- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
iMC EIA MSCHAPv2+LDAP认证
典型配置举例
资料版本:5W115-20230822
产品版本:iMC EIA (E0630)
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档用于介绍iMC EIA MSCHAPv2 LDAP认证方法。PEAP-MSCHAPv2认证类型是EAP证书认证的一种。当LDAP服务器使用Windows AD时,LDAP用户支持EAP-PEAP-MSCHAPv2认证方法。
某公司计划使用iMC EIA MSCHAPv2 LDAP认证系统控制员工接入公司网络的权限。
本案例中终端用户通过iNode客户端,使用802.1X证书认证;EIA中增加LDAP服务器,并配置EAP证书MSCHAPv2认证方法;LDAP服务器为Windows AD。
具体的组网如图1所示。EIA服务器IP地址为192.168.1.230,LDAP服务器IP地址为10.114.119.41,接入设备IP地址为192.168.30.100。
注:本例中各部分使用的版本如下:
· EIA:iMC EIA 7.3 (E0630);
· Windows AD:安装于Windows Server 2012;
· 接入设备:H3C Comware Software, Version 7.1.045, Release 2432P06
· iNode PC:iNode PC 7.3 (E0585)。
· 接入设备支持802.1X协议,且与iMC路由可达;
· LDAP服务器为Windows AD,且与iMC路由可达,安装Windows AD可参考3 附录;
· 服务器证书申请完成。
(1) 在h3c.com下新建test组织,在test组织下新建test01用户,该用户的Base DN为ou=test,dc=h3c,dc=com。
图2 用户数据目录
(2) 新建一个虚拟计算机“eiaserver”,并参考2.3.2 4. 重置虚拟计算机密码执行ModifyComputerAccountPass.vbs脚本文件,以重置虚拟计算机的密码。
图3 新建虚拟机
(3) 查看administrator管理员所在的文件夹为Users,所以管理员DN为cn=administrator,cn=users,dc=h3c,dc=com,管理员密码为administrator的密码iMC123。
图4 管理员
(4) 确认LDAP服务器上认证监听端口,缺省值“389”
配置EIA服务器时,建议按照以下顺序配置:
· 增加接入策略
· 增加接入服务
· 增加LDAP服务器
· 重置虚拟计算机密码
· 增加LDAP同步策略
· 同步LDAP用户
· 导入服务器证书
· 配置系统参数
· 增加接入设备
增加接入策略的方法如下:
(1) 选择“用户”页签。单击导航树中的[接入策略管理 > 接入策略管理]菜单项,进入接入策略管理页面,如图5所示。
(2) 在接入策略列表中,单击<增加>按钮,进入增加接入策略页面,如图6所示。
¡ 接入策略名:输入“CA策略”;
¡ 首选EAP类型:下拉框中选择“EAP-PEAP”;
¡ 子类型:下拉框中选择“EAP-MSCHAPv2”;
¡ 其他参数均保持默认值。
(3) 单击<确定>按钮,接入策略增加完成。返回接入策略列表,在列表中查看新增的接入策略,如图7所示。
接入服务是对用户进行认证授权的各种策略的集合。
增加接入服务的方法如下:
(1) 选择“用户”页签。单击导航树中的[接入策略管理 > 接入服务管理]菜单项,进入接入服务管理页面,如图8所示。
(2) 在接入服务列表中,单击<增加>按钮,进入增加接入服务页面,如图9所示。
配置接入服务参数如下:
¡ 服务名:输入“CA服务”;
¡ 服务后缀:输入“cert”;
¡ 缺省接入策略:选择1. 增加接入策略新增的“CA策略”;
表1 EIA中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。本案例中iMC服务配置了服务后缀,认证连接用户名使用X@Y,接入设备中配置user-name-format with-domain命令。
(3) 单击<确定>按钮,接入服务增加完毕。返回接入服务列表,在列表中查看新增的接入服务,如图10所示。
(1) 选择“用户”页签。单击导航树中的[接入策略管理 > LDAP业务管理 > 服务器配置]菜单项,进入LDAP服务器配置页面,如图11所示。
图11 LDAP服务器列表
(2) 在LDAP服务器列表中,单击<增加>按钮,进入增加LDAP服务器页面,如图12所示。
¡ 服务器名称:输入服务器名称,在EIA中唯一。本例为“Windows AD”。
¡ 服务器IP地址:输入LDAP服务器的IP地址,该参数和Base DN的组合必须唯一。本例为“10.114.119.41”。
¡ 服务器类型:LDAP服务器是Windows AD,推荐选择微软活动目录,所以本例保持缺省值“微软活动目录”。
¡ 管理员DN:输入LDAP服务器的管理员(用户可以自行创建管理员用户),必须输入能定位到管理员的绝对路径。本例为2.3.1 (3)中的管理员DN“cn=administrator,cn=users,dc=h3c,dc=com”。
¡ 管理员密码:输入LDAP服务器管理员的密码,本例为2.3.1 (3)中administrator的密码,系统利用管理员DN和密码与LDAP服务器建立连接。
¡ Base DN:输入LDAP服务器中保存用户数据的目录路径,必须使用LDAP服务器上的绝对路径。本例为2.3.1 (1)中的Base DN“ou=test,dc=h3c,dc=com”。
¡ 启用MS-CHAPv2认证:选择“是”,为Windows AD服务器启用MSCHAPv2认证。
¡ 认证方式:选择“通过虚拟计算机认证”。
¡ 域控服务器地址与LDAP服务器地址一致:由于本案例中域控服务器与LDAP服务器是同一服务器,二者地址相同,所以选择“是”。
¡ 域控服务器全名:输入域控服务器的全名“12r2-sql12sq1.h3c.com”。
¡ 虚拟计算机名称:输入虚拟计算机的名称“eiaserver”。
¡ 虚拟计算机密码:输入虚拟计算机的密码,并再次输入虚拟计算机的密码以确保二者一致。
¡ 其他参数:保持缺省值。
图12 增加LDAP服务器1
图13 增加LDAP服务器2
(3) LDAP服务器信息配置完成后,单击<检测>按钮,测试服务器的连通性。如果服务器信息正确,检测结果如图14所示。
(4) 单击<确定>按钮,增加LDAP服务器操作完成。在列表中查看新增LDAP服务器,如图15所示。
图15 LDAP服务器增加成功
在域控服务器上增加虚拟计算机后,需要执行ModifyComputerAccountPass.vbs脚本文件重置虚拟计算机的密码。
(1) 选择“用户”页签。单击导航树中的[接入策略管理 > LDAP业务管理 > 参数配置]菜单项,进入LDAP参数配置页面,如图16所示。
图16 LDAP参数配置
(2) 点击“修改计算机密码脚本”对应的链接,将虚拟计算机密码脚本文件保存到本地,如图17所示。以文本编辑器打开该脚本文件,修改虚拟计算机的对象值和密码并保存,如图18所示。在域控服务器上执行该脚本文件,使重置后的虚拟计算机密码生效。
(1) 选择“用户”页签。单击导航树中的[接入策略管理 > LDAP业务管理 > 同步策略配置]菜单项,进入同步策略配置页面,如图19所示。
(2) 在同步策略列表中,单击<增加>按钮,进入增加同步策略页面,如图20所示。
¡ 同步策略名称:输入LDAP同步策略的名称,在EIA中必须唯一。本例为“LDAP同步策略”。
¡ 服务器名称:在下拉框中选择“Windows AD”。
¡ 子Base DN:输入LDAP服务器中保存用户数据的子目录路径。同步策略同步该目录下的用户数据。子Base DN用LDAP服务器上的绝对路径来表示,且必须是Base DN或其子集。本例为“ou=test,dc=h3c,dc=com”。
¡ 同步的用户类型:本例以选择“接入用户”的方式进行介绍。
¡ 增加同步策略时,只有选择接入用户,新增的同步策略才属于接入用户类型的LDAP同步策。
¡ 增加同步策略时,只有选择设备管理用户,新增的同步策略才属于设备管理用户类型的LDAP同步策略。
¡ 同步选项:选择同步选项,本例选择“用户同步”、“新增用户及其接入账号”、“为已存在的用户新增接入账号”和“过滤计算机账号”。
- 自动同步:每天按照系统参数中“LDAP同步/备份任务”设置的时间进行同步。
- 按需同步:iMC EIA系统中不存在、而LDAP服务器中存在的用户进行接入认证时,EIA自动将认证请求转给LDAP服务器进行校验。如果用户通过认证,系统将自动将此用户从LDAP服务器同步到iMC中。需要注意的是,如果iMC中用户相关的License已达授权数量的上限,则无法进行同步,同时强制用户下线。LDAP按需同步功能只能同步采用PAP和EAP-MD5方式认证的用户,不能同步采用CHAP和任何证书认证的用户。PEAP/MS-CHAPv2认证方式支持LDAP按需同步用户特性需要具备的条件是:LDAP按需同步用户申请的服务,需要配置缺省接入策略,而不能配置为“禁止接入”, 而且这个缺省接入策略需要配置为PEAP/MS-CHAPv2认证方式。当一个按需同步用户首次发起EAP认证时(此时还拿不到用户的密码信息),EIA会检查这个LDAP临时用户是否符合上述条件, 符合则把这个用户同步为正式用户,无论随后的认证能否通过。
- 启用第三方认证:勾选该选项时,该同步策略同步过来的LDAP用户认证时会做第三方认证,当不勾选时,做LDAP认证。
- 新增用户及其接入帐号:如果在LDAP服务器中存在某个用户,而在iMC平台中不存在该用户,则同步时会在iMC平台中新增该用户,并在EIA组件中新增对应的接入用户。
- 为已存在用户新增接入帐号:如果在LDAP服务器和iMC平台中都存在某个用户,而在EIA组件中不存在该用户对应的接入用户,则同步时会在EIA组件中新增对应的接入用户。
- 仅同步当前节点下的用户:如果选中该项,则只同步子BaseDN下的用户,不同步子BaseDN下属OU的用户;如果不选中,则同步子BaseDN及其下属OU中的所有用户。
- 过滤计算机帐号:如果去勾选该项,则计算机帐号会被同步为接入用户。
- 发送密码通知短信:通过短信发送密码通知。
- 发送密码通知电子邮件:通过电子邮件发送密码通知
¡ 其他参数:保持缺省值。
(3) 单击<下一步>按钮,进入其他信息配置页面,如图21所示。
¡ 配置接入信息:
- 密码:可自定义填写,本例输入密码为“iMC123456”。
- 其他参数:保持缺省值。
¡ 配置接入服务:如果同步策略对应的LDAP服务器的服务同步方式为基于AD组,则使用该同步策略同步的用户所申请的服务由用户所属LDAP组、同步策略中LDAP组和服务的对应关系、LDAP服务器上LDAP组的结构共同决定。选择服务的原则如下:选择以用户为根,在用户所属的直接组和间接组所组成的树状结构中,层数上离用户最近且优先级最高的服务;如果同步策略对应的LDAP服务器的服务同步方式为手工指定,可以为绑定用户指定服务,本例指定“CA服务”的服务。
(4) 单击<完成>按钮,增加LDAP同步策略操作完成。
图22 LDAP同步策略增加成功
LDAP服务器同步策略配置完成后,在同步策略列表中,点击“同步”链接,手动同步LDAP用户。同步结果如图23所示。
选择“用户”页签。单击导航树中的[接入用户管理 > 接入用户]菜单项,进入接入用户管理页面。在接入用户列表中查看LDAP接入用户,如图24所示。
图24 查看LDAP用户同步结果
导入服务器证书的方法如下:
(1) 选择“用户”页签。单击导航树中的“接入策略管理 > 业务参数配置 > 证书配置”菜单项,进入证书配置页面,如图25所示。
(2) 选择“服务器证书配置”页签,进入服务器证书列表页面,如图26所示。
(3) 单击<导入EAP服务器证书>按钮,进入服务器证书配置页面,如图27所示。
(4) 勾选服务器证书和私钥在同一文件左侧的复选框,如图28所示。
(5) 单击<浏览>按钮,在弹出的窗口中选择服务器证书,如图29所示。
(6) 单击<打开>按钮,服务器证书添加完成,如图30所示。
(7) 单击<下一步>按钮,输入服务器证书的私钥密码,如图31所示。
(8) 单击<确定>按钮,服务器证书添加完成。
设置证书认证时不检查帐号名是否与证书中的属性一致。
配置系统参数的方法如下:
(1) 选择“用户”页签。单击导航树中的[接入策略管理 > 业务参数配置 > 系统配置]菜单项,进入系统配置页面,如图32所示。
(2) 在系统配置页面,点击“系统参数配置”行中的配置图标
,进入系统参数配置页面。
去勾选“检查帐号名与证书中的属性”,如图33所示。
(3) 设置完成后,单击<确定>按钮,保存设置。
增加接入设备是为了建立iMC服务器和接入设备之间的联动关系。
增加接入设备的方法如下:
(1) 选择“用户”页签。单击导航树中的[接入策略管理 > 接入设备管理 > 接入设备配置]菜单项,进入接入设备配置页面,如图34所示。
(2) 在接入设备列表中,单击<增加>按钮,进入增加接入设备页面,如图35所示。
a. 输入及确认共享密钥“expert”。其他参数保持缺省值。
b. 在设备列表中单击<选择>按钮,在弹出的选择设备窗口中选择IP地址为“192.168.30.100”的接入设备。单击<确定>按钮,返回增加接入设备页面。
接入设备的IP地址必须满足以下条件:
· 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
· 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
(3) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面。点击“返回接入设备列表”链接,在列表中查看新增的接入设备。
图36 接入设备
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口Telnet到接入设备并进行配置,具体的命令及其说明如下:
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C]radius scheme test
New Radius scheme
[H3C-radius-test]primary authentication 192.168.1.230 1812
[H3C-radius-test]primary accounting 192.168.1.230 1813
//认证、计费服务器都指向EIA,认证、计费端口与EIA中2.3.2 9. 增加接入设备的配置保持一致。
[H3C-radius-test]key authentication expert
[H3C-radius-test]key accounting expert
//认证、计费共享密钥与EIA中2.3.2 9. 增加接入设备的配置保持一致。
[H3C-radius-test]user-name-format with-domain
//本案例采用携带Domain的认证方式。EIA、设备中配置的搭配关系请参见表1。
[H3C-radius-test]nas-ip 192.168.30.100
[H3C-radius-test]quit
[H3C]domain cert
New Domain added.
[H3C-isp-cert]authentication default radius-scheme test
[H3C-isp-cert]authorization default radius-scheme test
[H3C-isp-cert]accounting default radius-scheme test
//认证、授权、计费都采用之前配置的Radius scheme test。
[H3C-isp-cert]quit
[H3C]dot1x authentication-method eap
//Windows AD进行EAP-MSCHAPv2认证时,802.1X认证方式必须设置为EAP。
[H3C]dot1x
[H3C] interface GigabitEthernet 1/0/9
[H3C-GigabitEthernet 1/0/9]dot1X
[H3C-GigabitEthernet 1/0/9]dot1X mandatory-domain cert
//只有在全局和接口上都启用802.1X认证,802.1X认证才生效。在接口下使用所需要的domain。
认证步骤如下:
当前EIA适配所有版本的iNode,iNode的版本可以按需进行选择。
(1) 打开iNode客户端,如图37所示。
图37 iNode客户端界面
(2) 单击“更多”链接,然后单击<属性>按钮,弹出802.1X属性设置窗口,如图38所示。
图38 802.1X属性设置
(3) 选择“高级”页签,进入高级认证配置页面,如图39所示。
(4) 勾选“启用高级认证”前的复选框,并在下拉框中选择“证书认证”,认证类型选择“PEAP”,子类型选择“MS-CHAP-V2”,其它保持缺省值。如图40所示。
(5) 单击<确定>按钮,802.1X属性设置完成。
打开iNode客户端,输入用户名密码,单击<连接>按钮,客户端开始认证。认证信息打印在iNode客户端主窗口中,如图42所示。认证信息显示认证成功,验证了本例配置的正确性。
在EIA配置页面中,选择“用户”页签。单击导航树中的[接入用户管理 > 在线用户]菜单项,查看在线用户,如图43所示。
(1) 单击服务管理器,如图44所示。
(2) 进入仪表板界面,如图45所示
(3) 单击“添加角色和功能”步骤,进入添加角色和功能向导页面,如图46所示,单击<下一步>按钮。
(4) 进入选择安装类型页面,如图47所示,选择“基于角色或基于功能的安装”选项,单击<下一步>按钮。
(5) 进入服务器选择页面,选择“从服务器池中选择服务器”,如图48所示,单击<下一步>按钮。
(6) 进入选择服务器角色页面,勾选“Active Directory域服务”选项,如图49所示。
(7) 弹出确认窗口,单击<添加功能>按钮,然后单击<下一步>按钮。
(8) 进入功能页面,如图50所示,直接单击<下一步>按钮。
(9) 进入AD DS页面,如图51所示,直接单击<下一步>按钮。
(10) 进入确认页面,勾选“如过需要,自动重新启动目标服务器”选项,如图52所示。
(11) 单击<安装>按钮,进入结果页面,查看安装进度,如图53所示。
(12) 安装完成后计算机自动重启,重启之后重新打开服务器,选择添加角色和功能页面,重新进入结果页面,安装完成后,选择“将此服务器提升为域控制器”链接,如图54所示。
(13) 进入部署配置页面,选择“添加新林”选项,填写根域名,如图55所示,本文以“h3c.com”为例。
(14) 单击<下一步>按钮,进入域控制器选项页面,选择新林和根域的功能级别,并输入目录服务还原模式(DSRM)密码,如图56所示。
(15) 单击<下一步>按钮,进入其他选项页面,如图57所示。
(16) 直接单击<下一步>按钮,进入路径页面,如图58所示。
(17) 单击<下一步>按钮,进入查看选项页面,如图59所示。
(18) 直接单击<下一步>按钮,进入先决条件检查页面,如图60所示。
(19) 待先决条件检查完之后,单击<安装>按钮,安装完成后,提示重启。如图61所示。
(20) 重启完成后,重新登录域服务器。
(21) 打开服务器管理,选择[工具>Active Directory用户和计算机]路径,如图62所示。
图62 打开Active Directory用户和计算机
(22) 进入Active Directory用户和计算机页面,如图63所示,可查看用户和组管理。
(23) 进入[控制面板>系统和安全>系统]路径,如图64所示,可以查看域控安装成功。
(1) 打开服务器管理器,进入仪表板界面,如图65所示。
(2) 选择添加角色和功能,进入选择服务器角色页面,选择Active Directory证书服务,如图66所示,单击<下一步>按钮。
(3) 进入添加角色和功能向导页面,单击<添加功能>页面,如图67所示。
(4) 进入角色服务页面,勾选证书颁发机构选项,如图68所示,单击<下一步>按钮。
(5) 进入确认页面,勾选“如果需要,自动重新启动目标服务器”选项,如图69所示,单击<安装>按钮。
(6) 进入结果页面,查看安装进度,如图70所示。
(7) 安装完成后计算机自动重启,重启之后重新打开服务器,进入凭证页面,如图71所示,单击<下一步>按钮。
(8) 进入角色服务页面,如图72所示,单击<下一步>按钮。
(9) 进入指定CA的设置类型页面,如图73所示,单击<下一步>按钮。
(10) 进入指定CA类型页面,如图74所示,单击<下一步>按钮。
图74 CA类型
(11) 进入私钥页面,选择创建新的私钥,如图75所示,单击<下一步>按钮。
(12) 进入指定加密选项,选择SHA1选项,如图76所示,单击<下一步>按钮。
(13) 进入指定CA名称页面,保持默认值,如图77所示,单击<下一步>按钮。
图77 CA名称
(14) 进入指定有效期页面,设备有效期,如图78所示,单击<下一步>按钮。
(15) 进入证书数据库页面,如图79所示,单击<下一步>按钮。
(16) 进入确认页面,如图80所示,单击<配置>按钮。
(17) 查看配置进度,如图81所示。
(18) 安装完成后提示配置成功,如图82所示。
(19) 安装完成之后可进入[服务器管理器>工具>证书颁发机构>颁发的证书]页面查看证书,如图83所示。
支持
售前咨询
售后咨询
人工在线咨询
