本節書摘來自異步社群《ccnp安全secure 642-637認證考試指南》一書中的第6章,第6.5節為cisco ssc配置請求方,作者【美】sean wilkins , trey smith,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視
6.5 為cisco ssc配置請求方
ccnp安全secure 642-637認證考試指南
如果希望在有線環境中對使用者進行認證,管理者需要首先安裝并配置cisco ssc。
任務1 建立cisco ssc配置檔案。
任務2 建立有線網絡配置檔案與政策。
任務3 設定802.1x定時器。
任務4 選擇認證模式(機器認證、使用者認證或機器與使用者認證)。
任務5 配置内部與外部eap。
任務6 配置請求方的身份憑證。
任務7 建立包含cisco ssc配置檔案的軟體包。
任務1:建立cisco ssc配置檔案
注冊使用者可以從cisco網站下載下傳cisco ssc以及管理工具(management utility)1。cisco ssc管理工具将輸出一個xml檔案(configuration.xml),後者包含配置請求方時所需的參數。
步驟1 下載下傳、解壓并安裝cisco ssc管理工具。輕按兩下sscmanagementutility.exe,打開管理工具。
步驟2 從主界面中選擇create new configuration profile。
步驟3 選擇cisco ssc的版本。這一章以cisco ssc 5.1為例進行配置。
任務2:建立有線網絡配置檔案與政策
管理者需要在cisco ssc配置檔案中建立一個有線網絡配置檔案。讀者可以參考圖6-10與6-11進行設定。
步驟1 如果cisco ssc僅用于有線環境中的使用者認證,則無需許可。如果cisco ssc同時用于有線與無線環境中的使用者認證,則需要購買許可2。
步驟2 從connection settings中選擇attempt connection after user login。
步驟3 從media中選擇allow wired (802.3) media,然後點選next按鈕進入authentication policy頁面。
步驟4 從allowed authentication modes中選擇eap-fast,保持其他選項不變,然後點選next按鈕進入networks頁面。
步驟5 點選add network按鈕以建立一個新的網絡配置檔案,進入network media頁面。
步驟6 保留預設設定wired (802.3) network,然後點選next按鈕進入wired network settings頁面。
步驟7 在network settings的display name文本框中輸入網絡配置檔案的名稱,并從security level中選擇authenticating network,然後點選next按鈕進入連接配接設定視窗。
任務3/任務4:設定802.1x定時器/選擇認證模式(可選)
管理者可以調整定時器并選擇認證模式(機器認證、使用者認證或機器與使用者認證),不過這并非強制要求。在下面的例子中,我們保持802.1x定時器的預設值不變,但是将認證模式改為僅使用使用者認證。
步驟1 如圖6-12所示,連接配接設定視窗中包括4個與eapol有關的參數。
authperiod:請求方等待認證方響應時,處于認證狀态的時間,預設為30秒。
he ldperiod:認證失敗後,請求方再次發送認證請求前需要等待的時間,預設為5秒。
startperiod:請求方等待認證方eap響應時,處于連接配接狀态的時間,預設為3秒。
maxstart:在放棄認證前,請求方可以嘗試的最多次數,預設為2次。
步驟2 點選next按鈕進入network connection type頁面。
步驟3 選擇user connection,即僅采用使用者認證,不采用機器認證。
任務5:配置内部與外部eap
接下來,管理者需要确定認證時所用的内部與外部協定。我們選擇eap-mschapv2作為内部認證協定,eap-fast作為外部認證協定。
步驟1 如圖6-13所示,從user authentication頁面中選擇eap-fast作為外部認證協定。點選旁邊的configure按鈕,打開如圖6-14所示的eap-fast settings頁面進行參數設定。
步驟2 從eap-fast settings中選擇validate server identity,允許請求方對認證伺服器的身份進行驗證。從inner methods based on credentials source中選擇authenticate using a password并勾選eap mschapv2作為内部認證協定。
步驟3 如果以手動方式部署使用者pac檔案,則必須勾選use pacs。點選add pac file按鈕,導入通過csutil指令産生的pac檔案。
步驟4 保留其他設定不變,點選ok按鈕。
步驟5 點選next按鈕進入user server validation頁面。
任務6:配置請求方的身份憑證
确定認證協定之後,管理者需要為請求方配置認證時使用的身份憑證。
步驟1 eap-fast采用基于密碼的pac,不需要對此做任何設定,直接點選next按鈕進入下一個user server validation頁面。
步驟2 不需要為eap-fast配置受信任的認證中心,直接點選next按鈕進入user credentials頁面。
步驟3 該頁面用于設定請求方的身份憑證(使用者名與密碼)。管理者既可以在protected identity pattern文本框中輸入指定的使用者名,也可以讓系統自動選擇目前的windows使用者名作為使用者名(輸入“[user]”)。
步驟4 從user credentials中選擇prompt for credentials,并勾選remember while the user is logged on以儲存使用者密碼。此外,管理者也可以使用windows使用者名與密碼作為請求方的身份憑證(勾選use single sign on credentials),或者在user static credentials中輸入指定的密碼。
步驟5 點選finish按鈕,完成cisco ssc配置檔案的建立工作。
任務7:建立包含cisco ssc配置檔案的軟體包
通過将之前建立的cisco ssc配置檔案與安裝程式綁定在一起,可以建立一個預配置的用戶端軟體包。讀者可以參考圖6-15進行配置。
步驟1 輕按兩下sscmanagementutility.exe,打開cisco ssc管理工具。
步驟2 從主界面中選擇create pre-configured client package,打開選擇預配置用戶端元件視窗。
步驟3 點選client source package file中的browse按鈕,選擇從cisco網站下載下傳的cisco ssc安裝程式。
步驟4 點選processed and signed configuration file中的browse按鈕,選擇之前建立的cisco ssc配置檔案。
步驟5 點選client destination package file中的browse按鈕,選擇cisco ssc軟體包的儲存位置。
步驟6 點選finish按鈕,完成用戶端軟體包的建立工作。
網絡登入
如果各項配置正确無誤,cisco ssc請求方将在使用者再次登入網絡時自動啟動。使用者必須輸入正确的密碼才能通路網絡資源與服務。
1 cisco ssc管理工具包括gui與cli兩種操作模式,這一章采用gui模式進行配置。cli模式的配置方法請參見相關文檔。——譯者注
2 cisco ssc許可分為以下兩種:90天試用版許可與僅用于有線認證的免費版許可。對第一種許可而言,使用者可以在試用期内使用cisco ssc的所有功能,但是在試用期過後必須購買許可。對第二種許可而言,使用者可以使用功能受限的cisco ssc進行有線認證而無需付費。——譯者注