- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
16-iMC EIA 计算机认证典型配置案例-整本手册.pdf (2.21 MB)
iMC EIA 计算机认证
典型配置案例
资料版本:5W109-20230706
产品版本:iMC EIA 7.3 (E0630)
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
计算机认证就是用Windows自带的802.1X客户端实现认证功能。组网如图1所示,计算机802.1X客户端选择计算机身份验证加证书认证的方式,与作为接入设备的交换机直连,iMC负责接入设备管理以及接入规则、接入用户的管理。通过这种方式用户可以方便、快捷地进行认证,接入网络。
适用于计算机需要通过证书认证接入网络的情况。
某公司出于安全考虑,计划让公司内部的计算机使用计算机认证接入网络。iMC服务器IP地址为192.168.40.139,接入设备管理IP地址为192.168.30.100,计算机接入交换机的Ethernet 1/0/23接口。
注:本案例中各部分使用的版本如下:
· EIA版本为iMC EIA 7.3 (E0630)
· 接入设备为H3C S5500-28C-SI Comware Software, Version 5.20, Release 2215
EIA中的配置包括:接入设备、接入策略、接入服务、接入用户和证书。
增加接入设备是为了建立iMC服务器和接入设备之间的联动关系。
增加接入设备的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面,如图2所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图3所示。
图3 增加接入设备页面
(3) 配置接入设备。
配置接入设备有两种方法:
· 在设备列表中单击<选择>按钮从iMC平台中选择设备
· 在设备列表中单击<手工增加>按钮,手工配置接入设备。
无论采用哪种方式接入设备的IP地址都必须满足以下要求:
· 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
· 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
从iMC平台中选择设备时,设备的IP地址无法修改。因此如果设备加入iMC平台时使用的IP地址不满足上述要求,则可以采用手工增加的方式增加接入设备。本例采用手工增加的方式进行说明。
单击设备列表中的<手工增加>按钮,弹出手工增加接入设备窗口,如图4所示。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。
(4) 配置公共参数。
· 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
· 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
· 业务类型:在下拉框中选择该设备承载的业务,支持LAN接入业务和设备管理业务。如果设备的业务类型为“不限”,那么设备可以兼容“LAN接入业务”和“设备管理业务”两种类型;如果选择了“设备管理业务”,那么只能应用这一种类型。
· 强制下线方式:当服务器强制终端用户下线时为用户选择的下线方式。
¡ 断开用户连接:NAS设备通过Disconnect消息断开用户连接。
¡ Down-Up端口:NAS设备通过先Down掉连接用户端口,然后再重新UP端口使用户下线。
· 接入设备类型:在下拉框中选择接入设备的厂商和类型。下拉框中包含了Standard、EIA系统预定义和管理员自定义的厂商和类型。本例选择“H3C(General)”项。
· 业务分组:在下拉框中选择接入设备所属的业务分组。可将接入设备加入不同的业务分组以便进行分权管理。
· 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果系统参数中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。
· 接入设备分组:在下拉框中选择接入设备需要加入的接入设备分组。可选项包括EIA中已经存在的接入设备分组和“无”。接入设备分组是区分终端用户的接入条件之一。
· 下发User-Notify属性:通过User-Notify属性下发产品配置给终端,终端收到这些属性可以完成一些功能,比如发起安全检查。H3C的设备一般模式是下发;早期的设备标注是华为和3com的,配置为下发;其他设备比如思科,锐捷,配置为不下发;还有一些华为的新设备,设备自身重用了User-Notify属性不下发。
图5 公共参数配置
(5) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面。点击“返回接入设备列表”链接,返回接入设备配置页面,可在接入设备列表中查看新增的接入设备,如图6所示。
增加接入策略的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面,如图7所示。
(2) 单击<增加>按钮,进入增加接入策略页面。
(3) 输入接入策略名称、选择首选EAP类型为“EAP-TLS”,其他参数保持缺省值即可,如图8所示。
(4) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图9所示。
接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。
增加接入服务的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面,如图10所示。
(2) 单击<增加>按钮,进入增加接入服务页面,如图11所示。
配置服务的各个参数:
· 服务名:输入服务名称,在EIA中必须唯一。
· 服务后缀:如何设置服务后缀与接入设备中的配置密切相关,具体请参见表1。本例中,设备RADIUS相关命令配置为不携带domain,因此不配置服务后缀。
|
用户名 |
设备用于认证的Domain |
设备RADIUS配置的相关命令 |
EIA中的服务后缀 |
|
计算机全名 |
[Default Domain] (设备上指定的缺省域) |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
表1中的命令以H3C(General)系列设备为例,配置其他设备时请参考设备的命令手册。
· 缺省接入策略:选择之前配置的“for machine”。
· 其他参数:保持缺省值。
(3) 单击<确定>按钮,接入服务增加完毕。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图12所示。
接入用户是用户接入网络时使用的身份证,包含帐号名、密码和使用的服务等信息。
增加接入用户的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面,如图13所示。
(2) 单击<增加>按钮,进入增加接入用户页面。
配置接入信息和接入服务:
· 用户姓名:
¡ 选择基本用户方式:单击“选择基本用户”图标,弹出选择基本用户窗口,输入基本用户姓名后单击<查询>按钮,可以查询出已存在的基本用户,勾选基本用户后单击<确定>按钮。若需为EIA中已存在的基本用户添加接入用户可选择此配置方式,一个基本用户下可存在多个接入用户,基本用户通过用户姓名和证件号码构成唯一标识。
¡ 直接配置方式:直接进行用户姓名填写。本例选择直接配置方式。
· 帐号名:此处不需要输入帐号名,勾选帐号名文本框下方的“主机名用户”后,EIA自动将帐号名设置为computer,作为与所有使用计算机认证的终端关联的接入用户。
· 接入服务:选择之前增加的接入服务。
· 其他参数:保持缺省值。
参数设置完成后的效果图如图14所示。
(3) 单击<确定>按钮,接入用户增加完毕。返回接入用户页面,可在接入用户列表中查看新增的接入用户,如图15所示。
配置过程中需要用到根证书和服务器证书。根证书的获取方法请参见附录A申请ROOT身份验证证书。服务器证书的获取方法请参见附录C 服务器端申请服务器身份验证证书和附录D 导出客户端/服务器端身份验证证书。
EIA服务器导入根证书和服务器证书的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 业务参数配置 > 证书配置”菜单项,默认进入根证书配置页面,如图16所示。
(2) 单击<导入EAP根证书>按钮,进入导入根证书页面,如图17所示。
(3) 单击<选择文件>按钮,选择根证书的存放位置。
(4) 单击<下一步>按钮,进入CRL配置页面,如图18所示。
图18 CRL配置页面
(5) 单击<确定>按钮,根证书导入完成,如图19所示。
(6) 选择“服务器证书配置”页签,进入服务器证书配置页面,如图20所示。
(7) 单击<导入EAP服务器证书>按钮,进入导入服务器证书页面,如图21所示。
(8) 根据以下两种情况分别进行操作。
· 如果服务器证书和私钥分成两个文件保存,则不勾选“服务器证书和私钥在同一文件”项,单击服务器证书和私钥对应的<选择文件>按钮,分别导入服务器证书和私钥。
· 如果服务器证书和私钥保存在同一个文件中,则勾选“服务器证书和私钥在同一文件”项,单击服务器证书对应的<选择文件>按钮,选择服务器证书。
本例中服务器证书和私钥保存在同一个文件中,故勾选“服务器证书和私钥在同一文件”项,单击<选择文件>按钮选择导出的服务器证书文件,如图22所示。
(9) 单击<下一步>按钮,输入服务器私钥密码(私钥密码是导出服务器证书时设置的私钥密码),如图23所示。
图23 输入私钥密码
(10) 单击<确定>按钮,服务器证书导入完成,如图24所示。
配置RADIUS方案 test1。
[H3C]radius scheme test1
New Radius scheme
配置RADIUS认证服务器IP,端口(端口默认为1812,与iMC配置的认证端口保持一致)。
[H3C-radius-test1]primary authentication 192.168.40.139 1812
配置RADIUS计费服务器IP,端口(端口默认为1813,与iMC配置的计费端口保持一致)。
[H3C-radius-test1]primary accounting 192.168.40.139 1813
配置RADIUS认证和计费密钥,与iMC配置的共享密钥一致。
[H3C-radius-test1]key authentication test1
[H3C-radius-test1]key accounting test1
配置服务器类型,extended表示支持H3C扩展属性。
[H3C-radius-test1]server-type extended
配置用户名格式,without-domain表示用户名后不携带域名。
[H3C-radius-test1]user-name-format without-domain
[H3C-radius-test1]quit
配置Domain imc。
[H3C]domain imc
指定802.1X 关联的RADIUS方案。
[H3C-isp-imc]authentication lan-access radius-scheme test1
[H3C-isp-imc]authorization lan-access radius-scheme test1
[H3C-isp-imc]accounting lan-access radius-scheme test1
[H3C-isp-imc]quit
将Domain imc 设置为默认域。
[H3C]domain default enable imc
使能802.1X,全局和接口同时使能,接口802.1X功能才生效。
[H3C]dot1x
802.1x is enabled globally.
[H3C]dot1x interface GigabitEthernet 1/0/23
802.1x is enabled on port GigabitEthernet1/0/23.
802.1X认证方式采用EAP方式(只有EAP方式支持证书认证)。
[H3C]dot1x authentication-method eap
EAP authentication is enabled
[H3C]interface GigabitEthernet 1/0/23
认证接口禁用802.1X握手(Windows操作系统自再带的客户端不支持802.1X握手)。
[H3C-GigabitEthernet1/0/23]undo dot1x handshake
[H3C-GigabitEthernet1/0/23]quit
Windows XP默认开启802.1X身份验证服务,无需手动开启,请直接跳至2. 安装客户端身份验证证书。Windows Vista、Windows 7和Windows 8默认不开启IEEE 802.1X身份验证服务,需要手动开启。本手册以Windows 7为例进行配置。
(1) 依次点击开始 > 控制面板 > 管理工具 > 服务菜单项,进入服务页面,如图25所示。
(2) 双击“Wired AutoConfig”项,进入Wired AutoConfig属性页面,如图26所示。
参数配置如下:
· 启动类型:选择“自动”项。
· 服务状态:单击<启动>按钮。
· 其他参数:保持缺省值。
(3) 单击<确定>按钮,启动802.1X服务完成。
客户端需要安装的证书为ROOT身份验证证书和客户端身份验证证书。请注意,客户端身份验证证书的名称需要与最终使用此证书的计算机的计算机名完全一致,否则无法通过身份验证。客户端安装身份验证证书的操作如下:
(1) 申请并安装ROOT身份验证证书的方法,请参见附录A申请ROOT身份验证证书。
(2) 申请并安装客户端身份验证证书的方法,请参见和附录B 客户端申请客户端身份验证证书。
(3) 导出客户端身份验证证书的方法,请参见附录D 导出客户端/服务器端身份验证证书。
(4) 为计算机帐户导入ROOT身份验证证书和客户端身份验证证书的方法,请参见附录E为计算机帐户导入客户端证书和根证书。
(1) 依次单击“开始 > 控制面板 > 网络和共享中心 > 更改适配器设置”菜单项,双击本地连接,弹出本地连接状态窗口,如图27所示。
(2) 单击<属性>按钮,弹出本地连接属性窗口。
(3) 选择身份验证页签,进入身份验证页面,如图28所示。
参数配置如下:
· 勾选“启用IEEE 802.1X 身份验证”项。
· 选择网络身份验证方法:选择“Microsoft:智能卡或其他证书”项。
· 推荐勾选“每次登录时记住此连接的凭据”项,以便下次连接时,自动进行身份验证。
· 其他参数:保持缺省值。
(4) 单击<设置>按钮,进入智能卡或其他证书属性页面,如图29所示。
参数配置如下:
· 点选“在此计算机上使用证书”项。
· 勾选“使用简单证书选择”项。
· 勾选“验证服务器证书”项。
· 受信任的根证书颁发机构:勾选“12DC-MODEL-CA”项。其中,12DC-MODEL-CA是CA证书服务器的名字,正确安装ROOT身份验证证书和客户端身份验证证书后,受信任的根证书颁发机构选框下才会出现相应选项。
(5) 单击<确定>按钮,返回本地连接属性窗口。
(6) 单击<其他设置>按钮,弹出高级设置窗口,如图30所示。
参数配置如下:
· 勾选“指定身份验证模式”。
· 身份验证模式:选择“计算机身份验证”项。
(7) 单击<确定>按钮,返回本地连接属性窗口。
(8) 单击<确定>按钮,IEEE 802.1X客户端配置完成。
PC开机或者连接802.1X认证网络后,认证自动完成。
登录iMC配置管理台,选择“用户”页签,单击导航树中的“接入用户管理 > 在线用户”菜单项,进入在线用户页面。在线用户列表中显示了计算机认证成功的用户,如图31所示。其中帐号名为computer,登录名为计算机名。
客户端和服务器申请并安装ROOT身份验证证书的方法相同,均可按照以下步骤操作:
(1) 打开Internet Explorer浏览器,在地址栏中输入“http://192.168.40.133/certsrv/”,进入Microsoft Active Directory 证书服务页面,如图32所示。其中,192.168.40.133是CA证书服务器的IP地址。
图32 Microsoft Active Directory证书服务页面
(2) 点击“下载CA证书、证书链或CRL”链接,进入下载CA证书、证书链或CRL页面,如图33所示。
图33 下载CA证书、证书链或CRL页面
(3) 点击“下载 CA证书”链接,按浏览器提示将ROOT 身份验证证书certnew.cer保存至本地。
(4) 打开本地的ROOT身份验证证书,如图34所示。
(5) 单击<安装证书>按钮,进入证书导入向导页面,如图35所示。
(6) 单击<下一步>按钮,进入证书存储页面,如图36所示。
参数配置如下:
· 选择“将所有的证书放入下列存储”项。
· 单击<浏览>按钮,选择“受信任的根证书颁发机构”。
(7) 单击<下一步>按钮,进入正在完成证书导入向导页面,如图37所示。
(8) 单击<完成>按钮,完成根证书导入操作。系统会提示安全警告,单击<是>按钮,ROOT身份验证证书安装完成。
(1) 打开Internet Explorer浏览器,在地址栏中输入“http://192.168.40.133/certsrv/”,进入Microsoft Active Directory 证书服务页面,如图38所示。其中,192.168.40.133是CA证书服务器的IP地址。
图38 Microsoft Active Directory证书服务页面
(2) 依次点击“申请证书 >高级证书申请 >创建并向此CA提交一个申请”链接,进入高级证书申请页面,如图39所示。
参数配置如下:
· 姓名:填入使用此证书的计算机的计算机全名。
· 需要的证书类型:选择“客户端身份验证证书”。
· 密钥选项:勾选“标记密钥为可导出”项。
· 其他参数:保持缺省值。
(3) 单击<提交>按钮,提交申请。
(4) 申请提交后,需要等待证书服务器管理员颁发证书。证书服务器管理员颁发证书的方法请参见附录F证书服务器向证书申请授权。用户可以通过单击图38中的“查看挂起的证书申请的状态”查看证书申请的当前状态。
如图40所示,为证书未颁发状态。
如图41所示,为证书已颁发状态。
(5) 证书服务器管理员向您的证书申请授权后,点击图41中的“安装此证书”链接,待页面显示“你的新证书已成功安装”后,客户端身份验证证书安装完成。
(1) 打开Internet Explorer浏览器,在地址栏中输入“http://192.168.40.133/certsrv/”,进入Microsoft Active Directory证书服务页面,如图42所示。其中,192.168.40.133是CA证书服务器的IP地址。
图42 Microsoft Active Directory证书服务页面
(2) 依次点击“申请证书 > 高级证书申请 > 创建并向此CA提交一个申请”菜单项,进入高级证书申请页面,如图43所示。
(3) 高级证书申请参数配置如下:
· 识别信息:“Name”为必填项,其他项目选填。
· 需要的证书类型:选择“服务器身份验证证书”项。
· 勾选“标记密钥为可导出”项,将证书设为可导出状态。
· 其他参数:保持缺省值。
(4) 单击<提交>按钮,提交申请。
(5) 申请提交后,需要等待证书服务器管理员颁发证书。证书服务器管理员颁发证书的方法请参见附录F证书服务器向证书申请授权。用户可以通过单击图42中的“查看挂起的证书申请的状态”查看证书申请的当前状态。
如图44所示,为证书未颁发状态。
如图45所示,为证书已颁发状态。
(6) 证书服务器管理员向您的证书申请授权后,点击图45中的“安装此证书”链接,待页面显示“你的新证书已成功安装”后,服务器身份验证证书安装完成。
导出客户端和服务器端身份验证证书的方法相同。本节以导出服务器端身份验证证书为例,将证书导出到本地的方法如下:
(1) 在装有客户端/服务器身份验证证书的计算机上,依次单击“开始 > 控制面板 > 网络和Internet > Internet选项,弹出Internet属性窗口,如图46所示。
(2) 在内容页签中单击<证书>按钮,弹出证书窗口,如图47所示。
(3) 在个人页签页面,选中需要导出的身份验证证书,单击<导出>按钮,进入证书导出向导页面,如图48所示。
(4) 单击<下一步>按钮,进入导出私钥页面,如图49所示。
(5) 选择“是,导出私钥”项,单击<下一步>按钮,进入导出文件格式页面,如图50所示。
(6) 选择“个人信息交换-PKCS #12 (.PFX)”项,单击<下一步>按钮,进入输入密码页面,如图51所示。
(7) 为导出的证书设置密码,单击<下一步>按钮,进入要导出的文件页面,如图52所示。
(8) 单击<浏览>按钮,为需要导出的证书选择存放路径,单击<下一步>按钮,进入正在完成证书导出向导页面,如图53所示。
(9) 单击<完成>按钮,客户端/服务器身份验证证书导出完成。
客户端侧的根证书和客户端证书是由用户帐户管理的,要进行计算机认证,则需要为计算机帐户导入根证书和客户端证书。
以Windows 7操作系统为例,为计算机帐户导入根证书和客户端证书导入方法如下:
(1) 在运行窗口输入mmc.exe,如图54所示,单击<确定>按钮,弹出控制台窗口。
(2) 选择“文件 > 添加/删除管理单元”菜单项,弹出添加或删除管理单元窗口。
图55 控制台窗口
(3) 如图56所示,在可用的管理单元区域选择“证书”,单击<添加>按钮,弹出证书管理窗口。
(4) 如图57所示,选择“计算机帐户”项,单击<下一步>按钮,进入选择计算机窗口,参数保持缺省即可,单击<确定>按钮,返回添加或删除管理单元窗口。
(5) 如图58所示,单击<确定>按钮,完成添加管理单元操作,返回控制台页面。
(6) 如图59所示,右击“个人”项,选择“所有任务 > 导入”,导入客户端证书。
(7) 右击“受信任的根证书颁发机构”项,选择“所有任务 > 导入”,导入根证书。
(8) 保存该控制台,完成计算机帐户导入根证书和客户端证书的操作。
在申请客户端身份验证证书和服务器端身份验证证书时,申请提交后需要证书服务器管理员颁发证书。颁发证书方法如下:
(1) 在CA证书服务器上,依次单击开始 > 管理工具 > 证书颁发机构菜单项,进入证书颁发机构页面,如图60所示。其中,12DC-MODEL-CA是CA证书服务器的名字。
(2) 单击“挂起的申请”项,页面右侧会显示需要颁发证书的条目。
(3) 在待颁发证书的条目上单击鼠标右键,在弹出的菜单中依次选择“所有任务 > 颁发”项,如图61所示,证书颁发完毕。
支持
售前咨询
售后咨询
人工在线咨询
