ACS+AD结合做802.1x认证.docVIP

一.? : 1.????? 架构图: 2.????? 设备配置: A.Cisco?Catalyst?3750-24TS交换机,Version?12.1(19)EA1dB.一台Windows?2003 Server?SP1服务器做为AD?Server C.一台Windows?2000?Server?SP4服务器做为ACS?Server和CA ServerD.一台Windows?2003 Server?SP1工作站做为终端接入设备E.Cisco?Secure?ACS?for?Windows?version?3.3.1 ? 二.? ADCA安装: ADCA安装(在此不做介绍),装CA的SERVER要在登入AD后再安装CA服务. 三.? AD: 1.????? 创建OU. 2.????? 在OU下建GROUP,比如:NETGroup,SYSGroup等 3.????? 再创建User,把对应的User加入到各自的Group中,便于管理,在ACS中也需要,在ACS配置中再介绍. ? 四.? ACS. 1.????? ACS的安装: A.???? 安装ACS的SERVER必须登入到AD中. B.???? ACS软件安装很简单,下一步下一步,到完成. C.???? 还需安装Java的插件. ? 2.????? ACS的配置: A.???? 在ACS服务器上申请证书:在ACS服务器浏览器上键9/certsrv进入证书WEB申请页面，登录用户采用域管理用户账号.选择“Request?a?certificate→Advanced?request→Submit?a?certificate?request?to?this?CA?using?a?form”, 接下来Certificate?Template处选择“Web?Server”,Name:处填入“TSGNET”,Key?Options:下的Key?Size:填入“1024”,同时勾选“Mark?keys?as?exportable”及“Use?local?machine?store”两个选项,然后submit.出现安全警告时均选择“Yes”,进行到最后会有Certificate?Installed的提示信息,安装即可. ? B.???? 进行ACS证书的配置:进入ACS的配置接口选择System Configuration→ACS Certificate Setup→Install ACS Certificate进入如下图片,填写申请的“TSGNET” 证书,再Submit. 按提示重启ACS服务,出现如下图片即OK: C.???? 配置ACS所信任的CA: 选择System Configuration→ACS Certificate Setup→Install ACS Certificate→Edit?Certificate?Trust?List”,选择AD?Server上的根证书做为信任证书,如下图所示: D.??? 重启ACS服务并进行PEAP设置:选择“System?Configuration→Global?Authentication?Setup”,勾选“Allow?EAP-MSCHAPv2”及“Allow?EAP-GTC”选项,同时勾选“Allow?MS-CHAP?Version?1?Authentication”“Allow?MS-CHAP?Version?2?Authentication”选项,如下图所示: ? ? E.???? 配置AAA?Client:选择“Network?Configuration→Add?Entry”,在“AAA?Client”处输入交换机的主机名，“AAA?Client?IP?Address”处输入C3750的管理IP地址,在“Key”处输入RADIUS认证密钥tsgacs,“Authenticate?Using”处选择“RADIUS(IETF)”,再Submit+Restart,如下图所示: ? ?? F.????? 配置外部用户数据库:选择“External?User?Databases→Database?Configuration→Windows?Database→Create?New?Configuration”,建一个Database的名称PCEBGIT.COM,Submit,如下图: 再选择“External?User?Databases→Database?Configuration→Windows?Database→Configure”,在Configure?Domain?List处将ACS?Server所在的域名称移动到“Domain?List”中.要注意一点ACS?Server应加入到域