1、AD+RADIUS+802.1X 认证配置手册认证配置手册一、一、AD 域安装(域安装(SERVER2008)1、命令提示符2、3、输入 dcpromo 打开 AD 服务器安装向导。会弹出如下错误:然后一路下一步,中途会检查 DNS 设置大约 5 分钟左右然后重启一路下一步直到安装至此证书服务安装完成,然后给这台服务器申请证书,如下二、二、RADIUS 安装与配置安装与配置三、三、802.1x 配置配置1.2960 交换机配置交换机配置交换机全局配置:交换机全局配置:Switch(config)#aaa new-model/开启 AAA 认证Switch(config)#aaa authent
2、ication dot1x default group radius/dot1x 采用 radius 认证 Switch(config)#radius-server host 192.168.6.200 auth-port 1812 acct-port 1813 key 123456 /指定 radius 服务器的 IP 地址、端口号及与 radius 服务器通讯的密钥为 123456 配置配置radius 服务器时需要用到此密钥服务器时需要用到此密钥 Switch(config)#dot1x system-auth-control /全局启用 dot1x 认证交换机接口配置:交换机接口配置:
3、Switch(config)#interface FastEthernet0/1 /进入 1 号接口Switch(config-if)#switchport mode access /指定接口为 access 类型,只有此模式下的端口才支持 802.1x Switch(config-if)#authentication port-control auto/接口启用 dot1x 认证,并指定接口认证控制模式为自动Switch(config-if)#dot1x pae authenticator /设定这个接口为 802.1x 认证接口(即弹出提示用户输入用户密码的窗口,并负责将用户输入的用户密码
4、传给 radius 服务器进行认证)Switch(config-if)#spanning-tree portfast/加快认证的速度,可选Switch(config-if)#authentication host-mode multi-auth/指定该接口的认证模式为多用户认证(即该接口下接交换机时要启用这个模式,可选)Switch(config-if)#authentication violation protect/当身份验证失败时将此端口至于受保护的模式(可选)Switch(config)#interface vlan 1/进入 vlan1 虚拟接口Switch(config-if)#i
5、p address 192.168.6.200 255.255.255.0/配置交换机的管理地址(即和radius 服务器通讯的 IP 地址)此地址在配置此地址在配置 radius 服务器时要用到服务器时要用到2.华为华为 5600 交换机配置交换机配置全局配置:全局配置:Quidwaydot1x /全局开启 dot1x 认证Quidway dot1x authentication-method eap md5-challenge /指定 dot1x 采用的认证方法Quidwayradius scheme 802.1x /定义 radius 认证服务器 802.1x 的相关属性Quidway-
6、radius-802.1xserver-type standard /定义 radius 服务采用标准形式Quidway-radius-802.1x primary authentication 192.168.6.200 /指定认证服务器的地址Quidway-radius-802.1x key authentication 123456/指定认证与认证服务器通讯的密钥Quidway-radius-802.1xuser-name-format without-domain/定义登陆用户名的格式Quidwaydomain 802.1x /定义 802.1x 域的相关属性Quidway-isp-8
7、02.1xscheme radius-scheme 802.1x /应用上面定于的 radius 服务器 802.1xQuidway-isp-802.1xaccounting optional /设置审计为可选Quidwaydomain default enable 802.1x/设定默认域采用 802.1x 域接口配置:接口配置:Quidwayinterface g 1/0/12/进入 12 号接口Quidway-GigabitEthernet1/0/12port link-type access/指定端口模式为 accessQuidway-GigabitEthernet1/0/12dot1
8、x /开启 dot1x 认证Quidway-GigabitEthernet1/0/12dot1x port-control auto/端口控制采用自动模式Quidway-GigabitEthernet1/0/12dot1x port-method macbased/采用基于 mac 地址的认证四、四、PC 机配置(机配置(win7)重启在 PC 重启的过程中进入 AD 域服务器,将刚刚加入域的计算机与之前创建好的用户 test 绑定,意思是只有 test 用户可以登录刚刚加入域的计算机。PC 重启完成,然后用 test 用户登陆刚刚加入域的计算机此过程可能需要输入域管理员的账密,输入即可(一般为 administrator)然后会弹出确认框,点击是,然后重新打开浏览器申请证书更改本地连接属性时会弹出需要域管理员的权限才可以修改属性,输入域管理员的账密即可(一般为 administrator)
浙ICP备2021020529号-1 | 浙B2-20240490 
