H3CEAD与域统一实施方案详细步骤【图文并茂】.doc

H3C EAD与域统一实施方案详细步骤【图文并茂】 客户需求：EAD如何与域统一 解决方案：采用IMC的域统一认证方案即可 方案实施原理： 1、 同步域用户与802.1x接入用户的身份信息（用户名、密码），IMC系统使用LDAP组件实现IMC用户和windows域用户信息的同步。 2、 同步域登录与802.1x认证流程，IMC系统通过H3C自主开发的802.1x客户端实现认证流程的同步。 统一认证的基本流程如下图所示： 1）802.1x接入认证阶段 a、装有H3C 802.1x 客户端的用户终端开机后进入普通的域登录界面 b、用户按一般的域登录流程输入用户名、密码和域名，点击登录按钮 c、H3C 802.1x 客户端截获Windows域登录请求，使用域登录使用的用户名、密码同步发起802.1x认证 d、802.1x认证请求通过交换机转发到IMC服务器（AAA服务器），进行身份认证 2）认证转发阶段 a、IMC将用户认证请求通过LDAP接口转发到域控制器，进行用户名、密码验证。 b、通过域控制器的身份认证后，由IMC向用户终端授权网络访问权限 3）域认证阶段 a、认证通过并获得网络访问权限的用户终端通过H3C 802.1x 客户端的控制，继续进行域登录认证 b、Windows操作系统继续完成普通的域登录流程，获取应用资源访问权限 　　　通过以上的统一认证流程，用户只需按照正常的域登录操作，即可同时完成802.1x接入认证和Windows域登录认证，达到了统一认证和单点登录的目的。 　　　 具体实施步骤： 前提条件iMC、AD、NAS、User均路由可达。举例配置如下： 1、交换机配置 1）配置Radius服务器 [H3C]radius scheme test [H3C -radius-h3c]server-type extended [H3C -radius-h3c]primary authentication 2 1812[地址要改] [H3C -radius-h3c]primary accounting 2 1813 [地址要改] [H3C -radius-h3c]key authentication h3c [Test] [H3C -radius-h3c]key accounting h3c[Test] [H3C -radius-h3c]user-name-format without-domain 2）配置认证域 [H3C]domain h3c 此处域名必须与AD中的域名一致。 [H3C]authentication lan-access radius-scheme test [H3C] authorization lan-access radius-scheme test [H3C] accounting lan-access radius-scheme test 　　 3）启动802.1X认证 [H3C] dot1x //全局启动802.1x [H3C]interface Ethernet x/x/x //准备对接口启用802.1x认证 注：这里只是列出了802.1X的所有必须的配置，还有一些高级选项可以自行配置，如version check、accounting on等。 2、安装AD 　　　Windows 2000 server和windows server 2003都带有Active Directory，这里已windows server 2003为例说明AD的安装过程。 1)．首先为服务器配置正确的IP地址并连接网络。 2)．选择“开始-所有程序-管理工具-配置您的服务器向导” 3)．在欢迎界面点击“下一步” 4)．直接点击“下一步” 5)．会出现如下进度框 6)．选中“第一台服务器的典型配置”，点击下一步 7)．在Active Directory域名一栏输入AD的域名，例如：“”，然后点击“下一步”： 8)．输入NetBIOS域名（推荐采用默认值），然后点击“下一步”： 9)．选择“否，不转发查询”，点击“下一步”： 10)．确认选项正确后点击“下一步” 11)．点击“确定”，开始服务器配置 12)．放入操作系统光盘后，点击“确定”： 13)．配置过程当中会重新启动操作系统，无需人工干预，当下一次登陆系统后会继续完成域控制器的配置 14)．点击“下一步”： 15)．点击“完成”，至此域控制器安装完毕 3．配置AD 1)．配置域用户，选择“开始-所有程序-管理工具-Active Directory用户和计算机” 2)．右键菜单服务器图标“”，选择“新建-组织单位”： 3)．填写组织单位名称，中英文皆可： 4)．右