AD+802.1X+RADIUS认证配置手册(可编辑修改word版)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AD+RADIUS+802.1X认证配置手册
一、AD域安装(SERVER2008)
1、命令提示符
2、
3、输入 dcpromo 打开AD服务器安装向导。
会弹出如下错误:
然后一路下一步,中途会检查DNS设置大约5分钟左右
然后重启
一路下一步直到安装
至此证书服务安装完成,然后给这台服务器申请证书,如下
二、RADIUS安装与配置
三、802.1x配置
1.2960交换机配置
交换机全局配置:
Switch(config)#aaa new-model //开启AAA认证
Switch(config)#aaa authentication dot1x default group radius //dot1x采用radius认证Switch(config)# radius-server host 192.168.6.200 auth-port 1812 acct-port 1813 key 123456 //指定radius服务器的IP地址、端口号及与radius服务器通讯的密钥为123456配置radius服务器时需要用到此密钥
Switch(config)#dot1x system-auth-control //全局启用dot1x认证
交换机接口配置:
Switch(config)#interface FastEthernet0/1 //进入1号接口
Switch(config-if)#switchport mode access //指定接口为access类型,只有此模式下的端口
才支持802.1x
Switch(config-if)#authentication port-control auto //接口启用dot1x认证,并指定接口认证
控制模式为自动
Switch(config-if)#dot1x pae authenticator //设定这个接口为802.1x认证接口(即弹出提示
用户输入用户密码的窗口,并负责将用户输入的用户密码传给radius服务器进行认证)Switch(config-if)#spanning-tree portfast //加快认证的速度,可选
Switch(config-if)#authentication host-mode multi-auth //指定该接口的认证模式为多用户认证(即该接口下接交换机时要启用这个模式,可选)
Switch(config-if)#authentication violation protect //当身份验证失败时将此端口至于受保护的模式(可选)
Switch(config)#interface vlan 1 //进入vlan1虚拟接口
Switch(config-if)#ip address 192.168.6.200 255.255.255.0 //配置交换机的管理地址(即和radius服务器通讯的IP地址)此地址在配置radius服务器时要用到2.华为5600交换机配置
全局配置:
[Quidway]dot1x //全局开启dot1x认证
[Quidway] dot1x authentication-method eap md5-challenge //指定dot1x采用的认证方法[Quidway]radius scheme 802.1x//定义radius认证服务器802.1x的相关属性[Quidway-radius-802.1x]server-type standard //定义radius服务采用标准形式[Quidway-radius-802.1x] primary authentication 192.168.6.200 //指定认证服务器的地址[Quidway-radius-802.1x] key authentication 123456 //指定认证与认证服务器通讯的密钥[Quidway-radius-802.1x]user-name-format without-domain //定义登陆用户名的格式[Quidway]domain 802.1x //定义802.1x域的相关属性
[Quidway-isp-802.1x]scheme radius-scheme 802.1x//应用上面定于的radius服务器802.1x [Quidway-isp-802.1x]accounting optional //设置审计为可选
[Quidway]domain default enable 802.1x //设定默认域采用802.1x域
接口配置:
[Quidway]interface g 1/0/12 //进入12号接口
[Quidway-GigabitEthernet1/0/12]port link-type access //指定端口模式为access [Quidway-GigabitEthernet1/0/12]dot1x //开启dot1x认证
[Quidway-GigabitEthernet1/0/12]dot1x port-control auto //端口控制采用自动模式[Quidway-GigabitEthernet1/0/12]dot1x port-method macbased//采用基于mac地址的认证
四、PC机配置(win7)
重启
在PC重启的过程中进入AD域服务器,将刚刚加入域的计算机与之前创建好的用户test绑
定,意思是只有test用户可以登录刚刚加入域的计算机。
PC重启完成,然后用test用户登陆刚刚加入域的计算机
此过程可能需要输入域管理员的账密,输入即可(一般为administrator)