- 博客(43)
- 资源 (12)
- 收藏
- 关注
RSS订阅原创 忆龙2009:如何防止用户关闭或卸载CSA代理?
代理访问规则(ACS)可以由管理员来决定用户是否能够停止代理安全访问。要停止某个访问,在Windows下是通过 net stop 命令来完成的;在UNIX下是通过 /etc/init.d/ciscosec stop来完成。另外,用户还可以通过代理软件的UI界面来关闭这个功能。如果你关闭了代理安全功能,你只能手工恢复,或者下次系统启动后自动恢复。 如果你不想让用户自己停止或卸
2009-11-29 19:33:00
2686
原创 忆龙2009:使用ACS进行机器跨域认证出现错误:"NTLIB: Could not find machine host"
在一个存在多个森林的AD环境中,如果使用PEAP协议进行机器认证,会出现认证失败现象,原因是机器名称是以DNS格式发送的。这种格式在ACS 4.1.1.23之前是不被支持的。 例如:如果ACS处于 Forest1,而 host/machine.com 处于 Forest2,会出现类似下面的错误信息: CSWinAgent 03/05/2007 09:26:2
2009-11-29 11:16:00
2704
原创 忆龙2009:如何在ACS上配置更多的下载IP ACLs
ACS上对下载IP ACLs的配置数量进行了限制,如果需要配置更多数量的downloadable access control lists (ACLs) ,可以使用 object-group 命令,具体的设置方法如下描述: 在 PIX/ASA 上的配置:name 192.6.x.x HOST_SERVER object-group service SVC_GROUP t
2009-11-29 10:50:00
2720
1
原创 忆龙2009:ACS3.3当会话数设为2时,允许的用户数却不受限制
这是ACS的一个BUG,该BUG出现在3.3.1及3.3.2版本中。 当将最大会话数设为1时,ACS只允许1个用户登陆,但将其设为大于1的任何值时,登陆的用户数由于BUG而不受限制。 要解决这个问题,请将版本升级到3.3.3及之后的版本。
2009-11-29 00:54:00
2625
1
原创 忆龙2009:XP客户端通过IP Phone连接CISCO交换机,为何无法完成认证?
当XP客户端通过IP Phone连接到CISCO交换机,其802.1x认证为何无法成功?而当XP客户端直接连接到交换机上时,认证是可以正常完成的。 如果802.1x客户端通过IP Phone连接到交换机,交换机就无法感知到端口的UP事件。这样,交换机就无法知道PC什么时候连上来,也就无法初始化一个认证过程。 如果交换机上配置了GUEST
2009-11-29 00:20:00
2645
1
原创 忆龙2009:ACS+Vista采用PEAP认证失败
在采用ACS+Windows Vista的环境中,虽然ACS的日志显示用户已经认证成功了,但实际上Vista客户端并没有认证成功。 一旦出现这种问题,请确认在WLC/AP上没有开启Cisco Centralized Key Management (CCKM) 功能。如果开启了该功能,将会导致Vista用户认证失败。
2009-11-28 23:45:00
2652
原创 忆龙2009:能否将ACS WEB访问页面的默认端口号2002修改为其他端口?
ACS的WEB访问页面其默认监听端口号为2002,能否将其修改为其他值?答案是否定的。 当你连接到2002端口时,系统会随机地将其改变为1024~65535中的一个端口。但是ACS总是使用2002作为监听端口。每个管理会话都会分配到一个不同的端口号。
2009-11-28 23:35:00
3457
原创 忆龙2009:通过TACACS修改Telnet管理用户密码
下面我们将介绍在ASA上如何利用配置Cisco ACS TACACS 服务器以对TELNET管理用户的密码进行修改。 注意:以下方法对SSH及ASDM管理用户的密码修改无效。 ASA上的配置:1. 定义 TACACS aaa-server5580-20-1(config)# show runn aaa-server TACACS17aaa-serv
2009-11-28 22:33:00
3810
原创 忆龙2009:在ASA上采用RADIUS或TACACS进行命令行授权失败的原因
在ASA上,认证完成后,AAA客户端无法登陆到enable模式。这种问题产生的原因是ASA无法理解cisco-avpair = "shell:priv-lvl=15"属性。 从8.0(2)版本开始,ASA开始支持AAA命令行授权功能,使用 aaa authorization exec authentication-server 命令可以对这个特性进行配置。
2009-11-28 22:00:00
3613
原创 忆龙2009:TCP非法复位漏洞及解决方法
英国的NISCC发布236929安全公告:按照RFC 793实现的TCP协议存在安全漏洞,正常的TCP连接可以被非法的第三方复位。在已知TCP连接的四元组(源地址、目的地址、源端口号、目的端口号)的情况下,攻击者可以伪造带有RST/SYN标志的TCP报文或普通数据报文,当其sequence number落在TCP连接的滑动窗口(window size)范围内,可能导致以下攻击后果
2009-11-27 21:21:00
2915
1
原创 忆龙2009:使用CAMS升级iNode客户端的配置方法
iNode版本支持自动升级的功能,除了通过iNode和客户端管理中心进行通信实现版本升级以外,还可以CAMS来实现客户端认证的时候进行自动升级。 客户端自动升级包括“可选升级”和“强制升级”两种。具体的实现方法是在客户端认证时检查其版本是否比要升级的版本低,如果低于要求版本即进行升级。配置方法是: 1、 使用iNode客户端管理中心定制升级包,定制时根据需要
2009-11-27 00:15:00
2560
2
原创 忆龙2009:EAD快速部署功能占用acl资源情况
配置EAD快速部署后,如果端口收到未知源mac的报文,那么会在该端口下发6类ACL,占用6个或7个ACL rules,占用4个或5个masks,数量的差异与配置的free ip数量和掩码相关。 认证通过后,这些ACL都会被删除,否则,这些ACL需要在一段时间后才老化,这个时间由 dot1x timer acl-timeout 命令控制,默认30分钟。 具
2009-11-27 00:02:00
2414
原创 忆龙2009:EAD客户端快速部署方法
在EAD实际的开局过程中EAD客户端的部署工作量很大,H3C某些交换机提供全局ACL功能和802.1x未认证时终端用户IE访问URL重定向功能,通过该功能可以实现EAD客户端的强制下发功能,解决EAD推广中的客户端部署工作烦琐的难题。此特性只针对交换机端口处于auto状态的情况。1、组网需求:依照EAD方案中的要求进行组网,同时,用户在使用EAD快速部署功能之前必须配置好Web服
2009-11-26 23:52:00
2734
原创 忆龙2009:CAMS强制注销从LDAP同步来但已经不存在的帐号
1、 特性描述:从CAMS2.10-F0211P05开始,H3C的CAMS系统增加了自动强制注销LDAP上不存在用户的特性,即对于CAMS上已经是LDAP的用户,在进行LDAP用户同步时,如果LDAP上已没有该用户,则对CAMS上的LDAP用户进行强制销户处理。2、 特性使用:默认的情况下,该自动强制注销LDAP已不存在帐号的特性在CAMS中是不开启的,如果客户需要开启此功能的话
2009-11-26 23:46:00
2541
原创 忆龙2009:CAMS服务需要开放的端口
默认情况下,CAMS需要使用的端口包括: 1.认证、计费端口(UDP 1812,1813),默认情况是这两个端口,如果配置有变化,需要根据实际情况开放端口; 2.Portal认证端口、转发器端口(UDP 50100、50200)(有portal组件时必须); 3.FTP端口(TCP 20,21)(帐单导出时需要); 4.TELNET端口(TCP 23)(远程维护); 5.SSH
2009-11-26 23:40:00
2863
原创 忆龙2009:iMC或CAMS下发ACL的方法
在CAMS和iMC中下发ACL有2种方法: 1、在服务配置里配置下发ACL,如下图所示 说明:服务配置里下发ACL,需要配置在外部组,内部组是以前给华为的一款设备MA5200F时添加的,不需配置。在IMC里“外部组”已经改称 “下发ACL” 了 2、还有一种在安全策略管理里面配置隔离ACL和
2009-11-26 23:35:00
2888
原创 忆龙2009:采用SSL握手方式的服务器验证过程
在SSL握手过程中,服务器向客户端发送一个服务器证书来对它自己进行验证,客户端使用该证书来验证该证书链的合法性. 采用SSL协议的客户端按照以下步骤来验证服务器的身份:首先,客户端检查服务器证书的有效期,是否当前日期及时间已经超出了证书的有效期限,如果已经超出有效期,验证过程将终止.如果在有效期限之内,会继续下面的验证过程. 其次,检查颁发证书的机构是否是一个被
2009-11-21 18:39:00
2494
原创 忆龙2009:数字证书(CA)的分类
在互联网上,我们通常会使用四种类型的数字证书,下面就让我们来对它们进行一个初步的认识: 个人证书: 个人证书用来对个人信息进行识别.它通常可以让服务器来对用户进行认证,或者使用S-Mime来发送安全的e-mail. 微软推荐将你的个人证书导出到一个安全的位置,以防止你的个人证书损坏. 如果口令列表文件(.pwl)损坏或丢失,证书将无法再继续使用.如果证书遭
2009-11-21 17:51:00
2849
原创 忆龙2009:如何修改EAP报文的大小
在采用EAP-TLS协议进行认证时,传送给RADIUS服务器的EAP报文通常都会很大,导致需要分片传送.有一些防火墙为了保护网络不受攻击,会丢弃分片的UDP报文. 可以利用RADIUS属性Frame MTU来修改EAP认证报文的大小.Frame MTU可用作RADIUS服务器及客户端协商EAP报文的最大传输单元(MTU).通过协商,可以让RADIUS服务器不发送无法在网络
2009-11-21 02:42:00
2787
原创 忆龙2009:理解EAP-TLS的信任模型
客户侧信任模型:客户端信任服务器 当你在使用诸如Windows XP之类的客户端时,你需要配置一个根证书机构.通过这个根证书机构,你可以验证AAA服务器的合法性. 你所指定的可信任证书机构,即可以是公共的,也可以是私有的,如果你决定使用一个公共的根证书机构,那么你必须知道,你对这个根证书机构是没有任何控制权的.换言之,在你的企业网络中,你应该安装一个私有的证书机构
2009-11-21 01:11:00
3045
原创 忆龙2009:详解EAP-TLS验证的信息交换过程
EAP-TLS认证协议是基于802.1x/EAP体系架构.这个架构是由三部分内容组成的:客户端(supplicant)/认证设备(authenticator)/认证服务器(authentication server).其中,客户端及认证服务器要求必须支持EAP-TLS协议.而对于认证设备(如交换机/AP等),则对EAP-TLS并不关心. 下图解释了EAP-TLS
2009-11-21 00:29:00
5961
转载 忆龙2009:WPA2与思科LEAP安全协议有何不同?
思科的LEAP(轻型可扩展身份验证协议)是一个专有的、IEEE 802.1X端口访问协议标准批准之前的变体。802.1X是一个框架,让一台身份识别服务器在批准无线用户进入接入点的分布式网络(也就是接入点连接的有线网络)之前验证那个无线用户的证书。802.1X能够与许多不同的证书一起使用,如口令、令牌和证书等。这是通过让802.1X的请求和回答携带任何种类的EAP(可扩展身份验证协议)来
2009-11-19 23:44:00
2677
转载 忆龙2009:中兴的鉴权服务器ZXUN UniA简介
1 概述 中兴通讯鉴权授权计费服务器ZXUN UniA 系统支持AAA和AN-AAA功能,两者可分可合,并具有多网融合能力,可以实现CDMA1X/EV-DO、WLAN、WiMAX、WCDMA、固网等多网接入,并提供完善的解决方案。 2 产品特性 ● 大容量,高性能 ZXUN UniA采用分布式认证授权和计费处理,提供大容量高性能产品。ZXUN U
2009-11-19 23:26:00
3221
原创 忆龙2009:使用EAP-TLS试图连接到RAS服务器时验证失败
当你使用传输级别的安全扩展认证协议(EAP-TLS)连接到远程访问服务(RAS)服务器时,你可能会遇到以下情况之下:反复提示你选择用来进行身份验证的服务器身份验证失败 当满足以下两个条件时,将会出现以上的现象:你正尝试进行远程访问或无线连接(802.1x)客户端计算机存在多台用来进行身份验证的RADIUS服务器 RAS 客户
2009-11-19 22:05:00
2940
原创 忆龙2009:Windows xp sp3采用EAP-TLS协议进行认证,启动过程认证失败
如果你正在使用一台安装了Windows xp sp3的电脑访问网络,你可能会遇到以下问题:一些组策略不能应用到计算机上不能安装某些通过Windows软件更新服务(WSUS)进行部署的更新一些启动脚本不能按预期执行 这些问题会发生在操作系统在启动过程中采用EAP-TLS进行第一次验证时.当再次进行身份验证时,验证能够成功并可以登陆到系统,但是在系统启动
2009-11-19 21:11:00
3126
原创 忆龙2009:当采用第三方RADIUS SERVER时,出现PEAP验证失败现象
如果你的电脑安装了 Microsoft Windows XP Service Pack 2 (SP2) ,如果此时您使用除IAS以外的第三方RADIUS SERVER作为认证服务器,您通过受保护的可扩展身份验证协议 (PEAP) 的连接将会出现验证失败的现象。现象有时是初始连接可以身份验证成功,但随后快速连接尝试可能会连接不成功。 造成这种问题的原因是第三方RADI
2009-11-19 20:50:00
3329
原创 忆龙2009:windows server 2003 + ACS 实现无线网络的PEAP认证(7)
使用Windows联接触配置PEAP客户端在我们的实验中,客户端是一台运行Windows XP系统的电脑,它通过无线AP访问Intranet.按以下步骤完成无线客户端的配置过程. 执行基本的安装及配置将客户端通过网线连接到HUB以访问企业网网段. 在客户端,将电脑安装 Windows XP Professional 系统,且将其配置成域 wirelessdemo.local
2009-11-18 23:02:00
4083
原创 忆龙2009:windows server 2003 + ACS 实现无线网络的PEAP认证(6)
在ACS 4.0 上安装证书在 ACS 服务器上, 在浏览器中输入微软CA服务器的网址 http://172.16.100.26 /certsrv. 在出现的任务列表中选择下载一个CA证书,证书链或CRL (Download a CA certificate, certificate chain or CRL). 在加密方法中选择 Base 64 然后点击下载CA证书
2009-11-18 20:29:00
3214
原创 忆龙2009:windows server 2003 + ACS 实现无线网络的PEAP认证(5)
为ACS配置可导出的证书重要: ACS 服务器必须从企业根CA获得一个服务器证书,这样它才能够对 WLAN PEAP 客户端进行认证. 重要: 在安装证书的过程中,请确认IIS管理器没有打开,因为那样会对一些缓存信息造成影响. 用企业管理员的账号登陆到 ACS 服务器. 在本地ACS服务器上,在浏览器中输入证书颁发服务器的网埴类似这样:http://IP-addre
2009-11-16 23:33:00
3080
原创 忆龙2009:windows server 2003 + ACS 实现无线网络的PEAP认证(4)
PEAP 认证方式采用MS-CHAP v2的PEAP认证方式需要在 ACS服务器上安装证书,客户端则不需要证书. 为ACS服务器自动登记计算机证书能够简化部署过程. 为了将 DC_CA 配置成能够自动提供计算机及用户证书,需要完成以下配置过程. 注意: 微软在Windows 2003 企业版本CA服务中已经修改了 Web Server 模板功能,已经不提供密钥导出功能. 这里已经不再有
2009-11-16 22:59:00
3350
原创 忆龙2009:windows server 2003 + ACS 实现无线网络的PEAP认证(3)
Cisco LWAPP 控制器配置 创建必要的WPAv2/WPA配置注意: 假定无线网络控制器与网络已经有基本的连接,同时可以通过IP成功访问管理接口. 在浏览器中输入 https://172.16.101.252 以登陆到无线网络控制器管理台. 点击登陆 (Login)用默认的用户名 admin 及默认密码 admin 登陆. 在控
2009-11-15 22:30:00
3266
原创 忆龙2009:windows server 2003 + ACS 实现无线网络的PEAP认证(2)
在Windows Standard 2003 上安装 Cisco Secure ACS 4.0Cisco的ACS 4.0是运行在Windows Standard Server 2003之上的一套提供认证授权功能的RADIUS系统,以下完成将ACS配置成RADIUS SERVER的过程。基本安装及配置首先安装一台属于域 wirelessdemo.local 名称为ACS的成员服务器,同
2009-11-15 12:52:00
3466
原创 忆龙2009:windows server 2003 + ACS 实现无线网络的PEAP认证(1)
本文介绍了如何采用无线局域网络控制器、WINDOWS SERVER 2003、ACS及PEAP协议来实现安全的无线网络接入。 本文采用下面的网络拓补结构图:在DC_CA上安装Windows Enterprise 2003 IIS,证书服务,DNS,DHCP在DC_DA上按照以下步骤来成服务器的配置:执行基本的安装及配置把服务器配置成域控
2009-11-15 02:28:00
4388
原创 忆龙2009:ACS中导入私有RADIUS属性的方法
在现网中有很多使用ACS作为RADIUS SERVER的案例,在这些ACS SERVE中,通常其默认配置中会缺少一些第三方的RADIUS属性,如果实际应用中需要使用到这些私有的RADIUS属性,该怎么办呢? 下面介绍一种向ACS中导入第三方私有RADIUS属性的方法。以H3C的私有属性为例,在一个实际项目中,需要对设备的telnet用户通过ACS Radius Server进行认证
2009-11-13 23:33:00
4183
转载 忆龙2009:CAMS设备无关功能特性配置
一 组网需求:功能描述CAMS整合了策略服务机制后,同H3C认证客户端实现了脱离设备特性(即设备无关功能),可以实现下述功能:客户端版本检测;用户消息下发(包括登录提示信息、用户余额/欠费信息、系统自定义提示信息和在线用户下发消息);防代理;防多网卡;防IE设置代理;IP获取方式限制;客户端弹出式广告;在线修改密码;实时强制踢用户下线
2009-11-13 23:04:00
2652
转载 忆龙2009:iNode防代理功能将pplive等软件误判为代理而导致用户下线
11月12日,也就是昨天,3COM被HP收购了。H3C作为3COM的子公司,也将翻开新的一页。转一贴以示纪念! iNode可以和CAMS或iMC UAM配合实现防代理功能,当账号所在的CAMS或UAM的服务中配置了“仅限iNode客户端”及“禁用代理服务器”时,用户使用iNode身份认证成功后iNode会对终端进行代理检查,如果发现用户有代理服务器行为则提示用户并主
2009-11-13 00:36:00
3905
原创 忆龙2009:OPENGL 透视投影
这是一个简单的OPENGL的示例程序,与前面的示例程序不同,前面使用的是正投影模式,而本例则使用透视投影。 透视投影的一个显著特征是透视缩短,即物体如果离照相机的距离越远,则它看上去就越小。透视投影可以看成一个金字塔的平截头体。靠近观察点的物体看上去会更大一些,因为和远处的物体相比,他们占据了视景体中相对较大的区域。 透视投影方法常用于动画、视觉模
2009-11-13 00:01:00
3147
原创 忆龙2009:OPENGL 我的格子到哪里去了
这是一个简单的OPENGL示例程序,目的是显示有层次感的(Z坐标不同)3*3的彩色格子。细心的朋友已经注意到了,下图中只出现了上面两排的格子,第三排格子在画面上没有出现。我的格子去哪里了? 以下是该程序的源代码:#include #include #include #include int r2 = 0;void init(void)
2009-11-12 22:41:00
2667
原创 忆龙2009:OPENGL 为何出现花屏?
这是一个简单的OPENGL示例程序,目的是要显示一个有层次感的3*3的彩色格子,每一行的三个彩色格子都拥有不同的Z坐标.程序运行后,屏幕却出现了花屏现象,如下图所示.这是很多初学者都会遇到的问题.这究竟是什么原因造成的呢? #include #include #include #include int r2 = 0;void init(void){
2009-11-11 23:45:00
4787
原创 忆龙2009:一个介绍游戏开发的学习空间
在这里,您看到的不仅是各类游戏开发的知识,而且可以通过游戏的方式掌握数据库、Java 等软件开发知识。 在本页面上,您可以找到编写游戏脚本的技巧,参考游戏开发过程的记录,乃至看到硬件层面的游戏开发。 详细请访问:游戏开发中文空间
2009-11-08 22:15:00
2453
ANDROID应用-教你玩魔方(源代码)
2012-09-02
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人