1、思科設備和微軟系統整合的背景: 公司內部有一定數量的客戶端,為了實現統一化,在管理內部部署了域架構,這樣可以通過組策略對客戶端進行批量化管理,提高了管理的效率。 同樣公司內部有一定數量的網路設備(交換機,路由器,防火牆等),在遠程管理的時候是通過Telnet方式。 在本案例中,希望用戶遠程管理網 ...
1、思科設備和微軟系統整合的背景:
公司內部有一定數量的客戶端,為了實現統一化,在管理內部部署了域架構,這樣可以通過組策略對客戶端進行批量化管理,提高了管理的效率。
同樣公司內部有一定數量的網路設備(交換機,路由器,防火牆等),在遠程管理的時候是通過Telnet方式。
在本案例中,希望用戶遠程管理網路設備的時候通過到微軟的DC(域控制器)上進行身份驗證,這樣實現了身份驗證的單一化,避免維護多套身份驗證的架構,大大的簡化了公司IT的管理。
2、搭建模擬環境:
如圖:搭建的環境核心就為上圖所示,一臺DC域控制器(對網路進行域管理)、一臺RADIUS伺服器(提供cisco設備認證和微軟環境相容整合)、一臺交換機、一臺路由器、一臺PC客戶機。(此實驗涉及到cisco模擬器GNS3和虛擬機VMware的整合中的環境搭建步驟)
1) 首先在GNS3模擬器中搭建下圖環境:交換機的位置我們用雲來替代,按照系列之一的方式把雲與我們的虛擬機網卡VMnet1橋接起來。(具體步驟見cisco模擬器GNS3和虛擬機VMware的整合)
1) 再在VMware中開啟三台虛擬機:a)03Server1;b)03Server2;c)XP1,分別依次模擬a)DC域控制器;b)RADIUS伺服器;c)Alice客戶機。把三台網卡橋接到VMnet1上,使他們與GNS3中的雲連接起來,成功構造出我們要搭建的環境。(具體步驟見cisco模擬器GNS3和虛擬機VMware的整合)
2) 在路由器R1中配置f0/0介面的IP地址和掩碼:
R1(config)#int f0/0
R1(config-if)#ip add 10.0.0.11 255.255.255.0
R1(config-if)#no shutdown
3) 在三台虛擬機中配置IP地址:10.0.0.x、子網掩碼:255.255.255.0、預設網關:10.0.0.11、首選DNS伺服器:10.0.0.2,這裡DNS伺服器就是DC域控制器。
4) 如果在進行互相ping命令檢測時發現XP1的10.0.0.100總是ping不通,那麼把XP1上的防火牆功能關閉後,再ping。
3、具體實現步驟:
第1步: 把03Server1伺服器提升為DC域控制器:
a) 開始——>運行——>輸入dcpromo——>確定
b) 進入Active Directory安裝嚮導:
c) 一直點擊下一步直到出現下圖——>創建一個新域並輸入功能變數名稱:例如ilync.cn——>下一步
d) 一直點擊下一步直到出現下圖——>輸入配置的密碼——>下一步
e) 一直點擊下一步——>等待安裝嚮導完成——>點擊完成——>點擊重新啟動電腦——>等待重啟
第2步: 在03Server1上創建用戶Alice:
a) 開始——>管理工具——>Active Directory用戶和電腦——>點擊“在當前容器中創建一個新的組織單位”按鈕——>進入新建對象-組織單位對話框
b) 輸入要創建的組織單位名稱:如sales(銷售部)——>確定
c) 在Active Directory用戶和電腦中出現sales——>點擊“sales”——>點擊“在當前容器中創建一個新用戶”按鈕——>進入新建對象-用戶對話框
d) 輸入要添加的用戶名稱:如Alice——>下一步
e) 輸入用戶登錄的密碼並且勾選紅框中的信息——>下一步——>完成
f) 在Active Directory用戶和電腦中出現Alice用戶——>點擊“在當前容器中創建一個新組”按鈕——>輸入組名——>確定——>在Active Directory用戶和電腦中出現一個創建的telnet新組
g) 把Alice用戶加入到telnet組內——>雙擊telnet組——>進入telnet屬性對話框——>在成員選項卡下——>添加——>進入選擇用戶、聯繫人或電腦對話框——>輸入要加入改組的用戶名稱,如Alice——>點擊“位置”按鈕——>選擇ilync.cn——>確定——>確定
第3步: 03Server2和XP1加入03Server1創建的域ilync:
a) 在03Server2和XP1中右擊我的電腦——>屬性——>點擊電腦名選項卡——>更改——>出現電腦名稱更改對話框。
b) 在對話框中點擊域選項——>在框中輸入要加入的功能變數名稱稱——>確定——>出現電腦名更改對話框。
c) 在對話框中輸入加入該域的賬戶名和密碼——>確定——>出現“歡迎加入ilync域”字樣對話框——>確定——>出現重新啟動電腦對話框——>確定——>原來的系統屬性對話框點擊確定——>重新啟動電腦——>是
d) 重新啟動電腦後登陸到域環境下——>點擊“選項”——>登錄到:下拉框選擇“ILYNC”——>輸入用戶名——>輸入密碼——>確定
第4步: 在03Server2上添加RADIUS組件服務:
a) 開始——>控制面板——>添加或刪除程式——>添加/刪除windows組件(A)——>進入“windows組件嚮導”對話框——>網路服務——>詳細信息
b) 進入網路服務對話框——>Internet 驗證服務——>確定——>下一步——>完成
c) 開始——>管理工具——>Internet驗證服務——>右擊Internet驗證服務(本地)——>點擊“在Active Directory中註冊伺服器”——>確定——>確定
d) 右擊RADIUS客戶端——>點擊新建RADIUS客戶端——>出現新建RADIUS客戶端對話框
e) 在新建RADIUS客戶端對話框中輸入添加的客戶端名稱和IP地址,如:我們環境中的R1路由器和它的IP——>下一步
f) 輸入配置AAA認證中的key,也就是登陸R1時要輸入的密碼——>完成
g) 右擊“遠程訪問策略”——>新建遠程訪問策略——>下一步——>選擇“設置自定義策略”,並填寫策略名——>下一步
h) 添加——>選擇Windows-Group類型——>添加
i) 在組對話框中點擊添加——>進入選擇組對話框——>點擊“位置”——>選擇ilync.cn——>輸入要添加的對象名稱——>確定——>確定——>下一步
j) 在許可權中選擇“授予遠程訪問許可權”——>下一步——>編輯配置文件——>身份驗證選項卡下——>勾選未加密的身份驗證——>確定——>是——>直接關閉出現的“路由和遠程訪問對話框”——>下一步——>完成
第5步: 在R1上配置AAA的身份驗證到RADIUS Server上:
R1(config)#aaa new-model
R1(config)#radius-server host 10.0.0.3 key 123.com
R1(config)#aaa authentication login telnet group radius
R1(config)#aaa authentication enable default none
R1(config)#line vty 0 4
R1(config-line)#login authentication telnet
第6步: 驗證主機XP1遠程訪問R1:
a) XP1上點擊開始——>運行——>輸入cmd——>telnet 10.0.0.11
b) 進入telnet下——>輸入用戶名:(功能變數名稱\用戶名)模式——>輸入配置在R1上的AAA認證的密碼
可以看到結果:XP1遠程訪問R1失敗!
c) 在03Server2上的事件查看器中查看失敗原因:在03Server2中點擊開始——>管理工具——>事件查看器——>系統——>在右面的事件中產生的警告條目上雙擊——>出現事件屬性對話框——>可以看到用戶被拒絕訪問信息
d) 解決方法是:在03Server1上設置用戶允許訪問:在03Server1中打開Active Directory用戶和電腦對話框——>雙擊Alice用戶——>出現用戶屬性對話框——>在撥入選項卡下——>勾選允許訪問——>確定
e) 再次在XP1上telnet R1驗證遠程訪問:
可以看到結果:XP1遠程訪問R1成功!
f) 在03Server2上的事件查看器中查看:事件條目中沒出現警告信息,雙擊最上面的信息查看——>可以看到用戶被授予了訪問權
實驗到此完成!!
可以在XP1上對R1進行配置!!
