ACS与AD结合的Radius的认证

ACS 5.2做为Radius服务器和无线控制器为无线客户端动态分配VLAN 的配置上次讲了如何配置ACS 5.2来认证无线客户端。

下面通过图示看看如何配置ACS 5.2做为Radius服务器和无线控制器为无线客户端动态分配VLAN。

关于无线控制器的配置不做介绍请见下面文档：/web/CN/products/products_netsol/wireless/pdf/wlc_cg_4.pdf 关于无线客户端的配置请见之前的文章，这里也不描述了。

下面来看看如何配置ACS 5.2，主要配置步骤如下：- 生成证书；- 添加NAS client；- 配置用户和组；- 配置授权策略- 定义访问策略生成证书；请参考之前的文章，这里不做描述。

添加NAS client；请参考之前的文章，这里不做描述。

配置用户和组；这里我们要定义两个用户并将其归纳到不同的组中。

首先创建组，点击Users and Identity Stores -> Internal Identity Stores -> Identity Groups，点击Create，输入组名称，点击submit。

同样操作过程，再创建一个组然后创建用户，点击Users and Identity Stores -> Internal Identity Stores -> Users，点击Create，输入用户名/密码信息并将该用户对应到组，然后submit同样操作过程，再创建一个用户配置授权策略点击Policy Elements -> Authorization and Permissions -> Network Access -> Authorization Profiles，在General页面输入策略名称，在Common Tasks页面，VLAN处配置VLAN ID，此时如果没有其它需要设置项就可以submit 了。

RADIUS认证的配置与实施2014/05/25詹柱美一、实训目标：利用思科的ACS服务器实现RADIUS认证。

掌握思科ACS的基本配置。

二、实训拓扑：三、实训内容：实验1：基于PEAP的认证配置。

实验2：WEB认证，利用ACS做外部数据库。

实验1：基于PEAP的认证配置说明：由于实验条件的限制，我们只好做PEAP的认证实验。

PEAP 也是802.1X认证中的一种。

认证凭据是用户名与密码。

在实际应用中，也是用的最多的一种认证方式。

首先，检查AP是否成功注册上WLC，如图示：下面开始创建动态接口：接着创建SSID，并与接口关联：配置SSID的安全模式是WPA2+802.1X：接着添加RADUIS服务器：输入ACS的地址密钥：添加完成后的图示：我们再次回到刚刚创建的SSID面板上，添加AAA服务器：DHCP的配置:以上是在控制器上的配置，下面我们开始在ACS上做配置。

首先登录到ACS服务器：添加一个客户端：输入WCL的IP密钥,注意：密钥要与前面WCL的密钥相同：成功添加完成后如图示：接着创建一个服务策略：再创建一条规则：在规则中调用刚刚创建的服务策略：我们还要选择我们需要的认证协议：下面我们就在ACS上创建用户：输入用户名与密码：以同样的方法，再添加一个用户w2，完成后如下图示：当这些都配置好以后,我们就开始在客户端上测试连接。

下面是以一台XP的电脑配置说明PEAP在电脑端的配置。

XP电脑端的基本配置：配置完成后，我们可以连接我们刚刚创建的SSID了：接着会看到一个认证框，我们输入刚刚在ACS上创建的用户名与密码：如果前面的配置没有错的话，这时我们是可以成功连接上的：并且成功获取到一个VLAN101的IP地址：我们是可以与网关通信的：下面我们也可以用智能手机连接SSID，因为现在的手机也支持精选文库802.1X 认证：我们也可以用手机看到我们刚刚创建的SSID：我们也可以点击连接，输入ACS上创建的用户名与密码：我们可以看到我们成功连接：并且也获取一个IP地址：实验2：WEB认证，利用ACS做外部数据库说明：以前我们有做过一个实验是WEB认证的，但是那个WEB 认证是利用控制器内部的用户名与密码认证，今天我们做的这个WEB认证是利用ACS做外部数据库。

ACS+802.1x+AAA+AD+CA详细记录！------作者：白河愁目录实验环境： (2)实验拓扑： (2)实验部分： (2)第一部分：DC的安装与配置过程： (3)1、安装DC，在运行下输入dcpromo，会弹出AD的安装向导： (3)2、安装完DC后，运行→管理工具→Active Directory用户和计算机，将会出现以下界面 (5)3、将另外一台服务器即ACS&CA加入到NAC这个域当中（必要条件），此时需要输入域管理员帐户aaa (8)第二部分：ACS的安装与配置过程： (9)1、安装部分： (9)2、配置部分 (12)3、与AD集成 (16)第1步：Unknown User Policy (17)第2步：Database Configuration，选择Windows Database。

(18)第3步：Group Mapping，把AD里面的组与ACS里面的组做一个映射，作用是通过AD里面的用户做认证，ACS的组策略做授权。

(21)第三部分：CA的安装与配置过程： (24)1、CA的安装 (24)2、ACS申请证书 (25)3、ACS上配置证书 (32)4、配置PEAP认证 (33)第四部分：Switch的配置： (36)第五部分：客户端配置 (38)第六部分：测试效果 (40)实验环境：1、服务器一台运行VMWare 6.0：a)Windows 2003 Server Enterprise Edition做DCb)Windows 2003 Server Enterprise Edition做ACS和CA2、PC客户端Windows XP (802.1x Client)3、Switch 3560 POE 一台(c3560-ipbase-mz.122-25.SEB4.bin)4、Cisco Secure Access Control Server 4.1 (90天测试版)实验拓扑：实验部分：1、DC的安装与配置2、ACS的安装与配置3、CA的安装与配置4、Switch的配置5、客户端的配置6、测试效果第一部分：DC的安装与配置过程：1、安装DC，在运行下输入dcpromo，会弹出AD的安装向导：具体的安装过程，我在微软的安装教程下截的屏：DNS全名中我输入的是.所以以后出现的将以代替我在安装的过程中没有出现IP地址，所以不用理他了。

TACACS+TACACS+(Terminal Access Controller Access Control System)终端访问控制器访问控制系统。

与我们IDsentrie的Radius协议相近。

不过TACACS+用的是T CP协议，Radius用的是UDP,不知道各有什么优点和缺点呢。

它们的重要作用就是3A。

所谓3A, 即Authentication认证,Authorization授权, Accounting计费. 在测试Radius时，我对authentication已经比较了解，但是对authorization还比较模糊,这次测试tacacs+,使我对authorization也开始了解了.授权简单的说就是给用户开放某些资源.我们目前支持EXEC 授权, 即给用户执行某些命令的权利, 在这里的命令就是我们的CLI command.我们可以详细的配置一个用户可以执行某些CLI command,不能执行某些CLI command.确实可以管理得非常严格.当每次执行command时都会到tacacs+ server上去进行授权.不过当我们允许用户配置某一项,而它的sub confi g中如果还有很多command,我们也许要逐项添加,也有点麻烦.但可以对命令和参数进行这么详细的管理,感觉还挺有用的,不用担心有的用户乱操作了.这个功能只限于C LI, 在web UI上是没有用的, 它的作用又显得不太重要了.协议报文结构: 包的内容都被加密了,不过在我们程序中又提供一个debug的功能,可以看到包的内容,这个倒是挺方便的.____________________________________________________| 4 | 8 | 16 | 24 | 32 bit ||_______|________|_____________|______________|________|| Major | Minor | Packet type | Sequence no. | Flags ||_______|________|_____________|______________|________|| Session ID ||___________________________________________________ || Length ||___________________________________________________ || Encrypted Request or Reply ||___________________________________________________ |Major Version ― 主要TACACS+ 版本号。

如何在ACS中导⼊H3C私有Radius属性如何在ACS中导⼊H3C私有Radius属性实际项⽬中经常遇到我司设备telnet管理⽤户到ACS Radius Server认证的情况，并由ACS 给telnet⽤户下发权限，为了使对应⽤户获得相应权限，需要导⼊H3C的⽤户级别的私有Radius属性到ACS中，以保证⽤户权限正常下发。

本⽂档以ACS 4.0为例。

1.编写h3c.ini⽂件（绿⾊部分即为⽂件内容）[User Defined Vendor]Name=HuaweiIETF Code=2011VSA 29=hw_Exec_Privilege[hw_Exec_Privilege]Type=INTEGERProfile=IN OUTEnums=hw_Exec_Privilege-Values[hw_Exec_Privilege-Values]0=Access1=Monitor2=Manager3=Administrator[Encryption-Type]1=12=23=3[Ftp_Directory]Type=STRINGProfile=OUT此⽂件主要⽤于定义私有属性的值2.将上⾯定义的⽂件导⼊到ACS中ACS提供了命令接⼝来导⼊私有属性，此步骤主要将h3c.ini通过命令导⼊到ACS中去。

导⼊过程如下: (1) 点击ACS Server的windows开始菜单,在运⾏中输⼊cmd，打开⼀个命令⾏窗⼝。

(2) 进⼊ACS的bin⽬录，在默认安装的情况下，该⽬录为c:\Program Files\CiscoSecure ACS v4.0\bin(3) 执⾏导⼊命令:选择y,继续3.查看是否导⼊成功导⼊完毕，可以通过命令来查看:可以看到UDV 0 已经添加了RADIUS (Huawei) 私有属性另外可以进⼊ACS页⾯来查看:(1)进⼊Interface Configuration可以看到如下:(2)点击进⼊看到如下内容:(3)进⼊Group Setup ,选择要编辑的Group,然后在Jump To中选择“Radius(Huawei)”，可以看到添加的属性值4.如果不慎在导⼊过程中出现错误时，可以在命令⾏界⾯删除添加属性，以便重新添加如上图，删除了添加的UDV 0 属性。

华为云桌面双因素认证方案一、面临挑战1、安全威胁华为云桌面是由华为云提供的虚拟Windows桌面与应用服务，帮助企业将办公桌面快速、集中部署在云平台上，方便进行管理维护且节省企业成本，能让员工随时随地登录到自己的桌面环境中，实现移动办公。

但单一的静态密码登录验证机制下，不少员工仍采用初始密码或者过于简单的静态密码，非法入侵者若窃听到云桌面登录账号的用户名及密码，即可得到合法访问权限，并可通过合法访问权限访问内部系统，企业信息安全面临挑战。

2、管理成本为防止云桌面账号信息泄露，企业通常强制要求员工定期更换登录密码，给员工及IT运维人员带来许多不必要的麻烦；如没有及时收回账号，离职员工仍然有云桌面的合法访问权限，因此额外增加了IT部门的账号回收管理成本。

二、解决方案1.华为云桌面双因素认证解决方案概述静态密码只能对云桌面用户身份的真实性进行低级认证。

宁盾双因素认证在企业云桌面原有静态密码认证基础上增加第二重保护，通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式，实现双因素认证，提升账号安全，加强用户登录认证审计。

宁盾双因素认证服务器负责动态密码生成及验证，可同时无缝支持AD/LDAP/ACS等帐号源，接管云桌面帐号的静态密码认证工作。

通过在华为云桌面配置第三方RADIUS认证，指向宁盾双因素认证服务器（内置RADIUS SERVER）。

员工打开华为云桌面进行用户名+静态密码认证，认证通过之后获取动态密码（令牌产生/短信接收方式），从而进行动态密码验证，通过之后方可放行。

2.宁盾动态密码形式短信令牌基于短信发送动态密码的形式。

在用户完成华为云桌面帐号密码认证之后，宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上，用户输入该短信密码并提交验证通过后才能完成登录认证。

密码是一次性使用的，他人即使盗用了，也无法再次使用，从而能保证账号和信息的安全。

手机令牌基于时间的动态密码，由手机APP生成。

RADIUSTACACS认证协议RADIUS（Remote Authentication Dial-In User Service）和TACACS （Terminal Access Controller Access Control System）是两种常用的认证协议，用于实现网络设备对用户进行认证和授权的功能。

本文将介绍RADIUS和TACACS以及它们的认证协议。

一、RADIUS认证协议RADIUS是一种客户端/服务器协议，广泛应用于计算机网络中，特别是在拨号接入服务器（Dial-in Server）和无线接入点（Wireless Access Point）中。

RADIUS通过用户名、密码以及其他一些认证信息来进行用户认证。

用户通过拨号或者无线接入时，客户端（拨号客户端或无线客户端）会向RADIUS服务器发起认证请求。

RADIUS服务器收到认证请求后，会验证用户的身份和密码，并返回认证结果给客户端。

认证结果可以是通过（Access-Accept）或者拒绝（Access-Reject）。

RADIUS服务器还负责用户的授权，可以根据不同用户或用户组设置不同的访问权限，控制用户可以访问的网络资源。

二、TACACS认证协议TACACS是一种类似于RADIUS的认证协议，也是一种客户端/服务器协议。

TACACS提供了对网络设备的认证和授权功能，但与RADIUS有一些不同之处。

TACACS将认证和授权分开处理，认证部分由TACACS+（TACACS Plus）协议负责，而授权部分则由表示器（Accounting）协议负责。

TACACS+协议使用了更强大的加密算法，可以保护用户的身份和密码等敏感信息。

它的授权功能更加灵活，可以根据需要配置不同的策略。

表示器协议则用于记录用户对网络设备的操作，包括登录和登出、命令执行等操作，用于安全审计和网络管理。

三、RADIUS和TACACS的比较RADIUS和TACACS都是常用的认证协议，但在一些方面存在差异。

说明：这个手册主要是介绍如何采用无线控制器、WINDOWS SERVER 2003、ACS及P EAP协议来实现安全的无线网络接入。

网络拓补结构图如下：在DC_CA上安装Windows Enterprise 2003 IIS,证书服务,DNS,DH CP在DC_DA上按照以下步骤来成服务器的配置：1.执行基本的安装及配置2.把服务器配置成域控制器3.提升域功能级别4.安装配置DHCP服务5.安装证书服务6.给Administrator分配证书管理权限7.将计算机添加到域8.允许无线接入计算机9.添加域用户10.允许用户无线接入11.将用户组加入域12.将用户添加到WirelessUsers组13.将客户计算机添加到WirelessUsers组Step 1: 执行基本的安装及配置1.安装一台独立的Windows Server 2003企业版，并安装最新的Service Pack.2.配置TCP/IP协议，IP地址为172.16.100.26，子网掩码为255.255.255.0 Step 2: 把服务器配置成域控制器1.为了启动活动目录（AD）的安装向导，选择开始>运行，然后输入：dcpromo.ex e.2.在AD安装向导欢迎界面，点击下一步3.在操作系统兼容界面，点击下一步4.在域控制器类型界面，选择Domain Controller for a new Domain，然后点击下一步5.在创建新域界面，选择Domain in a new forest，然后点击下一步6.在安装或配置DNS界面，选择No,just install and confiaure DNS on this computer，然后点击下一步7.在新域名界面，输入wirelessdemo.local，然后点击下一步8.在NetBIOS域名界面，输入wirelessdemo，然后点击下一步9.在数据库及日志文件夹界面，接受默认的数据及日志文件夹目录，然后点击下一步10.在共享系统卷界面，确认默认的文件夹位置是正确的。

AD+RADIUS+802.1X认证配置手册一、AD域安装（SERVER2008）1、命令提示符2、3、输入 dcpromo 打开AD服务器安装向导。

会弹出如下错误：然后一路下一步，中途会检查DNS设置大约5分钟左右然后重启一路下一步直到安装至此证书服务安装完成，然后给这台服务器申请证书，如下二、RADIUS安装与配置三、802.1x配置1.2960交换机配置交换机全局配置：Switch(config)#aaa new-model //开启AAA认证Switch(config)#aaa authentication dot1x default group radius //dot1x采用radius认证Switch(config)# radius-server host 192.168.6.200 auth-port 1812 acct-port 1813 key 123456 //指定radius服务器的IP地址、端口号及与radius服务器通讯的密钥为123456配置radius服务器时需要用到此密钥Switch(config)#dot1x system-auth-control //全局启用dot1x认证交换机接口配置：Switch(config)#interface FastEthernet0/1 //进入1号接口Switch(config-if)#switchport mode access //指定接口为access类型，只有此模式下的端口才支持802.1xSwitch(config-if)#authentication port-control auto //接口启用dot1x认证，并指定接口认证控制模式为自动Switch(config-if)#dot1x pae authenticator //设定这个接口为802.1x认证接口（即弹出提示用户输入用户密码的窗口，并负责将用户输入的用户密码传给radius服务器进行认证）Switch(config-if)#spanning-tree portfast //加快认证的速度，可选Switch(config-if)#authentication host-mode multi-auth //指定该接口的认证模式为多用户认证（即该接口下接交换机时要启用这个模式，可选）Switch(config-if)#authentication violation protect //当身份验证失败时将此端口至于受保护的模式（可选）Switch(config)#interface vlan 1 //进入vlan1虚拟接口Switch(config-if)#ip address 192.168.6.200 255.255.255.0 //配置交换机的管理地址（即和radius服务器通讯的IP地址）此地址在配置radius服务器时要用到2.华为5600交换机配置全局配置：[Quidway]dot1x //全局开启dot1x认证[Quidway] dot1x authentication-method eap md5-challenge //指定dot1x采用的认证方法[Quidway]radius scheme 802.1x//定义radius认证服务器802.1x的相关属性[Quidway-radius-802.1x]server-type standard //定义radius服务采用标准形式[Quidway-radius-802.1x] primary authentication 192.168.6.200 //指定认证服务器的地址[Quidway-radius-802.1x] key authentication 123456 //指定认证与认证服务器通讯的密钥[Quidway-radius-802.1x]user-name-format without-domain //定义登陆用户名的格式[Quidway]domain 802.1x //定义802.1x域的相关属性[Quidway-isp-802.1x]scheme radius-scheme 802.1x//应用上面定于的radius服务器802.1x [Quidway-isp-802.1x]accounting optional //设置审计为可选[Quidway]domain default enable 802.1x //设定默认域采用802.1x域接口配置：[Quidway]interface g 1/0/12 //进入12号接口[Quidway-GigabitEthernet1/0/12]port link-type access //指定端口模式为access[Quidway-GigabitEthernet1/0/12]dot1x //开启dot1x认证[Quidway-GigabitEthernet1/0/12]dot1x port-control auto //端口控制采用自动模式[Quidway-GigabitEthernet1/0/12]dot1x port-method macbased//采用基于mac地址的认证四、PC机配置（win7）重启在PC重启的过程中进入AD域服务器，将刚刚加入域的计算机与之前创建好的用户test绑定，意思是只有test用户可以登录刚刚加入域的计算机。

一、无线控制器调试1、控制器初始化跳过2、接口配置配置虚拟接口用于AP用户进行接入，DHCP由内部交换机分配，AP地址由Managenent进行分配。

如果AP获取不到地址可以手动指定AP地址以及控制器地址。

3、DHCP配置4、SSID分配分配四个SSIDXCKG用于内部域用户直接登录配置如下：配置如下：XCKG-Vendor供合作伙伴使用，使用权限为4小时，同时可以访问任意网络，账户的开通同样使用手机号，配置如下：XCMOBILE用于手机PAD等无线客户端用，采用域账户名和密码进行登录，享有全部权限，配置如下：5、本地认证配置新建用户可选择实效性6、远程ACS认证配置7、访问控制设置8、WEB推送定义跳转页面二、ACS调试1、初始化定义设备地址与用户名密码等，同时注意Nameserver地址为域服务器地址。

2、设备类型定义3、设备注册，包括控制器与客户网关设备注册，区分地址。

4、ACS与AD结合捆绑测试要成功，成功后保存，测试如下5、新建策略组6、编辑策略组支持的协议7、选择策略为AD1如下：8、新建规则，匹配选择如图：9、可查看策略匹配次数10、ACS证书制作，生成本地与AD结合证书点击增加按钮点击finish完成制作的证书会有如下显示：选择导出，下载文件11、ACS证书制作，登录证书服务器制作认证证书登录CA服务器主页选择申请证书选择高级证书申请选择64编码选项复制从ACS生成的本地证书里面的内容，粘贴至图中对话框证书模版选择WEB服务器并提交选择64位编码下载证书12、ACS证书制作，导入生成的证书到ACS选择EAP 选项13、 查看设备注册状态用于排错 选择Launch选择radius认证部分选择匹配条件搜出得出如下信息三、测试经过测试，选择不同的SSID需要不同的认证信息，认证信息可以本地建库也可以通过远端域控服务器内的用户资源进行认证，采用域认证的时候可以通过三层WEB认证获取域内活动目录进行认证，也可以通过二层802.1X进行认证，通过PEAP的方式推送本地计算机名与密码或者采用域用户名和密码，首次加入域需要进行有线注册，加入后域内计算机开机就可以直接通过域验证进入系统并开启无线网络服务。

问题描述1月30日下午接到客户报其无线办公网络突然中断，各区域部分无线终端能够找到无线信号，但输入账号信息提示错误，但大部分终端无法找到无线信号，无线控制器AC和验证服务器ACS均已重启，故障依旧。

处理过程现场使用手机搜索wifi信号确实无法发现信号源，查看AC控制器配置发现两个办公无线信号源被隐藏，将隐藏属性取消后，无线办公信号源出现。

使用客户现场人员账号登录无线办公网络发现验证失败，登录AC控制器查看配置，发现控制器并不提供本地账号验证，账号验证通过一台思科ACS服务器采用RADIUS方式与后台企业AD域控服务器验证，每个登录用户都使用自己的域账号进行无线办公网登录，在AC控制器上查看AP接入点用户账号登录情况发现办公用户登录验证已成功发送至AC控制器，但之后的验证失败。

从命令行ping测试AC控制器和ACS服务器连通正常，进入服务器机房登录ACS服务器查看，这时客户告知有两个用户可以登录办公无线网络，在ACS服务器上查看这两个用户的登录信息，发现他们在春节假期后登录过ACS服务器，怀疑ACS服务器与AD域控制器用户验证出现问题。

在ACS服务器上查看用户登录失败日志记录，发现节后频繁出现ACS 服务器与域控服务器数据库交换失败告警，用命令行ping测域控服务器地址和域名发现可以连通AD域控服务器地址但域名解析失败，查看ACS服务器网卡配置发现首选DNS和备选DNS服务器均指向互联网通用DNS服务器，将两个DNS服务器地址指向主备域控服务器地址，重新测试无线办公网络登录成功，故障解除。

故障分析经分析后认为，本次故障主要原因是春节假期长时间无人登录办公无线网络，引起ACS服务器或域控服务器刷新本地DNS缓存（活动目录AD域中各种访问主要基于域名进行，域名的访问一般有两种方式，本地缓存HOSTS文件和DNS服务器，AD域中本地缓存文件有存储期限，长时间不访问会通过策略清空缓存，但正常情况下终端可以通过本地网卡的DNS服务器指向与域控服务器联系），由于网卡DNS服务器指向错误，引起ACS服务器无法通过域控服务器解析域名，造成无线用户验证失败，而两个可以验证的账号，因近期曾经从域控服务器远程登录过ACS服务器，因此用户信息被重新记录在本地，无线账号可以登录成功。

802.1x –ACS 5.2结合Active Directory进行Machine&User认证配置目录一、测试环境 (1)1. 拓扑 (1)2. 准备 (1)二、配置ACS 5.2 (2)1. 配置ACS与Active Directory结合 (2)2. 创建ACS Group (4)3. 创建用于802.1x认证的Authorization Profiles (4)4. 创建Access Service (5)三、Windows客户端配置PEAP (10)1. Windows 2000 & Windows XP (SP1,SP2) (10)2. Windows Vista & Windows XP (SP3) (11)3. Windows 7 (13)一、测试环境1. 拓扑2. 准备a. ACS的name-server设置为域控制器的IP。

b. ACS的timezone设置为Asia/Chongqing。

c. ACS的NTP设置为域控制器的IP。

二、配置ACS 5.21. 配置ACS与Active Directory结合a.登录ACS Web GUI，“Users and Identity Stores”->“External Identity Stores”->“Active Directory”，在“General”分栏中，“Active Directory Domain Name:”填写AD域名（e.g. ），“Username:”与“Password:”填写AD域管理员账号和密码，点击“Test Connection”测试连接是否成功。

勾选“Enable password change”、“Enable machine authentication”、“Enable Machine Access Restrictions”，最后点击“Save Changes”。

最近实施了一个楼宇室内无线覆盖项目，在无线用户认证上客户希望采用他们已经配置好的AD帐号，最终决定采用AD+IAS的802.1x认证方案，现在把配置过程记录下来。

整个楼宇一共使用了50多个瘦AP，基本实现了全面覆盖，这些AP由无线控制器统一管理。

其他方面的配置这里不多说，主要介绍认证方面的配置。

一、认证架构1、当无线客户端在AP的覆盖区域内，就会发现以SSID标识出来的无线信号，从中可以看到SSID名称和加密类型，以便用户判断选择。

2、无线AP配置成只允许经过802.1X认证过的用户登录，当用户尝试连接时，AP会自动设置一条限制通道，只让用户和RADIUS服务器通信，RADIUS服务器只接受信任的RADIUS客户端（这里可以理解为AP或者无线控制器），用户端会尝试使用802.1X，通过那条限制通道和RADIUS服务器进行认证。

3、RADIUS收到认证请求之后，首先会在AD中检查用户密码信息，如果通过密码确认，RADIUS会收集一些信息，来确认该用户是否有权限接入到无线网络中，包括用户组信息和访问策略的定义等来决定拒绝还是允许，RADIUS把这个决定传给radius客户端（在这里可以理解为AP或者无线控制器），如果是拒绝，那客户端将无法接入到无线网，如果允许，RADIUS还会把无线客户端的KEY传给RADIUS客户端，客户端和AP会使用这个KEY 加密并解密他们之间的无线流量。

4、经过认证之后，AP会放开对该客户端的限制，让客户端能够自由访问网络上的资源，包括DHCP，获取权限之后客户端会向网络上广播他的DHCP请求，DHCP服务器会分配给他一个IP地址，该客户端即可正常通信。

二、安装活动目录、建立帐号这一步就不多说了。

三、安装IAS1、添加删除程序—》添加删除windows组件2、选择“网络服务”，点击“详细信息”3、选择“Internet验证服务”，点击“确定”4、点击“下一步”，windows会自动安装IAS。

downloadable ACL顾名思义，downloadable ACL 意思是让PIX 在用户认证后，从服务器上下载ACL 到本地用作用户的权限控制，如下图所示。

Downloadable ACL 在认证和授权方面的配置和上一节中介绍的差不多，唯独不同的是：downloadable ACL 必须使用radius 作为认证协议。

本节将介绍三种方法来实现downloadable ACL功能。

不管使用哪种方法，AAA 认证部分的配置都是一样的，主要配置如下：定义AAA 服务器以及认证、授权规则。

pixfirewall(config)# aaa-server test protocol radiuspixfirewall(config)# aaa-server test (inside) host 172.16.254.10 cisco pixfirewall(config)# access-list access-internet extended permit ip any anypixfirewall(config)# aaa authentication match access-internet inside test!在PIX 上配置Radius 时，不需要配置授权方法1第一种方法的思路是：事先在PIX 上定义好ACL，当用户通过PIX 认证时，radius 服务器将该用户对应的ACL 名称告诉PIX，然后PIX 将ACL 加载到用户的会话上。

该方法的优点是实现起来相对简单，缺点是必须事先在PIX 上将ACL 写好。

主要实现步骤如下：第一步，在PIX 上创建ACL，例如。

pixfirewall(config)# access-list wtest permit ip any host 218.1.1.2 pixfirewall(config)# access-list wtest deny ip any any第二步，在ACS 上进行如下设置：在ACS 的导航栏中点击“network configuration”，添加一个AAA 的client，认证协议选“RADIUS（Cisco IOS/PIX）”。

ACS+胖AP+Radius认证总结本次项目用户要求胖AP结合ACS做Radius认证，认证数据库结合微软域用户的username 和password。

客户端认证方式为802.11X，EAP类型为PEAP或LEAP。

整个过程分成三部分：1 AP的配置2 ACS服务器的安装和配置3 客户端的配置一 AP的配置配置AP可分为AP支持多个Vlan和只做一个vlan接入点使用。

这里只介绍作为一个Vlan 接入点使用。

1 将Vlan初始化后，接在网络中，通过console线，登陆到设备，enable密码为Cisco（区分大小写），——》进入全局配置模式——》进入端口BVI端口，interface BVI 1——》输入ip地址。

退出端口模式，配置缺省网关 Ip default-gateway X.X.X.X。

然后启用http服务（默认是开启的）。

2 通过网络上一台主机，进行ping测试，确认可以和AP通讯。

通讯成功，在浏览器输入：http://ip-address登陆AP的网页管理，密码为Cisco，用户名可以不输入。

打开登陆页面。

选择左侧第三项 EXPRESS SECURITY ，创建ssid，并且应用。

（注意选择广播，这样可以通过扫描无线找到无线网络）3 选择SECURITY ，选择Encryption Manager，配置wep加密。

4选择SECURITY ，选择server Manager，配置Radius认证服务器，配置ip地址，以及AP 和Radius服务器之间的确认密码，并且设置为默认。

5 选择SSIDManager，配置SSID。

二 ACS服务器安装：安装过程简单，在安装了win2003的机器上，只要按照ACS安装盘提示，一直下一步就可以安装完成。

1 安装完成后打开ACS配置页面，选择左侧的user setup选项创建本地用户，做测试使用。

点击 Add/edit 配置密码，并点击地下的submit2 点击 network configuration 创建Radius认证客户端，将AP作为Radius认证客户端，输入AP的ip地址，以及AP和Radius认证服务器之间的密码。

一、环境Windows2003、ACS 3.3二、ACS与AD同步步骤1. Windows2003升级为DC，然后新建一个OU再在OU里新建个组并且在组里添加几个用户账户2. 用域管理员身份登录域然后安装ACS，安装步骤如下3. ACS配置，配置如下1. Exterternal User Databases----->Unknown User Policy--->Check the following external user database--->Select Windows Database---->Submit2. External User Database---->>database configuration -----> windows Database -----> Configure -----> Dial permission ,check grant dialin permission---> Submit ACS Server所在机器这时应已加入到域中，同时“Dialin Permission”中的默认勾选项应去掉，如不去掉的话，域管理用户和终端用户均需设置Dial-in访问权限。

3. 由于使用Windows Active directory的用户名作为认证，因此配置此用户的授权由ACS 的组完成，然后将此group与Windows Active directory的组映射。

External User Database ---->>database configureation ----> windows Database ----> Configure ----> add config domain-list,local ----> SubmitExternal User Database---->database group mapping----->windows Database --->domain ,local->Add mapping---->Windows users group, Cisco acs group group1-----> Submit三、ACS Radius Server配置步骤1. 添加Radius ClientNetwork ConfigurationAdd Entry2. 配置Radius Client在AAA Client IP Address里填入Radius Client的ip地址在Key里填入Radius的秘钥在Authenticate Using里填入Radius(IETF)3. 配置Radius ServerNetwork Configuration ---->>Link已经存在的server link，在本例中为yxsec在AAA Server IP Address里填入Radius Server IP由于本例ACS与AD都是同在一台机上所以不需要填此项，此项自动为本机IP在Key项里填入Radius的密钥AAA Server Type为RadiusTraffic Type为inbound/outbound四、最后重启ACS服务System Configuration ---->> Service Control ----> Restart。

ACS 5.x ：根据AD组成员配置示例和Authorization命令的TACACS+认证目录简介先决条件要求使用的组件规则配置配置认证和授权的ACS 5.x配置认证和授权的Cisco IOS设备验证相关信息简介本文提供配置根据用户的AD组成员和Authorization命令示例的TACACS+认证思科安全访问控制系统(ACS) 5.x和以后。

ACS使用Microsoft Active Directory (AD)，外部标识存储存储资源例如用户、机器、组和属性。

先决条件要求尝试进行此配置之前，请确保满足以下要求：ACS 5.x充分地集成对希望的AD域。

如果ACS没有集成与希望的AD域，参考ACS 5.x和以后q：与Microsoft Active Directory配置示例的集成欲知更多信息为了执行集成任务。

使用的组件本文档中的信息基于以下软件和硬件版本：Cisco Secure ACS 5.3qCisco IOS软件版本12.2(44)SE6。

注意： 此配置在所有Cisco IOS设备可以被执行。

qMicrosoft Windows服务器2003域q本文档中的信息都是基于特定实验室环境中的设备编写的。

本文档中使用的所有设备最初均采用原始（默认）配置。

如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

配置配置认证和授权的ACS 5.x在您开始ACS 5.x的配置认证和授权的前，应该顺利地集成ACS与Microsoft AD。

如果ACS没有集成与希望的AD域，参考ACS 5.x和以后：与Microsoft Active Directory配置示例的集成欲知更多信息为了执行集成任务。

在此部分，您映射两AD组对两不同命令集和两Shell配置文件，一与全部存取和其他与有限享用在Cisco IOS设备。

使用Admin凭证，登录ACS GUI。