使用PEAP实现802.1X

简介:
+关注继续查看

使用EAP-TLS(智能卡与证书)实现802.1X----验证服务器和交换机相关配置

 
采用系统为Windows2003,必须安装AD,DNS,IAS,CA
------------------------------------
下表列出了不同的认证方式需要用到的证书:
Authentication Type
Certificates on Wired client
Certificates on IAS Server
PEAP-MS-CHAP v2
Root CA certificates for issuers of    IAS server computer certificates
Computer certificates
EAP-TLS
Computer certificates
User certificates
Root CA certificates for issuers of    IAS server computer certificates
Computer certificates
Root CA certificates for issuers of    wired client computer and user certificates
EAP-MD5 CHAP
None
None
 
开始配置......
该文档演示PEAP进行验证的方式:
1、配置 CA
A
、使用共享文件夹会保留证书的副本方便后面导入证书的操作(该证书为CA的根证书
Root CA
B、配置用户证书:证书颁发机构-》管理证书模板-》复制模板“用户”到一新建模板LAN Access
LAN Access的属性为:使用者名称-》不选择“电子邮件名”&“在使用者名称中部不包含电子邮件名”
安全:选择对应的用户具有自动注册的权限。
C、新建要颁发的证书模板-》选择我们刚刚新建的LAN Access
------------------------------------

2
、配置IAS
A
、先将IASAD注册

B
、设置IAS属性,端口必须和交换机上设置一致
C
、新建RADIUS客户端,客户端IP地址为交换机IP地址(Authenticator),共享的密码也和交换机上所设置密码一致
D
、新建远程访问策略,在用户或组访问我们采用用户访问方式进行测试,在EAP类型选择智能卡与证书
E
、设置策略属性,授予远程访问权限,编辑配置文件,选择客户端请求IP地址
------------------------------------
3、配置AD
A
、组策略-Windows 设置-》帐户策略-》密码策略-
启用可还原的加密来储存密码
B、添加用户,该用户是分配给接入客户端的用户。在这里,我们以admin为例,用户密码和所接入计算机用户admin密码一致。
C
、修改用户属性,远程访问权限设置为允许访问。
D
、在客户端计算机上设置将计算机加入此域中。加入后可以在Computers上查看到。
E、使用MD5进行认证的话,修改用户属性,远程访问权限设置为允许访问。
-------------------------------------
4
、配置AD组策略属性
A
、在计算机配置-》windows设置-》安全设置配置公钥策略
新建自动证书申请类型为计算机
B
、设置受信任的根证书颁发机构,导入我们最开始建立的证书(Root CA)。
C、在用户配置-》windows设置-》安全设置-》配置公钥策略-》自动注册证书,选择“续订过期证书、更新未证书并删除吊销的证书”&“更新使用证书模板的证书”
--------------------------------------
5、客户端配置
A、本地连接-》属性-》验证-》启用此网络的IEEE 802.1X验证
BEAP类型:PEAP
C、PEAP的属性在此计算机上使用证书使用简单证书选择验证服务器证书〉受信任的根证书颁发机构:选择Root CA.
 
因为各个交换机上的配置配置命令可能不是一样的,我们仅将注意事项给大家说明一下:
A 交换机上指定Radius服务器的地址,既我们IAS服务器的地址;
B 正确配置于Radius的密钥;
C 配置Vlan name 以及Vlan 信息。
 
部分中文参考网站:
 
 
 
 
 
 
 
部分英文参考网站:See the following resources for further information:
·         Windows 2000 Service Pack 4 (SP4) at [url]http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/default.asp[/url]
·         Internet Authentication Service Web site at [url]http://www.microsoft.com/windowsserver2003/technologies/ias/default.mspx[/url]
·         Security Services Web site at [url]http://www.microsoft.com/windowsserver2003/technologies/security/default.mspx.[/url]
·         Windows XP Wireless Deployment Technology and Component Overview at [url]http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wificomp.mspx.[/url]
·         Troubleshooting Windows XP IEEE 802.11 Wireless Access at [url]http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wifitrbl.mspx.[/url]


本文转自bruce.huang 51CTO博客,原文链接:
http://blog.51cto.com/chinaitnews/87062
相关文章
|
12月前
|
网络协议 Linux
MSS调整
前期一个项目与外部厂商联调时,由于外部某几个网络环节存在超时或不通的情况,排查到可能需要修改部分网络环节的MSS参数信息,以下对相关操作进行记录,留待后续参考。
151 0
|
Java Linux 开发工具
【实测】m1芯片mac 如何配置appium (2022年最新)(上)
【实测】m1芯片mac 如何配置appium (2022年最新)(上)
【实测】m1芯片mac 如何配置appium (2022年最新)(上)
|
网络虚拟化 数据安全/隐私保护
OpenLDAP+freeradius+samba+802.1x实现无线和有线网络认证+动态vlan下发——openLDAP篇(三)
OpenLDAP+freeradius+samba+802.1x实现无线和有线网络认证+动态vlan下发——openLDAP篇
OpenLDAP+freeradius+samba+802.1x实现无线和有线网络认证+动态vlan下发——openLDAP篇(三)
|
网络虚拟化
OpenLDAP+freeradius+samba+802.1x实现无线和有线网络认证+动态vlan下发——openLDAP篇(二)
OpenLDAP+freeradius+samba+802.1x实现无线和有线网络认证+动态vlan下发——openLDAP篇
OpenLDAP+freeradius+samba+802.1x实现无线和有线网络认证+动态vlan下发——openLDAP篇(二)
|
安全 Linux 网络安全
OpenLDAP+freeradius+samba+802.1x实现无线和有线网络认证+动态vlan下发——openLDAP篇(一)
OpenLDAP+freeradius+samba+802.1x实现无线和有线网络认证+动态vlan下发——openLDAP篇
OpenLDAP+freeradius+samba+802.1x实现无线和有线网络认证+动态vlan下发——openLDAP篇(一)
|
Kubernetes 安全 Cloud Native
阿里云服务网格ASM助力实现零信任、强化应用服务安全性
阿里云服务网格ASM(https://www.aliyun.com/product/servicemesh)成为重要的云原生零信任体系落地载体之一, 将身份验证和授权从应用程序代码卸载到服务网格, 开箱即用、动态可配、更新策略更加容易且立即生效。在使用Kubernetes Network Policy实现三层网络安全控制之上, 服务网格ASM提供了包括对等身份和请求身份认证能力、Istio 授权策略以及更为精细化管理的基于OPA(Open Policy Agent)的策略控制能力。阿里云服务网格ASM提供的这些零信任安全能力, 帮助用户实现上述这些安全目标。
1019 0
阿里云服务网格ASM助力实现零信任、强化应用服务安全性
NFS服务器搭建之/etc/exports文件配置权限参数
在NFS服务器搭建过程中,当我们在修改配置文件的时候,其中很重要的一环就是权限参数。 /etc/exprots中的权限参数主要有如下几个: ① rw : 该目录共享的权限是读写   ro : 该目录共享的权限是只读   但最终能不能读写还是与文件系统的权限和身份有关 ② sync...
1045 0
|
运维 数据安全/隐私保护 网络虚拟化
使用802.1X+FreeRadius+LDAP实现网络准入方案
本文,将为大家分享运维前沿在网络准入管理方面的实践经验...
9240 0
推荐文章
更多