Sem fio : Cisco Aironet 1100 Series

Autenticação EAP com Servidor RADIUS

2 Abril 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (19 Outubro 2009) | Feedback


Consulte Páginas de Suporte do Downloads Sem Fio para obter os drivers Cisco Aironet, firmware e software utilitário.


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Convenções
Configurar
     EAP de Rede ou Autenticação Aberta com EAP
     Definir o Servidor de Autenticação
     Definir Métodos de Autenticação de Cliente
Verificação
Solução de Problemas
     Procedimento de Solução de Problemas
     Comandos de Solução de Problemas
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Este documento fornece uma configuração de exemplo de um ponto de acesso baseado em Cisco IOS® para autenticação EAP (Extensible Authentication Protocol) de usuários sem fio em relação a um banco de dados acessado por um servidor RADIUS.

Devido à função passiva que o ponto de acesso possui no EAP (cria uma ponte de pacotes sem fio do cliente para pacotes com fio do servidor de autenticação e vice-versa), esta configuração é utilizada com praticamente todos os métodos EAP. Esses métodos incluem (mas não se limitam a) LEAP, Protected EAP (PEAP)-MS-Challenge Handshake Authentication Protocol (CHAP) versão 2, PEAP-Generic Token Card (GTC), EAP-Flexible Authentication via Secure Tunneling (FAST), EAP-Transport Layer Security (TLS) e EAP-Tunneled TLS (TTLS). Você deve configurar adequadamente o servidor de autenticação para cada um desses métodos EAP.

Este documento explica apenas como configurar o ponto de acesso.

Pré-requisitos

Requisitos

Verifique se estes requisitos são atendidos antes de tentar esta configuração:

  • Você está familiarizado com a GUI Cisco IOS ou CLI.

  • Você possui familiaridade com os conceitos por trás de uma autenticação de EAP.

Componentes Usados

As informações neste documento são baseadas nestas versões de hardware e software:

  • Produtos de ponto de acesso (AP) Cisco Aironet executando Cisco IOS.

  • Hipótese de haver apenas um LAN virtual VLAN na rede.

  • Um produto de servidor de autenticação RADIUS que se integre em uma banco de dados de usuário com êxito.

    • Esses são os servidores de autenticação suportados para Cisco LEAP e EAP-FAST:

      • Cisco Secure Access Control Server (ACS)

      • Cisco Access Registrar (CAR)

      • Funk Steel Belted RADIUS

      • Interlink Merit

    • Esses são os servidores de autenticação suportados para Microsoft PEAP-MS-CHAP versão 2 e PEAP-GTC:

      • Microsoft Internet Access Service (IAS)

      • Cisco Secure ACS

      • Funk Steel Belted RADIUS

      • Interlink Merit

      • Qualquer servidor de autenticação adicional Microsoft por efetuar autorizações.

      Observação: Senhas de uma vez ou GTC exigem serviços adicionar que precisam de software adicional no cliente e no servidor, assim como geradores de tokens de hardware ou software.

    • Consulte o fabricante do suplicante do cliente para obter detalhes sobre os servidores de autenticação com suporte aos produtos para EAP-TLS, EAP-TTLS e outros métodos EAP.

As informações apresentadas neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento foram iniciados com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos.

Convenções

Para obter mais informações sobre convenções de documentos, consulte Convenções e Dicas Técnicas da Cisco.

Configurar

Esta configuração descreve como configurar a autenticação EAP em um ponto de acesso baseado em IOS.

Observação: Use a Ferramenta de Consulta de Comando (clientes registrados somente) para obter informações adicionais sobre os comandos utilizados nesta seção.

Como ocorre com a maior parte dos algoritmos baseados em senha, o Cisco LEAP está vulnerável a ataques de dicionário. Esse não é um novo tipo de ataque ou uma nova vulnerabilidade do Cisco LEAP. A criação de uma diretriz de senha forte é a maneira mais eficaz de reduzir os ataques de dicionários Isso inclui o uso de senhas fortes e o vencimento periódico de senhas. Consulte Ataque de Dicionário em Cisco LEAP para obter mais informações sobre ataques de dicionário e sobre como evitá-los.

EAP de Rede ou Autenticação Aberta com EAP

Em qualquer método de autenticação baseado em EAP/802.1x, você pode questionar quais são as diferenças entre EAP de Rede e Autenticação Aberta com EAP. Estes itens se referem a valores no campo de algoritmo de autenticação nos cabeçalhos de pacotes de associação e gerenciamento. A maior parte dos fabricantes de clientes sem fio definem estes campos como o valor 0 (autenticação aberta) e então sinalizam um desejo de efetuar a autenticação EAP posteriormente no processo de autenticação. A Cisco define o valor de forma diferente, do início da associação com o indicador de EAP de Rede.

Se a sua rede tiver clientes que sejam:

  • Clientes Cisco — Usar EAP de Rede.

  • Clientes terceirizados (incluindo os produtos em conformidade com CCX) — Usar Aberta com EAP

  • Uma combinação de clientes Cisco e de terceiros — Escolher EAP de Rede e Aberta com EAP.

Definir o Servidor de Autenticação

A primeira etapa da configuração do EAP é definir o servidor de autenticação e estabelecer um relacionamento com ele.

  1. Na guia Server Manager do ponto de acesso (no item de menu Security > Server Manager), siga estas etapas:

    1. Insira o endereço IP do servidor de autenticação no campo Server.

    2. Especifique o Shared Secret e as portas.

    3. Clique em Apply para criar a definição e preencher as listas suspensas.

    4. Defina o campo EAP Authentication type Priority 1 para o endereço IP do servidor em Default Server Priorities.

    5. Clique em Apply.

    server-mgr.gif

    Você também pode emitir estes comandos a partir do CLI:

    AP#configure terminal
    
    Enter configuration commands, one per line.  End with CNTL/Z.
    
    AP(config)#aaa group server radius rad_eap
    
    AP(config-sg-radius)#server 10.0.0.3 auth-port 1645 acct-port 1646
    
    AP(config-sg-radius)#exit
    
    AP(config)#aaa new-model
    
    AP(config)#aaa authentication login eap_methods group rad_eap
    
    AP(config)#radius-server host 10.0.0.3 auth-port 1645
    acct-port 1646 key labap1200ip102
    
    AP(config)#end
    
    AP#write memory
                   
  2. O ponto de acesso deve estar configurado no servidor de autenticação como um cliente AAA.

    Por exemplo, no Cisco Secure ACS, isto ocorre na página Network Configuration em que o nome do ponto de acesso, endereço IP, segredo compartilhado e método de autenticação (RADIUS Cisco Aironet ou RADIUS Cisco IOS/PIX) são definidos. Consulte a documentação do fabricante para obter outros servidores de autenticação não-ACS.

    acs-aaa-cl.gif

    Certifique-se de que o servidor de autenticação esteja configurado para executar o método de autenticação EAP desejado. Por exemplo, para um Cisco Secure ACS que execute LEAP, configure a autenticação LEAP na página System Configuration - Global Authentication Setup. Clique em System Configuration e então em Global Authentication Setup. Consulte a documentação do fabricante para obter outros servidores de autenticação não-ACS ou métodos de EAP.

    acs_sys_conf.gif

    Esta imagem mostra o Cisco Secure ACS configurado para PEAP, EAP-FAST, EAP-TLS, LEAP e EAP-MD5.

    acs_glob_auth2.gif

Definir Métodos de Autenticação de Cliente

Depois que o ponto de acesso souber onde enviar as solicitações de autenticação do cliente, configure-o para aceitar estes métodos.

Observação: Essas instruções são para uma instalação baseada em WEP. Para WPA (que usa cifras em vez de WEP), consulte Visão Geral da Configuração de WPA.

  1. Na guia Encryption Manager do ponto de acesso (sob o item de menu Security > Encryption Manager), conclua estas etapas:

    1. Especifique que você deseja usar a codificação WEP.

    2. Especifique que WEP é Mandatory (Obrigatório).

    3. Verifique se o tamanho da chave está definido como 128-bits.

    4. Clique em Apply.

    encrypt-mgr.gif

    Você também pode emitir estes comandos a partir do CLI:

    AP#configure terminal
    
    Enter configuration commands, one per line.  End with CNTL/Z.
    
    AP(config)#interface dot11radio 0
    
    AP(config-if)#encryption mode wep mandatory
    
    AP(config-if)#end
    
    AP#write memory
                   
  2. Conclua estas etapas na guia SSID Manager do ponto de acesso (sob o item de menu Security > SSID Manager):

    1. Selecione o SSID desejado.

    2. Em "Authentication Methods Accepted," marque a caixa de verificação denominada Open e utilize as listas suspensas para escolher With EAP.

    3. Marque a caixa denominada Network-EAP se você tiver placas de cliente Cisco. Consulte a análise na seção EAP de Rede ou Autenticação Aberta com EAP.

    4. Clique em Apply.

ssid-mgr.gif

Você também pode emitir estes comandos a partir do CLI:

AP#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

AP(config)#interface dot11radio 0

AP(config-if)#ssid ssid labap1200

AP(config-if-ssid)#authentication open eap eap_methods

AP(config-if-ssid)#authentication network-eap eap_methods

AP(config-if-ssid)#end

AP#write memory
         

Depois de confirmar a funcionalidade básica com uma configuração básica de EAP, você pode adicionar outros recursos e o gerenciamento de chaves posteriormente. Coloque funções mais complexas sobre funções fundamentais para facilitar a solução de problemas.

Verificação

Esta seção fornece informações que você pode usar para confirmar se a configuração está funcionando corretamente.

Alguns comandos show recebem suporte da Ferramenta Output Interpreter (clientes registrados somente) , o que permite visualizar uma análise da saída do comandoshow.

  • show radius server-group all — Esse comando exibe uma lista de todos os grupos de servidores RADIUS configurados no AP.

Solução de Problemas

Procedimento de Solução de Problemas

Conclua estas etapas para solucionar problemas de configuração.

  1. No utilitário ou no software do cliente, crie um novo perfil ou conexão com os mesmos parâmetros ou parâmetros semelhantes para garantir que nada seja corrompido na configuração do cliente.

  2. Para eliminar a possibilidade de problemas de RF que evitam a autenticação bem-sucedida, desabilite temporariamente a autenticação conforme mostrado a seguir:

    • A partir do CLI, utilize os comandos no authentication open eap eap_methods, no authentication network-eap eap_methods e authentication open.

    • A partir da GUI, na página SSID Manager, desmarque Network-EAP, marque Open e defina a lista suspensa de volta para No Addition.

    Se o cliente se associar com êxito, o RF não está contribuindo para o problema de associação.

  3. Verifique se as senhas secretas compartilhadas estão sincronizadas entre o ponto de acesso e o servidor de autenticação.

    • A partir do CLI, marque a linha radius-server host x.x.x.x auth-port x acct-port x key <segredo_compartilhado>.

    • A partir da GUI, na página Server Manager, insira novamente o segredo compartilhado do servidor adequado na caixa denominada "Shared Secret."

    A entrada de segredo compartilhado para o ponto de acesso no servidor RADIUS deve conter a mesma senha de segredo compartilhado dos mencionados anteriormente.

  4. Remova todos os grupos de usuário do servidor RADIUS. Às vezes, pode haver conflitos entre grupos de usuários definidos pelo servidor RADIUS e os grupos de usuários no domínio subjacente. Verifique os logs do servidor RADIUS de tentativas frustradas e dos motivos das falhas das tentativas.

Comandos de Solução de Problemas

Alguns comandos show recebem suporte da Ferramenta Output Interpreter (clientes registrados somente) , o que permite visualizar uma análise da saída do comandoshow.

Autenticações de Depuração fornece uma quantidade significativa de detalhes sobre como obter e interpretar a saída das depurações relacionadas a EAP.

Observação: Antes de emitir comandos debug, consulte Informações Importantes sobre Comandos de Depuração.

  • debug dot11 aaa authenticator state-machine— Exibe as principais divisões (ou status) da negociação entre o cliente e o servidor de autenticação.

    Observação: No Cisco IOS Software versões anteriores a 12.2(15)JA, a sintaxe deste comando debug é debug dot11 aaa dot1x state-machine.

  • debug dot11 aaa authenticator process — Exibe as entradas de diálogos individuais da negociação entre o cliente e o servidor de autenticação.

    Observação: No Cisco IOS Software versões anteriores a 12.2(15)JA, a sintaxe deste comando de depuração é debug dot11 aaa dot1x process.

  • debug radius authentication — Mostra as negociações RADIUS entre o servidor e o cliente, que, neste caso, são conectadas pelo AP.

  • debug aaa authentication — Exibe as negociações AAA de autenticação entre o dispositivo do cliente e o servidor de autenticação.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 44844