作者:青灯古佛 文章来源:网络
本文原地址:https://teniu.cc/ku/wk5/5618d5e8596a2c78483e9d357d13dc72.shtml
CAMS与AD配合做域统一认证的典型配置
一、组网需求:
支持802.1X的交换机;CAMS服务器;Microsoft Active Directory;iNode客户端。
二、组网图:
设备说明:
NAS:S3952 CAMS V2.1 R0121SP1 Microsoft Active Directory 5.2 iNode V2.4-R0213
三、配置步骤:
前提条件是CAMS,AD,NAS,User均路由可达。
NAS可以采用802.1X认证或者Portal认证,这里已 802.1X认证为例。1.配置NAS
# 配置Radius服务器 [S3952]radius scheme h3c [S3952-radius-h3c]server-type extended
[S3952-radius-h3c]primary authentication 192.168.1.12 1812 [S3952-radius-h3c]primary accounting 192.168.1.12 1813 [S3952-radius-h3c]key authentication test [S3952-radius-h3c]key accounting test
[S3952-radius-h3c]user-name-format without-domain
# 配置认证域
[S3952]domain h3c
[S3952-domain-h3c]radius-scheme h3c [S3952]domain default enable h3c # 配置VLAN [S3952]Vlan 2 [S3952-vlan2]Port GigabitEthernet1/1/4 [S3952]Interface vlan 2 管理Vlan [S3952-Interface-vlan-2]ip add 192.168.1.99 255.255.255.0 [S3952]Interface vlan 1 用户Vlan [S3952-Interface-vlan-1]ip add 192.168.0.1 255.255.255.0
# 启动802.1X认证
[S3952] dot1x [S3952] dot1x authentication-method pap [S3952] dot1x interface Ethernet 1/0/1 to Ethernet 1/0/48
注:这里只是列出了802.1X的所有必须的配置,还有一些高级选项可以自行配置,如version check,accounting on等。
2.安装AD Windows 2000 server和windows server 2003都带有Active Directory,这里已windows server 2003为例说明AD的安装过程。
interface
GigabitEthernet1/1/1
to 1).首先为服务器配置正确的IP地址并连接网络。2).选择“开始->所有程序->管理工具->配置您的服务器向导”
3).在欢迎界面点击“下一步”
4).直接点击“下一步”
5).会出现如下进度框
6).选中“第一台服务器的典型配置”,点击下一步
7).在Active Directory域名一栏输入AD的域名,例如:“h3c.com”,然后点击“下一步”
8).输入NetBIOS域名(推荐采用默认值),然后点击“下一步”
9).选择“否,不转发查询”,点击“下一步”
10).确认选项正确后点击“下一步”
11).点击“确定”,开始服务器配置
12).放入操作系统光盘后,点击“确定”
13).配置过程当中会重新启动操作系统,无需人工干预,当下一次登陆系统后会继续完成域控制器的配置
14).点击“下一步”
15).点击“完成”,至此域控制器安装完毕
3.配置AD 1).配置域用户,选择“开始->所有程序->管理工具->Active Directory用户和计算机”
2).右键菜单服务器图标“h3c.com”,选择“新建->组织单位”
3).填写组织单位名称,中英文皆可
4).右键菜单刚才新建的组织单位,选择“新建->用户”
5).填写用户相关信息,用户姓名中英文皆可,登陆名务必填写英文
6).创建密码,由于Windows 2003的域用户缺省密码策略,创建密码时需保证一定的复杂性。例子中创建为“h3c.com”,同时选中“用户不能更改密码”和“密码永不过期”
7).单击“完成”,用户创建完毕,重复如上步骤,创建多个用户。
4.配置CAMS 1).配置接入设备参数:系统管理>>系统配置>>接入设备配置
这里必须将NAS的上行端口(靠近CAMS的端口)地址添加到起始地址和结束地址之间。共享密钥和端口必须与设备的配置一致。
2).配置LDAP服务器:组件管理>>LDAP组件>>LDAP服务器管理 这里的Base DN就是指所要同步AD中目录的范围,即CAMS只同步该Base DN路径下(包含所有子目录)的所有用户。若Base DN设置为根域h3c.com则会同步该AD中的所有用户。
管理员DN指具有查询权限的AD中的用户,可以与Base DN不在同一目录。
管理员DN和BaseDN的命名规则为:从左到右,依次从最小子目录到根目录,中间用逗号隔开。根目录前缀为dc=,原始目录(如users)和用户名(chenning)前缀为cn=,新建的目录前缀为ou=,用户名前缀。对于AD服务器,用户名属性建议修改为saMAccountName
3).同步测试:在LDAP服务器管理中选择建立的LADP服务器,点击行末的<同步>,若设置正确,会出现同步成功的提示。
4).配置LDAP同步配置:组件管理>>LDAP组件>>LDAP同步配置>>增加 出现如下的配置选项,选择LDAP服务器,配置过滤条件。对于AD,建议过滤条件配置为:(&(distinguishedName=*)(userPrincipalName=*))。该过滤条件的意含义是选出同时具有distinguishedName和userPrincipalName属性的用户。
点击下一步选择个列的属性,建议如下图配置,再选择相关的服务和计费方式。由于AD中的用户密码加密不可逆,不能同步到CAMS中,用户每次都会到AD中认证,所以这里的CAMS本地密码可以任意设置。
5).同步用户:在LDAP同步配置中选择同步配置,点击行尾的<同步>,则CAMS系统会自动同步AD中的所有Base DN中的用户到CAMS中。若同步成功会会出现”同步LADP服务器用户成功”的提示。
同步成功后会在这里的<同步用户管理>和用户管理>>帐号用户中发现 LDAP用户。
至此,CAMS与AD同步完成,用户可以采用同步过来的用户进行LDAP认证。若需要进行域统一认证,还需进行如下两步配置:
5.配置客户端
1).在iNode客户端中点击<新建>创建域统一认证了连接
2)选择基本的认证方式,本例中为802.1X认证,再选择<域统一认证连接>
3)然后会在iNode中发现新的域统一认证连接,再在操作>>配置客户端运行方式 中选择启动域统一认证。
6.配置用户电脑
1)设置PC的网络连接,配置正确的DNS服务器。本例中DNS服务器和AD在同一台服务器上。
2)将PC加入域:在我的电脑>>属性>>计算机名>>更改 中输入域名,再输入域管理员的用户名和密码,用户就可以加入到域中了。
重起PC,至此域统一认证配置完毕。
四、预期效果:
在PC登陆系统时,使用之前创建的域用户并选择登陆到域
点击确定后,会在登陆窗口的右侧出现“正在进行域统一认证,请等待”的提示,之后成功登陆。若在CAMS中配置了EAD检查,则登陆到系统后,iNode还会对系统进行安全检查,并采取相关策略。
五、配置关键点:
1.NAS上802.1x的认证模式必须为pap。
2.CAMS的服务和NAS中配置的默认域都必须采用AD中域的NetBIOS名称,默认情况下是域的第一部分,例如h3c.com,则如上两处都应设置为h3c。
CAMS不能完全同步AD中用户数据问题的解决办法
利用CAMS的LDAP组件同步微软Active Directory中的用户数据时,只能同步部分用户。这是由于同步过滤条件不恰当,请修改为:(&(distinguishedname=*)(userprincipalname=*))
CAMS与AD配合进行多级域名的域统一认证时
AD中域名采用aaa.bbb.ccc.eee的多级域名形式时,在接入设备和CAMS上均设置域为aaa.bbb.ccc.eee。此时在windows系统中启动客户端软件,输入AD中的用户名@aaa.bbb.ccc.eee, 则认证成功。但启动域统一认证时,却提示“域统一认证失败”。
这是由于windows系统处理多级域名时,仅把域控制器的第一个域名字段作为用户的登录域名。
修改NAS和CAMS上的域名为aaa,即可解决问题。
认证失败问题的解决办法 修改CAMS服务器IP地址的办法
一 组网:
对组网无特殊要求
二 问题描述:
由于网络的变动需要修改CAMS服务器的IP,这时不但需要修改系统IP还需要修改相关的配置文件。
三 过程分析:
由于CAMS的Portal服务器信息不能在控制台上修改,所以必须修改配置文件。其他的信息既可以在配置台上修改,又可以在配制文件中修改。
四 解决方法: Windows版CAMS:
1.停止CAMS的两个服务Portal kernel server 和Portal Forward.2.进入camsetc目录,1)记事本打开portal.conf,修改trans.kernel.ip, portal.webserver.addr, portal.web.url和portal.selfweb.url的值为新的IP,保存退出。
2)记事本打开trans.kernel.conf,修改trans.kernel.ip的值为新的IP,保存退出
3.启动CAMS的两个Portal服务.4.若接入设备有变化,还需要修改接入设备和portal设备。
Linux版CAMS: 1.停止CAMS服务:执行命令 service tomcat stop 成功停止后再执行 service camsd stop和service portal stop。
2.修改设备IP:执行命令 netconfig 在图形化的界面修改服务器IP,在执行命令 service network restart 3.修改CAMS的Portal配置文件: 1)进入/etc/ camsd/ portal/ 2)打开文件: vi domainconfig.ini 找到原接入网段的起始IP和结束IP,修改(按i插入文字,ESC退出修改)为新用户接入网段IP,保存退出(分号+shift后输入wq)。
4)再打开文件: vi portal.conf 修改kernelAddr和WebServAdd ip为CAMS服务器的新IP,保存退出。
5)打开文件: vi trans.conf 修改trans.kernel.ip值为CAMS服务器的新IP,保存退出。
4.修改CAMS接入设备配置:1)进入/root/cams/etc/,vi打开clients 修改原接入设备IP为新接入设备IP,保存退出。5.检查Oracle配置的IP:进入目录:/u01/app/oracle/product/9.2.0/network/admin/,vi打开tnsnames.ora,检查(ADDRESS =(PROTOCOL = TCP)(HOST = localhost)(PORT = 1521))中localhost位置,若为localhost,则不变;若为原CAMS服务器IP,则修改为新CAMS服务器IP,保存退出。6.启动CAMS服务:输入命令service camsd start 成功停止后再执行 service tomcat start和service portal start。
CAMS以Portal认证实现EAD功能时domain问题的解
决办法
CAMS配合接入设备实现Portal认证的EAD功能时,若radius scheme配置为user-name-format with-domain和domain default enable ****,则客户端直接以用户名认证会出现策略服务器无响应的问题。
这是由于Portal认证是基于http协议或https协议,用户域名不能通过设备透传到客户端上,而安全认证是客户端与CAMS直接交互信息,于是两端用户名不一致,策略服务器无法处理。
解决的办法一:用户登录时采用用户名@域名的完整形式。解决的办法二:修改radius scheme中user-name-format without-domain,且CAMS中相关服务不设置后缀。
CAMS与LDAP服务器同步案例配置
一 组网需求:
某客户使用eYou公司的邮件系统基于openLDAP设计,用户希望CAMS平台能与eYou系统使用同一套帐号,这就要求CAMS使用LDAP组件与LDAP服务器进行同步。使用LDAP组件,用户可使用存储在LDAP服务器中的帐号信息,进行网络的物理层接入认证。LDAP组件实现LDAP服务器中的用户帐号信息与CAMS系统的用户帐号信息同步,并将用户的接入认证请求重定向至LDAP服务器处理。二 组网图:
用户A向CAMS发起认证请求,CAMS检查该用户是否为LDAP服务器认证用户,如果用户信息存在于LDAP服务器,则CAMS向LDAP服务器发起认证请求,LDAP服务器返回认证结果给CAMS服务器。
三 配置步骤: 同步CAMS与LDAP服务器
必须同步CAMS与LDAP服务器的用户信息,首先查看eYou系统的帐号信息存储方式,打开slapd.conf文件如下:
所以BaseDN设置为:o=mail.imfec.edu.cn,管理员DN设置为:cn=eYouAdmin,o=mail.imfec.edu.cn,这在CAMS服务器进行相对应的设置。2 CAMS上的设置
在CAMS的LDAP组件目录下进行相关配置,CAMS设置如下:
四 配置关键点: CAMS服务器的设置需要注意:是否需要实时认证选“是”,在LDAP同步配置中对于密码选择“不从LDAP服务器同步”,如下图所示。
由于eYou系统的密码以MD5加密,为32位编码,而CAMS系统目前版本只能识别16位,所以如果从LDAP服务器中同步密码则会同步不成功,这时只能在同步配置中选择密码“不从LDAP服务器中同步”,这样同步时并不从LDAP服务器中同步密码到CAMS中,而只同步帐号;由于选择了实时认证,用户认证时会发送用户名及密码到LDAP服务器实时认证,这样保证了认证的安全性,同时又可与邮件系统使用同一套用户帐号。
思科统一通讯方案典型配置参考
用户需求分析
客户规模:
客户有一个总部,约有100名员工;
一个分支机构,约有20名员工;
客户需求:
组建安全可靠的总部和分支LAN和WAN;
总部和分支部署IP电话,以及IP语音信箱服务;
方便和图形化的网络管理;
整体方案要便于以后升级,以利于投资保护。
思科建议方案:
部署思科智能交换机和多业务集成路由器,构建安全的数据通信网络;
部署思科统一通信方案,构建语音通信网络;
部署思科CNA,实现图形化的网络管理。
1.思科建议方案设计图
点击放大
2.思科建议方案总体配置概述
安全和智能的总部与分支网络
o LAN:总部思科Cat3560和CE500交换机,提供约100个用户的接入; 分支思科NME交换机模块,提供约16个用户接入;
o WAN:总部ISR3825路由器,分支ISR2811,实现总部和分支之间安全可靠地互联,可以采用专线,也可以经由因特网,采用VPN实现;
总部和分支用户的IP通信服务:
o 总部ISR3825和分支ISR2811分别运行思科Call Manager Express IP电话服务,提供总部约100台IP电话机,分支16台IP电话的服务;
o 总部和分支的用户也可以使用PC上的思科软件IP电话进行通信;
o 总部ISR3825和分支ISR2811部署思科Unity Express,提供总部和分支的语音信箱服务;
安全服务
o 利用总部和分支路由器的IOS FW和IOS IPS,及 IPSec VPN和WEB VPN功能,实现安全的网络访问和应用传输,以及高级的应用控制; 另外,可利用思科Auto-Secure功能快速部署基本的安全功能
网络管理
o 图形化思科网络助理CNA,可以监控,配置和管理总部或者分支网络中的所有设备,包括交换机,路由器和IP电话机;
o 可从CNA中调用思科SDM管理软件,对路由器上的所有功能,包括防火墙,VPN和IPS等进行图形化的配置管理;
o 利用图形化交互式IP通信配置工具:QCT(Quick Config Tool),帮助客户实现所需要的功能;
o 利用图形化的CCME和CUE配置界面,可以方便地配置管理Call Manager Express和Unity Express;
3.总部方案产品配置详述
LAN
o Cat3560-48PS为主干,CE500-24PC为桌面交换机,可提供100个左右的用户以100M接入,同时提供IP电话机的电源供应;
WAN
o 采用ISR3825,配置VWIC2-1MFT-G703,通过E1线路连接分支网络,如果希望经由因特网,利用VPN实现互联,可以不配此部件;
统一通信
o ISR3825上配置VWIC2-4FXO,连接PSTN,配置VWIC2-2FXS,连接内部的传真机和模拟电话机;
o 如果需要更多的模拟电话接入和PSTN线路连接,可配置EVM扩展语音模块,最大支持24个FXS或者 8个FXS+12个FXO端口; 或者采用NM-HDV2和或VWIC2-MFT-E1以支持更多的接入数量;
o 配置思科CallManager Express 的IP电话服务,提供96个IP电话支持,最大可以扩展到168个IP电话;
o 配置思科NM-CUE-EC模块,提供100个语音信箱的服务,最多可支持250个语音信箱。
o 配置96台IP 电话机:Cisco 7941G,和 IP communicator软电话
安全
o 配置思科路由器上的IOS FW和IOS IPS实现高级应用控制,配置WEB VPN和IPSec VPN,实现总部和分支互联,以及远程接入的功能;
4.分支方案产品配置详述
LAN & WAN
o LAN方面,采用ISR2811,配置NME-16ES-1G-P,提供16个用户100M的接入,同时提供IP电话机所需的电源供应。
o WAN方面,在ISR2811上配置VWIC2-1MFT-G703,通过E1线路连接总部网络,如果希望经由因特网,利用VPN实现互联,可以不配此部件;
统一通信
o ISR2811上配置VWIC2-2FXO,连接PSTN,配置VWIC2-2FXS,连接内部的传真机和模拟电话机;
o 如果需要更多的模拟电话接入和PSTN线路连接,可以配置更多的VWIC-FSX/FXO,或者 NM-HDV2和或VWIC2-MFT-E1以支持更多的接入数量;
o 配置思科CallManager Express 的IP电话服务,提供36个IP电话支持,最大可以扩展到8个IP电话;
o 配置内置于机箱的思科AIM-CUE模块,提供25个语音信箱的服务,最多可支持50个语音信箱。
o 配置96台IP 电话机:Cisco 7941G,和 IP communicator软电话
安全
o 配置思科路由器上的IOS FW和IOS IPS实现高级应用控制,配置IPSec VPN,实现总部和分支互联的功能;
5.总部和分支方案产品清单
总部产品配置清单
ISR3825 语音安全销售捆绑包,包括ISR3825硬件,高级IP服务特C3825-VSEC-CCME/K9 性集的IOS软件,语音编解码PVDM2-64,168个IP电话机支持的FL-CCME-168,128MB Flash,512MB DRAM VIC2-4FXO VIC2-4FXS VWIC2-1MFT-G703 NM-CUE-EC SCUE-2.3 SCUE-LIC-100CME WS-C3560-48PS-S WS-CE500-24PC
4端口 Voice Interface Card – FXO,连接外线PSTN 4端口 Voice Interface Card – FXS,连接FAX和模拟电话机 1端口 RJ-48 Multiflex Trunk2.3 100个语音信箱许可,Unity Express License 25 Voice Mailbox-Auto Attendant-CCME
Catalyst 3560 48 10/100 PoE + 4 SFP Standard Image 24 10/100(24PoE)and 2 10/100/1000BT or SFP uplinks
CP-7941G
SW-CCME-UL-7941
分支产品配置清单
Cisco IP Phone 7941
Cisco CallManager Express License For Single 7941 IP Phone
ISR2811 语音安全销售捆绑包,包括ISR2811硬件,高级IP服务特C2811-VSEC-CCME/K9 性集的IOS软件,语音编解码PVDM2-16,36个IP电话机支持的 NME-16ES-1G-P VIC2-2FXO VIC2-2FXS VWIC2-1MFT-G703 AIM-CUE SCUE-2.3 SCUE-LIC-25CME PWR-2811-AC-IP CP-7941G
SW-CCME-UL-7941
FL-CCME-36,64MB Flash和256MB DRAM
以太网交换模块,16 10/100T POE + 1 GE,IP Base 2端口 Voice Interface Card – FXO,连接外线PSTN 2端口 Voice Interface Card – FXS,连接FAX和模拟电话机 1端口 RJ-48 Multiflex Trunk2.3 25个语音信箱许可,Unity Express License 25 Voice Mailbox-Auto Attendant-CCME
利用NME-16ES提供在线电源支持的电源,Cisco 2811 AC/IP power supply
Cisco IP Phone 7941
Cisco CallManager Express License For Single 7941 IP Phone
实验六 PPP基本配置与认证
一、实验目的
1、串行链路上的封装概念
2、PPP封装
3、掌握PAP认证特点和配置方法
4、掌握CHAP认证特点和配置方法
二、实验要求
1、给出串行通信基本知识
2、PPP组成
3、PAP和CHAP操作和配置
4、给出PPP配置验证、故障排除的基本命令和基础理论
三、实验拓扑
四、实验设备(环境、软件)
路由器三台
串行DCE线缆2条 交叉线2条
五、实验设计到的基本概念和理论
PPP链路建立步骤:
第一阶段:建立链路和协商配置
第二阶段:确定链路质量
第三阶段:协商网络层协议配置
串行链路上的封装概念:在每条WAN连接上,数据在通过WAN链路传输前被封装成帧。为确保使用正确的协议配置合适的第二层封装类型。
HDLC:当链路两端都是Cisco设备时,点到点连接、专用链路和交换电路的默认封装类型为HDLC。
PPP:通过同步电路和异步电路提供路由器到路由器和主机到网络的连接。PPP可以与多种网络层协议协同工作,他可以内置的安全机制,如PAP、CHAP。
PAP的认证特点:密码认证协议(PAP),是 PPP 协议集中的一种链路控制协议,主要是通过使用 2 次握手提供一种对等结点的建立认证的简单方法,这是建立在初始链路确定的基础上的。
完成链路建立阶段之后,对等结点持续重复发送 ID/ 密码给验证者,直至认证得到响应或连接终止。
PAP 并不是一种强有效的认证方法,其密码以文本格式在电路上进行发送,对于窃听、重放或重复尝试和错误攻击没有任何保护。对等结点控制尝试的时间和频度。该认证方法适用于可以使用明文密码模仿登录远程主机的环境。在这种情况下,该方法提供了与常规用户登录远程主机相似的安全性。
CHAP的认证特点:该协议可通过三次握手周期性的校验对端的身份,可在初始链路建立时完成时,在链路建立之后重复进行。通过递增改变的标识符和可变的询问值,可防止来自端点的重放攻击,限制暴露于单个攻击的时间。
该认证方法依赖于只有认证者和对端共享的密钥,密钥不是通过该链路发送的。
PPP封装:一种封装多协议数据报的方法。PPP 封装提供了不同网络层协议同时在同一链路传输的多路复用技术。PPP 封装精心设计,能保持对大多数常用硬件的兼容性。克服了SLIP不足之处的一种多用途、点到点协议,它提供的WAN数据链接封装服务类似于LAN所提供的封闭服务。所以,PPP不仅仅提供帧定界,而且提供协议标识和位级完整性检查服务。
链路控制协议:一种扩展链路控制协议,用于建立、配置、测试和管理数据链路连接。
网络控制协议:协商该链路上所传输的数据包格式与类型,建立、配置不同的网络层协议。
六、实验过程和主要步骤
步骤一:路由器基本配置 路由器A配置:
A(config)#interface F0/0 A(config-if)#ip address 192.168.1.1 255.255.255.0 A(config-if)#no shutdown 串行接口配置:
A(config)#interface Serial2/0 A(config-if)#ip address 10.10.10.2 255.255.255.252 A(config-if)#no shutdown 路由器B配置:
B(config)#interface Serial2/0
B(config-if)#ip address 10.10.10.1 255.255.255.252 B(config-if)#clock rate 64000
B(config)#interface Serial3/0 B(config-if)#ip address 20.20.20.21 255.255.255.252 B(config-if)#clock rate 64000 B(config-if)#no shutdown 路由器C配置:
C(config)#interface Serial3/0 C(config-if)#ip address 20.20.20.22 255.255.255.252 C(config-if)#no shutdown
C(config)#interface FastEthernet0/0 C(config-if)#ip address 192.168.2.1 255.255.255.0 C(config-if)#no shutdown 步骤二:配置登录用户名和密码 路由器A:
A(config)#username B password 123456 路由器B:
B(config)#username A password 123456 B(config)#username C password 123456 路由器C: C(config)#username B password 123456 步骤三:配置PPP封装 路由器A配置:
A(config)#interface serial 2/0 A(config-if)#encapsulation ppp 路由器B配置:
B(config)#interface s2/0 B(config-if)#encapsulation ppp
B(config)#interface s3/0 B(config-if)#encapsulation ppp 路由器C配置:
C(config)#interface s3/0 C(config-if)#encapsulation ppp 步骤四:配置PAP和CHAP认证 路由器A与B之间的PAP配置: A(config)#int s2/0 A(config-if)#encapsulation ppp A(config-if)#ppp authentication pap A(config-if)#ppp pap sent-username A password 123456
B(config)#int s2/0
B(config-if)#encapsulation ppp B(config-if)#ppp authentication pap B(config-if)#ppp pap sent-username B password 123456 路由器B与C之间的CHAP配置: B(config)#int s3/0 B(config-if)#encapsulation ppp B(config-if)#ppp authentication chap
C(config)#int s3/0 C(config-if)#encapsulation ppp C(config-if)#ppp authentication chap 步骤五:配置路由协议 路由器A:
A(config)#router rip A(config-router)#version 2 A(config-router)#network 192.168.1.0 A(config-router)#network 10.10.10.0 A(config-router)#no auto-summary 路由器B:
B(config)#router rip B(config-router)#version 2 B(config-router)#network 10.10.10.0 B(config-router)#network 20.20.20.20 B(config-router)#no auto-summary 路由器C:
C(config)#router rip C(config-router)#version 2 C(config-router)#network 20.20.20.20 C(config-router)#network 192.168.2.0 C(config-router)#no auto-summary 步骤六:查看并验证配置
Show int ser命令可以查看串口接口的信息,提供这些信息的查看可以排除串行接口的故障。
另外一方面也可以提供使用debug ppp命令,提供设置参数可以排除串行封装配置的故障。
路由器A:
A#show int s2/0 Serial2/0 is up, line protocol is up(connected)Hardware is HD64570 Internet address is 10.10.10.2/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set, keepalive set(10 sec)LCP Open
Open: IPCP, CDPCP Last input never, output never, output hang never Last clearing of “show interface” counters never Input queue: 0/75/0(size/max/drops);Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0(size/max total/threshold/drops)Conversations 0/0/256(active/max active/max total)Reserved Conversations 0/0(allocated/max allocated)Available Bandwidth 96 kilobits/sec 5 minute input rate 21 bits/sec, 0 packets/sec 5 minute output rate 18 bits/sec, 0 packets/sec 64 packets input, 4312 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 69 packets output, 3448 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 output buffer failures, 0 output buffers swapped out 0 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up 路由器B:
B#show int s2/0 Serial2/0 is up, line protocol is up(connected)Hardware is HD64570 Internet address is 10.10.10.1/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set, keepalive set(10 sec)LCP Open Open: IPCP, CDPCP Last input never, output never, output hang never Last clearing of “show interface” counters never Input queue: 0/75/0(size/max/drops);Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0(size/max total/threshold/drops)Conversations 0/0/256(active/max active/max total)Reserved Conversations 0/0(allocated/max allocated)Available Bandwidth 96 kilobits/sec 5 minute input rate 16 bits/sec, 0 packets/sec 5 minute output rate 21 bits/sec, 0 packets/sec 66 packets input, 3338 bytes, 0 no buffer Received 2 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 62 packets output, 4168 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out 0 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up B#show int s3/0 Serial3/0 is up, line protocol is up(connected)Hardware is HD64570 Internet address is 20.20.20.21/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set, keepalive set(10 sec)LCP Open Open: IPCP, CDPCP Last input never, output never, output hang never Last clearing of “show interface” counters never Input queue: 0/75/0(size/max/drops);Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0(size/max total/threshold/drops)Conversations 0/0/256(active/max active/max total)Reserved Conversations 0/0(allocated/max allocated)Available Bandwidth 96 kilobits/sec 5 minute input rate 15 bits/sec, 0 packets/sec 5 minute output rate 21 bits/sec, 0 packets/sec 60 packets input, 3024 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 60 packets output, 4212 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 output buffer failures, 0 output buffers swapped out 0 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up 路由器C:
C#show int s3/0 Serial3/0 is up, line protocol is up(connected)Hardware is HD64570 Internet address is 20.20.20.22/30 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, loopback not set, keepalive set(10 sec)LCP Open Open: IPCP, CDPCP Last input never, output never, output hang never Last clearing of “show interface” counters never Input queue: 0/75/0(size/max/drops);Total output drops: 0 Queueing strategy: weighted fair
Output queue: 0/1000/64/0(size/max total/threshold/drops)Conversations 0/0/256(active/max active/max total)Reserved Conversations 0/0(allocated/max allocated)Available Bandwidth 96 kilobits/sec 5 minute input rate 19 bits/sec, 0 packets/sec 5 minute output rate 15 bits/sec, 0 packets/sec 62 packets input, 4356 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 62 packets output, 3128 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 output buffer failures, 0 output buffers swapped out 0 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up 7
统一身份认证(CAS)简单说明与设计方案(转)
1.单点登录概述
所谓单点登录(SSO),只当企业用户同时访问多个不同(类型的)应用时,他们只需要提供自身的用户凭证信息(比如用户名/密码)一次,仅仅一次。SSO解决方案(比如,CAS)负责统一认证用户,如果需要,SSO也可以完成用户的授权处理。可以看出,当企业用户在不同的应用间切换时,他们不用再重复地输入自身的用户凭证了。在实施SSO后,所用的认证操作都将交给SSO认证中心。现有的SSO解决方案非常多,比如微软的MSN Passport便是典型的SSO解决方案,各Java EE容器都提供了自身的专有SSO能力。
2.CAS的总体架构
1.CAS简介
CAS(中央认证服务)是建立在非常开放的协议之上的企业级SSO解决方案。诞生于2001年,在2002年发布了CAS2.0协议,这一新的协议提供了Proxy(代理)能力,此时的CAS2.0支持多层SSO能力。到2005年,CAS成为了JA-SIG旗下的重要子项目。由于CAS2.0版本的可扩展能力不是非常完美,而且他的架构设计也不是很卓越,为了使得CAS能够适用于更多场合,JA-SIG打算开发出同时遵循CAS1.0和CAS2.0协议的CAS3.X版本。
现在的CAS3全面拥抱Spring技术,比如Spring DI容器和AOP技术、Spring Web MVC、Spring Web Flow、Spring Ldap Template等。
通常,CAS3由两部分内容构成:CAS3服务器和CAS客户端。由于CAS2.0协议借助于XML数据结构与客户进行交互,因此开发者可以使用各种语言编写的CAS3客户与服务器进行通信。CAS3服务器采用纯Java开发而成,它要求目标运行环境实现了Servlet2.4+规范、提供Java SE 1.4+支持。如果宿主CAS3服务器的目标Java EE容器仅仅实现了Servlet2.3-规范,则在对CAS3服务器进行少量的改造后,CAS3也能运行其中。
运行时,CAS3服务器仅仅是一个简单的Web应用,使用者只需要将cas.war直接丢到目标Java EE容器后,即完成了CAS3的部署。
2.CAS词汇概念
TGC(ticket-granting cookie)---------受权的票据证明
KDC(Key Distribution Center)----------密钥发放中心
Service ticket(ST)---------服务票据,由 KDC 的 TGS 发放。任何一台 Workstation 都需要拥有一张有效的 Service Ticket 才能访问域内部的应用(Applications)。如果能正确接收 Service Ticket,说明在 CASClient-CASServer 之间的信任关系已经被正确建立起来,通常为一张数字加密的证书
Ticket Granting tieckt(TGT)---------票据授权票据,由 KDC 的 AS 发放。即获取这样一张票据后,以后申请各种其他服务票据(ST)便不必再向 KDC 提交身份认证信息(准确术语是 Credentials)。
authentication service(AS)---------认证用服务,索取 Crendential,发放 TGT
ticket-granting service(TGS)---------票据授权服务,索取 TGT,发放 ST
3.CAS工作原理
CAS的单点登录的认证过程,所用应用服务器受到应用请求后,检查ST和TGT,如果没有或不对,转到CAS认证服务器登录页面,通过安全认证后得到ST和TGT,再重新定向到相关应用服务器,在回话生命周期之内如果再定向到别的应用,将出示ST和TGT进行认证,注意,取得TGT的过程是通过SSL安全协议的。
如果通俗形象地说就是:相当于用户要去游乐场,首先要在门口检查用户的身份(即 CHECK 用户的 ID 和 PASS), 如果用户通过验证,游乐场的门卫(AS)即提供给用户一张门卡(TGT)。
这张卡片的用处就是告诉游乐场的各个场所,用户是通过正门进来,而不是后门偷爬进来的,并且也是获取进入场所一把钥匙。
现在用户有张卡,但是这对用户来不重要,因为用户来游乐场不是为了拿这张卡的而是为了游览游乐项目,这时用户摩天楼,并想游玩。
这时摩天轮的服务员(client)拦下用户,向用户要求摩天轮的(ST)票据,用户说用户只有一个门卡(TGT), 那用户只要把 TGT 放在一旁的票据授权机(TGS)上刷一下。
票据授权机(TGS)就根据用户现在所在的摩天轮,给用户一张摩天轮的票据(ST), 这样用户有了摩天轮的票据,现在用户可以畅通无阻的进入摩天轮里游玩了。
当然如果用户玩完摩天轮后,想去游乐园的咖啡厅休息下,那用户一样只要带着那张门卡(TGT).到相应的咖啡厅的票据授权机(TGS)刷一下,得到咖啡厅的票据(ST)就可以进入咖啡厅
当用户离开游乐场后,想用这张 TGT 去刷打的回家的费用,对不起,用户的 TGT 已经过期了,在用户离开游乐场那刻开始,用户的 TGT 就已经销毁了。
3.CAS的实现原理
由于CAS是基于Cookie的服务,所以它使用了Spring CookieGenerator来生成相应Cookie,下面的代码段摘自与CAS服务器的WEB-INF/中的cas-server.xml配置文件。
class=“org.springframework.web.util.CookieGenerator”>
一旦用户登录到CAS服务器后,可以借助于URL为/cas/logout的地址退出,并且这种logout结果将导致浏览器中已存储的Cookie被销毁掉,即销毁CAS与当前用户间已建立的信任关系(Web SSO会话)。
1.AuthenticationHandler认证处理器
浏览项目的web.xml,可以发现如下内容:
contextConfigLocation
/WEB-INF/applicationContext.xml,/WEB-INF/deployerConfigContext-acegi.xml
org.jasig.cas.web.init.SafeContextLoaderListener
SafeContextLoaderListener实现了SafeContextListener,它借助于ContextLoader-Listener装载Spring DI容器。这样做的原因是因为Spring在通过
ContextLoaderLitener启动时可能出现异常,造成整个CAS不能正常启动,经过SafeContextLoaderListener,则在异常发生时,CAS服务器也可以启动。在deployerConfigContext.xml中,可以看到只定义了一个Bean:
class=“org.jasig.cas.authentication.AuthenticationManagerImpl”>
SimpleTestUsernamePasswordAuthenticationHandler的作用是如果用户名与密码输入一样,则通过系统认证。这个是开发过程中常用的一个handler,但是在开发完毕后应该除去。
AuthenticationManagerImpl负责认证用户,比如一个admin/admin用户是否合法就是它来验证的。AuthenticationManagerImpl对象会借助于他引用的credentialsToPr-incipalResolvers和authenticationHandlers集合完成用户的认证工作。Authentication-Handlers负责完成用户认证,而
credentialsToPrincipalResolvers负责构建认证结果。其中,并不是authenticationHandlers的全部集合都参与到用户认证中,一旦某个AuthenticationHandler成功完成用户的认证,则认证进程就到此为止,进而转到credenti-alsToPrincipalResolvers来构建认证结果。credentialsToPrincipalResolvers的过程也类似于此。
2.CAS的时序图
来自:
www.teniu.cc
配置设备作为客户端,采用RADIUS认证登录其他设备的示例
规格
适用于所有版本、所有形态的AR路由器。组网需求
用户使用STelnet方式连接SSH服务器(即AR设备),要求在SSH认证过程中,配置SSH服务器支持SSH客户端通过RADIUS服务器进行远端认证。
RADIUS服务器认证该用户,将认证结果返回给SSH服务器。SSH服务器根据认证结果决定是否允许SSH客户端建立连接。组网图
图1 配置SSH支持RADIUS认证组网图
操作步骤
1.在SSH服务器端生成本地密钥对
[Huawei] sysname ssh server
[ssh server] rsa local-key-pair create The key name will be: Host The range of public key size is(512 ~ 2048).NOTES: If the key modulus is greater than 512, It will take a few minutes.Input the bits in the modulus[default = 2048]: 2048 Generating keys..........++++++++++++..........++++++++++++...................................++++++++......++++++++ 2.SSH Server的不同版本的配置存在差异,请关注对应版本的配置 3.# 4.user-interface vty 0 4 5.authentication-mode aaa //指定配置VTY0~4用户的验证方式为AAA 6.protocol inbound ssh //配置VTY支持SSH协议 www.teniu.cc
7.8.9.# aaa local-user ssh1@ssh.com password cipher %@%@0qu:lj # SSH客户端采用RADIUS认证连接SSH服务器。 [ssh client] stelnet 10.164.39.222 Please input the username: ssh1@ssh.com Trying 10.164.39.222...Press CTRL+K to abort Connected to 10.164.39.222...The server is not authenticated.Do you continue to access it?(Y/N):y Save the server's public key? [Y/N] :y The server's public key will be saved with the name: 10.164.39.222.Please wait...www.teniu.cc Enter password: 输入密码huawei,显示登录成功信息如下: Info: The max number of VTY users is 10, and the current number of VTY users on line is 2.# 在SSH服务器端执行display radius-server configuration命令和display ssh server session命令,可以查看到SSH服务器端关于RADIUS服务器的配置,并且看到STelnet客户端采用RADIUS认证已经成功连接到SSH服务器。 [ssh server] display ssh server session ------Conn Ver Encry State Auth-type Username------VTY 0 2.0 AES run password ssh1@ssh.com------配置注意事项 在RADIUS服务器端添加对应客户端的用户名。 在RADIUS服务器端指定SSH服务器的地址和密钥。 如果配置SSH客户端用户使用password验证,只需在SSH服务器端生成本地RSA密钥。如果配置SSH客户端用户使用RSA验证,则在SSH服务器端和客户端都需生成本地RSA密钥,并将客户端上产生的RSA公钥输入到服务器端。 千万量级范文免费下载,请收藏特牛范文网! - www.teniu.cc