linux服务器实现AD域认证,无线+ACS认证（本地或AD域认证）

+ACS(本地或AD域)

本地验证方法：

安装ACS4.0(win2003+sp2也可)

一个本地帐号

只输入CiscoSecure PAP的密码即可。

系统配置-----产生一个自签名证书

第一行输入以下，当然值是可以自己随便写的：

CN=guestofdcfs,O=dcfs,C=cn,

证书文件位置：c:\2.cer(位置随便放，名字随便起)

私有KEY文件位置：c:\2.pvk

填入私有KEY密码

其他不变

勾选安装产生的证书。

网络配置--- 增加一个AAA客户端

AAA client hostname 填入随便一个名称

IP地址填写无线设备的地址，LINKSYS的是192.168.1.1

KEY 输入一个自定义的密码

验证使用：选Radius(IETF)

其他不选，提交+应用。

系统配置---全局验证设置--

选择：

PEAP下的容许MSCHAPV2,容许EAP-GTC

EAP-MD5也容许

MS-CHAP 配置里的2个项目都容许。

--------提交+重启

检查AAA SERVER配置是正确，这里一般自动的。

本地+域帐号验证方法：(当帐号在本地不存在时，自动到域上认证)

前提：ACS机器先加入到域中

1.按照本地验证方法执行所有工作(除了配置本地帐号)

2.点 外部用户数据库--未知用户策略

将左边的外部用户数据库里的windows database选到右边，其他不变。

3.点 外部用户数据库--数据库配置

点配置，进入后，将可用的DOMAINS中的域选择到右边

MS-CHAP设置里勾选全部，WINDOWS EAP设置里勾选启用password change inside PEAP or EAP-FAST

机器验证 选择第一，第二项，其他不变。

提交

-------------------下面是为了让ACS本地帐号与域帐号映射对应以实现AD验证，ACS授权工作。如只作验证，无需以下工作 -------

4. 点 外部用户数据库--Database Group Mappings

进去后 点 Windows Database 进去

然后点 新配置 按钮

在检测到的域中 选择需要的域名 提交

在新出的画面中点 出现的域名 然后

在新出页面 点 增加映射 按钮 然后

在新出页面 NT GROUPS中选帐号存在的组，增加到下面框中。

然后选择要对应的ACS组号即可。

--------------------------------------------------------------------------------------------------------------

无线设备上的设置：

如果你愿意，你可以启用WPA方式，不过有些无线网卡不支持这玩意。

我的测试设备是linksys 无线安全里 选择 radius (效果就是，要访无线需先输入用户名和密码)，填入服务器IP地址，填写和服务器通信的KEY值(和ACS上到时候设置的一致即可)，然后自己设置一个 WEP密码。

无线网卡上的设置：

找到对应的无线名称，点属性，点验证卡片

启用802.1X， EAP类型选 受保护的EAP 然后点属性

取消验证服务器选项

验证方法选 MSCHAPV2

(如果客户段机器已经加域，则可以看看验证方法旁边的配置按钮)