配置ACS 5.2实现网络用户认证

　　ZDNET至顶网网络频道 8月30日 编译：本文将介绍如何配置ACS 5.2 (Access Control System) 使得交换机可以通过使用EAP-MD5的 802.1x 实现认证。

　　首先要做的是将交换机加入到ACS Server中。

　　登录进ACS server(假定服务器已经在网络上了)，在浏览器输入服务器IP地址或服务器名，如下图所示：

　　图 A

　　在界面中选择Network Resources | Network Devices and AAA Clients. 如下图所示：

　　图 B

　　选择需要操作的交换机。在本例中，我要操作Sw1。由于交换机已经添加进服务器了，我们要做的就是校验共享密钥是否正确。这么做可以防止出现连接错误时让我们浪费太多的排错时间。

　　图 C

　　接下来我们添加一个用户。首先我们要选择 Users and Identity Stores | Internal Identity Stores |Users栏目。

　　然后点击下方的 Create 按钮建立一个用户，本例中我建立了一个叫做 bcarroll的用户。

　　图 D

　　下面我们需要设置一个设备过滤器。选择Policy Elements | Session Conditions | Network Conditions | Device Filters 然后点击 Create.

　　图 E

　　从图上你可以看到，我已经设置了过滤器名称，接下来就是通过Device Name选项卡选择设备名称并点击Create。这个过程可能会出现一些问题，如果你的浏览器禁止弹出窗口，那么你可能会在点击后看不到任何效果。如果你和我一样在使用Safari 浏览器，可以换Firefox浏览器试试。

　　当看到弹出窗口时(图F)，我们可以选择对应的设备名称。注意，在这个弹出框中不能直接输入设备名，而是需要点击Select 按钮进行选择。如图G所示。

　　图F

　　图G

　　选择合适的交换机后点击 OK，然后回到ACS主界面。此时交换机会在主界面的列表中显示出来。

　　图H

　　接下来要建立一系列验证资料。这个工作与你企业的部门有关，比如HR 或 IT部门等。我们首先来选择Policy Elements | Authorization and Permissions | Network Access | Authorization Profiles。在本例中，我建立了HR Vlan Profile, IT Vlan Profile, 以及Sales Vlan Profile.如下图所示。

　　图I

　　在 Authorization Profiles项目下，我们需要进行适当配置。我就以HR Vlan profile来举例，为HR建立以下几个属性：

　　· Tunnel-Type

　　· Tunnel-Medium-Type

　　· Tunnel-Private-Group-ID

　　我是按照这种方式记忆的：我所指派的VLAN是 vlan 802.q， ID 号是5。于是HR就属于Vlan 5.

　　图J

　　接下来我们创建一个 Access Service。首先进入 Access Policies | Access Services。我在User Selected Service Type 中选择 Network Access 并保留默认的 Identity 和 Authorization两项。 点击下方的 Next按钮。

　　图K

　　接下来进入 Allowed Protocols 页面。我们可以在这个页面内选择希望使用的网络协议，在本文中，我们使用EAP-MD5。选择好协议后，点击Finish按钮。

　　图L

　　接下来会出现一个弹出窗口，询问是否要修改 Service Selection 策略来激活服务器。此时应选择Yes。接下来管理程序会将我们引领到规则页面。

　　图M

　　在规则页面，点击 Customize 添加 Device Filter 到右侧菜单。如果没有添加，将无法看到相应的条款。

　　图N

　　再添加或修改 Rule-1策略时，我们能看到相应的条款，如下图所示：

　　图O

　　到这里为止，我们就完成了对ACS的操控。

　　最后，编辑 Windows的网卡属性，使其支持802.1x验证和MD5 Challenge。在下次登录时，你就会看到验证窗口。

　　图P