1. 思科设备和微软系统整合的背景:
公司内部有一定数量的client,为了实现统一化。在管理内部部署了域架构,这样能够通过组策略对client
进行批量化管理,提高了管理的效率。
相同公司内部有一定数量的网络设备(交换机,路由器。防火墙等),
在远程管理的时候是通过Telnet方式。
在本案例中,希望用户远程管理网络设备的时候通过到微软的DC(域控制器)上进行身份验证。这样实现了
身份验证的单一化,避免维护多套身份验证的架构,大大的简化了公司IT的管理。
2. 搭建模拟环境:
如图:搭建的环境核心就为上图所看到的,一台DC域控制器(对网络进行域管理)、一台RADIUSserver(提供cisco设备认证和微软环境兼容整合)、一台交换机、一台路由器、一台PC客户机。
(此实验涉及到思科与微软综合实验系列之中的一个:cisco模拟器GNS3和虚拟机VMware的整合中的环境搭建步骤)
1) 首先在GNS3模拟器中搭建下图环境:交换机的位置我们用云来替代。依照系列之中的一个的方式把云与我们
的虚拟机网卡VMnet1桥接起来。
(详细步骤见cisco模拟器GNS3和虚拟机VMware的整合)
2) 再在VMware中开启三台虚拟机:a)03Server1;b)03Server2;c)XP1,分别依次模拟a)DC域控制器;
b)RADIUSserver;c)Alice客户机。把三台网卡桥接到VMnet1上,使他们与GNS3中的云连接起来。
成功构造出我们要搭建的环境。(详细步骤见cisco模拟器GNS3和虚拟机VMware的整合)
3) 在路由器R1中配置f0/0接口的IP地址和掩码:
R1(config)#int f0/0
R1(config-if)#ip add 10.0.0.11 255.255.255.0
R1(config-if)#no shutdown
4) 在三台虚拟机中配置IP地址:10.0.0.x、子网掩码:255.255.255.0、默认网关:10.0.0.11、
首选DNSserver:10.0.0.2,这里DNSserver就是DC域控制器。
5) 假设在进行互相ping命令检測时发现XP1的10.0.0.100总是ping不通,那么把XP1上的防火墙功能关闭后,
再ping。
3. 详细实现步骤:
第1步: 把03Server1server提升为DC域控制器:
a) 開始——>执行——>输入dcpromo——>确定
b) 进入Active Directory安装向导:
c) 一直点击下一步直到出现下图——>创建一个新域并输入域名:比如ilync.cn——>下一步
d) 一直点击下一步直到出现下图——>输入配置的password——>下一步
e) 一直点击下一步——>等待安装向导完毕——>点击完毕——>点击又一次启动计算机——>等待重新启动
第2步: 在03Server1上创建用户Alice:
a) 開始——>管理工具——>Active Directory用户和计算机——>点击
“在当前容器中创建一个新的组织单位”button——>进入新建对象-组织单位对话框
b) 输入要创建的组织单位名称:如sales(销售部)——>确定
c) 在Active Directory用户和计算机中出现sales——>点击“sales”——>点击
“在当前容器中创建一个新用户”button——>进入新建对象-用户对话框
d) 输入要加入的username称:如Alice——>下一步
e) 输入用户登录的password而且勾选红框中的信息——>下一步——>完毕
f) 在Active Directory用户和计算机中出现Alice用户——>点击“在当前容器中创建一个新组”
button——>输入组名——>确定——>在Active Directory用户和计算机中出现一个创建的telnet新组
g) 把Alice用户增加到telnet组内——>双击telnet组——>进入telnet属性对话框——>
在成员选项卡下——>加入——>进入选择用户、联系人或计算机对话框——>输入要加入改组的username称。
如Alice——>点击“位置”button——>选择ilync.cn——>确定——>确定
第3步: 03Server2和XP1增加03Server1创建的域ilync:
a) 在03Server2和XP1中右击我的电脑——>属性——>点击计算机名选项卡——>更改
——>出现计算机名称更改对话框。
b) 在对话框中点击域选项——>在框中输入要增加的域名称——>确定——>出现计算机名更改对话框。
c) 在对话框中输入增加该域的账户名和password——>确定——>出现“欢迎增加ilync域”字样对话框
——>确定——>出现又一次启动计算机对话框——>确定——>原来的系统属性对话框点击确定——>
又一次启动计算机——>是
(注:在03Server2上操作)
在xp1上操作
|
|
d) 又一次启动计算机后登陆到域环境下——>点击“选项”——>登录到:下拉框选择“ILYNC”
——>输入username——>输入password——>确定
第4步: 在03Server2上加入RADIUS组件服务:
a) 開始——>控制面板——>加入或删除程序——>加入/删除windows组件(A)——>
进入“windows组件向导”对话框——>网络服务——>具体信息
b) 进入网络服务对话框——>Internet 验证服务——>确定——>下一步——>完毕
c) 開始——>管理工具——>Internet验证服务——>右击Internet验证服务(本地)——>
点击“在Active Directory中注冊server”——>确定——>确定
d) 右击RADIUSclient——>点击新建RADIUSclient——>出现新建RADIUSclient对话框
e) 在新建RADIUSclient对话框中输入加入的client名称和IP地址。如:我们环境中的R1路由器
和它的IP——>下一步
f) 输入配置AAA认证中的key,也就是登陆R1时要输入的password——>完毕
g) 右击“远程訪问策略”——>新建远程訪问策略——>下一步——>选择“设置自己定义策略”,
并填写策略名——>下一步
h) 加入——>选择Windows-Group类型——>加入
i) 在组对话框中点击加入——>进入选择组对话框——>点击“位置”——>选择ilync.cn——>
输入要加入的对象名称——>确定——>确定——>下一步
j) 在权限中选择“授予远程訪问权限”——>下一步——>编辑配置文件——>身份验证选项卡下——>
勾选未加密的身份验证——>确定——>是——>直接关闭出现的“路由和远程訪问对话框”——>
下一步——>完毕
第5步: 在R1上配置AAA的身份验证到RADIUS Server上:
R1(config)#aaa new-model
R1(config)#radius-server host 10.0.0.3 key 123.com
R1(config)#aaa authentication login telnet group radius
R1(config)#aaa authentication enable default none
R1(config)#line vty 0 4
R1(config-line)#login authentication telnet
第6步: 验证主机XP1远程訪问R1:
a) XP1上点击開始——>执行——>输入cmd——>telnet 10.0.0.11
b) 进入telnet下——>输入username:(域名username)模式——>输入配置在R1上的AAA认证的password
能够看到结果:XP1远程訪问R1失败!
c) 在03Server2上的事件查看器中查看失败原因:在03Server2中点击開始——>管理工具——>
事件查看器——>系统——>在右面的事件中产生的警告条目上双击——>出现事件属性对话框
——>能够看到用户被拒绝訪问信息
d) 解决方法是:在03Server1上设置用户同意訪问:在03Server1中打开Active Directory用户和计算机对话框
——>双击Alice用户——>出现用户属性对话框——>在拨入选项卡下——>勾选同意訪问——>确定
e) 再次在XP1上telnet R1验证远程訪问:
能够看到结果:XP1远程訪问R1成功!
f) 在03Server2上的事件查看器中查看:事件条目中没出现警告信息,双击最上面的信息查看——>
能够看到用户被授予了訪问权
