Sécurité : Cisco Secure Access Control Server pour Windows

Configuration de l'accélérateur de contenu sécurisé Cisco Secure pour Windows v3.2 avec authentification PEAP-MS-CHAPv2

16 janvier 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (20 décembre 2015) | Commentaires


Contenu


Introduction

Ce document explique comment configurer le Protected Extensible Authentication Protocol (PEAP) avec le Cisco Secure ACS pour la version 3.2 de Windows.

Pour plus d'informations sur la façon configurer sécurisez l'accès Sans fil utilisant les contrôleurs LAN Sans fil, logiciel de Microsoft Windows 2003, et le Cisco Secure Access Control Server (ACS) 4.0, se rapportent au PEAP sous des réseaux sans fil unifié avec ACS 4.0 et Windows 2003.

Conditions préalables

Conditions requises

Aucune condition préalable spécifique n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur les versions de logiciel et de matériel ci-dessous.

  • Cisco Secure ACS pour la version 3.2 de Windows

  • Services de certificat de Microsoft (installés en tant qu'autorité de certification de racine d'entreprise [CA])

    Remarque: Le pour en savoir plus, se rapportent au guide pas à pas d'installer une autorité de certificationleavingcisco.com .

  • Service DNS avec le Windows 2000 Server avec le Service Pack 3

    Remarque: Si vous rencontrez des problèmes serveurs CA, installez le correctif 323172leavingcisco.com . Le client du Windows 2000 SP3 exige du correctif 313664leavingcisco.com d'activer l'authentification de 802.1x d'IEEE.

  • Point d'accès Sans fil 12.01T de Gamme Cisco Aironet 1200

  • Windows XP Professionnel courant du ThinkPad T30 IBM avec le Service Pack 1

Les informations présentées dans ce document ont été créées à partir de périphériques dans un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si vous travaillez dans un réseau opérationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de l'utiliser.

Théorie générale

Le PEAP et l'EAP-TLS construisent et utilisent un tunnel TLS/Secure Socket Layer (SSL). Le PEAP utilise seulement l'authentification de côté serveur ; seulement le serveur a un certificat et prouve son identité au client. L'EAP-TLS, cependant, utilise l'authentification mutuelle dans laquelle le serveur et les clients ACS (authentification, autorisation, et comptabilité [AAA]) ont des Certificats et prouvent leurs identités entre eux.

Le PEAP est commode parce que les clients n'ont pas besoin des Certificats. L'EAP-TLS est utile pour authentifier les périphériques sans tête, parce que les Certificats n'exigent aucune interaction utilisateur.

Conventions

Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.

Diagramme du réseau

Ce document utilise la configuration réseau indiquée dans le diagramme suivant :

/image/gif/paws/43486/acs-peap-01.gif

Configurez le Cisco Secure ACS pour Windows v3.2

Suivez ces étapes pour configurer ACS 3.2.

  1. Obtenez un certificat pour le serveur ACS.

  2. Configurez ACS pour utiliser un certificat de mémoire.

  3. Spécifiez les autorités de certification supplémentaires aux lesquelles l'ACS devrait faire confiance.

  4. Redémarrez le service et configurez les configurations PEAP sur l'ACS.

  5. Spécifiez et configurez le Point d'accès en tant que client d'AAA.

  6. Configurez les bases de données d'utilisateur externe.

  7. Redémarrez le service.

Obtenez un certificat pour le serveur ACS

Suivez ces étapes pour obtenir un certificat.

  1. Sur le serveur ACS, ouvrez un navigateur Web et parcourez au serveur CA en entrant dans http:// CA-ip-address/certsrv dans la barre d'adresses. Procédure de connexion au domaine comme administrateur.

    /image/gif/paws/43486/acs-peap-02.gif

  2. Sélectionnez la demande un certificat, et puis cliquez sur Next.

    /image/gif/paws/43486/acs-peap-03.gif

  3. La demande avancée choisie, et cliquent sur Next alors.

    /image/gif/paws/43486/acs-peap-04.gif

  4. Choisi soumettez une demande de certificat à ce CA utilisant une forme, et puis cliquez sur Next.

    /image/gif/paws/43486/acs-peap-05.gif

  5. Configurez les options de certificat.

    1. Serveur Web choisi comme modèle de certificat. Écrivez le nom du serveur ACS.

      /image/gif/paws/43486/acs-peap-06a.gif

    2. Fixez la taille de clé à 1024. Sélectionnez les options pour des clés de marque en tant que mémoire exportable et d'utilisation d'ordinateur local. Configurez d'autres options comme nécessaire, et puis cliquez sur Submit.

      /image/gif/paws/43486/acs-peap-06b.gif

      Remarque: Si vous voyez une fenêtre d'avertissement se référant à une violation de script (selon les configurations de la Sécurité/intimité de votre navigateur), cliquez sur oui pour continuer.

      /image/gif/paws/43486/acs-peap-07.gif

  6. Le clic installent ce certificat.

    /image/gif/paws/43486/acs-peap-08.gif

    Remarque: Si vous voyez une fenêtre d'avertissement se référant à une violation de script (selon les configurations de la Sécurité/intimité de votre navigateur), cliquez sur oui pour continuer.

    /image/gif/paws/43486/acs-peap-09.gif

  7. Si l'installation a été réussie, vous verrez un message de confirmation.

    /image/gif/paws/43486/acs-peap-10.gif

Configurez ACS pour utiliser un certificat de mémoire

Suivez ces étapes pour configurer ACS pour utiliser le certificat dans la mémoire.

  1. Ouvrez un navigateur Web et parcourez au serveur ACS en entrant dans http:// ACS-ip-address:2002/ dans la barre d'adresses. Cliquez sur la configuration système, et puis cliquez sur l'installation de certificat ACS.

  2. Le clic installent le certificat ACS.

  3. Certificat choisi d'utilisation de mémoire. Dans le domaine NC de certificat, écrivez le nom du certificat que vous avez assigné dans l'étape 5a de la section obtenez un certificat pour le serveur ACS. Cliquez sur Submit.

    Cette entrée doit apparier le nom que vous avez tapé dans la zone d'identification pendant la demande avancée de certificat. C'est le nom NC dans le domaine du certificat de serveur ; vous pouvez éditer le certificat de serveur pour vérifier ce nom. Dans cet exemple, le nom est « OurACS ». N'écrivez pas le nom NC de l'émetteur.

    /image/gif/paws/43486/acs-peap-11.gif

  4. Quand la configuration est complète, vous verrez un message de confirmation indiquer que la configuration du serveur ACS a été changée.

    Remarque: Vous n'avez pas besoin de redémarrer l'ACS à ce moment.

    /image/gif/paws/43486/acs-peap-12.gif

Spécifiez les autorités de certification supplémentaires aux lesquelles l'ACS devrait faire confiance

L'ACS fera confiance automatiquement au CA qui a délivré son propre certificat. Si les certificats client sont délivrés par CAs supplémentaire, alors vous devez se terminer les étapes suivantes.

  1. Cliquez sur la configuration système, et puis cliquez sur l'installation de certificat ACS.

  2. Cliquez sur l'installation d'autorité de certification ACS pour ajouter le CAs à la liste de Certificats de confiance. Dans le domaine pour le fichier de certificat de CA, entrez l'emplacement du certificat, et puis cliquez sur Submit.

    /image/gif/paws/43486/acs-peap-13.gif

  3. Cliquez sur Edit la liste de confiance de certificat. Vérifiez tout le CAs au lequel l'ACS devrait faire confiance, et décochez tout le CAs au lequel l'ACS ne devrait pas faire confiance. Cliquez sur Submit.

    /image/gif/paws/43486/acs-peap-14.gif

Redémarrez le service et configurez les configurations PEAP sur l'ACS

Suivez ces étapes pour redémarrer le service et pour configurer des configurations PEAP.

  1. La configuration système de clic, et cliquent sur alors le contrôle des services.

  2. Reprise de clic pour redémarrer le service.

  3. Pour configurer des configurations PEAP, la configuration système de clic, et puis cliquer sur l'installation globale d'authentification.

  4. Vérifiez les deux configurations affichées ci-dessous, et laissez toutes autres configurations en tant que par défaut. Si vous souhaitez, vous pouvez spécifier les configurations supplémentaires, telles qu'Enable Fast Reconnect. Quand vous êtes de finition, cliquez sur Submit.

    • Permettez EAP-MSCHAPv2

    • Permettez l'authentification de version 2 MS-CHAP

    Remarque: Pour plus d'informations sur rapide connectez, référez-vous « aux options de configuration d'authentification » en configuration système : Authentification et Certificats.

    /image/gif/paws/43486/acs-peap-15.gif

Spécifiez et configurez le Point d'accès en tant que client d'AAA

Suivez ces étapes pour configurer le Point d'accès (AP) en tant que client d'AAA.

  1. Cliquez sur Network Configuration. Sous des clients d'AAA, cliquez sur Add l'entrée.

    /image/gif/paws/43486/acs-peap-16.gif

  2. Écrivez l'adresse Internet d'AP dans le domaine d'adresse Internet de client d'AAA et son adresse IP dans le champ IP Address de client d'AAA. Introduisez une clé secrète partagée pour l'ACS et l'AP dans la zone de tri. RAYON choisi (Cisco Aironet) comme méthode d'authentification. Quand vous êtes de finition, cliquez sur Submit.

    /image/gif/paws/43486/acs-peap-17.gif

Configurez les bases de données d'utilisateur externe

Suivez ces étapes pour configurer les bases de données d'utilisateur externe.

Remarque: Seulement ACS 3.2 prend en charge PEAP-MS-CHAPv2 avec l'authentification de machine à une base de données de Windows.

  1. Cliquez sur les bases de données d'utilisateur externe, et puis cliquez sur la configuration de base de données. Base de données de Windows de clic.

    Remarque: S'il n'y a aucune base de données de Windows déjà définie, le clic créent la nouvelle configuration, et puis cliquent sur Submit.

  2. Cliquez sur Configure. Sous configurez le domain list, déplacent le domaine SEC-SYD des domaines disponibles au domain list.

    /image/gif/paws/43486/acs-peap-18.gif

  3. Pour activer l'authentification de machine, sous des configurations d'EAP de Windows vérifiez l'option de permettre l'authentification de machine PEAP. Ne changez pas le préfixe de nom d'authentification de machine. Microsoft emploie actuellement « /host » (la valeur par défaut) pour distinguer l'utilisateur et l'authentification de machine. Si vous souhaitez, vérifiez l'option pour la modification de mot de passe d'autorisation à l'intérieur du PEAP. Quand vous êtes de finition, cliquez sur Submit.

    /image/gif/paws/43486/acs-peap-19.gif

  4. Cliquez sur les bases de données d'utilisateur externe, et puis cliquez sur la stratégie inconnue d'utilisateur. Sélectionnez l'option pour le contrôle les bases de données d'utilisateur externe suivantes, puis utilisez le bouton de flèche à droite (- >) pour déplacer la base de données de Windows des bases de données externes aux bases de données sélectionnées. Quand vous êtes de finition, cliquez sur Submit.

    /image/gif/paws/43486/acs-peap-19a.gif

Redémarrez le service

Quand vous avez fini de configurer l'ACS, suivez ces étapes pour redémarrer le service.

  1. La configuration système de clic, et cliquent sur alors le contrôle des services.

  2. Cliquez sur Restart.

Configurez le point d'accès Cisco

Suivez ces étapes pour configurer AP pour utiliser l'ACS en tant que serveur d'authentification.

  1. Ouvrez un navigateur Web et parcourez à AP en entrant dans http:// AP-ip-address/certsrv dans la barre d'adresses. Sur la barre d'outils, installation de clic.

  2. Sous des services, cliquez sur Security.

  3. Serveur d'authentification de clic.

    Remarque: Si vous avez configuré des comptes sur AP, vous devrez ouvrir une session.

  4. Écrivez les paramètres de configuration d'authentificateur.

    • 802.1x-2001 choisi pour la version de Protocol de 802.1x (pour l'authentification EAP).

    • Écrivez l'adresse IP du serveur ACS dans le domaine du serveur Name/IP.

    • RAYON choisi comme type de serveur.

    • Écrivez 1645 ou 1812 dans le domaine de port.

    • Introduisez la clé secrète partagée que vous avez spécifiée dans l'étape 2 Specify et Configure le Point d'accès en tant que client d'AAA.

    • Vérifiez l'option pour que l'authentification EAP spécifie comment le serveur devrait être utilisé.

    Quand vous êtes de finition, cliquez sur OK.

    /image/gif/paws/43486/acs-peap-20.gif

  5. Chiffrement de données par radio de clic (WEP).

  6. Écrivez les configurations internes de chiffrement de données.

    • Chiffrement complet choisi pour placer le niveau du chiffrement de données.

    • Introduisez une clé de chiffrement et fixez la taille de clé au bit 128 à utiliser comme clé d'émission.

    Quand vous êtes de finition, cliquez sur OK.

    /image/gif/paws/43486/acs-peap-21.gif

  7. Confirmez que vous utilisez l'Identifiant SSID (Service Set Identifier) correct en allant au réseau > aux ensembles de services > sélectionnez le SSID Idx, et cliquez sur OK quand vous êtes de finition.

    L'exemple ci-dessous affiche le SSID par défaut « tsunami. »

    /image/gif/paws/43486/acs-peap-21a.gif

Configurez le client sans fil

Suivez ces étapes pour configurer ACS 3.2.

  1. Configurez l'autoenrollment d'ordinateur de certificat de MS.

  2. Joignez le domaine.

  3. Installez manuellement le certificat racine sur le client Windows.

  4. Configurez le réseau sans fil.

Configurez l'ordinateur Autoenrollment de certificat de MS

Suivez ces étapes pour configurer le domaine pour l'inscription de certificat automatique d'ordinateur sur le contrôleur de domaine Kant.

  1. Allez au panneau de configuration > aux outils d'administration > les utilisateurs et les ordinateurs de Répertoire actif ouverts.

  2. Cliquez avec le bouton droit sec-syd de domaine et sélectionnez Properties du sous-menu.

  3. Sélectionnez la stratégie de domaine de par défaut de clic de tableau de stratégie de groupe, et puis cliquez sur Edit.

  4. Allez à la configuration de l'ordinateur > aux paramètres de windows > aux paramètres de sécurité > des stratégies de clé publique > les configurations automatiques de demande de certificat.

    /image/gif/paws/43486/acs-peap-21b.gif

  5. Sur la barre de menus, allez à l'action > nouvelle > automatique demande de certificat et cliquez sur Next.

  6. L'ordinateur choisi et cliquent sur Next.

  7. Vérifiez le CA.

    Dans cet exemple, le CA est nommé « notre TAC CA »

  8. Cliquez sur Next, et puis cliquez sur Finish.

Joignez le domaine

Suivez ces étapes pour ajouter le client sans fil au domaine.

Remarque: Pour se terminer ces étapes, le client sans fil doit avoir la Connectivité au CA, par une connexion câblée ou par la connexion Sans fil avec la Sécurité de 802.1x désactivée.

  1. Procédure de connexion à Windows XP en tant qu'administrateur local.

  2. Allez au panneau de configuration > à la représentation et à la maintenance > au système.

  3. Sélectionnez l'onglet de nom de l'ordinateur, et puis cliquez sur la modification. Écrivez le nom d'hôte dans le domaine pour le nom de l'ordinateur. Le domaine choisi, et écrivent alors le nom du domaine (SEC-SYD dans cet exemple). Cliquez sur OK.

    /image/gif/paws/43486/acs-peap-22.gif

  4. Quand une boîte de dialogue de connexion est affichée, joignez le domaine en ouvrant une session avec un compte qui a l'autorisation de joindre le domaine.

  5. Quand l'ordinateur a avec succès joint le domaine, redémarrez l'ordinateur. L'ordinateur sera un membre du domaine ; puisque nous avons installé l'autoenrollment d'ordinateur, l'ordinateur aura un certificat pour le CA installé aussi bien qu'un certificat pour l'authentification de machine.

Installez manuellement le certificat racine sur le client Windows

Suivez ces étapes pour installer manuellement le certificat racine.

Remarque:  Si vous avez déjà installé l'autoenrollment d'ordinateur, vous n'avez pas besoin de cette étape. Ignorez s'il vous plaît pour configurer le réseau sans fil.

  1. Sur l'ordinateur de client Windows, ouvrez un navigateur Web et parcourez au serveur de Microsoft CA en entrant dans http:// root-CA-ip-address/certsrv dans la barre d'adresses. Procédure de connexion au site CA.

    Dans cet exemple, l'adresse IP du Ca est 10.66.79.241.

    /image/gif/paws/43486/acs-peap-28.gif

  2. Choisi récupérez le certificat de CA ou la liste de révocation de certification et cliquez sur Next.

    /image/gif/paws/43486/acs-peap-29.gif

  3. Cliquez sur Download le certificat de CA pour sauvegarder le certificat sur l'ordinateur local.

    /image/gif/paws/43486/acs-peap-30.gif

  4. Ouvrez le certificat et le clic installent le certificat.

    Remarque: Dans l'exemple ci-dessous, l'icône au indique en haut à gauche que le certificat n'est pas encore fait confiance (installé).

    /image/gif/paws/43486/acs-peap-31.gif

  5. Installez le certificat dans des autorités en cours de certificat racine de confiance d'utilisateur.

    1. Cliquez sur Next (Suivant).

    2. Sélectionnez automatiquement choisi la mémoire de certificat basée sur le type du certificat et cliquez sur Next.

    3. Cliquez sur Finish pour placer le certificat racine automatiquement sous des autorités de certificat racine de confiance par utilisateur en cours.

Configurez le réseau sans fil

Suivez ces étapes pour placer les options pour le réseau sans fil.

  1. Procédure de connexion au domaine en tant qu'utilisateur de domaine.

  2. Allez au panneau de configuration > au réseau et aux connexions Internet > aux connexions réseau. Cliquez avec le bouton droit sur la connexion Sans fil et sélectionnez Properties du sous-menu qui est affiché.

  3. Sélectionnez les réseaux sans fil que tableau sélectionnent le réseau Sans fil (affiché utilisant le nom SSID d'AP) de la liste de réseaux disponibles, et puis cliquez sur Configure.

    /image/gif/paws/43486/acs-peap-23.gif

  4. Sur l'onglet d'authentification de la fenêtre des propriétés réseau, vérifiez l'option pour l'authentification de 802.1x d'IEEE d'enable pour ce réseau. Pour le type d'EAP, l'EAP protégé choisi (PEAP) pour le type d'EAP, et cliquent sur alors Properties.

    Remarque: Pour activer l'authentification de machine, vérifiez l'option pour Authenticate comme ordinateur quand les informations d'ordinateur sont disponibles.

    /image/gif/paws/43486/acs-peap-24.gif

  5. Vérifiez valident le certificat de serveur, et puis vérifient la racine CA pour l'entreprise utilisée par des clients PEAP et des périphériques ACS. Le mot de passe sécurisé choisi (EAP-MSCHAP v2) pour la méthode d'authentification, et cliquent sur Configure alors.

    Dans cet exemple, la racine CA est nommée « notre TAC CA »

    /image/gif/paws/43486/acs-peap-25.gif

  6. Pour activer l'ouverture de session simple, vérifiez l'option pour automatiquement utilisent mon nom de connexion et mot de passe (et domaine de Windows si quel). Cliquez sur OK pour recevoir cette configuration, et puis cliquez sur OK de nouveau pour retourner dans la fenêtre des propriétés réseau.

    Avec l'ouverture de session simple pour le PEAP, le client utilise le nom de connexion de Windows pour l'authentification PEAP, ainsi l'utilisateur n'a pas besoin d'entrer le mot de passe une deuxième fois.

    /image/gif/paws/43486/acs-peap-26.gif

  7. Sur l'onglet d'association de la fenêtre des propriétés réseau, vérifiez les options pour le chiffrement de données (WEP activé) et la clé est donnée pour moi automatiquement. Cliquez sur OK, et puis cliquez sur OK de nouveau pour fermer la fenêtre de configuration réseau.

    /image/gif/paws/43486/acs-peap-27.gif

Vérifiez

Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.

  • Pour vérifier que le client sans fil a été authentifié, sur le client sans fil allez au panneau de configuration > au réseau et aux connexions Internet > aux connexions réseau. Sur la barre de menus, allez à la vue > aux tuiles. La connexion Sans fil devrait afficher le message « authentification réussie. »

  • Pour vérifier que des clients sans fil ont été authentifiés, sur l'interface web ACS allez aux états et à l'activité > des authentifications passées > les authentifications passées active.csv.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

  • Vérifiez que des services de certificat de MS ont été installés comme racine CA d'entreprise sur un Windows 2000 Advanced Server avec les correctifs 323172 et 313664 du Service Pack 3. doivent être installés après que des services de certificat de MS soient installés. Si des services de certificat de MS sont réinstallés, le correctif 323172 doit également être réinstallé.

  • Vérifiez que vous utilisez le Cisco Secure ACS pour la version 3.2 de Windows avec le Windows 2000 et le Service Pack 3. Assurez-vous que les correctifs 323172 et 313664 ont été installés.

  • Si l'authentification de machine échoue sur le client sans fil, il n'y aura aucune connexion réseau sur la connexion Sans fil. Seulement les comptes qui ont leurs profils cachés sur le client sans fil pourront ouvrir une session au domaine. L'ordinateur devra être branché à un réseau câblé ou placer pour la connexion Sans fil sans la Sécurité de 802.1x.

  • Si automatique l'inscription avec le CA échoue en joignant le domaine, visualisateur d'événements de contrôle pour des possibles raison. Essayez vérifier les configurations de DN sur l'ordinateur portable.

  • Si le certificat de l'ACS est rejeté par le client (du lequel dépend du certificat valide «  » et «  » aux dates, à la date et aux paramètres horaires du client, et à la confiance CA), alors le client la rejettera et l'authentification échouera. L'ACS se connectera l'authentification défaillante dans l'interface web sous des états et l'activité > des essais ratés > des essais ratés XXX.csv avec le Panne-code d'authentification semblable au « échec de l'authentification d'EAP-TLS ou PEAP pendant la prise de contact SSL. » Le message d'erreur prévu dans le fichier de CSAuth.log est semblable au suivant.

    AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
    other side probably didn't accept our certificate
  • Dans les logins l'interface web ACS, sous les deux états et activité > des authentifications passées > a passé les authentifications XXX.csv et l'activité de Reportsand > les essais ratés > les essais ratés XXX.csv, des authentifications PEAP sont affichées dans le format <DOMAIN> \ <user-id>. Des authentifications d'EAP-TLS sont affichées dans le <user-id>@<domain> de format.

  • Pour utiliser le PEAP rapide rebranchez, vous devez activer cette caractéristique sur le serveur ACS et le client.

  • Si la modification de mot de passe PEAP a été activée, vous pouvez changer le mot de passe seulement quand le mot de passe d'un compte a vieilli ou quand le compte est marqué pour avoir son mot de passe changé sur la prochaine procédure de connexion.

  • Vous pouvez vérifier le certificat et la confiance de serveur ACS en suivant les étapes ci-dessous.

    1. Ouvrez une session à Windows sur le serveur ACS avec un compte qui a des privilèges d'administrateur. Ouvrez Microsoft Management Console en allant au Start > Run, en tapant le MMC, et cliquer sur OK.

    2. Sur la barre de menus, allez à la console > à l'ajout/suppression SNAP-dans, et puis cliquez sur Add.

    3. Les Certificats choisis et cliquent sur Add.

    4. Le compte choisi d'ordinateur, cliquent sur Next, et puis sélectionnent l'ordinateur local (l'ordinateur que cette console exécute en fonction).

    5. Cliquez sur Finish, cliquez sur étroitement, et cliquez sur OK alors.

    6. Pour vérifier que le serveur ACS a un certificat valide de côté serveur, allez à la racine de console > aux Certificats (ordinateur local) > ACSCertStore > Certificats. Vérifiez qu'il y a un certificat pour le serveur ACS (OurACS Désigné dans cet exemple). Ouvrez le certificat et vérifiez les articles suivants.

      • Il n'y a aucun avertissement au sujet du certificat n'étant pas vérifié pour assurer tous ses buts visés.

      • Il n'y a aucun avertissement au sujet du certificat n'étant de confiance pas.

      • « Ce certificat est destiné - Assure l'identité d'un ordinateur distant. »

      • Le certificat n'a pas expiré et est devenu valide (vérifiez valide «  » et «  » derrière des dates).

      • « Vous avez une clé privée qui correspond à ce certificat. »

    7. Sur les détails tabulez, vérifiez que le champ de version a la valeur V3 et que le champ amélioré d'utilisation principale a l'authentification de serveur (1.3.6.1.5.5.7.3.1).

    8. Pour vérifier que le serveur ACS fait confiance au serveur CA, allez à la racine de console > aux Certificats (ordinateur local) > des Autorités de certification racine approuvée > des Certificats. Vérifiez qu'il y a un certificat pour le serveur CA (nommé notre TAC CA dans cet exemple). Ouvrez le certificat et vérifiez les articles suivants.

      • Il n'y a aucun avertissement au sujet du certificat n'étant pas vérifié pour assurer tous ses buts visés.

      • Il n'y a aucun avertissement au sujet du certificat n'étant de confiance pas.

      • Le but visé du certificat est correct.

      • Le certificat n'a pas expiré et est devenu valide (vérifiez valide «  » et «  » derrière des dates).

      Si l'ACS et le client n'utilisaient pas la même racine CA, alors vérifiez que la chaîne entière des Certificats de serveurs CA ont été installées. Le même s'applique si le certificat était obtenu d'une autorité de subcertificate.

  • Vous pouvez vérifier la confiance du client en suivant les étapes ci-dessous.

    1. Ouvrez une session à Windows sur le client sans fil avec le compte du client. Ouvrez Microsoft Management Console en allant au Start > Run, en tapant le MMC, et cliquer sur OK.

    2. Sur la barre de menus, allez à la console > à l'ajout/suppression SNAP-dans, et puis cliquez sur Add.

    3. Les Certificats choisis et cliquent sur Add.

    4. Cliquez sur étroitement, et cliquez sur OK alors.

    5. Pour vérifier que le profil du client fait confiance au serveur CA, allez à la racine de console > aux Certificats - utilisateur courant > Autorités de certification racine approuvée > Certificats. Vérifiez qu'il y a un certificat pour le serveur CA (nommé notre TAC CA dans cet exemple). Ouvrez le certificat et vérifiez les articles suivants.

      • Il n'y a aucun avertissement au sujet du certificat n'étant pas vérifié pour assurer tous ses buts visés.

      • Il n'y a aucun avertissement au sujet du certificat n'étant de confiance pas.

      • Le but visé du certificat est correct.

      • Le certificat n'a pas expiré et est devenu valide (vérifiez valide «  » et «  » derrière des dates).

      Si l'ACS et le client n'utilisaient pas la même racine CA, alors vérifiez que la chaîne entière des Certificats de serveurs CA ont été installées. Le même s'applique si le certificat était obtenu d'une autorité de subcertificate.

  • Vérifiez les configurations ACS comme décrit dans la section sur configurer le Cisco Secure ACS pour Windows v3.2.

  • Vérifiez les configurations AP comme décrit dans la section sur configurer le point d'accès Cisco.

  • Vérifiez les configurations de client sans fil comme décrit dans la section sur configurer le client sans fil.

  • Vérifiez que le compte utilisateur existe dans la base de données interne du serveur d'AAA ou sur une des bases de données externes configurées. Assurez-vous que le compte n'a pas été désactivé.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 43486