Sem fio/Mobilidade : """Sem fio, fixa"""

Cisco Secure Services Client com Autenticação EAP-FAST

8 Junho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (6 Dezembro 2006) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componente Utilizados
      Convenções
Parâmetros de Design
      Banco de Dados
      Criptografia
      Credenciais de Equipamento e Login Único
Diagrama de Rede
Configuração do Access Control Server (ACS)
      Adição de Ponto de Acesso como Cliente AAA (NAS) no ACS
      Configuração do ACS para Consulta ao Banco de Dados Externo
      Habilitação de Suporte ao EAP-FAST no ACS
      Controlador de WLAN da Cisco
Configuração do Controlador de LAN Wireless
      Operação Básica e Registro do LAP no Controlador
      Autenticação RADIUS através do Cisco Secure ACS
      Configuração dos Parâmetros de WLAN
Operação de Verificação
Apêndice
      Captura de Sniffer para Trocas EAP-FAST
      Depuração no Controlador de WLAN
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve como configurar o Cisco Secure Services Client (CSSC) com os controladores de LAN Wireless, o software Microsoft Windows 2000® e o Cisco Secure Access Control Server (ACS) 4.0 através do EAP-FAST. Ele introduz a arquitetura EAP-FAST e fornece exemplos de implementação e configuração. O CSSC é o componente cliente do software que fornece comunicação de credenciais de usuários para a infra-estrutura com o intuito de autenticar um usuário na rede e atribuir o acesso apropriado.

Aqui estão algumas vantagens da solução CSSC conforme descrito neste documento:

  • Autenticação de cada usuário (ou dispositivo) antes da permissão de acesso à WLAN/LAN com Extensible Authentication Protocol (EAP)

  • Solução de segurança de WLAN ponta a ponta com servidor, autenticador e componentes clientes

  • Solução comum para autenticação com fio e wireless

  • Chaves de criptografia por usuário dinâmicas derivadas no processo de autenticação

  • Nenhum requisito para Public Key Infrastructure (PKI) ou certificados (verificação de certificado opcional)

  • Atribuição de diretiva de acesso e/ou estrutura EAP habilitada para NAC

Nota: Consulte Apresentação de Redes Wireless Cisco SAFE para obter informações sobre a implementação de redes wireless seguras.

A estrutura de autenticação 802.1x foi incorporada como parte do padrão 802.11i (Segurança de LAN Wireless) para permitir a autenticação, a autorização e as funções de contabilidade com base na camada 2 em uma rede LAN wireless 802.11. Hoje, há vários protocolos EAP disponíveis para implementação em ambas as redes com fio e wireless. Os protocolos EAP comumente implementados são LEAP, PEAP e EAP-TLS. Além desses protocolos, a Cisco definiu e implementou o protocolo EAP Flexible Authentication through Secured Tunnel (EAP-FAST) como um protocolo EAP baseado em padrões disponível para implementação em ambas as redes LAN com fio e wireless. A especificação do protocolo EAP-FAST está disponível publicamente no Site da IETF leavingcisco.com.

Conforme outros protocolos EAP, o EAP-FAST é uma arquitetura de segurança cliente-servidor que criptografa transações EAP em um túnel TLS. Apesar de ser semelhante ao PEAP ou ao EAP-TTLS nesse aspecto, ele difere no que diz respeito ao estabelecimento do túnel EAP-FAST que é baseado em chaves secretas fortes compartilhadas que são exclusivas para cada usuário versus PEAP/EAP-TTLS (que usa um certificado X.509 de servidor para proteger a sessão de autenticação). Essas chaves secretas compartilhadas são chamadas Credenciais de Acesso Protegidas (PACs) e podem ser distribuídas automática (provisionamento automático ou em banda) ou manualmente (provisionamento manual ou fora de banda) para dispositivos clientes. Como os handshakes baseados em segredos compartilhados são mais eficientes que os handshakes baseados em uma infra-estrutura PKI, o EAP-FAST é o tipo de EAP mais rápido e que menos exige do processador entre os que oferecem trocas de autenticação protegidas. O EAP-FAST também foi projetado para simplicidade de implementação, pois ele não exige um certificado em um cliente de LAN wireless ou na infra-estrutura RADIUS, mas ainda incorpora um mecanismo de provisionamento interno.

Estes são os principais recursos do protocolo EAP-FAST:

  • Login único (SSO) com nome de de usuário e senha do Windows

  • Suporte à execução de scripts de login

  • Suporte ao Wi-Fi Protected Access (WPA) sem suplicante de terceiros (somente Windows 2000 e XP)

  • Implementação simples sem exigência de infra-estrutura PKI

  • Validade de senhas do Windows (isto é, suporte à expiração de senhas com base no servidor)

  • Integração com o Cisco Trust Agent for Network Admission Control com o software cliente apropriado

Pré-requisitos

Requisitos

É assumido que o instalador possua conhecimento básico sobre a instalação do Windows 2003 e sobre a instalação do Cisco WLC, pois este documento abrange somente configurações específicas para facilitar os testes.

Para obter informações sobre a instalação e a configuração iniciais dos Cisco 4400 Series Controllers, consulte o Guia de Introdução: Cisco 4400 Series Wireless LAN Controllers. Para obter informações sobre a instalação e a configuração iniciais dos Cisco 2000 Series Controllers, consulte o Guia de Introdução: Cisco 2000 Series Wireless LAN Controllers.

Antes de iniciar, instale o Microsoft Windows Server 2000 com o último software de service pack. Instale os controladores e os pontos de acesso lightweight (LAPs) e verifique se as últimas atualizações de software estão configuradas.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 2006 ou 4400 Series Controller que executa 4.0.155.5

  • Cisco 1242 LWAPP AP

  • Windows 2000 com Active Directory

  • Cisco Catalyst 3750G Switch

  • Windows XP com CB21AG Adapter Card e Cisco Secure Services Client Version 4.05

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Parâmetros de Design

Banco de Dados

Quando você implementa uma rede WLAN e busca um protocolo de autenticação, geralmente é comum usar um banco de dados atual para autenticação de usuários/equipamentos. Os bancos de dados comuns que podem ser usados são Windows Active Directory, LDAP ou um banco de dados One Time Password (OTP) (isto é, RSA ou SecureID). Todos esses bancos de dados são compatíveis com o protocolo EAP-FAST, mas quando você planeja a implementação, há alguns requisitos de compatibilidade que devem ser considerados. A implementação inicial de um arquivo PAC em clientes pode ser obtida através de provisionamento automático anônimo, provisionamento autenticado (através do certificado X.509 do cliente atual) ou provisionamento manual. Neste documento, o provisionamento automático anônimo e o provisionamento manual são abordados.

O provisionamento de PAC automático usa o Authenticated Diffie-Hellman Key Agreement Protocol (ADHP) para estabelecer um túnel seguro. O túnel seguro pode ser estabelecido de forma anônima ou através de um mecanismo de autenticação de servidor. Na conexão de túnel estabelecida, MS-CHAPv2 é usado para autenticar o cliente e, caso a autenticação seja bem-sucedida, para distribuir o arquivo PAC ao cliente. Após as PAC terem sido provisionadas com êxito, o arquivo PAC poderá ser usado para iniciar uma nova sessão de autenticação EAP-FAST para obter acesso seguro à rede.

O provisionamento de PAC automático é relevante para o banco de dados em uso porque, como o mecanismo de provisionamento automático confia no MSCHAPv2, o banco de dados usado para autenticar usuários deve ser compatível com esse formato de senha. Se você usar EAP-FAST com um banco de dados que não ofereça suporte ao formato MSCHAPv2 (como OTP, Novell, ou LDAP), é necessário empregar algum outro mecanismo (isto é, provisionamento manual ou autenticado) para implementar os arquivos PAC de usuários. Este documento fornece um exemplo de provisionamento automático com o banco de dados de usuários do Windows.

Criptografia

A autenticação EAP-FAST não requer o uso de um tipo de criptografia de WLAN específica. O tipo de criptografia de WLAN a ser usado é determinado pelos recursos da NIC do cliente. É recomendável empregar criptografia WPA2 (AES-CCM) ou WPA(TKIP), dependendo dos recursos da NIC na implementação específica. Note que a solução de WLAN da Cisco permite a coexistência de ambos os dispositivos clientes WPA2 e WPA em um SSID comum.

Se os dispositivos clientes não oferecerem suporte a WPA2 ou WPA, é possível implementar a autenticação 802.1X com chaves WEP dinâmicas, mas, devido a utilizações indevidas das chaves WEP, esse mecanismo de criptografia de WLAN não é recomendado. Se for necessário oferecer suporte somente a clientes WEP, é recomendável empregar um intervalo de timeout de sessão que requeira que os clientes derivem uma nova chave WEP em um intervalo freqüente. Trinta minutos é o intervalo de sessão recomendado para taxas de dados de WLAN típicas.

Credenciais de Equipamento e Login Único

Login Único é a habilidade de login único de usuário ou entrada de credenciais de autenticação serem usados para acessar vários aplicativos ou dispositivos. Neste documento, Login Único refere-se ao uso das credenciais que são usadas para fazer login em um PC para autenticação na WLAN.

Com o Cisco Secure Services Client, também é possível usar as credenciais de login de um usuário para autenticação na rede WLAN. Se for necessário autenticar um PC na rede antes do login do usuário no PC, é necessário usar as credenciais de usuário armazenadas ou as credenciais vinculadas a um perfil de equipamento. Qualquer um desses métodos será útil se for necessário executar scripts de login ou mapear unidades quando o PC for inicializado, em vez de quando um usuário fizer login.

Diagrama de Rede

Este é o diagrama de rede utilizado neste documento. Nesta rede, há quatro sub-redes utilizadas. Note que não é necessário segmentar estes dispositivos em redes diferentes, mas isso permite flexibilidade máxima para integração com redes reais. O Catalyst 3750G Integrated Wireless LAN Controller oferece portas de switch Power Over Ethernet (POE), switching L3 e recurso de controlador de WLAN em um chassi comum.

  1. Rede 10.1.1.0 é a rede de servidor onde o ACS reside.

  2. Rede 10.10.80.0 é a rede de gerenciamento utilizada pelo controlador de WLAN.

  3. Rede 10.10.81.0 é a rede onde os APs (pontos de acesso) residem.

  4. Rede 10.10.82.0 é usada para clientes WLAN.

CSSC_Deployment_Guide1.gif

Configuração do Access Control Server (ACS)

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados neste documento.

Adição de Ponto de Acesso como Cliente AAA (NAS) no ACS

Esta seção descreve como configurar o ACS para EAP-FAST com provisionamento de PAC em banda com o Windows Active Directory como o banco de dados externo.

  1. Faça login no ACS > Network Configuration e clique em Add Entry.

  2. Preencha o nome do controlador de WLAN, o endereço IP, a chave secreta compartilhada e, em Authenticate Using, escolha RADIUS (Cisco Airespace) que também inclui os atributos RADIUS IETF.

    Nota:  Se os Network Device Groups (NDG) estiverem habilitados, primeiro escolha o NDG apropriado e adicione o controlador de WLAN a ele. Consulte o Guia de Configuração do ACS para obter detalhes sobre NDG.

  3. Clique em Submit+ Restart.

    CSSC_Deployment_Guide2.gif

Configuração do ACS para Consulta ao Banco de Dados Externo

Esta seção descreve como configurar o ACS para consultar o banco de dados externo.

  1. Clique em External User Database > Database Configuration > Windows Database > Configure.

  2. Em Configure Domain List, mova Domains de Available Domains para Domain List.

    Nota: O servidor que executa o ACS deve conhecer esses domínios para que o aplicativo do ACS detecte e use esses domínios com fins de autenticação.

    CSSC_Deployment_Guide3.gif

  3. Em Windows EAP Settings, configure a opção para permitir a alteração de senha na sessão PEAP ou EAP-FAST. Consulte o Guia de Configuração do Cisco Secure ACS 4.1 para obter mais detalhes sobre o EAP-FAST e a validade de senhas do Windows.

  4. Clique em Submit.

    Nota: Você também pode habilitar o recurso Dialin Permission para EAP-FAST em Windows User Database Configuration de forma a permitir que o banco de dados externo do Windows controle as permissões de acesso. As configurações de MS-CHAP para alteração de senha na página de configuração do banco de dados do Windows são aplicáveis somente à autenticação não-EAP MS-CHAP. Para permitir a alteração de senhas em conjunto com o EAP-FAST, é necessário permitir a alteração de senhas nas configurações de EAP do Windows.

    CSSC_Deployment_Guide4.gif

  5. Clique em External User Database > Unknown User Policy e escolha o botão de opção Check the following external user databases.

  6. Mova o Banco de Dados do Windows de External Databases para Selected Databases.

  7. Clique em Submit.

    Nota: A partir desse ponto, o ACS verificará o banco de dados do Windows. Se o usuário não for encontrado no banco de dados local do ACS, ele colocará o usuário no grupo padrão do ACS. Consulte a documentação do ACS para obter mais detalhes sobre os Mapeamentos de Grupos de Banco de Dados.

    Nota: Como o ACS consulta o banco de dados do Microsoft Active Directory para verificar credenciais de usuários, configurações de direitos de acesso adicionais precisam ser definidas no Windows. Consulte o Guia de Instalação do Cisco Secure ACS para Windows Server para obter detalhes.

    CSSC_Deployment_Guide5.gif

Habilitação de Suporte ao EAP-FAST no ACS

Esta seção descreve como habilitar o suporte ao EAP-FAST no ACS.

  1. Vá para System Configuration > Global Authentication Setup > EAP-FAST Configuration.

  2. Escolha Allow EAP-FAST.

  3. Configure estas recomendações: Master key TTL/ Retired master key TTL/ PAC TTL. Estas configurações são definidas por padrão no Cisco Secure ACS:

    • Master Key TTL:1 month

    • Retired Key TTL: 3 months

    • PAC TTL: 1 week

  4. Preencha o campo Authority ID Info. Esse texto é mostrado em algum software cliente EAP-FAST onde a seleção da Autoridade de PAC é o controlador.

    Nota: O Cisco Secure Services Client não emprega esse texto descritivo para a autoridade de PAC.

  5. Escolha o campo Allow in-band PAC provisioning. Esse campo ativa o Provisionamento de PAC Automático para clientes EAP-FAST corretamente habilitados. Neste exemplo, o provisionamento automático é empregado.

  6. Escolha Allowed inner methods: EAP-GTC e EAP-MSCHAP2. Isso permite a operação de ambos os clientes EAP-FAST v1 e EAP-FAST v1a. (O Cisco Secure Services Client oferece suporte a EAP-FAST v1a.) Se não for necessário oferecer suporte a clientes EAP-FAST v1, somente EAP-MSCHAPv2 precisa ser habilitado como um método interno.

  7. Marque a caixa de seleção EAP-FAST Master Server para habilitar este servidor EAP-FAST como o mestre. Isso permite que outros servidores ACS utilizem esse servidor como a autoridade de PAC mestre para evitar o provisionamento de chaves exclusivas para cada ACS em uma rede. Consulte o Guia de Configuração do ACS para obter detalhes.

  8. Clique em Submit+Restart.

    CSSC_Deployment_Guide6.gif

Controlador de WLAN da Cisco

Neste Guia de Implementação, um Cisco WS3750G Integrated Wireless LAN Controller (WLC) é utilizado com os Cisco AP1240 Lightweight APs (LAP) para fornecer a infra-estrutura de WLAN para testes do CSSC. A configuração é aplicável a qualquer controlador de WLAN da Cisco. A versão do software empregada é 4.0.155.5.

Configuração do Controlador de LAN Wireless

Operação Básica e Registro do LAP no Controlador

Utilize o assistente de configuração de inicialização na CLI (interface de linha de comando) para configurar o WLC para operação básica. Como alternativa, você pode usar a GUI (interface gráfica do usuário) para configurar o WLC. Este documento explica a configuração no WLC com o assistente de configuração de inicialização na CLI.

Após a reinicialização do WLC pela primeira vez, ele inicia o assistente de configuração de inicialização. Utilize o assistente de configuração para definir as configurações básicas. Você pode acessar o assistente através da CLI ou da GUI. Esta saída mostra um exemplo do assistente de configuração de inicialização na CLI:

Welcome to the Cisco Wizard Configuration Tool
Use the '-' character to backup
System Name [Cisco_33:84:a0]: ws-3750
Enter Administrative User Name (24 characters max): admin
Enter Administrative Password (24 characters max): *****
Management Interface IP Address: 10.10.80.3
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 10.10.80.2
Management Interface VLAN Identifier (0 = untagged):
Management Interface DHCP Server IP Address: 10.10.80.2
AP Manager Interface IP Address: 10.10.80.4
AP-Manager is on Management subnet, using same values
AP Manager Interface DHCP Server (172.16.1.1):
Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: Security
Network Name (SSID): Enterprise
Allow Static IP Addresses [YES][no]: yes
Configure a RADIUS Server now? [YES][no]: no
Warning! The default WLAN security policy requires a RADIUS server.
Please see documentation for more details.
Enter Country Code (enter 'help' for a list of countries) [US]:
Enable 802.11b Network [YES][no]: yes
Enable 802.11a Network [YES][no]: yes
Enable 802.11g Network [YES][no]: yes
Enable Auto-RF [YES][no]: yes

Configuration saved!
Resetting system with new configuration.

Esses parâmetros configuram o WLC para operação básica. Nessa configuração de exemplo, o WLC usa 10.10.80.3 como o endereço IP da interface de gerenciamento e 10.10.80.4 como o endereço IP da interface do gerenciador de AP.

Antes que quaisquer outros recursos possam ser configurados nos WLCs, os LAPs devem se registrar no WLC. Este documento assume que o LAP está registrado no WLC. Consulte a seção Registro de AP Lightweight nos WLCs de Exemplo de Configuração de Failover de Controlador de WLAN para Pontos de Acesso Lightweight para obter informações sobre o registro de APs Lightweight no WLC. Como referência neste exemplo de configuração, os AP1240s são implementados em uma sub-rede separada (10.10.81.0/24) do controlador de WLAN (10.10.80.0/24) e a opção 43 de DHCP é usada para oferecer detecção de controladores.

Autenticação RADIUS através do Cisco Secure ACS

O WLC precisa ser configurado para encaminhar credenciais de usuários ao servidor Cisco Secure ACS. O servidor ACS valida as credenciais do usuário (através do banco de dados do Windows configurado) e oferece acesso a clientes wireless.

Execute estes passos para configurar o WLC para comunicação com o servidor ACS:

  1. Clique em Security e RADIUS Authentication na GUI do controlador para exibir a página RADIUS Authentication Servers. Em seguida, clique em New para definir o servidor ACS.

    CSSC_Deployment_Guide7.gif

  2. Defina os parâmetros do servidor ACS na página RADIUS Authentication Servers > New. Esses parâmetros incluem o Endereço IP, o Segredo Compartilhado, o Número da Porta e o Status do Servidor ACS.

    Nota: Os números de portas 1645 ou 1812 são compatíveis com o ACS para autenticação RADIUS.

    As caixas de seleção Network User and Management determinam se a autenticação baseada em RADIUS se aplica a usuários de rede (por exemplo, clientes de WLAN) e gerenciamento (isto é, usuários administrativos). A configuração de exemplo utiliza o Cisco Secure ACS como o servidor RADIUS com o endereço IP 10.1.1.12:

    CSSC_Deployment_Guide8.gif

Configuração dos Parâmetros de WLAN

Esta seção descreve a configuração do Cisco Secure Services Client. Neste exemplo, o CSSC v4.0.5.4783 é usado com um adaptador de cliente Cisco CB21AG. Antes da instalação do software CSSC, verifique se somente os drivers para o CB21AG estão instalados, e não o Aironet Desktop Utility (ADU).

Uma vez que o software esteja instalado e seja executado como um serviço, ele procura redes disponíveis e as exibe.

Nota: O CSSC desativa o Windows Zero Config.

Nota: Somente os SSIDs habilitados para broadcast são visíveis.

CSSC_Deployment_Guide11.gif

Nota: O Controlador de WLAN, por padrão, difunde o SSID, de forma que ele seja mostrado na lista Create Networks de SSIDs verificados. Para criar um Perfil de Rede, você pode simplesmente clicar no SSID na lista (Enterprise) e no botão de opção Create Network.

Se a infra-estrutura de WLAN for configurada com o SSID de broadcast desabilitado, você deverá adicionar o SSID manualmente; clique no botão de opção Add em Access Devices e insira o SSID apropriado (por exemplo, Enterprise). Configure o comportamento de investigação ativo para o cliente, isto é, onde o cliente ativamente sonda o seu SSID configurado; especifique Actively search for this access device após você inserir o SSID na janela Add Access Device.

Nota: As configurações de porta não permitirão modos corporativos (802.1X) se as configurações de autenticação EAP não forem primeiro configuradas para o perfil.

O botão de opção Create Network inicia a janela Network Profile que permite que você associe o SSID escolhido (ou configurado) a um mecanismo de autenticação. Atribua um nome descritivo para o perfil.

Nota: Vários tipos de segurança de WLAN e/ou SSIDs podem ser associados neste perfil de autenticação.

Para que o cliente conecte automaticamente à rede quando estiver no intervalo de cobertura de RF, escolha Automatically establish User connection. Desmarque Available to all users se não desejar usar este perfil com outras contas de usuário no equipamento. Se a opção Automatically establish não for escolhida, o usuário deverá abrir a janela do CSSC e iniciar manualmente a conexão de WLAN com o botão de opção Connect.

Se desejar iniciar a conexão de WLAN antes do login do usuário, escolha Before user account. Isso permite a operação de Login Único com as credenciais de usuário salvas (senha ou certificado/Smartcard quando você usa TLS no EAP-FAST).

CSSC_Deployment_Guide12.gif

Nota: Para operação WPA/TKIP com o Cisco Aironet 350 Series Client Adapter, é necessário desativar a validação de handshake WPA, pois há uma incompatibilidade entre o cliente CSSC e os drivers 350 com relação à validação de hash de handshake de WPA. Isso é desativado em Client > Advanced Settings > WPA/WPA2 Handshake Validation. A validação de handshake desabilitada ainda permite os recursos de segurança herdados na WPA (chaveamento por pacote TKIP e Verificação de Integridade de Mensagens), mas desabilita a autenticação de chave WPA inicial.

CSSC_Deployment_Guide13.gif

Em Network Configuration Summary, clique em Modify para definir as configurações de credenciais/EAP. Especifique Turn On Authentication, escolha FAST em Protocol e 'Anonymous' as Identity (para não usar nome de usuário na solicitação EAP inicial). É possível usar Use Username as Identity como a identidade EAP externa, mas muitos clientes não desejam expor as IDs de usuários na solicitação EAP descriptografada inicial. Especifique Use Single Sign on Credentials para usar as credenciais de login para autenticação de rede. Clique em Configure para configurar os parâmetros EAP-FAST.

CSSC_Deployment_Guide14.gif

Nas configurações FAST, é possível especificar Validate Server Certificate que permite que o cliente valide o certificado do servidor EAP-FAST server (ACS) antes do estabelecimento de uma sessão EAP-FAST. Isso fornece proteção para dispositivos clientes contra conexão a um servidor EAP-FAST não autorizado ou desconhecido e envio inadvertido de suas credenciais de autenticação a uma origem não confiável. Isso não requer que o servidor ACS possua um certificado instalado e que o cliente também possua o certificado da Autoridade de Certificado Raiz correspondente instalado. Neste exemplo, a validação de certificado do servidor não está habilitada.

Em configurações FAST, é possível especificar Allow Fast Session Resumption que permite o recomeço de uma sessão EAP-FAST com base nas informações de túnel (sessão TLS) em vez do requisito de uma reautenticação EAP-FAST completa. Se o servidor e o cliente EAP-FAST conhecerem as informações da sessão TLS negociadas na troca da autenticação EAP-FAST, a sessão poderá ser recomeçada.

Nota: Ambos o servidor e o cliente EAP-FAST devem estar configurados para que a sessão EAP-FAST continue.

Em Tunneled Method > EAP-TLS Settings, especifique Any Method para permitir o EAP-MSCHAPv2 para provisionamento automático de PAC e EAP-GTC para autenticação. Se você usar um banco de dados com formato da Microsoft, como o Active Directory, e se ele não oferecer suporte a clientes EAP-FAST v1 na rede, você também poderá especificar o uso do MSCHAPv2 apenas como o Método de Túnel.

Nota: A opção Validate Server Certificate está habilitada por padrão nas configurações EAP-TLS desta janela. Como o exemplo não usa o EAP-TLS como o método de autenticação interno, esse campo não é aplicável. Se esse campo estiver habilitado, ele permitirá que o cliente valide o certificado do servidor, além da validação do servidor do certificado do cliente no EAP-TLS.

CSSC_Deployment_Guide15.gif

Clique em OK para salvar as configurações EAP-FAST. Como o cliente está configurado para "estabelecimento automático" no perfil, ele iniciará automaticamente uma associação/autenticação na rede. Na guia Manage Networks, os campos Network, Status e Data indicam o status da conexão do cliente. No exemplo, a Rede Corporativa do Perfil é exibida como em uso, e o Dispositivo de Acesso à Rede é a Empresa do SSID, que indica Connected:Authenticated e usa Autoconnect. O campo Data Security indica o tipo de criptografia 802.11 empregado que é, por exemplo, WPA2.

CSSC_Deployment_Guide16.gif

Após a autenticação do cliente, escolha SSID em Profile na guia Manage Networks e clique em Status para consultar os detalhes de conexão. A janela Connection Details fornece informações sobre o dispositivo cliente, o status da conexão e as estatísticas, além do método de autenticação. A guia WiFi Details fornece detalhes sobre o status da conexão 802.11 que inclui o RSSI, o canal 802.11 e a autenticação/criptografia.

CSSC_Deployment_Guide17.gif

CSSC_Deployment_Guide18.gif

Como um administrador de sistema, você tem direito ao utilitário de diagnóstico, Cisco Secure Services Client System Report, que está disponível com a distribuição do CSSC padrão. Esse utilitário está disponível no menu Iniciar ou no diretório do CSSC. Para obter dados, clique em Collect Data > Copy to Clipboard > Locate Report File. Isso direciona a janela Microsoft File Explorer para o diretório com o arquivo do relatório compactado. No arquivo compactado, os dados mais comumente utilizados estão localizados no log (log_current).

O utilitário fornece o status atual do CSSC, a interface e os detalhes do driver, junto com as informações de WLAN (SSID detectado, status de associação, etc). Isso pode ser útil, especialmente para diagnosticar problemas de conectividade entre o CSSC e o adaptador de WLAN.

Operação de Verificação

Após a configuração do servidor Cisco Secure ACS, do controlador de WLAN, do cliente CSSC e assumindo a configuração correta e o povoamento do banco de dados, a rede WLAN é configurada para autenticação EAP-FAST e comunicação segura com o cliente. Há vários pontos que podem ser monitorados para verificar o andameneto/os erros de uma sessão segura.

Para testar a configuração, tente associar um cliente wireless ao controlador de WLAN com a autenticação EAP-FAST.

  1. Se o CSSC estiver configurado para conexão automática, o cliente tentará esta conexão automaticamente. Se ele não estiver configurado para operação de conexão automática e login único, o usuário deverá iniciar a conexão WLAN através do botão de opção Connect. Isso inicia o processo de associação 802.11 sobre o qual a autenticação EAP ocorre.

    Este é um exemplo:

    CSSC_Deployment_Guide19.gif

  2. Posteriormente, é solicitado que o usuário forneça o nome de usuário e, em seguida, a senha para a autenticação EAP-FAST (da Autoridade de PAC EAP-FAST ou do ACS).

    Este é um exemplo:

    CSSC_Deployment_Guide20.gif

    CSSC_Deployment_Guide21.gif

  3. O cliente CSSC, por meio do WLC, transmite as credenciais do usuário para o servidor RADIUS (Cisco Secure ACS) a fim de validá-las. O ACS verifica as credenciais do usuário com uma comparação dos dados e do banco de dados configurado (na configuração de exemplo, o banco de dados externo é o Windows Active Directory) e fornece acesso ao cliente wireless sempre que as credenciais do usuário são válidas. O relatório Passed Authentications no servidor ACS mostra que o cliente passou a autenticação RADIUS/EAP.

    Este é um exemplo:

    CSSC_Deployment_Guide22.gif

  4. Se houver êxito na autenticação RADIUS/EAP, o cliente wireless (00:40:96:ab:36:2f neste exemplo) será autenticado com o controlador de AP/ WLAN.

    CSSC_Deployment_Guide23.gif

Apêndice

Além das informações de diagnóstico e status disponíveis no Cisco Secure ACS e no Cisco WLAN Controller, há pontos adicionais que podem ser usados para diagnosticar a autenticação EAP-FAST. Apesar da maioria dos problemas de autenticação poderem ser diagnosticados sem o uso de um sniffer de WLAN ou trocas EAP de depuração no controlador WLAN, este material de referência está incluído na solução de problemas da ajuda.

Captura de Sniffer para Trocas EAP-FAST

Esta captura de sniffer 802.11 mostra a troca de autenticação.

CSSC_Deployment_Guide24.gif

Este pacote mostra a resposta EAP-FAST EAP inicial.

Nota: Como configurado no cliente CSSC, anônimo é usado como a identidade EAP externa na resposta EAP.

CSSC_Deployment_Guide25.gif

Depuração no Controlador de WLAN

Estes comandos de depuração podem ser empregados no controlador de WLAN para monitorar o andamento da troca de autenticação:

  • debug aaa events enable

  • debug aaa detail enable

  • debug dot1x events enable

  • debug dot1x states enable

Este é um exemplo do início da transação de autenticação entre o cliente CSSC e o ACS monitorada no controlador de WLAN com as depurações:

Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Processing RSN IE type 48,
   length 20 for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received RSN IE with
   0 PMKIDs from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f dot1x -
   moving mobile 00:40:96:a0:36:2f into Connecting state
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAP-
   Request/Identity to mobile 00:40:96:a0:36:2f (EAP Id 1)
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received Identity Response
   (count=1) from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f EAP State update from
   Connecting to Authenticating for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f dot1x - moving mobile
   00:40:96:a0:36:2f into Authenticating state
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Entering Backend Auth
   Response state for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: AuthenticationRequest: 0x138dd764
Thu Aug 24 18:20:54 2006:       Callback.......0x10372764
Thu Aug 24 18:20:54 2006:       protocolType...0x00040001
Thu Aug 24 18:20:54 2006:       proxyState.....00:40:96:A0:36:2F-11:00
Thu Aug 24 18:20:54 2006:       Packet contains 15 AVPs (not shown)
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Successful transmission of
   Authentication Packet (id 84) to 10.1.1.12:1812, proxy state0
Thu Aug 24 18:20:54 2006: ****Enter processIncomingMessages: response code=11
Thu Aug 24 18:20:54 2006: ****Enter processRadiusResponse: response code=11
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Access-Challenge received from
   RADIUS server 10.1.1.12 for mobile 00:40:96:a0:36:2f rec7
Thu Aug 24 18:20:54 2006: AuthorizationResponse: 0x11c8a394
Thu Aug 24 18:20:54 2006:       structureSize..147
Thu Aug 24 18:20:54 2006:       resultCode.....255
Thu Aug 24 18:20:54 2006:       protocolUsed...0x00000001
Thu Aug 24 18:20:54 2006:       proxyState.....00:40:96:A0:36:2F-11:00
Thu Aug 24 18:20:54 2006:       Packet contains 4 AVPs (not shown)
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Processing Access-Challenge
   for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Entering Backend Auth Req state
   (id=249) for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f WARNING:
   updated EAP-Identifer 1 ===> 249 for STA 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAP Request from
   AAA to mobile 00:40:96:a0:36:2f (EAP Id 249)
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAP Response from
   mobile 00:40:96:a0:36:2f (EAP Id 249, EAP Type 3)

Esta á a conclusão bem-sucedida da troca EAP da depuração do controlador (com a autenticação WPA2):

Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Processing Access-
   Accept for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Applying new AAA
   override for station 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Override values for station
   00:40:96:a0:36:2f source: 4, valid bits: 0x0
qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout:
   -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, r1'
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Unable to apply override
   policy for station 00:40:96:a0:36:2f - VapAllowRadiusOverride E
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Creating a new PMK Cache Entry
   for station 00:40:96:a0:36:2f (RSN 2)
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Adding BSSID
   00:14:1b:5a:33:d0 to PMKID cache for station 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: New PMKID: (16)
Thu Aug 24 18:20:54 2006:      [0000] a6 c0 02 95 66 e8 ed 9b 1c 65 9b
   72 1f 3f 5f 5b
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAP-Success
   to mobile 00:40:96:a0:36:2f (EAP Id 0)
Thu Aug 24 18:20:54 2006: Including PMKID in M1  (16)
Thu Aug 24 18:20:54 2006:
   [0000] a6 c0 02 95 66 e8 ed 9b 1c 65 9b 72 1f 3f 5f 5b
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAPOL-Key Message to
   mobile 00:40:96:a0:36:2f state INITPMK (message 1), repl0
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Entering Backend
   Auth Success state (id=0) for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received Auth Success
   while in Authenticating state for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f dot1x -
   moving mobile 00:40:96:a0:36:2f into Authenticated state
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAPOL-
   Key from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Invalid EAPOL version
   (1) in EAPOL-key message from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAPOL-key
   in PKT_START state (message 2) from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Stopping retransmission
   timer for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAPOL-Key Message
   to mobile 00:40:96:a0:36:2f state PTKINITNEGOTIATING (messa1
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received
   EAPOL-Key from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Invalid EAPOL version (1)
   in EAPOL-key message from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAPOL-key in
   PTKINITNEGOTIATING state (message 4) from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: AccountingMessage
   Accounting Interim: 0x138dd764
Thu Aug 24 18:20:54 2006: Packet contains 20 AVPs:
Thu Aug 24 18:20:54 2006:
   AVP[01] User-Name..................enterprise (10 bytes)
Thu Aug 24 18:20:54 2006: AVP[02]
   Nas-Port...........................0x0000001d (29) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[03]
   Nas-Ip-Address.....................0x0a0a5003 (168448003) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[04]
   Class..............................CACS:0/28b5/a0a5003/29 (22 bytes)
Thu Aug 24 18:20:54 2006: AVP[05]
   NAS-Identifier.....................ws-3750 (7 bytes)
Thu Aug 24 18:20:54 2006: AVP[06]
   Airespace / WLAN-Identifier........0x00000001 (1) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[07]
   Acct-Session-Id....................44ede3b0/00:40:
   96:a0:36:2f/14 (29 bytes)
Thu Aug 24 18:20:54 2006: AVP[08]
   Acct-Authentic.....................0x00000001 (1) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[09]
   Tunnel-Type........................0x0000000d (13) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[10]
   Tunnel-Medium-Type.................0x00000006 (6) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[11]
   Tunnel-Group-Id....................0x3832 (14386) (2 bytes)
Thu Aug 24 18:20:54 2006: AVP[12]
   Acct-Status-Type...................0x00000003 (3) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[13]
   Acct-Input-Octets..................0x000b99a6 (760230) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[14]
   Acct-Output-Octets.................0x00043a27 (277031) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[15]
   Acct-Input-Packets.................0x0000444b (17483) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[16]
   Acct-Output-Packets................0x0000099b (2459) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[17]
   Acct-Session-Time..................0x00000a57 (2647) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[18]
   Acct-Delay-Time....................0x00000000 (0) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[19]
   Calling-Station-Id.................10.10.82.11 (11 bytes)
Thu Aug 24 18:20:54 2006: AVP[20]
   Called-Station-Id..................10.10.80.3 (10 bytes)
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f
   Stopping retransmission timer for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:57 2006: User admin authenticated

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 72788