Sem fio : Controladores de LAN sem fio Cisco 4400 Series

Exemplo de Autenticação EAP-FAST com Controladores de LAN Wireless e Servidores RADIUS Externos

8 Abril 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (10 Outubro 2012) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Informações de Apoio
      PAC
      Modos de Provisionamento de PAC
Diagrama e Configuração de Rede
Configuração do WLC para a Autenticação EAP-FAST
      Configuração do WLC para a Autenticação RADIUS via Servidor RADIUS Externo
      Configuração da WLAN para a Autenticação EAP-FAST
Configuração do Servidor RADIUS para a Autenticação EAP-FAST
      Criação de um Banco de Dados de Usuários para Autenticar os Clientes EAP-FAST
      Adição do WLC como Cliente AAA do Servidor RADIUS
      Configuração da Autenticação EAP-FAST no Servidor RADIUS com o Provisionamento de PAC In-Band Anônimo
      Configuração da Autenticação EAP-FAST no Servidor RADIUS com o Provisionamento de PAC In-Band Autenticado
Configuração do Certificado do Servidor no ACS para o Provisionamento In-Band Autenticado
      Geração do Certificado Self-Signed no ACS
      Importação do Certificado Self-Signed para o Cliente
Configuração do Cliente para a Autenticação EAP-FAST
      Configuração do Cliente para o Provisionamento In-Band Anônimo
      Configuração do Cliente para o Provisionamento In-Band Autenticado
      Verificação do Provisionamento In-Band
Verificação
Troubleshooting
      Dicas para Troubleshooting
      Extração do Arquivo de Pacote do Servidor RADIUS do ACS para Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento explica como configurar o controlador de LAN wireless (WLC) para a autenticação Extensible Authentication Protocol (EAP) - Flexible Authentication via Secure Tunneling (FAST) com o uso de um servidor RADIUS externo. Este exemplo de configuração usa o Cisco Secure Access Control Server (ACS) como o servidor RADIUS externo para autenticar o cliente wireless.

Este documento explica como configurar o ACS para o provisionamento de Protected Access Credentials (PAC) In-Band (automático) anônimo e autenticado para os clientes wireless. Para saber como configurar o provisionamento de PAC manual/Out-of-Band, consulte Provisionamento Manual de PAC e Geração de Arquivo de PAC para o Provisionamento Manual para obter mais informações.

Pré-requisitos

Requisitos

Certifique-se de atender aos seguintes requisitos antes de tentar esta configuração:

  • Conhecimento básico da configuração de pontos de acesso leves (LAPs) e WLCs Cisco.

  • Conhecimento básico do Lightweight Access Point Protocol (LWAPP).

    Consulte Compreendendo o Lightweight Access Point Protocol (LWAPP) para obter mais informações.

  • Conhecimento de como configurar um servidor RADIUS externo, como o Cisco Secure ACS.

  • Conhecimento funcional da estrutura geral do EAP.

  • Conhecimento básico de protocolos de segurança, como MS-CHAPv2 e EAP-GTC, e conhecimento de certificados digitais.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 2000 Series WLC com firmware 4.0.217.0

  • LAP Cisco Aironet 1000 Series

  • Cisco Secure ACS versão 4.1

  • Cisco Aironet 802.11 a/b/g Client Adapter

  • Cisco Aironet Desktop Utility (ADU) com firmware versão 3.6

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos.

Informações de Apoio

O protocolo EAP-FAST é um novo tipo de EAP IEEE 802.1X acessível publicamente desenvolvido pela Cisco para oferecer suporte a clientes que não podem impor uma política de senhas fortes e desejam implantar um tipo de EAP 802.1X que não necessite de certificados digitais.

O protocolo EAP-FAST é uma arquitetura de segurança cliente-servidor que criptografa as transações de EAP com um túnel Transport Level Security (TLS). O estabelecimento do túnel EAP-FAST baseia-se nos segredos fortes exclusivos dos usuários. Esses segredos fortes são chamados de PACs, as quais são geradas pelo ACS por meio de uma chave mestre conhecida somente por ele.

O EAP-FAST ocorre em três fases:

  • Fase zero (Fase de provisionamento de PAC automático) — A fase zero do EAP-FAST, uma fase opcional, consiste em uma forma protegida por túnel de oferecer a um cliente de usuário final EAP-FAST uma PAC para o usuário que está solicitando acesso à rede. Oferecer uma PAC ao cliente de usuário final é o único objetivo da fase zero.

    Nota: A fase zero é opcional porque as PACs também podem ser provisionadas manualmente para os clientes.

    Consulte a seção Modos de Provisionamento de PAC deste documento para obter mais detalhes.

  • Fase um — Na fase um, o ACS e o cliente de usuário final estabelecem um túnel TLS com base na credencial PAC do usuário. Essa fase necessita que o cliente de usuário final tenha recebido uma PAC para o usuário que está tentando obter acesso à rede e que a PAC tenha sido criada por uma chave mestre que ainda não expirou. Nenhum serviço de rede é habilitado pela fase um do EAP-FAST.

  • Fase dois — Na fase dois, as credenciais de autenticação do usuário são passadas de forma segura por meio de um método EAP interno aceito pelo EAP-FAST no túnel TLS para o RADIUS criado usando-se a PAC entre o cliente e o servidor RADIUS. EAP-GTC, TLS e MS-CHAP são aceitos como métodos EAP internos. Não há suporte a outros tipos de EAP para o EAP-FAST.

Consulte Como o EAP-FAST funciona para obter mais informações.

PAC

As PACs são segredos compartilhados fortes que permitem que o ACS e um cliente de usuário final EAP-FAST autentiquem um ao outro e estabeleçam o túnel TLS que é usado na fase dois do EAP-FAST. O ACS gera as PACs usando a chave mestre ativa e um nome de usuário.

A PAC compreende:

  • Chave da PAC — Segredo compartilhado ligado a um cliente (e um dispositivo cliente) e à identidade do servidor.

  • Opaco da PAC — Campo opaco que o cliente coloca no cache e passa para o servidor. O servidor recupera a chave da PAC e a identidade do cliente para autenticar de forma mútua com o cliente.

  • Informações da PAC — No mínimo, inclui a identificação do servidor para permitir que o cliente coloque PACs diferentes no cache. Opcionalmente, outras informações, como a hora de expiração da PAC, são incluídas.

Modos de Provisionamento de PAC

Conforme mencionado anteriormente, a fase zero é opcional.

O EAP-FAST oferece duas formas de provisionar um cliente com uma PAC:

  • Provisionamento de PAC automático (Fase 0 do EAP-FAST, ou provisionamento de PAC In-Band)

  • Provisionamento de PAC manual (Out-of-band)

O Provisionamento de PAC In-band/automático envia um novo PAC para um cliente de usuário final via conexão de rede segura. O provisionamento de PAC automático não necessita de intervenção do usuário de rede ou de um administrador do ACS, desde que você tenha configurado o ACS e o cliente de usuário final para oferecer suporte ao provisionamento automático.

A versão mais recente do EAP-FAST oferece suporte a duas opções de configuração de provisionamento de PAC In-Band diferentes:

  • Provisionamento de PAC In-Band anônimo

  • Provisionamento de PAC In-Band autenticado

Nota: Este documento discute estes métodos de provisionamento de PAC In-Band e como configurá-los.

O Provisionamento de PAC Out-of-Band/manual necessita que um administrador do ACS gere arquivos de PAC, os quais poderão então ser distribuídos para os usuários de rede aplicáveis. Os usuários devem configurar os clientes de usuário final com seus arquivos de PAC.

Diagrama e Configuração de Rede

Nesta configuração, um WLC Cisco 2006 e um LAP estão conectados via hub. Um servidor RADIUS externo (Cisco Secure ACS) também está conectado ao mesmo hub. Todos os dispositivos estão na mesma sub-rede. O ponto de acesso (AP) é inicialmente registrado no controlador. Você deve configurar o WLC para a autenticação EAP-FAST. Os clientes que se conectam ao AP usam a autenticação EAP-FAST para se associarem ao AP. O Cisco Secure ACS é usado para executar a autenticação do RADIUS.

eapfast-wlc-rad-config1.gif

Configuração do WLC para a Autenticação EAP-FAST

Execute estes passos para configurar o WLC para a autenticação EAP-FAST:

  1. Configuração do WLC para a Autenticação RADIUS via Servidor RADIUS Externo

  2. Configuração da WLAN para a Autenticação EAP-FAST

Configuração do WLC para a Autenticação RADIUS via Servidor RADIUS Externo

O WLC precisa ser configurado para encaminhar as credenciais do usuário para um servidor RADIUS externo. O servidor RADIUS externo então valida as credenciais do usuário com o EAP-FAST e fornece acesso aos clientes wireless.

Execute estes passos para configurar o WLC para um servidor RADIUS externo:

  1. Escolha Security e RADIUS Authentication na GUI do controlador para exibir a página RADIUS Authentication Servers. Em seguida, clique em New para definir um servidor RADIUS.

  2. Defina os parâmetros do servidor RADIUS na página RADIUS Authentication Servers > New. Esses parâmetros incluem:

    • Endereço IP do servidor RADIUS

    • Segredo compartilhado

    • Número da porta

    • Status do servidor

    Este documento usa um servidor ACS com endereço IP igual a 10.77.244.196.

    eapfast-wlc-rad-config2.gif

  3. Clique em Apply.

Configuração da WLAN para a Autenticação EAP-FAST

Em seguida, configure a WLAN usada pelos clientes para se conectarem à rede wireless para a autenticação EAP-FAST e atribua-a a uma interface dinâmica. O nome de WLAN configurado neste exemplo é eap fast. Esse exemplo atribui esta WLAN à interface de gerenciamento.

Execute estes passos para configurar a WLAN eap fast e seus parâmetros relacionados:

  1. Clique em WLANs na interface gráfica do controlador para exibir a página WLANs.

    Essa página lista as WLANs existentes no controlador.

  2. Clique em New para criar uma nova WLAN.

    eapfast-wlc-rad-config3.gif

  3. Configure o nome do SSID, o nome do perfil e a ID da WLAN eap fast na página WLANs > New. Em seguida, clique em Apply.

    eapfast-wlc-rad-config4.gif

  4. Uma vez criada uma nova WLAN, a página WLAN > Edit referente a essa WLAN será exibida. Nessa página, é possível definir vários parâmetros específicos desta WLAN. Isso inclui políticas gerais, servidores RADIUS, políticas de segurança e parâmetros de 802.1x

  5. Marque a caixa de seleção Admin Status em General Policies para habilitar a WLAN.

  6. Se desejar que o AP faça o broadcast do SSID em seus quadros de sinalização, marque a caixa de seleção Broadcast SSID. Marque a caixa de seleção Allow AAA Override se desejar sobrescrever as configurações do WLC pelo servidor RADIUS.

  7. Escolha o servidor RADIUS apropriado no menu suspenso em RADIUS Servers. Em Security Policies, escolha 802.1x no menu suspenso Layer 2 Security. Você também pode usar qualquer outro método de autenticação (WPA/WPA2 com 802.1x) que envolva o servidor RADIUS na autenticação.

    Este exemplo usa o 802.1x com criptografia WEP dinâmica como segurança da Camada 2 para esta WLAN. Os outros parâmetros podem ser modificados com base nas necessidades da rede WLAN.

    eapfast-wlc-rad-config5.gif

  8. Clique em Apply.

    Nota: Esta é a única opção de EAP que precisa ser configurada no controlador para a autenticação EAP. Todas as outras configurações específicas do EAP-FAST devem ser feitas no servidor RADIUS e nos clientes que precisam ser autenticados.

Configuração do Servidor RADIUS para a Autenticação EAP-FAST

Execute estes passos para configurar o servidor RADIUS para a autenticação EAP-FAST:

  1. Criação de um Banco de Dados de Usuários para Autenticar os Clientes EAP-FAST

  2. Adição do WLC como Cliente AAA do Servidor RADIUS

  3. Configuração da Autenticação EAP-FAST no Servidor RADIUS com o Provisionamento de PAC In-Band Anônimo

  4. Configuração da Autenticação EAP-FAST no Servidor RADIUS com o Provisionamento de PAC In-Band Autenticado

Criação de um Banco de Dados de Usuários para Autenticar os Clientes EAP-FAST

Execute os passos a seguir para criar um banco de dados de usuário para os clientes EAP-FAST no ACS. Este exemplo configura o nome de usuário e a senha do cliente EAP-FAST como wireless e wireless, respectivamente.

  1. Na interface gráfica do ACS na barra de navegação, selecione User Setup. Crie um novo usuário wireless e, em seguida, clique em Add/Edit para ir para a página de edição desse usuário.

    eapfast-wlc-rad-config6.gif

  2. Na página User Setup Edit, configure os valores de Real Name e Description, além da senha, conforme mostrado neste exemplo.

    Este documento usa a opção ACS Internal Database para a autenticação de senhas.

  3. Escolha ACS Internal Database na caixa suspensa Password Authentication.

    eapfast-wlc-rad-config7.gif

  4. Configure todos os outros parâmetros obrigatórios e clique em Submit.

Adição do WLC como Cliente AAA do Servidor RADIUS

Execute estes passos para definir o controlador como um cliente AAA no servidor ACS:

  1. Clique em Network Configuration na interface gráfica do ACS. Na seção Add AAA client da página Network Configuration, clique em Add Entry para adicionar o WLX como o cliente AAA ao servidor RADIUS.

    eapfast-wlc-rad-config8.gif

  2. Na página AAA Client, defina o nome do WLC, o endereço IP, o segredo compartilhado e o método de autenticação (RADIUS/Cisco Airespace). Consulte a documentação do fabricante para obter informações sobre outros servidores de autenticação não-ACS.

    Nota: A chave secreta compartilhada configurada no WLC deve coincidir com a do servidor ACS. O segredo compartilhado diferencia maiúsculas de minúsculas.

  3. Clique em Submit+Apply.

    eapfast-wlc-rad-config9.gif

Configuração da Autenticação EAP-FAST no Servidor RADIUS com o Provisionamento de PAC In-Band Anônimo

Provisionamento de PAC In-Band anônimo

Este é um dos dois métodos de provisionamento In-Band com os quais o ACS estabelece uma conexão segura com o cliente de usuário final com o objetivo de provisionar o cliente com uma nova PAC. Essa opção possibilita um handshake TLS anônimo entre o cliente de usuário final e o ACS.

Esse método opera em um túnel Authenticated Diffie-HellmanKey Agreement Protocol (ADHP) antes que o peer seja autenticado no servidor ACS.

Em seguida, o ACS exige a autenticação EAP-MS-CHAPv2 do usuário. Mediante uma autenticação bem-sucedida do usuário, o ACS estabelece um túnel Diffie-Hellman com o cliente de usuário final. O ACS gera uma PAC para o usuário e a envia para o cliente de usuário final neste túnel, juntamente com informações sobre esse ACS. Este método de provisionamento usa EAP-MSCHAPv2 como o método de autenticação na fase zero e EAP-GTC na fase dois.

Como um servidor não autenticado é provisionado, não é possível usar senhas de texto simples. Assim, somente as credenciais MS-CHAP podem ser usadas no túnel. O MS-CHAPv2 é usado para provar a identidade do peer e recebe uma PAC para sessões de autenticação adicionais (o EAP-MS-CHAP será usado somente como um método interno).

Execute estes passos para configurar a autenticação EAP-FAST no servidor RADIUS para o provisionamento In-Band anônimo:

  1. Clique em System Configuration na interface gráfica do servidor RADIUS. Na página System Configuration, escolha Global Authentication Setup.

    eapfast-wlc-rad-config10.gif

  2. Na página Global Authentication, clique em EAP-FAST Configuration para ir para a página de configurações do EAP-FAST.

    eapfast-wlc-rad-config11.gif

  3. Na página EAP-FAST Settings, marque a caixa de seleção Allow EAP-FAST para habilitar o EAP-FAST no servidor RADIUS.

  4. Configure os valores de Active/Retired master key TTL (Time-to-Live) conforme o desejado ou defina-os para os valores padrão conforme mostrado neste exemplo.

    Consulte Chaves Mestres para obter informações sobre chaves mestres ativas e fora de uso. Consulte também TTLs de Chaves Mestres e PAC para obter mais informações.

    O campo Authority ID Info representa a identidade textual deste servidor ACS, a qual pode ser usada por um usuário final para determinar em qual servidor ACS a autenticação será feita. O preenchimento desse campo é obrigatório.

    O campo Client initial display message especifica uma mensagem que será enviada para os usuários que autenticam em um cliente EAP-FAST. O tamanho máximo é 40 caracteres. Um usuário verá a mensagem inicial somente se o cliente de usuário final oferecer suporte à exibição.

  5. Se desejar que o ACS execute o provisionamento de PAC In-Band anônimo, marque a caixa de seleção Allow anonymous in-band PAC provisioning.

    Allowed inner methods — Esta opção determina quais métodos de EAP internos podem ser executados no túnel TLS EAP-FAST. Para o provisionamento In-Band anônimo, você deverá habilitar o EAP-GTC e o EAP-MS-CHAP por questões de compatibilidade com versões anteriores. Se selecionar Allow anonymous in-band PAC provisioning, você deverá selecionar EAP-MS-CHAP (fase zero) e EAP-GTC (fase dois).

  6. Clique em Submit+Restart.

    Esta captura de tela mostra os passos desta seção:

    eapfast-wlc-rad-config12.gif

Configuração da Autenticação EAP-FAST no Servidor RADIUS com o Provisionamento de PAC In-Band Autenticado

Provisionamento de PAC In-Band autenticado

O EAP-FAST foi aprimorado para oferecer suporte a um túnel autenticado (usando o certificado do servidor), que é onde o provisionamento de PAC ocorre. Este modo provisiona um cliente de usuário final com uma PAC ao usar a fase zero do EAP-FAST com a autenticação no lado do servidor. Esta opção necessita que você instale um certificado de servidor e uma CA raiz confiável no ACS.

Os novos conjuntos de criptografadores, os quais são aperfeiçoamentos do EAP FAST, e, especificamente, o certificado do servidor são usados. Como o servidor é autenticado como parte da implementação do túnel, métodos de EAP mais fracos como o EAP-GTC podem ser usados no túnel para proporcionar a autenticação dos solicitantes.

Por padrão, o ACS oferece suporte à autenticação no lado do servidor TLS. No entanto, se o cliente enviar o certificado do usuário para o ACS, a autenticação mútua de TLS será executada e os métodos internos serão ignorados.

  1. Repita os passos de 1 a 4 da configuração do Provisionamento In-Band anônimo para configurar as demais opções de EAP-FAST no servidor RADIUS.

  2. Se desejar que o ACS execute o provisionamento de PAC In-Band autenticado, marque a caixa de seleção Allow authenticated in-band PAC provisioning.

    1. Accept client on authenticated provisioning — Esta opção está disponível somente quando a opção de permitir o provisionamento de PAC In-Band autenticado está selecionada. O servidor sempre envia um Access-Reject no final da fase de provisionamento, o que força o cliente a autenticar novamente usando o PAC do túnel. Essa opção permite que o ACS envie um Access-Accept para o cliente no final da fase de provisionamento.

    2. Desmarque a caixa de seleção Allow Stateless session resume option se não desejar que o ACS provisione PACs de autorização para clientes EAP-FAST e para sempre executar a fase dois do EAP-FAST.

    3. Allowed inner methods — Se você selecionar Allow authenticated in-band PAC provisioning, o método interno na fase de autenticação será negóciavel (EAP-GTC é usado por padrão na fase zero). Selecione um ou mais destes métodos internos:

      • EAP-GTC — Para habilitar o EAP-GTC na autenticação EAP-FAST, marque esta caixa de seleção.

      • EAP-MS-CHAPv2 — Para habilitar o EAP-MS-CHAPv2 na autenticação EAP-FAST, marque esta caixa de seleção.

      • EAP-TLS — Para habilitar o EAP-TLS na autenticação EAP-FAST, marque esta caixa de seleção.

      Nota: O ACS sempre executa o primeiro método de EAP habilitado. Por exemplo, se você selecionar EAP-GTC e EAP-MS-CHAPv2, o primeiro método de EAP habilitado será o EAP-GTC.

    Todas estas configurações específicas do provisionamento de PAC In-Band autenticado são mencionadas neste exemplo:

    eapfast-wlc-rad-config13.gif

  3. Clique em Submit+Restart.

Configuração do Certificado do Servidor no ACS para o Provisionamento In-Band Autenticado

O EAP-FAST foi aprimorado para oferecer suporte a um túnel autenticado (usando o certificado do servidor), que é onde o provisionamento de PAC ocorre.

Nota: Esta opção necessita da configuração de um certificado de servidor e uma CA raiz confiável no ACS.

Há vários métodos disponíveis de configuração do certificado do servidor no ACS. Este documento explica como gerar um certificado self-signed no ACS e importá-lo para a lista de autoridades de certificação confiáveis do cliente.

Geração do Certificado Self-Signed no ACS

O ACS oferece suporte a protocolos relacionados a TLS/SSL, o que inclui PEAP, EAP-FAST e HTTPS, que necessitam do uso de certificados digitais. O uso de certificados self-signed é uma forma dos administradores atenderem a este requisito sem precisar interagir com uma CA para obter e instalar o certificado para a ACS.

Conclua estas etapas para gerar o certificado self-signed no ACS:

  1. Clique em System Configuration na interface gráfica do servidor RADIUS. Na página System Configuration, escolha ACS Certificate Setup.

    eapfast-wlc-rad-config14.gif

  2. A ACS Certificate Setup lista várias opções de configuração do certificado no ACS. Neste exemplo, escolha Generate Self-Signed Certificate.

    eapfast-wlc-rad-config15.gif

    A página Generate Self-Signed Certificate Edit será exibida.

  3. Nessa página, execute estes passos:

    1. Na caixa Certificate subject , insira o objeto do certificado na forma cn=XXXX.

    2. Na caixa Certificate file, insira o caminho completo e o nome do arquivo do certificado. Na caixa Key length, selecione o comprimento da chave.

    3. Na caixa Private key file, insira o caminho completo e o nome do arquivo da chave privada.

    4. Na caixa Private key password, insira a senha da chave privada. Na caixa Retype private key password, digite a senha da chave privada novamente.

    5. Na caixa Digest to sign with, selecione o hash digest (SHA1 neste exemplo) a ser usado para criptografar a chave.

    6. Para instalar o certificado auto-assinado ao submeter a página, selecione a opção Install generated certificate.

      Nota: Se você selecionar a opção Install generated certificate, será necessário reiniciar os serviços do ACS após o envio deste formulário para que as novas configurações entrem em vigor. Se você não selecionar a opção Install generated certificate option, o arquivo do certificado e o arquivo da chave privada serão gerados e salvos quando você clicar em Submit no próximo passo. No entanto, eles não são instalados no armazenamento do computador local.

    O exemplo a seguir mostra como editar uma página de certificado self-signed:

    eapfast-wlc-rad-config16.gif

    Nota: Os valores de campo inseridos (ts-web) aqui são valores de exemplo. Você pode usar qualquer valor de campo ou nome para gerar um certificado self-signed no ACS. Todos os campos devem ser preenchidos.

Importação do Certificado Self-Signed para o Cliente

Você deve importar o certificado self-signed gerado no ACS para a lista de autoridades de certificação raiz do cliente para que o cliente se autentique no servidor usando um certificado válido.

Conclua estas etapas no cliente:

  1. Copie o certificado de seu local no ACS para o cliente.

  2. Clique com o botão direito do mouse no arquivo .cer e clique em install certificate.

    eapfast-wlc-rad-config17.gif

  3. Clique em Next.

  4. Escolha Place all certificates in the following store e clique em Browse.

    A janela Select Certificate Store será aberta.

  5. Na janela Select Certificate Store, marque a caixa de seleção Show physical stores.

  6. Expanda Trusted Root Certification Authorities na árvore de certificados, selecione Local Computer e clique em OK.

    eapfast-wlc-rad-config18.gif

  7. Clique em Next, em Finish e em OK.

    Um assistente importação de certificado é exibido para mostrar que a importação foi concluída com êxito.

    eapfast-wlc-rad-config19.gif

Configuração do Cliente para a Autenticação EAP-FAST

Execute estes passos para configurar o cliente para a autenticação EAP-FAST:

  1. Configuração do Cliente para o Provisionamento In-Band Anônimo

  2. Configuração do Cliente para o Provisionamento In-Band Autenticado

Configuração do Cliente para o Provisionamento In-Band Anônimo

Execute estes passos para configurar o cliente wireless para o provisionamento In-Band anônimo:

  1. Na janela do Aironet Desktop Utility, clique em Profile Management > New para criar um perfil para o usuário do EAP-FAST.

    Conforme mencionado anteriormente, este documento usa o nome de WLAN/SSID eap fast para o cliente wireless.

    eapfast-wlc-rad-config20.gif

  2. Na janela Profile Management, clique na guia General e configure os nomes do perfil, do cliente e do SSID conforme mostrados neste exemplo. Em seguida, clique em OK.

    eapfast-wlc-rad-config21.gif

  3. Clique na guia Security e escolha 802.1x como Set Security Option e com o 802.1x EAP Type como EAP-FAST. Clique em Configure para configurar a opção de EAP-FAST.

    eapfast-wlc-rad-config22.gif

  4. Na janela Configure EAP-FAST, marque a caixa de seleção Allow Automatic PAC Provisioning. Se você desejar configurar o provisionamento de PAC anônimo, o EAP-MS-CHAP será usado como o único método interno na fase zero.

  5. Escolha MSCHAPv2 User Name and Password como o método de autenticação na caixa suspensa EAP-FAST Authentication Method. Clique em Configuração.

    eapfast-wlc-rad-config23.gif

  6. Na janela Configure MSCHAPv2 User Name and Password, escolha as configurações de nome de usuário e senha apropriadas.

    Este exemplo usa a opção Manually Prompt for User Name and Password.

    Os mesmos nome de usuário e senha devem ser registrados no ACS. Conforme mencionado anteriormente, este exemplo usa wireless e wireless como nome de usuário e senha, respectivamente.

    Além disso, observe que este é um provisionamento In-Band anônimo. Assim, o cliente não poderá validar o certificado do servidor. Você deverá se certificar de que a caixa Validate Server Identity esteja desmarcada.

  7. Clique em OK.

    eapfast-wlc-rad-config24.gif

Configuração do Cliente para o Provisionamento In-Band Autenticado

Execute estes passos para configurar o cliente wireless para o provisionamento In-Band autenticado:

  1. Repita os passos de 1 a 3 da seção Configuração do Cliente para o Provisionamento In-Band Anônimo deste documento.

  2. Na janela Configure EAP-FAST, marque a caixa de seleção Allow Automatic PAC Provisioning.

    Com o provisionamento de PAC In-Band autenticado, qualquer um dos métodos internos (EAP-GTC, EAP-MSCHAPv2, Certificado do Cliente TLS) permitidos no lado do ACS pode ser selecionado no cliente como o método de autenticação na caixa suspensa EAP-FAST Authentication Method.

    Este exemplo usa GTC Token/Password como o método de autenticação EAP-FAST.

  3. Clique em Configure.

    eapfast-wlc-rad-config25.gif

  4. Na janela de configuração do GTC, você poderá usar uma senha estática ou um token para ser solicitado no momento da autenticação.

    Este exemplo usa um nome de usuário e uma senha estáticos. Os mesmos nome de usuário e senha devem ser registrados no ACS. Conforme mencionado anteriormente, este exemplo usa wireless e wireless como nome de usuário e senha, respectivamente.

  5. Além disso, observe que esta é uma configuração de provisionamento In-Band autenticado. Assim, marque a caixa de seleção Validate Server Identity. Além disso, na caixa suspensa Trusted Root Certification Authorities, role para baixo para procurar o certificado self-signed importado do ACS (ts-web neste exemplo). Escolha o certificado como a autoridade de certificação raiz confiável. Clique em OK.

    eapfast-wlc-rad-config26.gif

Verificação do Provisionamento In-Band

Execute estes passos para verificar se a sua configuração de EAP-FAST está funcionando corretamente:

  1. Selecione o perfil eap fast e clique em Activate para ativar o perfil de cliente wireless.

    eapfast-wlc-rad-config27.gif

  2. Se você habilitou o MS-CHAP ver2 como o seu método de autenticação (com anônimo, este é o único método válido, conforme explicado anteriormente), o cliente solicitará o nome de usuário e a senha.

    eapfast-wlc-rad-config28.gif

  3. Durante o processamento EAP-FAST do usuário, você será avisado pelo cliente para solicitar a PAC do servidor RADIUS. Ao clicar em YES, o provisionamento de PAC é iniciado.

    eapfast-wlc-rad-config29.gif

    Após o êxito do provisionamento de PAC na fase zero, as fase um e dois ocorrem e um procedimento de autenticação bem-sucedido ocorre.

    eapfast-wlc-rad-config30.gif

  4. Com o provisionamento In-Band autenticado, se você habilitou GTC/Token como o método de autenticação EAP-FAST, você será avisado para inserir o token. Conforme mencionado anteriormente, este exemplo usa wireless como credencial de usuário. Clique em OK.

    eapfast-wlc-rad-config31.gif

    Você pode ver o arquivo de PAC recebido pelo cliente na página de configuração do EAP-FAST.

    eapfast-wlc-rad-config32.gif

    Este PAC pode ser usado em sessões de autenticação adicionais deste usuário de acordo com as configurações dos valores de TTL da PAC/chave mestre.

  5. Clique em Manage para ver o conteúdo do arquivo de PAC ao navegar pela árvore de gerenciamento da PAC conforme mostrado aqui. Clique duas vezes no arquivo de PAC wireless para exibir seu conteúdo.

    eapfast-wlc-rad-config33.gif

    Este é o conteúdo de um arquivo de PAC:

    eapfast-wlc-rad-config34.gif

Verificação

Você pode verificar se o servidor RADIUS recebe e valida o pedido de autenticação do cliente wireless. Examine os relatórios Passed Authentications and Failed Attempts no servidor ACS para fazer isso. Esses relatórios estão disponíveis em Reports and Activities no servidor ACS.

Aqui está um exemplo de quando a autenticação do servidor RADIUS é de fato bem-sucedida. No entanto, como a fase zero do EAP-FAST não habilita um serviço de rede, mesmo uma transação EAP-FAST da fase zero é registrada no log de tentativas que falharam do ACS. Se a mensagem "EAP-FAST user was provisioned with new PAC" for exibida, isso indica que a PAC foi provisionada com êxito para o cliente.

eapfast-wlc-rad-config35.gif

Estes comandos debug podem ser úteis para fins de troubleshooting:

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debug dot1x events enable — Habilita a depuração de todos os eventos dot1x. Aqui está um exemplo de saída de depuração baseada em uma autenticação com êxito:

    (Cisco Controller)>debug dot1x events enable
    
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Sending EAP
    -Request/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received EAP Response packet with mi
    smatching id (currentid=2, eapid=1) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    ..............................................................................
    ..............................................................................
    ...............................................................................
    ................................................................................
    
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 19, EAP Type 43)
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:01 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 43)
    Mon Oct 22 20:35:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -
    0
    Mon Oct 22 20:35:29 2007: Resetting the group key timer for 3689 seconds on AP 0
    0:0b:85:91:c3:c0
    Mon Oct 22 20:35:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -
    1
    Mon Oct 22 20:35:29 2007: Resetting the group key timer for 3696 seconds on AP 0
    0:0b:85:91:c3:c0
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received Identity Response (count=3)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ==
    => 19 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 19)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 19, EAP Type 3)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 43)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 21, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 22, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 23)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 23, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 24)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 24, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 25, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 26)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 26, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 27)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 27, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Reject for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Failure to mobile 00:40:
    96:af:3e:93 (EAP Id 27)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds fo
    r mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 2 ===
    > 20 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 3)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 21, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 22, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ==
    => 24 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 24)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 24, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 25, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Accept for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Creating a new PMK Cache Entry for s
    tation 00:40:96:af:3e:93 (RSN 0)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP-Success to mobile 00:40:
    96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending default RC4 key to mobile 00
    :40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending Key-Mapping RC4 key to mobil
    e 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received Auth Success while in Authe
    nticating state for mobile 00:40:96:af:3e:93
    

    Aqui está um exemplo de falha de autenticação da saída do comando debug dot1x events enable:

    (Cisco Controller) >debug dot1x events enable
    
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Requ
    est/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 2 ===
    > 11 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 11)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 11, EAP Type 3)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 12)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 12, EAP Type 43)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 13)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 13, EAP Type 43)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Reject for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Failure to mobile 00:40:
    96:af:3e:93 (EAP Id 13)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds fo
    r mobile 00:40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 802.1x 'quiteWhile' Timer expired fo
    r station 00:40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 quiet timer completed for mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 15)
    Mon Oct 22 20:26:17 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:17 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 16)
    Mon Oct 22 20:26:18 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:18 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 17)
    Mon Oct 22 20:26:19 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:19 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 18)
    Mon Oct 22 20:26:20 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:20 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 19)
    Mon Oct 22 20:26:21 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:21 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:26:22 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:22 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:26:23 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:23 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
  • debug dot1x packet enable — Habilita a depuração de todas as mensagens de pacotes 802.1x. Aqui está um exemplo de saída de depuração baseada em uma autenticação com êxito:

    (Cisco Controller) debug dot1x packet enable
    
     00:40:96:af:3e:93 Sending 802
    .11 EAPOL message  to mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 2c 01 01 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    ) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 01 00 00
          ....
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 2c 01 02 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 3
    1) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 1b 02 02 00 1b  01 50 45 41 50 2d 3
    0 30  .........PEAP-00
                          00000010: 2d 34 30 2d 39 36 2d 41  46 2d 33 45 2d 39 33
      -40-96-AF-3E-93
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 26 01 19 00 26  11 01 00 08 52 97 b
    2 df  ...&...&....R...
                          00000010: 38 d2 ce 74 50 45 41 50  2d 30 30 2d 34 30 2d 39
      8..tPEAP-00-40-9
                      00000020: 36 2d 41 46 2d 33 45 2d  39 33                    6-
    AF-3E-93
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 1
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 06 02 19 00 06  03 2b
          .........+
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:14 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:14 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:15 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:15 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 02 72 01 1b 02 72  2b 81 00 00 02 68 1
    6 03  ...r...r+....h..
                          00000010: 01 00 4a 02 00 00 46 03  01 47 1c bd b1 3a a8 8e
      ..J...F..G...:..
                      00000020: de fc 62 51 e0 fe 93 c2  1d 21 08 51 59 ba c6 90  ..
    bQ.....!.QY...
                  00000030: ad 14 1b bc
    Mon Oct 22 20:41:17 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 3
    36) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:17 2007: 00000000: 01 00 01 4c 02 1b 01 4c  2b 01 16 03 01 01 0
    6 10  ...L...L+.......
                          00000010: 00 01 02 01 00 f4 92 8c  54 b1 34 ae 1e 13 a3 63
      ........T.4....c
                      00000020: 03 35 e9 33 e6 45 01 6a  87 18 ba 3d 03 0f 5f a5  .5
    .3.E.j...=.._.
                  00000030: 1d 3a ae fa
    Mon Oct 22 20:41:46 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    ) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:46 2007: 00000000: 01 01 00 00
          ....
    Mon Oct 22 20:41:46 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 45 01 1d 00 45  2b 81 00 00 00 3b 1
    4 03  ...E...E+....;..
                          00000010: 01 00 01 01 16 03 01 00  30 cc 1f c4 54 ac a2 88
      ........0...T...
                      00000020: 14 11 92 c4 5a 78 2c 57  06 57 77 d7 6b 4e b1 db  ..
    ..Zx,W.Ww.kN..
    eived 802.11 EAPOL message (len 1
    11) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 02 1f 00 6b  2b 01 17 03 01 00 6
    0 8b  ...k...k+.....`.
                          00000010: 25 2f c6 1a 61 de af 51  a4 1d ae 9e 8c e8 45 80
      %/..a..Q......E.
                      00000020: e0 14 69 01 d8 ab eb 08  af 21 44 44 70 9c 25 d2  ..
    i......!DDp.%.
                  00000030: 39 6f 75 ce
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 5b 01 20 00 5b  2b 01 17 03 01 00 5
    0 0a  ...[...[+.....P.
                          00000010: 7e da 91 4e d7 ae 6b 87  7c 31 7f 7a 3c af 67 71
      ~..N..k.|1.z<.gq
                      00000020: 8a a1 0b aa 0a ac 6f b5  e8 65 83 3b d1 39 bd 1b  ..
    ....o..e.;.9..
                  00000030: f4 dd f9 68
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    7) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 2b 02 20 00 2b  2b 01 17 03 01 00 2
    0 73  ...+...++......s
                          00000010: 02 d6 0e d3 55 57 7c 0c  58 f0 7c 1f 5e 61 09 40
      ....UW|.X.|.^a.@
                      00000020: 00 85 0b 8e 11 b5 23 1b  fc 27 77 71 ad b8 ed     ..
    ....#..'wq...
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 01 21 00 6b  2b 01 17 03 01 00 6
    0 c8  ...k.!.k+.....`.
                          00000010: c4 69 43 5d ad 34 88 05  24 d7 7e 90 e3 65 87 37
      .iC].4..$.~..e.7
                      00000020: 9c 94 2f 99 5d be ca 82  1a 11 89 68 44 08 4c ef  ..
    /.]......hD.L.
                  00000030: 56 89 18 7a
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 1
    11) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 02 21 00 6b  2b 01 17 03 01 00 6
    0 16  ...k.!.k+.....`.
                          00000010: 04 f2 92 41 da 4c 9c 4a  64 d8 88 9e 4b ac b9 76
      ...A.L.Jd...K..v
                      00000020: a0 94 2a 7c 5f 7b 9b be  8b 07 e1 42 79 f1 4f 06  ..
    *|_{.....By.O.
                  00000030: 8e 50 c8 25
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 01 1b 01 22 01 1b  2b 01 17 03 01 01 1
    0 0f  ....."..+.......
                          00000010: 9b 84 da 57 60 8b a7 f6  e2 09 33 38 0c d8 fc 1f
      ...W`.....38....
                      00000020: 5f 2f 6a 59 72 4a a7 db  3a 5d 32 5c ac ed 1d d0  _/
    jYrJ..:]2\....
                  00000030: 46 6a 1c 93
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 7
    9) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 4b 02 22 00 4b  2b 01 17 03 01 00 4
    0 3f  ...K.".K+.....@?
                          00000010: 93 1f aa c6 2f 61 f8 45  84 f5 60 bd 35 87 8e 3a
      ..../a.E..`.5..:
                      00000020: 6b 96 7c 9a f6 79 91 73  c1 e9 68 78 82 88 29 07  k.
    |..y.s..hx..).
                  00000030: 8f 71 ef 09
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 04 04 22 00 04
          ....."..
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 2c 01 01 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:48 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct
                  00000030: 2c 14 ca 45
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 00 00 04 03 20 00 04
          ........
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 03 00 39 01 00 0d ca  b3 f9 35 00 0a 60 b
    a 20  ...9......5..`..
                          00000010: 82 55 76 30 27 6f 92 2e  ee ce 49 c8 c2 5c 24 01
      .Uv0'o....I..\$.
                      00000020: 33 8e 39 fb a6 f4 fa 72  09 8b ae 1a d5 ab 84 73  3.
    9....r.......s
                  00000030: e9 b9 28 85
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 03 00 2c 01 00 0d ca  b3 f9 35 00 0a 60 b
    b 2b  ...,......5..`.+
                          00000010: fa 79 fc 30 50 de dd a0  95 95 cb 50 25 19 0a 80
      .y.0P......P%...
                      00000020: 1e e8 3e bf 8b 7a e3 a1  37 2a 07 8d ef 24 72 47  ..
    >..z..7*...$rG
  • debug aaa events enable — Habilita a saída da depuração de todos os eventos AAA. Aqui está uma saída de depuração de exemplo de um processo de autenticação que falhou:

    (Cisco Controller) >debug aaa events enable
    
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Successful trans
    mission of Authentication Packet (id 145) to 10.77.244.196:1812, proxy state 00:
    40:96:af:3e:93-96:af
    Mon Oct 22 20:14:35 2007: ****Enter processIncomingMessages: response code=11
    Mon Oct 22 20:14:35 2007: ****Enter processRadiusResponse: response code=11
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIU
    S server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 9
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 146) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    ..................................................................................
    ..................................................................................
    ..................................................................................
    ..................................................................................
    Mon Oct 22 20:14:35 2007: ****Enter processIncomingMessages: response code
    Mon Oct 22 20:14:35 2007: ****Enter processRadiusResponse: response code=3
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Access-Reject received from RADIUS s
    erver 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 9
    Mon Oct 22 20:14:42 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 149) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    

Troubleshooting

Dicas para Troubleshooting

  • Certifique-se de que a caixa de seleção Validate Server Identity esteja desabilitada para o perfil de cliente para o provisionamento In-Band anônimo.

  • Certifique-se de que EAP-MSCHAPver2 esteja selecionado como o método autenticado no perfil de cliente para o provisionamento In-Band anônimo. Este é o único método EAP interno aplicável na fase zero para o provisionamento In-Band anônimo.

  • Certifique-se de que as credenciais de usuário inseridas no lado do cliente no momento da autenticação já estejam configuradas no ACS.

  • Verifique se o servidor RADIUS está selecionado no menu suspenso da WLAN (SSID).

  • Se você usa o Wi-Fi Protected Access (WPA), será necessário instalar o hotfix do Microsft WPA mais recente para o Windows XP SP2. Além disso, você também deve atualizar o driver do cliente solicitante para a versão mais recente.

  • A mensagem de erro [SECURITY] 1x_ptsm.c 391: MAX EAPOL-Key M3 retransmissions reached significa que a placa não respondeu à solicitação de sua identidade. Você pode estender os temporizadores de EAP nos controladores para aguardar as informações 802.1x se você usa estes comandos na linha de comando do WLC:

    • config advanced eap identity-request-timeout 120 c

    • config advanced eap identity-request-retries 20

    • config advanced eap request-timeout 120

    • config advanced eap request-retries 20 save config

Extração do Arquivo de Pacote do Servidor RADIUS do ACS para Troubleshooting

Se você usa o ACS como o servidor RADIUS externo, esta seção pode ser usada para fazer troubleshooting. O arquivo package.cab é um zip que contém todos os arquivos necessários fazer com eficiência o troubleshooting do ACS. Você pode usar o utilitário CSSupport.exe para criar o package.cab ou pode obter os arquivos manualmente.

Consulte a seção Criação de um Arquivo package.cab File de Obtendo as Informações de Depuração e de Versão do AAA para Cisco Secure ACS for Windows para obter mais informações sobre como criar e extrair o arquivo de pacotes do sistema de controle wireless (WCS).


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 99791