eap

以前搞无线时候,会涉及到无线client接入方式的认证协议. 认证方式+加密方式+有线的dot1x. 注:以前都是doc粘贴到博客的,加上没写博客的习惯,因此会比较乱. EAP(扩展认证协议)是什么? 0,扩展认证协议 1,一个灵活的传输协议,用来承载任意的认证信息(不包括认证方式) 2,直接运行在数据链路层,如ppp或以太网 3,支持多种类型认证 注:EAP 客户端---服务器之间一个协议 802.1x协议:客户端---NAD,承载电脑到交换机之间一段的一个二层的封装协议. radius:NAD—服务器,承载交换机到radius服务器之间的一个三层的radius的封装协议.如下图.(交换机的作用:转来转去做封装;交换机收到电脑的包,把外层的802.1x的包去掉,封装成3层的radius报文.发给服务器.) 前两者都把EAP封装. 请求者:路由器 交换机 pc 认证者:AP Sw Router 什么是802.1x协议? pc和交换机之间的传输认证信息的二层封装协议.跑在以太网上就叫EAPoL 基于mac地址认证的.端口状态监控. 802.1x的特点? 802.1x 和AAA管理设备不一样. AAA管理设备是由NAS来认证,去radius服务器读取数据,而802.1x认证是由radius认证. 原因:ap和sw一般不适合做认证,ios小. 802.1x怎么工作? 严重声明:

实验目的：用户使用Cisco AnyConnect拨号时，输入AD账号密码和Google动态码后通过认证，获得授权。Cisco ASA指向FreeRADIUS做认证，FreeRADIUS联动AD和google_authenticator。 一、环境介绍 拓扑图 实验环境CentOS8有两块网卡，一块网卡用于访问Internet，一块网卡位于防火墙inside区域。 这里使用CentOS8（CentOS7也可以）安装FreeRADIUS和Google Authenticator。Windows Server 2016安装AD服务，AD安装过程这里不做介绍。需要用户在手机上安装Google-Authenticator APP。 用户使用AnyConnect拨号，输入用户名和密码，密码框输入 密码+动态码 ，实现 AD账号+动态码 双因素认证。 二、CentOS8 环境设置 系统更新 [root@centos8 ~]# yum update 修改时区 [root@centos8 /]# ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime 查看时间是否正确 [root@centos8 /]#ll /etc/localtime 关闭SElinux，临时关闭和永久关闭。 [root@centos8 ~]# setenforce 0

802.1X本身并不算太难，确切的说命令的繁琐，实验环境难以搭建（虚拟机+物理交换机）。是让人比较难入门的门槛。我也没有物理交换机，但毕竟配置只要贴在blog里面就行了。ISE和802.1x的概念还是可以操作复习下的。 一 交换机的推荐配置 文档可以参考,是个美国思科的SE写的： http://www.network-node.com/blog/2015/12/30/switch-configuration-for-dot1x official document https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/116143-config-cise-posture-00.html 我重新整理一遍 aaa new-model aaa authenticatoin dot1x default group ISE aaa authorization network default group ISE aaa accouting dot1x start-stop group ISE （命令格式与tacacs+非常相似，记住default是对所有支持802.1x的接口开启认证，其实就是access口,思科又来缺心眼，authorization来个network是什么鬼？） aaa

概要 接入控制只允许授权接入网络的用户所使用的终端接入网络，相应的协议PPP协议（其中PPP本身是载体协议，口令鉴别协议PAP、挑战握手协议CHAP，IP控制协议IPCP）；802.1X标准/WPA2（其中扩展鉴别协议EAP）。访问控制只允许每一个用户访问授权该用户访问的网络资源，由Kerberos协议实现。接入控制的核心的身份鉴别，访问控制的核心是身份鉴别和授权。 接入控制 身份鉴别 身份鉴别定义：验证主题真实身份与其所声称的身份是否符合符合的过程，主体可以是用户、进程和主机。（身份鉴别过程也实现防重放、防假冒） 身份鉴别分类：单向鉴别，双向鉴别、三方鉴别。 主体身份标识信息：秘钥、用户名和口令、证书和私钥。 PPP实现接入控制过程： 点对点协议（PPP）既是基于点对点信道的链路层协议，又是接入控制协议。接入控制设备完成对终端的接入控制过程中需要与终端交换信息，由于终端与控制设备之间的传输路径是点对点语音信道，因此，需要将终端和接入控制设备之间的相互交换的信息封装成适合点对点语音信道传输的格式，PPP就很合适。 物理链路停止： 物理链路停止状态表明没有建立终端A与接入控制设备之间的语音信道，终端A和接入控制设备在用户线上检测不到载波信号。该状态既是PPP开始的状态，也是PPP结束状态。 PPP链路建立： 终端A与接入控制设备之间的点对点语音信道建立之后

认证协议介绍： 扩展认证协议EAP(Extensible Authentication Protocol) 是一个在无线网络或点对点连线中普遍使用的认证框架。 它被定义在 RFC 3748 中，并且使 RFC 2284 过时，后又被 RFC 5247 更新。 EAP不仅可以用于无线局域网，还可以用于有线局域网 ， 但它在无线局域网中使用的更频繁。WPA和WPA2标准已经正式采纳了5类EAP作为正式的认证机制。 EAP是一个认证框架 ，不是一个 特殊的认证机制 。 EAP提供一些公共的功能，并且允许协商所希望的认证机制。这些机制被叫做EAP方法，现在大约有 40种不同的方法。IETF的RFC中定义的方法包括：EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-SIM，和EAP-AKA, 还包括一些厂商提供的方法和新的建议。无线网络中常用的方法包括 EAP-TLS , EAP-SIM, EAP-AKA, PEAP , LEAP，和 EAP-TTLS 。 IEEE 802.1x协议认证就使用了EAP认证框架，因为EAP提供了可扩展的认证方法，但是这些认证方法的安全性完全取决于具体的认证方法，比如EAP-MD5、EAP-LEAP、EAP-GTC等，而802.1x最开始是为有线接入设计的，后来被用于无线网的接入，有线接入在安全性方面考虑毕竟少

可以将文章内容翻译成中文,广告屏蔽插件可能会导致该功能失效(如失效，请关闭广告屏蔽插件后再试): 问题: ERROR HQ224018: Failed to create session: HornetQException[errorType=SECURITY_EXCEPTION message=HQ119031: Unable to validate user: null] When the Jboss EAP 6.3 server is about to receive JMS message. I have the user successfully authenticated by remoting subsystem so why the user is null? How to overcome this error? 回答1: EAP documentation encorage you to: (...) set allowClientLogin to true (...) If you would like HornetQ to authenticate using the propagated security then set the authoriseOnClientLogin to true also. But due to HORNETQ-883 bug

可以将文章内容翻译成中文,广告屏蔽插件可能会导致该功能失效(如失效，请关闭广告屏蔽插件后再试): 问题: From my understanding, the EAP version has the ultimate features included in it. I am curious whether this version can be used for commercial use. I have no been able to find a definite answer. Thanks. 回答1: Yes. If you look at the IDEA*.txt licenses in the <ideaInstallDir>/license directory of an EAP version, you will see that they are exactly the same as those in the released version. Basically EAP's are considered evaluation licenses (see comment by JetBrains here ). If you (or your lawyers) want to be absolutely sure, I recommend e

可以将文章内容翻译成中文,广告屏蔽插件可能会导致该功能失效(如失效，请关闭广告屏蔽插件后再试): 问题: I know how to create Open/WEP/PSK/PSK2 configuration programmatically. ex. WifiConfiguration conf = new WifiConfiguration(); conf.SSID = "ssid"; conf.preSharedKey = "\"password\""; conf.status = WifiConfiguration.Status.ENABLED; conf.allowedAuthAlgorithms.set(WifiConfiguration.AuthAlgorithm.OPEN); conf.allowedGroupCiphers.set(WifiConfiguration.GroupCipher.WEP40); conf.allowedGroupCiphers.set(WifiConfiguration.GroupCipher.WEP104); conf.allowedGroupCiphers.set(WifiConfiguration.GroupCipher.TKIP); conf.allowedGroupCiphers.set(WifiConfiguration

可以将文章内容翻译成中文,广告屏蔽插件可能会导致该功能失效(如失效，请关闭广告屏蔽插件后再试): 问题: I have installed Jboss EAP-7.0.0 on windows 7 x64 operating system. When i run Jboss EAP-7.0.0 via standalone.bat file inside bin direcotry it starts without any problem and deployed .war files also work without any problem, but when i try to run serice.bat install command inside bin direcotry it gives following output in console: Please install native utilities into expected location D:\jboss EAP-7.0.0\EAP-7.0.0\..\jbcs-jsvc-1.0 I tried googling this issue. I also tried to follow this link: Failed to start EAP 7 as Windows service. (you

可以将文章内容翻译成中文,广告屏蔽插件可能会导致该功能失效(如失效，请关闭广告屏蔽插件后再试): 问题: I'm hoping that maybe someone has run into this problem before and can provide advice. I'm writing an application on Hibernate 4 and Spring 3. Here's my dependency tree: +- javax.servlet:servlet-api:jar:2.5:provided +- org.springframework:spring-webmvc:jar:3.1.3.RELEASE:compile | +- org.springframework:spring-asm:jar:3.1.3.RELEASE:compile | +- org.springframework:spring-beans:jar:3.1.3.RELEASE:compile | +- org.springframework:spring-context:jar:3.1.3.RELEASE:compile | +- org.springframework:spring-context-support:jar:3.1.3.RELEASE:compile |