AD+802.1X+RADIUS认证配置手册

AD+RADIUS+802.1X认证配置手册一、AD域安装（SERVER2008）1、命令提示符2、3、输入dcpromo打开AD服务器安装向导。会弹出如下错误：然后一路下一步，中途会检查DNS设置大约5分钟左右然后重启一路下一步直到安装至此证书服务安装完成，然后给这台服务器申请证书，如下二、RADIUS安装与配置三、802.1x配置1.2960交换机配置交换机全局配置：Switch(config)#aaanew-model//开启AAA认证Switch(config)#aaaauthenticationdot1xdefaultgroupradius//dot1x采用radius认证Switch(config)#radius-serverhost192.168.6.200auth-port1812acct-port1813key123456//指定radius服务器的IP地址、端口号及与radius服务器通讯的密钥为123456配置radius服务器时需要用到此密钥Switch(config)#dot1xsystem-auth-control//全局启用dot1x认证交换机接口配置：Switch(config)#interfaceFastEthernet0/1//进入1号接口Switch(config-if)#switchportmodeaccess//指定接口为access类型，只有此模式下的端口才支持802.1xSwitch(config-if)#authenticationport-controlauto//接口启用dot1x认证，并指定接口认证控制模式为自动Switch(config-if)#dot1xpaeauthenticator//设定这个接口为802.1x认证接口（即弹出提示用户输入用户密码的窗口，并负责将用户输入的用户密码传给radius服务器进行认证）Switch(config-if)#spanning-treeportfast//加快认证的速度，可选Switch(config-if)#authenticationhost-modemulti-auth//指定该接口的认证模式为多用户认证（即该接口下接交换机时要启用这个模式，可选）Switch(config-if)#authenticationviolationprotect//当身份验证失败时将此端口至于受保护的模式（可选）Switch(config)#interfacevlan1//进入vlan1虚拟接口Switch(config-if)#ipaddress192.168.6.200255.255.255.0//配置交换机的管理地址（即和radius服务器通讯的IP地址）此地址在配置radius服务器时要用到2.华为5600交换机配置全局配置：[Quidway]dot1x//全局开启dot1x认证[Quidway]dot1xauthentication-methodeapmd5-challenge//指定dot1x采用的认证方法[Quidway]radiusscheme802.1x//定义radius认证服务器802.1x的相关属性[Quidway-radius-802.1x]server-typestandard//定义radius服务采用标准形式[Quidway-radius-802.1x]primaryauthentication192.168.6.200//指定认证服务器的地址[Quidway-radius-802.1x]keyauthentication123456//指定认证与认证服务器通讯的密钥[Quidway-radius-802.1x]user-name-formatwithout-domain//定义登陆用户名的格式[Quidway]domain802.1x//定义802.1x域的相关属性[Quidway-isp-802.1x]schemeradius-scheme802.1x//应用上面定于的radius服务器802.1x[Quidway-isp-802.1x]accountingoptional//设置审计为可选[Quidway]domaindefaultenable802.1x//设定默认域采用802.1x域接口配置：[Quidway]interfaceg1/0/12//进入12号接口[Quidway-GigabitEthernet1/0/12]portlink-typeaccess//指定端口模式为access[Quidway-GigabitEthernet1/0/12]dot1x//开启dot1x认证[Quidway-GigabitEthernet1/0/12]dot1xport-controlauto//端口控制采用自动模式[Quidway-GigabitEthernet1/0/12]dot1xport-methodmacbased//采用基于mac地址的认证四、PC机配置（win7）重启在PC重启的过程中进入AD域服务器，将刚刚加入域的计算机与之前创建好的用户test绑定，意思是只有test用户可以登录刚刚加入域的计算机。PC重启完成，然后用test用户登陆刚刚加入域的计算机此过程可能需要输入域管理员的账密，输入即可（一般为administrator）然后会弹出确认框，点击是，然后重新打开浏览器申请证书更改本地连接属性时会弹出需要域管理员的权限才可以修改属性，输入域管理员的账密即可（一般为administrator）