远程授权拨入用户服务(RADIUS)提供强大的用户身份验证方式,以允许访问网络服务。因此,RADIUS服务器提供集中访问控制,其中服务器管理员决定特定网段是否使用RADIUS进行身份验证。本文说明在客户端/服务器环境中建立RADIUS的一般步骤,其中客户端由Cisco 200/300系列管理型交换机表示,服务器运行的是启用RADIUS的Windows Server 2008。
配置分为两部分。首先,我们必须将交换机设置为RADIUS客户端,然后,我们必须为RADIUS正确设置服务器。
步骤1:在SG200/300系列配置实用程序中,选择Security > RADIUS。将打开RADIUS页面:
第二步:输入默认RADIUS设置。
第三步:单击Apply以使用RADIUS设置更新交换机的运行配置。
第四步:您需要将RADIUS服务器添加到交换机。单击 Add。在新窗口中打开Add RADIUS Server页面:
第五步:在服务器字段中输入值。如果要使用默认值,请在所需字段中选择Use Default。
— 登录 — RADIUS服务器对要管理交换机的用户进行身份验证。
- 802.1X - RADIUS服务器用于802.1X身份验证。
— 全部 — RADIUS服务器用于登录和802.1X身份验证。
第六步:单击Apply将服务器定义添加到交换机的运行配置中。
步骤1:在Windows Server 2008计算机上,选择开始>管理工具>网络策略服务器。Network Policy Server窗口打开:
第二步:要为网络的特定网段启用RADIUS服务器,您需要创建新的网络策略。要创建新的网络策略,请选择Policies > Network Policy,然后右键单击并选择New。将打开New Network Policy窗口:
第三步:在Policy Name字段中,输入新策略的名称。单击 Next。
第四步:您需要指定此策略的条件。需要两个条件:RADIUS服务器将实施到哪个用户段,以及用于连接到该段的方法。单击Add以添加这些条件。
第五步:在“组”下有三个选项:“Windows组”、“计算机组”和“用户组”。根据网络设置选择组,然后单击添加。系统会根据所选的组打开一个新窗口,单击Add Groups。
第六步:选择对象类型和位置,然后输入对象的名称。单击Ok,然后单击Ok。单击Add以添加下一个条件。
步骤 7.在RADIUS Client下,选择IPv4 Address作为将服务器连接到RADIUS客户端的方法,在本例中,RADIUS客户端将是交换机IP地址。单击 Add。
步骤 8输入相应的IP地址,然后单击Ok。系统将显示包含添加条件的列表,单击下一步。
步骤 9在“指定访问权限”(Specify Access Permission)页面中,选择授予的访问权限(Access Granted)。单击 Next。
步骤 10在身份验证页面中,设置最适合您的网络的身份验证方法。单击 Next。
步骤 11在“配置约束”(Configure Constraints)窗口中,使用默认值。单击 Next。
步骤 12在Configure Settings页面的RADIUS Attributes下,单击Vendor Specific,然后单击Add。
注意:此页中的其余设置均设置为默认值。您只需处理供应商特定设置。
在Vendor下,选择Cisco。单击 Add。Attribute Information窗口打开。
在Attribute Information窗口中,单击Add并输入值shell:priv-lvl:15。Click OK.
注意:这是思科为RADIUS服务器授予对基于Web的交换机配置实用程序的访问权限而分配的值。
单击Ok关闭“Attribute Information”窗口,然后单击Close关闭“Add Vendor Specific Attribute”窗口。单击 Next。
步骤 13显示此策略的设置摘要,请单击Finish。网络策略创建成功。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
11-Dec-2018 |
初始版本 |