Switches de LAN : 802.1x

EAP-TLS do 802.1x com comparação binária do certificado exemplo de configuração dos perfis AD e NAM

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (19 Dezembro 2015) | Feedback

Introdução

Este documento descrevem a configuração do 802.1x com Segurança da camada do Protocolo-transporte da autenticação extensível (EAP-TLS) e o sistema de controle de acesso (ACS) enquanto executa uma comparação binária do certificado entre um certificado de cliente fornecido pelo suplicante e o mesmo certificado mantido no microsoft ative directory (AD). O perfil do gerente do acesso de rede de AnyConnect (NAM) é usado para a personalização. A configuração para todos os componentes é apresentada neste documento, junto com encenações para pesquisar defeitos a configuração.

Contribuído por Michal Garcarz, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Topologia

  • suplicante do 802.1x - Windows 7 com liberação de Cliente de mobilidade Cisco AnyConnect Secure 3.1.01065 (módulo de NAM)
  • autenticador do 802.1x - 2960 Switch
  • Authentication Server do 802.1x - Liberação 5.4 ACS
  • ACS integrado com Microsoft AD - Controlador de domínio - Server de Windows 2008

Detalhes da topologia

  • ACS - 192.168.10.152
  • 2960 - 192.168.10.10 (e0/0 - suplicante conectado)
  • DC - 192.168.10.101
  • Windows 7 - DHCP

Fluxo

A estação de Windows 7 tem AnyConnect NAM instalada, que é usado como um suplicante para autenticar ao servidor ACS com o método do EAP-TLS. O interruptor com 802.1x atua como o autenticador. O certificado de usuário é verificado pelo ACS e a autorização da política aplica as políticas baseadas no Common Name (CN) do certificado. Adicionalmente, o ACS busca o certificado de usuário do AD e executa uma comparação binária com o certificado fornecido pelo suplicante.

Configuração do Switch

O interruptor tem uma configuração básica. À revelia, a porta está na quarentena VLAN 666. Esse VLAN tem um acesso restrito. Depois que o usuário é autorizado, o vlan da porta está reconfigurado.

aaa authentication login default group radius local
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control

interface Ethernet0/0
switchport access vlan 666
switchport mode access
ip device tracking maximum 10
duplex auto
authentication event fail action next-method
authentication order dot1x mab
authentication port-control auto
dot1x pae authenticator
end

radius-server host 192.168.10.152 auth-port 1645 acct-port 1646 key cisco

Preparação do certificado

Para o EAP-TLS, um certificado é exigido para o suplicante e o Authentication Server. Este exemplo é baseado em Certificados gerados OpenSSL. Microsoft Certificate Authority (CA) pode ser usado para simplificar o desenvolvimento nas redes de empreendimento.

  1. A fim gerar CA, incorpore estes comandos:
    openssl genrsa -des3 -out ca.key 1024
    openssl req -new -key ca.key -out ca.csr
    cp ca.key ca.key.org
    openssl rsa -in ca.key.org -out ca.key
    openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

    O certificado de CA é mantido no arquivo ca.crt e na chave privada (e desprotegida) no arquivo ca.key.

  2. Gerencia três certificados de usuário e um certificado para o ACS, assinado toda por esse CA:
    • CN=test1
    • CN=test2
    • CN=test3
    • CN=acs54

    O script para gerar um único certificado assinado por CA de Cisco é:

    openssl genrsa -des3 -out server.key 1024
    openssl req -new -key server.key -out server.csr

    cp server.key server.key.org
    openssl rsa -in server.key.org -out server.key

    openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial
    -out server.crt -days 365
    openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt
    -certfile ca.crt

    A chave privada está no arquivo server.key e o certificado está no arquivo server.crt. A versão do pkcs12 está no arquivo server.pfx.

  3. Fazer duplo clique cada certificado (arquivo do .pfx) para importá-lo ao controlador de domínio. No controlador de domínio, todos os três Certificados devem ser confiados.

O mesmo processo pode ser seguido em Windows 7 (suplicante) ou no diretório ativo do uso para empurrar os certificados de usuário.

Configuração do controlador de domínio

É necessário traçar o certificado específico ao usuário específico no AD.

  1. Dos usuários e dos computadores de diretório ativo, navegue à pasta de usuários.
  2. Do menu da vista, escolha recursos avançados.

  3. Adicionar estes usuários:
    • test1
    • test2
    • test3

    Nota: A senha não é importante.

  4. Da janela de propriedades, escolha a aba publicada dos Certificados. Escolha o certificado específico para o teste. Por exemplo, porque test1 o CN do usuário é test1.

    Nota: Não use o mapeamento de nome (clicar com o botão direito no username). É usado para serviços diferentes.

Nesta fase, o certificado é ativado a um usuário específico no AD. Isto pode ser verificado com o uso do ldapsearch:

ldapsearch -h 192.168.10.101 -D "CN=Administrator,CN=Users,DC=cisco-test,DC=com" -w 
Adminpass -b "DC=cisco-test,DC=com"

Os resultados do exemplo para test2 são como segue:

# test2, Users, cisco-test.com
dn: CN=test2,CN=Users,DC=cisco-test,DC=com
..................
userCertificate:: MIICuDCCAiGgAwIBAgIJAP6cPWHhMc2yMA0GCSqGSIb3DQEBBQUAMFYxCzAJ
BgNVBAYTAlBMMQwwCgYDVQQIDANNYXoxDzANBgNVBAcMBldhcnNhdzEMMAoGA1UECgwDVEFDMQwwC
gYDVQQLDANSQUMxDDAKBgNVBAMMA1RBQzAeFw0xMzAzMDYxMjUzMjdaFw0xNDAzMDYxMjUzMjdaMF
oxCzAJBgNVBAYTAlBMMQswCQYDVQQIDAJQTDEPMA0GA1UEBwwGS3Jha293MQ4wDAYDVQQKDAVDaXN
jbzENMAsGA1UECwwEQ29yZTEOMAwGA1UEAwwFdGVzdDIwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ
AoGBAMFQZywrGTQKL+LeI19ovNavCFSG2zt2HGs8qGPrf/h3o4IIvU+nN6aZPdkTdsjiuCeav8HYD
aRznaK1LURt1PeGtHlcTgcGZ1MwIGptimzG+h234GmPU59k4XSVQixARCDpMH8IBR9zOSWQLXe+kR
iZpXC444eKOh6wO/+yWb4bAgMBAAGjgYkwgYYwCwYDVR0PBAQDAgTwMHcGA1UdJQRwMG4GCCsGAQU
FBwMBBggrBgEFBQcDAgYKKwYBBAGCNwoDBAYLKwYBBAGCNwoDBAEGCCsGAQUFBwMBBggrBgEFBQgC
FQYKKwYBBAGCNwoDAQYKKwYBBAGCNxQCAQYJKwYBBAGCNxUGBggrBgEFBQcDAjANBgkqhkiG9w0BA
QUFAAOBgQCuXwAgcYqLNm6gEDTWm/OWmTFjPyA5KSDB76yVqZwr11ch7eZiNSmCtH7Pn+VILagf9o
tiFl5ttk9KX6tIvbeEC4X/mQVgAB3HuJH5sL1n/k2H10XCXKfMqMGrtsZrA64tMCcCeZRoxfAO94n
PulwF4nkcnu1xO/B7x+LpcjxjhQ==

Configuração do suplicante

  1. Instale este editor do perfil, anyconnect-profileeditor-win-3.1.00495-k9.exe.
  2. Abra o editor do perfil do gerente do acesso de rede e configurar o perfil específico.
  3. Crie uma rede ligada com fio específica.


    Nesta fase é muito importante é dar ao usuário a escolha para usar o certificado em cada autenticação. Não põe em esconderijo essa escolha. Também, use o “username” porque a identificação desprotegida ele é importante recordar que não é a mesma identificação que é usada pelo ACS para perguntar o AD para o certificado. Essa identificação será configurada no ACS.

  4. Salvar o arquivo do .xml como usuários de c:\Users\All \ Cisco \ Cliente de mobilidade Cisco AnyConnect Secure \ gerente do acesso de rede \ sistema \ configuration.xml.
  5. Reinicie o serviço de Cisco AnyConnect NAM.

Este exemplo mostrou um desenvolvimento manual do perfil. O AD podia ser usado para distribuir esse arquivo para todos os usuários. Também, o ASA podia ser usado para provision o perfil quando integrado com VPN.

Configuração ACS

  1. Junte-se ao domínio AD.

    Nomes de usuário dos fósforos AD ACS com o uso do campo do CN do certificado recebido do suplicante (neste caso é test1, test2, ou test3). A Comparação binária é permitida igualmente. Isto força o ACS para obter o certificado de usuário do AD e para compará-lo com o mesmo certificado recebido pelo suplicante. Se não combina, a autenticação falha.

  2. Configurar as sequências da loja da identidade, que usa o AD para a autenticação certificado-baseada junto com o perfil certificado.

    Isto é usado como a fonte da identidade na política da identidade do RAIO.

  3. Configurar duas políticas da autorização. A primeira política é usada para test1 e nega o acesso a esse usuário. A segunda política é usada para o teste 2 e permite o acesso com o perfil VLAN2.

    O VLAN2 é o perfil da autorização que retorna os atributos RADIUS que ligam o usuário ao VLAN2 no interruptor.

  4. Instale o certificado de CA no ACS.

  5. Gerencia e instale o certificado (para o uso do protocolo extensible authentication) assinado por CA de Cisco para o ACS.

Verificar

É boa prática desabilitar o serviço nativo do 802.1x no suplicante de Windows 7 desde que AnyConnect NAM é usado. Com o perfil configurado, é permitido ao cliente selecionar um certificado específico.

Quando o certificado test2 é usado, o interruptor recebe uma resposta do sucesso junto com os atributos RADIUS.

00:02:51: %DOT1X-5-SUCCESS: Authentication successful for client
(0800.277f.5f64) on Interface Et0/0
00:02:51: %AUTHMGR-7-RESULT: Authentication result 'success' from 'dot1x'
for client (0800.277f.5f64) on Interface Et0/0
switch#
00:02:51: %EPM-6-POLICY_REQ: IP=0.0.0.0| MAC=0800.277f.5f64|
        AUDITSESID=C0A80A0A00000001000215F0| AUTHTYPE=DOT1X|
        EVENT=APPLY

switch#show authentication sessions interface e0/0
            Interface:  Ethernet0/0
           MAC Address:  0800.277f.5f64
            IP Address:  Unknown
            User-Name:  test2
            Status:  Authz Success
            Domain:  DATA
        Oper host mode:  single-host
     Oper control dir:  both
         Authorized By:  Authentication Server
           Vlan Policy:  2
       Session timeout:  N/A
          Idle timeout:  N/A
    Common Session ID:  C0A80A0A00000001000215F0
       Acct Session ID:  0x00000005
            Handle:  0xE8000002

Runnable methods list:
       Method   State
       dot1x    Authc Succes

Note que o VLAN2 esteve atribuído.  É possível adicionar outros atributos RADIUS a esse perfil da autorização no ACS (tal como Access Control List avançado ou temporizadores da re-autorização).

Entra o ACS são como segue:

Troubleshooting

Ajustes do tempo inválido no ACS

Possível erro - erro interno no diretório ativo ACS

Nenhum certificado configurado e ativado em AD DC

Possível erro - não são recuperados o certificado de usuário do diretório ativo

Personalização do perfil NAM

Nas redes de empreendimento, é recomendou para autenticar com o uso da máquina e dos certificados de usuário. Em tal encenação, recomenda-se para usar o modo aberto do 802.1x no interruptor com VLAN restrito. Em cima da repartição da máquina para o 802.1x, a primeira sessão da autenticação é iniciada e autenticada com o uso do certificado da máquina AD. Então, depois que o usuário fornece credenciais e entra ao domínio, a segunda sessão da autenticação é iniciada com o certificado de usuário. O usuário é posto no VLAN (confiado) correto com acesso de rede completo. É integrado agradavelmente no Identity Services Engine (ISE).

Então, é possível configurar autenticações separadas das abas da autenticação e da autenticação de usuário da máquina.

Se o modo aberto do 802.1x não é aceitável no interruptor, é possível usar o modo do 802.1x antes que a característica do fazer logon esteja configurada na política de cliente.

Informações Relacionadas



Document ID: 116018