06-H3C EIA MSCHAPv2+IASNPS+LDAP 认证典型配置举例
本章节下载: 06-H3C EIA MSCHAPv2+IASNPS+LDAP 认证典型配置举例 (4.19 MB)
H3C EIA MSCHAPv2+IASNPS+LDAP认证
典型配置举例
资料版本:5W100-20260424
产品版本:EIA (E7303)
Copyright © 2026 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档主要介绍通过微软的IAS(Internet Authentication Service)/NPS(Network Policy Server)作为RADIUS服务器,使用MSCHAPv2认证协议实现基于LDAP目录(如Windows Active Directory,AD)的用户身份验证。
· MSCHAPv2:是微软的一种基于挑战-响应机制的认证协议,广泛用于VPN、无线网络(如EAP-PEAP-MSCHAPv2)中的用户身份验证。
· LDAP(Lightweight Directory Access Protocol):是一种访问和维护分布式目录信息服务的协议,Windows AD即是典型的LDAP目录服务。
· IAS/NPS:是微软提供的RADIUS服务器,支持将认证请求中转至实际的身份存储(如AD),并支持各种认证协议。
综上,在EIA中利用微软IAS/NPS中转认证结合LDAP(Windows AD)实现基于MSCHAPv2的用户认证,能够提供安全、稳定且易于管理的认证解决方案,广泛适用于企业网络环境。
主要适用于以下场景:
· 医院网络安全接入:医院内部无线和有线网络用户通过802.1X认证,使用MSCHAPv2协议结合Windows AD统一身份验证,确保医护人员和管理人员的合法访问,保护患者隐私和医疗数据安全。
· 高校校园网认证:学生、教职工通过无线网络或VPN接入校园网,采用MSCHAPv2认证结合LDAP目录的方式进行身份验证,实现集中管理,方便权限分配和账号维护。
· 企业办公环境:员工通过有线或无线网络接入企业内部系统,采用IAS/NPS结合MSCHAPv2的认证方式,确保只有经过验证的用户才能访问关键业务系统和资源。
接入设备支持802.1X协议,网络中需要存在基于Windows AD的LDAP服务器,安装Windows AD可参考安装Windows AD,网络中需要存在网络策略服务器(NPS),安装过程可参考安装网络策略服务器(NPS)。
LDAP启用MSCHAPv2认证使用NPS方式时增加接入服务需要增加服务后缀为空的接入服务,并且创建RADIUS scheme时采用不携带Domain的认证方式,配置为user-name-format without-domain。
某公司计划使用EIA MSCHAPv2 LDAP认证系统并使用IAS/NPS中转服务器控制员工接入公司网络的权限。
本案例中终端用户通过iNode客户端,使用802.1X证书认证;EIA中增加LDAP服务器;LDAP服务器为Windows AD。
· LDAP服务器IP地址为192.168.7.192。
· 接入设备IP地址为172.19.254.101。
· EIA服务器地址为10.144.195.108。
· NPS服务器地址为10.144.195.110。
· EIA:EIA (7303)
· Windows AD:安装于Windows Server 2022
· NPS:安装于Windows Server 2022
· 接入设备:H3C S7502E-XS Comware Software, Version 7.1.070, Release 7536P05
· iNode PC:iNode PC 7.3 (E0648)
总体配置流程如下:
· 增加接入策略
· 增加接入服务
· 同步LDAP用户
· 增加接入设备
· 配置接入设备
在Windows AD服务器中做以下配置:
(1) 命名林根域为“mschapv2.com”
(2) 在mschapv2.com下将Users组中的Administrator用户密码重置为“EIA123456”,管理员DN为“cn=administrator,cn=users,dc=mschapv2,dc=com”。
图2-2 管理员
(3) 在mschapv2.com下新建一个“test2”的组织,并在组织中新建两个成员“test001”和“test002”,该用户的Base DN为“ou=test2,dc=mschapv2,dc=com”。如下图所示。
图2-3 用户
(1) 打开网络策略服务器所在终端,进入[此电脑>属性>高级系统设置>计算机名]页面。
(2) 单击<更改>按钮,进入计算机名/域更改页面,选择“域”选项,配置为LDAP服务器的域“mschapv2.com”,如下图所示。
图2-4 修改域名
(3) 配置完成后,单击<确定>按钮。
(1) 打开网络策略服务器,选择[RADIUS客户端和服务器>RADIUS客户端]菜单项,进入RADIUS客户端页面,如下图所示。
图2-5 RADIUS客户端
(2) 右键单击RADIUS客户端,选择“新建”选项,如下图所示。
图2-6 新建
(3) 进入新建RADIUS客户端页面,配置RADIUS客户端信息,参数说明如下:
¡ 友好名称:本例为“test”。
¡ 地址(IP或DNS):EIA服务器的地址。
¡ 共享机密/确认共享机密:RADIUS客户端的密钥,本例为“EIA123”。
图2-7 新建RADIUS客户端
(4) 配置完成后,单击<确定>按钮,可查看新的RADIUS服务器,如下图所示。
图2-8 查看RADIUS服务器
(1) 选择[策略>网络策略]菜单项,进入网络策略页面,如下图所示。
图2-9 网络策略
(2) 右键单击网络策略,选择“新建”选项,如下图所示。
图2-10 新建
(3) 进入新建网络策略页面,配置策略名称,本例为“LDAP策略”,本例使用的网络访问服务器是802.1X身份验证交换机,所以网络访问服务器的类型选择“未指定”,如下图所示。
图2-11 新建网络策略
(4) 单击<下一步>按钮,进入指定条件页面,如下图所示。
图2-12 指定条件
(5) 单击<添加>按钮,进入选择条件页面,选择日期和时间限制,如下图所示。
图2-13 选择条件
(6) 单击<添加>按钮,弹出日期和时间限制页面,选择“允许”,如下图所示。
图2-14 日志和时间限制
(7) 单击<确定>按钮,返回指定条件页面,如下图所示。
图2-15 指定条件
(8) 单击<下一步>按钮,进入指定访问权限页面,本例希望策略允许用户连接到网络,则选择“已授予访问权限”,如下图所示。
图2-16 指定访问权限
(9) 单击<下一步>按钮,进入配置身份验证方法页面,如下图所示。
图2-17 配置身份验证方法
(10) 单击<添加>按钮,弹出添加EAP窗口,将三种身份验证方式全部添加,如下图所示。
图2-18 EAP类型
(11) 其他参数值保持缺省,单击<下一步>按钮,进入配置约束页面,本例保持缺省值即可,如下图所示。
图2-19 配置约束
(12) 单击<下一步>按钮,进入配置约束页面,本例保持缺省值即可,如下图所示。
图2-20 配置设置
(13) 单击<下一步>按钮,进入正在完成新建网络策略页面,如下图所示。
图2-21 正在完成新建网络策略
(14) 单击<完成>按钮,返回网络策略页面,可查看新增的网络策略,如下图所示。
图2-22 网络策略
(15) 右键单击新建的网络策略,选择“属性”,进入策略属性页面,勾选“忽略用户帐户的拨入属性”,如下图所示。
图2-23 策略属性
(16) 单击<确定>按钮,完成配置。
打开注册表,查看HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel键值,是否为3,若不是则修改为3,然后重启服务器。
图2-24 修改注册表
配置EIA服务器时,建议按照以下顺序配置:
· 增加接入策略
· 增加接入服务
· 增加LDAP服务器
· 增加LDAP同步策略
· 同步LDAP用户
· 增加接入设备
增加接入策略的方法如下:
(1) 单击[自动化>网络准入>准入管理>接入服务>接入策略]菜单项,进入接入策略页面,如下图所示。
图2-25 接入策略
(2) 单击<增加>按钮,进入增加接入策略页面,如下图所示。
¡ 接入策略名:输入接入策略名“LDAP策略”;
¡ 认证类型:选择“EAP-PEAP”;
¡ 子类型:选择“EAP-MSCHAPv2”;
¡ 其他参数均保持缺省值即可,详细介绍可参见产品联机帮助。
(3) 单击<确定>按钮,接入策略增加完成。返回接入策略列表,在列表中查看新增的接入策略,如下图所示。
接入服务是对用户进行认证授权的各种策略的集合。
增加接入服务的方法如下:
(1) 单击[自动化>网络准入>准入管理>接入服务>接入服务]菜单项,进入接入服务页面,如下图所示。
图2-28 接入服务列表
(2) 单击<增加>按钮,进入增加接入服务页面,如下图所示。
配置接入服务参数如下:
¡ 服务名:输入接入服务名“LDAP服务”;
¡ 服务后缀:LDAP启用MSCHAPv2认证使用NPS方式时不需要携带服务后缀;
¡ 缺省接入策略:选择缺省接入策略“LDAP策略”;
表2-1 EIA中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
EIA中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见上表。本案例中EIA服务没有配置服务后缀,认证连接用户名使用X,接入设备中配置user-name-format without-domain命令。
(3) 单击<确定>按钮,接入服务增加完毕。返回接入服务列表,在列表中查看新增的接入服务,如下图所示。
(1) 单击[自动化>网络准入>准入管理>LDAP配置>服务器配置]菜单项,进入服务器配置页面,如下图所示。
图2-31 LDAP服务器列表
(2) 单击<增加>按钮,进入增加LDAP服务器页面,如下图所示。
¡ 服务器名称:输入服务器名称“Windows AD”。
¡ 服务器地址:输入服务器地址“10.144.195.159”。
¡ 服务器类型:选择服务器类型“微软活动目录”。
¡ 管理员DN:输入管理员DN“CN=Administrator,CN=Users,DC=mschapv2,DC=com”。
¡ 管理员密码:输入管理员密码“EIA123456”。
¡ Base DN:输入Base DN“OU=test2,DC=mschapv2,DC=com”。
¡ 用户分组:选择用户分组方式“按OU同步”。
¡ 启用MS-CHAPv2认证:选择“是”,为Windows AD服务器启用MSCHAPv2认证
¡ 认证方式:选择“通过微软IAS/NPS中转认证”。
¡ 服务器IP地址:配置为网络策略服务器的IP地址。
¡ 服务器端口:本例为“1812”。
¡ 共享密钥/确认密钥:配置为新建RADIUS客户端的密钥。
¡ 其他参数保持缺省值即可。
图2-32 增加LDAP服务器1
图2-33 增加LDAP服务器2
(3) LDAP服务器信息配置完成后,单击<检测>按钮,测试服务器的连通性。如果服务器信息正确,检测结果如下图所示。
(4) 单击<确定>按钮,增加LDAP服务器操作完成。在列表中查看新增LDAP服务器,如下图所示。
(1) 单击[自动化>网络准入>准入管理>LDAP配置>同步策略配置]菜单项,进入同步策略配置页面,如下图所示。
(2) 单击<增加>按钮,进入增加同步策略页面,如下图所示。
¡ 同步策略名称:输入同步策略名称“LDAP同步策略”;
¡ 服务器名称:选择服务器名称“Windows AD”;
¡ 子Base DN:输入“ou=test2,dc= mschapv2,dc=com”;
¡ 其他参数保持缺省值即可。
(3) 单击<下一步>按钮,进入其他信息配置页面,如下图所示。
¡ 在基本信息区域,输入密码“EIA123”;当LDAP用户解除与LDAP服务器的绑定关系时,作为接入用户使用该密码可以通过EIA认证。
¡ 在接入服务区域,勾选“LDAP服务”;
¡ 可根据Windows AD的具体配置为其他参数选择合适的属性,本案例中其他参数均保持缺省值。
图2-39 选择服务
(4) 单击<确定>按钮,增加LDAP同步策略操作完成。
图2-40 LDAP同步策略增加成功
LDAP服务器同步策略配置完成后,在同步策略列表中,单击“同步”链接,手动同步LDAP用户。同步结果如下图所示。
单击[自动化>网络准入>准入管理>LDAP配置>同步策略配置]菜单项,进入接入用户管理页面。在接入用户列表中查看LDAP接入用户,如下图所示。
增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。
增加接入设备的方法如下:
(1) 单击[自动化>网络准入>准入管理>接入设备>接入设备]菜单项,进入接入设备页面,如下图所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如下图所示。
a. 输入及确认共享密钥“expert”。其他参数保持缺省值。
b. 在设备列表中单击<增加IPv4设备>按钮,在弹出的增加接入设备页面输入设备起始IP地址为“172.19.254.101”。单击<确定>按钮,返回增加接入设备页面。
接入设备的IP地址必须满足以下条件:
· 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
· 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
(3) 单击<确定>按钮,增加接入设备完毕,在列表中查看新增的接入设备,如下图所示。
图2-45 查看新增的接入设备
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口Telnet到接入设备并进行配置,具体的命令及其说明如下:
<Device>system-view
System View: return to User View with Ctrl+Z.
[Device]radius session-control enable
//启用radius session-control 参数避免强制下线不生效。
[Device]radius scheme test
New RADIUS scheme
[Device-radius-test]primary authentication 10.144.195.108 1812
[Device-radius-test]primary accounting 10.144.195.108 1813
//认证、计费服务器都指向EIA,认证、计费端口与EIA中增加接入设备时的配置保持一致。
[Device-radius-test]key authentication simple expert
[Device-radius-test]key accounting simple expert
//认证、计费共享密钥与EIA中增加接入设备时的配置保持一致。
[Device-radius-test]user-name-format without-domain
//本案例采用不携带Domain的认证方式。EIA、设备中配置的搭配关系请参见上表。
[Device-radius-test]nas-ip 172.19.254.101
[Device-radius-test]quit
[Device]domain test
[Device-isp-cert]authentication lan-access radius-scheme test
[Device-isp-cert]authorization lan-access radius-scheme test
[Device-isp-cert]accounting lan-access radius-scheme test
//认证、授权、计费都采用之前配置的Radius scheme test。
[Device-isp-cert]quit
[Device]dot1x authentication-method eap
//Windows AD进行EAP-MSCHAPv2认证时,802.1X认证方式必须设置为EAP。
[Device]dot1x
[Device]interface Ten-GigabitEthernet 1/1/23
[Device-Ten-GigabitEthernet 1/1/23]dot1x
[Device-Ten-GigabitEthernet 1/1/23]quit
//只有在全局和接口上都启用802.1X认证,802.1X认证才生效。
认证步骤如下:
当前EIA适配所有版本的iNode,iNode的版本可以按需进行选择。
(1) 打开iNode客户端,如下图所示。
(2) 单击“更多”链接,选择“属性”菜单,弹出802.1X属性设置窗口,如下图所示。
(3) 选择“高级”页签,进入高级认证配置页面,如下图所示。
(4) 勾选“启用高级认证”前的复选框,并在下拉框中选择“证书认证”,认证类型选择“PEAP”,子类型选择“MS-CHAP-V2”,如下图所示。
(5) 单击<确定>按钮,802.1X属性设置完成。
打开iNode客户端,输入用户名密码,单击<连接>按钮,客户端开始认证。认证信息打印在iNode客户端主窗口中。认证信息显示认证成功,验证了本例配置的正确性。
图2-50 认证窗口
图2-51 802.1X认证
图2-52 认证成功
用户上线成功后,在EIA配置页面中,单击[自动化>网络准入>准入管理>在线用户>本地在线用户]菜单项,可查看到在线用户。
本例以在Windows Server 2022下配置为例进行介绍。
(1) 单击服务管理器,进入仪表板界面,如下图所示
(2) 单击[管理]页签,选择“添加角色和功能”选项,进入添加角色和功能向导页面,如下图所示,单击<下一步>按钮。
(3) 进入选择安装类型页面,如下图所示,选择“基于角色或基于功能的安装”选项,单击<下一步>按钮。
(4) 进入服务器选择页面,选择“从服务器池中选择服务器”,如下图所示,单击<下一步>按钮。
(5) 进入选择服务器角色页面,勾选“Active Directory域服务”选项,如下图所示。
(6) 弹出确认窗口,单击<添加功能>按钮,然后单击<下一步>按钮。
图3-6 添加功能
(7) 进入功能页面,如下图所示,直接单击<下一步>按钮。
(8) 进入AD DS页面,如下图所示,直接单击<下一步>按钮。
(9) 进入确认页面,勾选“如果需要,自动重新启动目标服务器”选项,如下图所示。
(10) 单击<安装>按钮,进入结果页面,查看安装进度,如下图所示。
(11) 进入结果页面,选择“将此服务器提升为域控制器”链接,如下图所示。
(12) 进入部署配置页面,选择“添加新林”选项,填写根域名,本文以“aa.com”为例。
(13) 单击<下一步>按钮,进入域控制器选项页面,选择新林和根域的功能级别,并输入目录服务还原模式(DSRM)密码,如下图所示。
(14) 单击<下一步>按钮,进入其他选项页面,如下图所示。
(15) 直接单击<下一步>按钮,进入路径页面,如下图所示。
(16) 单击<下一步>按钮,进入查看选项页面,如下图所示。
(17) 直接单击<下一步>按钮,进入先决条件检查页面,如下图所示。
(18) 待先决条件检查完之后,单击<安装>按钮,安装完成后,提示重启。
(19) 重启完成后,重新登录域服务器。
(20) 打开服务器管理器,选择[工具>Active Directory用户和计算机]路径,如下图所示。
图3-17 打开Active Directory用户和计算机
(21) 进入Active Directory用户和计算机页面,如下图所示,可查看用户和组管理。
(22) 进入[控制面板>系统和安全>系统>高级系统设置>计算机名]路径,如下图所示,可以查看域控安装成功。
(1) 打开服务器管理器,进入仪表板界面,如下图所示。
(2) 选择添加角色和功能,连续单击<下一步>按钮,直到进入选择服务器角色页面,选择Active Directory证书服务,如下图所示,单击<下一步>按钮。
(3) 进入添加角色和功能向导页面,单击<添加功能>按钮,如下图所示。
(4) 进入角色服务页面,勾选证书颁发机构选项,如下图所示,单击<下一步>按钮。
(5) 进入确认页面,勾选“如果需要,自动重新启动目标服务器”选项,如下图所示,单击<安装>按钮。
(6) 进入结果页面,查看安装进度,如下图所示。
(7) 安装完成后单击“配置目标服务器上的Active Directory证书服务”,进入凭据页面,如下图所示,单击<下一步>按钮。
(8) 进入角色服务页面,勾选“证书颁发机构”,如下图所示,单击<下一步>按钮。
(9) 进入指定CA的设置类型页面,如下图所示,单击<下一步>按钮。
(10) 进入指定CA类型页面,如下图所示,单击<下一步>按钮。
图3-29 CA类型
(11) 进入私钥页面,选择创建新的私钥,如下图所示,单击<下一步>按钮。
(12) 进入指定加密选项,选择SHA1选项,如下图所示,单击<下一步>按钮。
(13) 进入指定CA名称页面,保持缺省值,如下图所示,单击<下一步>按钮。
图3-32 CA名称
(14) 进入指定有效期页面,设置有效期,如下图所示,单击<下一步>按钮。
(15) 进入证书数据库页面,如下图所示,单击<下一步>按钮。
(16) 进入确认页面,如下图所示,单击<配置>按钮。
(17) 查看配置进度,如下图所示。
(18) 安装完成后提示配置成功,如下图所示。
(19) 安装完成之后可进入[服务器管理器>工具>证书颁发机构>颁发的证书]页面查看证书,如下图所示。
本例以在Windows Server 2022下配置为例进行介绍。
(1) 单击服务管理器,进入仪表板界面,如下图所示
图4-1 仪表板
(2) 单击[管理]页签,选择“添加角色和功能”选项,进入添加角色和功能向导页面,如下图所示,单击<下一步>按钮。
图4-2 添加角色和功能向导
(3) 进入选择安装类型页面,如下图所示,选择“基于角色或基于功能的安装”选项,单击<下一步>按钮。
图4-3 安装类型
(4) 进入服务器选择页面,选择“从服务器池中选择服务器”,如下图所示,单击<下一步>按钮。
图4-4 服务器选择
(5) 进入选择服务器角色页面,勾选“网络策略和访问服务”选项,如下图所示。
图4-5 服务器角色
(6) 弹出提示窗口,如下图所示,单击<添加功能>按钮,然后单击<下一步>按钮。
图4-6 提示
(7) 进入选择功能页面,如下图所示,直接单击<下一步>按钮。
图4-7 选择功能
(8) 进入网络策略和访问服务页面,如下图所示,单击<下一步>按钮。
图4-8 网络策略和访问服务
(9) 进入确认安装所选内容页面,如下图所示,单击<安装>按钮。
图4-9 确认安装所选内容
(10) 进入安装进度页面,如下图所示,等待安装完成。
图4-10 安装进度
至此,安装网络策略服务器完成。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
