扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
ZDNET至顶网网络频道 8月30日 编译:本文将介绍如何配置ACS 5.2 (Access Control System) 使得交换机可以通过使用EAP-MD5的 802.1x 实现认证。
首先要做的是将交换机加入到ACS Server中。
登录进ACS server(假定服务器已经在网络上了),在浏览器输入服务器IP地址或服务器名,如下图所示:
图 A
在界面中选择Network Resources | Network Devices and AAA Clients. 如下图所示:
图 B
选择需要操作的交换机。在本例中,我要操作Sw1。由于交换机已经添加进服务器了,我们要做的就是校验共享密钥是否正确。这么做可以防止出现连接错误时让我们浪费太多的排错时间。
图 C
接下来我们添加一个用户。首先我们要选择 Users and Identity Stores | Internal Identity Stores |Users栏目。
然后点击下方的 Create 按钮建立一个用户,本例中我建立了一个叫做 bcarroll的用户。
图 D
下面我们需要设置一个设备过滤器。选择Policy Elements | Session Conditions | Network Conditions | Device Filters 然后点击 Create.
图 E
从图上你可以看到,我已经设置了过滤器名称,接下来就是通过Device Name选项卡选择设备名称并点击Create。这个过程可能会出现一些问题,如果你的浏览器禁止弹出窗口,那么你可能会在点击后看不到任何效果。如果你和我一样在使用Safari 浏览器,可以换Firefox浏览器试试。
当看到弹出窗口时(图F),我们可以选择对应的设备名称。注意,在这个弹出框中不能直接输入设备名,而是需要点击Select 按钮进行选择。如图G所示。
图F
图G
选择合适的交换机后点击 OK,然后回到ACS主界面。此时交换机会在主界面的列表中显示出来。
图H
接下来要建立一系列验证资料。这个工作与你企业的部门有关,比如HR 或 IT部门等。我们首先来选择Policy Elements | Authorization and Permissions | Network Access | Authorization Profiles。在本例中,我建立了HR Vlan Profile, IT Vlan Profile, 以及Sales Vlan Profile.如下图所示。
图I
在 Authorization Profiles项目下,我们需要进行适当配置。我就以HR Vlan profile来举例,为HR建立以下几个属性:
· Tunnel-Type
· Tunnel-Medium-Type
· Tunnel-Private-Group-ID
我是按照这种方式记忆的:我所指派的VLAN是 vlan 802.q, ID 号是5。于是HR就属于Vlan 5.
图J
接下来我们创建一个 Access Service。首先进入 Access Policies | Access Services。我在User Selected Service Type 中选择 Network Access 并保留默认的 Identity 和 Authorization两项。 点击下方的 Next按钮。
图K
接下来进入 Allowed Protocols 页面。我们可以在这个页面内选择希望使用的网络协议,在本文中,我们使用EAP-MD5。选择好协议后,点击Finish按钮。
图L
接下来会出现一个弹出窗口,询问是否要修改 Service Selection 策略来激活服务器。此时应选择Yes。接下来管理程序会将我们引领到规则页面。
图M
在规则页面,点击 Customize 添加 Device Filter 到右侧菜单。如果没有添加,将无法看到相应的条款。
图N
再添加或修改 Rule-1策略时,我们能看到相应的条款,如下图所示:
图O
到这里为止,我们就完成了对ACS的操控。
最后,编辑 Windows的网卡属性,使其支持802.1x验证和MD5 Challenge。在下次登录时,你就会看到验证窗口。
图P
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者