- 论坛徽章:
- 0
|
最近也是要实现这些功能,我目前只有得到的是这些信息了,有实验成功的兄弟请多多指导啊。
客户使用 802.1X, 可以与 Windows AD 无缝整合。高级的switch 都可以。简单来说:
1. 在 Windows AD上安装 IAS server. IAS 是 Radius 服务器,可以读取 AD 中的用户信息。
2. 在交换机上启用 802.1X + Guest VLAN.
3. 若使用 MS-CHAPv2, 你可以配置用户计算机, 使用 Windows Domain 的用户名和密码来进行 802.1X 登入。当用户完成 Windows Logon, Windows 会自动开始 802.1X MS-CHAPv2 对交换机端口做认证。注意你必须将 AD 放在 Guest VLAN, 所以在端口未认证前,用户仍能登入网域。这是较简单的方式。
4. 若不想把 AD 放在 Guest VLAN, 可以用 EAP-TLS。未 Windows Logon 之前, 用户计算机会用 Computer cert 对端口做802.1X认证,并可被配置到一个 VLAN, 你可以将AD放置在此VLAN上. Windows Logon 之后, Windows 会使用 User cert. 对端口再做一次认证,此时可以拿到此用户的 VLAN。
5. 无论是使用 PEAP-MSCHAPv2 还是 EAP-TLS, 非域管理范围的用户都会归属到 Guest VLAN.
Windows 部分较为复杂。请看下列网站:
http://www.microsoft.com/downloa ... &displaylang=en
http://technet.microsoft.com/en-us/library/bb457015.aspx
http://technet.microsoft.com/en-us/library/bb457068.aspx
关键是真的复杂,现在也没有整明白呢? |
|