¶ 1.架构设计
¶ 1.1 部署拓补
¶ 1.2 资源说明
拓扑中含AD域控制器、DHCP服务器、上网行为管理、无线控制器、无线接入点、测试终端、测试账号等。
AD域控制器:承担外部认证数据库
上网行为管理:提供认证页面、及3A服务
无线控制器:管理无线接入点、发布ssid
¶ 1.3 配置思路
¶ 2.前期工作准备
¶ 2.1 DDI创建所需资源
进入BAM——点击IP Space——点击IPv4——点击已创建的IPv4 Blocks内——点击Blocks and Networks(编辑 )——选着IPv4 Network——输入 CIDR Block,NAME,LOCATION,等信息——最后点击ADD
配置完成,部署DHCP功能
¶ 2.2 AD创建测试账号
在域控上创建测试账号test01@smvic.com/Sjzx@201909!
编辑
¶ 2.3 交换机创建所需资源
核心交换机创建所需的VALN 、VLANIF和 DHCP中继
\[BG-Core\]
Vlan ID
interface Vlanif\_ID
description XXXXX
ip address XXXXX XXXXXX
dhcp select relay
dhcp relay server-select DHCP
¶ 3. AC配置
前置条件:和各个节点网络通信正常。
¶ 3.1 添加第三方控制器
如下图,点击【用户认证管理-用户认证-portal服务器】,新增portal控制器,选择对应的协议(这 里选择华为),填写WAC的IP(172.16.10.139),客户端字段保持与华为设置一致,这个参数是与AC 做portal对接的设备上面的参数,一般是把认证数据重定向到ACportal服务器上的参数。这个参数需 要AC和对接设备上面的一模一样。
如下图,点击【用户认证管理-认证高级选项-Radius服务器】,填写radius端口和对应的密钥 (对应着华为的radius配置)
编辑
¶ 3.2 添加外部认证AD数据库
1、编辑【用户认证与管理】----【外部认证服务器】-----【新增】----【LDAP服务器】
编辑
2、配置LDAP服务器信息
编辑
【IP地址】:LDAP服务器的IP地址。
【认证端口】:LDAP服务器连接的端口,例如AD域为389.
【超时】:设定认证请求的超时时间,系统把认证请求转发到LDAP服务器后,如果超过这个 时间无回应,则视为认证失败,如果此设备到LDAP服务器间的网络比较慢,可以尝试把超时时间 设大一些(例如10秒)。 配置指导文档 深信服公司版权所有 www.sangfor.com.cn 第7页,共30页
【匿名搜索】:LDAP服务器支持匿名搜索时,可以使用此选项。
【管理员账号】:用于到LDAP服务器去查询以及同步的用户账号;比如账号为:administrator, 域名为:sangfor.com,那么格式为:用户名@域名,administrator@sangfor.com.cn
【管理员密码】: 用于绑定服务器的用户所对应的密码。
【BaseDN】:指定域搜索路径的起点,该起点决定了该条LDAP规则的生效范围。如果用户在 指定的BaseDN以外,则该用户无法做外部服务器认证,所配置的策略对该用户也不会生效。所以可 以通过BaseDN来划分不同管理员的所属区域。
【开启加密】:微软在2019-9发布安全通告【ADV190023 | 启用 LDAP 通道绑定和 LDAP 签 名的 Microsoft 指南】中提到,将在 2020 年 1 月中旬通过安全更新方式(补丁推送)将在 Active Directory 服务器上启用 LDAP 通道绑定和 LDAP 签名。通过配置服务器以拒绝不请求签名(完 整性验证)的简单身份验证和安全层 (SASL) LDAP 绑定,SASL 可能包括 Negotiate、Kerberos、 NTLM 和 Digest 等协议。可以显著提高目录服务器的安全性,即增加了 openssl 安全校验机制。 深信服AC/SG 为满足安全要求,增加支持加密对接方式。
3、测试有效性【测试有效性】输入AD测试账号信息测试是否有效
¶ 3.3 配置认证策略
1、编辑【用户认证管理】-【用户认证】-【认证策略】
2、【新增】-【认证策略】,建议在测试初级,针对于单个地址来进程测试,测试成功之后, 逐步扩大测试范围
3、【认证方式】:认证方式选择:密码认证。认证服务器:选择在外部认证服务器中创建的-LDAP 域服务器。
4、认证后处理根据需求配置
¶ 4、portal配置
前置条件:WLC已完成初始配置,AP已经被WLC纳管、创建SSID:WLAN-TEST。
¶ 4.1 模板设置
1)配置portal模板 新建SH_AC,选择外置Portal服务器,选择portal服务器
2)配置Radius模板 新建SH_AC,选择RADISU服务器模板
3)配置安全模板,新建WLAN-TEST
¶ 4.2 应用模板
1)配置认证方案模板,选择【radius模板】、【Portal模板】
