本节书摘来自异步社区《ccnp安全secure 642-637认证考试指南》一书中的第6章,第6.5节为cisco ssc配置请求方,作者【美】sean wilkins , trey smith,更多章节内容可以访问云栖社区“异步社区”公众号查看
6.5 为cisco ssc配置请求方
ccnp安全secure 642-637认证考试指南
如果希望在有线环境中对用户进行认证,管理员需要首先安装并配置cisco ssc。
任务1 创建cisco ssc配置文件。
任务2 创建有线网络配置文件与策略。
任务3 设置802.1x定时器。
任务4 选择认证模式(机器认证、用户认证或机器与用户认证)。
任务5 配置内部与外部eap。
任务6 配置请求方的身份凭证。
任务7 创建包含cisco ssc配置文件的软件包。
任务1:创建cisco ssc配置文件
注册用户可以从cisco网站下载cisco ssc以及管理工具(management utility)1。cisco ssc管理工具将输出一个xml文件(configuration.xml),后者包含配置请求方时所需的参数。
步骤1 下载、解压并安装cisco ssc管理工具。双击sscmanagementutility.exe,打开管理工具。
步骤2 从主界面中选择create new configuration profile。
步骤3 选择cisco ssc的版本。这一章以cisco ssc 5.1为例进行配置。
任务2:创建有线网络配置文件与策略
管理员需要在cisco ssc配置文件中创建一个有线网络配置文件。读者可以参考图6-10与6-11进行设置。
步骤1 如果cisco ssc仅用于有线环境中的用户认证,则无需许可。如果cisco ssc同时用于有线与无线环境中的用户认证,则需要购买许可2。
步骤2 从connection settings中选择attempt connection after user login。
步骤3 从media中选择allow wired (802.3) media,然后点击next按钮进入authentication policy页面。
步骤4 从allowed authentication modes中选择eap-fast,保持其他选项不变,然后点击next按钮进入networks页面。
步骤5 点击add network按钮以创建一个新的网络配置文件,进入network media页面。
步骤6 保留默认设置wired (802.3) network,然后点击next按钮进入wired network settings页面。
步骤7 在network settings的display name文本框中输入网络配置文件的名称,并从security level中选择authenticating network,然后点击next按钮进入连接设置窗口。
任务3/任务4:设置802.1x定时器/选择认证模式(可选)
管理员可以调整定时器并选择认证模式(机器认证、用户认证或机器与用户认证),不过这并非强制要求。在下面的例子中,我们保持802.1x定时器的默认值不变,但是将认证模式改为仅使用用户认证。
步骤1 如图6-12所示,连接设置窗口中包括4个与eapol有关的参数。
authperiod:请求方等待认证方响应时,处于认证状态的时间,默认为30秒。
he ldperiod:认证失败后,请求方再次发送认证请求前需要等待的时间,默认为5秒。
startperiod:请求方等待认证方eap响应时,处于连接状态的时间,默认为3秒。
maxstart:在放弃认证前,请求方可以尝试的最多次数,默认为2次。
步骤2 点击next按钮进入network connection type页面。
步骤3 选择user connection,即仅采用用户认证,不采用机器认证。
任务5:配置内部与外部eap
接下来,管理员需要确定认证时所用的内部与外部协议。我们选择eap-mschapv2作为内部认证协议,eap-fast作为外部认证协议。
步骤1 如图6-13所示,从user authentication页面中选择eap-fast作为外部认证协议。点击旁边的configure按钮,打开如图6-14所示的eap-fast settings页面进行参数设置。
步骤2 从eap-fast settings中选择validate server identity,允许请求方对认证服务器的身份进行验证。从inner methods based on credentials source中选择authenticate using a password并勾选eap mschapv2作为内部认证协议。
步骤3 如果以手动方式部署用户pac文件,则必须勾选use pacs。点击add pac file按钮,导入通过csutil命令产生的pac文件。
步骤4 保留其他设置不变,点击ok按钮。
步骤5 点击next按钮进入user server validation页面。
任务6:配置请求方的身份凭证
确定认证协议之后,管理员需要为请求方配置认证时使用的身份凭证。
步骤1 eap-fast采用基于密码的pac,不需要对此做任何设置,直接点击next按钮进入下一个user server validation页面。
步骤2 不需要为eap-fast配置受信任的认证中心,直接点击next按钮进入user credentials页面。
步骤3 该页面用于设置请求方的身份凭证(用户名与密码)。管理员既可以在protected identity pattern文本框中输入指定的用户名,也可以让系统自动选择当前的windows用户名作为用户名(输入“[user]”)。
步骤4 从user credentials中选择prompt for credentials,并勾选remember while the user is logged on以储存用户密码。此外,管理员也可以使用windows用户名与密码作为请求方的身份凭证(勾选use single sign on credentials),或者在user static credentials中输入指定的密码。
步骤5 点击finish按钮,完成cisco ssc配置文件的创建工作。
任务7:创建包含cisco ssc配置文件的软件包
通过将之前创建的cisco ssc配置文件与安装程序绑定在一起,可以创建一个预配置的客户端软件包。读者可以参考图6-15进行配置。
步骤1 双击sscmanagementutility.exe,打开cisco ssc管理工具。
步骤2 从主界面中选择create pre-configured client package,打开选择预配置客户端组件窗口。
步骤3 点击client source package file中的browse按钮,选择从cisco网站下载的cisco ssc安装程序。
步骤4 点击processed and signed configuration file中的browse按钮,选择之前创建的cisco ssc配置文件。
步骤5 点击client destination package file中的browse按钮,选择cisco ssc软件包的保存位置。
步骤6 点击finish按钮,完成客户端软件包的创建工作。
网络登录
如果各项配置正确无误,cisco ssc请求方将在用户再次登录网络时自动启动。用户必须输入正确的密码才能访问网络资源与服务。
1 cisco ssc管理工具包括gui与cli两种操作模式,这一章采用gui模式进行配置。cli模式的配置方法请参见相关文档。——译者注
2 cisco ssc许可分为以下两种:90天试用版许可与仅用于有线认证的免费版许可。对第一种许可而言,用户可以在试用期内使用cisco ssc的所有功能,但是在试用期过后必须购买许可。对第二种许可而言,用户可以使用功能受限的cisco ssc进行有线认证而无需付费。——译者注