Segurança : Cisco Secure Access Control Server para Windows

Manual de configuração prendido da versão 1.05 do dot1x

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo para a versão 1.05 prendida do dot1x.

Este guia cobre os Certificados criados com Microsoft CA e os Certificados auto-assinados, que são apoiados até à data do Access Control Server (ACS) 3.3. Usar um certificado auto-assinado aerodinamiza a instalação inicial PEAP consideravelmente desde que nenhum CA externo é exigido. Neste tempo, o período da expiração do padrão do certificado auto-assinado é somente um ano e não pode ser mudado. Isto é razoavelmente padrão quando se trata dos certificados de servidor, mas desde que o certificado auto-assinado igualmente atua como o certificado CA raiz, este pode significar a instalação do certificado novo em cada cliente, cada ano ao usar o suplicante do Microsoft (a menos que você não seleciona “valida a opção do certificado de servidor”). É recomenda que você usa Certificados auto-assinados somente como uma medição temporária até que CA tradicional possa ser usado. Se você deseja usar um certificado auto-assinado, veja a seção.

o 802.1x foi projetado autenticar anfitriões em uma rede ligada com fio em vez dos usuários reais. Tentar autenticar usuários através do 802.1x em uma rede ligada com fio pode conduzir ao comportamento indesejado tal como um usuário autenticado do 802.1x que não está sendo terminado a rede até que o cartão NIC libere a porta.

Pré-requisitos

Requisitos

Antes de tentar esta configuração, verifique se estes requisitos são atendidos:

  • Switches que executa o Software Release 12.1(12c)EA1 e Mais Recente de Cisco IOS� (EI somente) ou o CatOS 6.2 e mais atrasado

  • ACS 3.2

  • Windows 2000 SP3 (com hotfix), SP4, ou XP SP1

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

A instalação dos serviços certificados de Microsoft

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: O Internet Information Server (IIS) deve ser instalado antes que você instale CA. Avoid que dá a CA o mesmo nome que um servidor ACS; fazer assim pode fazer com que os clientes PEAP falhem a autenticação porque obtêm confusos quando um certificado CA raiz é encontrado com o mesmo nome que o certificado de servidor. Este problema não é original aos clientes Cisco.

Instale o server do certificado de Microsoft (CA)

Conclua estes passos:

  1. Escolha o começo > os ajustes > o Control Panel.

  2. Dentro do Control Panel, abra adicionar/removeres programar.

  3. Nos adicionar/removeres programar, escolha adicionam/removem componentes do Windows.

  4. Escolha serviços certificados.

  5. Clique em Next.

  6. Clique sim ao mensagem IIS.

  7. Escolha uma CA raiz autônoma (ou empresa).

  8. Clique em Next.

  9. Nomeie CA.

    Nota: Todas as caixas restantes são opcionais.

    Nota: Avoid que dá a CA o mesmo nome que o servidor ACS. Isto pode fazer com que os clientes PEAP falhem a autenticação porque se tornam confusos quando um certificado CA raiz é encontrado com o mesmo nome que o certificado de servidor. Este problema não é original aos clientes Cisco. Naturalmente, se você não planeia em usar o PEAP, isto não se aplica.

  10. Clique em Next.

  11. O padrão do banco de dados está correto.

  12. Clique em Next.

    O IIS deve ser instalado antes que você instale CA.

ACS para a instalação do certificado de Windows

Crie um certificado de servidor

Conclua estes passos:

  1. De seu servidor ACS, consulte a CA (http://IP_of_CA_server/certsrv/).

  2. Verifique o pedido uma caixa do certificado.

  3. Clique em Next.

  4. Escolha o pedido avançado.

  5. Clique em Next.

  6. Escolha submetem um pedido de certificado para este CA usando um formulário.

  7. Clique em Next.

  8. Datilografe um nome na caixa do nome (CN).

  9. Para a finalidade pretendida, escolha o certificado de autenticação de servidor.

    Nota:  Se você está usando a empresa CA, escolha o servidor de Web da primeira lista de drop-down.

  10. Escolha estes sob a opção chave criar um molde novo:

    • CSP — V1.0 do provedor criptográfico de base Microsoft

    • Tamanho chave — 1024

      Nota: Os Certificados criados com um tamanho chave maior de 1024 podem trabalhar para o HTTPS mas não trabalharão para o PEAP.

      Nota: A empresa CA de Windows 2003 permite os tamanhos chaves maiores de 1024, mas utilização de um chave maior de 1024 não trabalham com PEAP. A autenticação pôde parecer passar no ACS, mas o cliente apenas pendurará ao tentar a autenticação.

    • Chaves como Exportable

      Nota: Microsoft mudou o molde do servidor de Web com a liberação da empresa CA de Windows 2003. Com esta mudança do molde, as chaves são já não exportable, e a opção é desabilitada para fora. Não há nenhum outro molde de certificado fornecido com os serviços certificados que são para a autenticação de servidor, ou que dão a capacidade para marcar chaves como exportable no menu suspenso. A fim criar um molde novo que faça assim, para ver a criação uma seção nova do molde de certificado.

    • Use a loja de máquina local

    Nota: Todas escolhas restantes devem ser deixadas como o padrão.

  11. Clique em Submit.

  12. Você deve receber esta mensagem: Seu pedido do certificado foi recebido.

Crie um molde de certificado novo

Conclua estes passos:

  1. Escolha o Iniciar > Executar > o certmpl.msc.

  2. Clicar com o botão direito o molde do servidor de Web.

  3. Escolha o molde duplicado.

  4. Dê ao molde um nome, tal como o ACS.

  5. Clique a aba da manipulação de pedido.

  6. Escolha permitem que a chave privada seja exportada.

  7. Clique o botão CSP.

  8. Escolha o v1.0 do provedor criptográfico de base Microsoft.

  9. Clique em OK.

    Nota: Todas as outras opções devem ser deixadas como o padrão.

  10. Clique em Apply.

  11. Clique em OK.

  12. Abra CA MMC pressão-em.

  13. Clicar com o botão direito moldes de certificado.

  14. Escolha novo > molde de certificado a emitir.

  15. Escolha o molde que novo você criou.

  16. Clique em OK.

  17. Reinicie CA.

    O molde novo é incluído na lista de drop-down do molde de certificado.

Aprove o certificado de CA

Conclua estes passos:

  1. Escolha o iniciar > programas > ferramentas administrativas > o Certificate Authority.

  2. No windowpane esquerdo, expanda o certificado.

  3. Escolha durante pedidos.

  4. Clicar com o botão direito no certificado.

  5. Escolha todas as tarefas.

  6. Escolha a edição.

Transfira o certificado de servidor ao servidor ACS

Conclua estes passos:

  1. De seu servidor ACS, consulte a CA (http://IP_of_CA_server/certsrv/).

  2. Escolha a verificação em um certificado pendente.

  3. Clique em Next.

  4. Selecione o certificado.

  5. Clique em Next.

  6. O clique instala.

Instale o certificado de CA no servidor ACS

Nota: Estas etapas não são exigidas se o ACS e CA são instalados no mesmo server.

    Conclua estes passos:

  1. De seu servidor ACS, consulte a CA (http://IP_of_CA_server/certsrv/).

  2. Escolha recuperam o certificado de CA ou a lista de revogação de certificado.

  3. Clique em Next.

  4. Escolha Base64 codificou.

  5. Clique o certificado de CA da transferência.

  6. Clique aberto.

  7. O clique instala o certificado.

  8. Clique em Next.

  9. Escolha o lugar todos os Certificados na seguinte loja.

  10. O clique consulta.

  11. Verifique a caixa das lojas do show physical.

  12. No windowpane esquerdo, expanda Autoridades de certificação de raiz confiável.

  13. Escolha o computador local.

  14. Clique em OK.

  15. Clique em Next.

  16. Clique em Finish.

  17. A APROVAÇÃO do clique na importação era caixa bem sucedida.

ACS estabelecido para usar o certificado de servidor

Conclua estes passos:

  1. No servidor ACS, escolha a configuração de sistema.

  2. Escolha a instalação do certificado ACS.

  3. Escolha instalam o certificado ACS.

  4. Escolha o certificado do uso do armazenamento.

  5. Datilografe dentro o nome do CN (o mesmo nome que foi usado em etapa 8 da criação uma seção do certificado de servidor).

  6. Clique em Submit.

  7. No servidor ACS, configuração de sistema do clique.

  8. Escolha a instalação do certificado ACS.

  9. Escolha editam o certificate trust list.

  10. Verifique a caixa para ver se há CA.

  11. Clique em Submit.

Instalação do certificado da ferramenta ACS

Crie e instale um certificado auto-assinado

Nota:  Esta seção aplica-se somente se você não está usando CA externo.

Conclua estes passos:

  1. No servidor ACS, clique a configuração de sistema.

  2. Clique a instalação do certificado ACS.

  3. O clique gera o certificado auto-assinado.

  4. Datilografe o assunto do certificado no do formulário. Neste exemplo, cn=ACS33 é usado. Para mais opções de configuração do certificado auto-assinado, refira a configuração de sistema: Autenticação e certificados.

  5. Datilografe o caminho cheio e o nome do certificado a ser criado na caixa do arquivo certificado. Por exemplo, c:\acscerts\acs33.cer.

  6. Datilografe o caminho cheio e o nome do arquivo-chave privado a ser criado na caixa do arquivo-chave privado. Por exemplo, c:\acscerts\acs33.pvk.

  7. Incorpore e confirme a senha da chave privada.

  8. Escolha 1024 da lista de drop-down do comprimento chave.

    Nota: Quando o ACS puder gerar os tamanhos chaves maiores de 1024, usando um chave maior de 1024 não trabalham com PEAP. A autenticação pôde parecer passar no ACS, mas o cliente pendura ao tentar a autenticação.

  9. Do resumo a assinar com lista, escolha o resumo da mistura a ser usado para cifrar a chave. Neste exemplo, o resumo a assinar com no SHA1 é usado.

  10. Verifique o certificado gerado Install.

  11. Clique em Submit.

Crie um certificado de servidor usando o CSR

Conclua estes passos:

  1. De seu servidor FTP, consulte a CA (http://IP_of_CA_server/certsrv/).

  2. Escolha o pedido um certificado.

  3. Clique em Next.

  4. Escolha o pedido avançado.

  5. Clique em Next.

  6. Escolha submetem um pedido do certificado usando base64 um arquivo do PKCS codificado #10 ou uma requisição de renovação usando base64 um arquivo do PKCS codificado #7.

  7. Cole a saída da etapa 6 no campo codificado Base64 do pedido do certificado.

  8. Clique em Submit.

  9. Certificado de CA da transferência do clique.

  10. Clique em Salvar.

  11. Nomeie o certificado.

  12. Salvar o certificado a seu diretório de FTP

Transfira o certificado de CA ao servidor FTP

Conclua estes passos:

  1. De seu servidor FTP, consulte a CA (http://IP_of_CA_server/certsrv/).

  2. Escolha recuperam o certificado de CA ou a lista de revogação de certificado.

  3. Clique em Next.

  4. Escolha Base64 codificou.

  5. Clique o certificado de CA da transferência.

  6. Clique em Salvar.

  7. Nomeie o certificado.

  8. Salvar o certificado a seu diretório de FTP

Instale o certificado de CA no dispositivo

Conclua estes passos:

  1. Escolha a configuração de sistema > o certificado ACS Setup > instalação da autoridade de certificação ACS.

  2. Clique o arquivo de certificado de CA da transferência.

  3. No campo do servidor FTP, entre no endereço IP ou nome do host do servidor FTP

  4. No campo do início de uma sessão, incorpore um nome de usuário válido que o Cisco Secure ACS possa usar para alcançar o servidor FTP.

  5. Iin o campo de senha, incorpora a senha de usuário.

  6. No campo remoto do diretório de FTP, entre no caminho relativo do diretório raiz do servidor FTP ao diretório que contém o arquivo de certificado de CA.

  7. No campo de nome de arquivo remoto FTP, dê entrada com o nome do arquivo de certificado de CA.

  8. Clique em Submit.

  9. Verifique o nome de arquivo no campo.

  10. Clique em Submit.

  11. Escolha a configuração de sistema > o controle de serviço para reiniciar os serviços ACS.

Configurar ajustes da autenticação global

Conclua estes passos:

  1. No servidor ACS, clique a configuração de sistema.

  2. Clique a instalação da autenticação global.

Termine estas etapas para ACS v3.2 e mais tarde:

  1. Verifique o EAP-MSCHAPv2 reservar se usando a caixa de Microsoft PEAP.

  2. Verifique reservar EAP-GTC se usando a caixa de Cisco PEAP.

  3. Verifique a versão MS-CHAP reservar 1 caixa da autenticação.

  4. Verifique a caixa da autenticação da versão MS-CHAP 2 reservar.

  5. Clique em Submit.

Termine estas etapas para ACS v3.1 e mais tarde:

  1. Verifique a caixa reservar PEAP.

  2. Verifique a versão MS-CHAP reservar 1 caixa da autenticação.

  3. Verifique a caixa da autenticação da versão MS-CHAP 2 reservar.

  4. Clique em Submit.

Estabelecer o ACS para permitir a autenticação da máquina

Conclua estes passos:

  1. Escolha bases de dados de usuário externo > configuração do banco de dados.

  2. Clique em Windows Database.

  3. Clique em Configurar.

  4. Verifique a caixa da autenticação de máquina PEAP da licença.

  5. Clique em Submit.

Estabelecer o AP no ACS

Termine estas etapas para estabelecer o AP no ACS:

  1. No servidor ACS, clique a configuração de rede à esquerda.

  2. Para adicionar um cliente de AAA, o clique adiciona a entrada.

  3. Incorpore estes valores às caixas:

    • Endereço IP de Um ou Mais Servidores Cisco ICM NT do cliente de AAA — IP_of_your_AP

    • Chave — Compõe um chave (se certifique que a chave combina a chave secreta compartilhada AP)

    • Autentique usando-se — RAIO (Cisco Aironet)

  4. Clique em Submit.

  5. Reinício.

Configurar o interruptor para o dot1x

Refira estes documentos para a configuração do dot1x:

Configuração de temporizadores do dot1x

Termine estas etapas para configurar os temporizadores do dot1x como o RAIO A/V se emparelha:

  • Configurar o atributo RADIUS do Sessão-intervalo (atributo [27]) que especifica o tempo depois do qual o reauthentication ocorre.

  • Configurar o atributo RADIUS da Terminação-ação (atributo [29]) que especifica a ação a ser tomada durante o reauthentication. Quando o valor de atributo é ajustado para optar, a sessão do IEEE 802.1X termina, e a Conectividade é perdida durante o reauthentication. Quando o valor de atributo é ajustado à requisição RADIUS, a sessão não é afetada durante o reauthentication.

Nota: Os valores para os atributos 27 e 29 podem ser atribuídos em uma base por grupo, sob a seção do RAIO (IETF). Ajuste o atributo 27 ao período do reauthentication, e os 29 à requisição RADIUS.

No interruptor, execute esta configuração para que o interruptor aceite os valores dos atributos RADIUS do servidor Radius:

(config-if)#dot1x reauthentication
(config-if)#dot1x timeout reauth-period server

Estabelecer o cliente para o PEAP com autenticação da máquina

Unir ao domínio

Conclua estes passos:

Nota: A fim terminar esta etapa, o computador deve ter uma destas conexões a CA:

  • conexão ligada com fio

  • conexão Wireless com Segurança do 802.1x desabilitada

  1. Início de uma sessão a Windows XP com uma conta que tenha privilégios do administrado.

  2. Clicar com o botão direito no meu computador.

  3. Escolha propriedades.

  4. Clique a aba do nome de computador.

  5. Clique a mudança.

  6. No campo de nome de computador, entre no hostname.

  7. Escolha o domínio.

  8. Dê entrada com o nome do domínio.

  9. Clique em OK.

  10. Um diálogo do início de uma sessão é indicado. Entre com uma conta que tenha a permissão se juntar ao domínio.

  11. Uma vez que o computador se juntou com sucesso ao domínio, reinicie o computador. A máquina assenta bem no membro do domínio, tem um certificado para CA instalado, e uma senha para autenticação da máquina é gerada automaticamente.

Se o cliente se juntou o domínio antes da instalação de CA, ou o certificado de CA não foi instalado no cliente, termina estas etapas:

Nota: A necessidade para esta é indicada por falhas de autenticação frequentemente (mas não sempre) com os erros tais como a autenticação falhada durante a saudação de SSL.

  1. De seu servidor ACS, consulte a CA (http://IP_of_CA_server/certsrv/).

  2. Escolha recuperam o certificado de CA ou a lista de revogação de certificado.

  3. Clique em Next.

  4. Escolha Base64 codificou.

  5. Clique o certificado de CA da transferência.

  6. Clique aberto.

  7. O clique instala o certificado.

  8. Clique em Next.

  9. Escolha o lugar todos os Certificados na seguinte loja.

  10. O clique consulta.

  11. Verifique a caixa das lojas do show physical.

  12. No windowpane esquerdo, expanda o certificado.

  13. Escolha o computador local.

  14. Clique em OK.

  15. Clique em Next.

  16. Clique em Finish.

  17. A APROVAÇÃO do clique na importação era caixa bem sucedida.

XP SP1 estabelecido para o PEAP com autenticação da máquina

Conclua estes passos:

  1. Escolha o Iniciar > Painel de Controle > Conexões de Rede.

  2. Escolha propriedades.

  3. Clique a aba da autenticação.

  4. Verifique a caixa do IEEE 802.1X da possibilidade….

  5. Para o tipo EAP, escolha o EAP protegido.

  6. Clique em Propriedades.

  7. Verifique a autenticação como o computador…. caixa.

  8. Escolha propriedades.

  9. Verifique a caixa para ver se há CA

  10. Clique em OK.

  11. Clique em OK.

Estabelecer o Windows 2000 para a autenticação de máquina PEAP

Conclua estes passos:

  1. Se você está executando o SP3, transfira e instale o hotfix do 802.1x: http://support.microsoft.com/default.aspx?kbid=313664leavingcisco.com . Isto não é exigido para o SP4.

  2. Escolha o Iniciar > Configurações > Painel de Controle > Conexões de Rede e de Dial-up.

  3. Clicar com o botão direito a conexão de rede.

  4. Escolha propriedades.

  5. Clique a aba da autenticação.

  6. Escolha permitem o controle de acesso de rede usando o IEEE 802.1X.

  7. Escolha EAP protegido (PEAP) do tipo lista de drop-down EAP.

  8. Verifique a autenticação como a caixa do computador….

  9. Escolha propriedades.

  10. Verifique a caixa para ver se há CA

  11. Clique em OK.

  12. Clique em OK.

Nota: Se não há nenhuma aba da autenticação, o serviço do 802.1X está instalado em um estado desabilitado. A fim resolver isto, você deve permitir o serviço de configuração sem fio na lista de serviços.

Nota: Se a aba da autenticação esta presente, mas é não disponível, esta indica que o direcionador do adaptador de rede não apoia o 802.1x corretamente. Verifique a página do hotfix do 802.1x ou o Web site do vendedor para ver se há direcionadores apoiados.

    Termine estas etapas para permitir a configuração sem fio:

  1. Clicar com o botão direito o meu computador.

  2. O clique controla.

  3. Serviços e aplicativos do clique.

  4. Clique em Services.

  5. Ajuste o valor startup para o serviço a automático.

  6. Comece o serviço.

Atribuição do VLAN dinâmico para o 802.1x e o ACS

Esta opção é apoiada em IO 12.1(12c)EA1 (EI somente) ou 12.1(14)EA1 ou CatOS 7.2 e mais atrasado

Nota: o 802.1x foi projetado autenticar anfitriões em uma rede ligada com fio em vez dos usuários reais. Tentar autenticar usuários através do 802.1x em uma rede ligada com fio pode conduzir ao comportamento indesejado tal como a atribuição do VLAN dinâmico atribuída a um usuário que não está sendo mudado até que o cartão NIC libere a porta (o computador está reiniciado ou powercycled).

Conclua estes passos:

  1. Escolha a configuração da interface > o RAIO (IETF).

  2. Verifique o Tipo de túnel [064] para ver se há o usuário/caixa de grupo.

  3. Verifique o Túnel-Media-tipo [065] para ver se há o usuário/caixa de grupo.

  4. Verifique o [081] Túnel-Privado-Grupo-ID para ver se há o usuário/caixa de grupo.

  5. Clique em Submit.

  6. Escolha o usuário/instalação de grupo.

  7. Verifique a caixa de Tipo de túnel [064].

  8. Escolha 1 da lista de drop-down da etiqueta.

  9. Escolha o VLAN para a lista de drop-down de valor.

  10. Escolha 0 para todas as listas de drop-down subsequentes da etiqueta.

  11. Verifique o Túnel-Media-tipo caixa [065].

  12. Escolha 1 da lista de drop-down da etiqueta.

  13. Escolha 802 da lista de drop-down de valor.

  14. Escolha 0 para todas as listas de drop-down subsequentes da etiqueta.

  15. Verifique a caixa [081] Túnel-Privado-Grupo-ID.

  16. Escolha 1 da lista de drop-down da etiqueta.

  17. Use o nome do VLAN que precisa de ser empurrado. Pode ser o nome padrão e é encontrado emitindo o comando show vlan.

  18. Escolha 0 para todas as listas de drop-down subsequentes da etiqueta.

  19. Clique em Submit.

Verificar

Não criam o Mensagem de Erro do objeto “CertificateAuthority.Request”

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.

Conclua estes passos:

  1. Escolha o Iniciar > Ferramentas Administrativas > o IIS.

  2. Escolha sites > website padrão.

  3. Clicar com o botão direito CertSrv.

  4. Escolha propriedades.

  5. Clique o botão da configuração na seção das configurações de aplicativo da aba do diretório virtual.

  6. Clique a aba das opções.

  7. Escolha permitem o estado de sessão.

    Nota: Todas as outras opções devem ser deixadas como o padrão.

  8. Clique em OK.

  9. Clique em OK.

  10. Reinício IIS.

Se seu navegador trava com uma mensagem do controle activex do fazendo download, refira este artigo na site do microsoft: O internet explorer para de responder do “na mensagem do controle activex fazendo download” quando você tenta usar um servidor certificadoleavingcisco.com .

Troubleshooting

Problema

O interruptor não contacta o servidor ACS secundário quando o servidor primário de ACS vai para baixo na autenticação do dot1x; este erro ocorre: De “sessão Authen cronometrada para fora: Desafio não fornecido pelo cliente.”

Solução

Este erro ocorre quando o temporizador inoperante não é configurado no interruptor, que faz com que o interruptor continue a tentar o servidor primário que está para baixo. Isto faz com que a autenticação falhe. A fim resolver este problema, configurar o temporizador inoperante no interruptor de modo que o interruptor contacte o servidor ACS secundário depois que espera o tempo configurado (nos segundos) ou o número de novas tentativas para alcançar o servidor primário antes do considera o servidor primário ser declarado absolutamente ou não disponível. Agora a autenticação sucede com o servidor secundário, que é ativo. O período inoperante pode ser configurado com este comando: inoperante-critérios do [time seconds [tries number] do raio-server | número das tentativas no modo de configuração global.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 64068