项目背景:
客户侧新建大楼,这边新大楼加入现有网络结构中,计划用新增AC做802.1X认证,同时实现与老AC的联合,实现认证统一与审计一致性。
项目问题:
这边原先计划使用认证托管实现,但这边AC当初设计认证托管主要是针对portal认证方面,这边新增的旁路AC是802.1X认证,这边无法通过认证托管实现认证中心,当前存在具体问题:
1.出口AC做具体审计,旁路AC只是做新大楼的802.1X认证,老大楼和下面分点是通过出口AC的portal认证,这里首先存在认证各管各的情况,这里对客户运维压力增大,客户希望实现统一认证,对用户账号统一管理。
2.实际情况是新大楼在旁路AC上802.1X认证,这里还在出口AC上针对802.1X网段做不需要认证,但这里上线用户名是IP地址,这里会存在审计的不便性,出口AC查看日志只能看到IP地址,还需要在旁路AC上去查该IP地址对应用户名,这里希望做到跟旁路AC一样能直接看到802.1X用户员工的工号和名字信息,简化审计工作。
替换方案:
AC审计一致解决方式:
需解决痛点:
旁挂AC针对新大楼做了802.1X认证,出口AC针对802.1X网段做不需要认证方式,结果以用户ip地址为用户名上线,此时检索审计日志只能定位到用户ip,具体用户名需要再根据ip去旁挂AC去查用户名。
解决方式:
旁挂AC这里做认证转发,将旁挂AC上的802.1X认证用户上线信息转发给出口AC,此时出口AC可知这些用户已通过认证在线用户信息与旁挂AC一致,同时出口AC针对802.1X网段的不需要认证认证策略可取消,也解决这里二次认证问题。
解决步骤:
1. 旁挂AC做认证转发将802.1X与访客网段认证用户认证信息转发给出口AC
2.过段时间后将不需要认证认证策略禁用掉,尽量实现无缝切换
AC统一认证解决方法:
解决痛点:
这里两台AC都是本地用户,这里存在用户统一维护问题和认证
解决方式:
可通过由旁挂那台做两台中的LDAP域控,通过LDAP去做统一认证,或者今年客户侧建设微软AD域,让两台AC都对接AD域去解决
旁路AC充当LDAP域控解决步骤:
(1)旁路AC开启LDAP端口
(2)出口AC新增LDAP服务器
这里AC做LDAP采用OPEN LDAP类型,同时默认389端口最好更改成别的端口,否则若是[backcolor=rgba(255, 255, 255, 0.7)]添加LDAP服务器提示“当前LDAP服务器已存在相同的ip、端口...”,这里大概率是389端口已被占用,可换个端口解决,另外这里[backcolor=rgba(255, 255, 255, 0.7)]【管理员账号】那里需要填“cn=admin,ou=users,dc=sangfor,dc=com”,这里可去选择BaseDN了,若是报错可填写“sangfor.com”看看是否能够检索到组织架构
(3)注意修改LDAP服务器对应参数
[backcolor=rgba(255, 255, 255, 0.7)]在【同步配置】那里需要将[backcolor=rgba(255, 255, 255, 0.7)]用户属性那从“uid”,改选为“cn”,[backcolor=rgba(255, 255, 255, 0.7)]否则无法检索到用户,在用户认证界面报错”AD域用户不存在“
(4)针对用户有自助修改密码需求将出口AC除802.1X网段信息转发给旁路AC
这里实现将整个认证统一做在旁路AC上,这里之后整个用户信息运维都在旁路AC上完成,同时这里还需要考虑老大楼这些用户自助修改密码事项,这里是用户通过访问旁路AC的80端口进入用户个人中心修改密码,同时需要保证老大楼这些用户的上线认证信息在旁路AC上也存在,因为需要确保该在线用户在旁路AC上也是在线状态,此时旁路AC才会允许用户自助修改密码,所以这里还需要将出口AC的除802X认证网段认证信息转发给旁路AC。
最终效果:
1.在出口AC上802X认证网段信息通过深信服认证转发同步认证信息过来,可直接看到员工工号,简化审计,同时解决二次认证问题
2.老大楼及下面分点在出口AC都会认证匹配旁路AC这个LDAP上的用户信息进行验证账号有效性,这里验证旁路AC上修改密码,重新认证匹配的确实旁路AC的更新用户账号,解决需要运维多个AC上用户表问题,实现统一认证,和统一用户信息维护
3.老大楼这些用户能够自助修改密码,从原来访问出口AC80端口变成访问旁路AC80端口个人中心修改密码,验证无问题。 |