- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
iMC EIA自研令牌
典型配置举例
资料版本:5W119-20231225
产品版本:iMC EIA 7.3 (E0630)
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
自研令牌功能是通过新华三自研的动态令牌APP与iMC配合实现的一种双因素认证方案。
新华三e盾为每个绑定的接入账户随机生成动态口令,每30秒变换一次,且动态口令一次有效极大的保证了认证的安全性。
与原有的手机动态密码认证相比,动态令牌认证更加安全,避免了多个容易被破解的漏洞,并且不需要手机号,保护了使用者的隐私性。不需要向第三方支取使用费。
适用于银行WI-FI接入认证,运营商营业厅接入认证,企业准入认证等领域中,有效保证了交易和登录的认证安全。
· PC为某公司内部使用的电脑终端。
· EIA/TAM服务器IP地址为10.114.117.66
· 接入设备管理IP地址为192.168.30.100,计算机接入交换机的GE 1/0/5接口。
注:本案例中各部分使用的版本如下:
· EIA版本为iMC EIA 7.3 (E0630)
· 接入设备为H3C S5560X-34C-HI Comware Software, Version 7.1.070, ESS 6515P06
EIA中的配置包括:
· 接入设备
· 接入策略
· 接入服务
· 接入用户
· 启用动态令牌认证
增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。增加接入设备的方法如下:
(1) 在“用户”菜单下,选择“接入策略管理>接入设备管理>接入设备配置”菜单项,进入接入设备配置页面,如图2所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图3所示。
(3) 接入设备配置参数说明:
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果[用户>接入策略管理>业务参数配置>业务参数配置]系统参数中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可,本例配置为“fine”。
¡ 其他参数:保持默认。
(4) 配置接入设备:
配置接入设备有两种方法:
¡ 在设备列表中单击<选择>按钮,弹出选择设备窗口,根据IP地址从系统中选择设备。单击<确定>按钮,增加设备成功,返回增加接入设备页面。
¡ 在设备列表中单击<手工增加>按钮,弹出手工增加接入设备窗口,如图4所示。在起始IP地址处输入接入设备的IP地址。单击<确定>按钮,增加设备成功,返回增加接入设备页面。
无论采用哪种方式接入设备的IP地址都必须满足以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
参数设置完成后的效果图如图5所示。
(5) 单击<确定>按钮,接入设备增加完毕。点击返回接入设备列表页面,可在接入设备列表中查看新增的接入设备,如图6所示。
增加接入策略的方法如下:
(1) 在“用户”菜单下,选择“接入策略管理>接入策略管理”菜单项,进入接入策略管理页面,如图7所示。
(2) 单击<增加>按钮,进入增加接入策略页面。输入接入策略名称,本例中策略名配置为“802.1X自研令牌策略”,认证密码方式选择“动态密码”或“帐号密码+动态密码”,本例为“帐号密码+动态密码”。其他参数保持缺省值即可,如图8所示。
· 动态密码:只校验动态口令。
· 帐号密码+动态密码:不仅校验动态口令,用户自身的静态密码也需要校验。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图9所示。
接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。增加接入服务的方法如下:
(1) 在“用户”菜单下,选择“接入策略管理>接入服务管理”菜单项,进入接入服务管理页面,如图10所示。
(2) 单击<增加>按钮,进入增加接入服务页面,如图11所示。
配置服务的各个参数:
· 服务名:输入服务名称,在EIA中必须唯一。本例中服务名为“802.1X自研令牌服务”。
· 服务后缀:如何设置服务后缀与接入设备中的配置密切相关,具体请参见表1。本例中,设备RADIUS相关命令配置为不携带domain,因此不需要配置服务后缀。
· 缺省接入策略:选择之前配置的接入策略“802.1X自研令牌策略”。
· 其他参数:保持缺省值。
|
用户名 |
设备用于认证的Domain |
设备RADIUS配置的相关命令 |
EIA中的服务后缀 |
|
计算机全名 |
[Default Domain] (设备上指定的缺省域) |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
表1中的命令以H3C(General)系列设备为例,配置其他设备时请参考设备的命令手册。
(3) 单击<确定>按钮,接入服务增加完毕。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图12所示。
接入用户是用户接入网络时使用的身份证,包含帐号名、密码和使用的服务等信息。
增加接入用户的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入用户管理>接入用户”菜单项,进入接入用户页面,如图13所示。
图13 接入用户页面
(2) 单击<增加>按钮,进入增加接入用户页面,如图14所示。
配置接入信息和接入服务:
· 用户姓名:
¡ 选择基本用户方式:单击“选择基本用户”图标,弹出选择基本用户窗口,输入基本用户姓名后单击<查询>按钮,可以查询出已存在的基本用户,勾选基本用户后单击<确定>按钮。若需为EIA中已存在的基本用户添加接入用户可选择此配置方式,一个基本用户下可存在多个接入用户,基本用户通过用户姓名和证件号码构成唯一标识。
¡ 直接配置方式:直接进行用户姓名填写。本例选择直接配置方式。
· 帐号名:输入用于认证的帐号名,在EIA中必须唯一。
· 密码/确认密码:输入两次相同的密码。
· 接入服务:选择之前增加的接入服务。
· 其他参数:保持缺省值。
参数设置完成后的效果图如图15所示。
(3) 单击<确定>按钮,接入用户增加完毕。返回接入用户页面,可在接入用户列表中查看新增的接入用户,如图16所示。
(1) 选择“用户”页签,单击导航树中的“接入用户管理>业务参数配置>系统配置”菜单项,进入系统配置页面,如图17所示。
(2) 单击“系统参数配置”配置列的<配置>按钮,进入系统参数配置页面,将“启用动态令牌认证”配置为“启用”,如图18所示。
配置RADIUS方案1xallpermit。
[sw]radius scheme 1xallpermit
New RADIUS scheme.
配置RADIUS认证服务器IP,端口(端口默认为1812,与2.2.1 1. 接入设备EIA配置的认证端口保持一致)。
[sw-radius-1xallpermit]primary authentication 10.114.117.66 1812
配置RADIUS计费服务器IP,端口(端口默认为1813,与2.2.1 1. 接入设备EIA配置的计费端口保持一致)。
[sw-radius-1xallpermit]primary accounting 10.114.117.66 1813
配置RADIUS认证和计费密钥,与2.2.1 1. 接入设备EIA配置的共享密钥一致。
[sw-radius-1xallpermit]key authentication simple fine
[sw-radius-1xallpermit]key accounting simple fine
配置用户名格式,without-domain表示用户名后不携带域名。
[sw-radius-1xallpermit]user-name-format without-domain
[sw-radius-1xallpermit]quit
配置Domain 1xallpermit。
[sw]domain 1xallpermit
指定关联的RADIUS方案。
[sw-isp-1xallpermit]authentication default radius-scheme 1xallpermit
[sw-isp-1xallpermit]authorization default radius-scheme 1xallpermit
[sw-isp-1xallpermit]accounting default radius-scheme 1xallpermit
[sw-isp-1xallpermit l]quit
将Domain imc 设置为默认域。
[sw]domain default enable portal
只有在全局和接口上都启用802.1X认证,802.1X认证才生效。
[sw]dot1x
[sw]interface GigabitEthernet1/0/5
[sw-GigabitEthernet1/0/5] dot1x
802.1X is enabled on port GigabitEthernet1/0/5.
802.1X的认证方式包括PAP、CHAP和EAP。如果进行证书认证,则必须设置为EAP。
[sw]dot1x authentication-method chap
使用注册方式绑定动态令牌,必须保证用户终端和EIA服务器网络连通。
(1) 手机上安装新华三e盾,打开界面,如图19所示。
(2) 单击左上角的<设置>按钮,选择服务器地址,输入EIA服务器地址,如图20所示。
(3) 设置完成后,返回主页面,如图19所示。
(4) 单击<注册>按钮,进入注册页面,选择“接入用户”选项,如图21所示。
(5) 输入接入用户的用户名和密码,单击<注册>按钮,完成注册,如图22所示。
(6) 注册完成后,用户绑定对应的令牌,如图23所示。
(1) 选择“用户”页签,单击导航树中的“接入用户管理>接入用户”菜单项,进入接入用户页面,如图24所示。
(2) 勾选接入用户,单击<更多>按钮,选择批量注册动态令牌,如图25所示
(3) 弹出“确定将所选用户注册动态动态令牌吗?”弹窗,单击<确定>按钮,弹出二维码页面,如图26所示。
(4) 在新华三e盾主页面,单击<扫描>按钮,扫描二维码,如图27所示。
(5) 扫描成功后即可绑定令牌,如图28所示。
单击接入用户对应的令牌即可生成动态口令,如图29所示。
增加接入设备的业务类型必须为“不限制”或者“设备管理业务”。
(1) 在“用户”菜单下,选择“接入用户管理>设备管理用户>设备管理用户”菜单项,进入设备管理用户页面,如图30所示。
(2) 单击<增加>按钮,进入增加设备管理用户页面,配置帐号名、用户密码和邮箱地址,认证密码方式选择“动态密码”或“帐号密码+动态密码”,本例为“帐号密码+动态密码”,登录类型选择“Telnet”其他参数保持缺省值即可,如图31所示。
· 动态密码:只校验动态口令。
· 帐号密码+动态密码:不仅校验动态口令,用户自身的静态密码也需要校验。
(3) 配置完成后,单击<确定>按钮,返回设备管理用户页面,如图32所示。
配置用户登录时完成身份验证的AAA服务器,将iMC EIA指定为AAA服务器。
以下使用Windows的CLI窗口Telnet到接入设备并进行配置,具体方法如下:
(1) 以Telnet方式登录接入设备,并进入系统视图。
(2) 配置用户Telnet登录时通过scheme认证。
[H3C]user-interface vty 0 4
[H3C-ui-vty0-4]authentication-mode scheme
[H3C-ui-vty0-4]quit
(3) 配置RADIUS scheme。IP地址指向iMC EIA服务器,监听端口、共享密钥需与EIA中接入设备的配置保持一致。
[H3C]radius scheme 391
New Radius scheme
[H3C-radius-391]primary authentication 10.114.117.66 1812
[H3C-radius-391]primary accounting 10.114.117.66 1813
[H3C-radius-391]key authentication fine
[H3C-radius-391]key accounting fine
[H3C-radius-391]nas-ip 192.168.30.100
[H3C-radius-391]user-name-format with-domain
(4) 创建domain。设置用户登录设备时都要经过RADIUS方案391的认证/授权/计费。
[H3C]domain 391
New Domain added
[H3C-isp-391]authentication login radius-scheme 391
[H3C-isp-391]authorization login radius-scheme 391
[H3C-isp-391]accounting login radius-scheme 391
[H3C-isp-391]quit
(5) 配置全局缺省domin
[H3C]domain default enable 391
使用注册方式绑定动态令牌,必须保证用户终端和EIA服务器网络连通。
(1) 手机上安装新华三e盾,打开界面,如图33所示。
(2) 单击左上角的<设置>按钮,选择服务器地址,输入EIA服务器地址,如图34所示。
(3) 设置完成后,返回主页面,如图33所示。
(4) 单击<注册>按钮,进入注册页面,选择“设备管理员(RADIUS)”选项,如图35所示。
图35 设备管理员(RADIUS)
(5) 输入设备管理员(RADIUS)的用户名和密码,单击<注册>按钮,完成注册,如图36所示。
(6) 注册完成后,用户绑定对应的令牌,如图37所示。
(1) 在“用户”菜单下,选择“接入用户管理>设备管理用户>设备管理用户”菜单项,进入设备管理用户页面,如图38所示。
(2) 勾选设备管理用户,单击<批量注册动态令牌>按钮,如图39所示
(3) 弹出“确定将所选用户注册动态动态令牌吗?”弹窗,单击<确定>按钮,弹出二维码页面,如图40所示。
(4) 在新华三e盾主页面,单击<扫描>按钮,扫描二维码,如图41所示。
(5) 扫描成功后即可绑定令牌,如图42所示。
单击接入用户对应的令牌即可生成动态口令,如图43所示。
本例仅需配置认证相关的配置,授权命令配置本手册不涉及,请按需配置。
(1) 在“用户”菜单下,选择“设备用户策略管理>授权场景条件>设备区域管理”菜单项,进入设备区域管理页面,如图44所示。
(2) 单击<增加>按钮,进入增加设备区域页面,填写区域名称,如图45所示。
(3) 配置完成后,单击<确定>按钮,返回设备区域管理页面,如图46所示。
(1) 在“用户”菜单下,选择“设备用户策略管理>授权场景条件>设备类型管理”菜单项,进入设备类型管理页面,如图47所示。
(2) 单击<增加>按钮,进入增加设备类型页面,填写类型名称,如图48所示。
(3) 配置完成后,单击<确定>按钮,返回设备类型管理页面,如图49所示。
(1) 在“用户”菜单下,选择“设备用户策略管理>授权场景条件>授权时段策略管理”菜单项,进入授权时段策略管理页面,如图50所示。
(2) 单击<增加>按钮,进入增加授权时段策略页面,基本信息区域填写授权时段策略名称,其他保持默认值即可,在授权时段信息区域,单击<增加>按钮,弹出增加授权时段信息页面,授权时段类型选择"周为周期",选择接入开始时间和接入结束时间,如图51所示。
(3) 配置完成后,单击<确定>按钮,返回增加授权时段策略页面,如图52所示。
(4) 单击<确定>按钮,返回授权时段策略管理页面,如图53所示。
(1) 在“用户”菜单下,选择“设备用户策略管理>设备管理”菜单项,进入设备管理页面,如图54所示。
(2) 单击<增加>按钮,进入增加设备页面,如图55所示。
(3) 配置共享密码,其他参数保持默认即可,单击<手工增加>按钮,选择“单个增加”,弹出手工增加设备页面,填写设备IP地址,如图56所示。
参数说明如下:
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。设备与系统配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与设备命令行配置的共享密钥保持一致。
¡ 认证端口:用于监听认证报文的端口,必须与设备侧设置的认证端口保持一致。
¡ 设备区域:一个设备可以属于多个区域,即相当于设备分组。
¡ 设备类型:一个设备只属于一种类型。
¡ 单一连接:选择“支持”,表示设备与系统通信时支持在同一个TCP连接中建立多个会话;选择“不支持”,表示设备与系统通信时不支持在同一个TCP连接中建立多个会话,本例保持默认配置。
¡ Watchdog报文:选择“支持”,表示用户在线时系统通过接收设备周期性发送的Watchdog报文来维持用户的在线状态和时长;选择“支持”,表示用户在线时设备不发送Watchdog报文。该参数的配置必须与设备上配置保持一致,本例保持默认配置。
(4) 单击<确定>按钮,完成配置,如图57所示。
(5) 单击<确定>按钮,进入操作结果页面,单击<返回>按钮,返回设备管理页面,可查看新增的设备,如图58所示。
(1) 在“用户”菜单下,选择“设备用户策略管理>业务参数配置>系统配置”菜单项,单击“动态令牌认证参数”配置列的<配置>按钮,进入配置动态令牌认证相关参数页面,如图59所示。
(2) 勾选启用动态令牌,如图60所示。
(1) 在“用户”菜单下,选择“设备用户策略管理>授权策略管理”菜单项,进入授权策略管理页面如图61所示。
(2) 单击<增加>按钮,进入增加授权策略页面,填写策略名称,勾选“启用RSA”,设备用户密码校验方式选择“TAM+RSA组合密码”方式,如图62所示。
(3) 在接入授权信息区域,单击<增加>按钮,进入增加接入授权信息页面,如图63所示,配置参数如下:
¡ 授权时段:选择3. 授权时段策略管理新增的授权时段策略。
¡ 其他参数保持缺省值。
(4) 配置完成后,单击<确定>按钮,如图64所示。
(5) 单击<确定>按钮,返回授权策略管理页面,如图65所示。
(1) 在“用户”菜单下,选择“设备用户管理>所有设备用户”菜单项,进入所有设备用户页面,如图66所示。
(2) 单击<增加>按钮,进入增加设备用户页面,配置帐号名和密码,,用户的授权策略选择6. TAM设备用户策略配置增加的用户策略其他参数保持缺省值即可,如图67所示。
(3) 配置完成后,单击<确定>按钮,返回所有设备用户页面,如图68所示。
配置用户登录时完成身份验证的AAA服务器,将iMC EIA指定为AAA服务器。
以下使用Windows的CLI窗口Telnet到接入设备并进行配置,具体方法如下:
(1) 以Telnet方式登录接入设备,并进入系统视图。
(2) 配置用户Telnet登录时通过scheme认证。
[H3C]user-interface vty 0 4
[H3C-ui-vty0-4]authentication-mode scheme
[H3C-ui-vty0-4]command authorization
[H3C-ui-vty0-4]quit
(3) 配置HWTACACS scheme。IP地址指向iMC TAM服务器,监听端口、共享密钥需与TAM中设备管理的配置保持一致。
[H3C]hwtacacs scheme 391
New Radius scheme
[H3C-hwtacacs-391]primary authentication 10.114.117.66
[H3C-hwtacacs-391]primary authorization 10.114.117.66
[H3C-hwtacacs-391]primary accounting 10.114.117.66
[H3C-hwtacacs-391]key authorization simple 123
[H3C-hwtacacs-391]key authentication simple 123
[H3C-hwtacacs-391]key accounting simple 123
[H3C-hwtacacs-391]user-name-format without-domain
[H3C-hwtacacs-391]quit
(4) 创建domain。设置用户登录设备时都要经过RADIUS方案391的认证/授权/计费。
[H3C]domain 391
New Domain added
[H3C-isp-391]authentication login hwtacacs-scheme 391
[H3C-isp-391]authorization login hwtacacs-scheme 391
[H3C-isp-391]accounting login hwtacacs-scheme 391
[H3C-isp-391]quit
使用注册方式绑定动态令牌,必须保证用户终端和EIA服务器网络连通。
(1) 手机上安装新华三e盾,打开界面,如图69所示。
(2) 单击左上角的<设置>按钮,选择服务器地址(TACACS),输入TAM服务器地址,如图70所示。
(3) 设置完成后,返回主页面,如图69所示。
(4) 单击<注册>按钮,进入注册页面,选择“设备管理员(TACACS)”选项,如图71所示。
图71 设备管理员(TACACS)
(5) 输入设备管理员(TACACS)的用户名和密码,单击<注册>按钮,完成注册,如图72所示。
(6) 注册完成后,用户绑定对应的令牌,如图73所示。
(1) 在“用户”菜单下,选择“设备用户管理>所有设备用户”菜单项,进入所有设备用户页面,如图74所示。
图74 所有设备用户
(2) 勾选设备管理用户,单击<批量注册动态令牌>按钮,如图75所示
(3) 弹出“确定将所选用户注册动态动态令牌吗?”弹窗,单击<确定>按钮,弹出二维码页面,如图76所示。
(4) 在新华三e盾主页面,单击<扫描>按钮,扫描二维码,如图77所示。
(5) 扫描成功后即可绑定令牌,如图78所示。
单击接入用户对应的令牌即可生成动态口令,如图79所示。
用户使用iNode PC客户端和配置的帐号名、密码进行802.1X认证,最终用户通过认证,完成802.1X接入,本例使用普通用户接入。
验证步骤如下:
安装iNode客户端。
当前EIA适配所有版本的iNode,iNode的版本可以按需进行选择。
(1) 在iNode PC客户端主页面,选择“802.1X连接”,展开802.1X连接区域。
(2) 输入用户名和密码,密码为帐号密码+动态密码,单击<连接>按钮,如图80所示,开始认证。
图80 iNode客户端主界面
(3) 认证成功的界面中连接状态会显示“已连接”,如图81所示,验证了本案例的配置正确。
在EIA配置页面中,选择“用户”页签,单击导航树中的“接入用户管理>在线用户”菜单项,默认进入本地在线用户页签页面,可查看在线用户,如图82所示。
使用系统中配置的设备管理用户帐号可以成功登录设备,以TACACS设备管理用户登录为例。
(1) 以Telnet方式登录设备,如图83所示。
图83 Telnet接入设备
(2) 输入用户名和密码,密码为帐号密码+动态密码,其中用户名与iMC配置的设备管理用户的帐号名保持一致。如图84所示。
(3) 登录成功后,验证了本案例的配置正确。
支持
售前咨询
售后咨询
人工在线咨询
