Aruba IAP 93的基于外部服务器的MAC认证

时间  2020-01-13
标签 aruba iap 基于 外部 服务器 mac 认证 栏目 MacBook 繁體版
原文   原文链接

 

时间太紧张 写个贴总结下今天的东西 好吧 That‘s all!(用live writer发确实快)

Aruba AP 93 可谓麻雀虽小 五脏还蛮全的!
一台本本加个AP 93,跑上虚拟机,这一切的实验环境就搭建完毕了!

如下是拓扑图:

clip_p_w_picpath002

此处是Windows 2008作的DHCPRadius服务器
此处介绍下DHCP的服务器地址池
clip_p_w_picpath004

1.AP界面上新建一个SSID,编辑SSID,员工,语音或访客,这里就选员工,client IP则由DHCP获取到
clip_p_w_picpath006
3.安全认证方式:
指定安全级别,MAC认证方式,认证服务器地址和认证端口1812/1645皆可,
共享密钥aruba和服务端指定的是同样的。NAS IP是控制器的IP,这里不过多解释。
clip_p_w_picpath008
4.接入方式,我认可我很懒,就allow any。建议不要这么作,多配一下不会耽误一壶茶的时间
咱们都是学过安全的人不能这么马虎,唉,把本身给批了一顿!
clip_p_w_picpath010安全


配置文件以下:服务器

  1. virtual-controller-country CN
  2. virtual-controller-key d985790f017c101c0b2cdf91903c079876ab3c1bba96a08053
  3. name Instant-C8:80:55
  4. virtual-controller-ip 192.168.100.103
  5. rf-band all
  6. allow-new-aps
  7.  
  8. allowed-ap d8:c7:c8:c8:80:55
  9.  
  10.  
  11. user test e53d51375ee3a4f7145f12ac96e51fff portal
  12.  
  13.  
  14. mgmt-user admin 36270688efb1a5f877aabae3e1788393
  15.  
  16. wlan ssid-profile Test
  17. type employee
  18. essid Test
  19. wpa-passphrase 4c32e75d1fb81bd8d623c5466bc43f465cbb8a1cc2acf62d
  20. opmode wpa2-psk-aes
  21. rf-band all
  22. captive-portal disable
  23. external-server
  24. mac-authentication
  25.  
  26. enet-vlan guest
  27.  
  28. wlan auth-server primary
  29. ip 192.168.100.100
  30. port 1812
  31. key d15e1ede4d12644436c186b5a9170e38
  32. nas-ip 192.168.100.103
  33.  
  34. wlan access-rule Test
  35. rule any any match any any any permit
  36.  
  37. wlan captive-portal
  38. background-color 39168
  39. banner-color 16777215
  40. banner-text "Welcome to the Guest Network."
  41. terms-of-use "Please read and accept terms and conditions and then login."
  42. use-policy "This network is not secure and use it at your own risk."
  43. authenticated
  44.  
  45. wlan external-captive-portal
  46. server localhost
  47. port 80
  48. url "/"
  49. auth-text "Authenticated"

5.新建一个用户组:
clip_p_w_picpath012

5.1在建立用户以前要作的一件事是,修改密码强度,不然还会很头疼(MAC这种字符串做为密码是不
知足密码的复杂性要求的) 不得不说,有点鸡肋
clip_p_w_picpath014

clip_p_w_picpath016

clip_p_w_picpath018



6.新建客户端使用笔记本的MAC地址作用户名和密码:(MAC这种认证很方便,是authenticator也就是控制器将请求的客户端的MAC转换成用户名和密码来和服务器端AD中用户组的用户名和密码进行比对,若是存在,就会经过认证)
clip_p_w_picpath020

7.设定用户接入的网络权限网络


clip_p_w_picpath022

8.修改用户接入的组
clip_p_w_picpath023


9.指定radius服务器的客户端:
clip_p_w_picpath025

10.共享密钥和控制器上是同样的aruba


11.,实话说完成后才敢截图,这些地方仍是要注意的
链接请求策略,策略名,启用策略
clip_p_w_picpath027

12.链接请求策略的条件,前面在控制器上指过dom

clip_p_w_picpath029


13.链接请求策略的身份验证方法,很少解释
clip_p_w_picpath030

14.网络策略,一样设定名称,下面点启用和授予权限ide

clip_p_w_picpath032


15.设定条件:
能够配置Windows组,有好客户端,NAS IP等等信息,很丰富,因此server其实你蛮强大的,这个花总牛X
clip_p_w_picpath034

16.约束这里也是同样的,本身选择三种方式,前面多少提到(有微软的EAP,证书智能卡啥的就要用到CA
甚至要上传证书到控制器)
clip_p_w_picpath036

17.后面的啥标准默认想设置厂商特性值,抓抓包就能看到,这仍是能够看到的,填进去也能够
clip_p_w_picpath038


18.开始链接SSID---Test 安全类型,我设置了WPA
clip_p_w_picpath039

19.链接上后,获取到了合法的IP能够比对前面的地址池url

clip_p_w_picpath040

20.在控制其中查看客户端等信息
clip_p_w_picpath042

clip_p_w_picpath044


21.服务器上看到的日志信息:
clip_p_w_picpath046

能够看到成功了
但这以前的惨败,让我很记忆尤深!


下面是个人抓包:(其实以前的实验也抓了包,只是没放上)
clip_p_w_picpath048


radius协议的请求代码,用户名密码 能够很好的看到的:
clip_p_w_picpath050

radius接受报文:
clip_p_w_picpath052

spa
相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程