AD+CA+EAPTLS认证模型基本安装修改版Word格式.docx
- 文档编号:15806953
- 上传时间:2022-11-16
- 格式:DOCX
- 页数:33
- 大小:1.33MB
AD+CA+EAPTLS认证模型基本安装修改版Word格式.docx
《AD+CA+EAPTLS认证模型基本安装修改版Word格式.docx》由会员分享,可在线阅读,更多相关《AD+CA+EAPTLS认证模型基本安装修改版Word格式.docx(33页珍藏版)》请在冰豆网上搜索。
(具体的认证流程后续补充这篇主要介绍服务器的搭建组网)
设备情况:
*CiscoCatalyst3550交换机-------NAS(后续可以替换为我们的S3760)
*一台Windows2003ServerSP1服务器做为ADServer及CAServer
*一台Windows2003ServerSP1服务器做为ACSServer
*一台WindowsXPSP2工作站做为终端接入设备
*CiscoSecureACSforWindowsversion4.1.0
1.1AD+CAServer的安装
1.1.1配置域控制器和DNS服务器。
2AD+CAServer的安装
2.1配置域控制器和DNS服务器。
2.1.1选择“开始”—>
“管理您的服务器”
点击“添加或删除角色”
2.1.2点击“下一步”,然后选择“域控制器(ActiveDirectory)”,然后点击“下一步”
2.1.3点击“下一步”然后会出现“ActiveDirectory安装向导”点击“下一步”,再点击“下一步”,然后选择“新域的域控制器”
2.1.4点击“下一步”,然后选择“在新林中的域”
2.1.5点击“下一步”,然后填写DNS全名。
本例填写的是“Ruijie-”
注:
如果是在一个全新的系统上配置,在上述对话框出现之前可能会弹出下图所示的对话框,按照下图所示配置即可。
2.1.6单击“下一步”,本例使用默认名称,然后再点击“下一步”,选择数据库和日志保存地点,本例使用默认设置,然后点击“下一步”,然后选择“SYSVOL”文件夹位置,本例使用默认设置。
点击“下一步”,然后在“DNS注册诊断”对话框中选择“在这台计算机安装并配置DNS服务器”。
2.1.7点击下一步,在权限对话框中选择“win2000或win2003操作系统兼容权限”
2.1.8点击“下一步”,然后填写“目录还原模式管理员密码”,本例在这里填写的密码和计算机管理员的密码一样。
2.1.9“下一步”,这时候会出现一个“摘要”对话框,在这里您可以核对您的配置。
本例中,直接点击“下一步”,然后计算机就开始安装域控制器和DNS服务器。
至此,域控制器和相应的DNS服务器就配置完成了,重新启动计算机即可生效。
2.2安装IIS和证书颁发服务器
2.2.1安装IIS
开始——〉控制面板——〉添加或删除程序——〉添加/删除window组件,在“windows组件”对话框中选择“应用程序服务器”,点击“下一步”即可。
2.2.2安装证书颁发服务器
1)开始——〉控制面板——〉添加或删除程序——〉添加/删除window组件,在“windows组件”对话框中选择“证书服务”。
2)单击“下一步”,在CA类型对话框中选择“企业根CA”。
3)点击“下一步”,在“CA识别信息”对话框中填写CA的名称,本例中填写的是:
red-giant
然后点击“下一步”。
安装过程中出现的对话框,本例中均使用默认设置。
2.2.3安装服务器证书
1)在浏览器中输入地址:
http:
//本机IP地址/certsrv,然后会出现登陆对话框,用计算机管理员账号登陆即可。
1.本例中,本机的IP地址是192.168.5.225
2.浏览器必须支持脚本,win2003默认是不支持脚本的,因此需在浏览器的工具——〉internet选项——〉高级中把“禁止脚本调试”前面的小勾去掉。
3.建议把本机IP地址加入“受信任的站点”。
加入点在:
浏览器的工具——〉internet选项——〉安全。
2)在网页中选择“申请一个证书”
3)在接下来的网页中选择“高级证书申请”
4)在接下来的网页中选择“创建并向此CA提交一个申请”
5)在接下来的网页中,证书模板选择“Web服务器”,识别信息中姓名必须填写
建议使用本机的名称。
其余选项采用默认设置,不要改动。
然后点击“提交”。
6)在接下来的网页中,安装证书即可
7)核对证书是否安装成功。
浏览器的工具——〉internet选项——〉内容——〉证书。
选中安装的证书点击“查看”,如出现如下图所示的信息,则证书安装成功。
至此,证书的相关配置就配置完成了。
重新启动计算机即可(刷新证书缓冲区)。
2.3添加认证的用户
1)开始——〉管理您的服务器。
选择域控制器中的管理ActiveDirectory中的用户和计算机。
2)在下图所示的地方添加组。
本例添加组switch。
3)在下图所示的地方添加新用户即可。
本例添加用户test。
在设置用户密码的时候,系统可能会提醒你无法设置用户密码,这是由于您的系统密码安全策略的配置非常严格。
您可以在开始——〉帮助中输入关键字“应用或修改密码策略”搜索。
展开第二个“+”号,根据里面的提示进行修改。
修改生效可能需要重新启动计算机。
4)将用户test加入组switch。
右键单击用户test——〉属性——〉隶属于。
单击“添加”,输入“switch”,单击“确定”即可。
5)设置用户的拨入属性。
右键单击用户test——〉属性——〉拨入。
选择“允许访问”。
至此,用户的添加就完成了。
3ACSServer的安装与配置
3.1ACS安装。
3.1.1ACS的服务器加入到AD中
1)更改DNS,服务器,要将DNS服务器设置成为AD的服务器的IP地址。
本例中即为192.168.32.3
2)使用本机的管理员帐号登录到计算机,更改域
此时会弹出来输入域的用户名和密码
这里输入caserver服务器的administrator帐号来授权即可…
注意:
重启之后要使用管理员的帐号来登入。
3.1.2ACS的安装
安装ACS的之前,登录到计算机的时候应该使用管理员帐号登录.
1)
ACS软件安装很简单,下一步下一步,到完成.
2)
还需安装Java的插件.
3.2ACS配置
3.2.1ACS服务器证书申请
在ACS服务器上申请证书:
在ACS服务器浏览器上键http:
//192.168.32.3/certsrv进入证书WEB申请页面,登录用户采用域管理员用户账号.选择“Requestacertificate→Advancedrequest→SubmitacertificaterequesttothisCAusingaform”,
接下来CertificateTemplate处选择“WebServer”,Name:
处填入“ACSNET”,KeyOptions:
下的KeySize:
填入“1024”,同时勾选“Markkeysasexportable”及“Uselocalmachinestore”两个选项,然后submit.出现安全警告时均选择“Yes”,进行到最后会有CertificateInstalled的提示信息,安装即可.
如果“Markkeysasexportable”选项,为灰色无法勾选的时候,如下解决办法:
1.此时发现Markkeysasexportable”选项,为灰色,无法选中,这时候,先不管它,点击下一步。
2.下一步申请到了证书,需要安装,此时先不急安装,点击网页的“后退“按钮,退后
2.后退之后发现可以选中了,之后重新申请一次,并安装。
即可。
3.2.2ACS证书配置
进行ACS证书的配置:
进入ACS的配置接口选择SystemConfiguration→ACSCertificateSetup→InstallACSCertificate进入如下图片,填写申请的“ACSNET”证书,再Submit.
按提示重启ACS服务,出现如下图片即OK:
3.2.3配置ACS所信任的CA:
选择SystemConfiguration→ACSCertificateSetup→EditCertificateTrustList”,选择ADServer上的根证书做为信任证书,如下图所示:
3.2.4EAP-TLS配置
重启ACS服务并进行EAP-TLS设置:
选择“SystemConfiguration→ServiceControl→Restart”重启服务;
选择“SystemConfiguration→GlobalAuthenticationSetup”,勾选“AllowEAP-TLS”选项,同时勾选“CertificateSANcomparision”、“CertificateCNcomparision”及“CertificateBinarycomparision”选项;
3.2.5配置外部用户数据库
选择“ExternalUserDatabases→DatabaseConfiguration→WindowsDatabase→Configure”,
在ConfigureDomainList处将ACSServer所在的域名称移动到“DomainList”中.要注意一点ACSServer应加入到域中.如下图所示:
同时“WindowsEAPSettings”的“MachineAuthentication”下勾选“EnablePEAPmachineauthentication”和“EnableEAP-TLSmachineauthentication.EAP-TLSandPEAPmachineanthenticationnameprefix.”选项,其中默认的“host/”不用改动,如下图所示:
再选择“ExternalUserDatabases→UnknownUserPolicy→Checkthefollowingexternaluserdatabases”,将“ExternalDatabases”移动到右边的SelectedDatabases窗口中,完成后再重启服务,如下图所示:
3.2.6配置ACSGroupMapping:
由于使用AD的用户名作为认证,用ACS作为用户访问的授权,因此须将此ACS中的Group与AD的Group映射.
ExternalUserDatabase→DatabaseGroupMappings→WindowsDatabase→Newconfigation-→将ACS所在的域加进去。
ExternalUserDatabase→DatabaseGroupMappings→WindowsDatabase→刚才建立的Domain–》addmapping
3.2.7配置AAAClient
选择“NetworkConfiguration→AddEntry”
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- AD CA EAPTLS 认证 模型 基本 装修 改版