Aruba IAP 93的基於外部服務器的MAC認證

時間  2020-01-13
標籤 aruba iap 基於 外部 服務器 mac 認證 欄目 MacBook 简体版
原文   原文鏈接

 

時間太緊張 寫個貼總結下今天的東西 好吧 That‘s all!(用live writer發確實快)

Aruba AP 93 可謂麻雀雖小 五臟還蠻全的!
一臺本本加個AP 93,跑上虛擬機,這一切的實驗環境就搭建完畢了!

如下是拓撲圖:

clip_p_w_picpath002

此處是Windows 2008作的DHCPRadius服務器
此處介紹下DHCP的服務器地址池
clip_p_w_picpath004

1.AP界面上新建一個SSID,編輯SSID,員工,語音或訪客,這裏就選員工,client IP則由DHCP獲取到
clip_p_w_picpath006
3.安全認證方式:
指定安全級別,MAC認證方式,認證服務器地址和認證端口1812/1645皆可,
共享密鑰aruba和服務端指定的是同樣的。NAS IP是控制器的IP,這裏不過多解釋。
clip_p_w_picpath008
4.接入方式,我認可我很懶,就allow any。建議不要這麼作,多配一下不會耽誤一壺茶的時間
咱們都是學過安全的人不能這麼馬虎,唉,把本身給批了一頓!
clip_p_w_picpath010安全


配置文件以下:服務器

  1. virtual-controller-country CN
  2. virtual-controller-key d985790f017c101c0b2cdf91903c079876ab3c1bba96a08053
  3. name Instant-C8:80:55
  4. virtual-controller-ip 192.168.100.103
  5. rf-band all
  6. allow-new-aps
  7.  
  8. allowed-ap d8:c7:c8:c8:80:55
  9.  
  10.  
  11. user test e53d51375ee3a4f7145f12ac96e51fff portal
  12.  
  13.  
  14. mgmt-user admin 36270688efb1a5f877aabae3e1788393
  15.  
  16. wlan ssid-profile Test
  17. type employee
  18. essid Test
  19. wpa-passphrase 4c32e75d1fb81bd8d623c5466bc43f465cbb8a1cc2acf62d
  20. opmode wpa2-psk-aes
  21. rf-band all
  22. captive-portal disable
  23. external-server
  24. mac-authentication
  25.  
  26. enet-vlan guest
  27.  
  28. wlan auth-server primary
  29. ip 192.168.100.100
  30. port 1812
  31. key d15e1ede4d12644436c186b5a9170e38
  32. nas-ip 192.168.100.103
  33.  
  34. wlan access-rule Test
  35. rule any any match any any any permit
  36.  
  37. wlan captive-portal
  38. background-color 39168
  39. banner-color 16777215
  40. banner-text "Welcome to the Guest Network."
  41. terms-of-use "Please read and accept terms and conditions and then login."
  42. use-policy "This network is not secure and use it at your own risk."
  43. authenticated
  44.  
  45. wlan external-captive-portal
  46. server localhost
  47. port 80
  48. url "/"
  49. auth-text "Authenticated"

5.新建一個用戶組:
clip_p_w_picpath012

5.1在建立用戶以前要作的一件事是,修改密碼強度,不然還會很頭疼(MAC這種字符串做爲密碼是不
知足密碼的複雜性要求的) 不得不說,有點雞肋
clip_p_w_picpath014

clip_p_w_picpath016

clip_p_w_picpath018



6.新建客戶端使用筆記本的MAC地址作用戶名和密碼:(MAC這種認證很方便,是authenticator也就是控制器將請求的客戶端的MAC轉換成用戶名和密碼來和服務器端AD中用戶組的用戶名和密碼進行比對,若是存在,就會經過認證)
clip_p_w_picpath020

7.設定用戶接入的網絡權限網絡


clip_p_w_picpath022

8.修改用戶接入的組
clip_p_w_picpath023


9.指定radius服務器的客戶端:
clip_p_w_picpath025

10.共享密鑰和控制器上是同樣的aruba


11.,實話說完成後纔敢截圖,這些地方仍是要注意的
鏈接請求策略,策略名,啓用策略
clip_p_w_picpath027

12.鏈接請求策略的條件,前面在控制器上指過dom

clip_p_w_picpath029


13.鏈接請求策略的身份驗證方法,很少解釋
clip_p_w_picpath030

14.網絡策略,一樣設定名稱,下面點啓用和授予權限ide

clip_p_w_picpath032


15.設定條件:
能夠配置Windows組,有好客戶端,NAS IP等等信息,很豐富,因此server其實你蠻強大的,這個花總牛X
clip_p_w_picpath034

16.約束這裏也是同樣的,本身選擇三種方式,前面多少提到(有微軟的EAP,證書智能卡啥的就要用到CA
甚至要上傳證書到控制器)
clip_p_w_picpath036

17.後面的啥標準默認想設置廠商特性值,抓抓包就能看到,這仍是能夠看到的,填進去也能夠
clip_p_w_picpath038


18.開始鏈接SSID---Test 安全類型,我設置了WPA
clip_p_w_picpath039

19.鏈接上後,獲取到了合法的IP能夠比對前面的地址池url

clip_p_w_picpath040

20.在控制其中查看客戶端等信息
clip_p_w_picpath042

clip_p_w_picpath044


21.服務器上看到的日誌信息:
clip_p_w_picpath046

能夠看到成功了
但這以前的慘敗,讓我很記憶尤深!


下面是個人抓包:(其實以前的實驗也抓了包,只是沒放上)
clip_p_w_picpath048


radius協議的請求代碼,用戶名密碼 能夠很好的看到的:
clip_p_w_picpath050

radius接受報文:
clip_p_w_picpath052

spa
相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程