Segurança : Cisco Secure Access Control Server para Windows

Manual de configuração EAP-FAST da versão 1.02

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo para a autenticação Protocolo flexível da autenticação extensível através da versão 1.02 (EAP-FAST) segura do Tunelamento.

Pré-requisitos

Requisitos

Antes de tentar esta configuração, verifique se estes requisitos são atendidos:

  • IO AP 12.2(13)JA3, 350, ou cliente CB20A com versão de firmware 5.40 e versão do driver 8.5 (cliente CB21AG a ser 2H apoiado CY2004)

  • Access Control Server (ACS) 3.2.3, Windows 2000, ou XP com ACU 6.3 instalados.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configurar

Estabelecer o AP no ACS

Termine estas etapas para estabelecer o Access Point (AP) no ACS:

  1. No servidor ACS, clique a configuração de rede à esquerda.

  2. Para adicionar um cliente de AAA, o clique adiciona a entrada.

  3. Incorpore estes valores às caixas:

    • Endereço IP de Um ou Mais Servidores Cisco ICM NT do cliente de AAA — IP_of_your_AP

    • Chave — Compõe um chave (se certifique que a chave combina a chave secreta compartilhada AP)

    • Autentique usando-se — RAIO (Cisco Aironet)

  4. Clique em Submit.

  5. Reinício.

Estabelecer o ACS para EAP-FAST

Termine estas etapas para estabelecer o ACS para EAP-FAST:

  1. Escolha a instalação da configuração de sistema > da autenticação global.

  2. Verifique a caixa EAP-FAST reservar.

  3. Incorpore um valor ao campo de informação de ID da autoridade (os espaços não são apoiados).

  4. Verifique a caixa automática do abastecimento reservar PAC.

    Nota: O abastecimento automático PAC é um baixo método aéreo de fornecer o cliente uma em-faixa PAC. Há algumas advertências ao abastecimento automático:

    1. o Auto-abastecimento exige a autenticação EAP-FAST inicial falhar.

    2. Os usuários LDAP não podem ser auto-fornecida e devem ser manualmente fornecida.

    3. o Auto-abastecimento é suscetível a um ataque MITM durante o abastecimento inicial.

  5. Verifique a caixa mestra EAP-FAST do server.

  6. Clique em Submit.

  7. Reinício.

Configurar o AP

Termine estas etapas para configurar o AP:

  1. Escolha a Segurança > o gerenciador do servidor.

  2. Da lista de drop-down da lista do servidor atual, escolha o RAIO.

  3. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT ACS.

  4. Incorpore o segredo compartilhado (deve combinar a chave no ACS).

  5. Clique em Apply.

  6. Da lista de drop-down da autenticação de EAP, escolha o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor Radius.

  7. Clique em Apply.

Gerenciador de criptografia (criptografia de WEP somente)

Termine estas etapas para a criptografia de WEP somente:

  1. Escolha a Segurança > o gerenciador de criptografia.

  2. Clique o botão de rádio da criptografia de WEP.

  3. Da lista de drop-down, escolha imperativo.

  4. Clique o botão de rádio da chave de criptografia 1.

  5. Incorpore a chave.

  6. Da lista de drop-down do tamanho chave, escolha o 128.

  7. Clique em Apply.

Gerenciador de criptografia (gerenciamento chave WPA)

Termine estas etapas para o gerenciamento chave WPA:

  1. Escolha a Segurança > o gerenciador de criptografia.

  2. Clique o botão de rádio da cifra.

  3. Da lista de drop-down, escolha o TKIP.

  4. Clique em Apply.

Gerenciador de SSID (criptografia de WEP somente)

Termine estas etapas para a criptografia de WEP somente:

  1. Escolha o SSID da lista atual SSID, ou incorpore um SSID novo ao campo SSID.

  2. Verifique a caixa da autenticação aberta.

  3. Da lista de drop-down, escolha com EAP.

  4. Verifique a caixa da rede EAP.

  5. Clique em Apply.

Gerenciador de SSID (gerenciamento chave WPA)

Termine estas etapas para o gerenciamento chave WPA:

  1. Escolha o SSID da lista atual SSID, ou incorpore um SSID novo ao campo SSID.

  2. Verifique a caixa da autenticação aberta.

  3. Da lista de drop-down, escolha com EAP.

  4. Verifique a caixa da rede EAP.

  5. Selecione o gerenciamento chave autenticado.

  6. Da lista de drop-down, escolha imperativo.

  7. Verifique a caixa WPA.

  8. Clique em Apply.

Estabelecer o cliente para EAP-FAST

Criptografia de WEP somente

Termine estas etapas para a criptografia de WEP somente:

  1. Abra o ACU.

  2. Seleto controle o perfil.

  3. Crie um perfil (ou edite um).

  4. Incorpore o nome do cliente e o SSID do AP.

  5. Clique a ABA de segurança de rede.

  6. Selecione EAP-FAST.

  7. Clique em Configurar.

  8. Verifique o abastecimento automático reservar PAC para ver se há esta caixa de perfil.

    Nota: O abastecimento automático PAC é um baixo método aéreo de fornecer o cliente uma em-faixa PAC. Há algumas advertências ao abastecimento automático:

    1. o Auto-abastecimento exige a autenticação EAP-FAST inicial falhar.

    2. Os usuários LDAP não podem ser auto-fornecida e devem ser manualmente fornecida.

    3. o Auto-abastecimento é suscetível a um ataque MITM durante o abastecimento inicial.

  9. Aprovação do clique.

  10. Aprovação do clique.

  11. Aprovação do clique.

  12. Selecione o perfil que você criou.

Gerenciamento chave WPA

Termine estas etapas para o gerenciamento chave WPA:

  1. Abra o ACU.

  2. Seleto controle o perfil.

  3. Crie um perfil (ou edite um).

  4. Incorpore o nome do cliente e o SSID do AP.

  5. Clique a ABA de segurança de rede.

  6. Verifique a caixa protegida WiFi do acesso (WPA).

  7. Para o tipo da segurança de rede, selecione EAP-FAST (WPA).

  8. Clique em Configurar.

  9. Verifique o abastecimento automático reservar PAC para ver se há esta caixa de perfil.

    Nota: O abastecimento automático PAC é um baixo método aéreo de fornecer o cliente uma em-faixa PAC. Há algumas advertências ao abastecimento automático:

    1. o Auto-abastecimento exige a autenticação EAP-FAST inicial falhar.

    2. Os usuários LDAP não podem ser auto-fornecida e devem ser manualmente fornecida.

    3. o Auto-abastecimento é suscetível a um ataque MITM durante o abastecimento inicial.

  10. Aprovação do clique.

  11. Aprovação do clique.

  12. Aprovação do clique.

  13. Selecione o perfil que você criou.

Suplemento manual ao abastecimento PAC

Esta seção inclui os procedimentos que variam daqueles já apresentados configurando o abastecimento manual PAC.

Nota: A geração EAP-FAST dos arquivos da opção PAC não está disponível no ACS para indicadores e o procedimento deve ser feito manualmente usando o procedimento definido nesta seção.

Opções ACS estabelecidas para EAP-FAST

Estas etapas são opcionais. Se você quer alguns clientes usar o abastecimento automático, deixe esta opção verificada.

  1. Escolha a instalação da configuração de sistema > da autenticação global.

  2. Desmarcar a caixa automática do abastecimento reservar PAC.

Crie o PAC usando CSUtil.exe

Este procedimento pode variar extremamente segundo suas exigências. Refira o Guia do Usuário para o server 3.2 do Cisco Secure ACS for Windows para mais informação.

A sintaxe básica para cortar um PAC com CSUtil.exe é:

csutil [-t] [-filepath <full filepath>] [-passwd <password>] [[-a] [-g <group number>]
[-u <user name>] [-f <full filepath>]]

- o caminho do arquivo é opcional e especifica o diretório para a saída (o diretório deve já existir). Se não especificads, os PAC são colocados no diretório ACS Utils (que pode obter desarrumado se você cria muitos PAC).

- a senha é opcional e especifica a senha para proteger o PAC. Se não especificado, não há nenhuma senha padrão.

Esta área que alguns exemplos da criação válida PAC comandam:

  • csutil - t - caminho do arquivo c:\acspac - a senha 5p0rk5 - f c:\acspac\pac.txt — cria o PAC para os usuários alistados em um arquivo nomeado pac.txt.

  • csutil - t - caminho do arquivo c:\acspac - a senha 5p0rk5 - g 0 — cria o PAC para usuários no grupo 0 ACS.

  • csutil - t - caminho do arquivo c:\acspac - a senha 5p0rk5 - vadablam u — cria o PAC para o vadablam de nome de usuário no ACS.

  • csutil - t - caminho do arquivo c:\acspac - a senha 5p0rk5 - a — cria o PAC para todos os usuários no ACS (isto pode tomar bastante por algum tempo).

Termine estas etapas para criar um PAC para um usuário único para propósitos testando:

  1. Crie um diretório para output o PAC a (opcional).

  2. Verifique que o usuário existe no ACS.

  3. Abra um comando prompt.

  4. Navegue ao diretório ACS Utils.

  5. Inscreva o comando csutil -t -filepath <filepath> -passwd <password> -u <user>.

  6. Copie o arquivo novo .pac ao host do usuário.

Termine estas etapas para configurar o cliente para o abastecimento manual PAC:

  1. Após a seleção EAP-FAST como sua segurança de rede datilografe dentro o ACU, clique configuram.

  2. Desmarcar o abastecimento automático reservar PAC para esta caixa do perfil.

  3. Clique a importação.

  4. Consulte ao .pac.

  5. Selecione o .pac.

  6. Incorpore a senha (se alertado).

  7. Clique a aprovação.

  8. Clique a aprovação.

  9. Clique a aprovação.

  10. Clique a aprovação.

  11. Selecione o perfil que você criou.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Consulte estes documentos para obter outras informações:

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 64063