配置ldap认证
ldap认证 时间:2021-04-05 阅读:()
知iMCEIA802.
1Xzhiliao_4Dtat2018-08-25发表iMCEIA无线802.
1XMSCHAPv2LDAP认证的典型配置案例组网及说明PEAP-MSCHAPv2认证类型是EAP证书认证的一种,当LDAP服务器使用WindowsAD时,LDAP用户支持EAP-PEAP-MSCHAPv2认证,本案例介绍iMCEIA无线802.
1XMSCHAPv2LDAP认证的配置方法.
本案例中iMCEIA服务器和WindowsAD为同一台服务器,实际生产环境请分开部署.
EIA、接入设备、WindowsAD、iNode使用的版本分别如下:iMCEIA版本为iMCEIA7.
3(E0511)接入设备为H3CWX3540HComwareSoftware,Version7.
1.
064,Release5215P01WindowsAD为WindowsServer2012ADiNode版本为7.
3(E0522)配置前提说明:接入设备支持802.
1X协议,且与iMCEIA服务器路由可达.
LDAP服务器为WindowsAD,且与iMCEIA服务器路由可达.
相关根证书和服务器证书已申请完成.
配置步骤1、WindowsAD服务器相关配置本案例中WindowsAD命名林根域为h3c.
com,在h3c.
com下新建一个名为RD的组织单位,并在RD组织中新建两个用户liuming和zhangyu.
2、AC接入设备802.
1X认证关键配置#创建认证方案1x,配置主认证/计费RADIUS服务器的IP地址为192.
168.
127.
96,认证、计费RADIUS服务器的共享密钥为明文字符串zsf_pwd,配置设备发送RADIUS报文使用的源IP地址为192.
168.
127.
33.
radiusscheme1xprimaryauthentication192.
168.
127.
96primaryaccounting192.
168.
127.
96keyauthenticationsimplezsf_pwdkeyaccountingsimplezsf_pwdnas-ip192.
168.
127.
33#创建认证域1x,配置802.
1X用户使用RADIUS方案1x进行认证、授权、计费.
domain1xauthenticationlan-accessradius-scheme1xauthorizationlan-accessradius-scheme1xaccountinglan-accessradius-scheme1x#配置802.
1X的认证方式为EAP.
dot1xauthentication-methodeap#使能radiussession-control.
radiussession-controlenable#创建并配置无线服务模板1x.
wlanservice-template1xssid1xvlan10akmmodedot1xcipher-suiteccmpsecurity-iersnclient-securityauthentication-modedot1xdot1xdomain1xservice-templateenable#将无线服务模板1x绑定到radio1和radio2,并开启射频.
wlanapl2-softwaremodelWA2620i-AGNserial-id210235A1XXXXXX000007radio1radioenableservice-template1xradio2radioenableservice-template1x3、iMC服务器的配置(1)由于采用EAP-PEAP证书认证,所以iMC服务器侧需要配置根证书和服务器证书,如果客户端验证服务器的话,客户端需要安装根证书,否则客户端不需要安装任何证书.
本案例客户端不验证服务器.
用户>接入策略管理>业务参数配置>证书配置,分别导入根证书和服务器证书.
注意:EAP-PEAP认证之前请提前申请和下载证书,本案例不涉及介绍,如有问题可参考《iMCUAM证书使用指导》.
(2)用户>接入策略管理>接入设备管理>接入设备配置,增加接入设备192.
168.
127.
33.
注意:增加的接入设备IP需要和认证设备radiusscheme下的nas-ip一致,共享密钥需要和radiusscheme下的认证、计费radius服务器的密钥一致.
(3)用户>接入策略管理>接入策略管理,增加接入策略1x,首选EAP类型选择EAP-PEAP,子类型选择EAP-MSCHAPV2,其他参数保持缺省即可.
(4)用户>接入策略管理>接入服务管理,增加接入服务1x,服务后缀配置为认证设备上的domain域名1x,缺省接入策略选择1x.
(5)用户>接入策略管理>LDAP业务管理>服务器配置,增加LDAP服务器.
管理员DN为cn=Administrator,cn=Users,dc=h3c,dc=com,管理员密码为Administrator的密码,BaseDN为dc=h3c,dc=com,其他参数可根据实际需求配置.
高级信息中启用MS-CHAPV2认证,虚拟计算机名称本案例命名为hh,虚拟机计算机密码为h3c:(6)在WindowsAD服务器上新建虚拟计算机.
在h3c.
com下右键Computers选择新建计算机,其中计算机名和iMC服务器上的虚拟计算机名称保持一样为hh:(7)给新建的虚拟计算机设置密码.
设置虚拟机计算机密码需要运行一个脚本程序ModiComputerAccoutPass.
vbs,该脚本程序从用户>接入策略管理>LDAP业务管理>参数配置页面点击修改计算机密码脚本的下载链接获取:下载计算机密码脚本程序到本地,使用文本编辑器打开该文件,将CN=testAccount,CN=Computers,DC=CONTOSO,DC=COM替换为虚拟计算机帐号DN,本例中DN为CN=hh,CN=Computers,DC=h3c,DC=com,将iMC123替换为虚拟计算机密码h3c:将修改之后的计算机密码脚本程序拷贝到AD域控服务器,打开命令行窗口,cd进入脚本程序所在路径,执行cscriptModifyComputerAccountPass.
vbs使重置后的虚拟计算机密码生效.
(8)用户>接入策略管理>LDAP业务管理>同步策略配置,增加LDAP同步策略.
同步WindowsAD服务器h3c.
com下组织RD的用户,所以子BaseDN为ou=RD,dc=h3c,dc=com,其他参数本案例保持为缺省选项.
在其他信息配置页面,在接入信息区域,输入密码h3c,当LDAP用户解除与LDAP服务器的绑定关系后作为iMC接入用户使用该密码可以通过认证.
在接入服务区域分配接入服务1x.
(9)LDAP服务器同步策略配置完成后,在同步策略列表中,点击"同步"链接,手动同步LDAP用户.
同步成功之后,在同步策略列表中点击"LDAP用户"链接可以查看同步成功的LDAP用户信息:4、客户端配置(1)iOS客户端使用liuming@1x拨号认证测试无线局域网中连接SSID信号1x,输入用户名liuming@1x和密码,点击加入:点击信任证书:连接成功:在iMC服务器上可以查到到终端的在线信息:(2)Windows7电脑终端使用zhangyu拨号认证测试管理无线网络下手动添加SSID1x的无线网络连接:手动添加无线网络连接后,右键设置属性:网络身份验证方法选择受保护的EAP(PEAP),点击设置,这里不验证服务器证书,所以去勾选"验证服务器证书":身份验证方式选择EAP-MSCHAV2,点击配置,属性去勾选"自动使用Windows登录名和密码(以及域,如果有的话)":设置无线网络连接属性后,连接信号1x,弹出的网络身份验证框中输入用户名zhangyu@1x和密码认证上线:在iMC服务器上可以查看到终端的在线信息:(3)iNode客户端打开iNode客户端,右上角无线图标选择使用iNode管理无线,然后选择无线网络SSID信号1x:点击连接旁边的下拉选项选择属性进行设置:点击802.
1X属性进行设置,认证类型选择PEAP,子类型选择MS-CHAP-V2,不勾选验证服务器证书:输入用户名liuming@1x和密码,点击连接开始认证:连接成功:在iMC服务器上可以查看到终端的在线信息:配置关键点
1Xzhiliao_4Dtat2018-08-25发表iMCEIA无线802.
1XMSCHAPv2LDAP认证的典型配置案例组网及说明PEAP-MSCHAPv2认证类型是EAP证书认证的一种,当LDAP服务器使用WindowsAD时,LDAP用户支持EAP-PEAP-MSCHAPv2认证,本案例介绍iMCEIA无线802.
1XMSCHAPv2LDAP认证的配置方法.
本案例中iMCEIA服务器和WindowsAD为同一台服务器,实际生产环境请分开部署.
EIA、接入设备、WindowsAD、iNode使用的版本分别如下:iMCEIA版本为iMCEIA7.
3(E0511)接入设备为H3CWX3540HComwareSoftware,Version7.
1.
064,Release5215P01WindowsAD为WindowsServer2012ADiNode版本为7.
3(E0522)配置前提说明:接入设备支持802.
1X协议,且与iMCEIA服务器路由可达.
LDAP服务器为WindowsAD,且与iMCEIA服务器路由可达.
相关根证书和服务器证书已申请完成.
配置步骤1、WindowsAD服务器相关配置本案例中WindowsAD命名林根域为h3c.
com,在h3c.
com下新建一个名为RD的组织单位,并在RD组织中新建两个用户liuming和zhangyu.
2、AC接入设备802.
1X认证关键配置#创建认证方案1x,配置主认证/计费RADIUS服务器的IP地址为192.
168.
127.
96,认证、计费RADIUS服务器的共享密钥为明文字符串zsf_pwd,配置设备发送RADIUS报文使用的源IP地址为192.
168.
127.
33.
radiusscheme1xprimaryauthentication192.
168.
127.
96primaryaccounting192.
168.
127.
96keyauthenticationsimplezsf_pwdkeyaccountingsimplezsf_pwdnas-ip192.
168.
127.
33#创建认证域1x,配置802.
1X用户使用RADIUS方案1x进行认证、授权、计费.
domain1xauthenticationlan-accessradius-scheme1xauthorizationlan-accessradius-scheme1xaccountinglan-accessradius-scheme1x#配置802.
1X的认证方式为EAP.
dot1xauthentication-methodeap#使能radiussession-control.
radiussession-controlenable#创建并配置无线服务模板1x.
wlanservice-template1xssid1xvlan10akmmodedot1xcipher-suiteccmpsecurity-iersnclient-securityauthentication-modedot1xdot1xdomain1xservice-templateenable#将无线服务模板1x绑定到radio1和radio2,并开启射频.
wlanapl2-softwaremodelWA2620i-AGNserial-id210235A1XXXXXX000007radio1radioenableservice-template1xradio2radioenableservice-template1x3、iMC服务器的配置(1)由于采用EAP-PEAP证书认证,所以iMC服务器侧需要配置根证书和服务器证书,如果客户端验证服务器的话,客户端需要安装根证书,否则客户端不需要安装任何证书.
本案例客户端不验证服务器.
用户>接入策略管理>业务参数配置>证书配置,分别导入根证书和服务器证书.
注意:EAP-PEAP认证之前请提前申请和下载证书,本案例不涉及介绍,如有问题可参考《iMCUAM证书使用指导》.
(2)用户>接入策略管理>接入设备管理>接入设备配置,增加接入设备192.
168.
127.
33.
注意:增加的接入设备IP需要和认证设备radiusscheme下的nas-ip一致,共享密钥需要和radiusscheme下的认证、计费radius服务器的密钥一致.
(3)用户>接入策略管理>接入策略管理,增加接入策略1x,首选EAP类型选择EAP-PEAP,子类型选择EAP-MSCHAPV2,其他参数保持缺省即可.
(4)用户>接入策略管理>接入服务管理,增加接入服务1x,服务后缀配置为认证设备上的domain域名1x,缺省接入策略选择1x.
(5)用户>接入策略管理>LDAP业务管理>服务器配置,增加LDAP服务器.
管理员DN为cn=Administrator,cn=Users,dc=h3c,dc=com,管理员密码为Administrator的密码,BaseDN为dc=h3c,dc=com,其他参数可根据实际需求配置.
高级信息中启用MS-CHAPV2认证,虚拟计算机名称本案例命名为hh,虚拟机计算机密码为h3c:(6)在WindowsAD服务器上新建虚拟计算机.
在h3c.
com下右键Computers选择新建计算机,其中计算机名和iMC服务器上的虚拟计算机名称保持一样为hh:(7)给新建的虚拟计算机设置密码.
设置虚拟机计算机密码需要运行一个脚本程序ModiComputerAccoutPass.
vbs,该脚本程序从用户>接入策略管理>LDAP业务管理>参数配置页面点击修改计算机密码脚本的下载链接获取:下载计算机密码脚本程序到本地,使用文本编辑器打开该文件,将CN=testAccount,CN=Computers,DC=CONTOSO,DC=COM替换为虚拟计算机帐号DN,本例中DN为CN=hh,CN=Computers,DC=h3c,DC=com,将iMC123替换为虚拟计算机密码h3c:将修改之后的计算机密码脚本程序拷贝到AD域控服务器,打开命令行窗口,cd进入脚本程序所在路径,执行cscriptModifyComputerAccountPass.
vbs使重置后的虚拟计算机密码生效.
(8)用户>接入策略管理>LDAP业务管理>同步策略配置,增加LDAP同步策略.
同步WindowsAD服务器h3c.
com下组织RD的用户,所以子BaseDN为ou=RD,dc=h3c,dc=com,其他参数本案例保持为缺省选项.
在其他信息配置页面,在接入信息区域,输入密码h3c,当LDAP用户解除与LDAP服务器的绑定关系后作为iMC接入用户使用该密码可以通过认证.
在接入服务区域分配接入服务1x.
(9)LDAP服务器同步策略配置完成后,在同步策略列表中,点击"同步"链接,手动同步LDAP用户.
同步成功之后,在同步策略列表中点击"LDAP用户"链接可以查看同步成功的LDAP用户信息:4、客户端配置(1)iOS客户端使用liuming@1x拨号认证测试无线局域网中连接SSID信号1x,输入用户名liuming@1x和密码,点击加入:点击信任证书:连接成功:在iMC服务器上可以查到到终端的在线信息:(2)Windows7电脑终端使用zhangyu拨号认证测试管理无线网络下手动添加SSID1x的无线网络连接:手动添加无线网络连接后,右键设置属性:网络身份验证方法选择受保护的EAP(PEAP),点击设置,这里不验证服务器证书,所以去勾选"验证服务器证书":身份验证方式选择EAP-MSCHAV2,点击配置,属性去勾选"自动使用Windows登录名和密码(以及域,如果有的话)":设置无线网络连接属性后,连接信号1x,弹出的网络身份验证框中输入用户名zhangyu@1x和密码认证上线:在iMC服务器上可以查看到终端的在线信息:(3)iNode客户端打开iNode客户端,右上角无线图标选择使用iNode管理无线,然后选择无线网络SSID信号1x:点击连接旁边的下拉选项选择属性进行设置:点击802.
1X属性进行设置,认证类型选择PEAP,子类型选择MS-CHAP-V2,不勾选验证服务器证书:输入用户名liuming@1x和密码,点击连接开始认证:连接成功:在iMC服务器上可以查看到终端的在线信息:配置关键点
10gbiz:香港/洛杉矶CN2直连线路VPS四折优惠,直连香港/香港/洛杉矶CN2四折
10gbiz怎么样?10gbiz在本站也多次分享过,是一家成立于2020的国人主机商家,主要销售VPS和独立服务器,机房目前有中国香港和美国洛杉矶、硅谷等地,线路都非常不错,香港为三网直连,电信走CN2,洛杉矶线路为三网回程CN2 GIA,10gbiz商家七月连续推出各种优惠活动,除了延续之前的VPS产品4折优惠,目前增加了美国硅谷独立服务器首月半价的活动,有需要的朋友可以看看。10gbiz优惠码...
hostkvm:美国VPS,三网强制CU-VIP线路,$5/月,1G内存/1核/15gSSD/500g流量
hostkvm在2021年3月新上线洛杉矶新VPS业务,强制三网接入中国联通优化线路,是当前中美之间性价比最高、最火热的线路之一,性价比高、速度非常好,接近联通AS9929和电信AS4809的效果,带宽充裕,晚高峰也不爆炸。 官方网站:https://hostkvm.com 全场优惠码:2021(全场通用八折,终身码,长期) 美国 US-Plan0【三网联通优化线路】 内存:1G CPU:...
BuyVM老牌商家新增迈阿密机房 不限流量 月付2美元
我们很多老用户对于BuyVM商家还是相当熟悉的,也有翻看BuyVM相关的文章可以追溯到2014年的时候有介绍过,不过那时候介绍这个商家并不是很多,主要是因为这个商家很是刁钻。比如我们注册账户的信息是否完整,以及我们使用是否规范,甚至有其他各种问题导致我们是不能购买他们家机器的。以前你嚣张是很多人没有办法购买到其他商家的机器,那时候其他商家的机器不多。而如今,我们可选的商家比较多,你再也嚣张不起来。...
ldap认证为你推荐
-
固态硬盘是什么固态硬盘是什么意思sonicchat国外军人的左胸上有彩色的阁子是什么意思老虎数码我想买个一千左右的数码相机!最好低于一千五!再给我说一下像素是多少?比肩工场比肩是什么意思,行比肩大运的主要意象百度关键词工具常见的关键词挖掘工具有哪些partnersonline国内有哪些知名的ACCA培训机构www.zhiboba.com看NBA直播的网站哪个知道www.45gtv.com登录农行网银首页www.abchina.com,baqizi.cc誰知道,最近有什麼好看的電視劇yinrentangweichentang万艾可正品的作用真的不错吗