《CCNP安全Secure 642-637认证考试指南》——6.5节为Cisco SSC配置请求方

简介:

本节书摘来自异步社区《CCNP安全Secure 642-637认证考试指南》一书中的第6章,第6.5节为Cisco SSC配置请求方,作者【美】Sean Wilkins , Trey Smith,更多章节内容可以访问云栖社区“异步社区”公众号查看

6.5 为Cisco SSC配置请求方
CCNP安全Secure 642-637认证考试指南
如果希望在有线环境中对用户进行认证,管理员需要首先安装并配置Cisco SSC。

任务1 创建Cisco SSC配置文件。

任务2 创建有线网络配置文件与策略。

任务3 设置802.1X定时器。

任务4 选择认证模式(机器认证、用户认证或机器与用户认证)。

任务5 配置内部与外部EAP。

任务6 配置请求方的身份凭证。

任务7 创建包含Cisco SSC配置文件的软件包。

任务1:创建Cisco SSC配置文件
注册用户可以从Cisco网站下载Cisco SSC以及管理工具(Management Utility)1。Cisco SSC管理工具将输出一个XML文件(configuration.xml),后者包含配置请求方时所需的参数。

步骤1 下载、解压并安装Cisco SSC管理工具。双击sscManagementUtility.exe,打开管理工具。

步骤2 从主界面中选择Create New Configuration Profile。

步骤3 选择Cisco SSC的版本。这一章以Cisco SSC 5.1为例进行配置。

任务2:创建有线网络配置文件与策略
管理员需要在Cisco SSC配置文件中创建一个有线网络配置文件。读者可以参考图6-10与6-11进行设置。

步骤1 如果Cisco SSC仅用于有线环境中的用户认证,则无需许可。如果Cisco SSC同时用于有线与无线环境中的用户认证,则需要购买许可2。

步骤2 从Connection Settings中选择Attempt connection after user login。

步骤3 从Media中选择Allow Wired (802.3) Media,然后点击Next按钮进入Authentication Policy页面。

步骤4 从Allowed Authentication Modes中选择EAP-FAST,保持其他选项不变,然后点击Next按钮进入Networks页面。

步骤5 点击Add Network按钮以创建一个新的网络配置文件,进入Network Media页面。

步骤6 保留默认设置Wired (802.3) Network,然后点击Next按钮进入Wired Network Settings页面。

步骤7 在Network Settings的Display Name文本框中输入网络配置文件的名称,并从Security Level中选择Authenticating Network,然后点击Next按钮进入连接设置窗口。


165a037bf032242cd34fd676ab03523150c77cbb

任务3/任务4:设置802.1X定时器/选择认证模式(可选)
管理员可以调整定时器并选择认证模式(机器认证、用户认证或机器与用户认证),不过这并非强制要求。在下面的例子中,我们保持802.1X定时器的默认值不变,但是将认证模式改为仅使用用户认证。

步骤1 如图6-12所示,连接设置窗口中包括4个与EAPOL有关的参数。

authPeriod:请求方等待认证方响应时,处于认证状态的时间,默认为30秒。
he ldPeriod:认证失败后,请求方再次发送认证请求前需要等待的时间,默认为5秒。
startPeriod:请求方等待认证方EAP响应时,处于连接状态的时间,默认为3秒。
maxStart:在放弃认证前,请求方可以尝试的最多次数,默认为2次。
步骤2 点击Next按钮进入Network Connection Type页面。

步骤3 选择User Connection,即仅采用用户认证,不采用机器认证。


754b928265491c136393b09104bd5576b94dd15c

任务5:配置内部与外部EAP
接下来,管理员需要确定认证时所用的内部与外部协议。我们选择EAP-MSCHAPv2作为内部认证协议,EAP-FAST作为外部认证协议。

步骤1 如图6-13所示,从User Authentication页面中选择EAP-FAST作为外部认证协议。点击旁边的Configure按钮,打开如图6-14所示的EAP-FAST Settings页面进行参数设置。

步骤2 从EAP-FAST Settings中选择Validate Server Identity,允许请求方对认证服务器的身份进行验证。从Inner Methods based on Credentials Source中选择Authenticate using a Password并勾选EAP MSCHAPv2作为内部认证协议。


8f2c5a7bc1b87ca8e0bf6080cb7ee04eb74c888c

步骤3 如果以手动方式部署用户PAC文件,则必须勾选Use PACs。点击Add PAC File按钮,导入通过CSUtil命令产生的PAC文件。

步骤4 保留其他设置不变,点击OK按钮。

步骤5 点击Next按钮进入User Server Validation页面。

任务6:配置请求方的身份凭证
确定认证协议之后,管理员需要为请求方配置认证时使用的身份凭证。

步骤1 EAP-FAST采用基于密码的PAC,不需要对此做任何设置,直接点击Next按钮进入下一个User Server Validation页面。

步骤2 不需要为EAP-FAST配置受信任的认证中心,直接点击Next按钮进入User Credentials页面。

步骤3 该页面用于设置请求方的身份凭证(用户名与密码)。管理员既可以在Protected Identity Pattern文本框中输入指定的用户名,也可以让系统自动选择当前的Windows用户名作为用户名(输入“[user]”)。

步骤4 从User Credentials中选择Prompt for Credentials,并勾选Remember while the User is Logged On以储存用户密码。此外,管理员也可以使用Windows用户名与密码作为请求方的身份凭证(勾选Use Single Sign On Credentials),或者在User Static Credentials中输入指定的密码。

步骤5 点击Finish按钮,完成Cisco SSC配置文件的创建工作。

任务7:创建包含Cisco SSC配置文件的软件包
通过将之前创建的Cisco SSC配置文件与安装程序绑定在一起,可以创建一个预配置的客户端软件包。读者可以参考图6-15进行配置。

步骤1 双击sscManagementUtility.exe,打开Cisco SSC管理工具。

步骤2 从主界面中选择Create Pre-Configured Client Package,打开选择预配置客户端组件窗口。

步骤3 点击Client Source Package File中的Browse按钮,选择从Cisco网站下载的Cisco SSC安装程序。

步骤4 点击Processed and Signed Configuration File中的Browse按钮,选择之前创建的Cisco SSC配置文件。

步骤5 点击Client Destination Package File中的Browse按钮,选择Cisco SSC软件包的保存位置。

步骤6 点击Finish按钮,完成客户端软件包的创建工作。


65da7454f87f62385ad9b7c80e7f7222bbbb0513

网络登录
如果各项配置正确无误,Cisco SSC请求方将在用户再次登录网络时自动启动。用户必须输入正确的密码才能访问网络资源与服务。

1 Cisco SSC管理工具包括GUI与CLI两种操作模式,这一章采用GUI模式进行配置。CLI模式的配置方法请参见相关文档。——译者注
2 Cisco SSC许可分为以下两种:90天试用版许可与仅用于有线认证的免费版许可。对第一种许可而言,用户可以在试用期内使用Cisco SSC的所有功能,但是在试用期过后必须购买许可。对第二种许可而言,用户可以使用功能受限的Cisco SSC进行有线认证而无需付费。——译者注

相关文章