- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
04-LDAP接入认证功能对接指导
本章节下载 (1.35 MB)
H3C无线控制器与LDAP服务器接入认证功能对接操作指导
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本章介绍H3C无线控制器与认证服务器软件LDAP的接入认证功能对接配置,包括EAP-GTC认证、Portal认证和802.1X认证。
本配置举例所使用的设备型号及版本信息如下:
· AC:vAC,R5435P03
· iMC服务器:iMC PLAT 7.3(E0706P03)、iMC 7.3(E0620)
· Microsoft Windows Server 2012的Active Directory
如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
如图1-1所示,AC和LDAP服务器通过Switch建立连接,LDAP服务器的IP地址为192.168.106.40/24。设备管理员希望通过LDAP服务器对Client进行本地EAP-GTC认证,以控制其对网络资源的访问。
图1-1 本地EAP-GTC认证配置组网图
配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
(1) 配置PKI域,并将证书导入设备。用户可以通过证书服务器自行生成证书使用
# 配置PKI域,名称为eap-gtc
<AC> system-view
[AC] pki domain eap-gtc
# 指定证书申请所使用的RSA密钥对为EAP-GTC,密钥用途为通用
[AC-pki-domain-eap-gtc] public-key rsa general name eap-gtc
# 关闭CRL检查
[AC-pki-domain-eap-gtc] undo crl check enable
[AC-pki-domain-eap-gtc] quit
# 将证书导入设备
[AC] pki import domain eap-gtc pem ca filename cacert.crt
The trusted CA's finger print is:
MD5 fingerprint:CEA3 E3EF C7B6 6BFD 8D9E 8174 606C 8D8E
SHA1 fingerprint:4D25 EA37 4885 5E94 3B0E 1B83 7AA7 290D 23A6 4EC3
Is the finger print correct?(Y/N):y
[AC] pki import domain eap-gtc p12 local filename local.pfx
Please input the password:123456
(2) 创建SSL服务器端策略,并配置SSL服务器端策略所使用的PKI域
# 创建SSL服务器端策略,名称为ssl-eap
[AC] ssl server-policy ssl-eap
# 配置SSL服务器端策略所使用的PKI域为EAP-GTC
[AC-ssl-server-policy-ssl-eap] pki-domain eap-gtc
[AC-ssl-server-policy-ssl-eap] quit
(3) 配置EAP-profile,指定认证方法为PEAP-GTC,并配置EAP-profile所使用的SSL服务器端策略
# 配置EAP-profile,名称为eap-ldap
[AC] eap-profile eap-ldap
# 指定认证方法为PEAP-GTC,并配置EAP-profile所使用的SSL服务器端策略为SSL-EAP
[AC-eap-profile-eap-ldap] method peap-gtc
[AC-eap-profile-eap-ldap] ssl-server-policy ssl-eap
[AC-eap-profile-eap-ldap] quit
(4) 指定DOT1X使用EAP认证
[AC] dot1x authentication-method eap
(5) 配置ISP域
# 创建名称为EAP-GTC的ISP域。
[AC] domain eap-gtc
[AC-isp-eap-gtc] authentication lan-access ldap-scheme ldap
[AC-isp-eap-gtc] authorization lan-access none
[AC-isp-eap-gtc] accounting lan-access none
[AC-isp-eap-gtc] quit
(6) 配置LDAP方案
# 创建名为ldap的LDAP方案,并指定LDAP认证服务器
[AC] ldap scheme ldap
[AC-ldap-ldap] authentication-server ldap
[AC-ldap-ldap] quit
# 配置LDAP认证服务器,IP地址为192.168.106.40,配置密码为绑定服务器时所使用的具有管理员权限的用户密码
[AC]ldap server ldap
[AC-ldap-server-ldap] login-dn cn=administrator,cn=users,dc=test,dc=com
[AC-ldap-server-ldap] search-base-dn dc=test,dc=com
[AC-ldap-server-ldap] ip 192.168.106.40
[AC-ldap-server-ldap] login-password simple 123456
[AC-ldap-server-ldap] quit
(7) 配置服务模板
[AC] wlan service-template h3c-ldap
[AC-wlan-st-h3c-ldap] ssid h3c-ldap
[AC-wlan-st-h3c-ldap] akm mode dot1x
[AC-wlan-st-h3c-ldap] cipher-suite ccmp
[AC-wlan-st-h3c-ldap] security-ie rsn
[AC-wlan-st-h3c-ldap] client-security authentication-mode dot1x
[AC-wlan-st-h3c-ldap] dot1x domain eap-gtc
[AC-wlan-st-h3c-ldap] dot1x eap-termination eap-profile eap-ldap
[AC-wlan-st-h3c-ldap] dot1x eap-termination authentication-method pap
[AC-wlan-st-h3c-ldap] service-template enable
[AC-wlan-st-h3c-ldap ]quit
(8) Radio绑定服务模板
[AC] wlan ap ap1 model WA6330
[AC-wlan-ap-ap1] serial-id 219801A23V8209E0043Y
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1] radio enable
[AC-wlan-ap-ap1] service-template h3c-ldap
(1) 添加用户h3c,在LDAP服务器上,选择[控制面板/管理工具]中的“Active Directory用户和计算机”,打开Active Directory用户管理界面。
图1-2 Active Directory用户管理界面
(2) 在Active Directory用户管理界面的左侧导航树中,选择test.com节点下的“Users”。
图1-3 Users界面
(3) 右键单击“Users”,选择[新建/用户],打开“新建对象-用户”对话框。
图1-4 “用户”选项
(4) 在新建对象-用户弹窗中将用户登录名和用户信息均配置为h3c,然后单击<下一步>按钮。
图1-5 输入用户登录名和用户信息
(5) 在弹出的对话框内配置新建用户的密码,并确认密码,然后单击<下一步>按钮,完成新建用户。
图1-6 输入密码
图1-7 完成新建用户
(6) 将用户h3c加入Users组:在右侧的Users信息框中右键单击用户h3c,选择“属性”项。
图1-8 选择用户的“属性”项
(7) 选择“隶属于”页签,再选中Domain User主要组,再单击<添加(D)...>按钮。
图1-9 添加主要组
(8) 在弹出的[选择组]对话框中的可编辑区域框中输入对象名称“Users”,单击<确定>,将用户添加到Users组。
图1-10 将用户添加至Users组
(1) 完成以上配置后,无线用户连接到WLAN网络,并使用h3c的用户名进行Dot1X认证,阶段2认证选择GTC。
图1-11 无线用户连接至WLAN网络
(2) 无线终端上线后,在AC上通过命令display wlan client可以看见无线用户h3c上线,通过命令display dot1x connection可看见dot1x用户信息;
[AC] display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
e0cc-f858-4d50 h3c ap1 1 192.168.105.191 1
[AC] display dot1x connection
User MAC address : e0cc-f858-4d50
AP name : ap1
Radio ID : 1
SSID : h3c-ldap
BSSID : f010-9059-42e3
Username : h3c
Anonymous username : N/A
Authentication domain : eap-gtc
IPv4 address : 192.168.105.191
Authentication method : EAP
Initial VLAN : 1
Authorization VLAN : 1
Authorization ACL number : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Authorization URL : N/A
Authorization IPv6 URL : N/A
Termination action : N/A
Session timeout last from : N/A
Session timeout period : N/A
Online from : 2022/05/10 15:15:59
Online duration : 0h 3m 11s
· AC:
#
pki domain eap-gtc
public-key rsa general name eap-gtc
undo crl check enable
#
pki import domain eap-gtc pem ca filename cacert.crt
#
pki import domain eap-gtc p12 local filename local.pfx
#
ssl server-policy ssl-eap
pki-domain eap-gtc
#
eap-profile eap-ldap
method peap-gtc
ssl-server-policy ssl-eap
#
dot1x authentication-method eap
#
domain eap-gtc
authentication lan-access ldap-scheme ldap
authorization lan-access none
accounting lan-access none
#
ldap scheme ldap
authentication-server ldap
#
ldap server ldap
login-dn cn=administrator,cn=users,dc=test,dc=com
search-base-dn dc=test,dc=com
ip 192.168.106.40
login-password simple 123456
#
wlan service-template h3c-ldap
ssid h3c-ldap
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain eap-gtc
dot1x eap-termination eap-profile eap-ldap
dot1x eap-termination authentication-method pap
service-template enable
#
wlan ap ap1 model WA6330
serial-id 219801A23V8209E0043Y
radio 1
radio enable
service-template h3c-ldap
#
如图1-12所示,AC、LDAP服务器和iMC服务器通过Switch建立连接。LDAP服务器用来存放用户名和密码,iMC服务器做为Radius服务器。在对Client进行远程802.1X认证时,在LDAP服务器上校验密码。
图1-12 远程802.1X认证组网图
(1) 配置ISP域
#创建名称为imc的ISP域。
[H3C] domain imc
[H3C-isp-imc] authentication lan-access radius-scheme imc
[H3C-isp-imc] authorization lan-access radius-scheme imc
[H3C-isp-imc] accounting lan-access radius-scheme imc
[H3C-isp-imc] quit
(2) 配置radius方案
# 创建名为imc的radius方案,并指定radius认证服务器,IP地址为192.168.106.88,与RADIUS认证服务器交互的认证报文的共享密钥为12345678。
[H3C] radius scheme imc
[H3C-radius-imc] primary authentication 192.168.106.88 key simple 12345678
[H3C-radius-imc] primary accounting 192.168.106.88 key simple 12345678
[H3C-radius-imc] nas-ip 192.168.105.190
[H3C-radius-nps] quit
# 配置802.1x的认证模式为EAP中继的方式。
[H3C] dot1x authentication-method eap
(3) 配置服务模板
[H3C] wlan service-template h3c-imc-ldap
[H3C-wlan-st-h3c-imc-ldap] ssid h3c-imc-ldap
[H3C-wlan-st-h3c-imc-ldap] akm mode dot1x
[H3C-wlan-st-h3c-imc-ldap] cipher-suite ccmp
[H3C-wlan-st-h3c-imc-ldap] security-ie rsn
[H3C-wlan-st-h3c-imc-ldap] client-security authentication-mode dot1x
[H3C-wlan-st-h3c-imc-ldap] dot1x domain imc
[H3C-wlan-st-h3c-imc-ldap] service-template enable
[H3C-wlan-st-h3c-imc-ldap] quit
(4) Radio绑定服务模板
[H3C] wlan ap ap1 model WA6330
[H3C-wlan-ap-ap1] serial-id 219801A23V8209E0043Y
[H3C-wlan-ap-ap1] radio 1
[H3C-wlan-ap-ap1] radio enable
[H3C-wlan-ap-ap1] service-template h3c-imc-ldap
(1) 添加用户h3c,在LDAP服务器上,选择[控制面板/管理工具]中的“Active Directory用户和计算机”,打开Active Directory用户管理界面。
图1-13 Active Directory用户管理界面
(2) 在Active Directory用户管理界面的左侧导航树中,选择test.com节点下的“Users”。
图1-14 Users界面
(3) 右键单击“Users”,选择[新建/用户],打开“新建对象-用户”对话框。
图1-15 “用户”选项
(4) 在新建对象-用户弹窗中将用户登录名和用户信息均配置为h3c,然后单击<下一步>按钮。
图1-16 输入用户登录名和用户信息
(5) 在弹出的对话框内配置新建用户的密码,并确认密码,然后单击<下一步>按钮,完成新建用户。
图1-17 输入密码
图1-18 完成新建用户
(6) 将用户h3c加入Users组:在右侧的Users信息框中右键单击用户h3c,选择“属性”项。
图1-19 选择用户的“属性”项
(7) 选择“隶属于”页签,再选中Domain User主要组,再单击<添加(D)...>按钮。
图1-20 添加主要组
(8) 在弹出的[选择组]对话框中的可编辑区域框中输入对象名称“Users”,单击<确定>,将用户添加到Users组。
图1-21 将用户添加至Users组
(1) 增加接入设备
a. 登录进入iMC管理平台,选择“用户”标签,然后选择[接入策略管理/接入设备管理/接入设备配置],在接入设备配置页面中单击“增加”按钮,进入增加接入设备页面。在页面上配置共享密钥及确认共享密钥为AC上配置的RADIUS方案中认证和计费密钥(12345678),其余保持缺省配置。
图1-22 增加接入设备
b. 点击上图中的手工增加接入设备,在手工添加增加接入设备页面添加设备(AC)的IP地址为192.168.105.190。
图1-23 添加AC的IP地址
(2) 接入策略管理
在增加接入策略页面填写接入策略名(如h3c),然后首选EAP类型为手机支持的EAP-PEAP类型,子类型选择EAP-GTC,其余保持缺省配置。
图1-24 增加接入策略
(3) 接入服务管理
在接入服务管理页面填入服务名(如h3c),缺省接入策略选择上面配置的策略h3c,其余保持缺省配置。
图1-25 增加接入服务
(4) LDAP业务管理
a. 在[接入策略管理/LDAP业务管理/服务器配置]页面,点击<增加>按钮,添加LDAP服务器,配置服务器的IP地址、服务器类型选择微软活动目录、管理员DN配置为cn=administrator,cn=usera,dc=test,dc=com,输入LDAP服务器的管理员密码、配置Base DN为dc=test,dc=com,其余选项保持缺省配置。
图1-26 添加LDAP服务器
b. 在[接入策略管理/LDAP业务管理/同步策略配置]页面,点击<增加>按钮,增加LDAP同步策略,同步策略名为h3c,子BaseDN配置为dc=test,dc=com,其余保持缺省配置,点击<下一步>继续进行LDAP同步策略的配置;
图1-27 增加LDAP同步策略
c. 在接入信息下配置密码,在iMC执行LDAP用户解绑操作后,该密码可用于用户认证,若不执行解绑操作,该配置无作用。在接入设备绑定信息中选择接入服务h3c,配置完成后点击<完成>按钮;
图1-28 继续增加LDAP同步策略
d. 最后在LDAP同步策略查询页面点击<同步>按钮,同步LDAP用户信息;
图1-29 同步LDAP用户信息
# 完成以上配置后,无线用户连接到WLAN网络,并使用h3c的用户名进行dot1x认证,阶段2认证选择GTC。
图1-30
# 无线终端上线后,在AC上通过命令display wlan client可以看见无线用户h3c上线,通过命令display dot1x connection可看见dot1x用户信息;
#
[H3C]display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
e0cc-f858-4d50 h3c ap1 1 192.168.105.191 1
#
[H3C]display dot1x connection
Total connections: 1
User MAC address : e0cc-f858-4d50
AP name : ap1
Radio ID : 1
SSID : h3c-imc-ldap
BSSID : f010-9059-42e7
Username : h3c
Anonymous username : N/A
Authentication domain : imc
IPv4 address : 192.168.105.191
Authentication method : EAP
Initial VLAN : 1
Authorization VLAN : 1
Authorization ACL number : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Authorization URL : N/A
Authorization IPv6 URL : N/A
Termination action : N/A
Session timeout last from : N/A
Session timeout period : N/A
Online from : 2022/05/11 11:07:00
Online duration : 0h 1m 8s
· AC:
#
domain imc
authentication lan-access radius-scheme imc
authorization lan-access radius-scheme imc
accounting lan-access radius-scheme imc
#
radius scheme imc
primary authentication 192.168.106.88 key simple 12345678
primary accounting 192.168.106.88 key simple 12345678
nas-ip 192.168.105.190
#
dot1x authentication-method eap
#
wlan service-template h3c-imc-ldap
ssid h3c-imc-ldap
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain imc
service-template enable
#
wlan ap ap1 model WA6330
serial-id 219801A23V8209E0043Y
radio 1
radio enable
service-template h3c-imc-ldap
#
如图1-31所示,AC和LDAP服务器通过Switch建立连接,LDAP服务器的IP地址为192.168.106.40/24。设备管理员希望通过LDAP服务器对Client进行本地Portal认证,以控制其对网络资源的访问。
图1-31 本地Portal认证组网图
(1) 配置ISP域
# 创建名称为portal的ISP域。
[H3C] domain portal
[H3C-isp-portal] authentication portal ldap-scheme ldap
[H3C-isp-portal] authorization portal none
[H3C-isp-portal] accounting portal none
[H3C-isp-portal] quit
(2) 配置LDAP方案
# 创建名为ldap的LDAP方案,并指定LDAP认证服务器。
[H3C] ldap scheme ldap
[H3C-ldap-ldap] authentication-server ldap
[H3C-ldap-ldap] quit
# 配置LDAP认证服务器,IP地址为192.168.106.40,配置密码为访问ldap服务器的管理员密码,配置管理员权限的用户DN和配置用户查询的起始DN。
[H3C] ldap server ldap
[H3C-ldap-server-ldap] login-dn cn=administrator,cn=users,dc=test,dc=com
[H3C-ldap-server-ldap] search-base-dn dc=test,dc=com
[H3C-ldap-server-ldap] ip 192.168.106.40
[H3C-ldap-server-ldap] login-password simple 123456
[H3C-ldap-server-ldap] quit
(3) 配置portal认证
# 配置Portal Web服务器的URL为http://192.168.105.190/portal。
[H3C] portal web-server portal
[H3C-portal-websvr-portal] url http://192.168.105.190/portal
[H3C-portal-websvr-portal] quit
# 创建本地Portal Web 服务器,进入本地Portal Web服务器视图,并指定使用HTTP协议和客户端交互认证信息。
[H3C] portal local-web-server http
# 配置本地Portal Web服务器提供的缺省认证页面文件为defaultfile.zip(设备的存储介质的根目录下必须已存在该认证页面文件,否则功能不生效)。
[H3C–portal-local-websvr-http] default-logon-page defaultfile.zip
[H3C–portal-local-websvr-http] quit
# 配置两条基于目的的Portal免认证规则,放行访问DNS服务器的流量。
[H3C] portal free-rule 1 destination ip any udp 53
[H3C] portal free-rule 2 destination ip any tcp 53
(4) 配置服务模板
[H3C] wlan service-template h3c-ldap
[H3C-wlan-st-h3c-ldap] ssid h3c-ldap-portal
[H3C-wlan-st-h3c-ldap] portal enable method direct
[H3C-wlan-st-h3c-ldap] portal domain portal
[H3C-wlan-st-h3c-ldap] portal apply web-server portal
[H3C-wlan-st-h3c-ldap] service-template enable
[H3C-wlan-st-h3c-ldap] quit
(5) Radio绑定服务模板
[H3C] wlan ap ap1 model WA6330
[H3C-wlan-ap-ap1] serial-id 219801A23V8209E0043Y
[H3C-wlan-ap-ap1] radio 1
[H3C-wlan-ap-ap1] radio enable
[H3C-wlan-ap-ap1] service-template h3c-ldap
(1) 添加用户h3c,在LDAP服务器上,选择[控制面板/管理工具]中的“Active Directory用户和计算机”,打开Active Directory用户管理界面;
图1-32 Active Directory用户管理界面
(2) 在Active Directory用户管理界面的左侧导航树中,选择test.com节点下的“Users”。
图1-33 Users界面
(3) 右键单击“Users”,选择[新建/用户],打开“新建对象-用户”对话框。
图1-34 “用户”选项
(4) 在新建对象-用户弹窗中将用户登录名和用户信息均配置为h3c,然后单击<下一步>按钮。
图1-35 输入用户登录名和用户信息
(5) 在弹出的对话框内配置新建用户的密码,并确认密码,然后单击<下一步>按钮,完成新建用户。
图1-36 配置新建用户的密码
图1-37 完成新建用户
(6) 将用户h3c加入Users组:在右侧的Users信息框中右键单击用户h3c,选择“属性”项;
图1-38 选择用户的“属性”项
(7) 选择“隶属于”页签,再选中Domain User主要组,再单击<添加(D)...>按钮。
图1-39 添加主要组
(8) 在弹出的[选择组]对话框中的可编辑区域框中输入对象名称“Users”,单击<确定>,将用户添加到Users组。
图1-40 将用户添加至Users组
# 完成以上配置后,无线终端连接到WLAN网络,浏览器跳转Portal认证页面,输入用户名和密码后可成功认证上线。
图1-41 进行认证
图1-42 成功上线
# 无线终端上线后,在AC上通过命令display portal user all可以看见portal用户h3c上线;
[H3C]display portal user all
Total portal users: 1
Username: h3c
AP name: ap1
Radio ID: 1
SSID: h3c-ldap-portal
Portal server: N/A
State: Online
VPN instance: N/A
MAC IP VLAN Interface
def4-dffd-50c9 192.168.105.156 1 WLAN-BSS1/0/5
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: N/A
· AC:
#
domain portal
authentication portal ldap-scheme ldap
authorization portal none
accounting portal none
#
ldap scheme ldap
authentication-server ldap
#
ldap server ldap
login-dn cn=administrator,cn=users,dc=test,dc=com
search-base-dn dc=test,dc=com
ip 192.168.106.40
login-password simple 123456
#
portal web-server portal
url http://192.168.105.190/portal
#
portal local-web-server http
default-logon-page defaultfile.zip
#
portal free-rule 1 destination ip any udp 53
#
portal free-rule 2 destination ip any tcp 53
#
wlan service-template h3c-ldap
ssid h3c-ldap-portal
portal enable method direct
portal domain portal
portal apply web-server portal
service-template enable
#
wlan ap ap1 model WA6330
serial-id 219801A23V8209E0043Y
radio 1
radio enable
service-template h3c-ldap
#
如图1-43所示,AC、LDAP服务器和iMC服务器通过Switch建立连接。LDAP服务器用来存放用户名和密码,iMC服务器做为Radius服务器。在对Client进行远程Portal认证时,在LDAP服务器上校验密码。
图1-43 远程Portal认证组网图
(1) 配置ISP域
# 创建名称为imc的ISP域。
[H3C] domain imc
[H3C-isp-imc] authentication portal radius-scheme imc
[H3C-isp-imc] authorization portal radius-scheme imc
[H3C-isp-imc] accounting portal radius-scheme imc
[H3C-isp-imc] quit
(2) 配置Radius方案
# 创建名为imc的radius方案,并指定radius认证服务器。
[H3C] radius scheme imc
[H3C-radius-imc] primary authentication 192.168.106.88 key simple 12345678
[H3C-radius-imc] primary accounting 192.168.106.88 key simple 12345678
[H3C-radius-imc] user-name-format without-domain
[H3C-radius-imc] nas-ip 192.168.105.190
[H3C-radius-imc] quit
(3) 配置portal认证
# 配置portal认证服务器。
[H3C] portal server imc
[H3C-portal-server-imc] ip 192.168.106.88 key simple 12345678
[H3C-portal-server-imc] quit
# 配置Portal Web服务器。
[H3C]portal web-server imc
[H3C-portal-websvr-imc] url http://192.168.106.88:8080/portal
[H3C-portal-websvr-imc] quit
(4) 配置服务模板
[H3C]wlan service-template h3c-imc-ldap
[H3C-wlan-st-h3c-imc-ldap] ssid h3c-imc-ldap
# 开启Portal直接认证功能。
[H3C-wlan-st-h3c-imc-ldap] portal enable method direct
# 指定Portal用户使用的认证域
[H3C-wlan-st-h3c-imc-ldap] portal domain imc
[H3C-wlan-st-h3c-imc-ldap] portal bas-ip 192.168.105.190
[H3C-wlan-st-h3c-imc-ldap] portal apply web-server imc
[H3C-wlan-st-h3c-imc-ldap] service-template enable
[H3C-wlan-st-h3c-imc-ldap] quit
(5) Radio绑定服务模板
[H3C]wlan ap ap1 model WA6330
[H3C-wlan-ap-ap1]serial-id 219801A23V8209E0043Y
[H3C-wlan-ap-ap1]radio 1
[H3C-wlan-ap-ap1]radio enable
[H3C-wlan-ap-ap1]service-template h3c-imc-ldap
(1) 添加用户h3c,在LDAP服务器上,选择[控制面板/管理工具]中的“Active Directory用户和计算机”,打开Active Directory用户管理界面;
图1-44 Active Directory用户管理界面
(2) 在Active Directory用户管理界面的左侧导航树中,选择test.com节点下的“Users”。
图1-45 Users界面
(3) 右键单击“Users”,选择[新建/用户],打开“新建对象-用户”对话框。
图1-46 “用户”选项
(4) 在新建对象-用户弹窗中将用户登录名和用户信息均配置为h3c,然后单击<下一步>按钮。
图1-47 输入用户登录名和用户信息
(5) 在弹出的对话框内输入密码,并确认密码,然后单击<下一步>按钮,完成新建用户。
图1-48 输入密码
图1-49 完成新建用户
(6) 将用户h3c加入Users组:在右侧的Users信息框中右键单击用户h3c,选择“属性”项;
图1-50 选择用户的“属性”项
(7) 选择“隶属于”页签,再选中Domain User主要组,再单击<添加(D)...>按钮。
图1-51 添加主要组
(8) 在弹出的[选择组]对话框中的可编辑区域框中输入对象名称“Users”,单击<确定>,完成用户添加到Users组。
图1-52 将用户添加至Users组
(1) 增加接入设备
# 登录进入iMC管理平台,选择“用户”标签,然后选择[接入策略管理/接入设备管理菜单项/接入设备配置],在接入设备配置页面中单击“增加”按钮,进入增加接入设备页面。在页面上配置共享密钥及确认共享密钥为AC上配置的RADIUS方案中认证(计费)密钥(12345678),其余保持缺省配置。
图1-53 配置共享密钥
图1-54 增加接入设备
# 点击上图中的手工增加接入设备,在手工添加增加接入设备页面添加设备(AC)的IP地址为192.168.105.190。
(2) 增加Portal设备
# 配置IP地址组:在接入[策略管理/Portal服务管理/IP地址组配置],选择增加进入增加IP地址组页面;
图1-55 增加IP地址组
# 配置Portal设备配置:在[接入策略管理/Portal服务管理/设备配置],点击增加进入增加设备信息,IP地址为AC的IP地址。密钥与AC的Portal认证服务器上的密钥一致;
图1-56 增加Portal设备信息
# 配置设备关联IP地址组:在[接入策略管理/Portal服务管理/设备配置]中,选择刚增加的后h3c-ldap设备名后面的端口信息管理,增加端口组信息:设置端口组名,认证方式选择PAP,IP地址组选择之前增加的IP地址组,其他配置保持缺省配置。
图1-57 设备配置页面
图1-58 端口组信息查询页面
图1-59 增加端口组信息页面
(3) 接入策略管理
# 在[接入策略管理/增加接入策略]中的增加接入策略,填写接入策略名(如h3c),其他配置保持缺省配置。
图1-60 增加接入策略页面
(4) 接入服务管理
# 在[接入策略管理/接入服务管理]中增加接入服务,填入服务名(如h3c),缺省接入策略选择上面配置的策略h3c,其余保持缺省配置。
图1-61 增加接入服务
(5) LDAP业务管理
# 在[接入策略管理/LDAP业务管理]的服务器配置页面,点击<增加>按钮,增加LDAP服务器,配置服务器的IP地址、服务器类型选择微软活动目录、管理员DN配置为cn=administrator,cn=usera,dc=test,dc=com,输入LDAP服务器的管理员密码、配置Base DN为dc=test,dc=com,其余选项保持缺省配置。
图1-62 增加LDAP服务器
# 在[接入策略管理/LDAP业务管理/同步策略配置]中,点击<增加>按钮,添加LDAP同步策略,同步策略名为h3c,子BaseDN配置为dc=test,dc=com,其余保持缺省配置。
图1-63 增加LDAP同步策略
# 点击下一步,接入信息下配置密码(ldap用户解绑后用户认证使用的密码),选择接入服务h3c;
图1-64 配置接入信息的密码
图1-65 选择接入服务为h3c
# 点击完成后,在LDAP同步策略查询页面点击同步,同步LDAP用户信息;
图1-66 同步LDAP用户信息
# 完成以上配置后,无线终端连接到WLAN网络,浏览器跳转Portal认证页面,输入用户名和密码后可成功认证上线。
图1-67 Portal认证页面
图1-68 成功认证上线
# 无线终端上线后,在AC上通过命令display portal user all可看见Portal用户信息;
[H3C]dis portal user all
Total portal users: 1
Username: h3c
AP name: ap1
Radio ID: 1
SSID: h3c-imc-ldap
Portal server: imc
State: Online
VPN instance: N/A
MAC IP VLAN Interface
e0cc-f858-4d50 192.168.105.191 1 WLAN-BSS1/0/7
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Web URL: N/A
· AC:
#
domain imc
authentication portal radius-scheme imc
authorization portal radius-scheme imc
accounting portal radius-scheme imc
#
radius scheme imc
primary authentication 192.168.106.88 key simple 12345678
primary accounting 192.168.106.88 key simple 12345678
user-name-format without-domain
nas-ip 192.168.105.190
#
portal server imc
ip 192.168.106.88 key simple 12345678
#
portal web-server imc
url http://192.168.106.88:8080/portal
#
wlan service-template h3c-imc-ldap
ssid h3c-imc-ldap
portal enable method direct
portal domain imc
portal bas-ip 192.168.105.190
portal apply web-server imc
service-template enable
#
wlan ap ap1 model WA6330
serial-id 219801A23V8209E0043Y
radio 1
radio enable
service-template h3c-imc-ldap
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
