ACS5.6 EAP-TLS认证

2023年12月25日发(作者：)

无线EAP安全认证

为了公司IT无线上网侧更加安全，现在我们需要对无线客户端进行认证，目前采用两种方式对移动终端进行认证，一种是802.1X中的PEAP+AD域认证，第二种是EAP+TLS认证。相对而言EAP+TLS认证更加安全，但是部署相对复杂.

拓扑图如下：

一、ACS5.6上的配置

1、 添加AAA客户端，本次用的是华为的AC6605：

2、 添加AD域

3、 添加域中的认证组

4、 在Policy Elements > Authorization and Permissions > Network Access > Authorization

Profiles > Edit: "dot1x-profile"中创建profile：

下一步创建profile里面的属性

5、在Access Policies > Access Services >中添加service

点击Allowed Protocols,选择我们需要用的几个协议EAP-TLS ,PEAP

6、在Access Policies > ... > Access Services > Service Selection Rules中创建RADIUS的认证，所有匹配radius的服务全部转到dot1x-service中去处理，注意默认的default 策略需要改成deny

7、在Access Policies > Access Services > dot1x-service > Identity中创建规则，这个规则表明当匹配到EAP-TLS认证是，转到CN Username中去处理，如果不匹配的话，就转到AD1中去处理，这个是做PEAP认证。

8、创建授权信息，主要创建2个规则一个是对EAP-TLS的，一个是对PEAP用的。

默认的的规则里是没有EAP的方式的，需要自定义规则的匹配项：

在这里选择了EAP

上图是给EAP-TLS认证用的

上图是给PEAP使用的

9、由于EAP认证需要用到证书，这个证书是服务器发给客户端的，让客户端对服务器进行验证，因此需要客户端加入域，而且也必需给ACS颁发域证书，这样客户端才能信任服务器的证书，完成EAP-TLS的TLS隧道的建立，具体做法附件文档中;

WIN7 PEAP

rejected the ACS Loc

10、到第九步来说，PEAP认证的配置过程就做完了，EAP还需要2步，我们需要再ACS上导入域的根证书：

先申请根证书：

下载证书：

在Users and Identity Stores > Certificate Authorities > Create中导入证书

最后在Users and Identity Stores >Certificate Authentication Profile >中创建新的CN

Username

二、客户端上的配置

默认的来说，客户端上需要加入域，而且无线侧需要开启WLAN AutoConfig

在无线网卡中需要做如下的配置：

EAP-TLS的

在这里需要注意的书，我们需要将我们的域中的CA服务器选上，不然认证会失败

PEAP认证的设置如下：

在这里需要注意的书，我们需要将我们的域中的CA服务器选上，不然认证会失败

三、AC控制器上的配置：

由于HUAWEI无线控制的版本不同，导致AC的命令也是不同的，现在我们的版本是AC6605 V200R006C10SPC200。

1、创建radius服务器模板

radius-server template ACS

radius-server shared-key cipher cisco

radius-server authentication 10.101.20.220 1645 source ip-address 10.101.20.120

weight 80

2、创建radius认证方式：

authentication-schemeradius_acs

authentication-mode radius

3、配置802.1x接入模板，管理802.1x接入控制参数

dot1x-access-profile name wlan-acs

dot1x authentication-method eap

4、创建名为“wlan-authentication”的认证模板，并绑定802.1X接入模板、认证方案和

RADIUS服务器模板

authentication-profile name wlan-authen

dot1x-access-profilewlan-acs

authentication-schemeradius_acs

radius-server ACS

5、创建WLAN侧配置

wlan

创建无线radius 认证方式

security-profile name radius

security wpa2 dot1x aes

创建无线的SSID

ssid-profile name ssid_test

ssidLytest

创建VAP文件

vap-profile name wlan-vap

service-vlanvlan-id 200

ssid-profilessid_test

security-profile radius

authentication-profilewlan-authen

创建AP组

ap-group name AP_test

regulatory-domain-profile demo

radio 0

vap-profilewlan-vapwlan 1

radio 1

vap-profilewlan-vapwlan 1