WLN00020-WLC上基于ACS与AD组映射的动态VLAN分配的配置方法
无线局域网控制器(WLC)EAP认证的配置实例
在此设置中,思科 4400 WLC 和轻量级 AP 通过一个集线器连接。外部 RADIUS 服务器(Cisco Secure ACS)也连接到这个集线器。所有的设备都在同一个子网。无线接入点注册到无线控 制器。您必须配置 WLC 和 AP 采用轻量级扩展身份验证协议(LEAP)验证。无线客户端连接 到 AP 使用 LEAP 认证,以便与 AP 关联。使用 Cisco Secure ACS 进行 RADIUS 验证。
要求 .................................................................................................................................................2 使用的组件 .....................................................................................................................................2 配置.......................................................................................................................................................... 2 网络拓扑图 .....................................................................................................................................3 配置 WLC 的基本操作并注册轻量级接入点到控制器.............................................................3 在 WLC 配置外部 RADIUS 服务器进行 RADIUS 身份验证........................................................4 配置无线局域网参数 ....................................................................................................................6 配置 Cisco Secure ACS 服务器并创建用户数据库来认证无线客户端 ...................................8 配置无线客户端 ..........................................................................................................................12 验证配置 ...............................................................................................................................................14 故障排查 ...............................................................................................................................................16 故障排查要点...............................................................................................................................20 维护 EAP 定时器数值..................................................................................................................20 从 ACS RADIUS 服务器提取文件包进行故障排除...................................................................22
无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例
⽆线控制器通过认证服务器动态授权⽆线终端接⼊VLAN 典型配置举例1 简介本⽂档介绍了⽆线控制器通过认证服务器动态授权⽆线终端接⼊VLAN典型配置案例。
2 配置前提本⽂档不严格与具体软、硬件版本对应,如果使⽤过程中与产品实际情况有差异,请参考相关产品⼿册,或以设备实际情况为准。
本⽂档中的配置均是在实验室环境下进⾏的配置和验证,配置前设备的所有参数均采⽤出⼚时的缺省配置。
如果您已经对设备进⾏了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本⽂档假设您已了解802.1X特性。
3 配置举例3.1 组⽹需求如图1所⽰,在⽆线⽹络环境中部署了RADIUS服务器,现要求使⽤RADIUS服务器对⽆线客户端进⾏802.1X认证,并对认证通过的客户端下发授权VLAN 300。
图1 授权VLAN下发典型配置组⽹图3.2 配置注意事项开启⽆线侧的端⼝安全功能时,请确保该端⼝的802.1X功能或MAC 地址认证功能处于关闭状态。
关闭在线⽤户握⼿功能,以避免不⽀持在线握⼿功能的客户端被强制下线。
# 关闭802.1X的组播触发功能,以节省⽆线的通信带宽。
RADIUS服务器授权下发的VLAN必须是AC设备上已经配置的VLAN,否则802.1X⽆法认证成功。
配置AP的序列号时请确保该序列号与AP唯⼀对应,AP的序列号可以通过AP设备背⾯的标签获取。
3.3 配置步骤3.3.1 AC的配置(1)配置AC的接⼝# 创建VLAN 100及其对应的VLAN接⼝,并为该接⼝配置IP地址。
AC将使⽤该接⼝的IP地址与AP建⽴LWAPP隧道。
system-view[AC] vlan 100[AC-vlan100] quit[AC] interface vlan-interface 100[AC-Vlan-interface100] ip address 125.100.1.4 24[AC-Vlan-interface100] quit# 创建VLAN 200作为WLAN-ESS接⼝的缺省VLAN。
无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例
无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例首先,需要配置无线控制器。
无线控制器是一个集中管理多个无线接入点的设备,可以通过该设备统一管理和配置所有的无线终端。
1.连接无线控制器和认证服务器:将无线控制器与认证服务器连接到同一个网络中,以便它们之间可以进行通信。
2.配置认证服务器信息:在无线控制器上设置认证服务器的相关信息,包括服务器的IP地址、端口号、共享密钥等。
3.配置无线控制器的VLAN:为不同的用户组设置不同的VLAN,以实现对不同用户的访问控制和隔离。
4.配置无线接入点:将无线接入点与无线控制器进行绑定,确保无线控制器可以管理和配置这些接入点。
接下来,需要配置认证服务器。
认证服务器负责对无线终端进行认证、授权和账号管理。
1. 配置用户身份验证方式:可以使用本地数据库、RADIUS服务器或Active Directory等方式进行用户身份验证。
2.设置用户账号:创建用户账号,并为每个账号分配相应的权限和VLAN。
3. 配置认证方式:可以选择使用802.1X、预共享密钥、Web Portal等认证方式进行无线终端的认证。
最后,需要配置无线终端。
无线终端是连接无线网络的设备,通过认证服务器的授权,可以接入相应的VLAN。
1.配置无线接入方式:根据无线接入点的类型,设置无线终端的接入方式,包括无线网卡参数和接入点的SSID等。
2.配置认证方式:根据认证服务器的要求,设置无线终端的认证方式,如输入用户名和密码,或通过预共享密钥进行认证。
通过以上的配置步骤,无线控制器可以动态授权无线终端接入相应的VLAN。
当无线终端连接到无线网络时,它将向无线控制器发送认证请求,在认证服务器上进行身份验证。
如果认证成功,认证服务器将授权该无线终端接入指定的VLAN。
无线控制器会通过VLAN分发机制将无线终端隔离到相应的VLAN中,确保网络的安全和可靠性。
总结起来,无线控制器通过认证服务器动态授权无线终端接入VLAN是一种常见的网络配置。
使用WLC基于ACS对ActiveDirectory组映射执行动态VLAN-Cisco
2. 在 External User Databases 页上,单击 Database Configuration。
ACS 显示所有可能的外部用户数据库类型的列表。 3. 单击 Windows Database。
如果不存在 Windows 数据库配置,将显示 Database Configuration Creation 表。否则,将显 示 External User Database Configuration 页。 4. 单击 Configure。
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
背景信息
用于 Windows 的 Cisco Secure ACS 版本 4.1 根据几个可能数据库(包括其内部数据库)中的一个 对无线用户进行身份验证。您可以配置 ACS 以使用多种类型的数据库对用户进行身份验证。您可 以配置 ACS 以将用户身份验证转发到一个或多个外部用户数据库。对外部用户数据库的支持意味 着 ACS 不需要您在用户数据库中创建重复的用户条目。
q 通过未知用户策略 - 您可以配置 ACS 以通过使用外部用户数据库尝试对不在 ACS 内部数据库 中的用户进行身份验证。对于此方法,您不需要在 ACS 内部数据库中定义新用户。
本文档重点介绍使用“未知用户策略”方法对无线用户进行身份验证的过程。
当 ACS 尝试根据 Windows 数据库对用户进行身份验证时,ACS 会将用户凭据转发到 Windows 数 据库。Windows 数据库验证用户凭据,如果身份验证成功,则通知 ACS。
使用 WLC 基于 ACS 对 Active Directory 组映射 执行动态 VLAN 分配配置示例
ACS_5.2做为Radius服务器和无线控制器为无线客户端动态分配VLAN的配置
ACS 5.2做为Radius服务器和无线控制器为无线客户端动态分配VLAN 的配置上次讲了如何配置ACS 5.2来认证无线客户端。
下面通过图示看看如何配置ACS 5.2做为Radius服务器和无线控制器为无线客户端动态分配VLAN。
关于无线控制器的配置不做介绍请见下面文档:/web/CN/products/products_netsol/wireless/pdf/wlc_cg_4.pdf 关于无线客户端的配置请见之前的文章,这里也不描述了。
下面来看看如何配置ACS 5.2,主要配置步骤如下:- 生成证书;- 添加NAS client;- 配置用户和组;- 配置授权策略- 定义访问策略生成证书;请参考之前的文章,这里不做描述。
添加NAS client;请参考之前的文章,这里不做描述。
配置用户和组;这里我们要定义两个用户并将其归纳到不同的组中。
首先创建组,点击Users and Identity Stores -> Internal Identity Stores -> Identity Groups,点击Create,输入组名称,点击submit。
同样操作过程,再创建一个组然后创建用户,点击Users and Identity Stores -> Internal Identity Stores -> Users,点击Create,输入用户名/密码信息并将该用户对应到组,然后submit同样操作过程,再创建一个用户配置授权策略点击Policy Elements -> Authorization and Permissions -> Network Access -> Authorization Profiles,在General页面输入策略名称,在Common Tasks页面,VLAN处配置VLAN ID,此时如果没有其它需要设置项就可以submit 了。
wlc配置命令
wlc配置命令1.Wlc⽆线控制器初始化配置:启动Cisco WLC后必须使⽤Windows中⾃带软件“超级终端”并通过console电缆登陆WLC 进⾏配置。
随后根据系统提⽰完成以下配置:System Name [Cisco_40:4a:03]:Enter Administrative User Name (24 characters max): admin //管理员帐号和密码Enter Administrative Password (24 characters max): *****Re-enter Administrative Password : *****Service Interface IP Address Configuration [none][DHCP]: none //这⾥选择不使⽤DHCP服务来分配服务端⼝的IP地址获得⽅式。
我们将⼿⼯进⾏配置。
Service Interface IP Address: 10.1.2.190 //本地通过此地址进⾏⽹页管理,Service Interface Netmask: 255.255.255.0Enable Link Aggregation (LAG) [yes][NO]: yesManagement Interface IP Address: 10.1.3.7 //通过⽹络远程管理的IP Management Interface Netmask: 255.255.255.0Management Interface Default Router: 10.1.3.254 //DHCP的default-router 地址Management Interface VLAN Identifier (0 = untagged): 3 //指定vlan号, 有tag为0 (2106)Management Interface DHCP Server IP Address: 10.1.3.254 //指向DHCP服务器地址,服务器负责DHCP服务功能。
配置acs下发vlanid
基于802.1x 的动态VLANIEEE 802.1x 名为基于端口的访问控制协议( Port based network access controlprotocol),它源于IEEE 802.11 无线以太网(EAPOW)。
该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现认证与业务的分离,保证了网络传输的效率。
用户通过认证后,业务流和认证流分开,对后续的数据包处理没有特殊要求。
本节讲述如何在Catalyst 系列交换机上使用802.1x 实现动态VLAN 技术,拓扑图如下:第一步,在交换机上启动AAA,配置认证和授权。
switch(config)# aaa new-modelswitch(config)# username benet password ciscoswitch(config)# aaa authentication login default local//定义login 的认证方法,此配置和802.1x 无关,仅用于管理交换机switch(config)# aaa authentication dot1x default group radius switch(config)# aaa authorization network default group radius //配置认证和授权方法第二步,配置AAA 服务器参数。
switch(config)# radius-server host 10.10.20.60 key cisco switch(config)# radius-server vsa send authenticationradius-server vsa send authentication句允许交换机识别和使用这些VSA值。
//由于需要做动态VLAN 分配,因此必须让交换机识别radius 服务器发送的VSA 值第三步,启动802.1x。
WLN00100-无线局域网控制器(WLC)最优配置方法
【标题】无线局域网控制器(WLC)最优配置方法【译者姓名】彭国勇【校对人】【翻译完成时间】2008-1-19【原文英文标题】Wireless LAN Controller (WLC) Configuration Best Practices【原文链接】/en/US/tech/tk722/tk809/technologies_tech_note09186a008081088 0.shtml【翻译内容】目录介绍 (2)先决条件 (2)要求 (2)使用组件 (2)公约 (3)最佳做法 (3)无线/射频 (3)网络连接 (4)网络设计 (8)移动性 (8)安全 (13)总结 (16)如何把WLC 崩溃文件从WLC传输到TFTP服务器 (21)本文档提供了WLC的简短配置窍门,包括在TAC中心常见的几个有关无线统一基础设施问题。
该文档适用于大多数网络实现环境,以便最大限度减少可能发生的问题。
注意:并不是所有的网络都是等同的,因此,一些建议可能并不适用于您的网络安装环境。
总是需要核实,然后再进行一些更改。
先决条件要求思科建议您了解这些议题:∙了解如何配置无线局域网控制器( WLC )和轻量级接入点(LAP)的基本操作∙轻量级接入点协议( LWAPP )和无线安全的基本知识使用组件此文档中的信息是基于这些软件和硬件版本:∙思科2000/2100/4400系列WLC ,运行软件版本在4.2或5.0∙LWAPP的接入点, 1230,1240,1130,10x0和1510 系列本文件中所涉及的设备均在特定的实验室环境。
本文件中使用所有设备开始为默认配置,在配置网络之前,要确保了解潜在影响的任何命令。
在文件公约中,如了解更多信息请参考Cisco Technical Tips Conventions 连接。
最佳做法无线/射频对于无线/射频( RF )最佳做法如下:∙对于任何无线部署,前期必须要进行一个适当的实地勘察,以确保为无线用户提供适当的服务质量。
ACS动态VLAN
ACS+802.1X+DHCP实现动态VLAN 一直以来,我以为80%的工程师在划分VLAN的时候都使用基于端口的方式,至少我是这样,如果有客户要基于动态VLAN,那么我们在早期只能使用基于COS的操作系统建立VMPS服务器来做,可今天不需要用那么复杂的过程和繁琐的步骤就可以轻松实现了动态VLAN了,它就是采用ACS+802.1X+DHCP来实现,下面是我做的一点小小的步骤,愿对您有所帮助。
这里安装ACS就略了,直接步入正题吧,如下图所示:一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。
现在已经开始被应用于一般的有线LAN的接入。
为了对端口加以控制,以实现用户级的接入控制。
802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。
1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。
2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN 一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道)3、802.1X的认证的最终目的就是确定一个端口是否可用。
对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。
二、802.1X的认证体系分为三部分结构:Supplicant System,客户端(PC/网络设备)Authenticator System,认证系统Authentication Server System,认证服务器三、认证过程1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等;3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。
如何设置无线网络访问限制
前段时间由于网络的需要,要对无线网络做一下限制,防止别人连接个人网络,特意研究了下无线路由的加密方式,下面将对其综述下,希望能对朋友们有帮助.无线路由器加密有以下几种方法:1.使用无线路由器提供的WEP,WPA等加密方式.WEP一般设置简单.2.或者使用访问限制,同过MAC地址来限制连接,就是说在访问限制列表里输入MAC的机器,才能连接到你的无线路由器.3.一种更简单的,就是关闭SSID广播,就是无法搜索到你AP的SSID,你只能手工的方式自己填入正确的SSID,才能连接!上述三个方法都可以,但安全性质最好的是通过MAC地址限制访问.设置都是在无线路由器完成.下面将对这些加密方式详细介绍下:一、先介绍下最简单的,关闭SSID广播,这样无线用户就搜索不到你的网络标识,可以起到限制其他用户的连接.具体设置:a、路由器方设置,在关闭SSID广播时,你最好改变下SSID广播号,如果不改动的话,以前连过你网络的用户,还可以连接;b、客户机设置:无线网络---属性----无线配置---"使用windows配置您的无线网络"--然后点"添加"--写上你设置的SSID名称.OK后,---再点属性,要确认"自动连接到非手选网络"的勾未打上,确定就可以----让你刚刚设置的SSID号排在最上方,因为SSID广播关闭后,是你的电脑无线网卡去搜寻路由器,在最上方,可以首先访问你的无线网络,且避免连接到其他的无线网络.(备注:如果这样还是上不去网的话,你可以点开无线网络的TCP/IP设置,写上内网的固定ip,网关,DNS.一般网关,DNS都是你路由器的ip.)二、WEP加密及MAC地址限制1、启用WEP加密。
打开路由器管理界面,“无线设置”->“基本设置”:“安全认证类型”选择“自动选择”,因为“自动选择”就是在“开放系统”和“共享密钥”之中自动协商一种,而这两种的认证方法的安全性没有什么区别。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
【标题】 WLC上基于ACS与AD组映射的动态VLAN分配的配置方法【译者姓名】 张啸天【校对人】 吴小刚【翻译完成时间】 2008‐11‐28【原文英文标题】 Dynamic VLAN Assignment with WLCs based on ACS to Active Directory Group Mapping Configuration Example【原文链接】:/en/US/products/ps6366/products_configuration_example09186a00808c 9bd1.shtml【翻译内容】 见下文WLC上基于ACS与AD组映射的动态VLAN分配的配置方法文档编号: 99121介绍前提要求使用的设备惯例背景知识ACS上使用Windows用户数据库做组映射的限制配置网络示意图配置方案配置AD以及Windows用户数据库将网络中的服务器配置成域控制器在域中创建AD用户及用户组将ACS服务器作为成员添加入域配置思科ACS在ACS上配置Windows用户数据库认证和组映射配置ACS上动态VLAN分配配置无线局域网控制器在WLC上配置认证服务器在WLC上配置动态接口(VLAN)配置WLANs (SSID)配置无线客户端验证排障排障命令相关信息介绍本文解释了如何使用微软® Windows AD 数据库去认证无线客户端,如何配置思科ACS 用户组及AD用户组的映射关系,以及如何通过ACS组映射来动态的给通过认证的无线客户端动态分配VLAN。
本文主要讨论在ACS软件上的AD组映射,并不适用于ACS-SE 引擎。
前提要求在你配置之前确认满足以下条件:y拥有无线局域网控制器(WLCs)和轻量级接入点(LAP)的基本知识y对于思科的ACS有功能性的了解y对无线网络及无线网络安全问题有完整的了解y了解动态VLAN的功能,知道如何配置动态VLAN对于更多信息,请参阅动态VLAN的分配相关的知识。
y对微软Windows的AD服务,域控制器和DNS的概念有基本的理解y对轻量级接入点协议(LWAPP)的知识有基本的了解对于更多信息,请参阅LWAPP 协议相关知识。
使用的设备本文的内容是基于以下的硬件平台与软件版本的:y思科2000系列WLC,软件版本为4.0.217.0y思科1000系列轻量级接入点,支持802.11a/b/gy思科支持802.11a/b/g无线网卡,软件版本为3.6y思科Aironet桌面配置工具 (ADU),版本为3.6y思科ACS,版本为4.1y微软Windows2003服务器,配置成域控制器My思科2950系列交换机,软件版本为12.1本文的内容是基于特定的实验室环境而产生的。
所有设备都是从默认配置开始配置的。
如果你的网络正在运行中,请确保理解这些配置可能对你的网络造成的潜在影响。
惯例对更多文档惯例的信息,请参见思科技术提示惯例。
背景知识安装于Windows上的4.1版本思科ACS可以使用多种数据库去认证无线客户端,其中包括ACS内部数据库。
可以配置ACS,同时使用多个类型的数据库去认证客户端。
你可以配置ACS,使得ACS将客户端的认证信息转发到一个或者更多外部数据库。
支持外部数据库意味着ACS不需要建立重复用户数据库。
ACS可以使用以下数据库去认证无线客户端:y Windows Databasey Novell NetWare Directory Services (NDS)y Generic Lightweight Directory Access Protocol (LDAP)y Open Database Connectivity (ODBC)−compliant relational databasesy LEAP Proxy Remote Access Dial−In User Service (RADIUS) serversy Rivest, Shamir, and Adelman (RSA) SecurID token serversy RADIUS−compliant token serversACS认证和用户数据库兼容表列举了ACS内部和外部数据库所支持的多种认证协议。
本文主要介绍通过Windows外部数据库去认证无线客户端。
你可以通过以下两种方式配置ACS,使得ACS通过外部数据库认证用户:y通过特定用户分配,你可以配置ACS,使得ACS用外部数据库认证特定的用户。
为此,用户必须在ACS内部数据库中存在,同时在User Setup配置中将密码认证的列表设为用于认证的外部数据库。
y通过Unknown User Policy,你可以配置ACS,使得ACS发现用户不在内部数据库的时候,尝试用外部数据库去认证用户。
这个情况下,你不必在ACS内部数据库中定义新用户。
本文主要介绍通过Unknown User Policy 的方法去认证用户。
当ACS试图通过Windows数据库去认证用户的时候,ACS将用户的凭证转发给Windows 数据库。
Windows数据库验证用户凭证,然后将成功的认证信息通知ACS。
在成功认证之后,ACS从Windows数据库收集该用户组的信息。
当收到用户组信息后,ACS将用户对应ACS上的用户组,以便于动态VLAN的分配。
ACS可以将Windows数据库和ACS用户组做映射,然后将认证通过的用户动态地分配到在ACS组配置中设定的VLAN里去。
同样的,在第一次成功的通过认证之后,用户动态地在ACS中创建。
一旦用户第一次成功的通过认证,用户会在ACS中通过一个指向ACS数据库的指针而缓存记录。
该行为避免了ACS在随后的认证尝试中去查询整个数据库列表。
ACS上使用Windows用户数据库做组映射的限制ACS在使用Windows用户数据库做组映射时有以下的限制:y ACS只支持用户数量小于等于500的Windows组的组映射。
y ACS只支持对于域中本地或者全局组中用户做组映射。
配置在本例中,你需要配置Windows AD,并且映射到一个特定的AD组。
思科ACS将使用Windows AD上的外部数据库去认证无线客户端。
然后,认证通过的用户被分配到AD 组对应的ACS组下所配置的VLAN中去。
下一部分将解释如何配置设备,以达到以上的功能。
网络示意图本文使用以下的网络结构:配置方案本文使用以下配置:y Microsoft Windows域名: lab.wirelessy AD用户: wireless123y AD 用户wireless123 属于的AD组: vlan 20y AD组vlan 20映射到ACS组: Group 20, Group 20 将用于对应WLC上Interface vlan20 y这里域控制器和ACS服务器是在同一台机器上配置安装的。
在你执行配置之前,假设:y LAP已经注册在WLC上了。
y你知道如何在WLC上配置内部的DHCP服务器或者外部服务器,以便无线客户端可以分配到IP地址。
了解如何在控制器上配置内部的DHCP服务器,参考配置DHCP。
y本文讨论了无线侧的配置,同时假设有线网络的配置已经就绪。
为了完成WLC上基于ACS与AD组映射的动态VLAN分配,需要完成以下步骤:1. 配置AD和Windows用户数据库2. 配置思科ACSS3. 配置无线局域网控制器配置AD以及Windows用户数据库为了使AD和Windows用户数据库可以用来认证无线客户端,需要进行如下操作:1.将网络中的服务器配置成域控制器。
2.在域中创建AD用户及用户组。
3.将ACS服务器作为成员添加入域。
将网络中的服务器配置成域控制器域控制器的配置涉及新AD结构的创建,DNS服务的安装与配置。
本文在Windows2003服务器版本的域控制器上创建了一个叫lab.wireless的域。
作为AD创建步骤地一部分,你需要在Windows2003服务器上安装DNS服务,这样在域中就可以解析lab.wireless 地址以及完成其他的名字解析工作。
你当然也可以配置外部DNS服务器达到连接Internet的目的。
注意:确保你有Windows2003的安装光盘。
关于详细的安装过程,参见Windows2003的域控制器的安装和配置。
在域中创建AD用户及用户组下一步是在lab.wireless域中创建用户及用户组。
关于如何创建AD用户及用户组,参见微软支持文档中的在AD域中添加用户及计算机的第一和第二步。
正如在本文的配置方案中提到的,在AD中已经创建了wireless123这个用户同时被映射到vlan20这个AD组。
将ACS服务器作为成员添加入域关于如何将ACS服务器添加入lab.wireless 域,参见微软支持文档中的在AD域中添加用户及计算机的第一和第二步。
注意:这个部分主要提及如何将安装ACS软件的Windows服务器加入域。
这个步骤对ACSE引擎不适用。
配置思科ACS配置ACS,需要以下步骤:1. 在ACs上配置Windows 用户数据库认证和组映射2. 在ACs上配置动态VLAN分配在ACS上配置Windows用户数据库认证和组映射现在ACS服务器已经加入了lab.wireless 这个域,下一步就要在ACS上配置Windows用户数据库认证和将外部Windows AD数据库映射到ACS用户组。
那些使用特定数据库认证的用户自动的归于用户组,并且继承了组的授权信息。
就像前文提到的,这个例子中AD组vlan20映射到了ACS用户组Group20 。
注意: 在你配置ACS之前,请操作Windows认证配置章节中关于可靠的用户认证和组映射的相关步骤。
在ACS服务器上配置Windows外部数据库通过ACS的GUI,,完成以下步骤:1.在导航栏上,点击External User Databases。
2.在External User Databases页面上,点击Database Configuration。
ACS显示了所有可能的外部用户数据库的列表。
3.点击Windows Database。
如果原先没有Windows用户数据库的配置, Database Configuration Creation表就出现。
否则出现的是External User Database Configuration页面。
4.点击Configure.带有几个选项的Windows User Database Configuration就会出现。
5.配置必须的选项。
所有出现在Windows User Database Configuration页面上的设置都是可选的,你不需要开启它们除非你想允许这些选项同时配置特定的特性。