14-H3C EIA Google证书认证典型配置举例
本章节下载: 14-H3C EIA Google证书认证典型配置举例 (3.99 MB)
H3C EIA Google证书认证
典型配置举例
资料版本:5W106-20260522
产品版本:EIA (E7401)
Copyright © 2026 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本手册介绍如何在EIA中将Google配置为第三方认证服务器,把原本仅支持本地用户的证书自动部署功能扩展到Google账号体系。用户可直接使用Google账号进行身份认证,认证通过后,EIA会自动为其下发上网证书并完成终端准入认证。这样既解决了Google用户无法依靠本地账号认证上线的问题,又实现了在统一账号体系下的便捷、安全接入与证书自动化管理。
Google认证先通过无线Portal方式下载并安装证书,然后再切换为802.1X方式进行EAP-TLS证书认证,主要适用的场景如下:
· 使用Google作为统一账户体系的企业/学校:组织内所有员工或师生都使用 Google 账号登录各类系统,希望接入网络时也沿用同一账号,无需额外申请或维护本地EIA账号。
· 终端、多平台统一认证接入的环境:如PC、手机、平板等多设备接入无线/有线网络,希望用户在任一终端上使用Google 登录后即可自动获取证书,简化多端接入体验。
· 已有基于Google的单点登录(SSO)体系:组织内其他业务系统已通过Google实现SSO,希望网络接入(含证书发放)也纳入同一SSO体系,降低运维和用户使用门槛。
· 配置前需确保网络互通、路由可达。
· EIA服务器时间必须与Google服务器时间保持一致。
· 本案例中采用的是EAP-TLS证书认证方式,即客户端与服务器通信前需要相互验证对方证书的合法性,在对EIA服务器和iNode客户端进行配置之前,必须先到证书颁发机构申请证书。其中EIA服务器需要申请根证书和服务器证书,iNode客户端需要申请根证书和客户端证书。
· 证书认证需要启动HTTPS开关,登录EIA系统,选择[系统>系统配置>安全配置>HTTPS证书配置]菜单项,进入HTTPS证书配置页面,开启“启用HTTPS”开关,单击<确定>按钮,如下图所示。
图2-1 启用HTTPS
某公司计划使用Google用户的证书快速自动部署,用户接入网络时需要进行身份验证,配置案例的组网环境如下图所示。
· EIA版本:EIA (E7401)
· iNode版本:iNode PC 7.3 (E0577)
总体配置流程如下:
· 配置Google应用
· 证书服务器配置
· 配置外置DNS
· 增加接入设备
· 增加接入策略
· 增加接入服务
· 增加接入用户
· 配置Google
· 增加模板库
· 下发策略
· 认证页面配置
· 接入设备配置
(1) 登录Google开发者平台(https://console.cloud.google.com/apis)
(2) 单击<创建应用>按钮,进入创建应用页面,如下图所示。
图3-2 创建应用页面
(3) 单击“创建项目”链接,进入创建项目页面,填写应用基本信息,然后单击<创建>按钮。
图3-3 基本信息填写页面
(1) 选择OAuth同意屏幕页签,进入OAuth同意屏幕页面,配置User Type,选择“外部”,如下图所示。
图3-4 User Type选择
(2) 单击<创建>按钮,进入修改应用注册页面,修改应用信息。
图3-5 修改应用注册页面1
图3-6 修改应用注册页面2
(3) 单击<保存并继续>按钮,进入范围页面,只需要选择userinfo.profile即可,如下图所示。
图3-7 更新所选范围
(4) 配置完成后,进入测试用户页面,单击<ADD USERS>按钮,可以添加测试用户。(当发布状态设置为“测试”时,只有测试用户能够登录Google应用)
图3-8 添加用户
(5) 添加完成后,单击<保存并继续>按钮。
(1) 选择凭据页签,单击<创建凭据>按钮,选择OAuth客户端ID,如下图所示。
图3-9 创建凭据页面
(2) 进入创建OAuth客户端ID页面,应用类型选择Web应用,如下图所示。
图3-10 选择应用类型
(3) URI及Javascript来源的重定向URI是https://cloudnetportal.h3c.com/portal/googleCallback.html,Javascript来源必须是https协议,示例如下。
图3-11 授权
(4) 上述配置完成后,再次单击左树菜单“凭据”,可看到右侧内容的列表,单击修改按钮,可以看到客户端ID和客户端密钥。
图3-12 客户端
证书自动部署依赖了统一数字底盘的证书服务能力,需要部署统一数字底盘的Extension组件并启用certificate服务pod。
(1) 在浏览器中输入“https://ip_address:8443/matrix/ui”,登录Matrix。其中“ip_address”为北向业务虚IP地址。单击[观测>监控>应用监控]菜单项,进入应用监控页面。
图3-13 应用监控
(2) 在Unified Platform区域,展开BMP_Extension组件,单击certificate应用操作列的
按钮,启动应用。
图3-14 启动应用
在浏览器中输入统一数字底盘的登录地址“https://ip_address:30000”,其中“ip_address”为统一数字底盘所在的集群北向业务虚IP,登录统一数字底盘页面后,单击[系统>系统配置>证书管理>本地证书]页面,可以申请或者吊销证书,Google上线后申请的证书在此处管理。
图3-15 证书管理
(1) 在浏览器中输入“https://ip_address:8443/matrix/ui”,登录Matrix。其中“ip_address”为北向业务虚IP地址。单击[部署>集群>集群参数]菜单项,进入集群参数页面,如下图所示。
图3-16 集群参数页面
(2) 单击右上角<修改>按钮,进入修改集群参数页面,勾选“外置DNS服务器”选项,如下图所示。
图3-17 修改集群参数
(3) 单击<增加DNS服务器>按钮,弹出增加DNS服务器页面,配置DNS服务器IP,如下图所示。
图3-18 增加DNS服务器
(4) 配置完成后,单击<确定>按钮。
(1) 登录EIA系统,单击[自动化>网络准入>准入管理>接入设备]菜单项,进入设备配置页面,如下图所示。
图3-19 接入设备页面
(2) 单击<增加>按钮,进入增加接入设备页面,如下图所示。
(3) 配置公共参数。
公共参数的配置要求如下:
¡ 认证端口:EIA监听RADIUS认证报文的端口。
¡ 计费端口:EIA监听RADIUS计费报文的端口。
目前仅支持将EIA同时作为认证和计费服务器,不支持将EIA作为认证服务器、其他服务器作为计费服务器的场景。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果[自动化>网络准入>准入管理>参数管理>接入认证>系统参数]中的密钥显示方式设置为明文时,只需输入一次共享密钥即可。
¡ 强制下线方式:在下拉框中选择强制用户下线的方式,包括断开用户连接和Down-Up端口。前者表示EIA服务器向NAS设备下发Disconnect Message(DM)强制用户下线;后者表示EIA服务器向NAS设备下发Change-of-Authorization(CoA)消息强制用户下线,NAS设备收到CoA消息后先Down掉连接用户的端口,然后再重新UP该端口。
¡ 强制下线端口:当服务器强制终端用户下线时,设备支持的端口。本端口仅适用于非Radius Over TLS场景。
¡ 业务类型:接入设备所承载的业务类型,目前仅支持设备管理业务和接入用户业务。
¡ 接入设备类型:可以选择各个厂商的设备或标准协议类型。管理员也可以配置自定义厂商。
¡ 授权报文类型:授权报文类型支持“私有报文”和“COA报文”,默认为“私有报文”,只有接入设备类型为“H3C (General)”或“HUAWEI (General)”时才会显示该字段。
¡ 业务分组:用于分权管理,使特定的人只能管理特定的业务,既职责分明,也不会互相越权。此处配置该接入设备所属的业务分组,用于分权管理不同的接入设备。只有拥有该业务分组权限的管理员/维护员才能配置接入设备。
¡ 接入位置分组:在下拉框中选择接入设备需要加入的接入位置分组。可选项包括EIA中已经存在的接入位置分组和“无”。接入位置分组是区分终端用户的接入条件之一。
¡ 下发User-Notify属性:该属性用于对接iNode客户端认证时下发服务器侧配置信息。对于华为和3com早期设备、H3C设备,需要配置为“是”进行下发;对于华为新设备,设备自身重用了User-Notify属性,需要配置为“否”不进行下发;其他厂商设备不涉及该属性配置。
¡ VLAN格式:VLAN属性值的格式。可以是默认、字符串或数字。
¡ 下发TAG属性:如果分配的属性值是一个字符串或数字,则可以选择在前面添加一个TAG,以指示该属性值的格式和含义。该字段是可选字段,RFC协议没有明确说明是否必须,但对于不同设备可能存在不同情况,有的设备可能需要有的可能不需要,一般建议是携带TAG。
¡ 设备分组:选择设备的分组。
¡ Nas ID:接入设备的唯一标识符。如果Radius报文中不存在接入设备IP属性,但存在Nas ID属性,则Radius服务器将使用Nas ID唯一标识一台接入设备。
¡ 服务器TLS端口:本端口适用于Radius Over TLS场景,此场景中服务器与设备之间通过TLS隧道加密通信。本端口是服务器侧的监听端口,服务器通过此端口接受设备发送的认证和计费报文。如果端口配置为0,则表示服务器不启用TLS监听功能,设备无法通过TLS隧道向服务器发送认证报文或者计费报文。
¡ 设备TLS端口:本端口适用于Radius Over TLS场景,此场景中服务器与设备之间通过TLS隧道加密通信。本端口是设备侧的监听端口,设备通过此端口接受服务器发送的Radius COA请求。如果配置为0,则表示服务器将不通过TLS隧道发送Radius COA请求给设备,而是发送明文的Radius COA请求给设备。
¡ 校验Message-Authenticators属性:该功能用于校验非EAP认证报文中的Message- Authenticators属性 ,Message-Authenticators属性用于对RADIUS报文进行完整性校验和认证。开启后要求认证请求报文和计费请求报文必须携带该属性,否则认证失败,认证成功后,认证服务器会下发该属性给认证设备。该功能需要配合认证设备使用,要求认证设备支持携带该属性。
本例中公共参数只需要输入共享密钥\确认共享密钥“movie”,其他保持默认即可。
(4) 单击<增加IPv4设备>按钮,增加地址“1.2.4.199”的设备,如下图所示。
(5) 单击<确认>按钮,增加接入设备完成,如下图所示。
图3-22 增加接入设备完成
增加两个接入策略分别为证书认证和BYOD认证使用,增加接入策略的方法如下。
(1) 单击[自动化>网络准入>准入管理>接入服务>接入策略]菜单项,进入接入策略页面,如下图所示。
图3-23 接入策略
(2) 单击<增加>按钮,进入增加接入策略页面,如下图所示。配置接入策略名为Azure接入策略,选择认证类型为“EAP-TLS”,用于证书认证,其他参数保持默认即可。
参数说明:
¡ 接入时段:选择了某一接入时段策略后,使用此规则的用户只能在接入时段策略中定制的时间段内允许接入。
¡ 速率下发策略:控制是否下发平均速率和峰值速率。
- 平均速率:下行速率或上行速率。
- 峰值速率:基于下行速率×下行倍率或上行速率×上行倍率计算得出。
¡ 上行、下行速率:根据设定的上下行速率来限制用户使用该规则上网时的上传、下载速率。
¡ 上行、下行速率倍率:用于计算下行/上行峰值速率使用,下行/上行峰值速率=下行/上行速率*下行/上行速率倍率,下行/上行峰值速率是下发到交换机的QoS配置,即下行/上行流量突发峰值速率。
¡ 优先级:它的高低确定了在网络拥塞时转发报文的优先顺序,此参数应从设备支持的优先级中选取,数值越小优先级越高。配置错误可能导致用户无法上线。
¡ 下发用户组:用户认证通过后向设备下发该用户所属的用户组,可以输入多个组,每个组以分号分隔。与ACG1000联动或与SSL VPN设备配合时,该属性才有效 。
¡ 认证类型:进行EAP认证时,RADIUS服务器优先下发给客户端的EAP类型。包括:EAP-MD5、EAP-TLS、EAP-TTLS和EAP-PEAP。当首选EAP类型为EAP-TTLS和EAP-PEAP时,还需要首选EAP-MSCHAPv2、EAP-MD5和EAP-GTC其中的一种子类型。
- EAP-MD5:一种EAP认证方式,使用CHAP方式进行认证。
- EAP-TLS:是一种基于证书的身份认证,它需要PKI的部署来管理证书。它推荐进行服务器和客户端之间双向认证,认证双方是用证书来标识自己的身份。在认证通过之后,TLS的认证双方会协商出一个共享密钥、SessionId以及整套的加密套件(加密,压缩和数据完整性校验),这样认证双方就建立了一个安全可靠的数据传输通道。EAP-TLS是客户端和AAA服务器借助接入设备的透传,通过TLS协议进行的身份认证。EAP-TLS可以利用SessionId进行快速重认证,简化认证流程,加快认证速度,还对较大的TLS报文进行了分片处理。
- EAP-TTLS:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道内部再承载子类型。它具有保护用户标识和EAP认证的协商过程的作用。隧道内的子类型可以是EAP类型,也可以是非EAP类型。目前EIA支持TTLS下三个EAP的子类型(EAP-MSCHAPv2、EAP-MD5、EAP-GTC)。EIA在配置接入策略指定首选EAP类型为EAP-TTLS时,也必须首选一种EAP的子类型。在实际认证过程中,如果终端采用非EAP的子类型,如PAP,则终端可以忽略EIA的配置,使用终端配置的子类型进行认证。
- EAP-PEAP:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道上再发起EAP认证。它具有保护用户标识,保护EAP认证的协商过程的作用。目前EIA仅支持EAP-MSCHAPv2、EAP-MD5和EAP-GTC认证类型。
¡ 认证密码方式:
- 如果选择“账号密码”,服务器只校验账号密码。
- 如果选择“动态密码”,服务器只校验动态密码,动态密码由短信、电子邮件、企业微信、钉钉应用和政务微信五种方式发送给用户。
- 如果选择“账号密码+动态密码”,服务器同时校验账号密码和动态密码,动态密码由短信方式发送给用户。
- 如果选择“账号密码+异步短信验证码”,服务器先校验账号密码,账号密码校验通过后再去校验短信验证码,验证码由短信方式发送给用户。
- 如果选择了“Portal Web证书认证”,服务器校验Portal Web证书。
- 如果选择了“企业名称+手机号”,服务器同时校验企业名称和手机号。
- 如果选择了“人脸识别”,服务器只校验人脸识别。
由于动态密码只支持PAP、EAP-MD5、EAP-PEAP/EAP-MD5和 EAP-PEAP/EAP-GTC四种认证方式,所以选择“动态密码”或“账号密码+动态密码”时,认证方式只能配置为以上四种方式。
¡ EAP自协商:当客户端配置的EAP类型与EIA中配置的首选EAP类型不同时的处理方式。配置为“启用”时,EIA完全适应由客户端中配置的EAP认证方式,即无论客户端中配置什么类型的EAP认证,EIA都允许客户端继续认证。配置为“禁用”时,如果客户端配置的EAP类型与EIA中配置的首选EAP类型不同,则EIA拒绝其认证。
¡ 单次最大在线时长(分钟):使用该策略的接入账号认证成功后可在线的最长时间,单位为分钟。该参数缺省值为空,表示不限制;最小值为1,最大值为1440。如果账号在线时间超过该参数值,EIA则强制该用户下线。
¡ 下发地址池:输入地址池名称。EIA将地址池名称下发给接入设备,接入设备根据下发的地址池名称寻找设备上对应的地址池,然后给用户分配该地址池中的IP地址。只有下发设备上配置了对应的地址池,该功能才生效。
¡ 下发VLAN:设置向用户下发的VLAN,当接入设备类型为H3C(General)、Huawei(General)、HP(Comware)、3Com(General)时,如果配置的VLAN为1~4094,接入业务以整型的VLAN ID下发给设备,设备上的VLAN分配模式应为整型;所有其他值都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型。其他设备类型都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型,用户认证通过后将只能访问该VLAN的内部资源。
¡ 离线检查时长(小时):哑终端认证通过后向设备下发该参数,设备以该参数作为时间间隔,周期性检测哑终端是否已离线。该参数为空时,表示不检测;时长必须为整数,范围为[0,596523]。该参数只适用于哑终端。
¡ 下发VSI名称:对于采用VXLAN组网的场景,Leaf设备作为接入设备时,可以下发VSI名称,将用户划分到相应的VXLAN中。
¡ 终端信息不一致处理方式:用户进行认证过程中,如果系统获取到的该用户终端信息与数据库中已存在的终端信息不一致时的处理方式。“拒绝认证”即拒绝用户上线;“记录差异日志后允许认证”即允许用户继续认证,并将终端信息差异记录到日志中。
¡ 终端信息更新时处理动作:如果在接入场景中使用终端信息做接入条件,要求终端首次认证识别到终端信息时立即生效,可以配置该参数。配置该参数后,在上线过程中如果识别到终端信息有更新,会对当前在线用户做强制下线处理,后续再发起认证时可以根据终端信息匹配到正确的接入场景。
¡ 会话结束时处理动作:当会话服务结束后,接入设备应该采取的动作。通过在Access-Accept报文中下发Termination-Action属性值实现。
- 如果选择“按设备厂商”,则根据接入设备类型进行处理。
- 如果选择“下线”,表示将用户下线。
- 如果选择“重认证”,表示对用户进行重认证。当指定服务终止(如:用户在线时长达到Session-Timeout的属性值)时,接入设备会对用户进行重认证。
¡ 在线最大时长预警阈值(分钟):达到最大在线时长下线提前预警,适用于使用客户端认证。单位为分钟。比如该参数值为20,表示达到最大在线时长提前20分钟预警。
¡ 重定向URL:配置重定向的URL。
¡ 分配IP地址:是否下发用户IP地址。
¡ 下发User Profile:将用户配置文件名称下发给设备,实现基于用户的QoS功能。只有下发设备上已经配置完成了User Profile,User Profile才生效。
¡ 禁止在线修改IP地址:勾选该参数后禁止在线修改IP地址。
¡ 下发ACL:设置向用户下发的访问控制列表。ACL列表可以从以下4种方式选择:
- 手工输入(IPv4)。
- 手工输入(IPv6)。
- 接入ACL列表:其值可以在接入ACL策略管理配置。
- 动态ACL:动态ACL根据厂商有不同的规则。
¡ 认证绑定信息:目前接入策略管理与接入设备配合可对接入设备IP地址、端口、VLAN、QinQ双VLAN、接入设备序列号、用户IP地址、MAC地址、IMSI、IMEI、手机号、无线用户SSID和硬盘序列号进行绑定检查。客户端与策略服务器配合可对用户IP地址、MAC地址、计算机名称、计算机域、用户登录域和硬盘序列号进行绑定检查。其中MAC地址绑定、手机号绑定和IMSI绑定只能同时选择一个。当账号用户申请具有绑定策略的服务时,可以设置相关的绑定信息,如果不设置,绑定时将采用自学习策略。所谓自学习就是绑定用户首次上网时所使用的相关参数,比如用户使用的服务采用自学习绑定用户IP地址,用户首次使用该业务上网时的IP地址为10.100.10.10,则今后用户只能通过使用这个IP地址才能通过认证。
¡ 用户客户端配置:用来对用户认证客户端进行限制。如果选中“仅限客户端”,则最终用户只能使用客户端进行认证上网,同时可以通过禁用代理服务器、IE代理、修改MAC地址等功能来对用户进行限制。
图3-24 增加接入策略
(3) 配置完成后,单击<确定>按钮,接入策略增加完成,如下图所示。
图3-25 增加接入策略完成
(4) 重复上述操作,新增一个接入策略名为“BYOD接入策略”,其他参数保持缺省值,用于BYOD认证,如下图所示。
图3-26 增加接入策略
增加两个接入服务分别为证书认证和BYOD认证使用,增加接入服务的方法如下。
(1) 单击[自动化>网络准入>准入管理>接入服务>接入服务]菜单项,进入接入服务页面,如下图所示。
(2) 单击<增加>按钮,进入增加接入服务页面。增加用于证书认证的接入服务。
配置服务的各个参数:
¡ 服务名:本案例中配置为“Google接入服务”。
¡ 缺省接入策略:选择增加接入策略配置的“Google接入策略”。
¡ 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见下表。
¡ 缺省私有属性下发策略:不受接入位置分组限制的用户上网时,服务器会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上。
¡ 缺省安全策略: 不受接入位置分组限制的用户上网时,会根据该安全策略指定的安全方案对用户的上网的计算机进行安全检查和监控,从而实现网络的自动防御。该选项只有安装了EAD终端合规管理模块后才会出现。
¡ 缺省内网外连策略:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省内网外连策略的控制。
¡ 安全组:资源访问控制的规则集合,本例保持缺省值。
¡ 安全子组:是安全组的细分,本例保持缺省值。
¡ 缺省单账号最大绑定终端数:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单账号最大绑定终端数的控制。
¡ 缺省单账号在线数量限制:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单账号在线数量限制的控制。
¡ 单日累计在线最长时间(分钟):每天允许账号使用该服务接入网络的总时长,达到该时长后,账号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440。
¡ 服务描述:针对该服务的简单描述,以方便操作员的日常维护。
表3-1 EIA中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 配置完成,单击<确定>按钮,增加接入服务完成,如下图所示。
图3-29 增加接入服务完成
(4) 重复上述操作,新增一个接入服务名为“BYOD接入服务”,缺省接入策略选择增加接入策略配置的“BOYD接入策略”,其他参数保持缺省值,用于BYOD认证,如下图所示。
图3-30 增加接入服务
增加两个接入用户分别为BYOD匿名用户和接入账号。增加接入用户的方法如下:
(1) 单击[自动化>网络准入>准入管理>接入用户>接入用户]菜单项,进入接入用户页面,配置BYOD匿名用户。
(2) 单击<增加>按钮,进入增加接入用户页面。
图3-33 选择接入服务
参数说明:
¡ 用户姓名、证件号码:用户的姓名及证件号码。
¡ 用户类型:缺省BYOD用户,缺省BYOD用户的账号名固定为“byodanonymous”,且账号密码不用再设置。
¡ 勾选增加接入服务为BYOD认证增加的“BYOD接入服务”。
¡ 其他参数:保持缺省值。
(3) 单击<确定>按钮,BYOD匿名用户配置完成,返回接入用户页面。可在接入用户列表中查看新增的BYOD匿名用户byodanonymous。
(4) 然后增加证书认证使用的接入用户,单击<增加>按钮,进入增加接入用户页面。
图3-35 增加用户
图3-36 选择接入服务
参数说明:
¡ 用户姓名、证件号码:用户的姓名及证件号码。
¡ 用户类型:选择普通用户。
¡ 账号名:唯一标识账号用户的名称,用户使用该名称申请和使用服务,该名称不能与已有名称相同,不能包含如下特殊字符:#+/?%&=*'@\"[]()<>`和TAB键,且最大长度为200字符。
¡ 密码/确认密码:输入两次相同的密码。
¡ 勾选增加接入服务为证书认证增加的“Google接入服务”。
¡ 其他参数:保持缺省值。
(5) 单击<确定>按钮,完成增加接入用户,返回接入用户页面。可在接入用户列表中查看新增的接入用户。
(1) 单击[自动化>网络准入>准入管理>接入服务>APP认证配置>Google]菜单项,进入Google配置页面,如下图所示。
图3-38 Google配置
(2) 配置如下参数:
¡ 应用ID:创建Google应用时自动生成的唯一标识,本例为创建凭据的客户端ID。
¡ 应用密钥:创建Google应用时自动生成的密钥;“应用密钥”和“应用ID”是一一对应、搭配使用的,本例为创建凭据的客户端密钥。
¡ 回调地址:用户在Google官方登录页中登录成功后,浏览器会自动跳转到此处填写的URL地址;建议输入的URL地址是HTTPS地址,需要重定向到EIA上BYOD的认证页面,本例为https://192.168.7.220:9444/byod。
¡ 开户类型:用户在系统中不存在时,将自动开户为指定的用户类型,本例选择“接入用户”。
¡ 用户分组:用户开户时使用的用户分组。开户类型为“接入用户”时有效。
¡ 接入服务:用户开户时使用的接入服务。开户类型为“接入用户”时有效。启用按用户分组申请服务后,该配置项不会生效。
图3-39 配置参数
(1) 单击[自动化>网络准入>准入管理>接入终端>终端配置下发>模板库]菜单项,进入模板库页面,如下图所示。
图3-40 模板库
(2) 单击<增加SCEP模板>按钮,输入模板名称和URL,其他参数可保持缺省值,如下图所示。
图3-41 增加SCEP模板
参数说明如下:
¡ URL:SCEP服务器的URL,本例为http://192.168.7.220:30000/certificate/scep/pkiclient.exe?operation=GetCACert。
¡ 重试次数:服务器发送挂起响应时设备应该重试的次数。
¡ 重试间隔(秒):两次重试之间等待的秒数。
¡ 密钥长度:客户端申请证书的密钥长度,支持2048位和1024位,其优先级低于证书服务器的密钥长度,即证书服务器的密钥大小若为1024,无论SCEP模板中的密钥大小为1024或2048,客户端申请的密钥大小都是1024。
(3) 配置完成后,单击<确定>按钮,返回模板库页面,可查看新增的SCEP模板,如下图所示。
图3-42 查看新增的SCEP模板
(1) 在模板库页面,单击<增加Wi-Fi模板>按钮,进入增加Wi-Fi模板页面,输入模版名称,启用iOS/OS X下Wi-Fi配置,输入SSID,如下图所示。
图3-43 增加Wi-Fi模板
参数说明如下:
¡ 启用:是否启用该配置项。
¡ SSID:要连接的无线网络的标识,与接入设备配置中创建Portal无线服务模板的SSID保持一致。
¡ 自动加入:将SSID设置为允许自动连接。由于iOS/OS X系统默认连接前一次连接的且允许自动连接的SSID,因此想要iOS/OS X自动连接该SSID需要用户手工连接一次该SSID。
¡ 隐藏网络:网络未开放或无广播信号时启用该功能。
¡ 安全性:连接时使用的无线网络加密类型。
¡ HTTP代理:此Wi-Fi连接的代理设置,有“无”、“自动”和“手动”三种代理方式,应用于配置iOS/OS X客户端。
(2) 配置完成后,单击<确定>按钮返回模板库页面,可查看新增的Wi-Fi模板,如下图所示。
图3-44 查看新增的Wi-Fi模板
(1) 单击[自动化>网络准入>准入管理>接入终端>终端配置下发>下发策略]菜单项,进入下发策略页面,如下图所示。
图3-45 下发策略
(2) 单击<增加>按钮,进入增加终端配置分发策略页面,配置基本信息,在选择终端配置模板区域选择增加SCEP模板、增加Wi-Fi模板增加的模板和缺省iOS/OS X通用配置模板,然后选择用户分组,本例选择“未分组”,如下图所示。
图3-46 增加终端配置分发策略
(3) 配置完成后,单击<确定>按钮,返回下发策略页面,可查看新增的下发策略,如下图所示。
图3-47 查看新增的下发策略
(1) 单击[自动化>网络准入>准入管理>Web页面定制>认证页面定制>PC页面]菜单项,进入PC配置页面。
图3-48 PC页面
(2) 证书快速部署对接Google需要使用的自定义PC页面,单击<自定义页面>按钮,进入增加自定义页面模板,配置如下参数:
¡ 名称:本例为“Google认证页面”。
¡ 认证方式:选择“MAC Portal”。
¡ 终端类型:选择“PC”。
¡ 自定义页面模板:可单击“自定义页面模板”链接,下载并修改后的页面模板。若修改自定义页面模板,修改完成后,单击<上传文件>上传文件。
图3-49 增加自定义页面模板
(3) 配置完成后,单击<确定>按钮,返回PC页面,可查看新增的自定义页面模板。
图3-50 查看新增的自定义页面模板
(4) 选择[认证页面推送]页签,进入认证推送页面。
图3-51 认证推送页面
(5) 单击<增加>按钮,进入增加页面推送策略页面。
¡ 策略名称:本例为“Google页面推送策略”。
¡ 认证方式:选择“MAC Portal认证”。
¡ 缺省认证页面:选择刚才新增的“PC-Google认证页面”。
图3-52 增加页面推送策略
(6) 配置完成后,单击<确定>按钮,返回PC页面,可查看新增的页面推送策略。
图3-53 查看新增的页面推送策略
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口Telnet到接入设备并进行配置,具体的命令及其说明如下:
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C]radius session-control enable
//启用radius session-control参数避免强制下线不生效。
[H3C]radius scheme wh
New RADIUS scheme
[H3C-radius-wh]primary authentication 192.168.7.220 1812
[H3C-radius-wh]primary accounting 192.168.7.220 1813
//认证、计费服务器都指向EIA,认证、计费端口与EIA中增加接入设备时的配置保持一致。
[H3C-radius-wh]key authentication simple movie
[H3C-radius-wh]key accounting simple movie
//认证、计费共享密钥与EIA中增加接入设备时的配置保持一致。
[H3C-radius-test]user-name-format with-domain
//本案例采用携带Domain的认证方式。EIA、设备中配置的搭配关系请参见上表。
[H3C-radius-test]quit
[H3C]domain wh
[H3C-isp-wh]authentication lan-access radius-scheme wh
[H3C-isp-wh]authorization lan-access radius-scheme wh
[H3C-isp-wh]accounting lan-access radius-scheme wh
//认证、授权、计费都采用之前配置的Radius scheme wh
[H3C-isp-cert]quit
[H3C]portal server wh
New portal server added.
[H3C-portal-server-wh]ip 192.168.7.220 key simple movie
[H3C-portal-server-wh]quit
//Portal认证服务器指向EIA服务器,配置重定向URL为https://192.168.7.220:9444/byod,指向BYOD认证页面。
[H3C]portal web-server wh
[H3C-portal-websvr-wh]url https://192.168.7.220:9444/byod/index.htm
[H3C-portal-websvr-wh]url-parameter userip source-address
[H3C-portal-websvr-wh]url-parameter usermac source-mac
[H3C-portal-websvr-wh]quit
//证书快速部署依赖于Portal web页面推送,需要配置Portal web-server首页
URL地址中需要携带终端mac地址信息:url-parameter usermac source-mac
[H3C]wlan service-template wh
[H3C-wlan-st-wh]ssid 000_byod
[H3C-wlan-st-wh]vlan 45
[H3C-wlan-st-wh]undo bss transition-management enable
[H3C-wlan-st-wh]portal enable method direct
[H3C-wlan-st-wh]portal domain wh
[H3C-wlan-st-wh]portal bas-ip 1.2.4.199
[H3C-wlan-st-wh]portal apply web-server wh
[H3C-wlan-st-wh]portal apply mac-trigger-server wh
[H3C-wlan-st-wh]service-template enable
[H3C-wlan-st-wh]quit
[H3C]wlan service-template wh_1x
[H3C-wlan-st-wh_1x]ssid wh_1x
[H3C-wlan-st-wh_1x]vlan 45
[H3C-wlan-st-wh_1x]user-isolation enable
[H3C-wlan-st-wh_1x]akm mode dot1x
[H3C-wlan-st-wh_1x]cipher-suite ccmp
[H3C-wlan-st-wh_1x]security-ie wpa
[H3C-wlan-st-wh_1x]client-security authentication-mode dot1x
[H3C-wlan-st-wh_1x]dot1x domain wh
[H3C-wlan-st-wh_1x]service-template enable
[H3C-wlan-st-wh_1x]quit
(1) 登录EIA系统,单击[系统>系统配置>证书管理>本地证书]菜单项,进入本地证书页面,单击<下载根证书>按钮,可下载服务器根证书,如下图所示。
图4-1 下载根证书
(2) 单击<申请>按钮,弹出申请证书页面可申请服务器证书,如下图所示。
参数说明:
¡ 证书名称:若名称相同,将覆盖已存在的证书,本例为“test”。
¡ 拥有者:证书的拥有者,本例为“zh”。
¡ 有效期:证书的有效期,最短时间为1天,本例为“10”天。
¡ 加密标准:可选值有RSA和SM2两种,本例为“RSA”。
¡ 加密长度:加密标准为RSA时,该参数可选值有1024和2048两种。加密标准为SM2时,该参数可选值为256,本例为“1024”。
¡ 生成证书申请文件:根据需要选择是否生成证书申请文件。若选择“是”,则需使用申请文件自行去第三方CA服务器签发;若选择“否”,将采取内置CA服务器进行签发,本例选择“否”。
¡ 选择证书类型:X.509是证书的标准格式,主要存储公钥和身份信息。PKCS#12是一种容器格式,可以把X.509证书和私钥一起打包,并支持加密保护,本例选择“PKCS#12”。
图4-2 申请证书
(3) 配置完成后,单击<确定>按钮,可查看新申请的证书,如下图所示。
图4-3 查看证书
(1) 客户端连接SSID为000_byod网络后,在浏览器上输入任意地址,重定向到定制认证页面。
图4-4 认证页面
(2) 选择Google认证方式进行Google认证,终端自动重定向到Google登录页面。
图4-5 Google登录页面
终端如果保存了微软身份认证信息可以选择账号直接认证,也可以选择其它账号进行认证。如果用户曾经选择过保持微软账号登录状态则不会显示此页面。此处的用户必须在应用能访问的用户列表中,否则会登录失败。
(3) 输入登录密码,没有保存登录信息时才会出现此页面。
图4-6 输入登录密码
(4) 单击<下一步>按钮,进入验证页面,输入系统发送的验证码。
图4-7 输入验证码
(5) 输入验证码后,单击<下一步>按钮,登录成功后,自动跳转到证书下载页面。在此页面可以下载根证书和为当前用户申请的客户端证书,客户端证书的密码和开户的用户账号为邮箱号后缀前面部分。例如:登录邮箱号为myXXXXXX@gmail.com,则用户账号和密码均为myXXXXXX。
图4-8 下载证书
用户在认证页面通过认证后,在[系统>系统配置>证书管理>本地证书]页面将自动生成证书,此处下载的证书是从本地证书页面同步过来的。
(1) 登录EIA系统,单击[自动化>网络准入>准入管理>参数管理>证书管理>认证证书]菜单项,进入认证证书页面,如下图所示。
图4-9 认证证书
(2) 单击根证书配置区域的<导入>按钮,选择“EAP根证书”,进入根证书配置页面,如下图所示。
图4-10 根证书配置
(3) 单击<上传文件>按钮,上传申请服务器证书下载的根证书,单击<下一步>按钮,进入CRL配置页面,如下图所示。
图4-11 CRL配置
(4) 单击<确定>按钮,根证书导入完成,可在列表中查看根证书导入信息,如下图所示。
图4-12 查看根证书导入信息
(1) 单击[自动化>网络准入>准入管理>参数管理>证书管理>认证证书]菜单项,进入认证证书页面,如下图所示。
图4-13 认证证书
(2) 单击非根证书配置区域的<导入>按钮,选择“EAP服务器证书”,进入配置服务器证书页面,勾选“服务器证书和私钥在同一文件”,如下图所示。
图4-14 配置服务器证书
(3) 单击<上传文件>按钮,上传申请服务器证书下载的服务器证书,单击<下一步>按钮,进入服务器私钥密码页面,如下图所示。
图4-15 服务器私钥密码
(4) 输入服务器私钥密码(私钥密码是导出服务器证书时设置的私钥密码),单击<确定>按钮,进入查看配置信息页面,如下图所示。
图4-16 查看配置信息
(5) EIA导入服务器证书操作完成,单击<确定>按钮,可在列表中查看证书信息,如下图所示。
图4-17 查看服务器证书导入信息
客户端安装根证书到受信任的根证书颁发机构下,安装步骤如下:
(1) 单击浏览器右上角工具图标
,弹出工具菜单栏,选择“Internet选项”菜单项,进入Internet选项页面,切换至“内容”页签,单击<证书>按钮。
图4-18 内容
(2) 进入证书页面,单击<导入>按钮。
图4-19 证书
(3) 进入证书导入向导页面,单击<下一步>按钮。
图4-20 证书导入向导
(4) 进入要导入的文件页面,单击<浏览>按钮,选择下载的证书,然后单击<下一步>按钮。
图4-21 要导入的文件
(5) 进入证书存储页面,选择“将所有证书都放入下列存储”,单击<浏览>按钮。
图4-22 证书存储
(6) 弹出选择证书存储页面,选择“受信任的根证书颁发机构”,单击<确定>按钮。
图4-23 选择证书存储
(7) 然后单击<下一步>按钮,进入正在完成证书导入向导页面,单击<完成>按钮,可完成安装根证书操作。
图4-24 正在完成证书导入向导
根据上面步骤安装客户端证书到个人证书存储目录下,证书的保护密码为邮箱号后缀前面的部分内容。
图4-25 安装客户端证书
(1) 终端连接SSID为wh_1x网络后,打开iNode客户端。
图4-26 iNode客户端界面
(2) 单击<更多>按钮,然后单击<属性>按钮,弹出802.1X属性设置窗口。
图4-27 802.1X属性设置
(3) 选择“高级”页签,进入高级认证配置页面,如下图所示。
图4-28 高级认证设置
(4) 勾选“启用高级认证”前的复选框,并在下拉框中选择“证书认证”,认证类型选择“EAP-TLS”。
图4-29 选择连接类型
(5) 单击<选择客户端证书>按钮,弹出选择证书页面,选择之前导入的客户端证书。
图4-30 选择证书
(6) 单击<确定>按钮,802.1X属性设置完成。
(7) 在登录页面输入账号名和密码完成认证并上线。
图4-31 认证成功
认证成功后,可以登录EIA系统,单击[自动化>网络准入>准入管理>在线用户>本地在线用户]菜单项,进入本地在线用户页面,可查看认证成功的在线用户。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
