联软桌面管控-配置802.1x认证结合华为交换机和AD域(有线环境)
802.1x是由IEEE定义的标准网络协议,是基于端口的网络接入控制协议(port based network access control);使用EAP over Lan(简称EAPOL)作为数据承载。 企业通过部署NAC,对企业网络的接入实现一个终端注册、安全检查、安全隔离、安全通知和安全修 复的闭环型接入流程。
需求:公司企业局域网,需要对新接入终端设备做网络管控,使用AD域账号密码进行认证。只有安装了联软客户端代理软件后,输入账号密码关联AD域账号密码通过认证后才能入网。
准备环境:Radius服务器,AD域控,支持802.1x的交换机,部署好的联软后台。
1.配置联软后台的radius服务器,radius服务器直接使用联软后台自带的UniRadius Server,省去了部署radius的麻烦。
Radius简单工作流程:
这些信息由agent发送给网络设备,再由网络设备转发给radius服务器,然后再由radius服务器发到目录服务器上进行身份验证。常见的目录服务器有微软的AD,各大主流厂商支持标准LDAP协议的LDAP服务器。
2.同步本地AD域的组织架构信息到联软服务器
3.配置准入控制
4.入网身份验证配置AD/LDAP用户验证结合AD域
5.入网安全规则配置
6.入网安全检查配置。(检查入网设备符不符合策略要求)
7.客户化客户端选择认证方式
8.安装客户化好的agent软件,查看用户入网状态,登录域用户和密码认证成功。
交换机侧配置
配置网络互通。
配置AAA,实现Switch通过RADIUS服务器对接入用户进行身份认证。
具体配置包括:配置RADIUS服务器模板、AAA方案以及认证域,并在认证域下绑定RADIUS服务器模板与AAA方案。
配置802.1X认证,实现对办公区内员工的网络访问权限进行严格控制。
具体配置包括:配置802.1X接入模板配置认证模板接口下使能802.1X认证。
配置AAA。# 创建并配置RADIUS服务器模板“rd1”。
[Switch] radius-server template rd1
[Switch-radius-rd1] radius-server authentication 10.1.49.100 1812
[Switch-radius-rd1] radius-server shared-key cipher [email protected]
[Switch-radius-rd1] quit
创建AAA认证方案“abc”并配置认证方式为RADIUS。
[Switch] aaa
[Switch-aaa] authentication-scheme abc
[Switch-aaa-authen-abc] authentication-mode radius
[Switch-aaa-authen-abc] quit
创建认证域“huawei.com”,并在其上绑定AAA认证方案“abc”与RADIUS服务器模板“rd1”。
[Switch-aaa] domain huawei.com
[Switch-aaa-domain-huawei.com] authentication-scheme abc
[Switch-aaa-domain-huawei.com] radius-server rd1
[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit
创建认证域“isp1”,并在其上绑定AAA方案“abc”与RADIUS服务器模板“rd1”。
[Switch-aaa] domain isp1
[Switch-aaa-domain-isp1] authentication-scheme abc
[Switch-aaa-domain-isp1] radius-server rd1
[Switch-aaa-domain-isp1] quit
[Switch-aaa] quit
配置全局默认域为“isp1”。用户进行接入认证时,以格式“[email protected]”输入用户名即可在isp1域下进行aaa认证。如果用户名中不携带域名或携带的域名不存在,用户将会在默认域中进行认证。
[Switch] domain isp1
测试用户是否能够通过RADIUS模板的认证。(已在RADIUS服务器上配置了测试用户test,用户密码Huawei2012)
[Switch] test-aaa test Huawei2012 radius-template rd1
Info: Account test succeeded.
在Switch上配置802.1X认证。
将NAC配置模式切换成传统模式。本步骤仅适用交换机V200R005C00及其之后版本。
[Switch] undo authentication unified-mode
Warning: Switching the authentication mode will take effect after system restart
. Some configurations are invalid after the mode is switched. For the invalid co
mmands, see the user manual. Save the configuration file and reboot now? [Y/N] y
在全局和接口下使能802.1X认证。
[Switch] dot1x enable
[Switch] interface gigabitethernet0/0/1
[Switch-GigabitEthernet0/0/1] dot1x enable
[Switch-GigabitEthernet0/0/1] dot1x authentication-method eap
配置MAC旁路认证。
[Switch-GigabitEthernet0/0/1] dot1x mac-bypass
若管理员在认证服务器上修改了某一用户的访问权限、授权属性等参数,此时如果用户已经在线,则需要及时对该用户进行重认证以确保用户的合法性。配置对在线802.1X用户进行重认证功能后,设备会把保存的在线用户的认证参数(用户上线后,设备上会保存该用户的认证信息)发送到认证服务器进行重认证,若认证服务器上用户的认证信息没有变化,则用户正常在线;若用户的认证信息已更改,则用户将会被下线,此后用户需要重新进行认证。
https://support.huawei.com/enterprise/zh/doc/EDOC1100086515
以上是有线802.1x的基础配置。
配置完以后还有涉及到其他问题:
1.客户端认证不通过无法获取IP地址怎么办?
2.安全检查不通过无法联网,需要配置联软后台的修复建议,还要配置交换机动态vlan联网修复。
需要看进阶文章联软桌面管控-802.1x认证不通过无法联网配置动态VLAN和ACL自动下发