【2022争霸赛*干货满满】全网AC配置802.1x认证结合AD域单点登录
  

杨品 35923人觉得有帮助

{{ttag.title}}
本帖最后由 杨品 于 2022-10-19 16:32 编辑

环境拓扑:
一、需求说明:
①、客户想让所有电脑有线接入内网时,都需要通过802.1x认证才能访问内网资源,否则不允许访问内网任何资源,甚至上网。

二、环境说明:
①、AF路由模式部署,AF的LAN区域下联AC网桥的WAN口,DMZ区域接AD域服务器;
②、AC单网桥模式部署,配置和AF的LAN口以及H3C核心交换机上联口同网段地址作为网桥管理地址;内网也可以使用虚拟地址https://1.1.1.3管理;
③、H3C华三三层核心交换机和HUAWEI华为二层接入交换机,需支持配置vlan,trunk,vlanif,Guest vlan,Escape vlan等(数通知识不明白找度娘,或者社区有【红茶三杯】网络基础学习视频(知识库---深信服在线课堂{搜索:红茶})

三、AC配置截图:
使用AC802.1x认证的前提条件:PC接入开启802.1x认证交换机的接口,连接有线网络后需要获取到能和AC以及AD域通信的地址,否则加过域的电脑本地域用户凭证失效时,将导致电脑无法解锁屏幕,而非域用户又无法提交域内的用户名和密码给AC找AC数据库校验将导致认证失败,所以需要在接入交换机测开启Guest vlan功能,能给域用户电脑接入网络时提供一个临时的Guest vlan和AD域通信,让其PC可以正常解锁屏幕;能给非域用户电脑接入网络时提供一个临时的Guest vlan找AC做重定向,而且这个Guest vlan所下发的DNS需要是与AC自身的IP地址同网段的IP,并且这个网段的IP在AC上已接入网络中才行,即这个Guest vlan所下发的DNS的IP是如下图所示的服务器IP地址Guest vlan的DHCP下发的DNS需要写俩个,AD域解析一个,和这里的一个)。
①、网络配置截图;
②、802.1x配置截图说明:
Ⅰ、Radius认证端口1812计费端口1813这里一定不要改,但是有一种情况需要修改portal认证里面的联动对接radius服务器端口,就是这俩个位置都开启的情况下,刚好端口又冲突了,就要修改联动对接里的Radius服务器端口了,一定不要修改802.1x的端口。

Ⅱ、勾选账户密码认证---认证服务器勾选--本地密码(需要去接入管理--本地组/用户--新建用户组--添加用户)【这里添加的用户是方便访客使用的,给非域内PC认证使用】;
勾选认证方式---AD域单点登录(如果没有配置对接AD域需要先配置对接AD域--点击:去配置,此处对接的是微软的AD域)。

Ⅲ、这个802.1x认证前重定向提醒开不开取决于终端环境有无安装准入插件,建议配置一下(虽然准入插件可以提前安装,比如:AD域推送,,AC重定向推送,卓管推送等等,但是难免有推送失败或者安装失败的)。

Ⅳ、终端环境情况:
终端环境情况一:终端没有安装准入插件也不是域用户,需要开。
1、非域用户接入开启802.1认证的交换机接口因为提交不了域内用户名给AC找AD域校验,所以获取不到业务vlan,需要先获取Guest vlan拿到可以通AC的IP地址和DNS(这里的DNS就是802.1x认证前重定向处填写的服务器IP地址),终端打开web点击网页将重定向到准入客户端下载位置,进行插件下载安装操作,然后通过手动在认证助手客户端(开启802.1x后下载的准入插件自带一个客户端软件)内输入本地用户账户密码完成802.1x认证上线,最后在获取正常的业务vlan或者访客vlan进行上网;

终端环境情况二:终端没有安装准入插件是域用户,需要开。
1、同情况一,这里虽然你是域用户,但是AC检测终端没有准入插件,所以还是会给你重定向到准入插件下载位置,下载安装完之后,重启或者注销当前域用户,重新完成屏幕解锁操作,准入助手主动提取账户名和密码(省去中间802.1x单点登录认证流程);

终端环境情况三:终端安装了准入插件不是域用户,不需要开。
1、因为安装了准入插件,所以首先你会获取Guest vlan能和AC通信,手动在准入助手输入本地账户密码认证上线即可(默认输入正确账户密码,省去中间PC到交换机,交换机传输用户名到AC,AC找数据库校验过程),认证上线后也会根据交换机配置规则获取对应的业务vlan或者访客vlan;

终端环境情况四:终端安装了准入插件也是域用户,不需要开。
1、这种情况只要电脑接入网络,先根据交换机配置规则获取Guest vlan和AC以及AD域通信,完成屏幕解锁登进去后,同情况二后续,准入助手提取用户名和密码(以上排除多网卡情况,排除准入插件版本问题,排除交换机网络问题)。

Ⅴ、802.1x逃生配置,这里建议选择自动逃生即可。


四、交换机配置
1、交换机配置遵循对应厂商的配置案例,或者下载深信服社区的802.1x脚本工具(首页---自助服务---常用工具)
五、对接部署完成后验证效果

打赏鼓励作者,期待更多好文!

打赏
6人已打赏

339015 发表于 2022-10-17 22:30
  
感谢楼主分享,文章分享了AC对接AD域实现802.1X单点登录的配置案例,介绍清晰,图文并茂,期待更多优秀的分享
新手751436 发表于 2022-10-14 20:48
  
学习一下,认证也是常用的功能
一个无趣的人 发表于 2022-10-17 14:47
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
平凡的小网工 发表于 2022-10-24 20:55
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
新手703668 发表于 2022-11-1 10:41
  
为什么guest vlan要放通DC,这样不安全。
策c 发表于 2023-2-3 09:50
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
蟲爺 发表于 2023-3-21 14:44
  
感谢分享
发表新帖
热门标签
全部标签>
安全效果
每日一问
西北区每日一问
技术盲盒
【 社区to talk】
干货满满
技术笔记
产品连连看
新版本体验
技术咨询
标准化排查
信服课堂视频
每周精选
功能体验
自助服务平台操作指引
排障那些事
GIF动图学习
技术晨报
安装部署配置
运维工具
解决方案
2023技术争霸赛专题
秒懂零信任
故障笔记
技术圆桌
云计算知识
用户认证
技术顾问
资源访问
存储
「智能机器人」
社区新周刊
畅聊IT
答题自测
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
地址转换
虚拟机
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
高手请过招
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
313
351

发帖

粉丝

关注

7
19
6

发帖

粉丝

关注

5
6
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人