NetBuddy.Org论坛 - 【原创】以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证


	欢迎访客 ( 登陆 \| 注册 )

NetBuddy.Org论坛 ->技术论坛 ->网络世界

前往页面: (2) [1] 2 ( 前往第一篇未阅读文章 )

【原创】以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证

« 上一篇主题 | 下一篇主题 »

跟踪主题 | 邮寄主题 | 打印主题

Alien

1. 【原创】以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证

HP : 0 / 404

MP : 112 / 6437

EXP : 17%

名动江湖

成员等级: 17
发表总数: 338
金币总数: 694
所属组别: 核心成员
注册日期: 2003/07/28

以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证

设备情况：
* Cisco Catalyst 2950T-24交换机，Version 12.1(22)EA1b
* 一台Windows 2000 Server SP1服务器做为AD Server及CA Server
* 一台Windows 2000 Server SP4服务器做为ACS Server
* 一台Windows XP SP2工作站做为终端接入设备
* Cisco Secure ACS for Windows version 3.2.3

严重说明：因为MS CA证书服务的一个缺陷，在某些客户机上使用WEB页面进行证书申请时会出现“Downloading ActiveX Control”提示信息后不能继续下一步的错误，请参阅MS QB323172下载相关补丁进行处理，并请参阅文末的tips：
http://support.microsoft.com/default.aspx?...kb;en-us;330389
http://support.microsoft.com/default.aspx?...kb;en-us;323172

拓扑图见文末：

传统802.1x认证采用MD5-Challenge认证，用户在接入网络时需输入用户名和口令，安全性也相对薄弱。PEAP和EAP-TLS都是利用了TLS/SSL隧道，PEAP只使用了服务器端的认证，只是服务器端拥有证书并向用户提供证明，而EAP-TLS使用了双向认证，ACS服务器和客户端均拥有证书并进行相互间的身份证明。

一、配置Secure ACS

1、在ACS服务器上申请证书
在AD Server上做好AD安装及证书服务设置后，在ACS服务器浏览器上键入http://192.168.168.196/certsrv进入证书WEB申请页面，登录用户采用域管理用户账号。
选择“Request a certificate→Advanced request→Submit a certificate request to this CA using a form”，接下来Certificate Template处选择“Web Server”，Name：处填入“TestACS”，Key Options:下的Key Size:填入“1024”，同时勾选“Mark keys as exportable”及“Use local machine store”两个选项，然后submit。出现安全警告时均选择“Yes”，进行到最后会有Certificate Installed的提示信息；

2、进行ACS的证书配置
进入ACS配置界面后选择“System Configuration→ACS Certificate Setup→Install ACS Certificate→Use certificate from storage→Certificate CN”，填入上一步的CA CN名“TestACS”，然后submit；

3、配置ACS所信任的CA
再选择“System Configuration→ACS Certificate Setup→Edit Certificate Trust List”，选择AD Server上的根证书做为信任证书；

4、重启ACS服务并进行PEAP设置
选择“System Configuration→Service Control→Restart”重启服务；
选择“System Configuration→Global Authentication Setup”，勾选“Allow EAP-MSCHAPv2”及“Allow EAP-GTC”选项，同时勾选“Allow MS-CHAP Version 1 Authentication”及“Allow MS-CHAP Version 2 Authentication”选项；

5、配置AAA Client
选择“Network Configuration→Add Entry”，在“AAA Client”处输入交换机的主机名，“AAA Client IP Address”处输入C2950T的管理IP地址，在“Key”处输入RADIUS认证密钥，“Authenticate Using”处选择“RADIUS(IETF)”；

6、配置外部用户数据库
选择“External User Databases→Database Configuration→Windows Database→Create New Configuration→Configure”，在Configure Domain List处将ACS Server所在的域名移动到“Domain List”中。这里要注意的一点是ACS Server所在机器这时应已加入到域中，同时“Dialin Permission”中的默认勾选项应去掉，如不去掉的话，域管理用户和终端用户均需设置Dial-in访问权限。
同时在“Windows EAP Settings”的“Machine Authentication”下勾选“Enable PEAP machine authentication”选项，“EAP-TLS and PEAP machine authentication name prefix.”处使用默认的“host/”不用改动。
再选择“External User Databases→Unknown User Policy→Check the following external user databases”，将“Windows Database from External Databases”移动到右边的Selected Databases窗口中。
做完修改后再在Service Control中重启服务；

二、配置AAA客户端及802.1x

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
!---和802.1x相关的AAA设置

dot1x system-auth-control
!---打开802.1x功能

interface FastEthernet0/2
switchport mode access
dot1x port-control auto
spanning-tree portfast
!---在F0/2口上打开802.1x端口控制功能

radius-server host 192.168.168.155 key xxxxxx
!---定义RARIUS Server

三、配置终端接入设备

1、在AD Server上配置MS Certificate Machine Autoenrollment
在AD Server的管理工具中打开“Active Directory Users and Computers”，在域名上点右键选择Properties，然后选择“Group Policy→Default Domain Policy→Edit”，然后选择“Computer Configuration→Windows Settings→Security Settings→Public Key Policies→Automatic Certificate Request Settings”，在菜单项中选择“Action→New→Automatic Certificate Request→Computer”，选中CA服务器后按下一步结束配置；

2、将终端设备加入域
这个过程大家都会，不多说了；

3、在终端设备上手动安装根证书
如已配置“Certificate Machine Autoenrollment”，此步骤可忽略。
登录域后在浏览器上键入http://192.168.168.196/certsrv进入证书WEB申请页面，登录用户采用域管理用户账号。
选择“Retrieve the CA certificate or certificate revocation list→Download CA certificate→Install Certificate→Automatically select the certificate store based on the type of the certificate”，按下一步结束证书安装；

4、进行终端设备上的802.1x认证设置
在以太网卡的连接属性中选择“Authentication→Enable IEEE 802.1x authentication for this network”，EAP type选为“Protected EAP(PEAP)”，勾选“Authenticate as computer when computer information is available”，然后再点Properties，在EAP属性窗口中选择“Validate server certificate”，同时在“Trusted Root Certificastion Authorities:”窗口中选择对应的ROOT CA，这里为acs-ca，Authentication Method选成“Secure password (EAP-MSCHAP v2)”。再点Configure按钮确保“Automatically use my Windows logon name and password (and domain if any)”选项已被选中；

四、结果查看

所有配置完成后查看认证结果：

Switch#sh dot1x int f0/2
Supplicant MAC <Not Applicable>
AuthSM State = CONNECTING
BendSM State = IDLE
PortStatus = UNAUTHORIZED
MaxReq = 2
HostMode = Single
Port Control = Auto
QuietPeriod = 60 Seconds
Re-authentication = Disabled
ReAuthPeriod = 3600 Seconds
ServerTimeout = 30 Seconds
SuppTimeout = 30 Seconds
TxPeriod = 30 Seconds
Guest-Vlan = 0

Switch#sh dot1x int f0/2
Supplicant MAC 000b.6a2a.03cb
AuthSM State = AUTHENTICATING
BendSM State = RESPONSE
PortStatus = UNAUTHORIZED
MaxReq = 2
HostMode = Single
Port Control = Auto
QuietPeriod = 60 Seconds
Re-authentication = Disabled
ReAuthPeriod = 3600 Seconds
ServerTimeout = 30 Seconds
SuppTimeout = 30 Seconds
TxPeriod = 30 Seconds
Guest-Vlan = 0

Switch#sh dot1x int f0/2
Supplicant MAC 000b.6a2a.03cb
AuthSM State = AUTHENTICATED
BendSM State = IDLE
PortStatus = AUTHORIZED
MaxReq = 2
HostMode = Single
Port Control = Auto
QuietPeriod = 60 Seconds
Re-authentication = Disabled
ReAuthPeriod = 3600 Seconds
ServerTimeout = 30 Seconds
SuppTimeout = 30 Seconds
TxPeriod = 30 Seconds
Guest-Vlan = 0
!---认证通过

查看终端设备网络连接提示，此时已为“Authentication succeeded.”

五、TIPS

* 注意Windows客户端在安装根证书时应保持和网络的正常连接，如此时在端口上设置了802.1x，则网络是断开的；
* AD Server上的证书服务应在IIS服务安装之后再装，否则certificate web enrollment不能成功；
* MS QB323172 hotfix应在证书服务安装之后再进行，如已安装了此hotfix后才安装证书服务，则需在安装证书服务后再安装一遍此hotfix；
* MS QB323172 hotfix是针对Windows SP3以前的补丁，如已安装了SP4则此hotfix不能安装。但我装了SP4后“Downloading ActiveX Control”出错信息仍然存在，只好用SP1的版本安装后再装此hotfix问题方消除，不知何故；
* 如是在实际环境中使用，应确保AAA client到AAA server的UDP 1812/1813端口没被无意中被block；
* ACS版本应尽量新，因为那个众所周知的Java出错问题，安装ACS机器的OS最好是E文版的OS；
* 配置ACS Server前先确保ACS Server已加入到域中；
* ACS Server中的“Reports and Activity→Failed Attempts→Failed Attempts XXX.csv”能给你些认证出错上的帮助；
* 最后的最后，ACS Server和Windows客户机上的安装证书可通过MMC中的Console Root→Certificates (Local Computer) →Trusted Root Certification Authorities→Certificates及Console Root→Certificates - Current User→Trusted Root Certification Authorities→Certificates进行校验。

EAP-TLS的配置和PEAP是类似的，唯一不同的是Windows客户机上要多做一次证书申请的过程，同时ACS Server上的协议勾选为EAP-TLS即可，晚了，下次补充了。

QUOTE

补充：EAP-TLS的配置

一、配置Secure ACS

1、在ACS服务器上申请证书
同PEAP部分；

2、进行ACS的证书配置
同PEAP；

3、配置ACS所信任的CA
同PEAP；

4、重启ACS服务并进行EAP-TLS设置
选择“System Configuration→Service Control→Restart”重启服务；
选择“System Configuration→Global Authentication Setup”，勾选“Allow EAP-TLS”选项，同时勾选“Certificate SAN comparision”、“Certificate CN comparision”及“Certificate Binary comparision”选项；

5、配置AAA Client
同PEAP；

6、配置外部用户数据库
同PEAP。
唯一不同是在“Windows EAP Settings”的“Machine Authentication”下勾选“Enable EAP-TLS machine authentication”选项，“EAP-TLS and PEAP machine authentication name prefix.”处使用默认的“host/”不用改动；

二、配置AAA客户端及802.1x
同PEAP

三、配置终端接入设备

1、在AD Server上配置MS Certificate Machine Autoenrollment
同PEAP；

2、将终端设备加入域
同PEAP；

3、为终端设备申请证书
在ACS服务器浏览器上键入http://192.168.168.196/certsrv进入证书WEB申请页面，登录用户采用当前用户账号。
选择“Request a certificate→Advanced request→Submit a certificate request to this CA using a form”，接下来Certificate Template处选择“User”，Key Options:下的Key Size:填入“1024”，然后submit。出现安全警告时均选择“Yes”，在CA Server上issue这个certificate，终端设备上会有Certificate Issued的提示信息，然后安装这个证书，如有需要安装CA自己的证书的提示信息，选择“Yes”；

4、进行终端设备上的802.1x认证设置
在以太网卡的连接属性中选择“Authentication→Enable IEEE 802.1x authentication for this network”，EAP type选为“Smart Card or other Certificate”，勾选“Authenticate as computer when computer information is available”，然后再点Properties，在Smart Card属性窗口中选择“Use a certificate on this computer”、“Use simple certificate selection(Recommended)”及“Validate server certificate”，同时在“Trusted Root Certificastion Authorities:”窗口中选择对应的ROOT CA，这里为acs-ca。

转贴请注明作者及出处

附带图片

发表于2004/09/10, 18:01

小宝

2. Re:【原创】以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证...

HP : 0 / 482

MP : 160 / 7277

EXP : 31%

名动江湖

成员等级: 20
发表总数: 482
金币总数: 786
所属组别: 中级成员
注册日期: 2003/11/12

我第一个
强烈支持

有一天，我想象到了自己以后的生活：娶一个姿色平庸但有市户口和固定工作的女人。恩爱个一年半载之后彼此厌倦，她摔碟子我砸碗，她整日以泪洗面怨自己命苦遇人不淑，我每天借酒消愁叹怀才不遇人生苦短。墙角坐着一个屁大的孩子涕泗横流仰天长嚎―――天知道是谁家的孩子？

发表于2004/09/10, 19:00

菜鸟进阶中

3. Re:【原创】以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证...

HP : 0 / 279

MP : 57 / 3961

EXP : 17%

江湖奇侠

成员等级: 12
发表总数: 172
金币总数: 263
所属组别: 普通成员
注册日期: 2004/03/2

牛b 非常感谢楼主以及和楼主共享自己心得的朋友让我们这些小菜鸟能够早日的飞翔！！

爱了就别伪装，迷失了也别彷徨。
不管未来怎样，都要保持坚强。

发表于2004/09/10, 19:48

comper

4. Re:【原创】以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证...

HP : 0 / 224

MP : 40 / 2951

EXP : 98%

江湖豪客

成员等级: 9
发表总数: 120
金币总数: 142
所属组别: 普通成员
注册日期: 2004/07/10

支持楼主！

发表于2004/09/10, 20:33

麦子

5. Re:【原创】以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证...

HP : 250 / 1254

MP : 1625 / 21982

EXP : 16%

迟则生变

成员等级: 51
发表总数: 4876
金币总数: 307
所属组别: 管理员
注册日期: 2003/01/9

呵呵，坐享其成一把。

小Tips:

dot1x timeout tx-period 10 //减少认证超时时限，保证802.1X认证不影响DHCP

dot1x guest-vlan 33 //允许用户在认证失败时能够访问一些资源，如申请证书

没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我，也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.

发表于2004/09/10, 21:33

fish

6. Re:【原创】以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证...

HP : 0 / 18

MP : 2 / 232

EXP : 73%

新手上路

成员等级: 1
发表总数: 8
金币总数: 18
所属组别: 普通成员
注册日期: 2004/09/10

看不懂，还是不够级别！

[FONT=Times][SIZE=7][COLOR=blue]

发表于2004/09/11, 08:41

fish

7. Re:【原创】以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证...

HP : 0 / 18

MP : 2 / 232

EXP : 73%

新手上路

成员等级: 1
发表总数: 8
金币总数: 18
所属组别: 普通成员
注册日期: 2004/09/10

麦子，师父，我拜你为师好么？师父在上请受我一拜（

不用3拜拉）。

[FONT=Times][SIZE=7][COLOR=blue]

发表于2004/09/11, 08:43

peak8212

8. Re:【原创】以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证...

HP : 0 / 539

MP : 203 / 7159

EXP : 59%

名动江湖

成员等级: 22
发表总数: 609
金币总数: 458
所属组别: 高级成员
注册日期: 2004/06/24

顶一把

一教练带一帮队员参加数学考试，教练对考官说：“我们的队员基础差，请您考个简单点的吧。”
考官说：“没问题。”　问：“7乘以7等于几？”
队员考虑半天小心的说：“得49？”
没等考官发话，教练站起来对考官说：“您能不能再给他一次机会？”

发表于2004/09/11, 09:39

带脚镣跳舞

9. Re:【原创】以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证...

HP : 73 / 735

MP : 407 / 11356

EXP : 41%

名动江湖

成员等级: 30
发表总数: 1222
金币总数: 578
所属组别: 核心成员
注册日期: 2003/09/27

强学习中

凡是纸马的帖子一定要看
凡是纸马的帖子一定要顶

签名
--------------
两个凡是把个人崇拜进行到底

发表于2004/09/11, 09:54

麦子

10. RE: 【原创】以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证...

HP : 250 / 1254

MP : 1625 / 21982

EXP : 16%

迟则生变

成员等级: 51
发表总数: 4876
金币总数: 307
所属组别: 管理员
注册日期: 2003/01/9

QUOTE

麦子，师父，我拜你为师好么？师父在上请受我一拜（

不用3拜拉）。

拜师不要，交朋友欢迎。

常来NBO和大家多交流，比拜什么老师都强啊。

发表于2004/09/11, 21:49

lizhanglical

11. Re:【原创】以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证...

HP : 80 / 809

MP : 512 / 10500

EXP : 36%

名动江湖

成员等级: 33
发表总数: 1538
金币总数: 580
所属组别: 高级成员
注册日期: 2004/07/30

QUOTE

拜师不要，交朋友欢迎。常来NBO和大家多交流，比拜什么老师都强啊。

说实在的，偶是常来（上网的第一件事就是进NBO），但很少看到你（麦子）在上面呀。

上次和大勇MSN，很是愉快。

学无止境

发表于2004/09/11, 22:56

Alien

12. Re:【原创】以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证...

HP : 0 / 404

MP : 112 / 6437

EXP : 17%

名动江湖

成员等级: 17
发表总数: 338
金币总数: 694
所属组别: 核心成员
注册日期: 2003/07/28

EAP-TLS部分已补充。

发表于2004/09/13, 10:59

err0r

13. Re:【原创】以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证...

HP : 0 / 1

MP : 0 / 0

EXP : 0%

新手上路

成员等级: 1
发表总数: 2
金币总数: 14
所属组别: 普通成员
注册日期: 2004/11/18

有谁测试过在IAS上进行EAP-TLS证书认证？

我是已经快崩溃了~

MD5方式很简单~基本没什么问题。

发表于2004/11/24, 16:06

happydj

14. Re:【原创】以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证...

HP : 103 / 1033

MP : 956 / 16145

EXP : 33%

名动江湖

成员等级: 42
发表总数: 2868
金币总数: 1,178
所属组别: 核心成员
注册日期: 2003/09/4

做个记号，谢谢Alien！

15号上机考试时就碰到了这个题目(完全一样的)，但是没一点思路，真是失败。

面壁思过中......

发表于2006/05/19, 11:19

comper

15. Re:【原创】以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证...

HP : 0 / 224

MP : 40 / 2951

EXP : 98%

江湖豪客

成员等级: 9
发表总数: 120
金币总数: 142
所属组别: 普通成员
注册日期: 2004/07/10

好贴！

值得收藏！

发表于2006/05/19, 16:58

newcomer

16. Re:【原创】以太网交换机使用PEAP及EAP-TLS协议进行802.1x认证...

HP : 0 / 243

MP : 45 / 3207

EXP : 75%

江湖豪客

成员等级: 10
发表总数: 137
金币总数: 145
所属组别: 普通成员
注册日期: 2004/07/9