1 802.1X本地认证+LDAP典型配置

1.1  简介

本地802.1X认证是一种网络访问控制机制，要求连接到网络的设备提供有效的身份凭证进行认证。LDAP（轻量级目录访问协议）是一种用于访问和维护分布式目录服务的协议，常用于集中管理和身份验证。本文档提供了关于本地802.1X+LDAP认证的典型配置示例，将帮助读者理解和掌握本地802.1X+LDAP认证的配置过程，并能够在实际环境中进行相应的配置和部署。

1.2  组网需求

如图1所示，AC和LDAP服务器通过Switch建立连接，LDAP服务器的IP地址为192.168.106.40/24。设备管理员希望通过LDAP服务器对Client进行本地EAP-GTC认证，以控制其对网络资源的访问。

图1 本地EAP-GTC认证配置组网图

图2

 

1.3  配置注意事项

配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。

1.4  配置步骤

 

1. 配置AC

(1)     通过ftp或者tftp方式将CA证书cacert.crt和本地证书local.pfx上传到设备

(2)     配置PKI域，并将证书导入设备。用户可以通过证书服务器自行生成证书使用

# 配置PKI域，名称为eap-gtc。

<AC> system-view

[AC] pki domain eap-gtc

# 指定证书申请所使用的RSA密钥对为EAP-GTC，密钥用途为通用。

[AC-pki-domain-eap-gtc] public-key rsa general name eap-gtc

# 关闭CRL检查。

[AC-pki-domain-eap-gtc] undo crl check enable

[AC-pki-domain-eap-gtc] quit

# 将证书导入设备。

[AC] pki import domain eap-gtc pem ca filename cacert.crt

The trusted CA's finger print is:

    MD5  fingerprint:CEA3 E3EF C7B6 6BFD 8D9E 8174 606C 8D8E

    SHA1 fingerprint:4D25 EA37 4885 5E94 3B0E 1B83 7AA7 290D 23A6 4EC3

Is the finger print correct?(Y/N):y

[AC] pki import domain eap-gtc p12 local filename local.pfx

Please input the password:123456

(3)     创建SSL服务器端策略，并配置SSL服务器端策略所使用的PKI域

# 创建SSL服务器端策略，名称为ssl-eap。

[AC] ssl server-policy ssl-eap

# 配置SSL服务器端策略所使用的PKI域为EAP-GTC。

[AC-ssl-server-policy-ssl-eap] pki-domain eap-gtc

[AC-ssl-server-policy-ssl-eap] quit

(4)     配置EAP-profile，指定认证方法为PEAP-GTC，并配置EAP-profile所使用的SSL服务器端策略

# 配置EAP-profile，名称为eap-ldap。

[AC] eap-profile eap-ldap

# 指定认证方法为PEAP-GTC，并配置EAP-profile所使用的SSL服务器端策略为ssl-eap。

[AC-eap-profile-eap-ldap] method peap-gtc

[AC-eap-profile-eap-ldap] ssl-server-policy ssl-eap

[AC-eap-profile-eap-ldap] quit

(5)     指定DOT1X使用EAP认证

[AC] dot1x authentication-method eap

(6)     配置ISP域

# 创建名称为EAP-GTC的ISP域。

[AC] domain eap-gtc

[AC-isp-eap-gtc] authentication lan-access ldap-scheme ldap

[AC-isp-eap-gtc] authorization lan-access none

[AC-isp-eap-gtc] accounting lan-access none

[AC-isp-eap-gtc] quit

(7)     配置LDAP方案

# 创建名为ldap的LDAP方案，并指定LDAP认证服务器。

[AC] ldap scheme ldap

[AC-ldap-ldap] authentication-server ldap

[AC-ldap-ldap] quit

# 配置LDAP认证服务器，IP地址为192.168.106.40，配置密码为绑定服务器时所使用的具有管理员权限的用户密码。

[AC] ldap server ldap

[AC-ldap-server-ldap] login-dn cn=administrator,cn=users,dc=test,dc=com

[AC-ldap-server-ldap] search-base-dn dc=test,dc=com

[AC-ldap-server-ldap] ip 192.168.106.40

[AC-ldap-server-ldap] login-password simple 123456

[AC-ldap-server-ldap] quit

(8)     配置无线服务模板

[AC] wlan service-template h3c-ldap

[AC-wlan-st-h3c-ldap] ssid h3c-ldap

[AC-wlan-st-h3c-ldap] akm mode dot1x

[AC-wlan-st-h3c-ldap] cipher-suite ccmp

[AC-wlan-st-h3c-ldap] security-ie rsn

[AC-wlan-st-h3c-ldap] client-security authentication-mode dot1x

[AC-wlan-st-h3c-ldap] dot1x domain eap-gtc

[AC-wlan-st-h3c-ldap] dot1x eap-termination eap-profile eap-ldap

[AC-wlan-st-h3c-ldap] dot1x eap-termination authentication-method pap

[AC-wlan-st-h3c-ldap] service-template enable

[AC-wlan-st-h3c-ldap ]quit

(9)     配置AP

 

# 创建手工AP，名称为ap1，选择AP型号并配置序列号。

[AC] wlan ap ap1 model WA6320

[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T

[AC-wlan-ap-ap1] quit

# 创建AP组group1，并配置AP名称入组规则。

[AC] wlan ap-group group1

[AC-wlan-ap-group-group1] ap ap1

# 将无线服务模板h3c-ldap绑定到AP组group1下的Radio 1上，并开启Radio 1的射频功能。

[AC-wlan-ap-group-group1] ap-model WA6320

[AC-wlan-ap-group-group1-ap-model-WA6320] radio 1

[AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] radio enable

[AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] service-template h3c-ldap

[AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] quit

[AC-wlan-ap-group-group1-ap-model-WA6320] quit

[AC-wlan-ap-group-group1] quit

2. 配置LDAP服务器，添加用户

 

(1)     添加用户h3c，在LDAP服务器上，选择[控制面板/管理工具]中的“Active Directory用户和计算机”，打开Active Directory用户管理界面。

图3 Active Directory用户管理界面

 

(2)     在Active Directory用户管理界面的左侧导航树中，选择test.com节点下的“Users”。

图4 Users界面

 

(3)     右键单击“Users”，选择[新建/用户]，打开“新建对象-用户”对话框。

图5 “用户”选项

 

(4)     在“新建对象-用户”弹窗中将用户登录名和用户信息均配置为h3c，然后单击<下一步>按钮。

图6 输入用户登录名和用户信息

 

(5)     在弹出的对话框内配置新建用户的密码，并确认密码，然后单击<下一步>按钮，完成新建用户。

图7 输入密码

 

图8 完成新建用户

 

(6)     将用户h3c加入Users组：在右侧的Users信息框中右键单击用户h3c，选择“属性”项。

图9 选择用户的“属性”项

 

(7)     选择“隶属于”页签，再选中Domain User主要组，再单击<添加(D)...>按钮。

图10 添加主要组

 

(8)     在弹出的[选择组]对话框中的可编辑区域框中输入对象名称“Users”，单击<确定>，将用户添加到Users组。

图11 将用户添加至Users组

 

1.5  验证配置

 

(1)     完成以上配置后，无线用户连接到WLAN网络，并使用h3c的用户名进行Dot1X认证，阶段2认证选择GTC。

图12 无线用户连接至WLAN网络

 

(2)     无线终端上线后，在AC上通过命令display wlan client可以看见无线用户h3c上线，通过命令display dot1x connection可看见dot1x用户信息。

[AC] display wlan client

Total number of clients: 1

 

MAC address    User name            AP name               R IP address      VLAN

e0cc-f858-4d50 h3c                  ap1                   1 192.168.105.191 1

 

[AC] display dot1x connection

User MAC address                   : e0cc-f858-4d50

AP name                            : ap1

Radio ID                           : 1

SSID                               : h3c-ldap

BSSID                              : f010-9059-42e3

Username                           : h3c

Anonymous username                 : N/A

Authentication domain              : eap-gtc

IPv4 address                       : 192.168.105.191

Authentication method              : EAP

Initial VLAN                       : 1

Authorization VLAN                 : 1

Authorization ACL number           : N/A

Authorization user profile         : N/A

Authorization CAR                  : N/A

Authorization URL                  : N/A

Authorization IPv6 URL             : N/A

Termination action                 : N/A

Session timeout last from          : N/A

Session timeout period             : N/A

Online from                        : 2022/05/10 15:15:59

Online duration                    : 0h 3m 11s

1.6  配置文件

·     AC：

#

pki domain eap-gtc

 public-key rsa general name eap-gtc

 undo crl check enable

#

pki import domain eap-gtc pem ca filename cacert.crt

#

pki import domain eap-gtc p12 local filename local.pfx

#

ssl server-policy ssl-eap

 pki-domain eap-gtc

#

eap-profile eap-ldap

 method peap-gtc

 ssl-server-policy ssl-eap

#

dot1x authentication-method eap

#

domain eap-gtc

 authentication lan-access ldap-scheme ldap

 authorization lan-access none

 accounting lan-access none

#

ldap scheme ldap

 authentication-server ldap

#

ldap server ldap

 login-dn cn=administrator,cn=users,dc=test,dc=com

 search-base-dn dc=test,dc=com

 ip 192.168.106.40

 login-password simple 123456

#

wlan service-template h3c-ldap

 ssid h3c-ldap

 akm mode dot1x

 cipher-suite ccmp

 security-ie rsn

 client-security authentication-mode dot1x

 dot1x domain eap-gtc

 dot1x eap-termination eap-profile eap-ldap

 dot1x eap-termination authentication-method pap

 service-template enable

#

wlan ap ap1 model WA6320

 serial-id 219801A28N819CE0002T

#

wlan ap-group group1

 ap ap1

 ap-model WA6320

 radio 1

 radio enable

 service-template h3c-ldap

#

1.7  相关资料

·     《H3C 无线控制器产品 配置指导》中的“用户接入与认证配置指导”。

·     《H3C 无线控制器产品 命令参考》中的“用户接入与认证命令参考”。

·     《H3C 无线控制器产品 配置指导》中的“WLAN接入配置指导”。

·     《H3C 无线控制器产品 命令参考》中的“WLAN接入命令参考”。

·     《H3C 无线控制器产品 配置指导》中的“AP管理配置指导”

·     《H3C 无线控制器产品 命令参考》中的“AP管理命令参考”