手册下载
30-iMC EIA LDAP对接(Windows)典型配置举例-整本手册.pdf (10.66 MB)
iMC EIA LDAP对接(Windows)
典型配置举例
资料版本:5W112-20230608
产品版本:EIA 7.3 (E0623)
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
在已经部署了应用系统的场景中,用户的应用系统使用LDAP服务器来管理终端用户的帐号。为了减少引入iMC系统的工作量和时间,同时保护用户的已有投资,仅需引入EIA组件来负责接收终端用户的认证请求。通过实时认证(LDAP服务器认证)或者本地认证(iMC本地认证)的方式验证用户合法性,从而实现入网帐号和LDAP服务器中帐号的统一。
适用于用户的应用系统使用LDAP服务器来管理终端用户的帐号,并引入iMC系统的EIA组件对终端用户接入网络进行认证的场景,iMC服务器需为Linux操作系统。
接入设备支持802.1X协议,网络中存在基于Windows AD的LDAP服务器,安装Windows AD可参考4 附录。
某公司计划启用LDAP用户认证,用户接入网络时需要进行身份验证,具体的组网如图1所示。
· EIA服务器IP地址为192.168.7.220。
· 接入设备用户侧GigabitEthernet1/0/29对应VLAN虚接口的IP地址为172.18.76.1。
· PC的IP地址可以通过DHCP服务器进行获取,本文档获取到的IP地址为172.18.76.9。
注:本案例中各部分使用的版本如下:
· EIA版本:EIA 7.3 (E0623)
· 接入设备:H3C S5820V2-54QS-GE
· iNode版本:iNode PC 7.3 (E0589)
配置步骤如下:
· 配置EIA服务器
¡ 增加接入设备
¡ 增加接入策略
¡ 增加接入服务
· 增加接入用户
¡ 配置LDAP服务器
¡ 配置LDAP同步策略
¡ 同步LDAP用户作为接入用户
· 配置Portal服务
¡ 服务器配置
¡ IP地址组配置
¡ 设备配置
· 配置短信业务
· 配置接入设备
本例以在Windows Server 2012 R2下配置为例。
(1) 打开服务管理器,单击导航树的“工具 > Active Directory用户和计算机”菜单项,如图2所示。
图2 Active Directory用户和计算机
(2) 进入Active Directory用户和计算机页面,右键单击h3c.com,选择“新建 > 组织单位”选项,如图3所示。
(3) 进入新建对象-组织单位页面,如图4所示,填写名称,本例以testid为例。
(4) 配置完成后,单击<确定>按钮,完成OU的配置。
(5) 右键单击新建的testid目录,选择“新建 > 用户”选项,如图5所示。
(6) 进入创建对象-用户页面,如图6所示,填写用户信息。
图6 新建对象-用户
(7) 单击<下一步>按钮,如图7所示,输入密码。
(8) 单击<下一步>按钮,确认信息是否正确,单击<完成>按钮,完成配置,如图8所示。
(9) 返回微软活动目录,查看新增test1用户,如图9所示。
(10) 重复同样的方法新增多个用户,如图10所示。
(1) 查看administrator管理员所在的文件夹为Users,所以管理员DN为cn=administrator,cn=users,dc=h3c,dc=com,管理员密码为administrator的密码EIA123456。
图11 管理员
增加接入设备是为了建立iMC服务器和接入设备之间的联动关系。
增加接入设备的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面,如图12所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图13所示。
(3) 配置接入设备。
配置接入设备有两种方法:
¡ 在设备列表中单击<选择>按钮从iMC平台中选择设备。
¡ 在设备列表中单击<手工增加>按钮,手工配置接入设备。
无论采用哪种方式接入设备的IP地址都必须满意以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
从iMC平台中选择设备时,设备的IP地址无法修改。因此如果设备加入iMC平台时使用的IP地址不满足上述要求,则可以采用手工增加的方式增加接入设备。本例采用手工增加的方式进行说明。
单击设备列表中的<手工增加>按钮,弹出手工增加接入设备窗口,如图14所示。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。
图14 手工增加接入设备
(4) 配置公共参数。
公共参数的配置要求如下:
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 业务类型:接入设备所承载的业务类型。
¡ 强制下线方式:在下拉框中选择强制用户下线的方式,包括断开用户连接和Down-Up端口。前者表示EIA服务器向NAS设备下发Disconnect Message(DM)强制用户下线;后者表示EIA服务器向NAS设备下发Change-of-Authorization(CoA)消息强制用户下线,NAS设备收到CoA消息后先Down掉连接用户的端口,然后再重新UP该端口。
¡ 接入设备类型:在下拉框中选择接入设备的厂商和类型。下拉框中包含了Standard、EIA系统预定义和管理员自定义的厂商和类型。支持标准RADIUS协议的设备都可以选择Standard。系统预定义的厂商和类型有以下几种,包括H3C(General)、3COM(General)、HUAWEI(General)、CISCO(General)、RG(General)、HP(MSM)、HP(Comware)、MICROSOFT(General)、JUNIPER(General)、HP(ProCurve)和ARUBA(General)。
¡ 业务分组:在下拉框中选择接入设备所属的业务分组。将接入设备加入不同的业务分组以便进行分权管理。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果“用户 > 接入策略管理 > 业务参数配置 > 系统配置 >系统参数配置”中的密钥显示方式设置为明文时,只需输入一次共享密钥即可。
¡ 接入位置分组:在下拉框中选择接入设备需要加入的接入位置分组,接入位置分组是区分终端用户的接入条件之一。
¡ 其他参数保持默认。
本例中公共参数只需要输入共享密钥\确认共享密钥“movie”,其他保持默认即可,如图15所示。
(5) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面。单击“返回接入设备列表”链接,返回接入设备配置页面,可在接入设备列表中查看新增的接入设备,如图16所示。
配置一个不进行任何接入控制的接入策略。
增加接入策略的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面,如图17所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如图18所示。由于不需要任何接入控制,所以只需输入接入策略名,其他参数保持默认即可。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图19所示。
接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。
增加接入服务的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面,如图20所示。
(2) 单击<增加>按钮,进入增加接入服务页面,如图21所示。
配置服务的各个参数:
¡ 服务名:输入服务名称,在EIA中必须唯一。
¡ 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。
¡ 缺省接入策略:选择之前新增的接入策略。
¡ 缺省安全策略:接入用户的接入场景与服务中的接入场景均不匹配时,会根据该安全策略指定的安全方案对用户的上网的计算机进行安全检查和监控,从而实现网络的自动防御。该选项只有安装了EAD安全策略组件后才会出现。
¡ 缺省内网外连策略:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省内网外连策略的控制。
¡ 缺省私有属性下发策略:接入用户的接入场景与服务中的接入场景均不匹配时,EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上。
¡ 缺省单帐号最大绑定终端数:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。
¡ 缺省单帐号在线数量限制:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号在线数量限制的控制。
¡ 单日累计在线最长时间(分钟):每天允许帐号使用该服务接入网络的总时长,达到该时长后,帐号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440。
¡ 其他参数保持默认。
表1 iMC中服务后缀的选择
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
X@Y |
Y |
user-name-format with-domain |
Y |
user-name-format without-domain |
无后缀 |
||
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,完成增加接入服务。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图22所示。
本文档以微软活动目录中“h3c.com >testid”目录下的用户为例进行介绍,如图23所示。
(1) 打开H3C智能管理中心,选择“用户”页签,单击左侧导航树中的“接入策略管理 > LDAP业务管理 > 服务器配置”菜单项,进入服务器配置页面。单击<增加>按钮,进入增加LDAP服务器页面,如图24所示。
图24 增加LDAP服务器基本信息
参数说明:
¡ 服务器名称:输入服务器名称,在EIA中唯一。本例为“Windows AD”。
¡ 服务器地址:输入LDAP服务器的IP地址,该参数和Base DN的组合必须唯一。本例为“10.114.119.46”。
¡ 服务器类型:LDAP服务器是Windows AD,推荐选择微软活动目录,所以本例保持缺省值“微软活动目录”。
¡ 管理员DN(Distinguished Name):输入LDAP服务器的管理员(用户可以自行创建管理员用户),必须输入能定位到管理员的绝对路径。本例为2.3.1 2. 查看管理员DN中的管理员DN“cn=administrator,cn=users,dc=h3c,dc=com”。
¡ 管理员密码:输入LDAP服务器管理员的密码,本例为2.3.1 2. 查看管理员DN中administrator的密码,系统利用管理员DN和密码与LDAP服务器建立连接。
¡ 显示明文:该参数决定管理员密码是否允许明文显示。考虑到管理员密码的安全性,启用该参数时,管理员密码需要重新输入。
¡ Base DN:LDAP服务器中保存用户数据的根节点名称,必须使用LDAP服务器上的绝对路径。Base DN分为选择及手动输入两种方式。
- 选择:单击<选择>按钮,进入选择Base DN页面。单击<查询>按钮,刷新Base DN列表,按需选择相应的Base DN。其中,只有正确填写了服务器地址、管理员DN、管理员密码,才能获取对应服务器下的所有Base DN信息。
- 手动输入:以微软活动目录为例进行介绍,LDAP服务器的域为“h3c.com”,域下面有组织(OU) group1,组织group1下有组织单位(OU) test。当需要以group1为根节点新增一个LDAP服务器时,那么Base DN应配置为“ou=group1,dc=h3c,dc=com”;当以test为根节点新增一个LDAP服务器时,则Base DN应配置为“ou=test,ou=group1,dc=h3c,dc=com”。其中,手动输入只能使用“,”或“;”中的一种符号作为分隔符。
(2) 展开“高级信息”区域,配置服务同步方式及实时认证,如图25所示。
参数说明:
¡ 服务同步方式:当“服务器类型”设置为通用LDAP服务器时,该参数只能设置为手工指定;当“服务器类型”设置为微软活动目录时,该参数可以设置为手工指定或基于AD组。手工指定表示为LDAP服务器配置同步策略时,可以为绑定用户指定服务;基于AD组表示为LDAP服务器配置同步策略时,只能为LDAP组指定服务,根据绑定用户所属的LDAP组自动为用户分配服务。本例选择“手工指定”。。
手工指定为所有用户指定相同的服务。在整个LDAP服务器中可能保存了成千上万的网络用户,而且不同的用户需要不同的服务。如果手工指定,显然是很繁琐的工作。由于每个用户都属于LDAP组,因此采用如下方式可以简化管理员的维护工作量:为每个LDAP组关联一个服务,属于某个LDAP组的用户申请该LDAP组关联的服务,这就是基于AD组同步。
¡ 实时认证:用户认证信息提交到iMC后,确定是在iMC本地认证,还是实时在LDAP服务器上认证。当“服务器类型”设置为微软活动目录时,由于微软活动目录不提供用户密码数据接口,该参数只能设置为实时认证;当“服务器类型”设置为通用LDAP服务器时,由于可以把用户的密码也同步至iMC,因此可以选择到iMC本地认证。
¡ 其他参数保持默认。
(3) 勾选MS-CHAPv2认证,然后选择“通过SMB协议认证”选项,配置DNS服务器IP地址和域控服务器IP地址,本例均为“10.114.119.46”,如图26所示
SMB协议作为微软网络通信的协议,主要是在Windows网络中用来存取远程文件。如果勾选该项,需配置DNS服务器IP地址和域控服务器IP地址,该参数仅在iMC服务器为Linux系统时显示。
(4) 配置完成后,单击<检测>按钮,检测与LDAP服务器的连通性,如图27所示。
图27 检测LDAP服务器连通性
(5) 检测成功后,单击<确定>按钮,完成配置,如图28所示。
目前仅支持自动同步策略,本文档仅以自动同步策略为例进行介绍。
自动同步策略是在自动同步完成后,可以使LDAP服务器与iMC是保持数据上的同步。
当LDAP同步策略中同步选项勾选了“自动同步”,并且用户未对此同步策略进行同步时,iMC每天会按照“用户 > 接入策略管理 > LDAP业务管理 > 参数配置”页面中“LDAP同步/备份任务”设置的时间点进行自动同步用户。
配置LDAP自动同步策略步骤如下:
(1) 打开iMC,选择“用户”页签,单击左侧导航树中的“接入策略管理 > LDAP业务管理 > 同步策略配置”菜单项,进入同步策略配置页面。单击<增加>按钮,进入增加LDAP同步策略页面,如图29所示。
(2) 配置同步策略的基本信息:
¡ 同步策略名称:输入LDAP同步策略的名称,在EIA中必须唯一。本例为“LDAP同步策略”。
¡ 服务器名称:在下拉框中选择“Windows AD”。
¡ 子Base DN:输入LDAP服务器中保存用户数据的子目录路径。同步策略同步该目录下的用户数据。子Base DN用LDAP服务器上的绝对路径来表示,且必须是Base DN或其子集。本例为“ou=testid,dc=h3c,dc=com”。
¡ 同步的用户类型:本例以选择“接入用户”的方式进行介绍。
- 增加同步策略时,只有选择接入用户,新增的同步策略才属于接入用户类型的LDAP同步策。
- 增加同步策略时,只有选择设备管理用户,新增的同步策略才属于设备管理用户类型的LDAP同步策略。
¡ 同步选项:选择同步选项,本例选择“用户同步”、“新增用户及其接入账号”、“为已存在的用户新增接入账号”和“过滤计算机账号”。
- 自动同步:每天按照系统参数中“LDAP同步/备份任务”设置的时间进行同步。
- 按需同步:iMC EIA系统中不存在、而LDAP服务器中存在的用户进行接入认证时,EIA自动将认证请求转给LDAP服务器进行校验。如果用户通过认证,系统将自动将此用户从LDAP服务器同步到iMC中。需要注意的是,如果iMC中用户相关的License已达授权数量的上限,则无法进行同步,同时强制用户下线。LDAP按需同步功能只能同步采用PAP和EAP-MD5方式认证的用户,不能同步采用CHAP和任何证书认证的用户。PEAP/MS-CHAPv2认证方式支持LDAP按需同步用户特性需要具备的条件是:LDAP按需同步用户申请的服务,需要配置缺省接入策略,而不能配置为“禁止接入”, 而且这个缺省接入策略需要配置为PEAP/MS-CHAPv2认证方式。当一个按需同步用户首次发起EAP认证时(此时还拿不到用户的密码信息),EIA会检查这个LDAP临时用户是否符合上述条件, 符合则把这个用户同步为正式用户,无论随后的认证能否通过。
- 启用第三方认证:勾选该选项时,该同步策略同步过来的LDAP用户认证时会做第三方认证,当不勾选时,做LDAP认证。
- 新增用户及其接入帐号:如果在LDAP服务器中存在某个用户,而在iMC平台中不存在该用户,则同步时会在iMC平台中新增该用户,并在EIA组件中新增对应的接入用户。
- 为已存在用户新增接入帐号:如果在LDAP服务器和iMC平台中都存在某个用户,而在EIA组件中不存在该用户对应的接入用户,则同步时会在EIA组件中新增对应的接入用户。
- 仅同步当前节点下的用户:如果选中该项,则只同步子BaseDN下的用户,不同步子BaseDN下属OU的用户;如果不选中,则同步子BaseDN及其下属OU中的所有用户。
- 过滤计算机帐号:如果去勾选该项,则计算机帐号会被同步为接入用户。
- 发送密码通知短信:通过短信发送密码通知。
- 发送密码通知电子邮件:通过电子邮件发送密码通知
¡ 其他参数:保持缺省值。
(3) 勾选“自动同步”项,配置完成后,单击<配置检测>按钮,检测连通性。检测完成后,单击<下一步>按钮,进入增加LDAP同步策略页面,配置密码,如图30所示。
图30 增加LDAP同步策略
(4) 选择接入服务,图31所示。
(5) 配置完成后,单击<完成>按钮,完成配置。
LDAP同步的主要功能是将LDAP服务器上的帐号同步到iMC上。自动同步可以等待每天凌晨(iMC服务器时间)自动同步任务执行,也可以点击LDAP同步策略列表中“同步”链接触发手工同步,手工同步的结果可通过点击“查看同步结果”链接查看。
同步策略配置完成后,在同步策略配置页面列表中可以查看增加的同步策略,如图32所示。
(1) 单击列表中“同步”列的“同步”链接,同步LDAP用户,如图33所示。
(2) 同步完成后,选择“用户”页签,单击左侧导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面。可在该页面中查看同步的LDAP用户,如图34所示。
图34 同步LDAP用户结果
(1) 使用root用户,进入EIA服务器所在的Linux系统,打开终端,执行如下命令,如_Ref132723697所示
Cd /usr/local/samba/bin
./net join –w h3c.com –U Administrator
图35 入域操作
(2) h3c.com为LDAP服务器的域控名,可进入LDAP服务器,单击我的电脑,在属性中查看域控名,如图36所示。
(3) 输入密码,进行入域操作,如图37所示。
(4) 加入在控成功后,可以再域控服务器上computer目录下看到一个eiaserver的计算机账号,如图38所示。
(1) 在客户端依次单击“开始 > 控制面板 > 网络和共享中心 > 更改适配器设置”菜单项,双击本地连接,弹出本地连接状态窗口,如图39所示。
(2) 单击<属性>按钮,弹出本地连接属性窗口。切换至“身份验证”页签,进入身份验证页面,如图40所示。
(3) 单击<设置>按钮,进入受保护的EAP属性页面,如图41所示。
图41 受保护的EAP属性页面
参数配置如下:
¡ 勾选“通过验证证书来验证服务器的身份”项。
¡ 受信任的根证书颁发机构:勾选“h3c-WIN-3VTAU07SVFS-CA”项。其中,h3c-WIN-3VTAU07SVFS-CA是CA证书服务器的名字,正确安装根证书和客户端身份验证证书后,受信任的根证书颁发机构选框下才会出现相应选项。
¡ 其他参数:保持缺省值。
(4) 单击<配置>按钮,弹出EAP MSCHAPv2的属性,去勾选“自动使用Windows登录名和密码(以及域,如果有的话)”,如图42所示,单击<确定>按钮,
(5) 单击<确定>按钮,返回本地连接属性窗口。单击<其他设置>按钮,弹出高级设置窗口,如图43所示。
参数配置如下:
¡ 勾选“指定身份验证模式”。
¡ 身份验证模式:选择“用户或计算机身份验证”项。
¡ 其他参数:保持缺省值。
单击<确定>按钮,返回本地连接属性窗口。单击<确定>按钮,802.1X客户端配置完成。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体的命令及其说明如下:
(1) 进入系统视图。
<Device>system-view
System View: return to User View with Ctrl+Z.
(2) 配置RADIUS策略“allpermit”。认证、计费服务器均指向EIA。认证端口、计费端口、共享密钥要与2.3.2 1. 增加接入设备的配置保持一致。
[Device]radius scheme allpermit
New Radius scheme
[Device-radius-allpermit]primary authentication 192.168.7.220 1812
[Device-radius-allpermit]primary accounting 192.168.7.220 1813
[Device-radius-allpermit]key authentication simple movie
[Device-radius-allpermit]key accounting simple movie
[Device-radius-allpermit]user-name-format with-domain
[Device-radius-allpermit]nas-ip 172.19.254.76
[Device-radius-allpermit]quit
(3) 配置domain域“cer”,引用配置好的“allpermit”策略。domain的名称必须与2.3.2 3. 增加接入服务中配置的服务后缀保持一致。
[Device]domain cer
New Domain added.
[Device-isp-portal]authentication portal radius-scheme allpermit
[Device-isp-portal]authorization portal radius-scheme allpermit
[Device-isp-portal]accounting portal radius-scheme allpermit
[Device-isp-portal]quit
(4) 启动802.1X认证功能
[Device]dot1x
[Device]interface GigabitEthernet 1/0/39
[Device-GigabitEthernet 1/0/39]dot1x
[Device -GigabitEthernet 1/0/39]quit
//只有在全局和接口上都启用802.1X认证,802.1X认证才生效。
[Device]dot1x authentication-method pap
//802.1X 的认证方式包括PAP、CHAP和 EAP。进行LDAP认证,可以设置为PAP和 EAP;目前LDAP认证不支持 CHAP。
当前EIA适配所有版本的iNode,iNode的版本可以按需进行选择。
(1) 打开iNode客户端,如图44所示。
(2) 单击<更多>按钮,然后单击<属性>按钮,弹出802.1X属性设置窗口,如图45所示。
(3) 选择“高级”页签,进入高级认证配置页面,如图46所示。
(4) 勾选“启用高级认证”前的复选框,并在下拉框中选择“证书认证”,认证类型选择“PEAP”,子类型选择“MS-CHAP-V2”,如图47所示。
(5) 单击<确定>按钮,802.1X属性设置完成。
(1) 在认证窗口中,选择802.1X连接,输入用户名和密码,如图48所示。
(2) 单击<连接>按钮,认证成功,如图49所示。
在EIA 配置页面中,选择“监控”页签。单击导航树中的[监控列表>用户]菜单项,查看本地在线用户,如图50所示。
(1) 单击服务管理器,如图51所示。
(2) 进入仪表板界面,如图52所示
(3) 单击“添加角色和功能”步骤,进入添加角色和功能向导页面,如图53所示,单击<下一步>按钮。
(4) 进入选择安装类型页面,如图54所示,选择“基于角色或基于功能的安装”选项,单击<下一步>按钮。
(5) 进入服务器选择页面,选择“从服务器池中选择服务器”,如图55所示,单击<下一步>按钮。
(6) 进入选择服务器角色页面,勾选“Active Directory域服务”选项,如图56所示。
(7) 弹出确认窗口,单击<添加功能>按钮,然后单击<下一步>按钮。
(8) 进入功能页面,如图57所示,直接单击<下一步>按钮。
(9) 进入AD DS页面,如图58所示,直接单击<下一步>按钮。
(10) 进入确认页面,勾选“如过需要,自动重新启动目标服务器”选项,如图59所示。
(11) 单击<安装>按钮,进入结果页面,查看安装进度,如图60所示。
(12) 安装完成后计算机自动重启,重启之后重新打开服务器,选择添加角色和功能页面,重新进入结果页面,安装完成后,选择“将此服务器提升为域控制器”链接,如图61所示。
(13) 进入部署配置页面,选择“添加新林”选项,填写根域名,如图62所示,本文以“h3c.com”为例。
(14) 单击<下一步>按钮,进入域控制器选项页面,选择新林和根域的功能级别,并输入目录服务还原模式(DSRM)密码,如图63所示。
(15) 单击<下一步>按钮,进入其他选项页面,如图64所示。
(16) 直接单击<下一步>按钮,进入路径页面,如图65所示。
(17) 单击<下一步>按钮,进入查看选项页面,如图66所示。
(18) 直接单击<下一步>按钮,进入先决条件检查页面,如图67所示。
(19) 待先决条件检查完之后,单击<安装>按钮,安装完成后,提示重启。如图68所示。
(20) 重启完成后,重新登录域服务器。
(21) 打开服务器管理,选择[工具>Active Directory用户和计算机]路径,如图69所示。
图69 打开Active Directory用户和计算机
(22) 进入Active Directory用户和计算机页面,如图70所示,可查看用户和组管理。
(23) 进入[控制面板>系统和安全>系统]路径,如图71所示,可以查看域控安装成功。
(1) 打开服务器管理器,进入仪表板界面,如图72所示。
(2) 选择添加角色和功能,进入选择服务器角色页面,选择Active Directory证书服务,如图73所示,单击<下一步>按钮。
(3) 进入添加角色和功能向导页面,单击<添加功能>页面,如图74所示。
(4) 进入角色服务页面,勾选证书颁发机构选项,如图75所示,单击<下一步>按钮。
(5) 进入确认页面,勾选“如果需要,自动重新启动目标服务器”选项,如图76所示,单击<安装>按钮。
(6) 进入结果页面,查看安装进度,如图77所示。
(7) 安装完成后计算机自动重启,重启之后重新打开服务器,进入凭证页面,如图78所示,单击<下一步>按钮。
(8) 进入角色服务页面,如图79所示,单击<下一步>按钮。
(9) 进入指定CA的设置类型页面,如图80所示,单击<下一步>按钮。
(10) 进入指定CA类型页面,如图81所示,单击<下一步>按钮。
图81 CA类型
(11) 进入私钥页面,选择创建新的私钥,如图82所示,单击<下一步>按钮。
(12) 进入指定加密选项,选择SHA1选项,如图83所示,单击<下一步>按钮。
(13) 进入指定CA名称页面,保持默认值,如图84所示,单击<下一步>按钮。
图84 CA名称
(14) 进入指定有效期页面,设备有效期,如图85所示,单击<下一步>按钮。
(15) 进入证书数据库页面,如图86所示,单击<下一步>按钮。
(16) 进入确认页面,如图87所示,单击<配置>按钮。
(17) 查看配置进度,如图88所示。
(18) 安装完成后提示配置成功,如图89所示。
(19) 安装完成之后可进入[服务器管理器>工具>证书颁发机构>颁发的证书]页面查看证书,如图90所示。