欢迎访问 水平网    今天是:2018年02月21日 注册 | 登录 | 订阅 | 收藏
>> 网络技术 >> 路由交换 >> iMC UAM漫游功能的配置
推荐文章
热点文章
专题
JQuery框架
Prototype.js
HTML5

iMC UAM漫游功能的配置

作者:未知,  来源:网络,  阅读:682,  发布时间:2014-07-06 【放入收藏夹
一、 组网需求:

在大型网络环境中,可能在多个城市存在多台iMC服务器,不同城市的iMC服务器管理不同的用户。然而有些用户具有流动性,当北京的用户张三到杭州出差时,希望能够不用在杭州的iMC服务器上增加张三的帐号信息就能够对张三实施身份认证和安全检查。虽然在杭州的iMC服务器上创建临时帐号(所有来杭州出差的员工均使用该临时帐号)可以解决上述问题,但临时帐号无法区分使用者的真正身份,给管理和审计带来不便。需要设计一种漫游机制,当张三在杭州认证上网时,杭州的iMC服务器根据其身份标识,将认证请求转发给北京的iMC服务器,由北京的iMC服务器进行身份校验。这里,我们将杭州的iMC服务器称之为漫游地服务器,将北京的iMC服务器称之为归属地服务器。

模拟北京和杭州的iMC服务器软件版本为:

iMC PLAT:R2602 P08

iMC UAM:E6203

iMC EAD:E6203

交换机使用H3C V5版本的交换机

三、 配置步骤:

该配置适用于iMC UAM/EAD E6203(含)以后的版本,对iMC平台和交换机型号、版本没有特殊适配要求,即使与第三方设备配合实施802.1x认证也同样支持漫游。漫游特性支持802.1x和Portal认证,支持EAD安全检查(但并非必须,也可以只做身份认证)。对于桌面资产管理相关的功能,不能实现资产注册,但如果该资产已经在归属地成功注册,且客户端认证成功后能够与归属地服务器正常通讯(桌面资产管理相关业务报文交互正常),则桌面资产管理除注册之外的其他功能可以照常使用。

以802.1x认证为例,配置步骤如下:

来自北京的出差人员在杭州认证时需将用户名填写为“用户名@beijing”这种格式,标识自己来自北京。漫游地(杭州)交换机上需预先创建好domain beijing,并且在domain beijing所对应的认证方案中配置用户名格式为with-domain。在归属地(北京)的iMC服务器上,需预先创建服务后缀为beijing的服务。在北京的交换机上配置缺省域为beijing,且对应的认证方案中用户名格式为with-domain,供北京当地的人员认证时使用。北京当地人员在做802.1x认证时可以选择填写的用户名不带后缀。

1. 漫游地(杭州)交换机配置(部分配置)

#

radius scheme beijing

server-type extended

primary authentication 漫游地(杭州)服务器IP

primary accounting 漫游地(杭州)服务器IP

key authentication h3c

key accounting h3c

user-name-format with-domain

#

domain beijing

accounting lan-access radius-scheme beijing

authentication lan-access radius-scheme beijing

authorization lan-access radius-scheme beijing

#

domain default enable hangzhou

2. 漫游地(杭州)服务器配置(部分配置)

1)在【业务-接入业务-系统配置-系统参数配置】中启用漫游
\"\"

图2

2)在【业务-接入业务-系统配置-漫游配置】中增加漫游域信息

其中“域名”标识了当服务器收到的认证请求中,用户名携带了后缀beijing,则作为漫游用户处理;“地址”一栏填写归属地iMC服务器的IP地址,即收到域名后缀为beijing的认证请求时将该请求转发给这里所填写归属地服务器处理;当“类型”为“认证”时,“端口”填写1812;当“类型”为“计费”时,“端口”填写1813;“密钥”必须与归属地服务器上所配置的接入设备密钥保持一致(详见归属地服务器配置中的介绍);认证和计费的漫游配置是成对出现的,针对同一台归属地服务器,必须同时配置认证和计费两条漫游配置。
\"\"
图3

\"\"
图4

\"\"
图5

3)配置缺省安全策略(可选)

漫游用户将向漫游地服务器发起安全检查请求,但漫游地服务器上没有漫游用户的账户信息。因此需要在漫游地服务器上创建一个“缺省安全策略”,所有在该服务器上漫游认证的用户,都会使用该“缺省安全策略”实施安全检查。在【业务-EAD业务-安全策略管理-增加安全策略】中勾选“缺省安全策略”。一台iMC服务器上只能有唯一的一条缺省安全策略。当漫游用户只做身份认证时,此步骤可以省略,若漫游地服务器上不存在“缺省安全策略”,则客户端发起安全检查请求后会收到服务器的回应,提示无需进行安全检查。
\"\"
图6

3. 归属地(北京)服务器配置(部分配置)

1)将漫游地服务器作为接入设备增加

这里的“共享密钥”必须与漫游地服务器漫游配置中的“密钥”保持一致(见图3、图4)
\"\"
图7

\"\"
图8

\"\"

图9

漫游用户认证上线后能够同时在漫游地服务器上的“漫游在线用户”中和归属地服务器上的“所有在线用户”中看到该用户的在线记录。
\"\"

四、 配置关键点:

1)iMC服务器根据用户名后缀识别该用户是否为漫游用户,在实施大型网络的漫游配置前,需规划好各归属地的漫游标识,确保该标识在整个漫游网络中唯一。常规的做法可以是以地域名称作为漫游标识。比如上述配置案例中,北京的用户到杭州认证,则必须在客户端上将用户名填写为“用户名@beijing”这种格式,而杭州的接入设备上需事先创建domain beijing,且对应的认证方案中用户名格式配置为with-domain;反过来杭州的用户到北京认证,则必须在客户端上将用户名填写为“用户名@hangzhou”这种格式,而北京的接入设备上需事先创建domain hangzhou,且对应的认证方案中用户名格式配置为with-domain。漫游域不能和服务后缀相同,相同的情况下优先作为漫游用户处理,本地服务将无用武之地。

2)漫游地服务器上不用创建漫游用户所使用的帐号,也不用创建漫游用户所使用的服务。但需要创建漫游用户所使用的EAD安全策略,即“缺省安全策略”。漫游用户的身份认证在归属地服务器完成,而安全检查将在漫游地服务器完成(安全策略由漫游地服务器下发,包括ACL策略)。

3)iMC实现漫游的机制决定了漫游地服务器收到的认证请求中用户名一定会携带域名后缀,而漫游地服务器转发给归属地服务器是也将携带域名后缀。所以所有可能成为漫游用户的帐号在其归属地本地服务器上所申请的服务必须是有后缀的服务,该后缀能够唯一地标识出该用户的归属地。

4)由于Portal认证对域名后缀处理机制的特殊性,如果一个Portal用户有可能成为漫游用户的话,则该用户不论是在归属地本地认证还是做漫游认证,必须在客户端上将用户名填写成“用户名@域名”这种格式。可以通过在【业务-接入业务-Portal服务管理-服务器配置】中增加服务类型列表来简化最终用户的操作,这样用户认证时就只用选择服务类型描述而不用填写用户名后缀了。802.1x用户在归属地认证时可以选择不填写用户名后缀,依赖接入设备将域后缀携带至服务器。

5)归属地服务器将漫游地服务器作为接入设备添加,添加时需确保接入设备的共享密钥与漫游配置中的密钥一致。
TGAS:iMCUAM漫游
评论【共有0条评论】查看所有评论
称呼:(*)   邮箱:   QQ:   验证码: 看不清楚?点击刷新验证码