ACS+AD结合做802.1x认证

　　再选择Group Setup→Group: DBA→Edit Settings,勾选Tunnel-Type; Tunnel-Medium-Type; Tunnel-Private-Group-ID.其中Tunnel-Type设为VLAN; Tunnel-Medium-Type设为802; Tunnel-Private-Group-ID设此Group用户所要访问的VLAN号,现以68为例.如下图所示:(15.jpg)

　　点Submit+Restart即可.到此ACS的配置就完成了!

　　五. AAA Client的配置(以架构图上3750为例介绍):

　　1.配置一个交换机本地的用户名/口令,用于交换机本地认证,同时可以让交换机在ACS认证失败后能登入.

　　ACS_LAB_02#conf t

　　ACS_LAB_02(config)# username cisco password *****

　　2.配置ACS认证:

　　ACS_LAB_02 (config)#aaa new-model

　　ACS_LAB_02 (config)# aaa authentication login default local　

　　ACS_LAB_02 (config)# aaa authentication dot1x default group radius

　　3.配置ACS授权:

　　ACS_LAB_02 (config)# aaa authorization network default group radius

　　4.指定ACS Server地址和key,他是和ACS服务器交换的密钥.

　　ACS_LAB_02 (config)# radius-server host 192.168.68.19 key tsgacs

　　5. 应用到VTY上(下面是VTY采用本地认证):

　　ACS_LAB_02 (config)# line vty 0 4

　　ACS_LAB_02 (config-line)#password ******

　　ACS_LAB_02 (config-line)#login authentication local

　　6. 802.1X配置:

　　ACS_LAB_02 (config)# dot1x system-auth-control　

　　ACS_LAB_02 (config)# interface FastEthernet1/0/24

　　ACS_LAB_02 (config-if) # switchport mode access　　　　

　　ACS_LAB_02 (config-if) # dot1x port-control auto

　　六. 配置接入设备PC(在OA装机时完成的动作):

　　1.　　　将终端设备加入域.

　　2.　　　在终端设备上手动安装根证书登录域后在浏览器上键入http://192.168.68.19/certsrv进入证书WEB申请页面,登录用户采用域管理用户账号.选择“Retrieve the CA certificate or certificate revocation list→ Download CA certificate→Install Certificate→Automatically select the certificate store based on the type of the certificate”,按下一步结束证书安装.

　　3.　　　进行PC上的802.1x认证设置:在网卡的连接属性中选择“验证→为此网络启用 IEEE 802.1x 验证”,EAP 类型选为“受保护的(PEAP)”,勾选“当计算机信息可用时验证为计算机”,然后再点“内容”,在EAP属性窗口中选择“确认服务器认证”,同时在“在受信任的目录授权认证单位”窗口中选择对应的ROOT CA,这里为ACSTEST,认证方法选成“EAP-MSCHAP v2”.再点“设定”按钮勾选选项即可,如下图所示:(16.jpg)

　　备注:

　　对于WINXP和WIN2003 OS它自带802.1X认证.如果是WIN2000 OS须要在“开始” →“设定” →“控制台”　　→“系统管理工具” →“服务”中把Wireless Configuration服务打开,此服务默认状态下启动类型是“手动”,把它改为“自动” 即可.这样的话在网卡内容中才会有“验证”选项!