Sem fio/Mobilidade : """Sem fio, fixa"""

Cisco Secure Services Client com autenticação EAP-FAST

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (8 Junho 2009) | Inglês (20 Dezembro 2015) | Feedback


Índice


Introdução

Este documento descreve como configurar o Cisco Secure Services Client (CSSC) com o software do½ dos controladores do Wireless LAN, do¿Â do Microsoft Windows 2000ïÂ, e o Serviço de controle de acesso Cisco Secure (ACS) 4.0 com EAP-FAST. Este documento introduz a arquitetura EAP-FAST e fornece exemplos de implementação e configuração. CSSC é o componente de software do cliente que fornece a comunicação de credenciais do usuário à infraestrutura para autenticar um usuário para a rede e atribuir o acesso apropriado.

Estes são algumas das vantagens da solução CSSC de acordo com este documento:

  • Autenticação de cada usuário (ou de dispositivo) antes da permissão de acesso ao WLAN/LAN com Extensible Authentication Protocol (EAP)

  • Solução fim-a-fim da Segurança de WLAN com server, autenticador, e componentes de cliente

  • Solução comum para a autenticação prendida e wireless

  • Dinâmico, pelas chaves de criptografia do usuário derivadas no processo de autenticação

  • Nenhuma exigência para o Public Key Infrastructure (PKI) ou os Certificados (verificação de certificado opcional)

  • Atribuição da política de acesso e/ou estrutura NAC-permitida EAP

Nota: Refira a segurança do Cisco que o modelo wireless para obter informações sobre do desenvolvimento de fixa o Sem fio.

O framework de autenticação do 802.1x foi incorporado como parte (Segurança para LAN Wireless) do padrão 802.11i para permitir funções baseadas camada 2 do autenticação, autorização e relatório em uma rede de Wireless LAN do 802.11. Hoje, há diversos protocolos EAP disponíveis para o desenvolvimento no prendido e redes Wireless. Os protocolos geralmente distribuídos EAP incluem o PULO, o PEAP, e o EAP-TLS. Além do que estes protocolos, Cisco definiu e Autenticação Flexível de EAP executada com o protocolo (EAP-FAST) fixado do túnel como um protocolo com base em padrões EAP disponível para o desenvolvimento no prendido e redes de Wireless LAN. A especificação de protocolo EAP-FAST está publicamente - disponível no site IETFleavingcisco.com .

Como com alguns outros protocolos EAP, EAP-FAST é uma arquitetura de segurança do servidor cliente que cifre transações EAP dentro de um túnel TLS. Quando similar ao PEAP ou ao EAP-TTLS a este respeito, difere que o estabelecimento de túnel EAP-FAST está baseado nas chaves secretas compartilhadas fortes que são originais a cada usuário contra PEAP/EAP-TTLS (que usam um certificado do server X.509 para proteger a sessão da autenticação). Estas chaves secretas compartilhadas são chamadas as credenciais protegidas do acesso (PAC) e podem ser distribuídas automaticamente (abastecimento automático ou da Em-faixa) ou manualmente (abastecimento manual ou fora da banda) aos dispositivos do cliente. Porque os apertos de mão baseados em segredos compartilhados são mais eficiente do que os apertos de mão baseados em uma infraestrutura PKI, EAP-FAST é menos dos recursos intensivos de processador EAP tipo o mais rápido e daqueles que fornecem trocas protegidas da autenticação. EAP-FAST é projetado igualmente para a simplicidade do desenvolvimento desde que não exige um certificado no cliente do Wireless LAN ou na infraestrutura do RAIO contudo incorpora um mecanismo incorporado do abastecimento.

Estes são algumas das capacidades principais do protocolo EAP-FAST:

  • Escolha sinal-em (SSO) com nome de usuário do Windows/senha

  • Apoio para a execução do script do início de uma sessão

  • Apoio do Wi-Fi Protected Access (WPA) sem suplicante da terceira parte (Windows 2000 e XP somente)

  • Desenvolvimento simples sem a exigência para a infraestrutura PKI

  • Envelhecimento da senha do Windows (isto é, apoio para a expiração de senha server-baseada)

  • Integração com Cisco Trust Agent para o controle de admissão de rede com software do cliente apropriado

Pré-requisitos

Exigência

Há uma suposição que o instalador tem a instalação de Windows 2003 do conhecimento do gerenciamento de recursos básicos e a instalação de Cisco WLC desde que este documento cobre somente as configurações específicas para facilitar os testes.

Para a instalação inicial e a informação de configuração para os controladores do Cisco 4400 Series, refira o guia de início rápido: Controladores de LAN sem fio Cisco série 4400. Para a instalação inicial e a informação de configuração para os controladores do Cisco 2000 Series, refira o guia de início rápido: Controladores de LAN sem fio Cisco série 2000.

Antes que você comece, instale o Microsoft Windows server 2000 com o software o mais atrasado do pacote de serviços. Instale os controladores e o Lightweight Access Points (regaços) e assegure-se de que as atualizações de software mais recente estejam configuradas.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Controlador do Cisco ou Series que corridas 4.0.155.5

  • Cisco 1242 LWAPP AP

  • Windows 2000 com diretório ativo

  • Cisco Catalyst 3750G Switch

  • Windows XP com placa de adaptadores CB21AG e versão 4.05 do Cisco Secure Services Client

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Parâmetros de projeto

Base de dados

Quando você distribui uma rede de WLAN e procura um protocolo de autenticação, deseja-se geralmente usar um base de dados atual para a autenticação do usuário/máquina. Os bases de dados típicos que podem ser usados são diretório ativo de Windows, LDAP, ou um base de dados da senha de uma vez (OTP) (isto é, RSA ou SecureID). Todos estes bases de dados são compatíveis com o protocolo EAP-FAST, mas quando você planeia para o desenvolvimento, há alguns requisitos de compatibilidade que devem ser considerados. A distribuição inicial de um arquivo PAC aos clientes é realizada com o auto-abastecimento anônimo, o abastecimento autenticado (através do certificado do cliente atual X.509), ou o abastecimento manual. Com a finalidade deste documento, o auto-abastecimento anônimo e o abastecimento manual são considerados.

O abastecimento automático PAC usa o protocolo autenticado do acordo da chave diffie-hellman (ADHP) para estabelecer um túnel seguro. O túnel seguro pode ser estabelecido anonimamente ou através de um mecanismo de autenticação de servidor. Dentro da conexão do túnel estabelecido, MS-CHAPv2 é usado para autenticar o cliente e, em cima da autenticação bem sucedida, para distribuir o arquivo PAC ao cliente. Depois que o PAC foi com sucesso fornecida, o arquivo PAC pode ser usado para iniciar uma sessão EAP-FAST nova da autenticação a fim ganhar o acesso de rede seguro.

O abastecimento automático PAC é relevante ao base de dados no uso porque, desde que o mecanismo do auto-abastecimento confia no MSCHAPv2, o base de dados usado para autenticar usuários deve ser compatível com este formato da senha. Se você usa EAP-FAST com um base de dados que não apoie o formato MSCHAPv2 (tal como o OTP, o Novell, ou o LDAP), exige-se empregar algum outro mecanismo (isto é, abastecimento manual ou abastecimento autenticado) para distribuir arquivos do usuário PAC. Este documento dá um exemplo do auto abastecimento com uma base de dados de usuário de Windows.

Criptografia

A autenticação EAP-FAST não exige o uso um tipo de criptografia específico WLAN. O tipo de criptografia WLAN a ser usado é determinado pelas capacidades do cartão do cliente NIC. Recomenda-se empregar a criptografia WPA2 (AES-CCM) ou WPA(TKIP), dependente das capacidades do cartão NIC no desenvolvimento específico. Note que a solução de Cisco WLAN permite a coexistência do WPA2 e dos dispositivos do cliente de WPA em um SSID comum.

Se os dispositivos do cliente não apoiam o WPA2 ou o WPA, é possível distribuir a autenticação do 802.1X com as chaves de WEP dinâmicas, mas, devido às façanhas conhecidas contra chaves de WEP, este mecanismo de criptografia WLAN não é recomendado. Se se exige para apoiar os clientes WEP-somente, recomenda-se empregar um intervalo do sessão-intervalo, que exija que os clientes derivam uma chave de WEP nova em um intervalo frequente. Trinta minutos são o intervalo recomendado da sessão para taxas de dados típicas WLAN.

Escolha Sinal-em e credenciais da máquina

Escolha Sinal-em refere a capacidade de um usuário único sinal-em ou de uma entrada das credenciais de autenticação para ser usado para alcançar aplicativos múltiplos ou dispositivos múltiplos. Para fins deste documento, único Sinal-em refere o uso das credenciais que são usadas para entrar a um PC para a autenticação ao WLAN.

Com o Cisco Secure Services Client, é possível usar as credenciais de logon de um usuário para autenticar igualmente à rede de WLAN. Se se deseja autenticar um PC à rede antes do fazer logon do usuário ao PC, exige-se para usar as credenciais armazenadas do usuário ou as credenciais amarradas a um perfil da máquina. Qualquer um destes métodos é útil nos casos de onde se deseja executar scripts de logon ou movimentações do mapa quando as botas PC acima, ao contrário quando um usuário entra.

Diagrama de Rede

Este é o diagrama da rede usado neste documento. Nesta rede, há quatro sub-redes usadas. Note que não é necessário segmentar estes dispositivos em redes diferentes, mas este tem recursos para a maioria de flexibilidade para a integração com redes reais. O controlador integrado 3750G do Wireless LAN do catalizador fornece a potência sobre switchports dos Ethernet (PoE), interruptor L3, e capacidade do controlador de WLAN em um chassi comum.

  1. A rede 10.1.1.0 é a rede de servidor onde o ACS reside.

  2. A rede 10.10.80.0 é a rede de gerenciamento usada pelo controlador de WLAN.

  3. A rede 10.10.81.0 é a rede onde os AP residem.

  4. A rede 10.10.82.0 é usada para os clientes de WLAN.

/image/gif/paws/72788/CSSC_Deployment_Guide1.gif

Configurar o Access Control Server (o ACS)

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a ferramenta Command Lookup Tool (apenas para clientes registrados) para obter mais informações sobre os comandos usados neste documento.

Adicionar o Access point como o cliente de AAA (NAS) no ACS

Esta seção descreve como configurar o ACS para EAP-FAST com abastecimento da em-faixa PAC com diretório ativo de Windows como o base de dados externo.

  1. Faça login no ACS > Network Configuration e clique em Add Entry.

  2. Preencha o nome do controlador de WLAN, endereço IP de Um ou Mais Servidores Cisco ICM NT, chave secreta compartilhada, e abaixo autentique-o usando-se, escolha-o o RAIO (Cisco Airespace), que igualmente inclui atributos do RAIO IETF.

    Nota:  Se os Network Device Groups (NDG) estiverem habilitados, primeiro escolha o NDG apropriado e adicione o controlador de WLAN a ele. Refira o guia de configuração ACS para detalhes sobre o NDG.

  3. Reinício do clique Submit+.

    /image/gif/paws/72788/CSSC_Deployment_Guide2.gif

Configurar o ACS a fim perguntar o base de dados externo

Esta seção descreve como configurar o ACS a fim perguntar o base de dados externo.

  1. A base de dados de usuário externo > a configuração do base de dados > o base de dados do Windows do clique > configuram.

  2. Sob configurar a lista de domínios, domínios do movimento dos domínios disponíveis à lista de domínios.

    Nota: O server que executa o ACS deve ter o conhecimento destes domínios para que o aplicativo ACS detecte e use aquelas finalidades dos domínios para autenticação.

    /image/gif/paws/72788/CSSC_Deployment_Guide3.gif

  3. Sob os ajustes de Windows EAP, configurar a opção para permitir a mudança da senha dentro do PEAP ou da sessão EAP-FAST. Consulte o Guia de Configuração do Cisco Secure ACS 4.1 para obter mais detalhes sobre o EAP-FAST e a validade de senhas do Windows.

  4. Clique em Submit.

    Nota: Você pode igualmente permitir a característica da permissão de discagem para EAP-FAST sob a configuração de base de dados de usuário de Windows a fim permitir o base de dados externo de Windows controlar a permissão de acesso. Os ajustes MS-CHAP para a mudança da senha na página de configuração do base de dados do Windows são somente aplicáveis à autenticação NON-EAP MS-CHAP. A fim permitir a senha mude conjuntamente com EAP-FAST, ele é necessário para permitir a mudança da senha sob os ajustes de Windows EAP.

    /image/gif/paws/72788/CSSC_Deployment_Guide4.gif

  5. Clique a base de dados de usuário externo > a política de usuário desconhecida e escolha a verificação o seguinte botão de rádio das bases de dados de usuário externo.

  6. Mova o Banco de Dados do Windows de External Databases para Selected Databases.

  7. Clique em Submit.

    Nota: A partir daqui, o ACS verifica Windows DB. Se o usuário não é encontrado no base de dados local ACS, coloca o usuário no grupo padrão ACS. Refira a documentação ACS para mais detalhes sobre mapeamentos de grupo de base de dados.

    Nota: Porque o ACS pergunta o base de dados do microsoft ative directory para verificar credenciais do usuário, os ajustes adicionais dos direitos de acesso precisam de ser configurados em Windows. Consulte o Guia de Instalação do Cisco Secure ACS para Windows Server para obter detalhes.

    /image/gif/paws/72788/CSSC_Deployment_Guide5.gif

Permita o apoio EAP-FAST no ACS

Esta seção descreve como permitir o apoio EAP-FAST no ACS.

  1. Vai à configuração de sistema > à autenticação global Setup > a configuração EAP-FAST.

  2. Escolha permitem EAP-FAST.

  3. Configurar estas recomendações: Chave mestre aposentado TTL/TTL/PAC TTL do chave mestre. Estes ajustes são configurados à revelia no Cisco Secure ACS:

    • Mês do chave mestre TTL:1

    • TTL chave aposentado: 3 meses

    • PAC TTL: 1 semana

  4. Complete o campo de informação de ID da autoridade. Este texto é mostrado em algum software do cliente EAP-FAST onde a seleção da autoridade PAC é o controlador.

    Nota: O Cisco Secure Services Client não emprega este texto descritivo para a autoridade PAC.

  5. Escolha o campo do abastecimento da em-faixa PAC reservar. Este campo permite o abastecimento automático PAC para clientes EAP-FAST apropriado-permitidos. Para este exemplo, o auto-abastecimento é empregado.

  6. Escolha métodos internos permitidos: EAP-GTC e EAP-MSCHAP2. Isto permite a operação de v1 EAP-FAST e de clientes EAP-FAST v1a. (O Cisco Secure Services Client oferece suporte a EAP-FAST v1a.) Se não for necessário oferecer suporte a clientes EAP-FAST v1, somente EAP-MSCHAPv2 precisa ser habilitado como um método interno.

  7. Escolha a caixa de seleção mestra EAP-FAST do server permitir este server EAP-FAST como o mestre. Isto permite outros servidores ACS utilizar este server como a autoridade do mestre PAC para evitar a disposição de chaves originais para cada ACS em uma rede. Refira o guia de configuração ACS para detalhes.

  8. Clique Submit+Restart.

    /image/gif/paws/72788/CSSC_Deployment_Guide6.gif

Controlador de WLAN de Cisco

Para fins deste guia de distribuição, Cisco WS3750G o controlador integrado do Wireless LAN (WLC) é usado com Cisco AP1240 AP de pouco peso (REGAÇO) para fornecer o infra-estruturo WLAN para testes CSSC. A configuração é aplicável para todo o controlador de WLAN de Cisco. A versão de software empregada é 4.0.155.5.

Configurar o controlador do Wireless LAN

Operação básica e registro do REGAÇO ao controlador

Use o assistente da configuração de inicialização no comando line interface(cli) a fim configurar o WLC para a operação básica. Alternativamente, você pode usar o GUI a fim configurar o WLC. Este documento explica a configuração no WLC com o assistente da configuração de inicialização no CLI.

Após as botas WLC pela primeira vez, participa no assistente da configuração de inicialização. Use o wizard de configuração para configurar configurações básicas. Você pode alcançar o assistente com o CLI ou o GUI. Esta saída mostra um exemplo do assistente da configuração de inicialização no CLI:

Welcome to the Cisco Wizard Configuration Tool
Use the '-' character to backup
System Name [Cisco_33:84:a0]: ws-3750
Enter Administrative User Name (24 characters max): admin
Enter Administrative Password (24 characters max): *****
Management Interface IP Address: 10.10.80.3
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 10.10.80.2
Management Interface VLAN Identifier (0 = untagged):
Management Interface DHCP Server IP Address: 10.10.80.2
AP Manager Interface IP Address: 10.10.80.4
AP-Manager is on Management subnet, using same values
AP Manager Interface DHCP Server (172.16.1.1):
Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: Security
Network Name (SSID): Enterprise
Allow Static IP Addresses [YES][no]: yes
Configure a RADIUS Server now? [YES][no]: no
Warning! The default WLAN security policy requires a RADIUS server.
Please see documentation for more details.
Enter Country Code (enter 'help' for a list of countries) [US]:
Enable 802.11b Network [YES][no]: yes
Enable 802.11a Network [YES][no]: yes
Enable 802.11g Network [YES][no]: yes
Enable Auto-RF [YES][no]: yes

Configuration saved!
Resetting system with new configuration.

Estes parâmetros estabelecem o WLC para a operação básica. Neste exemplo de configuração, o WLC usa 10.10.80.3 como o endereço IP de Um ou Mais Servidores Cisco ICM NT da interface de gerenciamento e 10.10.80.4 como o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação do gerenciador AP.

Antes que todos os outros recursos possam ser configurados nos WLC, os regaços têm que registrar-se com o WLC. Este documento supõe que o REGAÇO está registrado ao WLC. Consulte a seção Registro de AP Lightweight nos WLCs de Exemplo de Configuração de Failover de Controlador de WLAN para Pontos de Acesso Lightweight para obter informações sobre o registro de APs Lightweight no WLC. Para a referência com este exemplo de configuração, os AP1240s são distribuídos em uma sub-rede separada (10.10.81.0/24) do controlador de WLAN (10.10.80.0/24), e a opção de DHCP 43 é usada prever a descoberta do controlador.

Autenticação RADIUS com o Cisco Secure ACS

O WLC precisa de ser configurado para enviar as credenciais do usuário ao server do Cisco Secure ACS. O servidor ACS então valida as credenciais do usuário (através do base de dados do Windows configurado) e fornece o acesso aos clientes Wireless.

Termine estas etapas para configurar o WLC para uma comunicação ao servidor ACS:

  1. Clique a Segurança e a autenticação RADIUS do controlador GUI para indicar a página dos servidores de autenticação RADIUS. Clique então novo para definir o servidor ACS.

    /image/gif/paws/72788/CSSC_Deployment_Guide7.gif

  2. Defina os parâmetros do servidor ACS nos servidores de autenticação RADIUS > página nova. Estes parâmetros incluem o endereço IP de Um ou Mais Servidores Cisco ICM NT ACS, o segredo compartilhado, o número de porta, e o status de servidor.

    Nota: Os números de porta 1645 ou 1812 são compatíveis com o ACS para a autenticação RADIUS.

    O usuário de rede e as caixas de verificação de gerenciamento determinam se a autenticação Raio-baseada se aplica para usuários de rede (por exemplo, clientes de WLAN) e Gerenciamento (isto é, usuários administrativos). O exemplo de configuração usa o Cisco Secure ACS como o servidor Radius com endereço IP 10.1.1.12:

    /image/gif/paws/72788/CSSC_Deployment_Guide8.gif

Configuração dos parâmetros WLAN

Esta seção descreve a configuração do Cisco Secure Services Client. Neste exemplo, CSSC v4.0.5.4783 é usado com um adaptador cliente de Cisco CB21AG. Antes da instalação do software CSSC, verifique que somente os direcionadores para o CB21AG estão instalados, não o utilitário de Desktop de Aironet (ADU).

Uma vez que o software é instalado e é executado como um serviço, faz a varredura para redes disponíveis e indica aqueles disponíveis.

Nota: CSSC desabilita Windows zero configurações.

Nota: Somente aquele o SSID que é permitido para a transmissão é visível.

/image/gif/paws/72788/CSSC_Deployment_Guide11.gif

Nota: O controlador de WLAN, à revelia, transmite o SSID, assim que mostra-se na lista das redes da criação de SSID feitos a varredura. A fim criar um perfil da rede, você pode simplesmente clicar o SSID na lista (empresa) e no botão de rádio da rede da criação.

Se o infra-estruturo WLAN é configurado com a transmissão SSID desabilitada, você deve manualmente adicionar o SSID; clique o botão de rádio adicionar sob dispositivos de acesso e incorpore manualmente o SSID apropriado (por exemplo, empresa). Configurar o comportamento ativo da ponta de prova para o cliente, isto é, onde o cliente sonda ativamente para seu SSID configurado; especifique ativamente a busca para este dispositivo de acesso depois que você incorpora o SSID no indicador do dispositivo de acesso adicionar.

Nota: As configurações de porta não permitem modos de empreendimento (802.1X) se os ajustes da autenticação de EAP não são primeiros configurados para o perfil.

O botão de rádio da rede da criação lança o indicador do perfil da rede, que o permite associar (ou configurado) o SSID escolhido com um mecanismo da autenticação. Atribua um nome descritivo para o perfil.

Nota: Os tipos múltiplos da Segurança de WLAN e/ou os SSID podem ser associados sob este perfil da autenticação.

A fim ter o cliente a conectar automaticamente à rede quando na escala de cobertura RF, escolha estabelecem automaticamente a conexão do usuário. Desmarcar disponível a todos os usuários se não é desejável usar este perfil com outras contas de usuário na máquina. Se a opção Automatically establish não for escolhida, o usuário deverá abrir a janela do CSSC e iniciar manualmente a conexão de WLAN com o botão de opção Connect.

Se se deseja iniciar a conexão WLAN antes do fazer logon do usuário, escolha antes da conta de usuário. Isto permite Único-Sinal-na operação com as credenciais salvar do usuário (senha ou certificado/Smartcard quando você usa o TLS dentro de EAP-FAST).

CSSC_Deployment_Guide12.gif

Nota: Para a operação WPA/TKIP com o adaptador cliente do Cisco Aironet série 350, é necessário desabilitar a validação do aperto de mão WPA desde que há atualmente uma incompatibilidade entre o cliente CSSC e 350 direcionadores no que diz respeito ao aperto de mão WPA pique a validação. Isso é desativado em Client > Advanced Settings > WPA/WPA2 Handshake Validation. A validação deficiente do aperto de mão ainda permite os recursos de segurança inerentes em WPA (fechar e Message Integrity Check do pacote per. TKIP), mas desabilita a autenticação de chave inicial WPA.

/image/gif/paws/72788/CSSC_Deployment_Guide13.gif

Sob o sumário da configuração de rede, o clique altera para configurar o EAP/ajustes das credenciais. Especifique Turn On Authentication, escolha FAST em Protocol e 'Anonymous' as Identity (para não usar nome de usuário na solicitação EAP inicial). É possível usar o username do uso como Identityas a identidade exterior EAP, mas muitos clientes não desejam expor o usuário - ids no pedido unencrypted inicial EAP. Especifique o único sinal do uso em credenciais usar credenciais de logon para a autenticação de rede. O clique configura para estabelecer parâmetros EAP-FAST.

/image/gif/paws/72788/CSSC_Deployment_Guide14.gif

Sob ajustes RÁPIDOS, é possível especificar valida o certificado de servidor, que permite o cliente validar o certificado EAP-FAST do server (ACS) antes do estabelecimento de uma sessão EAP-FAST. Isto fornece a proteção para os dispositivos do cliente da conexão a um server EAP-FAST do desconhecido ou do rogue e da submissão inadvertida de suas credenciais de autenticação a uma fonte não confiável. Isto exige que o servidor ACS tem um certificado instalado e o cliente igualmente tem o certificado correspondente do Certificate Authority da raiz instalado. Neste exemplo, a validação do certificado de servidor não é permitida.

Sob ajustes RÁPIDOS, é possível especificar permite a ressunção rápida da sessão, que permite a ressunção de uma sessão EAP-FAST baseada na informação do túnel (sessão TLS) um pouco do que a exigência de um reauthentication EAP-FAST completo. Se o server e o cliente EAP-FAST têm o sabido por todos da informação de sessão TLS negociada dentro da troca EAP-FAST inicial da autenticação, a ressunção da sessão pode ocorrer.

Nota: O server EAP-FAST e o cliente devem ser configurados para o resumo EAP-FAST da sessão.

Sob o método em túnel > os ajustes do EAP-TLS, especifique todo o método para permitir o EAP-MSCHAPv2 para a auto-disposição PAC e o EAP-GTC para a autenticação. Se você usa um base de dados do Microsoft-formato, tal como o diretório ativo, e se se não apoia nenhuns clientes v1 EAP-FAST na rede, você pode igualmente especificar o uso somente do MSCHAPv2 como o método em túnel.

Nota: Valide o certificado de servidor é permitido à revelia sob os ajustes do EAP-TLS neste indicador. Desde que o exemplo não usa o EAP-TLS como o método de autenticação interno, este campo não é aplicável. Se este campo é permitido, permite o cliente de validar o certificado de servidor além do que a validação do server do certificado de cliente dentro do EAP-TLS.

/image/gif/paws/72788/CSSC_Deployment_Guide15.gif

APROVAÇÃO do clique para salvar os ajustes EAP-FAST. Desde que o cliente é configurado para “automaticamente estabeleça” sob o perfil, ele inicia automaticamente a associação/autenticação com a rede. Da aba das redes do controlo, os campos da rede, do estado, e de segurança de dados indicam o status de conexão do cliente. Do exemplo, vê-se que a rede de empreendimento do perfil está no uso, e o dispositivo do acesso de rede é a empresa SSID, que indica conectado: Autenticado e os usos Autoconnect. O campo de segurança de dados indica o tipo de criptografia do 802.11 que é empregado, que, para este exemplo, é WPA2.

CSSC_Deployment_Guide16.gif

Depois que o cliente autentica, escolha o SSID sob o perfil na aba das redes do controlo e clique o estado para perguntar detalhes da conexão. O indicador dos detalhes da conexão fornece a informação no dispositivo do cliente, o status de conexão e as estatísticas, e o método de autenticação. A aba dos detalhes de WiFi fornece detalhes no status de conexão do 802.11, que inclui o RSSI, o canal do 802.11, e a autenticação/criptografia.

CSSC_Deployment_Guide17.gif

/image/gif/paws/72788/CSSC_Deployment_Guide18.gif

Como um administrador de sistema, você é autorizado à utilidade diagnóstica, o relatório do sistema do Cisco Secure Services Client, que está disponível com a distribuição do padrão CSSC. Esta utilidade é desde o início menu disponível ou do diretório CSSC. A fim obter dados, o clique recolhe dados > cópia à prancheta > encontra o arquivo de relatório. Isto dirige uma janela do Explorer do arquivo de Microsoft ao diretório com o arquivo de relatório fechado. Dentro do arquivo fechado, a maioria de dados úteis são ficados situados sob o log (log_current).

A utilidade dá o status atual de CSSC, relação, e detalhes do direcionador, junto com a informação WLAN (SSID detectado, status de associação, etc.). Isto pode ser útil, especialmente diagnosticar problemas de conectividade entre CSSC e o adaptador de WLAN.

Verifique a operação

Após a configuração do server do Cisco Secure ACS, do controlador de WLAN, do cliente CSSC, e presumivelmente da população da configuração correta e do base de dados, a rede de WLAN é configurada para a autenticação EAP-FAST e uma comunicação cliente segura. Há os pontos numerosos que podem ser monitorados para verificar o progresso/erros para ver se há uma sessão segura.

A fim testar a configuração, tente associar um cliente Wireless com o controlador de WLAN com autenticação EAP-FAST.

  1. Se CSSC é configurado para a Auto-conexão, o cliente tenta esta conexão automaticamente. Se não é configurado para a Auto-conexão e escolhe Sinal-na operação, o usuário deve iniciar a conexão WLAN através do botão de rádio da conexão. Isto inicia o processo de associação do 802.11 sobre que a autenticação de EAP ocorre.

    Este é um exemplo:

    /image/gif/paws/72788/CSSC_Deployment_Guide19.gif

  2. O usuário é alertado subseqüentemente fornecer o username e então a senha para a autenticação EAP-FAST (da autoridade PAC ou do ACS EAP-FAST).

    Este é um exemplo:

    /image/gif/paws/72788/CSSC_Deployment_Guide20.gif

    CSSC_Deployment_Guide21.gif

  3. O cliente CSSC, pelo WLC, passa então as credenciais do usuário ao servidor Radius (Cisco Secure ACS) a fim validar as credenciais. O ACS verifica as credenciais do usuário com uma comparação dos dados e do base de dados configurado (no exemplo de configuração, o base de dados externo é diretório ativo de Windows) e fornece o acesso ao cliente Wireless sempre que as credenciais do usuário são válidas. O relatório passado das autenticações no servidor ACS mostra que o cliente passou a autenticação RADIUS/EAP.

    Este é um exemplo:

    /image/gif/paws/72788/CSSC_Deployment_Guide22.gif

  4. Em cima da autenticação bem sucedida RADIUS/EAP, o cliente Wireless (00:40:96:ab:36:2f neste exemplo) é autenticado com o controlador de WLAN AP/.

    /image/gif/paws/72788/CSSC_Deployment_Guide23.gif

Apêndice

Além do que o diagnóstico e a informação de status, que está disponível no Cisco Secure ACS e no controlador de WLAN de Cisco, há os pontos adicionais que podem ser usados para diagnosticar a autenticação EAP-FAST. Embora a maioria de edições da autenticação possa ser diagnosticada sem o uso de um sniffer ou de debugar WLAN trocas EAP no controlador de WLAN, este material de referência é incluído para ajudar a pesquisar defeitos.

Captação do sniffer para a troca EAP-FAST

Esta captação do sniffer do 802.11 mostra a troca da autenticação.

/image/gif/paws/72788/CSSC_Deployment_Guide24.gif

Este pacote mostra a resposta EAP-FAST inicial EAP.

Nota: Como configurado no cliente CSSC, anônimo é usado como a identidade exterior EAP na resposta inicial EAP.

/image/gif/paws/72788/CSSC_Deployment_Guide25.gif

Debugar no controlador de WLAN

Estes comandos debug podem ser empregados no controlador de WLAN para monitorar o progresso da troca da autenticação:

  • debugar eventos aaa permitem

  • debugar o detalhe aaa permitem

  • debugar eventos do dot1x permitem

  • debugar estados do dot1x permitem

Este é um exemplo do começo de uma transação da autenticação entre o cliente CSSC e o ACS como monitorado no controlador de WLAN com debuga:

Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Processing RSN IE type 48, 
   length 20 for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received RSN IE with 
   0 PMKIDs from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f dot1x - 
   moving mobile 00:40:96:a0:36:2f into Connecting state
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAP-
   Request/Identity to mobile 00:40:96:a0:36:2f (EAP Id 1)
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received Identity Response 
   (count=1) from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f EAP State update from 
   Connecting to Authenticating for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f dot1x - moving mobile 
   00:40:96:a0:36:2f into Authenticating state
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Entering Backend Auth 
   Response state for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: AuthenticationRequest: 0x138dd764
Thu Aug 24 18:20:54 2006:       Callback.......0x10372764
Thu Aug 24 18:20:54 2006:       protocolType...0x00040001
Thu Aug 24 18:20:54 2006:       proxyState.....00:40:96:A0:36:2F-11:00
Thu Aug 24 18:20:54 2006:       Packet contains 15 AVPs (not shown)
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Successful transmission of 
   Authentication Packet (id 84) to 10.1.1.12:1812, proxy state0
Thu Aug 24 18:20:54 2006: ****Enter processIncomingMessages: response code=11
Thu Aug 24 18:20:54 2006: ****Enter processRadiusResponse: response code=11
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Access-Challenge received from 
   RADIUS server 10.1.1.12 for mobile 00:40:96:a0:36:2f rec7
Thu Aug 24 18:20:54 2006: AuthorizationResponse: 0x11c8a394
Thu Aug 24 18:20:54 2006:       structureSize..147
Thu Aug 24 18:20:54 2006:       resultCode.....255
Thu Aug 24 18:20:54 2006:       protocolUsed...0x00000001
Thu Aug 24 18:20:54 2006:       proxyState.....00:40:96:A0:36:2F-11:00
Thu Aug 24 18:20:54 2006:       Packet contains 4 AVPs (not shown)
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Processing Access-Challenge 
   for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Entering Backend Auth Req state 
   (id=249) for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f WARNING: 
   updated EAP-Identifer 1 ===> 249 for STA 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAP Request from 
   AAA to mobile 00:40:96:a0:36:2f (EAP Id 249)
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAP Response from 
   mobile 00:40:96:a0:36:2f (EAP Id 249, EAP Type 3)

Esta é a conclusão bem sucedida da troca EAP do controlador debuga (com autenticação WPA2):

Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Processing Access-
   Accept for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Applying new AAA 
   override for station 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Override values for station 
   00:40:96:a0:36:2f source: 4, valid bits: 0x0
qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: 
   -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, r1'
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Unable to apply override 
   policy for station 00:40:96:a0:36:2f - VapAllowRadiusOverride E
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Creating a new PMK Cache Entry 
   for station 00:40:96:a0:36:2f (RSN 2)
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Adding BSSID 
   00:14:1b:5a:33:d0 to PMKID cache for station 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: New PMKID: (16)
Thu Aug 24 18:20:54 2006:      [0000] a6 c0 02 95 66 e8 ed 9b 1c 65 9b 
   72 1f 3f 5f 5b
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAP-Success 
   to mobile 00:40:96:a0:36:2f (EAP Id 0)
Thu Aug 24 18:20:54 2006: Including PMKID in M1  (16)
Thu Aug 24 18:20:54 2006:      
   [0000] a6 c0 02 95 66 e8 ed 9b 1c 65 9b 72 1f 3f 5f 5b
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAPOL-Key Message to 
   mobile 00:40:96:a0:36:2f state INITPMK (message 1), repl0
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Entering Backend 
   Auth Success state (id=0) for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received Auth Success 
   while in Authenticating state for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f dot1x - 
   moving mobile 00:40:96:a0:36:2f into Authenticated state
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAPOL-
   Key from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Invalid EAPOL version 
   (1) in EAPOL-key message from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAPOL-key 
   in PKT_START state (message 2) from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Stopping retransmission 
   timer for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAPOL-Key Message 
   to mobile 00:40:96:a0:36:2f state PTKINITNEGOTIATING (messa1
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received 
   EAPOL-Key from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Invalid EAPOL version (1) 
   in EAPOL-key message from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAPOL-key in 
   PTKINITNEGOTIATING state (message 4) from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: AccountingMessage 
   Accounting Interim: 0x138dd764
Thu Aug 24 18:20:54 2006: Packet contains 20 AVPs:
Thu Aug 24 18:20:54 2006: 
   AVP[01] User-Name..................enterprise (10 bytes)
Thu Aug 24 18:20:54 2006: AVP[02] 
   Nas-Port...........................0x0000001d (29) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[03] 
   Nas-Ip-Address.....................0x0a0a5003 (168448003) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[04] 
   Class..............................CACS:0/28b5/a0a5003/29 (22 bytes)
Thu Aug 24 18:20:54 2006: AVP[05] 
   NAS-Identifier.....................ws-3750 (7 bytes)
Thu Aug 24 18:20:54 2006: AVP[06] 
   Airespace / WLAN-Identifier........0x00000001 (1) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[07] 
   Acct-Session-Id....................44ede3b0/00:40:
   96:a0:36:2f/14 (29 bytes)
Thu Aug 24 18:20:54 2006: AVP[08] 
   Acct-Authentic.....................0x00000001 (1) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[09] 
   Tunnel-Type........................0x0000000d (13) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[10] 
   Tunnel-Medium-Type.................0x00000006 (6) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[11] 
   Tunnel-Group-Id....................0x3832 (14386) (2 bytes)
Thu Aug 24 18:20:54 2006: AVP[12] 
   Acct-Status-Type...................0x00000003 (3) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[13] 
   Acct-Input-Octets..................0x000b99a6 (760230) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[14] 
   Acct-Output-Octets.................0x00043a27 (277031) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[15] 
   Acct-Input-Packets.................0x0000444b (17483) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[16] 
   Acct-Output-Packets................0x0000099b (2459) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[17] 
   Acct-Session-Time..................0x00000a57 (2647) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[18] 
   Acct-Delay-Time....................0x00000000 (0) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[19] 
   Calling-Station-Id.................10.10.82.11 (11 bytes)
Thu Aug 24 18:20:54 2006: AVP[20] 
   Called-Station-Id..................10.10.80.3 (10 bytes)
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f 
   Stopping retransmission timer for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:57 2006: User admin authenticated

Informações Relacionadas


Document ID: 72788