Sem fio/Mobilidade : Segurança de WLAN

Exemplo de configuração de servidor local unificado da rede Wireless EAP

15 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (20 Dezembro 2015) | Feedback


Índice


Introdução

Este documento descreve a configuração de um servidor local de Extensible Authentication Protocol (EAP) em um Controlador de LAN Wireless (WLC) da Cisco para a autenticação dos usuários sem fio.

O EAP local é um método de autenticação que permita os usuários e os clientes Wireless a ser autenticados localmente. É projetado para o uso nos escritórios remotos que querem manter a Conectividade aos clientes Wireless quando o sistema no final do processo se torna interrompido ou o servidor de autenticação externa vai para baixo. Quando você permite o EAP local, o controlador serve como o Authentication Server e a base de dados de usuário local, removendo desse modo a dependência em um servidor de autenticação externa. O EAP local recupera credenciais do usuário da base de dados de usuário local ou do base de dados no final do processo do Lightweight Directory Access Protocol (LDAP) para autenticar usuários. O EAP local apoia EAP de pouco peso (PULO), Autenticação Flexível de EAP através do Tunelamento seguro (EAP-FAST), e autenticação da Segurança da camada do EAP-transporte (EAP-TLS) entre o controlador e os clientes Wireless.

Note que o server local EAP não está disponível se há uma configuração de servidor de raio externo global no WLC. Todos os pedidos de autenticação estão enviados ao RAIO externo global até que o server local EAP esteja disponível. Se o WLC afrouxa a Conectividade ao servidor de raio externo, a seguir o server local EAP torna-se ativo. Se não há nenhuma configuração de servidor RADIUS global, o server local EAP torna-se imediatamente ativo. O server local EAP não pode ser usado para autenticar os clientes, que são conectados a outros WLC. Ou seja um WLC não pode enviar seu pedido EAP a um outro WLC para a autenticação. Cada WLC deve ter seus próprios server local EAP e base de dados individual.

Nota: Use estes comandos a fim parar o WLC de enviar pedidos a um servidor de raio externo.

config wlan disable
        config wlan radius_server auth disable 
        config wlan enable

Os suportes de servidor locais EAP estes protocolos no software release de 4.1.171.0 e mais tarde:

  • PULO

  • EAP-FAST (ambo username/senha, e Certificados)

  • EAP-TLS

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Conhecimento de como configurar WLC e Lightweight Access Points (regaços) para a operação básica

  • Conhecimento de métodos de pouco peso do protocolo (LWAPP) e da segurança Wireless do Access point

  • Conhecimento básico da autenticação de EAP local.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Windows XP com placa de adaptadores CB21AG e versão 4.05 do Cisco Secure Services Client

  • Controlador 4.1.171.0 do Wireless LAN de Cisco 4400

  • Autoridade de certificação de Microsoft no servidor do Windows 2000

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar o EAP local no controlador de LAN do Cisco Wireless

Este documento supõe que a configuração básica do WLC está terminada já.

Configuração local EAP

Termine estas etapas a fim configurar o EAP local:

  1. Adicionar um usuário líquido local:

    Do GUI. escolha a Segurança > usuários líquidos locais > novo, dê entrada com o nome de usuário, senha, usuário convidado, ID de WLAN, e a descrição e o clique aplicam-se.

    uwn-loc-eap-svr-config-1a.gif

    Do CLI você pode usar o netuser da configuração adiciona o comando do <description> do id> do <password> <WLAN do <username>:

    Nota: Este comando foi derrubado a uma segunda linha devido às razões espaciais.

    (Cisco Controller) >config netuser add eapuser2 cisco123 1 Employee 
    user local database
    
    
  2. Especifique a ordem de recuperação credencial do usuário.

    Do GUI, escolha a Segurança > local EAP > prioridade da autenticação. Selecione então o LDAP, clicam “<” o botão e o clique aplica-se. Isto põe as credenciais do usuário no base de dados local primeiramente.

    uwn-loc-eap-svr-config-2.gif

    Do CLI:

    (Cisco Controller) >config local-auth user-credentials local
    
  3. Adicionar um perfil EAP:

    A fim fazer isto do GUI, escolha a Segurança > local EAP > perfis e clique novo. Quando a nova janela aparece, datilografe o nome de perfil e o clique aplica-se.

    uwn-loc-eap-svr-config-3.gif

    Você pode igualmente fazer este que usa o comando CLI o EAP-perfil do local-AUTH que da configuração adiciona o <profile-name>. Em nosso exemplo, o nome de perfil é EAP-teste.

    (Cisco Controller) >config local-auth eap-profile add EAP-test
    
    
  4. Adicionar um método ao perfil EAP.

    Do GUI escolha a Segurança > local EAP > perfis e clique sobre o nome de perfil para que você quer adicionar os métodos de autenticação. Este exemplo usa o PULO, EAP-FAST, e o EAP-TLS. O clique aplica-se a fim ajustar os métodos.

    /image/gif/paws/91628/uwn-loc-eap-svr-config-4.gif

    Você pode igualmente usar o comando CLI o método do EAP-perfil que do local-AUTH da configuração adiciona o <profile-name> do <method-name>. Em nosso exemplo de configuração nós adicionamos três métodos ao EAP-teste do perfil. Os métodos são o PULO, EAP-FAST, e o EAP-TLS cujos os nomes do método são pulo, rápido, e tls respectivamente. Esta saída mostra os comandos de configuração de CLI:

    (Cisco Controller) >config local-auth eap-profile method add leap EAP-test
    (Cisco Controller) >config local-auth eap-profile method add fast EAP-test
    (Cisco Controller) >config local-auth eap-profile method add tls EAP-test
    
  5. Configurar os parâmetros do método de EAP. Isto é usado somente para EAP-FAST. Os parâmetros a ser configurados são:

    • Chave de servidor (chave de servidor) — Cifrar da chave de servidor/credenciais protegidas decrypt do acesso (PAC) (no hexadecimal).

    • Time to Live para PAC (PAC-TTL) — Ajusta o Time to Live para o PAC.

    • Autoridade ID (autoridade-identificação) — Ajusta o identificador da autoridade.

    • Disposição de Annonymous (anon-provn) — Configura se a disposição anônima está permitida. Iss está habilitado por padrão.

    Para a configuração com o GUI, escolha a Segurança > local EAP > parâmetros EAP-FAST e incorpore a chave de servidor, o Time to Live para o PAC, a autoridade ID (em encantar), e os valores de informação de ID da autoridade.

    /image/gif/paws/91628/uwn-loc-eap-svr-config-5.gif

    Estes são os comandos de configuração de CLI usar-se a fim ajustar estes parâmetros para EAP-FAST:

    (Cisco Controller) >config local-auth method fast server-key 12345678
    (Cisco Controller) >config local-auth method fast authority-id 43697369f1 CiscoA-ID
    (Cisco Controller) >config local-auth method fast pac-ttl 10
    
  6. Permita a autenticação local pelo WLAN:

    Do GUI escolha WLAN no menu superior e selecione o WLAN para que você quer configurar a autenticação local. Uma nova janela aparece. Clique a Segurança > abas AAA. Verifique a autenticação de EAP local e selecione o nome de perfil direito EAP do menu de destruição como este exemplo mostra:

    /image/gif/paws/91628/uwn-loc-eap-svr-config-6.gif

    Você pode igualmente emitir a configuração que CLI o local-AUTH wlan permite o comando configuration do <wlan-id> do <profile-name> como mostrado aqui:

    (Cisco Controller) >config wlan local-auth enable EAP-test 1 
  7. Ajuste os parâmetros de segurança da camada 2.

    Da interface GUI, no WLAN edite o indicador vão às abas da Segurança > da camada 2 e escolheu WPA+WPA2 do menu de destruição da Segurança da camada 2. Sob os parâmetros WPA+WPA2 secione, ajuste a criptografia WPA TKIP e WPA2 à criptografia AES. Clique então aplicam-se.

    uwn-loc-eap-svr-config-7a.gif

    Do CLI, use estes comandos:

    (Cisco Controller) >config wlan security wpa enable 1 
    (Cisco Controller) >config wlan security wpa wpa1 ciphers tkip enable 1
    (Cisco Controller) >config wlan security wpa wpa2 ciphers aes enable 1 
  8. Verifique a configuração:

    (Cisco Controller) >show local-auth config 
    
    User credentials database search order:
        Primary ..................................... Local DB
    
    Timer:
        Active timeout .............................. Undefined
    
    Configured EAP profiles:
        Name ........................................ EAP-test
          Certificate issuer ........................ cisco
          Peer verification options:
            Check against CA certificates ........... Enabled
            Verify certificate CN identity .......... Disabled
            Check certificate date validity ......... Enabled
          EAP-FAST configuration:
            Local certificate required .............. No
            Client certificate required ............. No
          Enabled methods ........................... leap fast tls 
          Configured on WLANs ....................... 1 
    
    EAP Method configuration:
        EAP-FAST:
    --More-- or (q)uit
          Server key ................................ <hidden>
          TTL for the PAC ........................... 10
          Anonymous provision allowed ............... Yes
          Authority ID .............................. 43697369f10000000000000000000
          Authority Information ..................... CiscoA-ID

    Você pode ver parâmetros específicos de 1 wlan com o comando <wlan wlan do id> da mostra:

    (Cisco Controller) >show wlan 1
    
    
    WLAN Identifier.................................. 1
    Profile Name..................................... austinlab
    Network Name (SSID).............................. austinlab
    Status........................................... Disabled
    MAC Filtering.................................... Disabled
    Broadcast SSID................................... Enabled
    AAA Policy Override.............................. Disabled
    Number of Active Clients......................... 0
    Exclusionlist Timeout............................ 60 seconds
    Session Timeout.................................. 1800 seconds
    Interface........................................ management
    WLAN ACL......................................... unconfigured
    DHCP Server...................................... Default
    DHCP Address Assignment Required................. Disabled
    Quality of Service............................... Silver (best effort)
    WMM.............................................. Disabled
    CCX - AironetIe Support.......................... Enabled
    CCX - Gratuitous ProbeResponse (GPR)............. Disabled
    Dot11-Phone Mode (7920).......................... Disabled
    Wired Protocol................................... None
    --More-- or (q)uit
    IPv6 Support..................................... Disabled
    Radio Policy..................................... All
    Local EAP Authentication......................... Enabled (Profile 'EAP-test')
    Security
    
       802.11 Authentication:........................ Open System
       Static WEP Keys............................... Disabled
       802.1X........................................ Disabled
       Wi-Fi Protected Access (WPA/WPA2)............. Enabled
          WPA (SSN IE)............................... Enabled
             TKIP Cipher............................. Enabled
             AES Cipher.............................. Disabled
          WPA2 (RSN IE).............................. Enabled
             TKIP Cipher............................. Disabled
             AES Cipher.............................. Enabled
                                                                Auth Key Management
             802.1x.................................. Enabled
             PSK..................................... Disabled
             CCKM.................................... Disabled
       CKIP ......................................... Disabled
       IP Security................................... Disabled
       IP Security Passthru.......................... Disabled
       Web Based Authentication...................... Disabled
    --More-- or (q)uit
       Web-Passthrough............................... Disabled
       Conditional Web Redirect...................... Disabled
       Auto Anchor................................... Disabled
       Cranite Passthru.............................. Disabled
       Fortress Passthru............................. Disabled
       H-REAP Local Switching........................ Disabled
       Infrastructure MFP protection................. Enabled 
                                              (Global Infrastructure MFP Disabled)
       Client MFP.................................... Optional
       Tkip MIC Countermeasure Hold-down Timer....... 60
    
     Mobility Anchor List
     WLAN ID     IP Address       Status

    Há outros parâmetros da autenticação local que podem ser configurados, em particular o temporizador ativo do intervalo. Este temporizador configura o período durante que o EAP local é afinal servidores Radius usados falhou.

    Do GUI, escolha a Segurança > local EAP > geral e ajustado o valor do tempo. Clique então aplicam-se.

    /image/gif/paws/91628/uwn-loc-eap-svr-config-7b.gif

    Do CLI, emita estes comandos:

    (Cisco Controller) >config local-auth active-timeout ?
    <1 to 3600> Enter the timeout period for the Local EAP to remain active, 
    in seconds.
    (Cisco Controller) >config local-auth active-timeout 60
    

    Você pode verificar o valor a que este temporizador se estabelece quando você emite o comando config do local-AUTH da mostra.

    (Cisco Controller) >show local-auth config 
    
    User credentials database search order:
        Primary ..................................... Local DB
    
    Timer:
        Active timeout .............................. 60
    
    Configured EAP profiles:
        Name ........................................ EAP-test
    ... Skip
  9. Se você precisa de gerar e carregar o PAC manual, você pode usar o GUI ou o CLI.

    Do GUI, os COMANDOS seletos do menu superior e escolheram o arquivo da transferência de arquivo pela rede da lista no lado direito. PAC seleto (credenciais protegidas do acesso) do menu de destruição do tipo de arquivo. Incorpore todos os parâmetros e clique sobre a transferência de arquivo pela rede.

    /image/gif/paws/91628/uwn-loc-eap-svr-config-7c.gif

    Do CLI, incorpore estes comandos:

    (Cisco Controller) >transfer upload datatype pac 
    (Cisco Controller) >transfer upload pac ?
                   
    username     Enter the user (identity) of the PAC 
                   
     (Cisco Controller) >transfer upload pac test1 ?
                   
    <validity>     Enter the PAC validity period (days)
                   
    (Cisco Controller) >transfer upload pac test1 60 ?
                   
    <password>     Enter a password to protect the PAC
                   
     (Cisco Controller) >transfer upload pac test1 60 cisco123
    
    (Cisco Controller) >transfer upload serverip 10.1.1.1
    
    (Cisco Controller) >transfer upload filename manual.pac
    
    (Cisco Controller) >transfer upload start 
    
    Mode............................................. TFTP  
    TFTP Server IP................................... 10.1.1.1
    TFTP Path........................................ /
    TFTP Filename.................................... manual.pac
    Data Type........................................ PAC         
    PAC User......................................... test1
    PAC Validity..................................... 60 days
    PAC Password..................................... cisco123
    
    Are you sure you want to start? (y/N) y
    PAC transfer starting.
    File transfer operation completed successfully.

Autoridade de certificação de Microsoft

A fim usar a versão 2 EAP-FAST e a autenticação EAP-TLS, WLC e todos os dispositivos do cliente devem ter um certificado válido e devem igualmente conhecer o certificado público da autoridade de certificação.

Instalação

Se o servidor do Windows 2000 já não tem serviços da autoridade de certificação instalado, você precisa de instalá-lo.

Termine estas etapas a fim ativar a autoridade de certificação de Microsoft em um servidor do Windows 2000:

  1. Do Control Panel, escolha adicionar/removeres programar. :

    uwn-loc-eap-svr-config-8.gif

  2. Seleto adicionar/remova componentes do Windows no lado esquerdo.

    /image/gif/paws/91628/uwn-loc-eap-svr-config-9.gif

  3. Verifique serviços certificados.

    /image/gif/paws/91628/uwn-loc-eap-svr-config-10.gif

    Reveja este aviso antes que você continue:

    uwn-loc-eap-svr-config-11.gif

  4. Selecione que o tipo de autoridade de certificação você quer instalar. A fim criar uma autoridade autônoma simples, selecione a CA raiz autônoma.

    uwn-loc-eap-svr-config-12.gif

  5. Incorpore a informação necessária sobre a autoridade de certificação. Esta informação cria um certificado auto-assinado para sua autoridade de certificação. Recorde o nome de CA que você usa.

    A autoridade de certificação armazena os Certificados em um base de dados. Este exemplo usa a instalação do padrão proposta por Microsoft:

    /image/gif/paws/91628/uwn-loc-eap-svr-config-13.gif

  6. Os serviços da autoridade de certificação de Microsoft usam o servidor de Web IIS Microsoft a fim criar e controlar Certificados de cliente e servidor. Precisa de reiniciar o serviço IIS para este:

    uwn-loc-eap-svr-config-14.gif

    O Servidor do Microsoft Windows 2000 instala agora o serviço novo. Você precisa de ter seu CD de instalação do servidor do Windows 2000 a fim instalar componentes das novas janelas.

    A autoridade de certificação é instalada agora.

Instale o certificado no controlador de LAN do Cisco Wireless

A fim usar a versão 2 EAP-FAST e o EAP-TLS no server local EAP de um controlador de LAN do Cisco Wireless, siga estas três etapas:

  1. Instale o certificado do dispositivo no controlador do Wireless LAN.

  2. Transfira um certificado de CA do vendedor ao controlador do Wireless LAN.

  3. Configurar o controlador do Wireless LAN para usar o EAP-TLS.

Note que no exemplo mostrado neste documento, o Access Control Server (ACS) está instalado no mesmo host que o microsoft ative directory e na autoridade de certificação de Microsoft, mas a configuração deve ser a mesma se o servidor ACS está em um server diferente.

Instale o certificado do dispositivo no controlador do Wireless LAN

Conclua estes passos:

  1. . Termine estas etapas a fim gerar o certificado para importar ao WLC:

    1. Vá a http:// <serverIpAddr>/certsrv.

    2. Escolha o pedido um certificado e clique-o em seguida.

    3. Escolha o pedido avançado e clique-o em seguida.

    4. Escolha submetem um pedido de certificado para este CA usando um formulário e clicam-no em seguida.

    5. Escolha o servidor de Web para o molde de certificado e incorpore a informação relevante. Marque então as chaves como exportable.

    6. Você recebe agora um certificado que você precise de instalar em sua máquina.

  2. Termine estas etapas a fim recuperar o certificado do PC:

    1. Abra um navegador do internet Explorer e escolha ferramentas > opções de internet > índice.

    2. Clique Certificados.

    3. Selecione o certificado recentemente instalado do menu de destruição.

    4. Clique a exportação.

    5. Clique em seguida duas vezes e escolha sim a exportação a chave privada. Este formato é o PKCS-12 (formato do .PFX).

    6. Escolha permitem a proteção forte.

    7. Datilografe uma senha.

    8. Salvar a em um arquivo <tme2.pfx>.

  3. Copie o certificado no formato do PKCS-12 a todo o computador onde você tem o OpenSSL instalado a fim o converter ao formato PEM.

    openssl pkcs12 -in tme2.pfx -out tme2.pem  
    
    !--- The command to be given, -in <inputfilename>.
    
    Enter Import Password:              
    
    !--- Enter the password given previously, from step 2g.
    
    MAC verified OK
    Enter PEM pass phrase:      
    
    !--- Enter a phrase.
    
    Verifying - Enter PEM pass phrase:
  4. Transfira o certificado convertido do dispositivo de formatação PEM no WLC.

    (Cisco Controller) >transfer download datatype eapdevcert
    
    (Cisco Controller) >transfer download certpassword password 
    
    !--- From step 3.
    
    Setting password to <cisco123>
    
    (Cisco Controller) >transfer download filename tme2.pem
    
    (Cisco Controller) >transfer download start
    
    Mode............................................. TFTP
    Data Type........................................ Vendor Dev Cert
    TFTP Server IP................................... 10.1.1.12
    TFTP Packet Timeout.............................. 6
    TFTP Max Retries................................. 10
    TFTP Path........................................ /
    TFTP Filename.................................... tme2.pem
    
    This may take some time.
    Are you sure you want to start? (y/N) y
    
    TFTP EAP Dev cert transfer starting.
    
    Certificate installed.
      Reboot the switch to use new certificate.
  5. Uma vez que recarregado, verifique o certificado.

    (Cisco Controller) >show local-auth certificates
    
    Certificates available for Local EAP authentication:
    
    Certificate issuer .............................. vendor
      CA certificate:
        Subject: C=US, ST=ca, L=san jose, O=cisco, OU=wnbu, CN=tme
         Issuer: C=US, ST=ca, L=san jose, O=cisco, OU=wnbu, CN=tme
          Valid: 2007 Feb 28th, 19:35:21 GMT to 2012 Feb 28th, 19:44:44 GMT
      Device certificate:
        Subject: C=US, ST=ca, L=san jose, O=cisco, OU=wnbu, CN=tme2
         Issuer: C=US, ST=ca, L=san jose, O=cisco, OU=wnbu, CN=tme
          Valid: 2007 Mar 28th, 23:08:39 GMT to 2009 Mar 27th, 23:08:39 GMT

Transfira um certificado de CA do vendedor ao controlador do Wireless LAN

Conclua estes passos:

  1. Termine estas etapas a fim recuperar o certificado de CA do vendedor:

    1. Vá a http:// <serverIpAddr>/certsrv.

    2. Escolha recuperam o certificado de CA e clicam-no em seguida.

    3. Escolha o certificado de CA.

    4. Clique o DER codificado.

    5. Clique sobre o certificado de CA da transferência e salvar o certificado como rootca.cer.

  2. Converta o vendedor que CA do formato DER no formato PEM com o OpenSSL x509 - em rootca.cer - informa o DER - para fora rootca.pem - comando do outform PEM.

    O arquivo de saída é rootca.pem no formato PEM.

  3. Transfira o certificado de CA do vendedor:

    (Cisco Controller) >transfer download datatype eapcacert
    
    (Cisco Controller) >transfer download filename ?
                   
    <filename>     Enter filename up to 16 alphanumeric characters.
                   
    (Cisco Controller) >transfer download filename rootca.pem
    
    (Cisco Controller) >transfer download start ?
                   
    (Cisco Controller) >transfer download start 
    
    Mode............................................. TFTP  
    Data Type........................................ Vendor CA Cert
    TFTP Server IP................................... 10.1.1.12
    TFTP Packet Timeout.............................. 6
    TFTP Max Retries................................. 10
    TFTP Path........................................ /
    TFTP Filename.................................... rootca.pem
    
    This may take some time.
    Are you sure you want to start? (y/N) y
    
    TFTP EAP CA cert transfer starting.
    
    Certificate installed.
      Reboot the switch to use new certificate.

Configurar o controlador do Wireless LAN para usar o EAP-TLS

Conclua estes passos:

Do GUI, escolha a Segurança > local EAP > perfis, escolha o perfil e verifique-o para ver se há estes ajustes:

  • O certificado local exigido é permitido.

  • O certificado de cliente exigido é permitido.

  • O expedidor do certificado é vendedor.

  • A verificação contra certificados de CA é permitida.

uwn-loc-eap-svr-config-15.gif

Instale o certificado do Certificate Authority no dispositivo do cliente

Transfira e instale um certificado CA raiz para o cliente

O cliente deve obter um certificado CA raiz de um server da autoridade de certificação. Há diversos métodos que você pode se usar para obter um certificado de cliente e para o instalar na máquina de Windows XP. A fim adquirir um certificado válido, o usuário de Windows XP tem que ser entrado usando seu usuário - identificação e deve ter uma conexão de rede.

Um navegador da Web no cliente de Windows XP e uma conexão ligada com fio à rede foram usados para obter um certificado de cliente do server privado da autoridade de certificação da raiz. Este procedimento é usado para obter o certificado de cliente de um server da autoridade de certificação de Microsoft:

  1. Use um navegador da Web no cliente e aponte o navegador ao server da autoridade de certificação. A fim fazer isto, entre em http://IP-address-of-Root-CA/certsrv.

  2. Entre usando Domain_Name \ user_name. Você deve entrar usando o username do indivíduo que é usar o cliente XP.

  3. No indicador bem-vindo, escolha recuperam um certificado de CA e clicam-no em seguida.

  4. Selecione Base64 que codifica e transfira o certificado de CA.

  5. No indicador emitido certificado, o clique instala este certificado e clica-o em seguida.

  6. Escolha automaticamente seleto a loja do certificado e clique-a em seguida, para a mensagem bem sucedida da importação.

  7. Conecte à autoridade de certificação para recuperar o certificado do Certificate Authority:

    uwn-loc-eap-svr-config-16.gif

  8. Clique o certificado de CA da transferência.

    uwn-loc-eap-svr-config-17.gif

    /image/gif/paws/91628/uwn-loc-eap-svr-config-18.gif

    uwn-loc-eap-svr-config-19.gif

    uwn-loc-eap-svr-config-20.gif

  9. A fim certificar-se do certificado de autorização de certificação esteja instalado corretamente, internet explorer aberto e escolher ferramentas > opções de internet > índice > Certificados.

    uwn-loc-eap-svr-config-21.gif

    uwn-loc-eap-svr-config-22.gif

    Na Autoridade de certificação de raiz confiável, você deve ver sua autoridade de certificação recentemente instalada:

    uwn-loc-eap-svr-config-23.gif

Gerencia um certificado de cliente para um dispositivo do cliente

O cliente deve obter um certificado de um server da autoridade de certificação para que o WLC autentique um cliente do EAP-TLS WLAN. Há diversos métodos que você pode usar a fim obter um certificado de cliente e o instalar na máquina de Windows XP. A fim adquirir um certificado válido, o usuário de Windows XP tem que ser entrado usando seu usuário - identificação e deve ter uma conexão de rede (uma conexão ligada com fio ou uma conexão WLAN com a Segurança do 802.1x desabilitada).

Um navegador da Web no cliente de Windows XP e uma conexão ligada com fio à rede são usados para obter um certificado de cliente do server privado da autoridade de certificação da raiz. Este procedimento é usado para obter o certificado de cliente de um server da autoridade de certificação de Microsoft:

  1. Use um navegador da Web no cliente e aponte o navegador ao server da autoridade de certificação. A fim fazer isto, entre em http://IP-address-of-Root-CA/certsrv.

  2. Entre usando Domain_Name \ user_name. Você deve entrar usando o username do indivíduo que usa o cliente XP. (O username obtém encaixado no certificado de cliente.)

  3. No indicador bem-vindo, escolha o pedido um certificado e clique-o em seguida.

  4. Escolha o pedido avançado e clique-o em seguida.

  5. Escolha submetem um pedido de certificado para este CA usando um formulário e clicam-no em seguida.

  6. No formulário de requisição de certificado avançado, escolha o molde de certificado como o usuário, especificam o tamanho chave como 1024 e o clique submete-se.

  7. No indicador emitido certificado, o clique instala este certificado. Isto conduz à instalação bem-sucedida de um certificado de cliente no cliente de Windows XP.

    uwn-loc-eap-svr-config-24.gif

    uwn-loc-eap-svr-config-25.gif

  8. Selecione o certificado de autenticação de cliente.

    uwn-loc-eap-svr-config-26.gif

    O certificado de cliente é criado agora.

  9. A fim certificar-se do certificado esteja instalado, vá ao internet explorer e escolha ferramentas > opções de internet > índice > Certificados. Na aba pessoal, você deve ver o certificado.

    /image/gif/paws/91628/uwn-loc-eap-svr-config-27.gif

EAP-TLS com o Cisco Secure Services Client no dispositivo do cliente

Conclua estes passos:

  1. O WLC, à revelia, transmite o SSID, assim que mostra-se na lista das redes da criação de SSID feitos a varredura. A fim criar um perfil da rede, você pode clicar o SSID na lista (empresa) e o clique cria a rede.

    Se o infra-estruturo WLAN é configurado com a transmissão SSID desabilitada, você deve manualmente adicionar o SSID. A fim fazer isto, o clique adiciona sob dispositivos de acesso e incorpora manualmente o SSID apropriado (por exemplo, empresa). Configurar o comportamento ativo da ponta de prova para o cliente. Isto é, onde o cliente sonda ativamente para seu SSID configurado. Especifique ativamente a busca para este dispositivo de acesso depois que você incorpora o SSID no indicador do dispositivo de acesso adicionar.

    Nota: As configurações de porta não permitem modos de empreendimento (802.1X) se os ajustes da autenticação de EAP não são primeiros configurados para o perfil.

  2. O clique cria a rede a fim lançar o indicador do perfil da rede, que o permite associar (ou configurado) o SSID escolhido com um mecanismo da autenticação. Atribua um nome descritivo para o perfil.

    Nota: Os tipos múltiplos da Segurança de WLAN e/ou os SSID podem ser associados sob este perfil da autenticação.

    /image/gif/paws/91628/uwn-loc-eap-svr-config-28.gif

  3. Gire sobre a autenticação e verifique o método do EAP-TLS. Clique então configuram a fim configurar propriedades do EAP-TLS.

  4. Sob o sumário da configuração de rede, o clique altera a fim configurar o EAP/ajustes das credenciais.

  5. Especifique gerenciem sobre a autenticação, escolhem o EAP-TLS sob o protocolo, e escolhem o username como a identidade.

  6. Especifique o único sinal do uso em credenciais usar credenciais de logon para a autenticação de rede. O clique configura para estabelecer parâmetros do EAP-TLS.

    uwn-loc-eap-svr-config-29.gif

    uwn-loc-eap-svr-config-30.gif

  7. A fim ter uma configuração que fixada do EAP-TLS você precisa de verificar o certificado de servidor Radius. A fim fazer isto, a verificação valida o certificado de servidor.

    uwn-loc-eap-svr-config-31.gif

  8. A fim validar o certificado de servidor Radius, você precisa de dar a informação do Cisco Secure Services Client a fim aceitar somente o certificado direito. Escolha o cliente > confiou que os server > controlam usuário atual server confiados.

    uwn-loc-eap-svr-config-32.gif

    uwn-loc-eap-svr-config-33.gif

  9. Dê um nome para a regra e verifique o nome do certificado de servidor.

    /image/gif/paws/91628/uwn-loc-eap-svr-config-34.gif

    A configuração do EAP-TLS é terminada.

  10. Conecte ao perfil da rede Wireless. O Cisco Secure Services Client pede o login de usuário:

    uwn-loc-eap-svr-config-35.gif

    O Cisco Secure Services Client recebe o certificado de servidor e verifica-o (com a regra configurada e a autoridade de certificação instalada). Pede então o certificado usar-se para o usuário.

  11. Depois que o cliente autentica, escolha o SSID sob o perfil na aba das redes do controlo e clique o estado para perguntar detalhes da conexão.

    O indicador dos detalhes da conexão fornece a informação no dispositivo do cliente, o status de conexão e as estatísticas, e o método de autenticação. A aba dos detalhes de WiFi fornece detalhes no status de conexão do 802.11, que inclui o RSSI, o canal do 802.11, e a autenticação/criptografia.

    uwn-loc-eap-svr-config-36.gif

    uwn-loc-eap-svr-config-37.gif

    uwn-loc-eap-svr-config-38.gif

Comandos debug

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Estes comandos debug podem ser empregados no WLC para monitorar o progresso da troca da autenticação:

  • debugar eventos aaa permitem

  • debugar o detalhe aaa permitem

  • debugar eventos do dot1x permitem

  • debugar estados do dot1x permitem

  • debugar eventos do eap do local-AUTH aaa permitem

    OU

  • debug aaa all enable


Informações Relacionadas


Document ID: 91628