- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
09-H3C EIA 802.1X认证+证书认证典型配置举例-整本手册.pdf (2.05 MB)
H3C EIA 802.1X认证+证书认证
典型配置举例
资料版本:5W117-20240515
产品版本:EIA (E0215P06)
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
用户接入网络时进行802.1X认证,同时客户端和服务器相互验证对方的证书,确保对方身份合法和通信安全。
适用于接入认证时需要验证证书的企业网或校园网。
本案例中采用的是EAP-TLS证书认证方式,即客户端与服务器通信前需要相互验证对方证书的合法性,在对EIA服务器和iNode客户端进行配置之前,必须先到证书颁发机构申请证书。其中EIA服务器需要申请根证书和服务器证书,iNode客户端需要申请根证书和客户端证书。证书申请和安装的详细步骤请参考《EIA 证书使用指导》。
· 如客户端证书不是在证书服务器上直接安装,而是通过导入/导出方式安装,此时导出的客户端证书格式需要与服务器证书格式保持一致。
某公司用户接入网络时采用802.1X进行身份验证,同时在通信前用户客户端相互验证对方的证书。具体的组网如图2所示。EIA服务器IP地址为192.168.7.196,接入设备IP地址为192.168.71.11,连接PC的端口为Ten-GigabitEthernet 1/0/39,此端口进行接入认证,用户PC使用的IP地址为192.168.70.140。
注:本案例中各部分使用的版本如下:
· EIA版本为EIA (E0215P06),EIA服务器IP地址查看方式如下:
· 在集群部署环境中,会涉及EIA服务器IP地址使用北向业务虚IP还是所在实际节点IP的问题,该地址请务必填写为北向业务虚IP。
· 下述步骤为查看EIA服务器IP地址的通用步骤,涉及到的IP地址与本文档无关,以查看EIA服务器IP地址“10.114.117.164”为例进行介绍。
a. 打开浏览器输入https://ip_address:8443/matrix/ui,打开matrix页面。其中,ip_address为北向业务虚IP或节点IP。
b. 选择“部署”页签,单击“集群”菜单项,切换至“集群参数”页签,进入集群参数页面。
c. 该页面中的北向业务虚IP即为EIA服务器的IP地址,如图1所示。
图1 查看EIA服务器IP地址
· 接入设备为H3C S7502E-XS Comware Software, Version 7.1.070, Release 7536P05
· iNode版本为iNode PC 7.3 (E0558)
配置EIA服务器时,需要配置以下功能:
· 接入设备
· 接入策略
· 接入服务
· 接入用户
· 导入证书
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 接入服务”菜单项,进入接入服务列表页面,然后点击页面上方的“接入设备”选项,进入到接入设备列表页面,如图3所示。
(2) 在接入设备列表中,单击<增加>按钮,进入增加接入设备页面,如图4所示。
(3) 增加接入设备。
单击“设备列表”区域中的<增加IPv4设备>按钮,弹出增加接入设备窗口,如图5所示。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。其中,接入设备的IP地址必须满足以下要求:
· 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
· 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
(4) 配置公共参数
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致,一般都采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致,一般都采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 共享密钥/确认共享密钥:接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致,这里使用fine。
¡ 其他参数保持默认值即可,部分参数说明如下。
- 业务类型:接入设备所承载的业务类型,目前仅支持LAN接入业务和设备管理业务。如果设备的业务类型为“不限”,那么设备可以兼容“LAN接入业务”和“设备管理业务”两种类型;如果选择了“设备管理业务”,那么只能应用这一种类型。
- 接入设备类型:可以选择各个厂商的设备或标准协议类型(标准协议类型是指要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互)。EIA预定义了9个厂商,包括H3C、3Com、华为、思科、锐捷、惠普其他、惠普A系列、微软和Juniper。管理员也可以到接入设备类型配置中自定义厂商。
图6 公共参数配置
(5) 单击<确定>按钮,增加接入设备完毕,进入接入设备列表页面,在列表中查看新增的接入设备,如图7所示。
为了验证接入用户及EIA服务器的证书,创建接入策略时必须选择证书认证。
(1) 选择“自动化”页签,单击导航树中的“用户业务> 接入服务”菜单项,进入接入服务页面,然后点击页面上方的“接入策略”选项,进入到接入策略页面。单击<增加>按钮,增加接入策略,如图8所示。
接入策略参数配置如下:
· 接入策略名:输入CA策略。
· 首选EAP类型:选择“EAP-TLS”。
· EAP自协商:选择“不启用”。
其他参数保持默认即可,部分参数说明如下。
¡ 接入时段:选择了某一接入时段策略后,使用此规则的用户只能在接入时段策略中定制的时间段内允许接入。
¡ 分配IP地址:是否下发用户IP地址。
¡ 上行、下行速率:根据设定的上下行速率来限制用户使用该规则上网时的上传、下载速率。
¡ 优先级:它的高低确定了在网络拥塞时转发报文的优先顺序,此参数应从设备支持的优先级中选取,数值越小优先级越高。配置错误可能导致用户无法上线。
¡ 首选EAP类型/子类型:进行EAP认证时,RADIUS服务器优先下发给客户端的EAP类型。包括:EAP-MD5、EAP-TLS、EAP-TTLS和EAP-PEAP。当首选EAP类型为EAP-TTLS和EAP-PEAP时,还需要首选EAP-MSCHAPv2,EAP-MD5和EAP-GTC其中的一种子类型。
- EAP-MD5:一种EAP认证方式,使用CHAP方式进行认证。
- EAP-TLS:是一种基于证书的身份认证,它需要PKI的部署来管理证书。它推荐进行服务器和客户端之间双向认证,认证双方是用证书来标识自己的身份。在认证通过之后,TLS的认证双方会协商出一个共享密钥、SessionId以及整套的加密套件(加密,压缩和数据完整性校验),这样认证双方就建立了一个安全可靠的数据传输通道。EAP-TLS是客户端和AAA服务器借助接入设备的透传,通过TLS协议进行的身份认证。EAP-TLS可以利用SessionId进行快速重认证,简化认证流程,加快认证速度,还对较大的TLS报文进行了分片处理。
- EAP-TTLS:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道内部再承载子类型。它具有保护用户标识和EAP认证的协商过程的作用。隧道内的子类型可以是EAP类型,也可以是非EAP类型。目前EIA支持TTLS下三个EAP的子类型(EAP-MSCHAPv2,EAP-MD5,EAP-GTC)。EIA在配置接入策略指定首选EAP类型为EAP-TTLS时,也必须首选一种EAP的子类型。在实际认证过程中,如果终端采用非EAP的子类型,如PAP,则终端可以忽略EIA的配置,使用终端配置的子类型进行认证。
- EAP-PEAP:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道上再发起EAP认证。它具有保护用户标识,保护EAP认证的协商过程的作用。目前EIA仅支持EAP-MSCHAPv2、EAP-MD5和EAP-GTC认证类型。
¡ EAP自协商:当客户端配置的EAP类型与EIA中配置的首选EAP类型不同时的处理方式。配置为“启用”时,EIA完全适应由客户端中配置的EAP认证方式,即无论客户端中配置什么类型的EAP认证,EIA都允许客户端继续认证。配置为“禁用”时,如果客户端配置的EAP类型与EIA中配置的首选EAP类型不同,则EIA拒绝其认证。
¡ 单次最大在线时长(分钟):使用该策略的接入帐号认证成功后可在线的最长时间,单位为分钟。该参数默认值为空,表示不限制;最小值为1,最大值为1440。如果帐号在线时间超过该参数值,EIA则强制该用户下线。
¡ 下发VLAN:设置向用户下发的VLAN,当接入设备类型为H3C(General)、Huawei(General)、HP(Comware)、3Com(General)时,如果配置的VLAN为1~4094,接入业务以整型的VLAN ID下发给设备,设备上的VLAN分配模式应为整型;所有其他值都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型。其他设备类型都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型,用户认证通过后将只能访问该VLAN的内部资源。
¡ 下发地址池:输入地址池名称。EIA将地址池名称下发给接入设备,接入设备根据下发的地址池名称寻找设备上对应的地址池,然后给用户分配该地址池中的IP地址。只有下发设备上配置了对应的地址池,该功能才生效。
¡ 下发User Profile:将用户配置文件名称下发给设备,实现基于用户的QoS功能。只有下发设备上已经配置完成了User Profile,User Profile才生效。
¡ 下发VSI名称:对于采用VxLAN组网的场景,Leaf设备作为接入设备时,可以下发VSI名称,将用户划分到相应的VxLAN中。
¡ 下发用户组:用户认证通过后向设备下发该用户所属的用户组,可以输入多个组,每个组以分号分隔。只与SSL VPN设备配合时,该属性才有效。
¡ 下发ACL:设置向用户下发的访问控制列表。ACL列表可以从以下几种方式选择:
(1)手工输入。
(2)接入ACL列表:其值可以在[接入ACL策略管理]页面配置。
¡ 离线检查时长:根据设置的离线检查时长检测接入用户是否在线,在该设置时间内若没有收到在线用户的心跳报文,将切断在线用户的连接。
¡ 认证密码方式:
(1)如果选择"帐号密码",服务器只校验帐号密码。
(2)如果选择"动态密码",服务器只校验动态密码,动态密码由短信、电子邮件两种方式发送给用户。
(3)如果选择"帐号密码+动态密码",服务器同时校验帐号密码和动态密码,动态密码由短信方式发送给用户。
由于动态密码只支持PAP、EAP-MD5、EAP-PEAP/EAP-MD5和 EAP-PEAP/EAP-GTCS四种认证方式,所以选择"动态密码"或"帐号密码+动态密码"时,认证方式只能配置为以上四种方式。
¡ 认证绑定信息
- 绑定信息:目前接入策略管理与接入设备配合可对接入设备IP地址、端口、VLAN、QinQ双VLAN、接入设备序列号、用户IP地址、MAC地址、IMSI、IMEI、无线用户SSID和硬盘序列号进行绑定检查。iNode客户端与策略服务器配合可对用户IP地址、MAC地址、计算机名称、计算机域、用户登录域和硬盘序列号进行绑定检查。其中MAC地址绑定和IMSI绑定只能同时选择一个。当帐号用户申请具有绑定策略的服务时,可以设置相关的绑定信息,如果不设置,绑定时将采用自学习策略。所谓自学习就是绑定用户首次上网时所使用的相关参数,比如用户使用的服务采用自学习绑定用户IP地址,用户首次使用该业务上网时的IP地址为10.100.10.10,则今后用户只能通过使用这个IP地址才能通过认证。
- 启用终端MAC地址控制:该设置启用后,使用该策略的接入用户上线时,用户使用的MAC地址属于允许接入的接入MAC地址范围则可以成功上线,否则不能成功上线。接入MAC地址的详细配置请参见终端MAC地址池。
- 启用终端硬盘序列号控制:该设置启用后,使用该策略的接入用户上线时,如果该用户的硬盘序列号在允许接入硬盘序列号列表中,则用户成功上线,否则用户不能上线。特殊的,如果无法获取硬盘序列号则认证通过。只有在使用iNode PC客户端认证时该功能才生效。
- 启用无线SSID控制: 启用该功能后,使用该策略的接入用户采用无线方式上线时,如果无线SSID列表中的接入控制类型为“禁止接入”,则禁止终端通过无线SSID列表中的SSID接入网络;如果接入控制类型为“允许接入”,则只允许终端通过无线SSID列表中的SSID接入网络。该功能必须和iNode PC客户端配合使用,EIA一旦将无线SSID池下发给iNode客户端,iNode就会在终端上保存该配置。后续无论使用iNode客户端还是使用Windows自带客户端,不管是否到EIA中认证,该配置都一直生效。
- 启用终端主板序列号控制:启用该参数后,使用该策略的接入用户上线时,如果该用户的主板序列号在允许接入主板序列号列表中,则用户认证成功,否则认证失败。特殊情况下,如果无法获取到主板序列号则允许用户认证通过。只有在使用iNode PC客户端认证时该功能才生效。
- 启用JAMF联动检查:启用该参数后,使用该接入策略的接入用户认证上线时,会将其所用的终端MAC发给JAMF服务器校验该终端是否已注册。JAMF服务器相关参数在“用户业务>接入参数>系统配置>JAMF联动配置”配置。
¡ 用户客户端配置
- 仅限iNode客户端:此功能用来对用户认证客户端进行限制。如果选中“仅限iNode客户端”,则最终用户只能使用iNode客户端进行认证上网,同时可以通过禁用代理服务器、IE代理、修改IP地址、修改MAC地址等功能来对用户进行限制。具体说明如下:
- 禁用Windows可溶解客户端:当操作系统为Windows时禁止使用可溶解客户端。
- 禁用Linux/MacOS可溶解客户端:当操作系统为Linux或MacOS时禁止使用可溶解客户端。
- 禁止在线修改IP地址:用户处于在线状态时禁止其修改IP地址。如果用户在线修改了IP地址,根据配置不同会产生如下现象:
(1)启用了策略服务器且选择了“禁止在线修改IP地址”,客户端会立即下线。
(2)启用了策略服务器且未选择“禁止在线修改IP地址”,客户端会等待一段时间后下线。
(3)未启用策略服务器且选择了“禁止在线修改IP地址”,客户端会等待一段时间后下线。
(4)未启用策略服务器且未选择“禁止在线修改IP地址”,客户端会一直在线。
- 禁止开设代理服务器:禁止用户的PC机作为其他用户的代理服务器。
- 禁止IE设置代理:禁止用户在访问网络时为IE浏览器设置代理。
- 禁用多网卡:禁止用户同时启用多个网卡。
- 禁止多操作系统:禁止用户的PC安装多操作系统。
- 禁止认证网卡配置多IP地址:禁止用户为同一块认证网卡配置多个IP地址。
- 禁止修改MAC地址:用户的PC机是否修改了MAC地址。
- 禁止出现相同的MAC地址:用户使用iNode客户端进行认证时,如果客户端检测到网络中存在与本机相同的MAC地址,则认证失败。
- 禁用VMWare NAT服务:禁止用户使用VMware NAT Service服务。选中该项可以防止终端用户在虚拟机中将虚拟网卡设置为NAT模式,从而防止未进行认证的虚拟机与宿主机共享网络。
- 禁用VMWare USB服务:禁止用户使用VMWareHostd和VMUSBArbService服务。选中该项可以防止终端用户在虚拟机中挂载宿主机上的USB设备来逃避iNode对USB设备的监控。如果同时选中该项和禁用VMWare NAT服务,则可以防止宿主机共享虚拟机中无线网卡创建的无线热点,逃避iNode代理检测。
- IP地址获取方式:此功能用来对用户IP地址获取方式进行限制。如果选中“必须静态设置”,则最终用户只能使用静态设置的IP地址认证上网,选中“必须动态获取”,则用户只允许使用DHCP服务获取IP地址上网。
- 违规处理模式:此功能是对不符合检查项的终端用户所采用的处理方式。下线模式,将终端用户下线;监控模式,则保持终端用户在线。此项配置仅针对禁止开设代理服务器、禁止IE设置代理、禁用多网卡、禁用多操作系统、禁止网卡配置多IP地址、禁止修改MAC地址、禁用VMWare NAT/USB服务、禁止在虚拟机中运行和IP地址获取方式的检测起作用,针对这些项的违规会记录终端违规检查日志。iNode客户端配置中的其他检测项违规均采用下线模式,针对这些项的违规不记录终端违规日志。
- 网络故障时自动重连: 该功能启用后,如果用户掉线,客户端会自动重连。该功能启用后才可以配置“自动重连间隔”和“自动重连次数”参数。如果自动重连间隔配置为30,自动重连次数配置为3,则表示用户掉线后客户端会每隔30分钟重连1次,共重连3次。为了保证系统正常运行,配置自动重连间隔时需要考虑在线用户数,具体的配套关系请参见下面。
|
在线用户数 |
自动重连间隔 |
|
<=1000 |
5分钟 |
|
<=2000 |
10分钟 |
|
<=3000 |
15分钟 |
|
<=5000 |
25分钟 |
|
>5000 |
当在线用户大于5000时,自动重连对服务器性能影响很大,不建议使用自动重连功能 |
- 客户端最低版本:限制使用iNode PC客户端认证的最低版本号,版本号低于该值的客户端将不能通过认证。该参数仅对iNode客户端有效,只有勾选了“仅限iNode客户端”时才可配置。
(2) 单击<确定>按钮,完成接入策略的配置。
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 接入服务”菜单项,进入接入服务管理页面。单击接入服务管理页面中的<增加>按钮,增加接入服务,如图9所示。
接入服务参数配置如下:
· 服务名:输入CA服务。
· 服务后缀:输入629。
· 缺省接入策略:选择“CA策略”。
其他参数保持默认即可,部分参数说明如下。
· 状态:服务的状态决定了该服务是否可被申请,包括可申请、不可申请、无效三种状态。
· 服务后缀:用于在用户认证时标识用户申请的不同服务。如果用户申请的服务中设置了服务后缀,则用户上网时必须以“用户名@服务后缀”作为登录名进行认证。服务后缀必须与接入设备中的域名一致,且接入设备必须上传域名,才能使用户正常认证。
· 服务描述:针对该服务的简单描述,以方便操作员的日常维护。
· 单日累计在线最长时间(分钟):每天允许帐号使用该服务接入网络的总时长,达到该时长后,帐号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440。
· 缺省安全策略:不受接入位置分组限制的用户上网时,会根据该安全策略指定的安全方案对用户的上网的计算机进行安全检查和监控,从而实现网络的自动防御。该选项只有安装了EAD安全策略组件后才会出现。
· 缺省内网外连策略:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省内网外连策略的控制。
· 缺省接入策略:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省接入策略的控制。
· 缺省私有属性下发策略:不受接入位置分组限制的用户上网时,EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上。
· 单帐号最大绑定终端数:用户在该接入场景下可以绑定的最大终端数。当用户在该接入场景下绑定的终端数目超过此处设定的值时,用户将无法上线。取值范围为:[0,999],值为0时表示不限制。该参数只有在部署了EIP组件后才会显示。
· 缺省单帐号最大绑定终端数:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。
· 单帐号最大绑定终端数的检查顺序如下:
a. 匹配的接入场景:EIA检查该场景中用户已经绑定的终端数量是否已达到数量限制,如果已达到数量限制,则拒绝用户认证;
b. 所有服务中包含的场景:检查用户申请的所有服务中(包括服务中的所有场景)已绑定的终端数量,如果用户绑定的所有终端数量已达到终端管理参数中定义的“单帐号最大绑定终端数”数量限制,则EIA拒绝用户认证,否则允许用户继续认证。
· 单帐号在线数量限制:用户在该接入场景下被允许在线的最大终端数。当用户在该接入场景下在线的终端数目超过此处设定的值时,用户将无法上线。取值范围为:[0,999],值为0时表示不限制。
· 缺省单帐号在线数量限制:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号在线数量限制的控制。
· 可申请:只有选中此项,用户在开户或修改帐户信息时才可以申请该服务。当启用按用户分组申请服务时,如果该服务已经指定给用户分组,那么无论该服务是否为可申请状态,属于该用户分组的接入用户都会申请该服务。
· 业务分组:用于分权管理,使特定的人只能管理特性的业务,既职责分明,也不会互相越权。配置该服务所属的业务分组,用于该服务的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置该业务分组。
· 无感知认证:服务是否支持无感知认证功能。无感知认证是指终端通过网页方式进行认证,第一次认证时会强制推出认证页面,用户需要输入用户名和密码进行认证,第一次认证成功后,RADIUS服务器会将该终端的MAC地址 和接入用户绑定(如果是Portal认证方式,还会和服务绑定),之后如果该智能终端再次接入网络,RADIUS服务器会根据终端的MAC地址自动匹配绑定的接入用户和服务, 并自动进行认证,不会再强制推出认证页面,当然也不需要再次输入用户名和密码,这样就实现了无感知认证。无感知认证存在两种认证方式:Portal认证和MAC认证。
Portal认证方式下实现无感知认证需要满足:
a. Portal网关支持无感知认证,需要通过命令行开启,Portal网关发送的无感知认证请求由Portal服务器处理,所以网关中配置的服务器IP地址和端口号必须为Portal服务器IP地址和端口号,缺省端口号为50100。
b. “自动化>>用户业务>>接入服务>>Portal服务管理>>设备配置>>端口组信息管理”中的“无感知认证”选择“支持”选项。
c. “自动化>>用户业务>>接入参数>>系统配置>>终端管理参数配置”中的“无感知认证”选择“启用”选项。
MAC认证方式下实现无感知认证需要满足:
a. 接入设备支持无感知认证,需要通过命令行开启。
b. “自动化>>用户业务>>接入参数>>系统配置>>终端管理参数配置”中的“无感知认证”选择“启用”选项。
如果满足以上所有条件,用户使用该服务接入网络时,将进行无感知认证。终端和接入用户的绑定关系可以在“监控>>监控列表>>终端>>接入终端”中查看。
注意:如果服务配置中选中了“无感知认证”,且申请该服务配置的用户使用终端接入网络,并且由于满足以上条件确实进行了无感知认证,则该服务配置中的“绑定MAC地址”功能将不生效。
(2) 单击<确定>按钮完成接入服务的配置。
如果系统参数中启用了“检查帐号名与证书中的属性”参数,且勾选了“主题-CN、主题-Email、主题备用名-DNS、主题备用名-UPN”中的一项或几项属性,则增加接入用户时,帐号名至少要与选中的一项属性一致,否则认证失败;如果系统参数中没有启用“检查帐号名与证书中的属性”参数,则没有该限制。本案例没有启用“检查帐号名与证书中的属性”参数。
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 接入用户”菜单项,进入接入用户列表页面。
(2) 单击<增加>按钮,进入增加接入用户页面,如图10所示。
· 帐号名:输入用于认证的帐号名zana,不需选择用户类型。
· 密码/密码确认:输入两次相同的密码。
· 接入服务:选择“CA服务”。
其他参数保持默认即可,部分参数说明如下。
· 预开户用户:在新增接入用户时,可设置该用户为预开户用户。预开户用户即使申请了服务,费用足够,也不能够上线,不会产生任何费用信息。
· 缺省BYOD用户:新增接入用户时,可设置该用户为缺省BYOD用户(系统中尚不存在缺省BYOD用户时,该选项才可见)。缺省BYOD用户的帐号名固定为“byodanonymous”,且帐号密码不用再设置。MAC认证方式下,如果相应MAC地址没有和任何帐号名绑定,则使用缺省BYOD用户上线。用户上线后可以访问本系统注册页面注册一个访客帐号或者使用一个已知帐号与MAC地址绑定。MAC地址与帐号绑定成功后,系统会强制用户下线,重新认证时就会使用该MAC地址新绑定的帐号名。
· MAC地址认证用户:新增接入用户时,勾选MAC地址认证用户选项,隐藏不需要的必填项(包括密码、密码确认、允许用户修改密码、启用密码控制策略、下次登录修改密码、在线数量限制、账号类型、终端绑定等信息)方便用户使用。
· 快速认证用户:在新增接入用户时,可设置该用户为快速认证用户(系统中尚不存在快速认证用户时,该选项才可见)。选择为快速认证用户后,帐号名固定为“anonymous”,且帐号密码不用再设置。快速认证用户占用的License数与其在线数相同。
· 生效时间:帐号在指定的时间自动生效。如果不设置,表示该帐号开户后立即生效。
· 失效时间:帐号在指定的时间自动失效。如果不设置,表示该帐号不会自动失效。失效帐号允许登录用户自助。
· 最大闲置时长:用户在线后连续闲置的最大时长,超过这个值后接入设备会强制该用户下线。如果不设置,表示用户不会因闲置而下线。
· 在线数量限制:允许同时使用该帐号上线的用户数。如果不设置,表示同时使用该帐号上线的用户数不受限制。对于快速认证用户,此参数必须设置为1-255之间的整数。
· 登录提示信息:用户使用该帐号通过认证后在登录窗口中显示的提示信息。可以根据不同场景设置个性化的提示信息,比如Merry Christmas。
(4) 全部参数设置如图11所示。
(5) 单击<确定>按钮,完成接入用户的配置。
申请根证书和服务器证书的详细操作请参考EIA证书使用指导。
(1) 选择“自动化”页签,单击导航树中的“用户业务> 接入参数 ”菜单项,进入接入参数页面,然后点击页面上方“证书配置”页签,进入证书配置页面,如图12所示。
(2) 在“根证书配置”页签下,单击<导入EAP根证书>按钮,进入根证书配置页面。
(3) 单击<选择文件>按钮,选择要导入的根证书,如图13所示。
(4) 单击<下一步>按钮,进入CRL配置页面,如图14所示。
图14 CRL配置
(5) 这里不进行CRL的配置,单击<确定>按钮,完成根证书的配置,如图15所示。
(6) 点击“服务器证书配置”页签,开始配置服务器证书。
(7) 单击<导入EAP服务器证书>按钮,进入服务器证书配置页面。
(8) 勾选“服务器证书和私钥在同一文件”,单击<选择文件>按钮,选择导出的服务器证书文件,如图16所示。
图16 配置服务器证书
(9) 单击<下一步>按钮,输入服务器私钥密码(私钥密码为导出服务器证书时设置的),如图17所示。
(10) 单击<确定>按钮,服务器证书配置完成,如图18所示。
(11) 单击<已导入证书校验>按钮,校验根证书和服务器证书的合法性,如图19所示。
<SWITCH>system-view
//配置RADIUS方案capolicy。
[SWITCH]radius scheme capolicy
//配置RADIUS认证服务器IP,端口(端口默认为1812,与EIA配置的认证端口保持一致)。
[SWITCH-radius-capolicy]primary authentication 192.168.7.196 1812
//配置RADIUS计费服务器IP,端口(端口默认为1813,与EIA配置的计费端口保持一致)。
[SWITCH-radius-capolicy]primary accounting 192.168.7.196 1813
//配置RADIUS认证和计费密钥,与EIA配置的共享密钥一致。
[SWITCH-radius-capolicy]key authentication simple fine
[SWITCH-radius-capolicy]key accounting simple fine
//指定设备发送RADIUS报文使用的源地址。
[SWITCH-radius-capolicy] nas-ip 192.168.71.11
//配置用户名格式,without-domain表示用户名后不携带域名。
[SWITCH-radius-capolicy]user-name-format with-domain
[SWITCH-radius-capolicy]quit
//配置Domain 629。
[SWITCH]domain 629
//指定802.1X 关联的RADIUS方案。
[SWITCH-isp- 629]authentication lan-access radius-scheme capolicy
[SWITCH-isp- 629]authorization lan-access radius-scheme capolicy
[SWITCH-isp- 629]accounting lan-access radius-scheme capolicy
[SWITCH-isp- 629]quit
//必须使能全局和接口的802.1X功能后,接口的802.1X功能才生效。
[SWITCH]dot1x
[SWITCH]interface GigabitEthernet 1/0/39
[SWITCH - GigabitEthernet 1/0/39] dot1x
[SWITCH - GigabitEthernet 1/0/39] quit
//因为是证书认证,所以必须选择EAP认证方式。
[SWITCH]dot1x authentication-method eap
客户端根证书的申请和安装请参考EIA证书使用指导。
客户端证书的申请和安装请参考EIA证书使用指导。
(1) 打开iNode客户端,点击“802.1X连接”,如图20所示。
图20 iNode客户端
(2) 点击“更多”
图标,选择“属性”菜单项,弹出属性设置窗口,如图21所示。
(3) 点击“高级”页签,配置高级认证,如图22所示。
(4) 勾选“启用高级认证”前的复选框,如图23所示。
(5) 配置证书认证,如图24所示。
a. 在下拉框中选择“证书认证”。
b. 证书类型选择“EAP-TLS”。
c. 单击<选择客户端证书…>按钮,在弹出的窗口中选择用于认证的客户端证书,如图24所示;单击<确定>按钮,证书选择完成。
d. 勾选“验证服务器证书”前的复选框。
(6) 单击<确定>按钮,证书认证配置完成。
(1) 双击“我的802.1X连接”,弹出连接信息确认窗口,如图26所示。
(2) 输入用户名“zana@629”,单击<连接>按钮,iNode智能客户端开始请求身份验证,身份验证完成后,用户成功接入网络,如图27所示。
选择“监控”页签,点击导航树中的“监控列表> 用户”菜单项,进入本地在线用户页面。在本地在线用户列表中可以看到zana@629在线,如图28所示。
支持
