ACS+AD结合做802.1x认证

　　同时“Windows EAP Settings”的“Machine Authentication”下勾选“Enable PEAP machine authentication”和“Enable EAP-TLS machine authentication.EAP-TLS and PEAP machine anthentication name prefix.” 选项,其中默认的“host/”不用改动,如下图所示:(9.jpg)

　　再选择“External User Databases→Unknown User Policy→Check the following external user databases”,将“External Databases”移动到右边的Selected Databases窗口中,完成后再重启服务,如下图所示:(10.jpg)

　　G.　　配置ACS Group Mapping:

　　由于使用AD的用户名作为认证,用ACS作为用户访问的授权,因此须将此ACS 中的Group与AD的Group映射.External User Database→Database Group Mappings→ACS.COM→New Configure”,在Detected Domains中选择ACS,如下图:　　(11.jpg)　　　

　　再Submit,确定后出现另一画面,选择ACS,如下图所示:(12.jpg)

　　选择ACS→Add Mapping,如下图,把NT Groups中的Group添加到Selected中,以DBAGroup为例,这里的DBAGroup就是ACS域中的DBAGroup,添加后,再在CiscoSecure group中选择ACS的GROUP(ACS中的GROUP默认名称是Group 1…,这个名称可以更改,为便于管理给他改名为DBA),再Submit即可.(13.jpg)

　　H.　　配置Group的授权:

　　通过ACS的Group来配置用户访问的权限,比如访问网络中哪一个VLAN及什么时间可以访问网络等.现以不同的用户访问不同的VLAN为例.首先要在Interface Configuration→RADIUS (IETF)下勾选Tunnel-Type; Tunnel-Medium-Type; Tunnel-Private-Group-ID.如下图所示:(14.jpg)