OSV配合windows2008r2NPS搭建8021X认证环境

OSV配合windows2008r2NPS搭建802.1X认证环境作者OSV在22二月2013,2:30下午前言802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(accessport)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。802.1X提供安全的接入认证，但数据（包括操作系统）存储于本地，数据可能有失窃的危险，比如富士康和比亚迪的官司，在比如陈冠希事件。一些对数据安全要求比较高的企业，政府，一直寻求，即要管好接入端的安全，又要管好数据端安全，做到本地无存储，对数据随需所取的PC应用环境。OSV配合自己实现的802.1X认证客户端，即实现了对网络接入的数据安全性要求，也实现了对PC的IO虚拟化，通过对数据实现虚拟化派发，用户桌面环境的认证派发，和数据的集中存储，集中管理。通过windowsAD服务器，对用户帐户进行统一管理。实施准备1，支持802.1X认证交换机一台实验环境：Cisco2960（ip:192.168.88.249netmask255.255.255.0）2，Windows2008r2AD域服务器一台（ip:192.168.88.188Netmask:255.255.255.0）3，Windows2008r2NPS服务器一台(ip:192.168.88.189Netmask:255.255.255.0DNS:192.168.88.188)4，客户机一台5，已安装，配置好的OSV服务器一台（IP：192.168.88.10）Cisco交换机配置ciscoen进入特权模式Password:cisco#configureterminal进入全局配置模式cisco(config)#interfacevlan1进入接口配置模式，配置Vlan1cisco(config-if)#ipaddress192.168.88.249255.255.255.0配置Vlan1的IPcisco(config-if)#exit通出cisco(config)#aaanew-modelcisco(config)#aaaauthenticationdot1xdefaultgroupradiuscisco(config)#aaaauthorizationnetworkdefaultgroupradiuscisco(config)#dot1xsystem-auth-controlcisco(config)#radius-serverhost192.168.88.251auth-port1812acct-port1813keyOSV配置802.1X的认证服务器IP，密钥为OSV记住此密钥，配置RADIUS时用到。cisco(config)#interfacefastEthernet0/X配置需要进行认证的端口cisco(config-if)#switchportmodeaccesscisco(config-if)#authenticationport-controlautocisco(config-if)#dot1xport-controlautocisco(config-if)#dot1xreauthenticationcisco(config-if)#dot1xtimeoutreauth-period300cisco(config-if)#authenticationhost-modemulti-auth/multi-host/signal-host/mulit-domain交换机端口下连接多台PC时(通过Hub或交换机)需要配置这个命令，默认只支持对一台PC认证。cisco(config-if)#authenticationviolationshutdown/pretect/replace/restrict802.1Xshutdown规则cisco(config-if)#dot1xpaebothcisco(config-if)#spanning-treeportfast打开端口的快速转发cisco(config-if)#exitcisco(config)#exit注：配置完成后，要测试交换机与RADIUS是否可通信，可在交换机上pingRADIUS服务器进行判断。WindowsAD域服务器架设Step1:打开开始菜单—计算机-管理Step2:在弹出的服务管理器上点击右键，添加角色Step3:开始界面Step4:选择AD域服务器角色，默认下一步。Step5:开始，运行dcpromo.exe执行AD安装Step6:AD安装向导Step7选择在新林中新建域Step8:输入FQDN域名Step9:默认下一步Step9:选择windowsserver2008r2Step10:默认下一步Step11:默认下一步Step12:默认下一步Step13:默认下一步，开始自动安装并配置ADStep14:安装完成后，打开Users点击右键，新建组，Step15:新建一个test-osv的用户组Step16:加入到DomainUsers组Step17：新建用户，并加入到test-osv组NPS服务器架设Step1:修改NPS服务器的DNS为域控服务器Step2：将NPS服务器加入到域中Step3:使用域管理帐户登录NPSServer1,部署CA服务器Step1:服务管理器—添加角色–ADCSStep2:勾选证书颁发机构，颁发机构WEB注册，联机响应程序，Step3:选择企业Step3选择根证书Step4默认下一步Step5默认下一步Step6默认下一步Step7默认下一步Step8默认下一步Step9默认下一步Step10默认下一步Step11点击安装Step11制作Computer证书，开始—运行—MMC—文件—添加/删除管理单元Step12：点击证书—添加Step13:选择计算机帐户Step15:默认下一步Step16:选择个人—证书—申请证书Step17：默认下一步Step18：默认下一步Step18：选择计算机Step19：默认下一步Step20:完成2,部署NPS服务器Step1:服务管理器—添加角色—网络策略和访问服务Step2:选择网络策略服务器，健康注册机构，主机凭据授权协议Step3:选择使用现有证书Step4:默认下一步Step5:选择我们刚刚新建的证书用于SSL加密Step6:开始安装Step7:点击进入NPS管理器，选择配置NAPStep8:选择IEEE802.1X（有线）Step9:添加RADIUSClient也就是交换机IP和交换机的通信密钥（在交换机中设置中，已经设置）Step10:完成后点击下一步Step11：默认下一步Step11：默认下一步Step11：默认下一步Step11：默认后完成Step12：启用MD5验证支持在RADIUS服务器上，导入注册表文件：WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\4]FriendlyName=MD5-ChallengeRolesSupported=dword:0000000aPath=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,52,00,\61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00InvokeUsernameDialog=dword:00000001InvokenPasswordDialog=dword:00000001Step13:打开NPS管理器，点击策略—连接请求策略—NAP802.1X(有线)Step14:选择设置–身份验证方法—添加—md5-Challenge并将md5-Challenge向上到第一个最先3,在AD中新建用户Step1:因为md5-Challenge验证的特殊性，密码要以可逆方式保存，在AD服务器上，我们新建用户，并勾选上，使用可逆方式存储密码，并加入到test-osv这个组中。Step2:重置OSV用户密码，使其密码是以可逆方式存储。此时，环境部署完结，开始制作OSV客户端，进行启动测试。Step1:使用win32DiskImager将OSVImages写入U盘中，在验证机上，设置为USB启动。Step2：客户机启动后，自动进入配置界面Step3:因为本地有DHCP服务器，所以只用填上服务器IP就可以了，并把802.1X的值填为1，开启802.1X认证，完成后回车确认Step4:输入用户名，密码，进行802.1X认证。Step5:802.1X认证通过，开始进行操作系统的启动。注：OSVBOOT并不止支持USB设备作为客户端认证，也支持硬盘，和主板BIOS。