您的位置：首页 > 其它

OSV配合windows 2008 r2 NPS 搭建802.1X认证环境

2013-02-28 18:55 561 查看

前言

802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

802.1X提供安全的接入认证，但数据（包括操作系统）存储于本地，数据可能有失窃的危险，比如富士康和比亚迪的官司，在比如陈冠希事件。一些对数据安全要求比较高的企业，政府，一直寻求，即要管好接入端的安全，又要管好数据端安全，做到本地无存储，对数据随需所取的PC应用环境。

OSV配合自己实现的802.1X认证客户端，即实现了对网络接入的数据安全性要求，也实现了对PC的IO虚拟化，通过对数据实现虚拟化派发，用户桌面环境的认证派发，和数据的集中存储，集中管理。通过windows AD 服务器，对用户帐户进行统一管理。

实施准备

1，支持802.1X认证交换机一台实验环境：Cisco 2960 （ip:192.168.88.249 netmask 255.255.255.0）

2， Windows 2008 r2 AD 域服务器一台（ip: 192.168.88.188 Netmask:255.255.255.0 ）

3， Windows 2008 r2 NPS服务器一台 (ip: 192.168.88.189 Netmask:255.255.255.0 DNS:192.168.88.188)

4，客户机一台

5，已安装，配置好的OSV 服务器一台（IP：192.168.88.10）

Cisco 交换机配置

cisco>en 进入特权模式

Password:

cisco#configure terminal 进入全局配置模式

cisco(config)#interface vlan1 进入接口配置模式，配置Vlan1

cisco(config-if)#ip address 192.168.88.249 255.255.255.0 配置Vlan1的IP

cisco(config-if)#exit 通出

cisco(config)#aaa new-model

cisco(config)#aaa authentication dot1x default group radius

cisco(config)#aaa authorization network default group radius

cisco(config)#dot1x system-auth-control

cisco(config)#radius-server host 192.168.88.251 auth-port 1812 acct-port 1813 key OSV 配置802.1X的认证服务器IP，密钥为OSV 记住此密钥，配置RADIUS时用到。

cisco(config)#interface fastEthernet 0/X 配置需要进行认证的端口

cisco(config-if)#switchport mode access

cisco(config-if)# authentication port-control auto

cisco(config-if)#dot1x port-control auto

cisco(config-if)#dot1x reauthentication

cisco(config-if)#dot1x timeout reauth-period 300

cisco(config-if)#authentication host-mode multi-auth/multi-host/signal-host/mulit-domain 交换机端口下连接多台PC时(通过Hub或交换机)需要配置这个命令，默认只支持对一台PC认证。

cisco(config-if)#authentication violation shutdown/pretect/replace/restrict 802.1X shutdown规则

cisco(config-if)#dot1x pae both

cisco(config-if)#spanning-tree portfast 打开端口的快速转发cisco(config-if)#exit

cisco(config)#exit

注：配置完成后，要测试交换机与RADIUS是否可通信，可在交换机上ping RADIUS服务器进行判断。

Windows AD 域服务器架设
Step1: 打开开始菜单—计算机-管理

Step2:在弹出的服务管理器上点击右键，添加角色

Step3: 开始界面

Step4:选择AD域服务器角色，默认下一步。

Step5: 开始，运行 dcpromo.exe 执行AD安装

Step6: AD安装向导

Step 7 选择在新林中新建域

Step 8: 输入FQDN域名

Step 9: 默认下一步

Step 9: 选择 windows server 2008 r2

Step 10 : 默认下一步

Step 11 : 默认下一步

Step 12 : 默认下一步

Step 13 : 默认下一步，开始自动安装并配置AD

Step 14 : 安装完成后，打开Users 点击右键，新建组，

Step 15 : 新建一个 test-osv 的用户组

Step 16 : 加入到 Domain Users 组

Step 17：新建用户，并加入到test-osv组

NPS 服务器架设

Step1 : 修改NPS服务器的DNS为域控服务器

Step2 ：将NPS服务器加入到域中

Step3 : 使用域管理帐户登录NPS Server

1,部署CA服务器

Step 1: 服务管理器—添加角色–ADCS

Step2 : 勾选证书颁发机构，颁发机构WEB注册，联机响应程序，

Step 3 : 选择企业

Step3 选择根证书

Step 4 默认下一步

Step 5 默认下一步

Step 6 默认下一步

Step 7 默认下一步

Step 8 默认下一步

Step 9 默认下一步

Step 10 默认下一步

Step 11 点击安装

Step 11 制作Computer 证书，开始—运行—MMC—文件—添加/删除管理单元

Step 12 ：点击证书—添加

Step 13 : 选择计算机帐户

Step 15 : 默认下一步

Step 16 : 选择个人—证书—申请证书

Step 17 ：默认下一步

Step 18 ：默认下一步

Step 18 ：选择计算机

Step 19 ：默认下一步

Step 20 : 完成

2,部署NPS服务器

Step1 : 服务管理器—添加角色—网络策略和访问服务

Step 2 : 选择网络策略服务器，健康注册机构，主机凭据授权协议

Step 3 : 选择使用现有证书

Step 4 : 默认下一步

Step 5 : 选择我们刚刚新建的证书用于SSL加密

Step6 : 开始安装

Step 7 : 点击进入NPS管理器，选择配置NAP

Step 8 : 选择 IEEE 802.1X （有线）

Step 9 : 添加 RADIUS Client 也就是交换机IP和交换机的通信密钥（在交换机中设置中，已经设置）

Step 10 : 完成后点击下一步

Step 11 ：默认下一步

Step 11 ：默认后完成

Step 12 ：启用MD5验证支持

在RADIUS服务器上，导入注册表文件：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\4]

"FriendlyName"="MD5-Challenge"

"RolesSupported"=dword:0000000a

"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\

00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,52,00,\

61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00

"InvokeUsernameDialog"=dword:00000001

"InvokenPasswordDialog"=dword:00000001

Step 13 : 打开NPS管理器，点击策略—连接请求策略—NAP 802.1X(有线)