ACS 與AD 結合認證配置文檔

ACS 與AD 結合認證配置文檔
製作人：楊紹華

一. 測試架構及設備配置:
1. 架構圖:
2. 設備配置:
A.Cisco Catalyst 3750-24TS 交換機,Version 12.1(19)EA1d
B.一台Windows 2003 Server SP1 伺服器做為AD Server
C.一台Windows 2000 Server SP4 伺服器做為ACS Server 和CA Server
D.一台Windows 2003 Server SP1 工作站做為終端接入設備
E.Cisco Secure ACS for Windows version 3.3.1
二. AD 及CA 安裝:
AD&CA 安裝(在此不做介紹),裝CA 的SERVER 要在登入AD 後再安裝CA
服務.
三. AD 配置:
1. 創建OU.
2. 在OU 下建GROUP, 比如:NETGroup,SYSGroup 等
3. 再創建User, 把對應的User 加入到各自的Group 中,便於管理,在ACS 中
也需要,在ACS 配置中再介紹.

四. ACS 的安裝與配置.
1. ACS 的安裝:
A. 安裝ACS 的SERVER 必須登入到AD 中.
B. ACS 軟體安裝很簡單,下一步下一步,到完成.
C. 還需安裝Java 的插件.
2. ACS 的配置:
A. 在ACS 伺服器上申請證書: 在ACS 伺服器流覽器上鍵
http://192.168.68.19/certsrv 進入證書WEB 申請頁面，登錄用戶採用
域管理用戶帳號. 選擇“Request a certificate →Advanced request →
Submit a certificate request to this CA using a form”,
接下來Certificate Template 處選擇“Web Server”,Name: 處填入
“TSGNET”,Key Options: 下的Key Size: 填入“1024”, 同時勾選
“Mark keys as exportable”及“Use local machine store”兩個選項, 然後
submit. 出現安全警告時均選擇“Yes”, 進行到最後會有
Certificate Installed 的提示資訊,安裝即可.
B. 進行ACS 證書的配置: 進入ACS 的配置介面選擇System
Configuration→ACS Certificate Setup→Install ACS Certificate 進入如
下圖片,填寫申請的“TSGNET” 證書,再Submit.
 
按提示重.ACS 服務,出現如下圖片即OK:
C. 配置ACS 所信任的CA:
選擇System Configuration → ACS Certificate Setup → Install ACS
Certificate→Edit Certificate Trust List”,選擇AD Server 上的根證書做為
信任證書,如下圖所示:
 
D. 重啟ACS 服務並進行PEAP 設置:
選擇“System Configuration → Global Authentication Setup”, 勾選
“Allow EAP-MSCHAPv2” 及“Allow EAP-GTC” 選項, 同時勾選
“Allow MS-CHAP Version 1 Authentication”&“Allow MS-CHAP Versi
on 2 Authentication”選項,如下圖所示:
 
E. 配置AAA Client:
選擇“Network Configuration→ Add Entry”, 在“AAA Client”處輸入交
換機的主機名，“AAA Client IP Address”處輸入C3750 的管理IP 位
址,在“Key”處輸入RADIUS 認證密鑰tsgacs,“Authenticate Using”處
選擇“RADIUS(IETF)”,再Submit+Restart, 如下圖所示:
 
F. 配置外部用戶資料庫:
選擇“External User Databases→Database Configuration→
Windows Database→Create New Configuration”,建一個Database 的名
稱PCEBGIT.COM,Submit, 如下圖:
再選擇“External User Databases→Database Configuration→
Windows Database→Configure”,在Configure Domain List 處將
ACS Server 所在的域名稱移動到“Domain List”中.要注意一點
ACS Server 應加入到域中.如下圖所示:
 
同時“Windows EAP Settings”的“Machine Authentication”下勾選
“Enable PEAP machine authentication”和“Enable
EAP-TLS machine authentication.EAP-TLS and PEAP machine
anthentication name prefix.” 選項,其中默認的“host/”不用改動,如下圖所
示:
再選擇“External User Databases→Unknown User Policy→
Check the following external user databases”,將“External Databases”移動
到右邊的Selected Databases 視窗中,完成後再重啟服務,如下圖所示:

G. 配置ACS Group Mapping:
由於使用AD 的用戶名作為認證,用ACS 作為用戶訪問的授權,因此須將
此ACS 中的Group 與AD 的Group 映射.
External User Database→Database Group Mappings→PCEBGIT.COM→
New Configure”,在Detected Domains 中選擇PCEBGIT, 如下圖:
再Submit, 確定後出現另一畫面,選擇PCEBGIT, 如下圖所示:
 
選擇PCEBGIT→Add Mapping, 如下圖,把NT Groups 中的Group 添加到
Selected 中,以DBAGroup 為例,這裡的DBAGroup 就是PCEBGIT 域中
的DBAGroup, 添加後,再在CiscoSecure group 中選擇ACS 的
GROUP(ACS 中的GROUP 默認名稱是Group 1…,這個名稱可以更改,
為便於管理給他改名為DBA), 再Submit 即可.

H. 配置Group 的授權:
通過ACS 的Group 來配置用戶訪問的權限,比如訪問網絡中哪一個
VLAN 及什麼時間可以訪問網絡等.現以不同的用戶訪問不同的VLAN
為例.首先要在Interface Configuration→RADIUS (IETF) 下勾選
Tunnel-Type; Tunnel-Medium-Type; Tunnel-Private-Group-ID. 如下圖所
示:
 
再選擇Group Setup→Group:DBA→Edit Settings, 勾選Tunnel-Type;
Tunnel-Medium-Type; Tunnel-Private-Group-ID. 其中Tunnel-Type 設為
VLAN; Tunnel-Medium-Type 設為802; Tunnel-Private-Group-ID 設此
Group 用戶所要訪問的VLAN 號,現以68 為例.如下圖所示:
點Submit+Restart 即可.到此ACS 的配置就完成了!

五. AAA Client 的配置(以架構圖上3750 為例介紹):
1. 配置一個交換機本地的用戶名/口令,用於交換機本地認證,同時可以讓交換
機在ACS 認證失敗後能登入.
TSG_LAB_02#conf t
TSG_LAB_02(config)# username cisco password *****
2. 配置ACS 認證:
TSG_LAB_02 (config)#aaa new-model
TSG_LAB_02 (config)# aaa authentication login default local
TSG_LAB_02 (config)# aaa authentication dot1x default group radius
3. 配置ACS 授權:
TSG_LAB_02 (config)# aaa authorization network default group radius
4. 指定ACS Server 地址和key, 他是和ACS 伺服器交換的密鑰.
TSG_LAB_02 (config)# radius-server host 192.168.68.19 key tsgacs
5. 應用到VTY 上(下面是VTY 採用本地認證):
TSG_LAB_02 (config)# line vty 0 4
TSG_LAB_02 (config-line)#password ******
TSG_LAB_02 (config-line)#login authentication local
6. 802.1X 配置:
TSG_LAB_02 (config)# dot1x system-auth-control
TSG_LAB_02 (config)# interface FastEthernet1/0/24
TSG_LAB_02 (config-if) # switchport mode access
TSG_LAB_02 (config-if) # dot1x port-control auto
六. 配置接入設備PC( 在OA 裝機時完成的動作):
1. 將終端設備加入域.
2. 在終端設備上手動安裝根證書
登錄域後在流覽器上鍵入http://192.168.68.19/certsrv 進入證書WEB 申請
頁面,登錄用戶採用域管理用戶帳號.選擇
“Retrieve the CA certificate or certificate revocation list→
Download CA certificate→Install Certificate→
Automatically select the certificate store based on the type of the certificate”,
按下一步結束證書安裝.

3. 進行PC 上的802.1x 認證設置:
在網卡的連接屬性中選擇“驗證→為此網絡啟用IEEE 802.1x 驗
證”,EAP 類型選為“受保護的(PEAP)”,勾選“當電腦資訊可用時驗證為電
腦”,然後再點“內容”,在EAP 屬性視窗中選擇“確認伺服器認證”,同時在
“在受信任的目錄授權認證單位”視窗中選擇對應的ROOT CA, 這裏為
ACSTEST, 認證方法選成“EAP-MSCHAP v2”.再點“設定”按鈕勾選選項即
可,如下圖所示:
備注:
對於WINXP 和WIN2003 OS 它自帶802.1X 認證.如果是WIN2000 OS 須要在“開
始” →“設定” →“控制台” →“系統管理工具” →“服務”中把Wireless
Configuration 服務打開,此服務默認狀態下啟動類型是“手動”,把它改為“自動” 即
可.這樣的話在網卡內容中才會有“驗證”選項!