02-Cisco ISE接入认证功能对接操作指导
本章节下载 (3.52 MB)
H3C无线控制器与Cisco ISE接入认证功能对接操作指导
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
1 H3C无线控制器与Cisco ISE接入认证功能对接操作指导
1.3 H3C无线控制器通过ISE(2.3)进行802.1X PEAP认证举例
1.4 H3C无线控制器通过ISE(2.3)进行MAC认证举例
1.5 H3C无线控制器通过ISE(2.3)进行Portal认证举例
1.6 H3C无线控制器通过ISE(2.3)配置SSH登录时使用HWTACACS认证举例
1.7 H3C无线控制器通过ISE(2.3)进行LDAP身份认证举例
本章介绍H3C无线控制器与Cisco的认证服务器软件ISE的接入认证功能对接配置,包括802.1X认证、MAC认证、Portal认证及SSH登录时使用HWTACACS认证功能。
本文中配置以Cisco ISE 2.3.0.298版本为例,适用于R5428及以上版本的H3C无线控制器。
如图1-1所示,AP通过交换机与AC相连,无线802.1X用户通过AP接入无线网络。具体要求如下:
· Client通过802.1X PEAP认证接入无线网络。
· 通过ISE服务器下发授权ACL和VLAN。
图1-1 802.1X PEAP认证组网图
本配置仅展示认证的相关配置,网络互通的相关配置略,请保证设备间能够互相访问。
#
配置802.1x认证方式为EAP。
#
dot1x authentication-method eap
#
配置RADIUS服务器地址和密钥,此密钥与ISE服务器的配置一致;指定NAS-IP,此地址与服务器添加的设备地址一致。
#
radius scheme ise
primary authentication 8.1.1.18 key cipher $c$3$FpBySjKd6TF17QmPAQ83vNM+mNuZHUw=
user-name-format without-domain
nas-ip 191.120.1.56
#
创建ISP域,为802.1X用户配置认证方案为RADIUS方案,方案名称为ise;为802.1X用户配置授权方案为RADIUS方案,方案名称为ise。
#
domain ise
authentication lan-access radius-scheme ise
authorization lan-access radius-scheme ise
#
配置并开启名称为ise的无线服务模板,配置客户端从无线服务模板上线后加入VLAN71,配置SSID,配置身份认证与密钥管理模式为dot1x模式,配置加密套件为CCMP,配置安全信息元素为RSN,配置用户接入认证方式为802.1X,并配置802.1X认证用户使用的ISP域为ise。
#
wlan service-template ise
ssid 000AAA-MACAU
vlan 71
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain ise
service-template enable
#
配置名称为ax的AP在AC上线,将无线服务模板ise绑定到AP的Radio 1接口,并开启Radio 1的射频功能。
#
wlan ap ax model WA6528
serial-id 219801A1LH8188E00011
radio 1
radio enable
service-template ise
# 配置授权ACL 3100,禁止Client访问8.1.1.5。
acl advanced 3100
rule 1 deny ip destination 8.1.1.5 0
# 配置授权VLAN 4094及其对应的VLAN接口。
vlan 4094
interface vlan-interface 4094
ip address 191.94.0.1 24
# 配置授权VLAN的DHCP地址池vlan4094。
dhcp server ip-pool vlan4094
network 191.94.0.0 mask 255.255.255.0
gateway-list 191.94.0.1
dns-list 191.94.0.1
(1) 创建用户组和用户账号
#
创建用户组:选择[Administration/Identity Management/Groups/User Identity Groups]选项,点击<Add>按钮,创建名称为LDF的新用户组。
图1-2 创建用户组
#
创建用户账号:选择[Administration/Identity Management/Identities/Users]选项,点击<Add>按钮,创建名称为ldf00001的新帐号,配置密码为Ldf123456(密码由大写字母、小写字母和数字组成),绑定用户组LDF。
图1-3 创建用户账号
(2) 添加AC设备
在页面上方导航栏中选择[Administration/Network Resources/Network Devices]选项,点击<Add>按钮添加名称为ac的新设备,配置IP地址为191.120.1.56,与AC指定的NAS-IP保持一致,配置密码H3cc。
图1-4 添加AC
(3) 配置认证协议
在页面上方导航栏中选择[Policy/Policy Elements/Results/Authentication/Allowed Protocols]选项,新建名称为1x的认证协议服务,勾选EAP-TLS和PEAP选项。
(4) 配置授权ACL和VLAN
#
服务器下发授权信息:配置授权ACL,选择[Policy/Policy Elements/Results/Authorization/Authorization Profiles]选项,点击<Add>按钮,在Authorization Profile栏中配置名称为acl_3100,在Network Device Profile下拉框中选择“Cisco”选项,下发属性选择Radius:Filter-ID,输入ACL编号为3100。
图1-5 配置授权ACL
#
服务器下发授权信息:配置授权VLAN,选择[Policy/Policy Elements/Results/Authorization/Authorization Profiles]选项,点击<Add>按钮,Authorization Profile栏中配置名称为vlan_4094,在Network Device Profile下拉框中选择“Cisco”选项,在Custom Tasks栏中勾选VLAN属性并输入VLAN编号4094。
图1-6 配置授权VLAN
(5) 配置认证和授权策略
#
配置认证和授权策略:在页面上方导航栏中选择[Policy/Policy Sets]选项,点击Policy Sets下方的<+>按钮,配置名称1x的认证和授权策略,配置Conditions名称为1x,并在Conditions栏中选择“Wired_Dot1x”或“Wireless Dot1x”选项,在Allowed Protocols/Server Sequence栏中选择1x。
图1-7 配置认证和授权策略1
#
点击上图“1x”后的<View>按钮,在Authorization Policy栏中新增一个名称为acl_vlan的授权策略,在Result Pofiles栏中选择选择“acl_3100”、“vlan4094”。
图1-8 配置认证和授权策略2
在页面上方导航栏中选择[Operations/RADIUS],用户可以查看终端上线的Live Logs和Live Sessions。
图1-9 查看终端上线的Live Logs
图1-10 查看终端上线的Live Sessions
#
vlan 4094
#
dhcp server ip-pool vlan4094
network 191.94.0.0 mask 255.255.255.0
gateway-list 191.94.0.1
dns-list 191.94.0.1
#
interface vlan-interface 4094
ip address 191.94.0.1 24
#
acl advanced 3100
rule 1 deny ip destination 8.1.1.5 0
#
radius scheme ise
primary authentication 8.1.1.19 key cipher $c$3$FpBySjKd6TF17QmPAQ83vNM+mNuZHUw=
user-name-format without-domain
nas-ip 191.120.1.56
#
domain ise
authentication lan-access radius-scheme ise
authorization lan-access radius-scheme ise
#
wlan service-template ise
ssid 000AAA-MACAU
vlan 71
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain ise
service-template enable
#
wlan ap ax model WA6528
serial-id 219801A1LH8188E00011
radio 1
radio enable
service-template ise
#
dot1x authentication-method eap
如图1-11所示,AP通过交换机与AC相连,设备管理员希望对Client进行MAC地址和PSK认证,以控制其对网络资源的访问,具体要求如下:
· Client通过MAC地址认证接入无线网络。
· 配置Client和AP之间的数据报文采用PSK认证密钥管理模式来确保用户数据的传输安全。
· 通过ISE服务器下发授权ACL和VLAN。
图1-11 MAC认证组网图
本配置仅展示认证的相关配置,网络互通的相关配置略,请保证设备间能够互相访问。
#
配置RADIUS服务器地址和密钥,此密钥要与ISE服务器配置的一致;指定NAS-IP,此地址与服务器添加的设备地址一致。
#
radius scheme ise
primary authentication 8.1.1.18 key cipher $c$3$FpBySjKd6TF17QmPAQ83vNM+mNuZHUw=
user-name-format without-domain
nas-ip 191.120.1.56
#
创建ISP域,为default用户配置认证方案为RADIUS方案,方案名称为ise;为default用户配置授权方案为RADIUS方案,方案名称为ise。
#
domain ise
authentication default radius-scheme ise
authorization default radius-scheme ise
# 配置MAC地址认证的用户名为ldf00001,密码为明文Ldf123456。
#
mac-authentication user-name-format fixed account ldf00001 password simple Ldf123456
#
配置并使能名称为isemac2的无线服务模板,配置SSID,配置客户端从无线服务模板上线后加入VLAN71,配置客户端身份认证与密钥管理模式为PSK,配置加密套件为CCMP,配置安全信息元素为WPA,配置客户端接入认证方式为MAC地址认证,配置MAC地址认证用户使用的ISP域为ise。
#
wlan service-template isemac2
ssid 000AAAMACAU-MAC-CCMP-WPA
vlan 71
akm mode psk
preshared-key pass-phrase cipher $c$3$XYqokG6I8YoOymukIyvxoJuzFoB+oVJD6exoqw==
cipher-suite ccmp
security-ie rsn
client-security authentication-mode mac
mac-authentication domain ise
service-template enable
#
配置名称为ax的AP在AC上线,将无线服务模板isemac2绑定到AP的Radio 1接口,并使能Radio 1。
#
wlan ap ax model WA6528
serial-id 219801A1LH8188E00011
vlan 1
radio 1
radio enable
service-template isemac2
# 配置授权ACL 3100,禁止Client访问8.1.1.5。
acl advanced 3100
rule 1 deny ip destination 8.1.1.5 0
# 配置授权VLAN 4094及其对应的VLAN接口。
vlan 4094
interface vlan-interface 4094
ip address 191.94.0.1 24
# 配置授权VLAN的DHCP地址池vlan4094。
dhcp server ip-pool vlan4094
network 191.94.0.0 mask 255.255.255.0
gateway-list 191.94.0.1
dns-list 191.94.0.1
(1) 创建用户组和用户账号
#
创建用户组:在页面上方导航栏中选择[Administration/Identity Management/Groups/User Identity Groups]选项,点击<Add>按钮,创建名称为LDF的用户组。
图1-12 创建用户组
#
创建用户账号:在页面上方导航栏中选择[Administration/Identity Management/Identities/Users]选项,点击<Add>按钮,创建名称为ldf00001的用户账号,配置密码为Ldf123456(密码由大写字母、小写字母和数字组成),与AC的配置保持一致,并绑定用户组LDF。
图1-13 创建用户账号
(2) 添加AC设备
在页面上方导航栏中选择[Administration/Network Resources/Network Devices]选项,点击<Add>按钮,添加名称为ac的新设备,配置IP地址为191.120.1.56,与AC指定的NAS-IP保持一致,配置密码H3cc。
图1-14 添加AC设备
(3) 配置认证协议
在页面上方导航栏中选择[Policy/Policy Elements/Results/Authentication/Allowed Protocols]选项,新建名称为mab的认证协议服务。在Authentication Bypass栏中勾选Process Host Lookup选项,在Authentication Protocols栏中勾选PAP/ASCII和CHAP选项。
图1-15 配置认证协议
(4) 配置授权ACL和VLAN
#
服务器下发授权信息:配置授权ACL,在页面上方导航栏中选择[Policy/Policy Elements/Results/Authorization/Authorization Profiles]选项,点击<Add>按钮,在Authorization Profile栏中配置名称为acl_3100,在Network Device Profile下拉框中选择“Cisco”选项,下发属性选择Radius:Filter-ID,输入ACL编号为3100。
图1-16 配置授权ACL
#
服务器下发授权信息:配置授权VLAN,选择[Policy/Policy Elements/Results/Authorization/Authorization Profiles]选项,点击<Add>按钮,Authorization Profile栏中配置名称为vlan_4094,在Network Device Profile下拉框中选择“Cisco”选项,在Custom Tasks栏中勾选VLAN属性并输入VLAN编号4094。
图1-17 配置授权VLAN
(5) 配置认证和授权策略
#
配置认证和授权策略:在页面上方导航栏中选择[Policy/Policy Sets]选项,点击Policy Sets下方的<+>按钮,配置名称mab的认证和授权策略,并配置Conditions名称为mab。在Allowed Protocols/Server Sequence栏中选择mab。
图1-18 新建认证和授权策略
#
在Conditions栏中选择“Wired_MAB”或“Wireless_MAB”选项。
图1-19 配置Conditions
#
点击<View>按钮,在Authorization Policy栏中新增名为acl_vlan的授权策略,在Result Pofiles栏中选择acl_3100和vlan4094。
图1-20 新增授权策略
终端无需特殊配置,搜索到网络后输入密码即可。
上线成功后,设备上可以看到用户信息,查看授权ACL和VLAN信息正确。
图1-21 查看用户信息
#
vlan 4094
#
dhcp server ip-pool vlan4094
network 191.94.0.0 mask 255.255.255.0
gateway-list 191.94.0.1
dns-list 191.94.0.1
#
interface vlan-interface 4094
ip address 191.94.0.1 24
#
acl advanced 3100
rule 1 deny ip destination 8.1.1.5 0
#
radius scheme ise
primary authentication 8.1.1.19 key cipher $c$3$FpBySjKd6TF17QmPAQ83vNM+mNuZHUw=
user-name-format without-domain
nas-ip 191.120.1.56
#
domain ise
authentication default radius-scheme ise
authorization default radius-scheme ise
#
mac-authentication user-name-format fixed account ldf00001 password simple Ldf123456
#
wlan ap ax model WA6528
serial-id 219801A1LH8188E00011
#
wlan service-template isemac2
ssid 000AAAMACAU-MAC-CCMP-WPA
vlan 71
akm mode psk
preshared-key pass-phrase cipher $c$3$XYqokG6I8YoOymukIyvxoJuzFoB+oVJD6exoqw==
cipher-suite ccmp
security-ie rsn
client-security authentication-mode mac
mac-authentication domain ise
service-template enable
#
wlan ap ax model WA6528
serial-id 219801A1LH8188E00011
vlan 1
radio 1
radio enable
service-template isemac2
如图1-22所示,AP通过交换机与AC相连,无线用户通过AP接入无线网络。具体要求如下:
· 对无线用户采用直接方式的Portal认证。
· 使用ISE服务器作为Portal和RADIUS服务器。
图1-22 Portal认证组网图
ise_h3c.zip已上传至AC的存储介质根目录。
本配置仅展示认证的相关配置,网络互通的相关配置略,请保证设备间能够互相访问。
(1) 配置ISP域
# 创建名称为ise的ISP域。
[H3C]domain ise
[H3C-isp-ise]authentication portal radius-scheme ise
[H3C-isp-ise]authorization portal radius-scheme ise
[H3C-isp-ise]accounting portal radius-scheme ise
(2) 配置Radius方案
# 配置Radius方案,Radius服务器地址为100.18.0.200。
[H3C]radius scheme ise
[H3C-radius-ise]primary authentication 100.18.0.200 key simple 12345678
[H3C-radius-ise]primary accounting 100.18.0.200 key simple 12345678
[H3C-radius-ise]user-name-format without-domain
[H3C-radius-ise]nas-ip 6.6.4.10
(3) 配置Portal认证
# 放通到本地AC和Radius服务器的报文,配置Portal认证时客户端访问AC的VLAN。
[H3C]portal user-logoff after-client-offline enable
[H3C]portal client-gateway interface Vlan-interface 1000
[H3C]portal free-rule 2 destination ip 6.6.4.10 255.255.255.255 #放通到本地AC的报文
[H3C]portal free-rule 5 destination ip 100.18.0.200 255.255.255.255 #放通到radius服务器的报文
# 配置Web服务器。
[H3C]portal web-server ise
[H3C-portal-websvr-ise]url https://100.18.0.200:8443/portal/PortalSetup.action?portal=f0ae43f0-7159-11e7-a355-005056aba474 #ise服务器上的portal url
[H3C-portal-websvr-ise]server-type ise #配置server-type为ise
Web服务器的URL请参见1.5.3 2. (6)配置Portal setting。
# 配置本地Web的http/https页面,ise_h3c.zip文件需上传到设备的存储介质根目录下。
[H3C] portal local-web-server http
[H3C-portal-local-websvr-http] default-logon-page ise_h3c.zip
[H3C] portal local-web-server https
[H3C-portal-local-websvr-https] default-logon-page ise_h3c.zip
(4) 配置无线服务模板
[H3C]wlan service-template iseportal
[H3C-wlan-st-iseportal]ssid h3c-ise-portal
[H3C-wlan-st-iseportal]portal enable method direct
[H3C-wlan-st-iseportal]portal domain ise
[H3C-wlan-st-iseportal]portal bas-ip 6.6.4.10
[H3C-wlan-st-iseportal]portal apply web-server ise
[H3C-wlan-st-iseportal]service-template enable
(5) Radio绑定无线服务模板
[H3C]wlan ap ap1 model WA6330
[H3C-wlan-ap-ap1]serial-id 219801A23V8209E0043Y
[H3C-wlan-ap-ap1]radio 1
[H3C-wlan-ap-ap1-radio-1]service-template iseportal vlan 234
[H3C-wlan-ap-ap1-radio-1]radio enable
(1) 创建Device Profile
在导航栏中选择[Administration/Network Resources/Network Devices Profiles]选项,点击<Add>按钮添加名称为H3C的Device Profiles,vendor选择Other,Supported Protocols勾选RADIUS。
图1-23 创建Device Profile
(2) 添加AC设备
在导航栏中选择[Administration/Network Resources/Network Devices]选项,点击<Add>按钮添加名称为AC的新设备,Device Profile选择H3C,配置IP地址为6.6.4.10,与AC指定的NAS-IP保持一致,勾选RADIUS Authentication Settings,配置密码12345678。
图1-24 添加AC设备
(3) 创建用户组
在导航栏中选择[Administration/Identity Management/Groups/User Identity Groups]选项,点击<Add>按钮,创建名称为H3C的新用户组。
图1-25 创建用户组
(4) 创建用户账号
选择[Administration/Identity Management/Identities/Users]选项,点击<Add>按钮,创建名称为h3c001的新帐号,配置密码为H3c123456(密码由大写字母、小写字母和数字组成),绑定用户组H3C。
图1-26 创建用户账号
(5) 配置认证协议
在页面上方导航栏中选择[Policy/Policy Elements/Results/Authentication/Allowed Protocols]选项,点开Default Network Access,勾选Allow CHAP。
图1-27 配置认证协议
在页面上方导航栏中选择[Work Centers/Guest Access/Portals & Components/Guest Portals],点击Self-Registered Guest Portal (default),使用默认配置,点击Portal test URL,新窗口的地址即为web-server地址。
图1-28 配置Portal setting
# 使用手机终端连接到SSID为h3c-ise-portal的无线服务上线,页面跳转到Cisco的认证登录界面,输入用户名和密码,会出现“继续”的页面,点击<继续>按钮,跳转到H3C登录成功的页面。
图1-29 验证配置
通过执行以下显示命令查看AC上生成的Portal在线用户信息。
[H3C]display portal user all
Total portal users: 1
Username: h3c001
AP name: ap1
Radio ID: 1
SSID: h3c-ise-portal
Portal server: N/A
State: Online
VPN instance: N/A
MAC IP VLAN Interface
9cbc-f0e7-50f0 10.249.56.169 234 WLAN-BSS1/0/4
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: N/A
#
vlan 234
#
vlan 1000
#
wlan service-template iseportal
ssid h3c-ise-portal
portal enable method direct
portal domain ise
portal bas-ip 6.6.4.10
portal apply web-server ise
service-template enable
#
interface Vlan-interface1000
ip address 6.6.4.10 255.255.255.0
#
radius scheme ise
primary authentication 100.18.0.200 key cipher $c$3$oTPE3ir9uYI718iL9tFmRoaoDu7
DmtlZ2gZC
primary accounting 100.18.0.200 key cipher $c$3$/Vcna21JU94hHKqWvBTrACCGhUm8iPi
B5Vp7
user-name-format without-domain
nas-ip 6.6.4.10
#
domain ise
authentication portal radius-scheme ise
authorization portal radius-scheme ise
accounting portal radius-scheme ise
#
portal user-logoff after-client-offline enable
portal client-gateway interface Vlan-interface1000
portal free-rule 2 destination ip 6.6.4.10 255.255.255.255
portal free-rule 5 destination ip 100.18.0.200 255.255.255.255
#
portal web-server ise
url https://100.18.0.200:8443/portal/PortalSetup.action?portal=f0ae43f0-7159-11e7-a355-005056aba474
server-type ise
#
portal local-web-server http
default-logon-page ise_h3c.zip
#
portal local-web-server https
default-logon-page ise_h3c.zip
#
wlan ap ap1 model WA6330
serial-id 219801A23V8209E0043Y
radio 1
radio enable
service-template iseportal vlan 234
radio 2
radio 3
#
如图1-30所示,PC通过交换机与AC相连,设备管理员希望使用SSH登录AC时进行HWTACACS认证,具体要求如下:
· Client通过SSH登录AC时,验证为level-1用户角色。
· 使level-1用户角色执行display cpu-usage命令无效。
图1-30 HWTACACS认证组网图
本配置仅展示认证的相关配置,网络互通的相关配置略,请保证设备间能够互相访问。
#
配置HWTACACS策略:配置服务器地址和密钥,此密钥要与ISE服务器配置的一致;指定NAS-IP,此地址与服务器添加的设备地址一致。
#
hwtacacs scheme tac
primary authentication 8.1.1.19 key cipher $c$3$8zfqwa07HmNhvjWvEeixw5NGEGo82r/htRg=
primary authorization 8.1.1.19 key cipher $c$3$fARZu6PskfKoULCy46SHq0hVbNHakBUPleE=
primary accounting 8.1.1.19 key cipher $c$3$tBnfBlfHnO9YHBko2ZjMpzpuRqSyN3wdDPA=
user-name-format without-domain
nas-ip 191.2.1.56
#
创建ISP域为system,为login用户配置认证方案为HWTACACS方案,方案名称为tac;配置授权方案为HWTACACS方案,方案名称为tac;配置计费方案为不计费;配置命令行授权方案为HWTACACS,方案名称为tac;配置命令行计费方案为HWTACACS方案,方案名称为tac。
#
domain system
authentication login hwtacacs-scheme tac
authorization login hwtacacs-scheme tac
accounting login none
authorization command hwtacacs-scheme tac
accounting command hwtacacs-scheme tac
#
创建本地RSA及DSA密钥对,使能SSH服务。
#
public-key local create rsa
public-key local create dsa
ssh server enable
#
使能缺省用户角色授权功能。
#
role default-role enable
#
使能命令行授权功能、命令行审计功能。
#
line vty 0 31
authentication-mode scheme
command authorization
command accounting
(1) 创建用户账号
在页面上方导航栏中选择[Device Administration/Identities/Users]选项,点击<Add>按钮,创建名称为ldflogin的新帐号,配置密码为Ldf654321(密码由大写字母、小写字母和数字组成)。
图1-31 创建用户账号
(2) 添加AC设备
在页面上方导航栏中选择[Device Administration/Network Resources/Network Devices]选项,点击<Add>按钮,添加名称为AC2的新设备,配置IP地址为191.2.1.56,勾选TACACS Authentication Settings栏,配置密码H3cc。
(3) 配置认证协议
#
配置认证协议:在页面上方导航栏中选择[Device Administration/Policy Elements/Results/Allowed Protocols]选项,采用默认的策略“Default Device Admin”。
图1-32 配置认证协议
#
配置TACACS授权用户角色:在页面上方导航栏中选择[Device Administration/Policy Elements/Results/TACACS Profiles]选项,点击<Add>按钮,新建名称为名称为ldftacas的命令集,配置Default Privilege为level1。
图1-33 配置授权用户角色
#
配置TACACS授权命令行集合:在页面上方导航栏中选择[Device Administration/Policy Elements/Results/TACACS Command Sets]选项,点击<Add>按钮新建名称为ldftacacs的命令集,配置不允许执行命令display cpu-usage;在Commands栏中勾选Permit any commandthat is mot listed below,允许执行其他命令。
图1-34 配置授权命令行集合
(4) 配置认证和授权策略
#
新建认证策略:在页面上方导航栏中选择[Device Administration/Device Admin Policy Sets]选项,点击<+>按钮,新建名称为a的认证策略。
图1-35 新建认证策略
#
设置认证策略和授权策略:点击上图认证策略a后面的<View>按钮,授权策略下发TACACS角色“ldftacas”和TACACS命令集“ldftacacs”。
图1-36 设置认证策略和授权策略
(5) 开启设备接入认证服务
#
开启设备接入认证服务:选择页面上方的[Administration/System/Deployment]选项,首先勾选ISE节点。
图1-37 开启设备接入认证服务
#
再点击上图<Edit>按钮进入编辑页面,勾选Enable Device Admin Service选项,完成配置。
图1-38 进入编辑页面
客户端通过SSH登录AC,正确输入用户名和密码,可以登录设备。
验证角色level-1生效:角色1允许访问的命令,比如display memory可以正常访问;deny的命令display cpu-usage无法访问,提示Permission denied。
图1-39 验证配置
#
hwtacacs scheme tac
primary authentication 8.1.1.19 key cipher $c$3$8zfqwa07HmNhvjWvEeixw5NGEGo82r/htRg=
primary authorization 8.1.1.19 key cipher $c$3$fARZu6PskfKoULCy46SHq0hVbNHakBUPleE=
primary accounting 8.1.1.19 key cipher $c$3$tBnfBlfHnO9YHBko2ZjMpzpuRqSyN3wdDPA=
user-name-format without-domain
nas-ip 191.2.1.56
#
domain system
authentication login hwtacacs-scheme tac
authorization login hwtacacs-scheme tac
accounting login none
authorization command hwtacacs-scheme tac
accounting command hwtacacs-scheme tac
#
public-key local create rsa
#
public-key local create dsa
#
ssh server enable
#
role default-role enable
#
line vty 0 31
authentication-mode scheme
command authorization
command accounting
如图1-40所示,AC与核心交换机Switch 2相连,并与ISE服务器、LDAP服务器网络可达,AP与接入交换机Switch 1相连。现要求:用户进行远程802.1X认证时使用LDAP服务器中的用户名和密码进行认证登录。
图1-40 LDAP身份认证组网图
· 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
· LDAP搭建完成,本文以Microsoft Windows Server 2012的Active Directory为例,说明该例中LDAP服务器的基本配置。
# 创建名为imc的radius方案,并指定radius认证服务器
[AC] radius scheme ise
[AC-radius-ise] primary authentication 192.168.106.200 key simple 12345678
[AC-radius-ise] primary accounting 192.168.106.200 key simple 12345678
[AC-radius-ise] user-name-format without-domain
[AC-radius-ise] nas-ip 192.168.105.36
# 配置802.1X的认证模式为EAP中继的方式
[AC] dot1x authentication-method eap
# 创建名称为ise的ISP域。
[AC] domain ise
[AC-isp-ise] authentication lan-access radius-scheme ise
[AC-isp-ise] authorization lan-access radius-scheme ise
[AC-isp-ise] accounting lan-access none
[AC]wlan service-template h3c-ise-ldap
[AC-wlan-st-h3c-ise-ldap] ssid h3c-ise-ldap
[AC-wlan-st-h3c-ise-ldap] akm mode dot1x
# 配置终端上线的VLAN。
[AC-wlan-st-h3c-ise-ldap] vlan 33
[AC-wlan-st-h3c-ise-ldap] cipher-suite ccmp
[AC-wlan-st-h3c-ise-ldap] security-ie rsn
[AC-wlan-st-h3c-ise-ldap] client-security authentication-mode dot1x
[AC-wlan-st-h3c-ise-ldap] dot1x domain ise
[AC-wlan-st-h3c-ise-ldap] service-template enable
(4) Radio绑定服务模板
[AC] wlan ap ap1 model WA6622
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1] radio enable
[AC-wlan-ap-ap1] service-template h3c-ise-ldap
# 添加用户h3c,在LDAP服务器上,选择[控制面板/管理工具]中的“Active Directory用户和计算机”,打开Active Directory用户管理界面。如图1-41所示。
图1-41 打开Active Directory用户管理界面
# 在Active Directory用户管理界面的左侧导航树中,点击test.com节点下的<Users>按钮。
图1-42 进入Users界面
# 右键单击“Users”,选择[新建/用户],打开“新建对象-用户”对话框。
图1-43 进入新建用户界面
# 在对话框中输入用户信息和用户登录名h3c,并单击<下一步>按钮。
图1-44 配置新建用户名称
# 在弹出的对话框内输入密码,并确认密码,然后单击<下一步>按钮。
图1-45 配置新建用户密码
# 完成新建用户。
图1-46 完成新建用户
# 将用户h3c加入Users组,在右侧的Users信息框中右键单击用户h3c,选择“属性”项。
图1-47 进入属性页面
# 选择“隶属于”页签,并单击<添加(D)...>按钮。
图1-48 进入用户添加User组界面
# 在弹出的[选择组]对话框中的可编辑区域框中输入对象名称“Users”,单击<确定>按钮,完成用户aa添加到Users组。
图1-49 将用户添加至User组
# 在页面上方导航栏中选择[Administration/Network Resources/Network Device Profiles]选项,选择HPWireless,点击“Duplicate”按钮进入创建Network Device Profiles页面。
图1-50 Network Device Profiles界面
# 配置Network Device Profiles名称为HPWireless_copy-2022,在Supported Protocols栏目中勾选RADIUS选项。
图1-51 配置Network Device Profiles
(2) 添加AC设备
# 在页面上方导航栏中选择[Administration/Network Resources/Network Devices]选项,点击<Add>按钮添加名称为ac的新设备,配置IP地址为192.168.105.36,与AC指定的NAS-IP保持一致,Device Profile选择步骤(1)中创建的HPWireless_copy-2022。
图1-52 添加AC设备
# 配置密钥,此密钥与设备上radius密钥配置一致。
图1-53 配置密钥
(3) ISE添加LDAP服务器
# 在页面上方导航栏中选择[Administration/Identity Management/External Identity Sources]选项,在LDAP界面下点击add增加。
图1-54 进入添加LDAP服务器页面
# General界面下,配置LDAP服务器名称,schema选择Novell eDirectory
图1-55 配置LDAP服务器名称
# Connection界面下,输入LDAP服务器的IP地址和端口(默认389,无需修改),以及开启认证接入,配置Admin DN为cn=administrator,cn=users,dc=test,dc=com,password为LDAP服务器管理员的密码。
图1-56 配置LDAP服务器相关参数
# 上述配置完成之后,可以点击下方的“Test Bind to Server”按钮检查ISE与LDAP服务器的连通性,连通正常界面会弹框提示绑定成功。
图1-57 检查ISE与LDAP服务器的连通性
# Directory Organization界面,配置Subject Search Base和Subject Search Base为DC=test,DC=com。
图1-58 Directory Organization界面
# 在页面上方导航栏中选择[Policy/Policy Elements/Results/Authentication/Allowed Protocols]选项,点击add增加认证配置文件。
图1-59 增加认证配置文件
# 将认证配置文件的名称配置为ldap,只勾选如下图中允许的认证方式(PAP/ASCII、PEAP-GTC),其他方式不要勾选。
图1-60 配置认证配置文件的名称
图1-61 选择认证方式
# 配置认证和授权策略:在页面上方导航栏中选择[Policy/Policy Sets]选项,创建名称为ldap的认证和授权策略,配置conditions匹配条件和选择认证配置文件“ldap”,点击保存。
图1-62 配置认证和授权策略名称
# 在Conditions Studio页面配置匹配条件,选择wireless-connect选项,在Editor页面中将Radius·NAS-Port-Type配置为用Wireless-IEEE 802.11,来匹配无线用户接入。
图1-63 配置认证和授权策略的匹配条件
# 点击view按钮,转到认证授权配置界面。
图1-64 进入认证授权配置界面
# 在认证策略Authentication Policy (1)界面下,配置使用外部身份源“ad”,作为身份验证数据库。外部身份源即LDAP服务器名称,在步骤(3)中配置,详情参见图1-55。
图1-65 配置身份验证数据库
# 在授权策略Authorization Policy (1)下,将授权结果配置为允许接入“PermitAccess”。点击save保存。
图1-66 配置授权结果
# 完成以上配置后,无线用户连接到WLAN网络,并使用h3c的用户名进行dot1x认证。各个终端连接WiFi进行认证时的配置如下:
(1) 安卓终端
EAP方法选择PEAP,阶段2认证选择GTC。
(2) 苹果终端
IOS和MAC OS终端直接输入用户名和密码连接。
(3) Windows终端
需要安装inode客户端,定制无线连接,802.1x认证属性中选择EAP-GTC认证方法。
# 无线终端上线后,通过命令display dot1x connection可看见dot1x用户信息;
[AC] dis dot1x connection
Total connections: 1
User MAC address : b4a5-acd5-135d
AP name : ap1
Radio ID : 1
SSID : h3c-ise-ldap
BSSID : f474-88c3-60a5
Username : h3c
Anonymous username : N/A
Authentication domain : ise
IPv4 address : 174.33.0.3
Authentication method : EAP
Initial VLAN : 33
Authorization VLAN : 33
Authorization ACL number : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Authorization URL : N/A
Authorization IPv6 URL : N/A
Termination action : N/A
Session timeout last from : N/A
Session timeout period : N/A
Online from : 2022/07/28 19:34:24
Online duration : 0h 3m 42s
# ISE认证服务器侧查看终端通过LDAP服务器用户名和密码认证成功日志:
图1-67 ISE查看认证成功日志1
图1-68 ISE查看认证成功日志2
#
wlan service-template h3c-ise-ldap
ssid h3c-ise-ldap
akm mode dot1x
vlan 33
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain ise
service-template enable
#
interface Vlan-interface1000
ip address 6.6.4.10 255.255.255.0
#
radius scheme ise
primary authentication 192.168.106.200 key simple 12345678
primary accounting 192.168.106.200 key simple 12345678
user-name-format without-domain
dot1x authentication-method eap
nas-ip 192.168.105.36
#
domain ise
authentication lan-access radius-scheme ise
authorization lan-access radius-scheme ise
accounting lan-access none
#
wlan ap ap1 model WA6622
serial-id 219801A23V8209E0043Y
radio 1
radio enable
service-template h3c-ise-ldap
radio 2
radio 3
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!