Sécurité : Cisco Secure Access Control Server pour Windows

Guide de configuration de Dot1x version 1.05 en mode câblé

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit une configuration d'échantillon pour la version 1.05 de câble de dot1x.

Ce guide couvre les Certificats créés avec Microsoft CA et les Certificats de auto-signature, qui sont pris en charge en date du serveur de contrôle d'accès (ACS) 3.3. Utilisant un certificat de auto-signature les lignes profilées parafent l'installation PEAP considérablement puisqu'aucun CA externe n'est exigé. À ce moment, la période par défaut d'expiration du certificat de auto-signature est seulement un an et ne peut pas être changée. C'est assez standard quand il s'agit de Certificats de serveur, mais puisque le certificat auto-signé agit également en tant que certificat de CA de racine, ceci peut signifier installer le nouveau certificat sur chaque client, chaque année en utilisant le suppliant de Microsoft (à moins que vous ne sélectionnez pas l'option « validez de serveur certificat »). Il est recommandent que vous utilisiez les Certificats de auto-signature seulement comme mesure provisoire jusqu'à ce qu'un CA traditionnel puisse être utilisé. Si vous souhaitez utiliser un certificat de auto-signature, voyez la section.

le 802.1x a été conçu pour authentifier des hôtes sur un réseau câblé au lieu des utilisateurs réels. Tenter pour authentifier des utilisateurs par l'intermédiaire du 802.1x sur un réseau câblé peut avoir comme conséquence le comportement non souhaité tel qu'un utilisateur authentifié par 802.1x n'étant pas fermé une session le réseau jusqu'à ce que la carte NIC libère le port.

Conditions préalables

Conditions requises

Avant de tenter cette configuration, assurez-vous que vous répondez à ces exigences :

  • Commutateurs exécutant la version de logiciel 12.1(12c)EA1 et ultérieures de Cisco IOSÝ (E-I seulement) ou le CatOS 6.2 et plus tard

  • ACS 3.2

  • Windows 2000 SP3 (avec le correctif), SP4, ou XP SP1

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions de documents, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Le certificat de Microsoft entretient l'installation

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: L'Internet Information Server (IIS) doit être installé avant que vous installiez le CA. Avoid donnant au CA la même chose nomment en tant que serveur ACS ; faire ainsi peut faire échouer des clients PEAP authentification parce qu'ils obtiennent confus quand un certificat de CA de racine est trouvé avec le même nom que le certificat de serveur. Ce problème n'est pas seul aux clients de Cisco.

Installez le serveur du certificat de Microsoft (CA)

Procédez comme suit :

  1. Choisissez le début > les configurations > le panneau de configuration.

  2. À l'intérieur du panneau de configuration, ouvrez l'Add/Remove Programs.

  3. Dans l'Add/Remove Programs, choisissez l'Add/Remove Windows Components.

  4. Choisissez les services de certificat.

  5. Cliquez sur Next (Suivant).

  6. Clic oui au message IIS.

  7. Choisissez une racine autonome (ou entreprise) CA.

  8. Cliquez sur Next (Suivant).

  9. Nommez le CA.

    Remarque: Toutes les autres cases sont facultatives.

    Remarque: Avoid donnant au CA la même chose nomment en tant que serveur ACS. Ceci peut faire échouer les clients PEAP authentification parce qu'ils deviennent confus quand un certificat de CA de racine est trouvé avec le même nom que le certificat de serveur. Ce problème n'est pas seul aux clients de Cisco. Naturellement, si vous ne prévoyez pas sur utiliser le PEAP, ceci ne s'applique pas.

  10. Cliquez sur Next (Suivant).

  11. Le par défaut de base de données est correct.

  12. Cliquez sur Next (Suivant).

    IIS doit être installé avant que vous installiez le CA.

ACS pour l'installation de certificat de Windows

Créez un certificat de serveur

Procédez comme suit :

  1. De votre serveur ACS, parcourez au CA (http://IP_of_CA_server/certsrv/).

  2. Cochez la demande une case de certificat.

  3. Cliquez sur Next (Suivant).

  4. Choisissez la demande avancée.

  5. Cliquez sur Next (Suivant).

  6. Choisissez soumettent une demande de certificat à ce CA utilisant une forme.

  7. Cliquez sur Next (Suivant).

  8. Introduisez un nom dans la case du nom (NC).

  9. Pour le but visé, choisissez le certificat d'authentification de serveur.

    Remarque:  Si vous utilisez l'entreprise CA, choisissez le serveur Web de la première liste déroulante.

  10. Choisissez ces derniers sous l'option principale de créer un nouveau modèle :

    • CSP — Microsoft Base Cryptographic Provider v1.0

    • Taille de clé — 1024

      Remarque: Les Certificats créés avec une taille de clé plus grande que 1024 peuvent fonctionner pour HTTPS mais ne fonctionneront pas pour le PEAP.

      Remarque: L'entreprise CA de Windows 2003 permet des tailles de clé plus grandes que 1024, mais utilisation d'un principal plus en grande partie que 1024 ne fonctionne pas avec le PEAP. L'authentification pourrait sembler passer dans ACS, mais le client s'arrêtera juste tout en tentant l'authentification.

    • Clés comme exportables

      Remarque: Microsoft a changé le modèle de serveur Web avec la release de l'entreprise CA de Windows 2003. Avec cette modification de modèle, les clés ne sont plus exportables, et l'option est greyed. Il n'y a aucun autre modèle de certificat fourni avec des services de certificat qui sont pour l'authentification de serveur, ou qui donnent la capacité de marquer des clés comme exportables dans le menu déroulant. Afin de créer un nouveau modèle qui fait ainsi, voir la création par nouvelle section de modèle de certificat.

    • Mémoire d'ordinateur local d'utilisation

    Remarque: Tous autres choix devraient être laissés en tant que par défaut.

  11. Cliquez sur Submit.

  12. Vous devriez recevoir ce message : Votre demande de certificat a été reçue.

Créez un nouveau modèle de certificat

Procédez comme suit :

  1. Choisissez le Start > Run > le certmpl.msc.

  2. Modèle de serveur Web de clic droit.

  3. Choisissez le modèle en double.

  4. Donnez au modèle un nom, tel qu'ACS.

  5. Cliquez sur l'onglet de manipulation de demande.

  6. Choisissez permettent la clé privée à exporter.

  7. Cliquez sur le bouton de CSPs.

  8. Choisissez Microsoft Base Cryptographic Provider v1.0.

  9. Cliquez sur OK.

    Remarque: Toutes autres options devraient être laissées en tant que par défaut.

  10. Cliquez sur Apply.

  11. Cliquez sur OK.

  12. Ouvrez le CA MMC SNAP-dans.

  13. Modèles de certificat de clic droit.

  14. Choisissez nouveau > modèle de certificat à émettre.

  15. Choisissez le nouveau modèle que vous avez créé.

  16. Cliquez sur OK.

  17. Redémarrez le CA.

    Le nouveau modèle est inclus dans la liste déroulante de modèle de certificat.

Approuvez le certificat du CA

Procédez comme suit :

  1. Choisissez le Start > Programs > Administrative tools > l'autorité de certification.

  2. Sur la vitre gauche, développez le certificat.

  3. Choisissez en attendant des demandes.

  4. Clic droit sur le certificat.

  5. Choisissez toutes les tâches.

  6. Choisissez la question.

Téléchargez le certificat de serveur au serveur ACS

Procédez comme suit :

  1. De votre serveur ACS, parcourez au CA (http://IP_of_CA_server/certsrv/).

  2. Choisissez le contrôle sur un certificat en attente.

  3. Cliquez sur Next (Suivant).

  4. Sélectionnez le certificat.

  5. Cliquez sur Next (Suivant).

  6. Cliquez sur Install.

Installez le certificat de CA sur le serveur ACS

Remarque: Ces étapes ne sont pas exigées si ACS et le CA sont installés sur le même serveur.

    Procédez comme suit :

  1. De votre serveur ACS, parcourez au CA (http://IP_of_CA_server/certsrv/).

  2. Choisissez récupèrent le certificat de CA ou la liste des révocations de certificat.

  3. Cliquez sur Next (Suivant).

  4. Choisissez la base 64 encodée.

  5. Cliquez sur Download CA certificate.

  6. Cliquez sur Open.

  7. Le clic installent le certificat.

  8. Cliquez sur Next (Suivant).

  9. Choisissez l'endroit tous les Certificats dans la mémoire suivante.

  10. Cliquez sur Browse.

  11. Cochez la case physique de mémoires d'exposition.

  12. Sur la vitre gauche, développez les Autorités de certification racine approuvée.

  13. Choisissez l'ordinateur local.

  14. Cliquez sur OK.

  15. Cliquez sur Next (Suivant).

  16. Cliquez sur Finish (Terminer).

  17. Cliquez sur OK sur l'importation était case réussie.

Installation ACS pour utiliser le certificat de serveur

Procédez comme suit :

  1. Sur le serveur ACS, choisissez la configuration système.

  2. Choisissez l'installation de certificat ACS.

  3. Choisissez installent le certificat ACS.

  4. Choisissez le certificat d'utilisation de la mémoire.

  5. Introduisez dedans le nom NC (le même nom qui a été utilisé dans l'étape 8 de la création par section de certificat de serveur).

  6. Cliquez sur Submit.

  7. Sur le serveur ACS, configuration de système de clic.

  8. Choisissez l'installation de certificat ACS.

  9. Choisissez éditent la liste de confiance de certificat.

  10. Cochez la case pour le CA.

  11. Cliquez sur Submit.

Installation de certificat d'appareils ACS

Créez et installez un certificat Auto-signé

Remarque:  Cette section s'applique seulement si vous n'utilisez pas un CA externe.

Procédez comme suit :

  1. Sur le serveur ACS, configuration système de clic.

  2. Installation de certificat du clic ACS.

  3. Certificat Auto-signé Generate de clic.

  4. Tapez le sujet de certificat dans le de forme. Dans cet exemple, cn=ACS33 est utilisé. Pour plus d'options de configuration auto-signées de certificat, référez-vous à la configuration système : Authentification et Certificats.

  5. Introduisez le chemin d'accès complet et le nom du certificat à créer dans la case de fichier du certificat. Par exemple, c:\acscerts\acs33.cer.

  6. Introduisez le chemin d'accès complet et le nom du fichier principal privé à créer dans la case privée de fichier principal. Par exemple, c:\acscerts\acs33.pvk.

  7. Entrez et confirmez le mot de passe de clé privée.

  8. Choisissez 1024 de la liste déroulante de longueur principale.

    Remarque: Tandis que l'ACS peut générer des tailles de clé plus grandes que 1024, utilisant un principal plus en grande partie que 1024 ne fonctionne pas avec le PEAP. L'authentification pourrait sembler passer dans ACS, mais le client s'arrête tout en tentant l'authentification.

  9. Du condensé à signer avec la liste, choisissez le condensé d'informations parasites à utiliser pour chiffrer la clé. Dans cet exemple, le condensé à signer avec à SHA1 est utilisé.

  10. Certificat généré Install de contrôle.

  11. Cliquez sur Submit.

Créez un certificat de serveur utilisant le CSR

Procédez comme suit :

  1. De votre ftp server, parcourez au CA (http://IP_of_CA_server/certsrv/).

  2. Choisissez la demande un certificat.

  3. Cliquez sur Next (Suivant).

  4. Choisissez la demande avancée.

  5. Cliquez sur Next (Suivant).

  6. Choisissez soumettent une demande de certificat utilisant un fichier PKCS encodé par base64 #10 ou une demande de renouvellement utilisant un fichier PKCS encodé par base64 #7.

  7. Collez la sortie de l'étape 6 dans le champ encodé par Base64 de demande de certificat.

  8. Cliquez sur Submit.

  9. Cliquez sur Download CA certificate.

  10. Cliquez sur Save.

  11. Nommez le certificat.

  12. Sauvegardez le certificat à votre répertoire de FTP

Certificat de CA de téléchargement au ftp server

Procédez comme suit :

  1. De votre ftp server, parcourez au CA (http://IP_of_CA_server/certsrv/).

  2. Choisissez récupèrent le certificat de CA ou la liste des révocations de certificat.

  3. Cliquez sur Next (Suivant).

  4. Choisissez la base 64 encodée.

  5. Cliquez sur Download CA certificate.

  6. Cliquez sur Save.

  7. Nommez le certificat.

  8. Sauvegardez le certificat à votre répertoire de FTP

Installez le certificat de CA sur l'appliance

Procédez comme suit :

  1. Choisissez la configuration système > le certificat ACS installés > installation d'autorité de certification ACS.

  2. Cliquez sur Download le fichier de certificat de CA.

  3. Dans le domaine serveur ftp, entrez dans l'adresse IP ou l'adresse Internet du ftp server

  4. Dans le domaine de procédure de connexion, écrivez un nom d'utilisateur valide que le Cisco Secure ACS peut employer pour accéder au ftp server.

  5. Iin le champ de mot de passe, entrent le mot de passe d'utilisateur.

  6. Dans le domaine distant de répertoire de FTP, entrez dans le chemin relatif à partir du répertoire racine serveur ftp au répertoire contenant le fichier de certificat de CA.

  7. Dans le domaine distant de nom du fichier de FTP, écrivez le nom du fichier de certificat de CA.

  8. Cliquez sur Submit.

  9. Vérifiez le nom du fichier dans le domaine.

  10. Cliquez sur Submit.

  11. Choisissez la configuration système > le contrôle des services pour redémarrer les services ACS.

Configurez les configurations globales d'authentification

Procédez comme suit :

  1. Sur le serveur ACS, configuration système de clic.

  2. Installation globale d'authentification de clic.

Terminez-vous ces étapes pour ACS v3.2 et plus tard :

  1. Cochez l'autoriser EAP-MSCHAPv2 si à l'aide de la case de Microsoft PEAP.

  2. Cochez l'autoriser EAP-GTC si à l'aide de la case de Cisco PEAP.

  3. Cochez la case d'authentification de version 1 de l'autoriser MS-CHAP.

  4. Cochez la case d'authentification de version 2 de l'autoriser MS-CHAP.

  5. Cliquez sur Submit.

Terminez-vous ces étapes pour ACS v3.1 et plus tard :

  1. Cochez la case de l'autoriser PEAP.

  2. Cochez la case d'authentification de version 1 de l'autoriser MS-CHAP.

  3. Cochez la case d'authentification de version 2 de l'autoriser MS-CHAP.

  4. Cliquez sur Submit.

Installez l'ACS pour permettre l'authentification de machine

Procédez comme suit :

  1. Choisissez les bases de données d'utilisateur externe > la configuration de base de données.

  2. Base de données de Windows de clic.

  3. Cliquez sur Configure.

  4. Cochez la case d'authentification de machine de l'autorisation PEAP.

  5. Cliquez sur Submit.

Installez AP sur l'ACS

Terminez-vous ces étapes pour installer AP sur l'ACS :

  1. Sur le serveur ACS, cliquez sur Network Configuration du côté gauche.

  2. Pour ajouter un client d'AAA, cliquez sur Add l'entrée.

  3. Écrivez ces valeurs dans les cases :

    • Adresse IP de client d'AAA — IP_of_your_AP

    • Clé — Composez un principal (assurez-vous que la clé apparie la clé secrète partagée par AP)

    • Authentifiez utilisant — RAYON (Cisco Aironet)

  4. Cliquez sur Submit.

  5. Reprise.

Configurez le commutateur pour le dot1x

Référez-vous à ces documents pour la configuration de dot1x :

Configuration de temporisateurs de dot1x

Terminez-vous ces étapes pour configurer les temporisateurs de dot1x comme le RAYON A/V appareille :

  • Configurez l'attribut RADIUS de session-timeout (attribut [27]) qui spécifie le temps après quoi la réauthentification se produit.

  • Configurez l'attribut RADIUS d'Arrêt-action (attribut [29]) qui spécifie l'action d'être pris pendant la réauthentification. Quand la valeur d'attribut est placée pour se transférer, la session de 802.1X d'IEEE finit, et la Connectivité est perdue pendant la réauthentification. Quand la valeur d'attribut est placée à la demande RADIUS, la session n'est pas affectée pendant la réauthentification.

Remarque: Les valeurs pour les attributs 27 et 29 peuvent être assignées sur une base de par-groupe, sous la section du RAYON (IETF). Placez l'attribut 27 à la période de réauthentification, et 29 à la demande RADIUS.

Sur le commutateur, exécutez cette configuration pour que le commutateur reçoive les valeurs des attributs RADIUS du serveur de RAYON :

(config-if)#dot1x reauthentication
(config-if)#dot1x timeout reauth-period server

Installez le client pour le PEAP avec l'authentification de machine

Joignez le domaine

Procédez comme suit :

Remarque: Afin de se terminer cette étape, l'ordinateur doit avoir une de ces connexions au CA :

  • connexion câblée

  • connexion Sans fil avec la Sécurité de 802.1x désactivée

  1. Ouvrez une session à Windows XP avec un compte qui a des privilèges d'administrateur.

  2. Clic droit sur mon ordinateur.

  3. Choisissez Properties.

  4. Cliquez sur l'onglet Computer Name.

  5. Cliquez sur Change.

  6. Dans le domaine de nom de l'ordinateur, entrez dans l'adresse Internet.

  7. Choisissez le domaine.

  8. Écrivez le nom du domaine.

  9. Cliquez sur OK.

  10. Une boîte de dialogue de connexion est affichée. Ouvrez une session avec un compte qui a l'autorisation de joindre le domaine.

  11. Une fois que l'ordinateur a avec succès joint le domaine, redémarrez l'ordinateur. L'ordinateur va bien au membre du domaine, a un certificat pour le CA installé, et un mot de passe pour l'authentification de machine est automatiquement généré.

Si le client se joignait le domaine avant l'installation du CA, ou le certificat de CA n'a pas été installé sur le client, se terminent ces étapes :

Remarque: Le besoin de ceci est indiqué par des échecs d'authentification souvent (mais pas toujours) avec des erreurs telles que l'échec de l'authentification pendant la prise de contact SSL.

  1. De votre serveur ACS, parcourez au CA (http://IP_of_CA_server/certsrv/).

  2. Choisissez récupèrent le certificat de CA ou la liste des révocations de certificat.

  3. Cliquez sur Next (Suivant).

  4. Choisissez la base 64 encodée.

  5. Cliquez sur Download CA certificate.

  6. Cliquez sur Open.

  7. Le clic installent le certificat.

  8. Cliquez sur Next (Suivant).

  9. Choisissez l'endroit tous les Certificats dans la mémoire suivante.

  10. Cliquez sur Browse.

  11. Cochez la case physique de mémoires d'exposition.

  12. Sur la vitre gauche, développez le certificat.

  13. Choisissez l'ordinateur local.

  14. Cliquez sur OK.

  15. Cliquez sur Next (Suivant).

  16. Cliquez sur Finish (Terminer).

  17. Cliquez sur OK sur l'importation était case réussie.

XP SP1 d'installation pour le PEAP avec l'authentification de machine

Procédez comme suit :

  1. Choisissez le début > le panneau de configuration > les connexions réseau.

  2. Choisissez Properties.

  3. Cliquez sur l'onglet d'authentification.

  4. Cochez la case de 802.1x d'IEEE d'enable….

  5. Pour le type d'EAP, choisissez l'EAP protégé.

  6. Cliquez sur Properties.

  7. Vérifiez l'authentifier comme ordinateur…. case.

  8. Choisissez Properties.

  9. Cochez la case pour le CA

  10. Cliquez sur OK.

  11. Cliquez sur OK.

Windows 2000 d'installation pour l'authentification de machine PEAP

Procédez comme suit :

  1. Si vous exécutez SP3, téléchargez et installez le correctif de 802.1x : http://support.microsoft.com/default.aspx?kbid=313664leavingcisco.com . Ceci n'est pas exigé pour le SP4.

  2. Choisissez le début > les configurations > les connexions de panneau de configuration > de réseau et de connexion à distance.

  3. Cliquez avec le bouton droit la connexion réseau.

  4. Choisissez Properties.

  5. Cliquez sur l'onglet d'authentification.

  6. Choisissez Enable le contrôle d'accès au réseau utilisant le 802.1x d'IEEE.

  7. Choisissez l'EAP protégé (PEAP) de la liste déroulante de type d'EAP.

  8. Cochez l'authentifier comme case d'ordinateur….

  9. Choisissez Properties.

  10. Cochez la case pour le CA

  11. Cliquez sur OK.

  12. Cliquez sur OK.

Remarque: S'il n'y a aucun onglet d'authentification, le service de 802.1X est installé dans un état handicapé. Afin de résoudre ceci, vous devez activer le service de configuration Sans fil dans la liste des services.

Remarque: Si l'onglet d'authentification est présent, mais est indisponible, ceci indique que le gestionnaire d'adaptateur réseau ne prend en charge pas le 802.1x correctement. Vérifiez la page de correctif de 802.1x ou le site Web du constructeur pour les gestionnaires pris en charge.

    Terminez-vous ces étapes pour activer la configuration Sans fil :

  1. Cliquez avec le bouton droit mon ordinateur.

  2. Le clic gèrent.

  3. Services et applications de clic.

  4. Services de clic.

  5. Placez la valeur de démarrage pour le service à automatique.

  6. Commencez le service.

Affectation dynamique VLAN pour le 802.1x et l'ACS

Cette option est prise en charge dans IOS 12.1(12c)EA1 (E-I seulement) ou 12.1(14)EA1 ou CatOS 7.2 et plus tard

Remarque: le 802.1x a été conçu pour authentifier des hôtes sur un réseau câblé au lieu des utilisateurs réels. Tenter pour authentifier des utilisateurs par l'intermédiaire du 802.1x sur un réseau câblé peut avoir comme conséquence le comportement non souhaité tel que l'affectation dynamique VLAN assignée à un utilisateur n'étant pas changé jusqu'à ce que la carte NIC libère le port (l'ordinateur est redémarré ou powercycled).

Procédez comme suit :

  1. Choisissez l'Interface Configuration > RADIUS (IETF).

  2. Cochez le Tunnel-type [064] pour l'utilisateur/case de groupe.

  3. Cochez le Tunnel-Support-type [065] pour l'utilisateur/case de groupe.

  4. Cochez le Tunnel-Private-Group-ID [081] pour l'utilisateur/case de groupe.

  5. Cliquez sur Submit.

  6. Choisissez l'installation d'utilisateur/groupe.

  7. Cochez la case de Tunnel-type [064].

  8. Choisissez 1 de la liste déroulante de balise.

  9. Choisissez le VLAN pour la liste déroulante de valeur.

  10. Choisissez 0 pour toutes les listes déroulantes ultérieures de balise.

  11. Cochez la case de Tunnel-Support-type [065].

  12. Choisissez 1 de la liste déroulante de balise.

  13. Choisissez 802 de la liste déroulante de valeur.

  14. Choisissez 0 pour toutes les listes déroulantes ultérieures de balise.

  15. Cochez la case de Tunnel-Private-Group-ID [081].

  16. Choisissez 1 de la liste déroulante de balise.

  17. Utilisez le nom du VLAN qui doit être poussé. Ce peut être le nom par défaut et est trouvé en émettant la commande show vlan.

  18. Choisissez 0 pour toutes les listes déroulantes ultérieures de balise.

  19. Cliquez sur Submit.

Vérifiez

Pour créer le message d'erreur d'objet « CertificateAuthority.Request »

Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.

Procédez comme suit :

  1. Choisissez le début > les outils d'administration > l'IIS.

  2. Choisissez les sites Web > le site Web de par défaut.

  3. Clic droit CertSrv.

  4. Choisissez Properties.

  5. Cliquez sur le bouton configuration dans la section de configurations d'application de l'onglet de répertoire virtuel.

  6. Cliquez sur l'onglet d'options.

  7. Choisissez Enable l'état de session.

    Remarque: Toutes autres options devraient être laissées en tant que par défaut.

  8. Cliquez sur OK.

  9. Cliquez sur OK.

  10. Reprise IIS.

Si votre navigateur verrouille avec un ActiveX le téléchargeant de message de contrôle, référez-vous à cet article sur le site Web de Microsoft : L'Internet Explorer cesse de répondre au message « de contrôle ActiveX de téléchargement » quand vous essayez d'utiliser un serveur de certificatleavingcisco.com .

Dépannez

Problème

Le commutateur ne contacte pas le serveur ACS secondaire quand le serveur ACS primaire s'attaque vers le bas à l'authentification de dot1x ; cette erreur se produit : « Session d'authentification chronométrée : Défi non fourni par le client. »

Solution

Cette erreur se produit quand le mort-temporisateur n'est pas configuré sur le commutateur, qui fait continuer le commutateur à juger le serveur primaire qui est vers le bas. Ceci fait échouer l'authentification. Afin de résoudre ce problème, configurez le mort-temporisateur sur le commutateur de sorte que le commutateur contacte le serveur ACS secondaire après qu'il attende le temps configuré (en quelques secondes) ou le nombre de relances pour atteindre le serveur primaire avant considère le serveur primaire à déclarer complètement ou indisponible. Maintenant l'authentification réussit avec le serveur secondaire, qui est en activité. Le temps d'arrêt peut être configuré avec cette commande : radius-server dead-criteria [secondes de temps [nombre d'essais] | nombre d'essais en mode de configuration globale.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 64068