如何用思科的ACS来配置做H3C设备的radius认证

如何用思科的ACS来配置做H3C设备的radius认证,第1张

我想你说的就是典型的AAA认证应用,我做过ACS42搭建Radius服务器实现思科无线接入的认证,但是没做过华为和ACS的配置。我觉得你可以先看下华为手册关于AAA配置的说明,然后配置登陆认证指向radius服务器。

cisco 交换机配置:

aaa new-model --启用AAA

aaa authentication login default group radius local-case --认证

aaa authorization exec --授权

radius-server host XXXX --指定AAA服务器

大同小异,还有很多命令记不得了,我觉得查文档时必须的,希望有所帮助。

RADIUS是英文(Remote Authentication Dial In User Service)的缩写,是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户/服务器模式。它包含有关用户的专门简档,如:用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。

RADIUS认证系统包含三个方面:认证部分、客户协议以及记费部分,其中:

RADIUS 认证部分一般安装在网络中的某台服务器上,即RADIUS认证服务器;

客户协议运行在远程接入设备上,如:远程接入服务器或者路由器。这些RADIUS客户把认证请求发送给RADIUS认证服务器,并按照服务器发回的响应做出行动;

RADIUS记费部分收集统计数据,并可以生成有关与网络建立的拨入会话的报告。

可以用WIN2003做一个RADIUS认证服务器,AP方面用什么都可以,只要不是杂牌子的都行,我用DLINK和思科的试过,都可以,电脑保存密码以后就很方便,每次打开WIFI就可以直接连入无线,我们是为了减少MAC地址绑定的工作量才使用RADIUS去域控制器进行用户名和密码的验证的,下面是我自己的配置笔记,文件太多没法上传到这里啊,我做好RADIUS服务器以后在各种操作系统里建立好连接,导出以后写脚本发给所有员工,执行导入就可以了,平滑割接。

Enterprise WLAN profile deployment with bat script 为大量用户批量安装的脚本docx

IAS访问失败日志txt

IAS访问成功日志txt

import_win7bat

netsh命令txt

PEAP_FreeRADIUS_LDAP_DEBIAN_SARGE_CISCO_AP1200_WinXP_WPA2_AES_HOWTO_V3pdf

win7rar

win7_wpahtm

win7_wpa_files

WIN7安装脚本

WinXP安装脚本

WPA2 Enterprise Win7 Client Setupdocx

使用DLINK无线路由器配置WPA2doc

使用思科1240AG加WIN7进行WPA2连接

办公网AP共享密码txt

安装过程txt

无线网络安全指南:IAS RADIUS实现无线网络验证pdf

生成证书命令txt

下面是一个可能的Java源代码,它包含了一个接口(Shape)和五个类(Circle, Rectangle, Triangle, Square 和 Main)。它的功能是计算不同形状的面积和周长。

//定义一个接口Shape,有两个抽象方法:getArea()和getPerimeter()interface Shape { double getArea(); double getPerimeter();

}//定义一个类Circle,实现Shape接口class Circle implements Shape { //定义一个私有属性radius,表示圆的半径

private double radius; //定义一个公有构造方法,用于初始化radius

public Circle(double radius) { thisradius = radius;

} //实现getArea()方法,返回圆的面积

public double getArea() { return MathPI radius radius;

} //实现getPerimeter()方法,返回圆的周长

public double getPerimeter() { return MathPI radius 2;

}

}//定义一个类Rectangle,实现Shape接口class Rectangle implements Shape { //定义两个私有属性width和height,表示矩形的宽度和高度

private double width; private double height; //定义一个公有构造方法,用于初始化width和height

public Rectangle(double width, double height) { thiswidth = width; thisheight = height;

} //实现getArea()方法,返回矩形的面积

public double getArea() { return width height;

} //实现getPerimeter()方法,返回矩形的周长

public double getPerimeter() { return (width + height) 2;

}

}//定义一个类Triangle,实现Shape接口class Triangle implements Shape { //定义三个私有属性a,b,c表示三角形的三条边长

private double a; private double b; private double c; //定义一个公有构造方法,用于初始化a,b,c,并检查是否满足三角形条件(任意两边之和大于第三边)

public Triangle(double a, double b, double c) throws Exception{ if (a + b > c && a + c > b && b + c > a) {

thisa = a; thisb = b;

thisc = c;

} else {

throw new Exception("Invalid triangle");

}

} //实现getArea()方法,返回三角形的面积(使用海伦公式)

public double getArea() { //计算半周长p

double p = (a + b + c) /2; //计算并返回面积s(使用Mathsqrt()函数求平方根)

return Mathsqrt(p (p - a) (p - b) (p - c));

} //实现getPerimeter()方法,返回三角形的周长

public double getPerimeter(){ return a + b + c;

}

}//定义一个类Square,继承Rectangle类,并重写构造方法和toString()方法class Square extends Rectangle { //重写构造方法,在调用父类构造方法时传入相同的参数side作为width和height

public Square(double side){ super(side, side);

} //重写toString()方法,在原来基础上加上"Square:"前缀,并只显示side属性而不显示width和height属性(使用Stringformat()函数格式化字符串)

@Override

public String toString(){ return Stringformat("Square: side=%2f", superwidth); / 或者直接使用supergetPerimeter()/4作为side /

/ return Stringformat("Square: side=%2f", supergetPerimeter()/4); /

/ 注意:不能直接访问superside属性,

本地用户认证

通过存储本地的profile设置组,您的zyair可以不通过网络上的radius server也能够对无线用户做认证。

一次性口令技术简介 ASPHouse,2001-08-04 00:00:00

常规口令

在现实生活中,我们个人的身份主要是通过各种证件来确认的,比如:身份证、户口本等。计算机世界与现实世界非常相似,各种计算资源(如:文件、数据库、应用系统)也需要认证机制的保护,确保这些资源被应该使用的人使用。在大多数情况下,认证机制与授权和记账也紧密结合在一起。

目前各类计算资源主要靠固定口令的方式来保护。比如你需要访问一个NT系统,首先必须在这个NT上设置一个账户,并设定密码。当通过网络访问NT资源时,系统会要求输入你的账户名和密码。在账户和密码被确认了以后,你就可以访问NT上的资源了。

这种以固定口令为基础的认证方式存在很多问题,最明显的是以下几种:

网络数据流窃听(Sniffer) 由于认证信息要通过网络传递,并且很多认证系统的口令是未经加密的明文,攻击者通过窃听网络数据,就很容易分辨出某种特定系统的认证数据,并提取出用户名和口令。

认证信息截取/重放(Record/Replay) 有的系统会将认证信息进行简单加密后进行传输,如果攻击者无法用第一种方式推算出密码,可以使用截取/重放方式。

字典攻击 由于多数用户习惯使用有意义的单词或数字作为密码,某些攻击者会使用字典中的单词来尝试用户的密码。所以大多数系统都建议用户在口令中加入特殊字符,以增加口令的安全性。

穷举尝试(Brute Force) 这是一种特殊的字典攻击,它使用字符串的全集作为字典。如果用户的密码较短,很容易被穷举出来,因而很多系统都建议用户使用长口令。

窥探 攻击者利用与被攻击系统接近的机会,安装监视器或亲自窥探合法用户输入口令的过程,以得到口令。

社交工程 攻击者冒充合法用户发送邮件或打电话给管理人员,以骗取用户口令。

垃圾搜索 攻击者通过搜索被攻击者的废弃物,得到与攻击系统有关的信息,如果用户将口令写在纸上又随便丢弃,则很容易成为垃圾搜索的攻击对象。

虽然用户可以通过经常更换密码和增加密码长度来保证安全,但这同时也用户带来了很大麻烦。

一次性口令

为了解决固定口令的诸多问题,安全专家提出了一次性口令(OTP:One Time Password)的密码体制,以保护关键的计算资源。

OTP的主要思路是:在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相同,以提高登录过程安全性。

例如:登录密码=MD5(用户名+密码 +时间),系统接收到登录口令后做一个验算即可验证用户的合法性。

不确定因子选择与口令生成

这些不确定因子选择方式大致有以下几种:

口令序列(S/KEY) 口令为一个单向的前后相关的序列,系统只用记录第 N个口令。用户用第N-1个口令登录时,系统用单向算法算出第N个口令与自己保存的第N个口令匹配,以判断用户的合法性。由于N是有限的,用户登录N次后必须重新初始化口令序列。

挑战/回答(CRYPTOCard) 用户要求登录时,系统产生一个随机数发送给用户。用户用某种单向算法将自己的秘密口令和随机数混合起来发送给系统,系统用同样的方法做验算即可验证用户身份。

时间同步(SecureID) 以用户登录时间作为随机因素。这种方式对双方的时间准确度要求较高,一般采取以分钟为时间单位的折中办法。在SecureID 产品中,对时间误差的容忍可达±1分钟。

事件同步(Safe Word) 这种方法以挑战/回答方式为基础,将单向的前后相关序列作为系统的挑战信息,以节省用户每次输入挑战信息的麻烦。但当用户的挑战序列与服务器产生偏差后,需要重新同步。

一次性口令的生成方式有以下几种:

Token Card(硬件卡) 用类似计算器的小卡片计算一次性口令。对于挑战/回答方式,该卡片配备有数字按键,便于输入挑战值;对于时间同步方式,该卡片每隔一段时间就会重新计算口令;有时还会将卡片作成钥匙链式的形状,某些卡片还带有PIN保护装置。

Soft Token(软件) 用软件代替硬件,某些软件还能够限定用户登录的地点。

IC卡 在IC卡上存储用户的秘密信息,这样用户在登录时就不用记忆自己的秘密口令了。

RADIUS是英文(Remote Authentication Dial In User Service)的缩写,是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户/服务器模式。它包含有关用户的专门简档,如:用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。

RADIUS认证系统包含三个方面:认证部分、客户协议以及记费部分,其中:

RADIUS 认证部分一般安装在网络中的某台服务器上,即RADIUS认证服务器;

客户协议运行在远程接入设备上,如:远程接入服务器或者路由器。这些RADIUS客户把认证请求发送给RADIUS认证服务器,并按照服务器发回的响应做出行动;

RADIUS记费部分收集统计数据,并可以生成有关与网络建立的拨入会话的报告。

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » 如何用思科的ACS来配置做H3C设备的radius认证

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情