内网安全三:利用AD + NPS实现有线的802.1x准入认证功能
作者:互联网
实现环境
GNS3桥接两台虚拟机,一台win server 2008,一台win 7
拓扑:
预先配置
服务器(这里以win2008为例)预先安装好服务,如AD、DNS、DHCP等:
在服务器上创建账号user1
DHCP上创建好对应网段的地址池
PC入域
在AD上创建4个用户组
服务器配置
复制RAS和IAS服务器和工作站身份验证模板
在证书模板中新建两个模板
编辑组策略
AD申请证书
配置NPS策略
客户端配置
电脑在运行输入services.msc进行设置
PC使用gpupdate /force获取证书
交换机配置
aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius ip radius source-interface Vlan10 ! radius server WIN2008R2 address ipv4 192.168.10.11 key 0 123 ! dot1x system-auth-control ! interface gigabitEthernet0/3 switchport access vlan 30 authentication host-mode multi-auth authentication port-control auto dot1x pae authenticator ! radius-server vsa send authentication
以上是根据策略来分配vlan的,其实还有很多种情况,如果用户身份认证,MAC认证,Guest-vlan等,截图太多了。。。有兴趣的同学可以研究一下
用户身份认证:
MAC认证:
标签:AD,认证,authentication,radius,服务器,802.1,server,NPS 来源: https://www.cnblogs.com/tim54252/p/12857975.html