商业源码 思科ISE对有线接入用户进行802.1X认证
前言
通过上篇文章《思科ISE对有线接入用户进行MAC认证》你应该了解了NAC中的MAC认证方式不需要安装客户端,但是需要在认证服务器上登记MAC地址,管理比较复杂;那么这篇文章给大家介绍的是(NAC)中的另外一种8021X认证,8021X认证是网络接入控制方案,是一种基于端口的网络接入控制协议,通过它能够实现保护企业内网的安全性的目的。8021X认证安全性较高。
8021X理论介绍
1) 客户端是请求接入局域网的用户终端设备,它由局域网中的设备端对其进行认证。客户端上必须安装支持8021X认证的客户端软件。
2) 设备端是局域网中控制客户端接入的网络设备,位于客户端和认证服务器之间,为客户端提供接入局域网的端口(物理端口或逻辑端口),并通过与服务器的交互来对所连接的客户端进行认证。
3) 认证服务器用于对客户端进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性,并将验证结果通知给设备端,由设备端决定是否允许客户端接入。在一些规模较小的网络环境中,认证服务器的角色也可以由设备端来代替,即由设备端对客户端进行本地认证、授权和计费。
下图显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个8021X认证系统的端口状态。系统1的受控端口处于非授权状态,不允许报文通过;系统2的受控端口处于授权状态,允许报文通过。
3)受控方向
在非授权状态下,受控端口可以处于单向受控或双向受控状态。
8021X系统使用EAP(Extensible Authentication Protocol,可扩展认证协议)来实现客户端、设备端和认证服务器之间认证信息的交互。EAP是一种C/S模式的认证框架,它可以支持多种认证方法,例如MD5-Challenge、EAP-TLS、PEAP等。在客户端与设备端之间,EAP报文使用EAPOL封装格式承载于数据帧中传递。在设备端与RADIUS服务器之间,EAP报文的交互有以下两种处理机制。
1) EAP中继
设备对收到的EAP报文进行中继,使用EAPOR(EAP over RADIUS)封装格式将其承载于RADIUS报文中发送给RADIUS服务器进行认证。
2) EAP终结
设备对EAP认证过程进行终结,将收到的EAP报文中的客户端认证信息封装在标准的RADIUS报文中,与服务器之间采用PAP(Password Authentication Protocol,密码验证协议)或CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)方法进行认证。
1) EAP中继方式
这种方式是IEEE 8021X标准规定的,将EAP承载在其它高层协议中,如EAP over RADIUS,以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说,需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator,分别用来封装EAP报文及对携带EAP-Message的RADIUS报文进行保护。
IEEE 8021X认证系统的EAP中继方式业务流程
2) EAP终结方式
这种方式将EAP报文在设备端终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。下面以CHAP认证方法为例介绍基本业务流程。
IEEE 8021X认证系统的EAP终结方式业务流程
一实验拓扑
二实验需求
三实验设备及注意事项
四 思科ISE的配置逻辑
表1 思科ISE的配置逻辑
五 数据规划
表2交换机接口和VLAN规划
表3网络设备IP地址规划
表4交换机业务数据规划
表5ISE业务数据规划
六 实验步骤
Step 1 - 交换机VLAN配置。
Step 2 - Cisco ISE,业务服务器,终端IP地址配置略。
Step 3 - 交换机侧配置。
Step 4 - Cisco ISE 配置
参数说明:
设备名称:Switch
IP地址:192168100254,交换机上该接口必须与ISE互通。
RADIUS密钥:Helperaddress@2019,必须与交换机上配置的RADIUS认证和计费密钥一致
Step 5 - 认证终端安装8021x服务
Step 5 - 检查配置结果
1、网络运营商认证失败的解决方法如下:关机重启重新搜索网络尝试。若是双卡手机,请查看SIM卡是否被激活。若依然没有信号,建议关机取出SIM卡,使用橡皮擦拭SIM卡芯片,然后重新安装即可。
2、校园网运营商认证失败是什么意思说明如下:一些配置文件被删除了或者是遭到了破坏;使用了空的用户名认证或者是自己的用户名超过最大长度64个字符;使用的版本过低,SAM、SMP服务器上已限制该版本使用。
3、根据您提供的信息,如您是运营商无法认证,不排除是系统繁忙原因导致,您可迟些再进行尝试。如仍无法办理,可联系归属地联通人工客服咨询了解,以当地政策为准。
SSO指的是单点登录(Single Sign On),当用户在身份认证服务器上登录了一次以后,即可获得访问单点登录系统中其他联邦系统和应用软件的权限。
同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。
单点登录是多个相关但独立的软件系统的访问控制的属性。使用此属性,用户使用单个ID和密码登录,以便在不使用不同用户名或密码的情况下访问已连接的系统,或者在某些配置中在每个系统上无缝登录。
单点登录通常使用轻量级目录访问协议(LDAP)和(目录)服务器上存储的LDAP数据库来完成,可以使用cookie在IP网络上实现简单版本的单点登录。
图为一种SSO系统:
扩展资料实现机制
当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行身份校验,如果通过校验,应该返回给用户一个认证的凭据--ticket;
用户再访问别的应用的时候就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把ticket送到认证系统进行校验,检查ticket的合法性。如果通过校验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。
SSO的优势
1、降低访问第三方站点的风险(未在外部存储或管理的用户密码)。
2、从不同的用户名和密码组合减少密码疲劳。
3、减少重新输入相同身份的密码所花费的时间。
4、由于关于密码的IT服务台呼叫数量减少,降低了IT成本。
5、SSO共享所有其他应用程序和系统用于身份验证的集中身份验证服务器,并将其与技术相结合,以确保用户不必多次主动输入其凭据。
-SSO (Single Sign On)
-单一登入
首先说明一下单点登录与单设备登录的含义。
单点登录 (Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。用人话说就是:从一个系统登录以后,其他地方不用再登录,可直接访问。例如:QQ,我在QQ空间登录一次,我可以去访问QQ产品的其他服务:QQ邮箱、腾讯新闻等,都能保证你的账户保持登录状态。
单设备登录: 就是只能在一个设备上登录,若同时在其他设备登录,先前登录的用户会被提醒:该账户在其他设备登录。例如qq,小米手机登录中,同时拿华为手机登录该账户,小米手机的账户会被挤下线。
一机一号机制: 一个手机只能上一个账号,一个账号只能在一个手机登录。
单点登录的机制如下图所示:
1当用户第一次访问应用系统的时候,因为还没有登录,会被引导到认证系统中进行登录;
2根据用户提供的登录信息,认证系统进行身份效验,如果通过效验,应该返回给用户一个认证的凭据--ticket;
3用户再访问别的应用的时候3,5就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把ticket送到认证系统进行效验,检查ticket的合法性4,6。如果通过效验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。
[重点是Ticket,参考中国电信,重点还有 认证中心]
要实现SSO,首先所有应用系统需共享一个身份认证系统。认证系统的主要功能是将用户的登录信息和用户信息库相比较,对用户进行登录认证;认证成功后,认证系统应该生成统一的认证标志(ticket),返还给用户。另外,认证系统还应该对ticket进行效验,判断其有效性。
其次:所有应用系统能够识别和提取ticket信息。要实现SSO的功能,让用户只登录一次,就必须让应用系统能够识别已经登录过的用户。应用系统应该能对ticket进行识别和提取,通过与认证系统的通讯,能自动判断当前用户是否登录过,从而完成单点登录的功能。
统一的认证系统并不是说只有单个的认证服务器,如下图所示,整个系统可以存在两个以上的认证服务器,这些服务器甚至可以是不同的产品。认证服务器之间要通过标准的通讯协议,互相交换认证信息,就能完成更高级别的单点登录。如下图,当用户在访问应用系统1时,由第一个认证服务器进行认证后,得到由此服务器产生的ticket。当他访问应用系统4的时候,认证服务器2能够识别此ticket是由第一个服务器产生的,通过认证服务器之间标准的通讯协议(例如SAML)来交换认证信息,仍然能够完成SSO的功能。
0条评论