Sem fio : Controladores de LAN sem fio Cisco 5700 Series

Autenticação de PEAP do 5760/3850 Series WLC com exemplo de configuração de Microsoft NP

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como configurar o protocolo extensible authentication protegido (PEAP) com autenticação da versão 2 do protocolo microsoft challenge handshake authentication (MS-CHAP v2) em Cisco convirgiu desenvolvimento do Wireless LAN do acesso (WLAN) com o servidor da política da rede Microsoft (NP) como o servidor Radius.

Contribuído por Surendra BG, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

Cisco recomenda que você tem o conhecimento destes assuntos antes que você tente a configuração descrita neste documento:

  • A instalação básica da versão 2008 de Microsoft Windows
  • Cisco convirgiu a instalação do controlador de WLAN do acesso

Assegure-se de que estas exigências estejam cumpridas antes que você tente esta configuração:

  • Instale o operating system (OS) da versão 2008 do Microsoft Windows server em cada um dos server no laboratório de teste.
  • Atualize todos os pacotes de serviços.
  • Instale os controladores e o Lightweight Access Points (regaços).
  • Configurar as atualizações de software mais recente.

Nota: Para a instalação inicial e a informação de configuração para Cisco convirgiram os controladores de WLAN do acesso, referem o artigo de Cisco do exemplo de configuração do controlador CT5760 e do Catalyst 3850 Switch.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão 3.3.2 do controlador de WLAN do Cisco 5760 Series (armário de fiação da próxima geração (NGWC))
  • REGAÇO do Cisco 3602 Series
  • Microsoft Windows XP com o suplicante de Intel PROset
  • Server da versão 2008 de Microsoft Windows que executa NP com papéis do controlador de domínio
  • Cisco Catalyst 3560 Series Switch

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

Segurança do nível do transporte dos usos PEAP (TLS) a fim criar um canal cifrado entre um cliente PEAP de autenticação, tal como um portátil wireless, e um autenticador PEAP, tal como Microsoft NP ou algum servidor Radius. O PEAP não especifica um método de autenticação mas fornece a segurança adicional para outros protocolos extensible authentication (EAP), como EAP-MS-CHAP v2, que pode se operar através do canal TLS-cifrado que é fornecido pelo PEAP. O processo de autenticação de PEAP consiste em duas fases principal.

PEAP fase um: Canal TLS-cifrado

Os associados do cliente Wireless com o Access Point (AP). Uma associação da IEEE 802.11-based fornece um sistema aberto ou uma autenticação de chave compartilhada antes que uma associação segura esteja criada entre o cliente e o AP. Depois que a associação da IEEE 802.11-based é estabelecida com sucesso entre o cliente e o AP, a sessão TLS está negociada com o AP.

Depois que a autenticação é terminada com sucesso entre o cliente Wireless e os NP, a sessão TLS está negociada entre o cliente e os NP. A chave que é derivada dentro desta negociação é usada a fim cifrar toda a comunicação subsequente.

Fase dois PEAP: Uma comunicação EAP-autenticada

Uma comunicação EAP, que inclua a negociação EAP, ocorre dentro do canal TLS que é criado pelo PEAP dentro da primeira fase do processo de autenticação de PEAP. Os NP autenticam o cliente Wireless com EAP-MS-CHAP v2. O REGAÇO e as mensagens dianteiras do controlador somente entre o cliente Wireless e o servidor Radius. O controlador de WLAN (WLC) e o REGAÇO não podem decifrar as mensagens porque o WLC não é o valor-limite TLS.

Está aqui a sequência do mensagem de RADIUS para uma tentativa da autenticação bem sucedida, onde o usuário forneça credenciais senha-baseadas válidas com o PEAP-MS-CHAP v2:

  1. Os NP enviam um mensagem request da identidade ao cliente:
    EAP-Request/Identity
  2. O cliente responde com um mensagem de resposta da identidade:
    EAP-Response/Identity
  3. Os NP enviam um mensagem de desafio MS-CHAP v2:
    EAP-Request/EAP-Type=EAP MS-CHAP-V2 (Challenge)
  4. O cliente responde com um desafio e resposta MS-CHAP v2:
    EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Response)
  5. Os NP respondem com um pacote do sucesso MS-CHAP v2 quando o server autentica com sucesso o cliente:
    EAP-Request/EAP-Type=EAP-MS-CHAP-V2 (Success)
  6. O cliente responde com um pacote do sucesso MS-CHAP v2 quando o cliente autentica com sucesso o server:
    EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Success)
  7. Os NP enviam um EAP-tipo-comprimento-valor (TLV) que indique a autenticação bem sucedida.

  8. O cliente responde com um mensagem de sucesso do estado EAP-TLV.

  9. O server termina a autenticação e envia uma mensagem do EAP-sucesso no texto simples. Se os VLAN são distribuídos para o isolamento do cliente, os atributos VLAN estão incluídos nesta mensagem.

Configurar

Use esta seção a fim configurar o PEAP com autenticação MS-CHAP v2 em Cisco convirgiu desenvolvimento do acesso WLC com Microsoft NP como o servidor Radius.

Diagrama de Rede

Neste exemplo, o server da versão 2008 de Microsoft Windows executa estes papéis:

  • Controlador de domínio para o domínio de wireless.com
  • Server do Domain Name System (DNS)
  • Server do Certificate Authority (CA)
  • NP a fim autenticar os usuários Wireless
  • Diretório ativo (AD) a fim manter a base de dados de usuário

O server conecta à rede ligada com fio através de um interruptor da camada 2 (L2), como mostrado. O WLC e o REGAÇO registrado igualmente conectam à rede através do interruptor L2.

Os clientes Wireless usam o acesso protegido por wi-fi 2 (WPA2) - autenticação PEAP-MS-CHAP v2 a fim conectar à rede Wireless.

Configurações

A configuração que é descrita nesta seção é terminada em duas etapas:

  1. Configurar o 5760/3850 Series WLC com o CLI ou o GUI.

  2. Configurar o server da versão 2008 de Microsoft Windows para NP, controlador de domínio, e contas de usuário no AD.

Configurar o acesso convirgido WLC com o CLI

Termine estas etapas a fim configurar o WLAN para o cliente exigido VLAN e traçá-lo à lista do método de autenticação com o CLI:

Nota: Assegure-se de que o controle do AUTH do sistema do dot1x esteja permitido no WLC, ou o dot1x não trabalha.

  1. Permita a característica do novo modelo AAA.

  2. Configurar o servidor Radius.

  3. Adicionar o server no grupo de servidor.

  4. Trace o grupo de servidor à lista de método.

  5. Trace a lista de método ao WLAN.
aaa new-model
!
!
aaa group server radius Microsoft_NPS
 server name Microsoft_NPS
!
aaa authentication dot1x Microsoft_NPS group Microsoft_NPS
aaa authorization network Microsoft_NPS group Microsoft_NPS
radius server Microsoft_NPS
 address ipv4 10.104.208.96 auth-port 1645 acct-port 1646
 timeout 10
 retransmit 10
 key Cisco123
wlan Microsoft_NPS 8 Microsoft_NPS
 
client vlan VLAN0020
 no exclusionlist
 security dot1x authentication-list Microsoft_NPS
 session-timeout 1800
 no shutdown

Configurar o acesso convirgido WLC com o GUI

Termine estas etapas a fim configurar o acesso convirgido WLC com o GUI:

  1. Permita o sistema-AUTH-controle do dot1x:



  2. Navegue ao > segurança da configuração > ao AAA a fim adicionar o servidor Radius:



  3. Navegue ao RAIO > aos server, clique NOVO, e atualize o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor Radius junto com o segredo compartilhado. O segredo compartilhado deve combinar o segredo compartilhado que é configurado no servidor Radius também.



    Depois que você configura o servidor Radius, a aba do server deve parecer similar a esta:



  4. Configurar um grupo de servidor e selecione o raio para o tipo de grupo. Então, adicionar o servidor Radius que você criou na etapa precedente:



    O grupo de servidor deve parecer similar a este após a configuração:



  5. Selecione o dot1x para o tipo e o grupo da lista do método de autenticação para o tipo de grupo. Então, trace o grupo de servidor que você configurou na etapa precedente:



    A lista do método de autenticação deve parecer similar a esta após a configuração:



  6. Selecione a rede para o tipo e o grupo da lista do método de autorização para o tipo de grupo. Então, trace o grupo de servidor que você configurou na etapa precedente:



    A lista do método de autorização deve parecer similar a esta após a configuração:



  7. Navegue para configurar > Sem fio e para clicar a aba WLAN. Configurar um WLAN novo a que os usuários podem conectar e se tornar autenticados através do server de Microsoft NP com autenticação de EAP:



    A aba da Segurança L2 deve parecer similar a esta após a configuração:



  8. Trace a lista de método que você configurou nas etapas precedentes. Isto ajuda a autenticar o cliente ao server correto.

Configuração no server da versão 2008 de Microsoft Windows

Esta seção descreve uma configuração completa do server da versão 2008 de Microsoft Windows. A configuração é terminada em seis etapas:

  1. Configurar o server como um controlador de domínio.

  2. Instale e configurar o server como um server de CA.

  3. Instale os NP.

  4. Instale um certificado.

  5. Configurar os NP para a autenticação de PEAP.

  6. Adicionar usuários ao AD.

Configurar o server de Microsoft Windows 2008 como um controlador de domínio

Termine estas etapas a fim configurar o server da versão 2008 de Microsoft Windows como um controlador de domínio:

  1. Navegue para começar > papéis do > Add do gerenciador do servidor > dos papéis.





  2. Clique em Next.



  3. Verifique a caixa de verificação dos serviços do domínio do diretório ativo e clique-a em seguida.



  4. Reveja a introdução aos serviços do domínio do diretório ativo e clique-a em seguida.



  5. O clique instala a fim começar o processo de instalação.



    A instalação continua e termina.

  6. Clique perto este assistente e lance o wizard de instalação dos serviços do domínio do diretório ativo (dcpromo.exe) a fim continuar a instalação e a configuração do AD.



  7. Clique em seguida a fim executar o wizard de instalação dos serviços do domínio do diretório ativo.



  8. Reveja a informação sobre a compatibilidade do sistema operacional e clique-a em seguida.



  9. Clique a criação um domínio novo em um botão de rádio novo da floresta e clique-a em seguida a fim criar um domínio novo.



  10. Dê entrada com o nome de DNS completo para o domínio novo (wireless.com neste exemplo) e clique-o em seguida.



  11. Selecione o nível funcional da floresta para seu domínio e clique-o em seguida.



  12. Selecione o nível funcional do domínio para seu domínio e clique-o em seguida.



  13. Verifique a caixa de verificação do servidor DNS e clique-a em seguida.



  14. Clique sim quando a janela pop-up do wizard de instalação dos serviços do domínio do diretório ativo aparece a fim criar uma zona nova no DNS para o domínio.



  15. Selecione os dobradores que você quer o AD se usar para arquivos e clicar em seguida.



  16. Incorpore a senha de administrador e clique-a em seguida.



  17. Reveja suas seleções e clique-as em seguida.



    Os rendimentos da instalação.

  18. Revestimento do clique a fim fechar o assistente.



  19. Reinicie o server para que as mudanças tomem o efeito.

Instale e configurar o server da versão 2008 de Microsoft Windows como um server de CA

O PEAP com EAP-MS-CHAP v2 valida o servidor Radius baseado no certificado que esta presente no server. Adicionalmente, o certificado de servidor deve ser emitido por um público CA que seja confiado pelo computador de cliente. Isto é, o certificado de CA público já existe no dobrador da Autoridade de certificação de raiz confiável na loja do certificado do computador de cliente. 

Termine estas etapas a fim configurar o server da versão 2008 de Microsoft Windows como um server de CA que emita o certificado aos NP:

  1. Navegue para começar > papéis do > Add do gerenciador do servidor > dos papéis.





  2. Clique em Next.



  3. Verifique a caixa de verificação dos serviços certificados do diretório ativo e clique-a em seguida.



  4. Reveja a introdução aos serviços certificados do diretório ativo e clique-a em seguida.



  5. Verifique a caixa de verificação do Certificate Authority e clique-a em seguida.



  6. Clique o botão de rádio da empresa e clique-o em seguida.



  7. Clique o botão de rádio da CA raiz e clique-o em seguida.



  8. Clique a criação um botão de rádio novo da chave privada e clique-a em seguida.



  9. Clique em seguida na criptografia configurando para o indicador de CA.



  10. Clique em seguida a fim aceitar o Common Name para este nome padrão de CA.



  11. Selecione o intervalo de tempo para que o certificado de CA é válido e clique-o em seguida.



  12. Clique em seguida a fim aceitar o local padrão da localização do base de dados do certificado.



  13. Reveja a configuração e o clique instala a fim começar os serviços certificados do diretório ativo.



  14. Depois que a instalação é terminada, fim do clique.

Instale os NP no server da versão 2008 de Microsoft Windows

Nota: Com a instalação que é descrita nesta seção, os NP são usados enquanto um servidor Radius a fim autenticar os clientes Wireless com autenticação de PEAP. 

Termine estas etapas a fim instalar e configurar os NP no server da versão 2008 de Microsoft Windows:

  1. Navegue para começar > papéis do > Add do gerenciador do servidor > dos papéis.





  2. Clique em Next.



  3. Verifique a caixa de verificação dos serviços da política de rede e do acesso e clique-a em seguida.



  4. Reveja a introdução aos serviços da política de rede e do acesso e clique-a em seguida.



  5. Verifique a caixa de verificação de servidor da política de rede e clique-a em seguida.



  6. Reveja a confirmação e o clique instala.



    Depois que a instalação está completa, uma tela similar a esta deve aparecer:



  7. Clique em Close.

Instale um certificado

Termine estas etapas a fim instalar o certificado do computador para os NP:

  1. Clique o começo, incorpore o Microsoft Management Console (MMC), e pressione-o entram.

  2. Navegue para arquivar o > Add/remova Pressão-em.

  3. Escolha Certificados e o clique adiciona.



  4. Clique o botão de rádio da conta do computador e clique-o em seguida.



  5. Clique o botão de rádio do computador local e clique o revestimento.



  6. Clique a APROVAÇÃO a fim retornar ao MMC.



  7. Expanda os Certificados (computador local) e pastas pessoal, e clique Certificados.



  8. Clicar com o botão direito o espaço branco no certificado de CA, e escolha todas as tarefas > certificado novo do pedido.



  9. Clique em Next.



  10. Clique a caixa de verificação do controlador de domínio, e o clique registra-se.

    Nota: Se a authenticação do cliente falha devido a um erro do certificado EAP, a seguir assegure-se de que todas as caixas de seleção estejam verificadas nesta página do certificado de registro antes que você clique se registre. Isto cria aproximadamente três Certificados.




  11. Revestimento do clique uma vez que o certificado é instalado.



    O certificado NP é instalado agora.

  12. Assegure essa authenticação do cliente, autenticação de servidor aparece na coluna pretendida das finalidades para o certificado.

Configurar o serviço do servidor da política de rede para a autenticação PEAP-MS-CHAP v2

Termine estas etapas a fim configurar os NP para a autenticação:

  1. Navegue ao Iniciar > Ferramentas Administrativas > ao server da política de rede.

  2. Clicar com o botão direito os NP (locais) e escolha o server do registro no diretório ativo.



  3. Clique em OK.



  4. Clique em OK.



  5. Adicionar o WLC como um cliente do Authentication, Authorization, and Accounting (AAA) nos NP.

  6. Expanda clientes RADIUS e server. Clicar com o botão direito clientes RADIUS e escolha o cliente RADIUS novo:



  7. Incorpore um nome (WLC neste exemplo), o endereço IP de gerenciamento do WLC (10.105.135.178 neste exemplo), e um segredo compartilhado.

    Nota: O mesmo segredo compartilhado é usado a fim configurar o WLC.




  8. Clique a APROVAÇÃO a fim retornar à tela precedente.



  9. Crie uma política de rede nova para os usuários Wireless. Expanda políticas, clicar com o botão direito políticas de rede, e escolha novo:



  10. Dê entrada com um nome da política para esta regra (PEAP neste exemplo) e clique-o em seguida.



  11. A fim configurar esta política para permitir somente usuários do domínio Wireless, adicionar estas três circunstâncias e clique-as em seguida:

    CondiçãoValor
    Grupos de WindowsSEM FIO \ usuários de domínio
    Tipo de porta NASSem fio - IEEE 802.11
    Tipo de autenticaçãoEAP



  12. Clique o botão de rádio concedido acesso a fim conceder as tentativas de conexão que combinam esta política e clique-o em seguida.



  13. Desabilite todos os métodos de autenticação menos seguros:



  14. O clique adiciona, seleciona Microsoft: Tipo protegido EAP (PEAP) EAP, e APROVAÇÃO do clique a fim permitir o PEAP.



  15. Selecione Microsoft: O EAP protegido (PEAP) e o clique editam. Assegure-se de que o certificado precedente-criado do controlador de domínio esteja selecionado na lista de drop-down emitida certificado e clique-se a aprovação.



  16. Clique em Next.



  17. Clique em Next.



  18. Clique em Next.



  19. Clique em Finish.



    Nota: Dependente em cima de suas necessidades, você pôde precisar de configurar políticas do pedido de conexão nos NP a fim permitir o perfil PEAP ou a política.

Adicionar usuários ao diretório ativo

Nota: Neste exemplo, a base de dados de usuário é mantida no AD. 

Termine estas etapas a fim adicionar usuários ao base de dados AD:

  1. Navegue ao Iniciar > Ferramentas Administrativas > aos usuários e aos computadores de diretório ativo.

  2. Na árvore de console dos usuários e dos computadores de diretório ativo, expanda o domínio, clicar com o botão direito usuários e novo, e escolha o usuário.

  3. No objeto novo - A caixa de diálogo do usuário, dá entrada com o nome do usuário Wireless. Este exemplo usa o cliente1 no campo de nome e o cliente1 no campo de nome de logon do usuário. Clique em Next.



  4. No objeto novo - A caixa de diálogo do usuário, incorpora uma senha de sua escolha à senha e confirma campos de senha. Desmarcar o usuário deve mudar a senha na caixa de verificação seguinte do fazer logon e clicá-la em seguida.



  5. No objeto novo - Caixa de diálogo do usuário, revestimento do clique.



  6. Repita etapas 2 a 4 a fim criar contas de usuário adicionais.

Verificar

Termine estas etapas a fim verificar sua configuração:

  1. Procure pela identificação de conjunto de serviço (SSID) na máquina cliente.



  2. Assegure-se de que o cliente esteja conectado com sucesso:

Troubleshooting

Nota: Cisco recomenda que você usa traços a fim pesquisar defeitos edições wireless. Os traços salvar no buffer circular e não são utilização de processador.

Permita estes traços a fim obter os logs do AUTH L2:

  • o nível grupo-Sem fio-seguro do traço ajustado debuga
  • ajuste o Mac grupo-Sem fio-seguro 0017.7C2F.B69A do filtro do traço

Permita estes traços a fim obter os eventos do dot1x AAA:

  • o nível ajustado do traço wcm-dot1x aaa debuga
  • ajuste o Mac 0017.7C2F.B69A do filtro do traço wcm-dot1x aaa

Permita estes traços a fim receber os eventos DHCP:

  • os eventos ajustados DHCP do traço em nível debugam
  • ajuste o Mac 0017.7C2F.B69A do filtro dos eventos DHCP do traço

Permita estes traços a fim desabilitar os traços e cancelar o buffer:

  • ajuste SYS-filtrar-traços do controle de traço claros
  • ajuste o padrão do nível do traço wcm-dot1x aaa
  • ajuste o filtro do traço wcm-dot1x aaa nenhuns
  • ajuste o padrão nivelado grupo-Sem fio-seguro do traço
  • ajuste o filtro grupo-Sem fio-seguro do traço nenhuns

Incorpore os SYS-filtrar-traços do traço da mostra comandam a fim ver os traços:

[04/23/14 21:27:51.963 IST 1 8151] 0017.7c2f.b69a Adding mobile on LWAPP AP
 1caa.076f.9e10 (0)

[04/23/14 21:27:51.963 IST 2 8151] 0017.7c2f.b69a Local Policy:  Created MSCB
 Just AccessVLAN = 0 and SessionTimeout  is 0 and apfMsTimeout is 0

[04/23/14 21:27:51.963 IST 8 8151] 0017.7c2f.b69a Local Policy:Setting local
 bridging VLAN  name VLAN0020 and VLAN ID  20

[04/23/14 21:27:51.963 IST 9 8151] 0017.7c2f.b69a Applying WLAN ACL policies
 to client
[04/23/14 21:27:51.963 IST a 8151] 0017.7c2f.b69a No Interface ACL used for
 Wireless client in WCM(NGWC)
[04/23/14 21:27:51.963 IST b 8151] 0017.7c2f.b69a Applying site-specific IPv6
 override for station  0017.7c2f.b69a  - vapId 8, site 'test',
 interface 'VLAN0020'
[04/23/14 21:27:51.963 IST c 8151] 0017.7c2f.b69a Applying local bridging
 Interface Policy for station  0017.7c2f.b69a  - vlan 20,
 interface 'VLAN0020'
[04/23/14 21:27:51.963 IST d 8151] 0017.7c2f.b69a
 **** Inside applyLocalProfilingPolicyAction ****

04/23/14 21:27:51.963 IST f 8151] 0017.7c2f.b69a     Local Profiling Values :
 isValidVlan = 0, vlan = 0, isVlanRecdInDelete = 0, isValidSessionTimeout = 0,
 sessionTimeout=0, isSessionTORecdInDelete = 0  ProtocolMap = 0 ,
 applyPolicyAtRun= 0
[04/23/14 21:27:51.963 IST 10 8151] 0017.7c2f.b69a          ipv4ACL = [],
 ipv6ACL = [], inQoS = [unknown], outQoS = [unknown]
[04/23/14 21:27:51.963 IST 11 8151] 0017.7c2f.b69a STA - rates (4):
 130 132 139 150 0 0 0 0 0 0 0 0 0 0 0 0

[04/23/14 21:27:51.963 IST 12 8151] 0017.7c2f.b69a STA - rates (12):
 130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0

[04/23/14 21:27:51.963 IST 13 8151] 0017.7c2f.b69a Processing RSN IE type 48,
 length 20 for mobile  0017.7c2f.b69a

[04/23/14 21:27:51.963 IST 14 8151] 0017.7c2f.b69a Received RSN IE with 0
 PMKIDsfrom mobile  0017.7c2f.b69a



[04/23/14 21:27:51.964 IST 1b 8151] 0017.7c2f.b69a Change state to AUTHCHECK
 (2) last state START (0)


[04/23/14 21:27:51.964 IST 1c 8151] 0017.7c2f.b69a Change state to 8021X_REQD
 (3) last state AUTHCHECK (2)


[04/23/14 21:27:51.964 IST 25 8151] 0017.7c2f.b69a apfProcessAssocReq
 (apf_80211.c:6272) Changing state for mobile  0017.7c2f.b69a  on AP
 1caa.076f.9e10  from Associated to Associated


[04/23/14 21:27:51.971 IST 26 8151] 0017.7c2f.b69a 1XA: Initiating
 authentication
[04/23/14 21:27:51.971 IST 27 8151] 0017.7c2f.b69a 1XA: Setting reauth
 timeout to 1800 seconds
[04/23/14 21:27:51.971 IST 28 8151] 0017.7c2f.b69a 1XK: Set Link Secure: 0

[04/23/14 21:27:51.971 IST 29 8151] 0017.7c2f.b69a 1XA: Allocated uid 40
[04/23/14 21:27:51.971 IST 2a 8151] 0017.7c2f.b69a 1XA: Calling Auth Mgr
 to authenticate client 4975000000003e uid 40

[04/23/14 21:27:51.971 IST 2b 8151] 0017.7c2f.b69a 1XA: Session Start from
 wireless client


[04/23/14 21:27:51.971 IST 2c 8151] 0017.7c2f.b69a Session Manager Call Client
 4975000000003e, uid 40, capwap id 7ae8c000000013,Flag 0, Audit-Session ID
 0a6987b25357e2ff00000028, method list Microsoft_NPS, policy name (null)

[04/23/14 21:27:51.971 IST 2d 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0017.7c2f.b69a, Ca3] Session start request from Client[1] for 0017.7c2f.b69a
 (method: Dot1X, method list: Microsoft_NPS, aaa id: 0x00000028),  policy
[04/23/14 21:27:51.971 IST 2e 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
 [0017.7c2f.b69a, Ca3]  - client iif_id: 4975000000003E, session ID:
 0a6987b25357e2ff00000028 for 0017.7c2f.b69a


[04/23/14 21:27:51.972 IST 43 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting !EAP_RESTART on Client 0x22000025
[04/23/14 21:27:51.972 IST 44 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025:enter connecting state
[04/23/14 21:27:51.972 IST 45 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025: restart connecting
[04/23/14 21:27:51.972 IST 46 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting RX_REQ on Client 0x22000025
[04/23/14 21:27:51.972 IST 47 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025: authenticating state entered
[04/23/14 21:27:51.972 IST 48 284] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025:connecting authenticating action
[04/23/14 21:27:51.972 IST 49 291] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting AUTH_START for 0x22000025
[04/23/14 21:27:51.972 IST 4a 291] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] 0x22000025:entering request state
[04/23/14 21:27:51.972 IST 4b 291] ACCESS-METHOD-DOT1X-NOTF:
 [0017.7c2f.b69a, Ca3] Sending EAPOL packet
[04/23/14 21:27:51.972 IST 4c 291] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] Platform changed src mac  of EAPOL packet
[04/23/14 21:27:51.972 IST 4d 291] ACCESS-METHOD-DOT1X-NOTF:
 [0017.7c2f.b69a, Ca3] Sending out EAPOL packet
[04/23/14 21:27:51.972 IST 4e 291] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] EAPOL packet sent to client 0x22000025


[04/23/14 21:27:52.112 IST 7d 211] Parsed CLID MAC Address = 0:23:124:47:182:154
[04/23/14 21:27:52.112 IST 7e 211] AAA SRV(00000000): process authen req
[04/23/14 21:27:52.112 IST 7f 211] AAA SRV(00000000): Authen method=SERVER_GROUP
 Microsoft_NP
S
[04/23/14 21:27:52.112 IST 80 211] AAA SRV(00000000): Selecting SG = DIAMETER
[04/23/14 21:27:52.113 IST 81 186] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] Queuing an EAPOL pkt on Authenticator Q
[04/23/14 21:27:52.113 IST 82 291] ACCESS-METHOD-DOT1X-DEB:
 [0017.7c2f.b69a, Ca3] Posting EAPOL_EAP for 0x22000025
[04/23/14 21:27:52.278 IST 83 220] AAA SRV(00000000): protocol reply
 GET_CHALLENGE_RESPONSE for Authentication

[04/23/14 21:27:52.278 IST 84 220] AAA SRV(00000000): Return Authentication
 status=GET_CHALLENGE_RESPONSE

[04/23/14 21:27:52.278 IST 85 291] ACCESS-METHOD-DOT1X-DEB:[0017.7c2f.b69a,Ca3]
 Posting EAP_REQ for 0x22000025

Está aqui o resto do EAP output:

[04/23/14 21:27:54.690 IST 12b 211] AAA SRV(00000000): process authen req
[04/23/14 21:27:54.690 IST 12c 211] AAA SRV(00000000): Authen
 method=SERVER_GROUP Microsoft_NPS
[04/23/14 21:27:54.690 IST 12d 211] AAA SRV(00000000): Selecting SG =
 DIAMETER
[04/23/14 21:27:54.694 IST 12e 220] AAA SRV(00000000): protocol reply PASS
 for Authentication

[04/23/14 21:27:54.694 IST 12f 220] AAA SRV(00000000): Return Authentication
 status=PASS

[04/23/14 21:27:54.694 IST 130 189] ACCESS-METHOD-DOT1X-INFO:
 [0017.7c2f.b69a, Ca3] Received an EAP Success


[04/23/14 21:27:54.695 IST 186 8151] 0017.7c2f.b69a Starting key exchange with
 mobile - data forwarding is disable
d
[04/23/14 21:27:54.695 IST 187 8151] 0017.7c2f.b69a 1XA: Sending EAPOL message
 to mobile, WLAN=8 AP WLAN=8

[04/23/14 21:27:54.706 IST 188 8151] 0017.7c2f.b69a 1XA: Received 802.11 EAPOL
 message (len 121) from mobile
[04/23/14 21:27:54.706 IST 189 8151] 0017.7c2f.b69a 1XA: Received EAPOL-Key
 from mobile

[04/23/14 21:27:54.706 IST 18a 8151] 0017.7c2f.b69a 1XK: Received EAPOL-key in
 PTK_START state (msg 2)
from mobile
[04/23/14 21:27:54.706 IST 18b 8151] 0017.7c2f.b69a 1XK: Stopping retransmission
 timer
[04/23/14 21:27:54.706 IST 18c 8151] 0017.7c2f.b69a 1XA: Sending EAPOL message
 to mobile, WLAN=8 AP WLAN=8

[04/23/14 21:27:54.717 IST 18d 8151] 0017.7c2f.b69a 1XA: Received 802.11 EAPOL
 message (len 99) from mobile
[04/23/14 21:27:54.717 IST 18e 8151] 0017.7c2f.b69a 1XA: Received EAPOL-Key
 from mobile

[04/23/14 21:27:54.717 IST 18f 8151] 0017.7c2f.b69a 1XK: Received EAPOL-key in
 PTKINITNEGOTIATING state (msg 4) from mobile

[04/23/14 21:27:54.717 IST 190 8151] 0017.7c2f.b69a 1XK: Set Link Secure: 1

[04/23/14 21:27:54.717 IST 191 8151] 0017.7c2f.b69a 1XK: Key exchange complete
 - updating PEM
[04/23/14 21:27:54.717 IST 192 8151] 0017.7c2f.b69a apfMs1xStateInc
[04/23/14 21:27:54.717 IST 193 8151] 0017.7c2f.b69a Change state to
 L2AUTHCOMPLETE (
4) last state 8021X_REQD (3)


[04/23/14 21:27:58.277 IST 1df 269] DHCPD: Sending notification of DISCOVER:
[04/23/14 21:27:58.277 IST 1e0 269] DHCPD: Sending notification of DISCOVER:
[04/23/14 21:28:05.279 IST 1e1 269] DHCPD: Adding binding to hash tree
[04/23/14 21:28:05.279 IST 1e2 269] DHCPD: DHCPOFFER notify setup address
 20.20.20.5 mask 255.255.255.0


[04/23/14 21:28:05.306 IST 1f4 8151] 0017.7c2f.b69a Change state to RUN (20)
 last state DHCP_REQD (7)


Document ID: 117684