Segurança : Cisco Secure Access Control Server para Windows

Cisco Secure ACS para Windows v3.2 com autenticação de máquina PEAP-MS-CHAPv2

23 Maio 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (2 Fevereiro 2006) | Feedback


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Teoria Complementar
     Convenções
     Diagrama de rede
Configurando o Cisco Secure ACS para Windows v3.2
     Obter um Certificado para o Servidor ACS
     Configurar o ACS para Usar um Certificado do Armazenamento
     Especificar Mais Autoridades de Certificação em que o ACS deve Confiar
     Reiniciar o Serviço e Configurar o PEAP no ACS
     Especificar e Configurar o Ponto de Acesso como um Cliente AAA
     Configurar os Bancos de Dados de Usuários Externos
     Reinicie o Serviço
Configurando o Cisco Access Point
Configurando o Cliente sem Fio
     Configurando a Inscrição Automática de Máquina do Certificado MS
     Entrar no Domínio
     Instalar Manualmente o Certificado Raiz no Cliente Windows
     Configurar a Rede sem Fio
Verificação
Solução de Problemas
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Este documento demonstra como configurar o Protected Extensible Authentication Protocol (PEAP) com o Cisco Secure ACS para Windows versão 3.2.

Pré-requisitos

Requisitos

Não existem pré-requisitos específicos para este documento.

Componentes Usados

As informações neste documento são baseadas nas versões de software e hardware abaixo.

  • Cisco Secure ACS para Windows versão 3.2

  • Serviços de Certificado Microsoft (instalado como autoridade de certificação [CA] raiz da empresa)

    Observação: Para obter informações adicionais, consulte Guia Passo a Passo para Configurar uma Autoridade de Certificação leavingcisco.com.

  • Serviço DNS com Windows 2000 Server e Service Pack 3

    Observação: Se houver problemas no servidor da CA, instale o hotfix 323172 leavingcisco.com. O cliente Windows 2000 SP3 exige hotfix 313664 leavingcisco.com para habilitar a autenticação IEEE 802.1x.

  • Ponto de Acesso Sem Fio 12.01T Cisco Aironet 1200 Series

  • IBM ThinkPad T30 com Windows XP Professional e Service Pack 1

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento foram iniciados com uma configuração vazia (padrão). Caso esteja trabalhando em uma rede ativa, certifique-se de ter compreendido o possível impacto dos comandos antes de utilizá-los.

Teoria Complementar

O PEAP e o EAP-TLS criam e usam um túnel TLS/Secure Socket Layer (SSL). PEAP usa somente autenticação no servidor; apenas o servidor tem um certificado e prova sua identidade para o cliente. No entanto, o EAP-TLS usa a autenticação mútua, na qual tanto o servidor ACS (AAA - autenticação, autorização e relatório) quanto os clientes possuem certificados e comprovam suas identidades uns aos outros.

O PEAP é conveniente porque os clientes não precisam de certificados. O EAP-TLS é útil para autenticar dispositivos sem interface gráfica, pois os certificados não exigem interação dos usuários.

Convenções

Para obter mais informações sobre convenções em documentos, consulte Convenções de dicas técnicas da Cisco.

Diagrama de rede

Este documento utiliza a configuração de rede apresentada no diagrama abaixo.

acs-peap-01.gif

Configurando o Cisco Secure ACS para Windows v3.2

Siga estas etapas para configurar o ACS 3.2.

  1. Obtenha um certificado para o servidor ACS.

  2. Configure o ACS para usar um certificado do armazenamento.

  3. Especifique mais autoridades de certificação em que o ACS deve confiar.

  4. Reinicie o serviço e configure o PEAP no ACS.

  5. Especifique e configure o ponto de acesso como um cliente AAA.

  6. Configure os bancos de dados de usuários externos.

  7. Reinicie o serviço.

Obter um Certificado para o Servidor ACS

Siga estas etapas para obter um certificado.

  1. No servidor ACS, abra um navegador da Web e vá até o servidor CA digitando http://endereço-ip-do-CA/certsrv na barra de endereços. Faça logon no domínio como Administrador.

    acs-peap-02.gif

  2. Selecione Solicite um certificado e clique em Avançar.

    acs-peap-03.gif

  3. Selecione Solicitação avançada e clique em Avançar.

    acs-peap-04.gif

  4. Selecione Enviar uma nova solicitação de certificado a esta autoridade de certificação usando um formulário e clique em Avançar.

    acs-peap-05.gif

  5. Configure as opções do certificado.

    1. Selecione Servidor Web como modelo do certificado. Insira o nome do servidor ACS.

      acs-peap-06a.gif

    2. Defina o tamanho da chave como 1024. Selecione as opções Marcar chaves como exportáveis e Usar armazenamento de máquina local. Configure outras opções conforme necessário e clique em Enviar.

      acs-peap-06b.gif

      Observação: Se for exibida uma janela de aviso informando sobre uma violação de script (dependendo das configurações de segurança/privacidade do seu navegador), clique em Sim para continuar.

      acs-peap-07.gif

  6. Clique em Instalar este certificado.

    acs-peap-08.gif

    Observação: Se você vir uma janela de aviso a respeito de uma violação de script (dependendo das configurações de segurança/privacidade do seu navegador), clique em Sim para continuar.

    acs-peap-09.gif

  7. Se a instalação for bem-sucedida, você verá uma mensagem de confirmação.

    acs-peap-10.gif

Configurar o ACS para Usar um Certificado do Armazenamento

Siga estas etapas para configurar o ACS para usar o certificado no armazenamento.

  1. Abra um navegador da Web e vá até o servidor ACS digitando http://endereço-ip-do-ACS:2002/ na barra de endereços. Clique em System Configuration e, em seguida, em ACS Certificate Setup.

  2. Clique em Install ACS Certificate.

  3. Selecione Use certificate from storage. No campo Certificate CN, insira o nome do certificado que você atribuiu na etapa 5a da seção Obter um Certificado para o Servidor ACS. Clique em Submit.

    Essa entrada deve corresponder ao nome digitado no campo Nome durante a requisição de certificado avançada. Ele é o nome CN no campo de assunto do certificado do servidor; você pode editar o certificado do servidor para verificar esse nome. Neste exemplo, o nome é "OurACS". Não insira o nome CN do emissor.

    acs-peap-11.gif

  4. Quando a configuração estiver completa, você verá uma mensagem de confirmação indicando que a configuração do servidor ACS foi alterada.

    Observação: Você não precisa reiniciar o ACS desta vez.

    acs-peap-12.gif

Especificar Mais Autoridades de Certificação em que o ACS deve Confiar

O ACS confiará automaticamente no CA que emitiu seu próprio certificado. Se os certificados do cliente forem emitidos por outras CAs, siga estas etapas.

  1. Clique em System Configuration e, em seguida, em ACS Certificate Setup.

  2. Clique em ACS Certificate Authority Setup para adicionar CAs à lista de certificados confiáveis. No campo do arquivo de certificado da CA, insira o local do certificado e, em seguida, clique em Submit.

    acs-peap-13.gif

  3. Clique emEdit Certificate Trust List. Marque todas as CAs em que o ACS deve confiar e desmarque todas as CAs em que o ACS não deve confiar. Clique em Submit.

    acs-peap-14.gif

Reiniciar o Serviço e Configurar o PEAP no ACS

Siga estas etapas para reiniciar o serviço e definir as configurações do PEAP.

  1. Clique em System Configuration e, em seguida, em Service Control.

  2. Clique em Restart para reiniciar o serviço.

  3. Para definir configurações de PEAP, clique em System Configuration e em Global Authentication Setup.

  4. Marque as duas configurações indicadas abaixo e deixe as demais como padrão. Se desejar, você poderá especificar configurações adicionais, como Enable Fast Reconnect. Após concluir, clique em Submit.

    • Allow EAP-MSCHAPv2

    • Allow MS-CHAP Version 2 Authentication

    Observação: Para obter mais informações sobre Fast Connect, consulte "Authentication Configuration Options" em System Configuration: Authentication and Certificates.

    acs-peap-15.gif

Especificar e Configurar o Ponto de Acesso como um Cliente AAA

Siga estas etapas para configurar o ponto de acesso (AP) como um cliente AAA.

  1. Clique em Network Configuration. Em AAA Clients, clique em Add Entry.

    acs-peap-16.gif

  2. Digite o nome de host do AP no campo AAA Client Hostname e o respectivo endereço IP no campo AAA Client IP Address. Digite uma chave de segredo compartilhado para o ACS e o AP no campo Key. Selecione RADIUS (Cisco Aironet) com método de autenticação. Após concluir, clique em Submit.

    acs-peap-17.gif

Configurar os Bancos de Dados de Usuários Externos

Siga estas etapas para configurar os bancos de dados de usuários externos.

Observação: Apenas o ACS 3.2 oferece suporte para PEAP-MS-CHAPv2 com autenticação de máquina em um banco de dados Windows.

  1. Clique em External User Databases e clique em Database Configuration. Clique em Windows Database.

    Observação: Se já houver um banco de dados Windows definido, clique em Create New Configuration e clique em Submit.

  2. Clique em Configure. Em Configure Domain List, mova o domínio SEC-SYD de Available Domains para Domain List.

    acs-peap-18.gif

  3. Para habilitar a autenticação da máquina, em Configuração de EAP no Windows selecione a opção Permit PEAP machine authentication. Não altere o prefixo do nome de autenticação da máquina. Atualmente a Microsoft usa "/host" (o valor padrão) para fazer a distinção entre autenticação de usuário e de máquina. Se quiser, marque a opção para Permit password change inside PEAP. Após concluir, clique em Submit.

    acs-peap-19.gif

  4. Clique em External User Databases e clique em Unknown User Policy. Selecione a opção para Check the following external user databases e use o botão de seta para a direita ( -> ) para mover Windows Database de External Databases para Selected Databases. Após concluir, clique em Submit.

    acs-peap-19a.gif

Reinicie o Serviço

Após concluir a configuração do ACS, siga estas etapas para reiniciar o serviço.

  1. Clique em System Configuration e, em seguida, em Service Control.

  2. Clique em Restart.

Configurando o Cisco Access Point

Siga estas etapas para configurar o AP para usar o ACS como servidor de autenticação.

  1. Abra um navegador da Web e vá até o AP digitando http://endereço-ip-do-AP/certsrv na barra de endereços. Clique em Setup na barra de ferramentas.

  2. Em Services, clique em Security.

  3. Clique em Authentication Server.

    Observação: Se tiver configurado contas no AP, você precisará fazer logon.

  4. Insira as configurações de autenticação.

    • Selecione 802.1x-2001 para a versão do protocolo 802.1x (para autenticação EAP).

    • Insira o endereço IP do servidor ACS no campo Server Name/IP.

    • Selecione RADIUS como o Server Type.

    • Insira 1645 ou 1812 no campo Port.

    • Insira a chave secreta compartilhada que você especificou na etapa 2 de Especificar e Configurar o Ponto de Acesso como um Cliente AAA.

    • Marque a opção para EAP Authentication a fim de especificar como o servidor deve ser usado.

    Clique em OK quando terminar.

    acs-peap-20.gif

  5. Clique em Radio Data Encryption (WEP).

  6. Insira as configurações de criptografia de dados interna.

    • Selecione Full Encryption para definir o nível de criptografia de dados.

    • Insira uma chave de criptografia e defina o tamanho dessa chave como 128 bit a ser usada como chave de transmissão.

    Clique em OK quando terminar.

    acs-peap-21.gif

  7. Confirme se você está usando o Service Set Identifier (SSID) correto. Para isso, vá em Network > Service Sets > Selecione o SSID Idx e clique em OK após concluir.

    O exemplo a seguir mostra o SSID padrão "tsunami".

    acs-peap-21a.gif

Configurando o Cliente sem Fio

Siga estas etapas para configurar o ACS 3.2.

  1. Configurar a inscrição automática de máquina do certificado MS.

  2. Entrar no domínio.

  3. Instalar manualmente o certificado raiz no cliente Windows.

  4. Configurar a rede sem fio.

Configurando a Inscrição Automática de Máquina do Certificado MS

Siga estas etapas para configurar o domínio para inscrição automática do certificado da máquina no controlador de domínio Kant.

  1. Vá para Painel de Controle > Ferramentas Administrativas > Abra Usuários e Computadores do Active Directory.

  2. Clique com o botão direito em domain sec-syd e selecione Propriedades no submenu.

  3. Selecione a guia Diretiva de Grupo. Clique em Diretiva Padrão do Domínio e clique em Editar.

  4. Vá para Configuração do Computador > Configurações do Windows > Security Settings > Diretivas de Chave Pública > Configurações de Solicitação Automática de Certificado.

    acs-peap-21b.gif

  5. Na barra de menus, vá para Ação > Novo > Solicitação de Certificado Automática e clique em Avançar.

  6. Selecione Computador e clique em Avançar.

  7. Verifique a CA.

    Neste exemplo, o nome da CA é "Our TAC CA".

  8. Clique em Avançar e em Concluir.

Entrar no Domínio

Siga estas etapas para adicionar o cliente sem fio ao domínio.

Observação: Para completar estas etapas, é necessário que o cliente sem fio tenha conectividade com a CA, seja por meio de uma conexão por fio ou por uma conexão sem fio com segurança 802.1x desabilitada.

  1. Faça logon no Windows XP como administrador local.

  2. Vá para Painel de Controle > Desempenho e Manutenção > Sistema.

  3. Selecione a guia Nome do Computador e clique em Alterar. Digite o nome de host no campo do nome do computador. Selecione Domínio e insira o nome do domínio (SEC-SYD neste exemplo). Clique em OK.

    acs-peap-22.gif

  4. Quando for exibida uma caixa de diálogo de logon, entre no domínio. Para isso, faça logon com uma conta que tenha permissão para entrar no domínio.

  5. Quando o computador tiver entrado com sucesso no domínio, reinicie o computador. A máquina lembrará do domínio; como configuramos a inscrição automática de máquina, será instalado um certificado da CA nela, assim como um certificado para autenticação de máquina.

Instalar Manualmente o Certificado Raiz no Cliente Windows

Siga estas etapas para instalar manualmente o certificado raiz.

Observação:  Se já tiver configurado a inscrição automática de máquina, você não precisará desta etapa. Pule para Configurar a Rede Sem Fio.

  1. Na máquina cliente Windows, abra um navegador da Web e vá até o servidor Microsoft CA digitando http://endereço-ip-da-CA-raiz/certsrv na barra de endereços. Faça logon no site da CA.

    Neste exemplo, o endereço IP do gateway é 10.66.79.241.

    acs-peap-28.gif

  2. Selecione Retrieve the CA certificate or certification revocation list e clique em Next.

    acs-peap-29.gif

  3. Clique em Download CA certificate para salvar o certificado na máquina local.

    acs-peap-30.gif

  4. Abra o certificado e clique em Instalar Certificado.

    Observação: No exemplo a seguir, o ícone no canto superior esquerdo indica que o certificado ainda não é confiável (não está instalado).

    acs-peap-31.gif

  5. Instale o certificado em Usuário Atual/Autoridades de Certificação Raiz Confiáveis.

    1. Clique em Avançar.

    2. Select Selecionar automaticamente o armazenamento de certificados conforme o tipo de certificado e clique em Avançar.

    3. Clique em Concluir para colocar o certificado raiz automaticamente em Usuário Atual/Autoridades de Certificação Raiz Confiáveis.

Configurar a Rede sem Fio

Siga estas etapas para definir as opções da rede sem fio.

  1. Faça logon no domínio como um usuário do domínio.

  2. Vá para Painel de Controle > Conexões de Rede e Internet > Conexões de Rede. Clique com o botão direito em Conexão Sem Fio e selecione Propriedades no submenu exibido.

  3. Selecione a guia Redes sem Fio. Selecione a rede sem fio (exibida com o nome SSID do AP) na lista de redes disponíveis e clique em Configurar.

    acs-peap-23.gif

  4. Na guia Autenticação da janela de propriedades da rede, marque a opção Permitir autenticação IEEE 802.1x para esta rede. Para o tipo EAP, selecione EAP protegido (PEAP) e clique em Propriedades.

    Observação: Para habilitar a autenticação da máquina, marque a opção Autenticar como computador se houver informações disponíveis.

    acs-peap-24.gif

  5. Marque Validar certificado do servidor e a CA raiz da empresa usada para clientes PEAP e dispositivos ACS. Selecione Senha segura (EAP-MSCHAP v2) para o método de autenticação e, em seguida, clique em Configurar.

    Neste exemplo, o nome da CA raiz é "Our TAC CA".

    acs-peap-25.gif

  6. Para permitir o início de sessão universal, marque a opção Usar meu nome e minha senha de logon do Windows automaticamente (e o domínio, se houver). Clique em OK para aceitar essa configuração e clique em OK novamente para retornar à janela de propriedades da rede.

    Com o início de sessão universal PEAP, o cliente usa o nome de logon do Windows para autenticação PEAP, portanto o usuário não precisa inserir a senha novamente.

    acs-peap-26.gif

  7. Na guia Associação da janela de propriedades de rede, marque as opções Criptografia de dados (WEP ativado) e Chave fornecida automaticamente. Clique em OK e clique em OK novamente para fechar a janela de configuração da rede.

    acs-peap-27.gif

Verificação

Esta seção fornece informações que você pode usar para confirmar se a configuração está funcionando corretamente.

  • Para verificar se o cliente sem fio foi autenticado, no cliente sem fio, vá para Painel de Controle > Conexões de Rede e Internet > Conexões de Rede. Na barra de menus, vá para Exibir > Em Cascata. A conexão sem fio deve exibir a mensagem "Autenticação bem-sucedida".

  • Para verificar se os clientes sem fio foram autenticados, na interface da Web do ACS, vá para Reports and Activity > Passed Authentications > Passed Authentications active.csv.

Solução de Problemas

Esta seção fornece informações que podem ser usadas para solucionar problemas da configuração.

  • Verifique se os Serviços de Certificado MS foram instalados como uma CA raiz Corporativa em um Windows 2000 Advanced Server com Service Pack 3. Os hotfixes 323172 e 313664 devem ser instalados após os Serviços de Certificado MS serem instalados. Se os Serviços de Certificado MS forem instalados novamente, o hotfix 323172 também deverá ser instalado novamente.

  • Verifique se você está usando o Cisco Secure ACS para Windows versão 3.2 com Windows 2000 e Service Pack 3. Certifique-se de que os hotfixes 323172 e 313664 tenham sido instalados.

  • Se a autenticação da máquina falhar no cliente sem fio, não haverá conectividade de rede sem fio. Somente as contas que tenham seus perfis em cache no cliente sem fio poderão fazer logon no domínio. A máquina precisará ser conectada fisicamente a uma rede com fio ou ser definida para conexão sem segurança 802.1x.

  • Se a inscrição automática na CA falhar durante a entrada no domínio, verifique os possíveis motivos em Visualizar Eventos. Tente verificar as configurações de DNS no laptop.

  • Se o certificado do ACS for rejeitado pelo cliente (que depende das datas "inicial" e "final" válidas do certificado, das configurações de data e hora do cliente e da confiança da CA), o cliente o rejeitará e a autenticação apresentará falha. O ACS registrará em log a autenticação falha na interface web, em Reports and Activity > Failed Attempts > Failed Attempts XXX.csv com o Authentication Failure-Code semelhante a "EAP-TLS or PEAP authentication failed during SSL handshake". A mensagem de erro esperada no arquivo CSAuth.log é semelhante à seguinte.

    AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg:
    other side probably didn't accept our certificate
  • Nos logs da interface web do ACS, em Reports and Activity > Passed Authentications > Passed Authentications XXX.csv e em Reports and Activity > Failed Attempts > Failed Attempts XXX.csv, as autenticações PEAP são mostradas no formato <DOMÍNIO>\<id do usuário>. As autenticações EAP-TLS são mostradas no formato <id_do_usuário>@<domínio>.

  • Para usar o PEAP Fast Reconnect, habilite esse recurso no servidor ACS e no cliente.

  • Se a alteração de senha de PEAP estiver ativada, você poderá alterar a senha somente quando uma senha de conta tiver espirado ou quando a conta for marcada para ter sua senha alterada no próximo logon.

  • Você pode verificar o certificado do servidor ACS e confiar nele seguindo as etapas abaixo.

    1. Faça logon no Windows no servidor ACS com uma conta que tenha privilégios de administrador. Abra o Console de Gerenciamento Microsoft. Para isso, vá para Iniciar > Executar, digite mmc e, em seguida, clique em OK.

    2. Na barra de menus, vá para Console > Adicionar/remover snap-in e clique em Adicionar.

    3. Selecione Certificados e clique em Adicionar.

    4. Selecione Conta de computador, clique em Avançar, e selecione Computador local: (o computador onde este console está sendo executado).

    5. Clique em Concluir, clique em Fechar e clique em OK.

    6. Para verificar se o servidor ACS tem um certificado de servidor válido, vá para Raiz do Console > Certificados (computador local) > ACSCertStore > Certificados. Verifique se há um certificado para o servidor ACS (chamado OurACS neste exemplo). Abra o certificado e verifique os seguintes itens.

      • Não há aviso informando que o certificado não foi confirmado para todos os propósitos pretendidos.

      • Não há aviso informando que o certificado não é confiável.

      • "Este certificado destina-se a - Garante a identidade de um computador remoto".

      • O certificado não expirou e está válido (verifique a validade das dates "de" e "até").

      • "Tem uma chave particular correspondente a este certificado."

    7. Na guia Detalhes, verifique se o campo Versão tem o valor V3 e se o campo Uso Avançado de Chave tem Autenticação de Servidor (1.3.6.1.5.5.7.3.1).

    8. Para verificar se o servidor ACS confia no servidor da CA, vá para Raiz do Console > Certificados (computador local) > Autoridades de Certificação Raiz Confiáveis > Certificados. Verifique se há um certificado para o servidor da CA (chamado Our TAC CA neste exemplo). Abra o certificado e verifique os seguintes itens.

      • Não há aviso informando que o certificado não foi confirmado para todos os propósitos pretendidos.

      • Não há aviso informando que o certificado não é confiável.

      • O propósito pretendido para o certificado está correto.

      • O certificado não expirou e está válido (verifique a validade das dates "de" e "até").

      Se o ACS e o cliente não tiverem usado a mesma CA raiz, verifique se toda a cadeia de certificados dos servidores CA foi instalada. O mesmo se aplica se o certificado tiver sido obtido de uma autoridade de subcertificação.

  • Você pode verificar a confiabilidade do cliente por meio das etapas abaixo.

    1. Faça login no Windows no cliente sem fio com a conta do cliente. Abra o Console de Gerenciamento Microsoft. Para isso, vá para Iniciar > Executar, digite mmc e, em seguida, clique em OK.

    2. Na barra de menus, vá para Console > Adicionar/remover snap-in e clique em Adicionar.

    3. Selecione Certificados e clique em Adicionar.

    4. Clique em Close e clique em OK.

    5. Para verificar se o perfil do cliente confia no servidor da CA, vá para Raiz do Console > Certificados - Usuário atual > Autoridades de Certificação Raiz Confiáveis > Certificados. Verifique se há um certificado para o servidor da CA (chamado Our TAC CA neste exemplo). Abra o certificado e verifique os seguintes itens.

      • Não há aviso informando que o certificado não foi confirmado para todos os propósitos pretendidos.

      • Não há aviso informando que o certificado não é confiável.

      • O propósito pretendido para o certificado está correto.

      • O certificado não expirou e está válido (verifique a validade das dates "de" e "até").

      Se o ACS e o cliente não tiverem usado a mesma CA raiz, verifique se toda a cadeia de certificados dos servidores CA foi instalada. O mesmo se aplica se o certificado tiver sido obtido de uma autoridade de subcertificação.

  • Verifique as configurações do ACS conforme descrito na sessão Configurando o Cisco Secure ACS para Windows v3.2.

  • Verifique as configurações do AP conforme descrito na sessão Configurando o Cisco Access Point.

  • Verifique as configurações do cliente sem fio conforme descrito na sessão Configurando o Cliente sem Fio.

  • Verifique se a conta do usuário existe no banco de dados interno do servidor AAA ou em um dos bancos de dados externos configurados. Garanta que a conta não foi desabilitada.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 43486