两次共享密钥。
· 其他参数:保持缺省值。
(5) 配置接入设备
配置接入设备有两种方法:
· 在设备列表中单击<选择>按钮,弹出选择设备窗口,如图4所示,根据IP地址从iMC平台中选择设备。单击<确定>按钮,增加设备成功,返回增加接入设备页面。
· 在设备列表中单击<手工增加>按钮,弹出手工增加接入设备窗口,如图5所示。在设备IP地址处输入接入设备的IP地址。单击<确定>按钮,增加设备成功,返回增加接入设备页面。
图4 从iMC平台选择设备
图5 手工输入接入设备的IP地址
无论采用哪种方式接入设备的IP地址都必须满足以下要求:
· 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
· 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
参数设置完成后的效果图如图6所示。
(6) 单击<确定>按钮,完成增加接入设备操作,进入结果显示页面。点击“返回接入设备列表”链接,返回接入设备列表,可在列表中查看新增的接入设备,如图7所示。
配置一个不进行任何接入控制的接入策略。
增加接入策略的方法如下:
(1) 选择“用户”页签。
(2) 单击导航树中的[接入策略管理>接入策略管理]菜单项,进入接入策略管理页面,如图8所示。
图8 接入策略管理页面
(3) 单击<增加>按钮,进入增加接入策略页面。因为不需要任何接入控制,所以输入接入策略名“Access Policy”,其他参数保持默认即可,如图9所示。
(4) 单击<确定>按钮,接入策略增加完毕。返回接入策略列表,可在列表中查看新增的接入策略,如图10所示。
接入服务是对用户进行认证授权的各种策略的集合。本例配置用户进入网络需进行RSA认证的接入服务。
增加接入服务的方法如下:
(1) 选择“用户”页签。
(2) 单击导航树中的[接入策略管理>接入服务管理]菜单项,进入接入服务管理页面,如图11所示。
图11 接入服务管理页面
(3) 单击<增加>按钮,进入增加接入服务页面。
配置接入服务参数如下:
· 服务名:输入服务名称,在EIA中必须唯一。本例为“RSA Authentication”。
· 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。本例为“629”。
· 缺省接入策略:选择之前新增的接入策略。在下拉框中选择“Access Policy”。
· 其他参数:保持缺省值。
参数设置完成后的效果图如图12所示。
表1 iMC中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(4) 单击<确定>按钮,接入服务增加完毕。返回接入服务列表,可在列表中查看新增的接入服务,如图13所示。
EIA将认证请求转发给RSA服务器处理。RSA的验证结果决定用户是否能通过认证。RSA认证属于对第三方用户进行认证,因此需要在EIA中配置第三方认证的信息。
第三方认证配置的方法如下:
(1) 选择“用户”页签。
(2) 单击导航树中的[接入策略管理>第三方认证配置]菜单项,进入第三方认证配置页面,如图14所示。
(3) 点击“第三方认证策略”对应的“配置”
图标,进入第三方认证策略页面,如图15所示。
(4) 勾选“启用第三方认证”项,如图16所示。
(5) 选择“第三方RADIUS认证”项,如图17所示。
(6) 单击<增加>按钮,进入增加RADIUS服务器页面,如图18所示。
图18 增加RADIUS服务器
配置第三方认证参数如下:
a. 基本信息配置如下:
¡ IP地址:输入RSA服务器的IP地址,本例为“192.168.3.95”。
¡ 端口:输入认证的监听端口,此处的配置必须与RSA服务器配置台的认证端口一致,本例为“1812”。
¡ 密钥/确认密钥:输入认证的密钥,此处的配置必须与RSA服务器上RSA Client处填写的密钥一致,本例为“mytest”。
¡ 本地密码:输入第三方RADIUS认证用户的静态密码,本例为“1”。
¡ 密码检查类型:在下拉框中选择“第三方密码+本地密码”。
b. 选择之前增加的接入服务“RSA Authentication”。
参数设置完成后的效果图如图19所示。
图19 RSA认证设置
(7) 单击<确定>按钮,第三方认证配置增加完毕。返回第三方认证配置页面,可在列表中查看启用的第三方认证策略,如图20所示。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体的命令及其说明如下:
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C]radius scheme zzpermit
New Radius scheme
[H3C-radius-zzpermit]primary authentication 192.168.40.139 1812
[H3C-radius-zzpermit]primary accounting 192.168.40.139 1813
//认证、计费服务器都指向EIA,认证、计费端口与EIA中增加接入设备时的配置保持一致。
[H3C-radius-zzpermit]key authentication fine
[H3C-radius-zzpermit]key accounting fine
//认证、计费共享密钥与EIA中增加接入设备时的配置保持一致。
[H3C-radius-zzpermit]user-name-format with-domain
//本地采用携带Domain的认证方式。EIA、设备中配置的搭配关系请参见3. (3)表1。
[H3C-radius-zzpermit]quit
[H3C]domain 629
New Domain added.
//根据3. (3)表1中的搭配,domain的名称必须与EIA中服务的后缀保持一致。
[H3C-isp-629]authentication lan-access radius-scheme zzpermit
[H3C-isp-629]authorization lan-access radius-scheme zzpermit
[H3C-isp-629]accounting lan-access radius-scheme zzpermit
//认证、授权、计费都采用之前配置的Radius scheme zzpermit。
[H3C-isp-629]quit
[H3C]dot1x
802.1X is enabled globally.
[H3C]dot1x interface Ethernet 1/0/1
802.1X is enabled on port Ethernet1/0/1.
//只有在全局和接口上都启用802.1X认证,802.1X认证才生效。
[H3C]dot1x authentication-method pap
PAP authentication is enabled.
//802.1X的认证方式包括PAP、CHAP和EAP。进行RSA认证,必须设置为PAP;因为目前RSA仅支持如下几种认证方式:PAP,PEAP-MD5,PEAP-GTC.
(1) 在RSA服务器上登录RSA Security Console,选择[Identity>Users>Add New]菜单项,如图21所示。
图21 RSA Security Console-Add New Users
(2) 如图22所示,增加用户“rose”。
(3) 为用户分配token,有如下两种方法:
· 选择[Identity>Users>Manage Existing]项,点击用户“rose”右侧的
,在弹出的下拉列表中选择“SecurID Tokens”项,选择需要为用户分配的token。
· 选择[Authentication>SecurID Tokens>Manage Existing>Unassigned]项,点击Token右侧的
,在弹出的下拉列表中选择“Assign to User”项,选择待分配该token的用户。
(1) 在RSA服务器上登录RSA Security Console,选择[RADIUS>RADIUS Clients>Add New]项,如图23所示。
图23 RSA Security Console-Add New Clients
(2) 如图24所示,添加EIA为RADIUS Client方法如下:
a. 输入客户端名称,本例为“192.168.40.139”。
b. 客户端IP地址配置必须为EIA服务器IP地址,本例为“192.168.40.139”。
c. 共享密钥配置必须与在EIA服务器上增加RSA认证配置时设置的密钥保持一致,本例为“mytest”。
(3) 单击<Save and Create Associated RSA Agent>按钮,增加与该RADIUS Client关联的RSA Agent,如图25所示。
(4) 单击<Save>按钮,增加RADIUS Client及与其关联的RSA Agent完成。
图26 查看RSA服务器上认证监听端口
认证步骤如下:
iNode客户端版本必须与iMC EIA配套且支持RSA动态密钥,具体的配套关系请参见EIA版本说明书。
(1) 在iNode PC客户端主页面,选择“802.1X连接”,展开802.1X连接区域,如图27所示。
图27 iNode客户端主界面
(2) 单击802.1X连接区域的“更多”链接,如图28所示。
(3) 单击“属性”链接,弹出属性设置窗口,如图29所示,勾选“使用RSA动态口令校验”项,单击<确定>按钮,返回iNode客户端主页面。
(4) 输入用户名和密码后,单击<连接>按钮,如图30所示,开始认证。
(5) 输入RSA认证令牌上的密钥,如图31所示,单击<确定>按钮。
认证成功的界面如图32所示,验证本案例配置正确。
登录iMC平台,选择“用户”页签,单击导航树中的[接入用户管理>在线用户]菜单项,查看在线用户,如图33所示。
支持
售前咨询
售后咨询
人工在线咨询
