Sem fio : Controladores de LAN sem fio Cisco 4400 Series

Autenticação de EAP local no controlador do Wireless LAN com exemplo de configuração EAP-FAST e do servidor ldap

16 Janeiro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (20 Dezembro 2015) | Feedback


Índice


Introdução

Este documento explica como configurar o Extensible Authentication Protocol (EAP) - autenticação flexível através da autenticação de EAP local (RÁPIDA) segura do Tunelamento em um controlador do Wireless LAN (WLC). Este documento também explica como configurar o servidor de Lightweight Directory Access Protocol (LDAP) como um banco de dados de backend para EAP Local para retornar as credenciais de usuários e autenticar o usuário.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 4400 Series WLC que executa o firmware 4.2

  • Access point de pouco peso da série do Cisco Aironet 1232AG (REGAÇO)

  • Server de Microsoft Windows 2003 configurado como o controlador de domínio, o server do servidor ldap assim como do Certificate Authority.

  • Adaptador cliente do a/b/g do 802.11 do Cisco Aironet que executa a versão de firmware 4.2

  • Utilitário de desktop do Cisco Aironet (ADU) essa versão de firmware 4.2 das corridas

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

A autenticação de EAP local em controladores do Wireless LAN foi introduzida com versão 4.1.171.0 do controlador do Wireless LAN.

O EAP local é um método de autenticação que permita os usuários e os clientes Wireless a ser autenticados localmente no controlador. É projetado para o uso nos escritórios remotos que querem manter a Conectividade aos clientes Wireless quando o sistema backend se torna interrompido ou o servidor de autenticação externa vai para baixo. Quando você permite o EAP local, o controlador serve como o Authentication Server e a base de dados de usuário local, assim que remove a dependência em um servidor de autenticação externa. O EAP local recupera credenciais do usuário da base de dados de usuário local ou do banco de dados da parte posterior LDAP para autenticar usuários. Os apoios locais EAP autenticação PULAM, EAP-FAST, do EAP-TLS, P EAPv0/MSCHAPv2, e PEAPv1/GTC entre o controlador e os clientes Wireless.

O EAP local pode usar um servidor ldap como seu banco de dados backend para recuperar credenciais do usuário.

Um banco de dados da parte posterior LDAP permite que o controlador pergunte um servidor ldap para as credenciais (nome de usuário e senha) de um usuário particular. Estas credenciais são usadas então para autenticar o usuário.

Os apoios de banco de dados da parte posterior LDAP estes métodos de EAP locais:

  • EAP-FAST/GTC

  • EAP-TLS

  • PEAPv1/GTC.

O PULO, EAP-FAST/MSCHAPv2, e PEAPv0/MSCHAPv2 estão apoiados igualmente, mas somente se o servidor ldap se estabelece para retornar uma senha de texto sem formatação. Por exemplo, o microsoft ative directory não é apoiado porque não retorna uma senha de texto sem formatação. Se o servidor ldap não pode ser configurado para retornar uma senha de texto sem formatação, o PULO, EAP-FAST/MSCHAPv2, e PEAPv0/MSCHAPv2 não estão apoiados.

Nota: Se algum servidor Radius é configurado no controlador, o controlador tenta autenticar os clientes Wireless que usam os servidores Radius primeiramente. O EAP local é tentado somente se nenhum servidor Radius é encontrado, tampouco porque os servidores Radius cronometrados para fora ou nenhum servidor Radius foi configurado. Se quatro servidores Radius são configurados, o controlador tenta autenticar o cliente com o primeiro servidor Radius, então o segundo servidor Radius, e então EAP local. Se as tentativas do cliente de reauthenticate então manualmente, o controlador tentam o terceiro servidor Radius, então o quarto servidor Radius, e então o EAP local.

Este exemplo usa EAP-FAST como o método de EAP local no WLC, que é configurado por sua vez para perguntar o banco de dados da parte posterior LDAP para credenciais do usuário de um cliente Wireless.

Configurar

Este documento usa EAP-FAST com os Certificados no cliente e no lado de servidor. Para isto, a instalação usa o server de Microsoft Certificate Authority (CA) para gerar os Certificados de cliente e servidor.

As credenciais do usuário são armazenadas no servidor ldap de modo que na validação certificada bem sucedida, o controlador pergunte o servidor ldap a fim recuperar as credenciais do usuário e autentique o cliente Wireless.

Este documento supõe que estas configurações são já no lugar:

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/100590/ldap-eapfast-config1.gif

Configurações

Termine estas etapas a fim executar esta configuração:

Configurar EAP-FAST como o método de autenticação de EAP local no WLC

Como mencionado mais cedo, este documento usa EAP-FAST com os Certificados no cliente e no lado de servidor como o método de autenticação de EAP local. A primeira etapa é transferir e instalar os seguintes Certificados ao server (WLC, neste caso) e ao cliente.

O WLC e o cliente cada necessidade estes Certificados de ser transferido do server de CA:

  • Certificado do dispositivo (um para o WLC e um para o cliente)

  • Certificado de raiz do Public Key Infrastructure (PKI) para o WLC, e certificado de CA para o cliente

Gere um certificado do dispositivo para o WLC

Execute estas etapas a fim gerar um certificado do dispositivo para o WLC do server de CA. Este certificado do dispositivo é usado pelo WLC para autenticar ao cliente.

  1. Vá a http:// < ao endereço IP de Um ou Mais Servidores Cisco ICM NT de CA server>/certsrv de seu PC que tem uma conexão de rede ao server de CA. Entre como o administrador do server de CA.

    ldap-eapfast-config2.gif

  2. Selecione o pedido um certificado.

    ldap-eapfast-config3.gif

  3. No pedido uma página do certificado, clica pedido do certificado avançado.

    /image/gif/paws/100590/ldap-eapfast-config4.gif

  4. Na página avançada do pedido do certificado, o clique cria e submete um pedido a este CA. Isto toma-o ao formulário de requisição de certificado avançado.

    ldap-eapfast-config5.gif

  5. No formulário de requisição de certificado avançado, escolha o servidor de Web como o molde de certificado. Então, especifique um nome a este certificado do dispositivo.

    Este os exemplos usam o nome do certificado como ciscowlc123. Preencha a outra informação de identificação conforme sua exigência.

  6. Sob as opções chaves seccione, selecione as chaves de Mark como a Opção exportável. Às vezes, esta opção particular será desabilitada para fora e não pode ser permitida ou desabilitado se você escolhe um molde do servidor de Web. Nesses casos, clique para trás do menu do navegador para ir uma parte traseira da página e para vir outra vez para trás a esta página. Esta vez Mark fecha enquanto a Opção exportável deve estar disponível.

    ldap-eapfast-config6.gif

  7. Configurar todos os campos necessários restantes e o clique submete-se.

    ldap-eapfast-config7.gif

  8. Clique sim na próxima janela a fim permitir o processo do pedido do certificado.

    ldap-eapfast-config8.gif

  9. O indicador emitido certificado aparece que indica um processo bem sucedido do pedido do certificado. A próxima etapa é instalar o certificado emitido à loja do certificado deste PC. Clique em Instalar este certificado.

    ldap-eapfast-config9.gif

  10. O certificado novo é instalado com sucesso ao PC de onde o pedido é gerado ao server de CA.

    ldap-eapfast-config10.gif

  11. A próxima etapa é exportar este certificado da loja do certificado para o disco rígido como um arquivo. Este arquivo certificado será usado mais tarde para transferir o certificado ao WLC.

    A fim exportar o certificado da loja do certificado, abra o navegador do internet Explorer, a seguir clique ferramentas > opções de internet.

    /image/gif/paws/100590/ldap-eapfast-config11.gif

  12. O índice > os Certificados do clique a fim ir ao certificado armazenam onde os Certificados são instalados à revelia.

    /image/gif/paws/100590/ldap-eapfast-config12.gif

  13. Os Certificados do dispositivo são instalados geralmente sob a lista do certificado pessoal. Aqui, você deve ver o certificado recentemente instalado. Selecione o certificado e clique a exportação.

    ldap-eapfast-config13.gif

  14. Clique em seguida nos seguintes indicadores. Escolha o Yes, exporte a opção da chave privada no wizard do assistente da exportação do certificado. Clique em Next.

    ldap-eapfast-config14.gif

  15. Escolha o formato do arquivo da exportação como o .PFX e escolha a opção de proteção forte da possibilidade. Clique em Next.

    ldap-eapfast-config15.gif

  16. Na janela de senha, incorpore uma senha. Este exemplo usa Cisco como a senha.

    ldap-eapfast-config16.gif

  17. Salvar o arquivo certificado (arquivo do .PFX) a seu disco rígido. Clique em seguida e termine o processo da exportação com sucesso.

    /image/gif/paws/100590/ldap-eapfast-config17.gif

    ldap-eapfast-config18.gif

Transferindo o certificado do dispositivo no WLC

Agora que o certificado do dispositivo WLC está disponível como um arquivo do .PFX, a próxima etapa é transferir o arquivo ao controlador. Cisco WLC aceita Certificados somente no formato do .PEM. Consequentemente, você precisa de converter primeiramente o erro de arquivo do .PFX ou do PKCS12 a um arquivo PEM usando o programa do OpenSSL.

Converta o certificado em PFX ao formato PEM usando o programa do OpenSSL

Você pode copiar o certificado a todo o PC onde você tem o OpenSSL instalado para o converter ao formato PEM. Incorpore estes comandos no arquivo Openssl.exe ao dobrador do escaninho do programa do OpenSSL:

Nota: Você pode transferir o OpenSSL do Web siteleavingcisco.com do OpenSSL.

openssl>pkcs12 -in ciscowlc123.pfx  -out ciscowlc123.pem


!--- ciscowlc123 is the name used in this example for the exported file. 
!--- You can specify any name to your certificate file.
 
Enter Import Password : cisco

!--- This is the same password that is mentioned in step 16 of the previous section.

 MAC verified Ok
 Enter PEM Pass phrase   :  cisco

!--- Specify any passphrase here. This example uses the PEM passphrase as cisco.

 Verifying - PEM pass phrase : cisco

O arquivo certificado é convertido ao formato PEM. A próxima etapa é transferir o certificado do dispositivo de formatação PEM ao WLC.

Nota: Antes isso, você precisa um software do servidor de TFTP em seu PC de onde o arquivo PEM está indo ser transferido. Este PC deve ter a Conectividade ao WLC. O servidor TFTP deve ter seu diretório atual e baixo especificado com o lugar onde o arquivo PEM é armazenado.

Transfira o certificado convertido do dispositivo de formatação PEM ao WLC

Este exemplo explica o processo da transferência com o CLI do WLC.

  1. Início de uma sessão ao controlador CLI.

  2. Incorpore o comando do eapdevcert do datatype da transferência de transferência.

  3. Incorpore o comando de 10.77.244.196 do serverip da transferência de transferência.

    10.77.244.196 é o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor TFTP.

  4. Incorpore o comando do nome de arquivo ciscowlc.pem da transferência de transferência.

    ciscowlc123.pem é o nome de arquivo usado neste exemplo.

  5. Incorpore o comando do certpassword da transferência de transferência ajustar a senha para o certificado.

  6. Inscreva o comando transfer download start ver os ajustes actualizados.

    Então, resposta y quando alertado para confirmar as configurações atual e para começar o processo da transferência.

    Este exemplo mostra o comando download output:

    (Cisco Controller) >transfer download start
    
    Mode............................................. TFTP
    Data Type........................................ Vendor Dev Cert
    TFTP Server IP................................... 10.77.244.196
    TFTP Packet Timeout.............................. 6
    TFTP Max Retries................................. 10
    TFTP Path........................................
    TFTP Filename.................................... ciscowlc.pem
    
    This may take some time.
    Are you sure you want to start? (y/N) y
    TFTP EAP CA cert transfer starting.
    Certificate installed.
    Reboot the switch to use the new certificate.
    Enter the reset system command to reboot the controller. 
         The controller is now loaded with the device certificate.
  7. Inscreva o comando reset system recarregar o controlador. O controlador é carregado agora com o certificado do dispositivo.

Instale o certificado de raiz do PKI no WLC

Agora que o certificado do dispositivo é instalado no WLC, a próxima etapa é instalar o certificado de raiz do PKI ao WLC do server de CA. Execute estas etapas:

  1. Vá a http:// < ao endereço IP de Um ou Mais Servidores Cisco ICM NT de CA server>/certsrv de seu PC que tem uma conexão de rede ao server de CA. Entre como o administrador do server de CA.

    ldap-eapfast-config19.gif

  2. Clique a transferência um certificado de CA, um certificate chain, ou um CRL.

    /image/gif/paws/100590/ldap-eapfast-config20.gif

  3. Na página resultante, você pode ver os certificados de CA atuais disponíveis no server de CA sob a caixa do certificado de CA. Escolha o DER como o método de codificação e clique o certificado de CA da transferência.

    ldap-eapfast-config21.gif

  4. Salvar o certificado como um arquivo de .cer. Este exemplo usa certnew.cer como o nome de arquivo.

  5. A próxima etapa é converter o arquivo de .cer ao formato PEM e transferi-lo ao controlador. A fim executar estas etapas, repita o mesmo procedimento explicado no fazendo download o certificado do dispositivo à seção WLC com estas mudanças:

    • O OpenSSL “- em” e “- para fora” arquivos é certnew.cer e certnew.pem.

      Também, nenhuma frase de acesso PEM ou senha da importação são exigidas neste processo.

    • Também, o comando do OpenSSL converter o arquivo de .cer ao arquivo do .pem é:

      x509 - em certnew.cer - informam o DER - para fora certnew.pem - o outform PEM

    • Em etapa 2 da transferência o certificado convertido do dispositivo de formatação PEM à seção WLC, o comando transferir o certificado ao WLC é:

      (Eapcacert do datatype da transferência do >transfer do controlador de Cisco)

    • O arquivo a ser transferido ao WLC é certnew.pem.

Você pode verificar se os Certificados estão instalados no WLC do controlador GUI como segue:

  • Do WLC GUI, Segurança do clique. Na página da Segurança, o clique avançou > IPsec Certs das tarefas que aparecem à esquerda. Certificado de CA do clique a fim ver o certificado de CA instalado. Está aqui o exemplo:

    ldap-eapfast-config22.gif

  • A fim verificar se o certificado do dispositivo está instalado no WLC, do WLC GUI, Segurança do clique. Na página da Segurança, o clique avançou > IPsec Certs das tarefas que aparecem à esquerda. Certificado do clique ID a fim ver o certificado do dispositivo instalado. Está aqui o exemplo:

    ldap-eapfast-config23.gif

Gere um certificado do dispositivo para o cliente

Agora que o certificado do dispositivo e o certificado de CA são instalados no WLC, a próxima etapa é gerar estes Certificados para o cliente.

Execute estas etapas a fim gerar o certificado do dispositivo para o cliente. Este certificado será usado pelo cliente para autenticar ao WLC. Este documento explica as etapas envolvidas em gerar Certificados para o cliente profissional de Windows XP.

  1. Vá a http:// < ao endereço IP de Um ou Mais Servidores Cisco ICM NT de CA server>/certsrv do cliente que exige o certificado ser instalado. Entre como o Domain Name \ username ao server de CA. O username deve ser o nome do usuário que está usando esta máquina XP, e o usuário deve já ser configurado como parte do mesmo domínio que o server de CA.

    ldap-eapfast-config24.gif

  2. Selecione o pedido um certificado.

    ldap-eapfast-config25.gif

  3. No pedido uma página do certificado, clica pedido do certificado avançado.

    /image/gif/paws/100590/ldap-eapfast-config26.gif

  4. Na página avançada do pedido do certificado, o clique cria e submete um pedido a este CA. Isto toma-o ao formulário de requisição de certificado avançado.

    ldap-eapfast-config27.gif

  5. No formulário de requisição de certificado avançado, escolha o usuário do menu suspenso do molde de certificado.

    Sob as opções chaves seccione, escolha estes parâmetros:

    Entre no Sizein chave o campo do tamanho chave. Este exemplo usa 1024.

    Verifique as chaves de Mark como a Opção exportável.

    /image/gif/paws/100590/ldap-eapfast-config28.gif

  6. Configurar todos os campos necessários restantes e o clique submete-se.

    ldap-eapfast-config29.gif

  7. O certificado do dispositivo do cliente é gerado agora conforme o pedido. O clique instala o certificado a fim instalar o certificado à loja do certificado.

    ldap-eapfast-config30.gif

  8. Você deve poder encontrar o certificado do dispositivo do cliente instalado sob a lista do certificado pessoal sob ferramentas > opções de internet > índice > Certificados no navegador IE do cliente.

    /image/gif/paws/100590/ldap-eapfast-config31.gif

    O certificado do dispositivo para o cliente é instalado no cliente.

Gere o certificado CA raiz para o cliente

A próxima etapa é gerar o certificado de CA para o cliente. Termine estas etapas do PC cliente:

  1. Vá a http:// < ao endereço IP de Um ou Mais Servidores Cisco ICM NT de CA server>/certsrv do cliente que exige o certificado ser instalado. Entre como o Domain Name \ username ao server de CA. O username deve ser o nome do usuário que está usando esta máquina XP, e o usuário deve já ser configurado como parte do mesmo domínio que o server de CA.

    ldap-eapfast-config32.gif

  2. Na página resultante, você pode ver os certificados de CA atuais disponíveis no server de CA sob a caixa do certificado de CA. Escolha Base64 como o método de codificação. Então, o certificado de CA da transferência do clique e salvar o arquivo ao PC do cliente como um arquivo de .cer. Este exemplo usa rootca.cer como o nome de arquivo.

    /image/gif/paws/100590/ldap-eapfast-config33.gif

  3. Em seguida, instale o certificado de CA salvar no formato de .cer à loja do certificado de cliente. Fazer duplo clique no arquivo de rootca.cer e o clique instala o certificado.

    ldap-eapfast-config34.gif

  4. Clique em seguida a fim importar o certificado do disco rígido do cliente à loja do certificado.

    ldap-eapfast-config35.gif

  5. Escolha automaticamente seleto a loja do certificado baseada no tipo de certificado e clique-a em seguida.

    ldap-eapfast-config36.gif

  6. Clique o revestimento a fim terminar o processo da importação.

    /image/gif/paws/100590/ldap-eapfast-config37.gif

  7. À revelia, os certificados de CA são instalados sob a lista de Autoridades de certificação de raiz confiável no navegador IE do cliente sob ferramentas > opções de internet > índice > Certificados. Está aqui o exemplo:

    /image/gif/paws/100590/ldap-eapfast-config38.gif

Todos os Certificados exigidos são instalados no WLC assim como no cliente para a autenticação de EAP local EAP-FAST. A próxima etapa é configurar o WLC para a autenticação de EAP local.

Configurar o EAP local no WLC

Termine estas etapas do modo GUI WLC a fim configurar a autenticação de EAP local no WLC:

  1. Clique a Segurança > EAP local.

    /image/gif/paws/100590/ldap-eapfast-config39.gif

  2. Sob o EAP local, perfis do clique a fim configurar o perfil local EAP.

    ldap-eapfast-config40.gif

  3. Clique novo a fim criar um perfil novo do Local EAP.

  4. Configurar um nome para este perfil e o clique aplica-se. Neste exemplo, o nome de perfil é ldap. Isto toma-o aos perfis locais EAP criados no WLC.

    ldap-eapfast-config41.gif

  5. Clique o perfil do ldap que foi criado apenas, que aparece sob o campo de nome de perfil da página local dos perfis EAP. Isto toma-o aos perfis locais EAP > edita a página.

    /image/gif/paws/100590/ldap-eapfast-config42.gif

  6. Configurar os parâmetros específicos a este perfil nos perfis locais EAP > editam a página.

    • Escolha EAP-FAST como o método de autenticação de EAP local.

    • Permita as caixas de seleção ao lado do certificado local exigido e do certificado de cliente exigido.

    • Escolha o vendedor como o expedidor do certificado porque este documento usa um server de CA da terceira parte.

    • Permita a caixa de verificação ao lado da verificação contra certificados de CA a fim permitir que o certificado entrante do cliente seja validado contra os certificados de CA no controlador.

    • Se você quer o Common Name (CN) no certificado entrante ser validado contra o CN dos certificados de CA no controlador, verifique a caixa de verificação da identidade do CN do certificado da verificação. A configuração padrão está desabilitada. A fim permitir que o controlador verifique que o certificado entrante do dispositivo está ainda válido e não expirou, verifique a caixa de verificação de validade da data do certificado da verificação.

      Nota: A validez da data do certificado é verificada contra o tempo atual UTC (GMT) que é configurado no controlador. O offset da zona de hora (fuso horário) é ignorado.

    Clique em Apply.

    ldap-eapfast-config43.gif

  7. O perfil local EAP com autenticação EAP-FAST é criado agora no WLC.

    /image/gif/paws/100590/ldap-eapfast-config44.gif

  8. A próxima etapa é configurar parâmetros específicos EAP-FAST no WLC. Na página da Segurança WLC, clique local EAP > parâmetros EAP-FAST a fim mover-se para a página EAP-FAST dos parâmetros do método.

    Desmarcar a caixa de verificação anónima da disposição porque este exemplo explica Certificados de utilização EAP-FAST. Deixe todos parâmetros restantes em seus padrões. Clique em Apply.

    ldap-eapfast-config45.gif

Configurar o WLC com detalhes de servidor ldap

Agora que o WLC é configurado com o perfil local e informação relacionada EAP, a próxima etapa é configurar o WLC com detalhes do servidor ldap. Termine estas etapas no WLC:

  1. Na página da Segurança do WLC, selecione AAA > LDAP da placa da tarefa do lado esquerdo a fim mover-se para a página de configuração do servidor ldap. A fim adicionar um servidor ldap, clique novo. Os servidores ldap > página nova aparecem.

    /image/gif/paws/100590/ldap-eapfast-config46.gif

  2. Nos servidores ldap edite a página, especificam os detalhes do servidor ldap tais como o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor ldap, número de porta, permitem o status de servidor e assim por diante.

    • Escolha um número da caixa suspensa do deslocamento predeterminado do server (prioridade) especificar a ordem da prioridade deste server com relação a todos os outros servidores ldap configurados. Você pode configurar até dezessete server. Se o controlador não pode alcançar o primeiro server, tenta segundo na lista e assim por diante.

    • Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor ldap ao campo de endereço IP do servidor.

    • Inscreva o número de porta de TCP do servidor ldap no campo de número de porta. O intervalo válido é 1 a 65535, e o valor padrão é 389.

    • No campo da base do usuário DN, dê entrada com o nome destacado (DN) do subtree no servidor ldap que contém uma lista de todos os usuários. Por exemplo, unidade do ou=organizational, unidade organizacional .ou=next, e o=corporation.com. Se a árvore que contém usuários é a base DN, entre no=corporation.com ou em dc=corporation, dc=com.

      Neste exemplo, o usuário é ficado situado sob o ldapuser da unidade organizacional (OU) que é criado por sua vez como parte do domínio de Wireless.com.

      A base do usuário DN deve apontar o caminho cheio onde a informação sobre o usuário (credenciais do usuário conforme o método de autenticação EAP-FAST) é encontrada. Neste exemplo, o usuário é ficado situado sob a base DN OU=ldapuser, DC=Wireless, dc=com.

      Mais detalhes no OU, assim como a configuração do usuário, são explicados nos usuários criadores na seção do controlador de domínio deste documento.

    • No campo do atributo de usuário, dê entrada com o nome do atributo no registro de usuário que contém o username.

      No tipo de objeto do usuário campo, incorpore o valor do atributo do objectType LDAP que identifica o registro como um usuário. Frequentemente, os registros de usuário têm diversos valores para o atributo do objectType, alguns de que são originais ao usuário e alguns de que são compartilhados com outros tipos de objeto.

      Nota:  Você pode obter o valor destes dois campos de seu servidor de diretório com a utilidade do navegador LDAP, que vem como parte de Windows 2003 ferramentas de suporte. Esta ferramenta do navegador de Microsoft LDAP é chamada LDP. Com a ajuda desta ferramenta, você pode conhecer a base do usuário DN, o atributo de usuário, e o tipo de objeto do usuário campos deste usuário particular. A informação detalhada sobre a utilização do LDP para conhecer estes atributos específicos do usuário é discutida no LDP de utilização para identificar a seção dos atributos de usuário deste documento.

    • Escolha seguro da caixa suspensa do modo de servidor se você quer todas as transações LDAP usar um túnel seguro TLS. Se não, não escolha nenhum, que é a configuração padrão.

    • No campo do timeout de servidor, incorpore o número de segundos entre retransmissões. O intervalo válido é 2 a 30 segundos, e o valor padrão é 2 segundos.

    • Verifique a caixa de verificação do status de servidor da possibilidade para permitir este servidor ldap, ou desmarcar-la para desabilitar. O valor padrão é desabilitado.

    • O clique aplica-se para comprometer suas mudanças.

      Está aqui um exemplo já configurado com esta informação:

    ldap-eapfast-config47.gif

    Agora que os detalhes sobre o servidor ldap são configurados no WLC, a próxima etapa é configurar o LDAP como o banco de dados da parte posterior da prioridade de modo que o WLC olhe primeiramente ao banco de dados LDAP para credenciais do usuário um pouco do que todos os outros bancos de dados.

Configurar o LDAP como o banco de dados da parte posterior da prioridade

Termine estas etapas no WLC a fim configurar o LDAP como o banco de dados da parte posterior da prioridade:

  1. Na página da Segurança, clique local EAP > prioridade da autenticação. Na página da ordem > do Local-AUTH da prioridade, você pode encontrar dois bancos de dados (Local e LDAP) que podem armazenar as credenciais do usuário.

    A fim fazer o LDAP como o banco de dados da prioridade, para escolher o LDAP das credenciais do usuário do lado esquerdo encaixota e clica > botão a fim mover o LDAP para a caixa da ordem da prioridade no lado direito.

    /image/gif/paws/100590/ldap-eapfast-config48.gif

  2. Este exemplo ilustra claramente que o LDAP está escolhido na caixa do lado esquerdo e > o botão está selecionado. Como o resultado, o LDAP é movido para a caixa no lado direito que decide a prioridade. O banco de dados LDAP é escolhido como o banco de dados da Autenticação-prioridade.

    Clique em Apply.

    ldap-eapfast-config49.gif

    Nota: Se o LDAP e o LOCAL aparecem na caixa das credenciais do usuário correto com o LDAP na parte superior e no LOCAL na parte inferior, o EAP local tenta autenticar os clientes que usam o banco de dados da parte posterior LDAP e falha sobre à base de dados de usuário local se os servidores ldap não são alcançáveis. Se o usuário não é encontrado, a tentativa de autenticação está rejeitada. Se o LOCAL está na parte superior, o EAP local tenta autenticar usando somente a base de dados de usuário local. Não falha sobre ao banco de dados da parte posterior LDAP.

Configurar o WLAN no WLC com autenticação de EAP local

A última etapa no WLC é configurar um WLAN que use o EAP local como seu método de autenticação com o LDAP como seu banco de dados backend. Execute estas etapas:

  1. Do menu principal do controlador, clique WLAN a fim mover-se para a página de configuração WLAN. Nos WLAN pagine, clique novo a fim criar um WLAN novo. Este exemplo cria um ldap novo WLAN.

    O clique aplica a próxima etapa é configurar os parâmetros WLAN no WLAN > edita a página.

  2. No WLAN edite a página, permitem o estado deste WLAN. Configurar todos os parâmetros necessários restantes.

    ldap-eapfast-config51.gif

  3. Clique a Segurança a fim configurar os parâmetros relativos à segurança para este WLAN. Este exemplo usa a Segurança da camada 2 como o 802.1x com 104 bit WEP dinâmico.

    Nota: Este documento usa o 802.1x com WEP dinâmico como um exemplo. Recomenda-se usar uns métodos de autenticação mais seguros, tais como WPA/WPA2.

  4. Na página de configuração da Segurança de WLAN, aba dos server do theAAA do clique. Nos servidores AAA pagine, permita o método de autenticação de EAP local e escolha o ldap da caixa suspensa que corresponde ao parâmetro do nome de perfil EAP. Este é o perfil local EAP criado neste exemplo.

    ldap-eapfast-config52.gif

  5. Escolha o servidor ldap (de que foi configurado previamente no WLC) da caixa suspensa. Certifique-se de que o servidor ldap é alcançável do WLC.

    Clique em Apply.

    /image/gif/paws/100590/ldap-eapfast-config53.gif

  6. Os ldaphas novos WLAN configurado no WLC. Este WLAN autentica clientes com a autenticação de EAP local (EAP-FAST neste caso) e pergunta um banco de dados da parte posterior LDAP para a validação das credenciais do cliente.

    /image/gif/paws/100590/ldap-eapfast-config54.gif

Configurar o servidor ldap

Agora que o EAP local é configurado no WLC, a próxima etapa é configurar o servidor ldap que serve como um banco de dados backend para autenticar os clientes Wireless em cima da validação certificada bem sucedida.

A primeira etapa em configurar o servidor ldap é criar uma base de dados de usuário no servidor ldap de modo que o WLC possa perguntar este banco de dados para autenticar o usuário.

Criando usuários no controlador de domínio

Neste exemplo, um ldapuser novo OU é criado e o usuário user2 é criado sob este OU. Configurando este usuário para o acesso LDAP, o WLC pode perguntar este banco de dados LDAP para a autenticação de usuário.

O domínio usado neste exemplo é wireless.com.

Crie uma base de dados de usuário sob um OU

Esta seção explica como criar um OU novo em seu domínio e criar um novo usuário neste OU.

  1. No controlador de domínio, no Iniciar > Programas > Ferramentas Administrativas > Usuários e Computadores de Diretório Ativo do clique a fim lançar o console de gerenciamento dos usuários e dos computadores de diretório ativo.

  2. Clicar com o botão direito em seu Domain Name (wireless.com, neste exemplo), a seguir selecione novo > unidade organizacional do menu do contexto a fim criar um OU novo.

    ldap-eapfast-config55.gif

  3. Atribua um nome a este OU e clique a APROVAÇÃO.

    /image/gif/paws/100590/ldap-eapfast-config56.gif

Agora que o ldapuser novo OU é criado no servidor ldap, a próxima etapa é criar o usuário user2 sob este OU. A fim conseguir isto, termine estas etapas:

  1. Clicar com o botão direito no OU novo criado. Selecione novo > usuário dos menus resultantes do contexto a fim criar um novo usuário.

    /image/gif/paws/100590/ldap-eapfast-config57.gif

  2. Na página da instalação de usuário, preencha os campos requerido segundo as indicações deste exemplo. Este exemplo tem user2 como o nome de logon do usuário.

    Este é o username que será verificado no banco de dados LDAP para autenticar o cliente. Este exemplo usa o abcd como o nome e o sobrenome. Clique em Next.

    ldap-eapfast-config58.gif

  3. Incorpore uma senha e confirme a senha. Escolha a senha nunca expira opção e clicam em seguida.

    ldap-eapfast-config59.gif

  4. Clique em Finish.

    Um novo usuário user2 é criado sob o ldapuser OU. As credenciais do usuário são:

    • nome de usuário: user2

    • senha: Laptop123

    ldap-eapfast-config60.gif

Agora que o usuário sob um OU é criado, a próxima etapa é configurar este usuário para o acesso LDAP.

Configurar o usuário para o acesso LDAP

Execute as etapas nesta seção a fim configurar um usuário para o acesso LDAP.

Permita a característica anónima do ligamento no server de Windows 2003

Para que todos os aplicativos de terceiros alcancem Windows 2003 AD no LDAP, a característica anónima do ligamento deve ser permitida em Windows 2003. À revelia, as operações de LDAP anónimas não são permitidas em Windows 2003 controladores de domínio.

Execute estas etapas a fim permitir a característica anónima do ligamento:

  1. Lance o ADSI editam a ferramenta do Iniciar > Executar > do tipo do lugar: ADSI Edit.msc. Esta ferramenta é parte de Windows 2003 ferramentas de suporte.

  2. No ADSI edite o indicador, expandem o domínio da raiz ([tsweb-lapt.Wireless.com] da configuração).

    Expanda CN=Services > Windows NT CN= > serviço de CN=Directory. Clicar com o botão direito o recipiente do serviço de CN=Directory e selecione propriedades do menu do contexto.

    /image/gif/paws/100590/ldap-eapfast-config61.gif

  3. No CN=Directory preste serviços de manutenção à janela de propriedades, clique o atributo do dsHeuristics sob o campo do atributo e escolha-o editam. Na janela de editor do atributo da corda deste atributo, incorpore o valor 0000002 e o clique aplica-se e APROVA-SE. A característica anónima do ligamento é permitida no server de Windows 2003.

    Nota: O último (sétimo) caráter é esse que controla a maneira que você pode ligar ao serviço LDAP. "0" ou nenhuns sétimos caractere significam que as operações de LDAP anónimas estão desabilitadas. Ajustar o sétimo caractere a "2" permite a característica anónima do ligamento.

    /image/gif/paws/100590/ldap-eapfast-config62.gif

    Nota: Se este atributo já contém um valor, certifique-se que você está mudando somente o sétimo caractere da esquerda. Este é o único caráter que precisa de ser mudado a fim permitir ligamentos anónimos. Por exemplo, se o valor atual é "0010000", você precisará de mudá-lo a "0010002". Se o valor atual é menos de sete caráteres, você precisará de pôr dentro zero os lugares não usados: "001" transformar-se-á "0010002".

Concedendo a acesso ANÓNIMO do FAZER LOGON ao usuário "user2"

A próxima etapa é conceder o acesso ANÓNIMO do FAZER LOGON ao usuário user2. Termine estas etapas a fim conseguir isto:

  1. Abra usuários e computadores de diretório ativo.

  2. Certifique-se que recursos avançados da vista está verificada.

  3. Navegue ao usuário user2 e clicar-la com o botão direito. Selecione propriedades do menu do contexto. Este usuário é identificado com o nome “abcd”.

    ldap-eapfast-config63.gif

  4. Vá à Segurança na janela de propriedades do abcd.

    /image/gif/paws/100590/ldap-eapfast-config64.gif

  5. O clique adiciona no indicador resultante.

  6. Incorpore o FAZER LOGON ANÓNIMO sob a entrada os nomes de objeto para selecionar a caixa e reconhecer o diálogo.

    /image/gif/paws/100590/ldap-eapfast-config65.gif

  7. No ACL, você observará que o FAZER LOGON ANÓNIMO tem o acesso a alguns grupos da propriedade do usuário. Clique em OK. O acesso ANÓNIMO do FAZER LOGON é concedido neste usuário.

    /image/gif/paws/100590/ldap-eapfast-config66.gif

Conceder a lista satisfaz a permissão no OU

A próxima etapa é conceder pelo menos a permissão dos índices da lista ao FAZER LOGON ANÓNIMO no OU que o usuário está encontrado. Neste exemplo, "user2" é ficado situado no OU “ldapuser”. Termine estas etapas a fim conseguir isto:

  1. Em usuários e em computadores de diretório ativo, clicar com o botão direito o ldapuser OU e escolha propriedades.

    /image/gif/paws/100590/ldap-eapfast-config67.gif

  2. Segurança do clique e avançado então.

    /image/gif/paws/100590/ldap-eapfast-config68.gif

  3. Clique em Add. No diálogo que abre, incorpore o FAZER LOGON ANÓNIMO.

    ldap-eapfast-config69.gif

  4. Reconheça o diálogo. Isto abre uma janela de diálogo nova.

  5. Na aplicação na caixa suspensa, escolha este objeto somente e permita os índices da lista permitem a caixa de verificação.

    /image/gif/paws/100590/ldap-eapfast-config70.gif

Usando o LDP para identificar os atributos de usuário

Esta ferramenta GUI é um cliente de LDAP que permita que os usuários executem operações (como conecte, ligue, procure, altere, adicionar, supressão) contra todo o diretório LDAP-compatível, tal como o diretório ativo. O LDP é usado aos objetos de vista armazenados no diretório ativo junto com seus metadata, tais como descritores de segurança e metadata da replicação.

A ferramenta LDP GUI é incluída quando você instala Windows Server 2003 ferramentas de suporte do CD do produto. Esta seção explica usando a utilidade LDP para identificar os atributos específicos associados ao usuário user2. Alguns destes atributos são usados para preencher os parâmetros de configuração do servidor ldap no WLC, tal como o tipo do atributo de usuário e o tipo de objeto do usuário.

  1. No server de Windows 2003 (mesmo no mesmo servidor ldap), clique o Iniciar > Executar e incorpore o LDP a fim alcançar o navegador LDP.

  2. Na janela principal LDP, a conexão do clique > conecta e conecta ao servidor ldap incorporando o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor ldap.

    /image/gif/paws/100590/ldap-eapfast-config71.gif

  3. Conectado uma vez ao servidor ldap, à vista seleta do menu principal e à árvore do clique.

    ldap-eapfast-config72.gif

  4. No indicador resultante da vista de árvore, entre no BaseDN do usuário. Neste exemplo, user2 é ficado situado sob o OU “ldapuser” sob o domínio Wireless.com. Consequentemente, o BaseDN para o usuário user2 é OU=ldapuser, dc=wireless, dc=com. Clique em OK.

    /image/gif/paws/100590/ldap-eapfast-config73.gif

  5. O lado esquerdo do navegador LDP indica a árvore inteira que aparece sob o BaseDN especificado (OU=ldapuser, dc=wireless, dc=com). Expanda a árvore para encontrar o usuário user2. Este usuário pode ser identificado com o valor do CN que representa o nome do usuário. Neste exemplo, é CN=abcd. Clique duas vezes CN=abcd. Na placa do lado direito do navegador LDP, o LDP indicará todos os atributos associados com o user2. Este exemplo explica esta etapa:

    ldap-eapfast-config74.gif

    Neste exemplo, observe os campos cercados à direita.

  6. Como mencionado configurar WLC com detalhes de seção do servidor ldap deste documento, no campo do atributo de usuário, dê entrada com o nome do atributo no registro de usuário que contém o username.

    Desta saída LDP, você pode ver que o sAMAccountName é um atributo que contém o username "user2". , Incorpore consequentemente o atributo do sAMAccountName que corresponde ao campo do atributo de usuário no WLC.

  7. No tipo de objeto do usuário campo, incorpore o valor do atributo do objectType LDAP que identifica o registro como um usuário. Frequentemente, os registros de usuário têm diversos valores para o atributo do objectType, alguns de que são originais ao usuário e alguns de que são compartilhados com outros tipos de objeto.

    Na saída LDP, CN=Person é um valor que identifica o registro como um usuário. , Especifique consequentemente a pessoa como o tipo atributo do objeto do usuário no WLC.

Configurar o cliente Wireless

A última etapa é configurar o cliente Wireless para a autenticação EAP-FAST com Certificados de cliente e servidor. Termine estas etapas a fim conseguir isto:

  1. Lance o utilitário de desktop do Cisco Aironet (ADU). Na janela principal ADU, clique o Gerenciamento do perfil > novo a fim criar um perfil novo do cliente Wireless.

    ldap-eapfast-config75.gif

  2. Especifique um nome de perfil e atribua um nome SSID a este perfil. Este nome SSID deve ser o mesmo configurado no WLC. Neste exemplo, o nome SSID é ldap.

    ldap-eapfast-config76.gif

  3. Clique a ABA de segurança e escolha 802.1x/EAP como a Segurança da camada 2. Escolha EAP-FAST como o método de EAP e o clique configura.

  4. Na página de configuração EAP-FAST, escolha o certificado de cliente TLS da caixa suspensa EAP-FAST do método de autenticação e o clique configura.

    ldap-eapfast-config77.gif

  5. Na janela de configuração do certificado de cliente TLS:

    ldap-eapfast-config78.gif

O perfil do cliente Wireless é criado.

Verificar

Execute estas etapas a fim verificar se sua configuração trabalha corretamente.

  1. Ative o ldap SSID no ADU.

  2. Clique sim ou ESTÁ BEM como necessário nas próximas janelas. Você deve poder ver todas as etapas da authenticação do cliente assim como da associação para ser bem sucedidas no ADU.

Use esta seção para confirmar se a sua configuração funciona corretamente. Use o modo de CLI WLC.

  • A fim verificar se o WLC pode se comunicar com o servidor ldap e encontrar o usuário, especifique o comando enable do ldap aaa debugar do WLC CLI. Este exemplo explica um processo de uma comunicação bem sucedida LDAP:

    Nota: Alguma da saída nesta seção foi segundas linhas movidas devido à consideração do espaço.

    (O ldap aaa do >debug do controlador de Cisco) permite

    Sun Jan 27 09:23:46 2008: AuthenticationRequest: 0xba96514
    Sun Jan 27 09:23:46 2008:       Callback.....................................0x8
    344900      
    Sun Jan 27 09:23:46 2008:       protocolType.................................0x0
    0100002
    Sun Jan 27 09:23:46 2008:       proxyState...................................00:
    40:96:AC:E6:57-00:00
    Sun Jan 27 09:23:46 2008:       Packet contains 2 AVPs (not shown)
    Sun Jan 27 09:23:46 2008: ldapTask [1] received msg 'REQUEST' (2) in state 'IDLE' (1)
    Sun Jan 27 09:23:46 2008: LDAP server 1 changed state to INIT
    Sun Jan 27 09:23:46 2008: ldapInitAndBind [1] called lcapi_init (rc = 0 - Success)
    Sun Jan 27 09:23:46 2008: ldapInitAndBind [1] called lcapi_bind (rc = 0 - Success)
    Sun Jan 27 09:23:46 2008: LDAP server 1 changed state to CONNECTED
    Sun Jan 27 09:23:46 2008: LDAP server 1 now active
    Sun Jan 27 09:23:46 2008: LDAP_CLIENT: UID Search (base=OU=ldapuser,DC=wireless,
    DC=com, pattern=(&(objectclass=Person)(sAMAccountName=user2)))
    Sun Jan 27 09:23:46 2008: LDAP_CLIENT: Returned msg type 0x64
    Sun Jan 27 09:23:46 2008: ldapAuthRequest [1] called lcapi_query base="OU=ldapus
    er,DC=wireless,DC=com" type="Person" attr="sAMAccountName" user="user2" (rc = 0
    - Success)
    Sun Jan 27 09:23:46 2008: LDAP ATTR> dn = CN=abcd,OU=ldapuser,DC=Wireless,DC=com
     (size 38)
    Sun Jan 27 09:23:46 2008: Handling LDAP response Success
    

    Da informação destacada neste resultado do debug, é claro que o servidor ldap está perguntado pelo WLC com os atributos de usuário especificados no WLC e o processo LDAP é bem sucedido.

  • A fim verificar se a autenticação de EAP local é bem sucedida, especifique o comando enable dos eventos do método do eap do local-AUTH aaa debugar do WLC CLI. Aqui está um exemplo:

    (Os eventos do método do eap do local-AUTH aaa do >debug do controlador de Cisco) permitem

    Sun Jan 27 09:38:28 2008: eap_fast.c-EVENT: New context 
    (EAP handle = 0x1B000009)
    
    Sun Jan 27 09:38:28 2008: eap_fast.c-EVENT: Allocated new EAP-FAST context 
    (handle = 0x22000009)
    
    Sun Jan 27 09:38:28 2008: eap_fast_auth.c-AUTH-EVENT: Process Response 
    (EAP handle = 0x1B000009)
    
    Sun Jan 27 09:38:28 2008: eap_fast_auth.c-AUTH-EVENT: Received Identity
    
    Sun Jan 27 09:38:28 2008: eap_fast_tlv.c-AUTH-EVENT: Adding PAC A-ID TLV 
    (436973636f0000000000000000000000)
    
    Sun Jan 27 09:38:28 2008: eap_fast_auth.c-AUTH-EVENT: Sending Start
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-AUTH-EVENT: Process Response, type: 0x2b
    
    Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Process Response 
    (EAP handle = 0x1B000009)
    
    Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: 
    Received TLS record type: Handshake in state: Start
    
    Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Local certificate found
    
    Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Reading Client Hello handshake
    
    Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: 
    TLS_DHE_RSA_AES_128_CBC_SHA proposed...
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT: Proposed ciphersuite(s):
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_DHE_RSA_WITH_AES_128_CBC_SHA
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_RSA_WITH_AES_128_CBC_SHA
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_RSA_WITH_RC4_128_SHA
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT: Selected ciphersuite:
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_DHE_RSA_WITH_AES_128_CBC_SHA
    
    Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Building Provisioning Server Hello
    
    Sun Jan 27 09:38:29 2008: eap_fast_crypto.c-EVENT: 
    Starting Diffie Hellman phase 1 ...
    
    Sun Jan 27 09:38:30 2008: eap_fast_crypto.c-EVENT: 
    Diffie Hellman phase 1 complete
    
    Sun Jan 27 09:38:30 2008: eap_fast_auth.c-AUTH-EVENT: DH signature length = 128
    
    Sun Jan 27 09:38:30 2008: eap_fast_auth.c-AUTH-EVENT: Sending Provisioning Serving Hello
    
    Sun Jan 27 09:38:30 2008: eap_fast.c-EVENT: Tx packet fragmentation required
    
    Sun Jan 27 09:38:30 2008: eap_fast.c-AUTH-EVENT: eap_fast_rx_packet(): 
    EAP Fast NoData (0x2b)
    
    Sun Jan 27 09:38:30 2008: eap_fast.c-AUTH-EVENT: eap_fast_rx_packet(): 
    EAP Fast NoData (0x2b)
    
    Sun Jan 27 09:38:30 2008: eap_fast.c-AUTH-EVENT: eap_fast_rx_packet(): 
    EAP Fast NoData (0x2b)
    
    Sun Jan 27 09:38:32 2008: eap_fast.c-AUTH-EVENT: Process Response, type: 0x2b
    
    Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Reassembling TLS record
    
    Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Sending EAP-FAST Ack
    
    ............................................................................
    
    ..............................................................................
    
    ..............................................................................
    
    Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
    Received TLS record type: Handshake in state: Sent provisioning Server Hello
    
    Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
    Reading Client Certificate handshake
    
    Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Added certificate 1 to chain
    
    Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Added certificate 2 to chain
    
    Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Successfully validated received certificate
    
    Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: Rx'd I-ID: 
    "EAP-FAST I-ID" from Peer Cert
    
    Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
    Reading Client Key Exchange handshake
    
    Sun Jan 27 09:38:32 2008: eap_fast_crypto.c-EVENT: 
    Starting Diffie Hellman phase 2 ...
    
    Sun Jan 27 09:38:32 2008: eap_fast_crypto.c-EVENT: 
    Diffie Hellman phase 2 complete.
    
    Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
    Reading Client Certificate Verify handshake
    
    Sun Jan 27 09:38:32 2008: eap_fast_crypto.c-EVENT: 
    Sign certificate verify succeeded (compare)
    
    ............................................................................................
    
    ............................................................................................
    
    ............................................................................................
    
    .............................................................................................
  • O comando enable DB do local-AUTH aaa debugar é igualmente muito útil. Aqui está um exemplo:

    (O DB do local-AUTH aaa do >debug do controlador de Cisco) permite

    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: EAP: Received an auth request
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Creating new context
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Local auth profile name for context 'ldapuser'
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Created new context eap session handle fb000007
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: (EAP:8) Sending the Rxd EAP packet 
    (id 2) to EAP subsys
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Found matching context for id - 8
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: (EAP) Sending user credential 
    request username 'user2' to LDAP
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Found context matching MAC address - 8
    
    
    ........................................................................................
    
    ........................................................................................
    
    ........................................................................................
    
    ........................................................................................
    
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) Sending the Rxd EAP packet 
    (id 12) to EAP subsys
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: Found matching context for id - 8
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) ---> [KEY AVAIL] send_len 64, recv_len 0
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) received keys waiting for success
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: Found matching context for id - 8
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) Received success event
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) Processing keys success
    
  • A fim ver os Certificados instalados no WLC a ser usado para a autenticação local, emita os Certificados do local-AUTH da mostra comandam do WLC CLI. Aqui está um exemplo:

    (Certificados do local-AUTH do >show do controlador de Cisco)

    Certificates available for Local EAP authentication:
    
    
    
    Certificate issuer .............................. vendor
    
      CA certificate:
    
        Subject: DC=com, DC=Wireless, CN=wireless
    
         Issuer: DC=com, DC=Wireless, CN=wireless
    
          Valid: 2008 Jan 23rd, 15:50:27 GMT to 2013 Jan 23rd, 15:50:27 GMT
    
      Device certificate:
    
        Subject: O=cisco, CN=ciscowlc123
    
         Issuer: DC=com, DC=Wireless, CN=wireless
    
          Valid: 2008 Jan 24th, 12:18:31 GMT to 2010 Jan 23rd, 12:18:31 GMT
    
    
    
    Certificate issuer .............................. cisco
    
      CA certificate:
    
        Subject: O=Cisco Systems, CN=Cisco Manufacturing CA
    
         Issuer: O=Cisco Systems, CN=Cisco Root CA 2048
    
          Valid: 2005 Jun 10th, 22:16:01 GMT to 2029 May 14th, 20:25:42 GMT
    
       Device certificate:
    
                 Not installed.
  • A fim ver a configuração da autenticação local no WLC do modo de CLI, emita o comando config do local-AUTH da mostra. Aqui está um exemplo:

    (Configuração do local-AUTH do >show do controlador de Cisco)

    User credentials database search order:
    
        Primary ..................................... LDAP
    
    
    
    Timer:
    
        Active timeout .............................. 300
    
    
    
    Configured EAP profiles:
    
        Name ........................................ ldapuser
    
          Certificate issuer ........................ vendor
    
          Peer verification options:
    
            Check against CA certificates ........... Enabled
    
            Verify certificate CN identity .......... Disabled
    
            Check certificate date validity ......... Disabled
    
          EAP-FAST configuration:
    
            Local certificate required .............. Yes
    
            Client certificate required ............. Yes
    
          Enabled methods ........................... fast 
    
          Configured on WLANs ....................... 2 
    
    
    
    EAP Method configuration:
    
        EAP-FAST:
    
    --More-- or (q)uit
    
          Server key ................................ <hidden>
    
          TTL for the PAC ........................... 10
    
          Anonymous provision allowed ............... No
    
          .............................................
    
          .............................................
    
          Authority Information ..................... Cisco A-ID

Troubleshooting

Você pode usar estes comandos pesquisar defeitos sua configuração:

  • debugar eventos do método do eap do local-AUTH aaa permitem

  • debug aaa all enable

  • debugar o pacote do dot1x permitem

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 100590