- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
EIA 计算机认证
典型配置举例
资料版本:5W106-20221228
产品版本:AD-Campus EIA (E6205)
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
计算机认证就是用Windows自带的802.1X客户端实现认证功能。组网如图2所示,计算机802.1X客户端选择计算机身份验证加证书认证的方式,与作为接入设备的交换机直连,EIA负责接入设备管理以及接入规则、接入用户的管理。通过这种方式用户可以方便、快捷地进行认证并接入网络。
适用于计算机需要通过证书认证接入网络的情况。
某公司出于安全考虑,计划让公司内部的计算机使用计算机认证接入网络。
· EIA服务器IP地址为192.168.7.232。查看方式如下:
· 在集群部署环境中,会涉及EIA服务器IP地址使用北向业务虚IP还是所在实际节点IP的问题,该地址请务必填写为北向业务虚IP。
· 下述步骤为查看EIA服务器IP地址的通用步骤,涉及到的IP地址与本文档无关,以查看EIA服务器IP地址“10.114.117.164”为例进行介绍。
a. 打开浏览器输入https://ip_address:8443/matrix/ui,打开Matrix页面。其中,ip_address为北向业务虚IP或节点IP。
b. 选择“部署”页签,单击“集群”菜单项,切换至“集群参数”页签,进入集群参数页面。
c. 该页面中的北向业务虚IP即为EIA服务器的IP地址,如图1所示。
图1 查看EIA服务器IP地址
· 接入设备管理IP地址为172.19.254.64,计算机接入交换机的GE 1/0/35接口。
注:本案例中各部分使用的版本如下:
· EIA版本为AD-Campus EIA (E6205)
· 接入设备为H3C S5800-56C-EI-M Comware Software, Version 7.1.045, Release 7116P01
EIA中的配置包括:
· 接入设备
· 接入策略
· 接入服务
· 接入用户和证书
增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。增加接入设备的方法如下:
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 接入服务”菜单项,进入接入服务页面。切换至“接入设备 > 接入设备配置”页签,进入接入设备配置页面,如图3所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图4所示。
图4 增加接入设备页面
(3) 单击“设备列表”区域中的<增加IPv4设备>按钮,弹出增加接入设备窗口,如图5所示。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。其中,接入设备的IP地址必须满足以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip映射后的公网地址的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
(4) 配置公共参数。
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 业务类型:在下拉框中选择该设备承载的业务,包括不限和设备管理业务。本例选择“不限”项。
¡ 接入设备类型:在下拉框中选择接入设备的厂商和类型。下拉框中包含了Standard、EIA系统预定义和管理员自定义的厂商和类型。本例选择“H3C(General)”项。
¡ 业务分组:在下拉框中选择接入设备所属的业务分组。将接入设备加入不同的业务分组以便进行分权管理。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果将[自动化 > 用户业务 > 业务参数 > 接入参数 > 系统配置 > 系统参数配置]中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。
¡ 接入位置分组:在下拉框中选择接入设备需要加入的接入位置分组。可选项包括EIA中已经存在的接入位置分组和“无”。接入位置分组是区分终端用户的接入条件之一。
¡ 其他参数保持默认。
图6 公共参数配置
(5) 单击<确定>按钮,增加接入设备完毕,可在接入设备列表中查看新增的接入设备,如图7所示。
增加接入策略的方法如下:
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 接入服务”菜单项,进入接入服务页面。切换至“接入策略 > 接入策略”页签,进入接入策略页面,如图8所示。
(2) 单击<增加>按钮,进入增加接入策略页面。输入接入策略名称、选择首选EAP类型为“EAP-PEAP”、EAP自协商选择“不启用”,其他参数保持缺省值即可,如图9所示。
参数说明:
¡ 接入时段:选择了某一接入时段策略后,使用此规则的用户只能在接入时段策略中定制的时间段内允许接入。
¡ 分配IP地址:是否下发用户IP地址。
¡ 上行、下行速率:根据设定的上下行速率来限制用户使用该规则上网时的上传、下载速率。
¡ 优先级:它的高低确定了在网络拥塞时转发报文的优先顺序,此参数应从设备支持的优先级中选取,数值越小优先级越高。配置错误可能导致用户无法上线。
¡ 下发用户组:用户认证通过后向设备下发该用户所属的用户组,可以输入多个组,每个组以分号分隔。与ACG1000联动或与SSL VPN设备配合时,该属性才有效。
¡ 首选EAP类型/子类型:进行EAP认证时,RADIUS服务器优先下发给客户端的EAP类型。包括:EAP-MD5、EAP-TLS、EAP-TTLS和EAP-PEAP。当首选EAP类型为EAP-TTLS和EAP-PEAP时,还需要首选EAP-MSCHAPv2,EAP-MD5和EAP-GTC其中的一种子类型。
- EAP-MD5:一种EAP认证方式,使用CHAP方式进行认证。
- EAP-TLS:是一种基于证书的身份认证,它需要PKI的部署来管理证书。它推荐进行服务器和客户端之间双向认证,认证双方是用证书来标识自己的身份。在认证通过之后,TLS的认证双方会协商出一个共享密钥、SessionId以及整套的加密套件(加密,压缩和数据完整性校验),这样认证双方就建立了一个安全可靠的数据传输通道。EAP-TLS是客户端和AAA服务器借助接入设备的透传,通过TLS协议进行的身份认证。EAP-TLS可以利用SessionId进行快速重认证,简化认证流程,加快认证速度,还对较大的TLS报文进行了分片处理。
- EAP-TTLS:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道内部再承载子类型。它具有保护用户标识和EAP认证的协商过程的作用。隧道内的子类型可以是EAP类型,也可以是非EAP类型。目前EIA支持TTLS下三个EAP的子类型(EAP-MSCHAPv2,EAP-MD5,EAP-GTC)。EIA在配置接入策略指定首选EAP类型为EAP-TTLS时,也必须首选一种EAP的子类型。在实际认证过程中,如果终端采用非EAP的子类型,如PAP,则终端可以忽略EIA的配置,使用终端配置的子类型进行认证。
- EAP-PEAP:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道上再发起EAP认证。它具有保护用户标识,保护EAP认证的协商过程的作用。目前EIA仅支持EAP-MSCHAPv2、EAP-MD5和EAP-GTC认证类型。
¡ EAP自协商:当客户端配置的EAP类型与EIA中配置的首选EAP类型不同时的处理方式。配置为“启用”时,EIA完全适应由客户端中配置的EAP认证方式,即无论客户端中配置什么类型的EAP认证,EIA都允许客户端继续认证。配置为“禁用”时,如果客户端配置的EAP类型与EIA中配置的首选EAP类型不同,则EIA拒绝其认证。
¡ 单次最大在线时长(分钟):使用该策略的接入帐号认证成功后可在线的最长时间,单位为分钟。该参数默认值为空,表示不限制;最小值为1,最大值为1440。如果帐号在线时间超过该参数值,EIA则强制该用户下线。
¡ 下发地址池:输入地址池名称。EIA将地址池名称下发给接入设备,接入设备根据下发的地址池名称寻找设备上对应的地址池,然后给用户分配该地址池中的IP地址。只有下发设备上配置了对应的地址池,该功能才生效。
¡ 下发VLAN:设置向用户下发的VLAN,当接入设备类型为H3C(General)、Huawei(General)、HP(Comware)、3Com(General)时,如果配置的VLAN为1~4094,接入业务以整型的VLAN ID下发给设备,设备上的VLAN分配模式应为整型;所有其他值都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型。其他设备类型都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型,用户认证通过后将只能访问该VLAN的内部资源。
¡ 下发User Profile:将用户配置文件名称下发给设备,实现基于用户的QoS功能。只有下发设备上已经配置完成了User Profile,User Profile才生效。
¡ 下发ACL:设置向用户下发的访问控制列表。
¡ 离线检查时长(小时):哑终端认证通过后向设备下发该参数,设备以该参数作为时间间隔,周期性检测哑终端是否已离线。该参数为空时,表示不检测;时长必须为整数,范围为[0,596523]。该参数只适用于哑终端。
¡ 认证绑定信息:目前接入策略管理与接入设备配合可对接入设备IP地址、端口、VLAN、QinQ双VLAN、接入设备序列号、用户IP地址、MAC地址、IMSI、IMEI、无线用户SSID和硬盘序列号进行绑定检查。iNode客户端与策略服务器配合可对用户IP地址、MAC地址、计算机名称、计算机域、用户登录域和硬盘序列号进行绑定检查。其中MAC地址绑定和IMSI绑定只能同时选择一个。当帐号用户申请具有绑定策略的服务时,可以设置相关的绑定信息,如果不设置,绑定时将采用自学习策略。所谓自学习就是绑定用户首次上网时所使用的相关参数,比如用户使用的服务采用自学习绑定用户IP地址,用户首次使用该业务上网时的IP地址为10.100.10.10,则今后用户只能通过使用这个IP地址才能通过认证。
- 启用终端MAC地址控制:该设置启用后,使用该服务的接入用户上线时,用户使用的MAC地址属于允许接入的接入MAC地址范围则可以成功上线,否则不能成功上线。接入MAC地址的详细配置请参见终端MAC地址池。
- 启用终端硬盘序列号控制:该设置启用后,使用该服务的接入用户上线时,如果该用户的硬盘序列号在允许接入硬盘序列号列表中,则用户成功上线,否则用户不能上线。特殊的,如果无法获取硬盘序列号则认证通过。只有在使用iNode PC客户端认证时该功能才生效。
- 启用无线SSID控制:启用该功能后,使用该服务的接入用户采用无线方式上线时,如果无线SSID列表中的接入控制类型为“禁止接入”,则禁止终端通过无线SSID列表中的SSID接入网络;如果接入控制类型为“允许接入”,则只允许终端通过无线SSID列表中的SSID接入网络。该功能必须和iNode PC客户端配合使用,EIA一旦将无线SSID池下发给iNode客户端,iNode就会在终端上保存该配置。后续无论使用iNode客户端还是使用Windows自带客户端,不管是否到EIA中认证,该配置都一直生效。
- 启用终端主板序列号控制:启用该参数后,使用该服务的接入用户上线时,如果该用户的主板序列号在允许接入主板序列号列表中,则用户认证成功,否则认证失败。特殊情况下,如果无法获取到主板序列号则允许用户认证通过。只有在使用iNode PC客户端认证时该功能才生效。
¡ 其他参数保持默认。
授权下发需要设备支持对应属性,认证绑定需要设备在RADIUS属性中上传对应信息。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图10所示。
接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。
增加接入服务的方法如下:
(1) 选择“自动化”页签,在左导航树中选择“用户业务 > 接入服务”菜单项,进入接入服务管理页面,如图11所示。
(2) 单击<增加>按钮,进入增加接入服务页面,如图12所示。
配置服务的各个参数:
· 服务名:输入服务名称,在EIA中必须唯一。
· 服务后缀:如何设置服务后缀与接入设备中的配置密切相关,具体请参见表1。本例中,设备RADIUS相关命令配置为不携带domain,因此不配置服务后缀。
· 缺省接入策略:选择之前配置的“for machine”。
· 其他参数:保持缺省值。
|
用户名 |
设备用于认证的Domain |
设备RADIUS配置的相关命令 |
EIA中的服务后缀 |
|
计算机全名 |
[Default Domain] (设备上指定的缺省域) |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
表1中的命令以H3C(General)系列设备为例,配置其他设备时请参考设备的命令手册。
(3) 单击<确定>按钮,接入服务增加完毕。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图13所示。
接入用户是用户接入网络时使用的身份证,包含帐号名、密码和使用的服务等信息。
增加接入用户的方法如下:
(1) 选择“自动化”页签,在左导航树中选择“用户业务 > 接入用户”菜单项,,如图14所示。
(2) 单击<增加>按钮,进入增加接入用户页面,如图15所示。
配置接入信息和接入服务:
· 用户姓名:输入认证用户姓名
· 证件号码:输入证件号码。
· 帐号名:此处不需要输入帐号名,勾选帐号名文本框下方的“主机名用户”后,EIA自动将帐号名设置为computer,作为与所有使用计算机认证的终端关联的接入用户。
· 接入服务:选择之前增加的接入服务。
· 其他参数:保持缺省值。
(3) 单击<确定>按钮,接入用户增加完毕。返回接入用户页面,可在接入用户列表中查看新增的接入用户,如图16所示。
配置过程中需要用到根证书和服务器证书。根证书的获取方法请参见《EIA证书使用指导》。
EIA服务器导入根证书和服务器证书的方法如下:
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 业务参数 > 接入参数”菜单项,进入系统配置页面,切换至“证书配置”页签,进入根证书配置页面,如图17所示。
(2) 单击<导入EAP根证书>按钮,进入导入根证书页面,如图18所示。
(3) 单击<选择文件>按钮,选择根证书。单击<下一步>按钮,进入CRL配置页面,如图19所示。
图19 CRL配置页面
(4) 参数保持默认,单击<确定>按钮,根证书导入完成,如图20所示。
(5) 切换至“服务器证书配置”页签,进入服务器证书配置页面,如图21所示。
(6) 单击<导入EAP服务器证书>按钮,进入导入服务器证书页面,如图22所示。
(7) 根据以下两种情况分别进行操作。
· 如果服务器证书和私钥分成两个文件保存,则不勾选“服务器证书和私钥在同一文件”项,单击服务器证书和私钥对应的<选择文件>按钮,分别导入服务器证书和私钥。
· 如果服务器证书和私钥保存在同一个文件中,则勾选“服务器证书和私钥在同一文件”项,单击服务器证书对应的<选择文件>按钮,选择服务器证书。
本例中服务器证书和私钥保存在同一个文件中,故勾选“服务器证书和私钥在同一文件”项,单击<选择文件>按钮选择导出的服务器证书文件,如图23所示。
(8) 单击<下一步>按钮,进入服务器证书私钥密码页面,输入服务器私钥密码(私钥密码是导出服务器证书时设置的私钥密码),如图24所示。
图24 输入私钥密码
(9) 单击<确定>按钮,服务器证书导入完成,如图25所示。
在Windows AD服务器中做以下配置:
· 命名林根域为“h3c.com”
· 配置域NetBIOS名称为“h3c”
· 在h3c.com下将Users组中的Administrator用户密码重置为“EIA123456”
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 业务参数 > LDAP业务”菜单项,进入LDAP服务器配置页面,如图26所示。
图26 LDAP服务器列表
(2) 在LDAP服务器列表中,单击<增加>按钮,进入增加LDAP服务器页面,如图27和图28所示。
· 服务器名称:输入服务器名称“Windows AD”
· 服务器地址:输入服务器地址“10.114.119.41”
· 服务器类型:选择服务器类型“微软活动目录”
· 管理员DN:输入管理员DN“cn=administrator,cn=users,dc=h3c,dc=com”
· 管理员密码:输入管理员密码“EIA123456”
· Base DN:输入Base DN“dc=h3c,dc=com”
· 用户分组:选择用户分组方式“按OU同步”
· 启用MS-CHAPv2认证:选择“是”,为Windows AD服务器启用MSCHAPv2认证
· 认证方式:选择“通过虚拟计算机认证”
· 域控服务器地址与LDAP服务器地址一致:由于本案例中域控服务器与LDAP服务器是同一服务器,二者地址相同,所以选择“是”
· 域控服务器全名:输入域控服务器的全名“12r2-sql12sq1.h3c.com”
· 自动加入计算机域:选择“否”。配置为“是”的情况详见联机帮助文档。
· 虚拟计算机名称:输入虚拟计算机的名称“12R2-SQL12SP1”
· 虚拟计算机密码:输入虚拟计算机的密码,并再次输入虚拟计算机的密码以确保二者一致
· 其他参数保持缺省值即可
图27 增加LDAP服务器1
图28 增加LDAP服务器2
(3) LDAP服务器信息配置完成后,单击<检测>按钮,测试服务器的连通性。如果服务器信息正确,检测结果如图29所示。
(4) 单击<确定>按钮,增加LDAP服务器操作完成。在列表中查看新增LDAP服务器,如图30所示。
在域控服务器上增加虚拟计算机后,需要执行ModifyComputerAccountPass.vbs脚本文件重置虚拟计算机的密码。
(1) 选择“自动化”页签。单击导航树中的“用户业务 > 业务参数 > LDAP业务 > 参数配置”菜单项,进入LDAP参数配置页面,如图31所示。
(2) 点击“下载”超链接,将虚拟计算机密码脚本文件保存到本地,如图32所示。以文本编辑器打开该脚本文件,修改虚拟计算机的对象值和密码并保存,如图33所示。在域控服务器上执行cscript ModifyComputerAccountPass.vbs命令执行该脚本文件,使重置后的虚拟计算机密码生效。
(1) 选择“自动化”页签。单击导航树中的“用户业务 > 业务参数 > LDAP业务> 同步策略配置”菜单项,进入同步策略配置页面,如图34所示。
(2) 在同步策略列表中,单击<增加>按钮,进入增加同步策略页面,如图35所示。
· 同步策略名称:输入同步策略名称“LDAP同步策略”;
· 服务器名称:选择服务器名称“Windows AD”;
· 子Base DN:输入“ou=testid,dc=h3c,dc=com”;
· 同步选项:去勾选“过滤计算机账号”
· 其他参数保持缺省值即可。
(3) 单击<下一步>按钮,进入其他信息配置页面,如图36所示。
· 在接入信息区域,输入密码“iMC23456”;当LDAP用户解除与LDAP服务器的绑定关系时,作为接入用户使用该密码可以通过EIA认证。
· 在接入服务区域,勾选“machine service服务”;
· 可根据Windows AD的具体配置为其他参数选择合适的属性,本案例中其他参数均保持缺省值。
图37 勾选“machine service服务”
(4) 单击<确定>按钮,增加LDAP同步策略操作完成。
图38 LDAP同步策略增加成功
LDAP服务器同步策略配置完成后,在同步策略列表中,点击“同步”链接,手动同步LDAP用户。同步结果如图39所示。
选择“自动化”页签。单击导航树中的“用户业务 > 接入用户”菜单项,进入接入用户管理页面。在接入用户列表中查看LDAP接入用户,如图40所示。
//配置RADIUS方案 yangy。
[H3C]radius scheme yangy
New RADIUS scheme
//配置RADIUS认证服务器IP,端口(端口默认为1812,与EIA配置的认证端口保持一致)。
[H3C-radius-yangy]primary authentication 192.168.7.232 1812
//配置RADIUS计费服务器IP,端口(端口默认为1813,与EIA配置的计费端口保持一致)。
[H3C-radius-yangy]primary accounting 192.168.7.232 1813
//配置RADIUS认证和计费密钥,与EIA配置的共享密钥一致。
[H3C-radius-yangy]key authentication simple test1
[H3C-radius-yangy]key accounting simple test1
//配置用户名格式,without-domain表示用户名后不携带域名。
[H3C-radius-yangy]user-name-format without-domain
[H3C-radius-yangy]quit
//配置Domain imc。
[H3C]domain imc
//指定802.1X 关联的RADIUS方案。
[H3C-isp-imc]authentication lan-access radius-scheme yangy
[H3C-isp-imc]authorization lan-access radius-scheme yangy
[H3C-isp-imc]accounting lan-access radius-scheme yangy
[H3C-isp-imc]quit
//将Domain imc 设置为默认域。
[H3C]domain default enable imc
//使能802.1X,全局和接口同时使能,接口802.1X功能才生效。
[H3C]dot1x
802.1x is enabled globally.
[H3C]interface GigabitEthernet 1/0/35
[H3C-GigabitEthernet1/0/35]dot1x
[H3C-GigabitEthernet1/0/35]quit
802.1x is enabled on port GigabitEthernet1/0/35.
//802.1X认证方式采用EAP方式(只有EAP方式支持证书认证)。
[H3C]dot1x authentication-method eap
EAP authentication is enabled
[H3C]interface GigabitEthernet 1/0/35
//认证接口禁用802.1X握手(Windows操作系统自带的客户端不支持802.1X握手)。
[H3C-GigabitEthernet1/0/35]undo dot1x handshake
[H3C-GigabitEthernet1/0/35]quit
(1) 进入客户端的Internet协议版本4(TCP/IPv4)属性页面,选择“下面的DNS服务器地址(E)”选项,配置首选DNS服务器(P)为AD域控的IP地址,如图41所示。
图41 配置DNS服务器
(2) 然后进入控制面板>系统和安全>系统页面,如图42所示。
(3) 单击“更改设置”链接,进入系统属性页面,如图43所示。
(4) 单击<更改>按钮,进入计算机名/域更改页面,如图44所示。
图44 计算机名/域更改
(5) 选择“域”选项,并填写AD域控的根林域,如图45所示。
(6) 单击<确定>按钮,弹出Windows安全页面,填写AD域控中有权限加入该域的账户和密码,本例以Administrator的用户名和密码为例,如图46所示。
(7) 填写完成后,单击<确定>按钮,弹出“欢迎加入h3c.com域”,如图47所示。
(8) 单击<确定>之后,重启计算机后生效。
(9) 将客户端加入之后,进入AD域控目录,刷新Computers目录,将显示客户端,如图48所示。
(1) Windows自带802.1X客户端,依次单击“开始 > 控制面板 > 管理工具”菜单项,进入管理工具页面,双击“服务”项,打开服务页面,如图49所示。
(2) 双击“Wired AutoConfig”项,进入Wired AutoConfig属性页面,如图50所示。
(3) 启动类型选择“自动”项,单击<启动>按钮,启动服务,如图51所示。
(4) 单击<确定>按钮,启动802.1X服务完成。
客户端需要安装的证书为根证书和客户端身份验证证书。请注意,客户端身份验证证书的名称需要与最终使用此证书的计算机的计算机名完全一致,否则无法通过身份验证。客户端安装身份验证证书的操作请参见《EIA证书使用指导》。
(1) 依次单击“开始 > 控制面板 > 网络和共享中心 > 更改适配器设置”菜单项,双击本地连接,弹出本地连接状态窗口,如图52所示。
(2) 单击<属性>按钮,弹出本地连接属性窗口。切换至“身份验证”页签,进入身份验证页面,如图53所示。
(3) 单击<设置>按钮,进入受保护的EAP属性页面,如图54所示。
图54 受保护的EAP属性页面
参数配置如下:
· 勾选“通过验证证书来验证服务器的身份”项。
· 受信任的根证书颁发机构:勾选“h3c-WIN-3VTAU07SVFS-CA”项。其中,h3c-WIN-3VTAU07SVFS-CA是CA证书服务器的名字,正确安装根证书和客户端身份验证证书后,受信任的根证书颁发机构选框下才会出现相应选项。
· 其他参数:保持缺省值。
(4) 单击<配置>按钮,弹出EAP MSCHAPv2的属性,去勾选“自动使用Windows登录名和密码(以及域,如果有的话)”,如图55所示,单击<确定>按钮,
(5) 单击<确定>按钮,返回本地连接属性窗口。单击<其他设置>按钮,弹出高级设置窗口,如图56所示。
参数配置如下:
· 勾选“指定身份验证模式”。
· 身份验证模式:选择“用户或计算机身份验证”项。
· 其他参数:保持缺省值。
(6) 单击<确定>按钮,返回本地连接属性窗口。单击<确定>按钮,802.1X客户端配置完成。
PC开机或者连接802.1X认证网络后,认证自动完成。
登录环境,选择“监控”页签,单击导航树中的“监控列表>在线用户”菜单项,进入本地在线用户页面。在线用户列表中显示了计算机认证成功的用户。其中帐号名为computer,登录名为计算机名。
支持
售前咨询
售后咨询
人工在线咨询
