Sans fil : Contrôleurs de réseau local sans fil de la gamme Cisco 4400

PEAP sous des réseaux sans fil unifiés avec ACS 4.0 et Windows 2003

16 janvier 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (20 décembre 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment configurer l'accès sans fil sécurisé à l'aide des contrôleurs de réseau local sans fil, du système d'exploitation Microsoft Windows 2003 et de Cisco Secure Access Control Server (ACS) 4.0 par l'intermédiaire du protocole PEAP avec la version 2 du Protocole d'authentification de négociation par défi Microsoft (MS-CHAP).

Remarque: Pour des informations sur le déploiement de sécurisez la radio, référez-vous au site Web de WiFi de Microsoftleavingcisco.com et au plan détaillé Sans fil SÛR de Cisco.

Conditions préalables

Conditions requises

Il y a une supposition que l'installateur a la connaissance de l'installation de base d'installation de Windows 2003 et de contrôleur de Cisco pendant que ce document couvre seulement les configurations spécifiques pour faciliter les tests.

Pour l'installation initiale et les informations de configuration pour les contrôleurs de la gamme Cisco 4400, consultez le Guide de démarrage rapide : Contrôleurs de réseau local sans fil de la gamme Cisco 4400 Pour l'installation initiale et les informations de configuration pour les contrôleurs de gamme Cisco 2000, référez-vous au guide de démarrage rapide : Contrôleurs de réseau local sans fil de la gamme Cisco 2000.

Les guides d'installation et de configuration de Microsoft Windows 2003 peuvent être trouvés sous Installer Windows Server 2003 R2.leavingcisco.com

Avant de commencer, installez Microsoft Windows Server 2003 avec le système d'exploitation SP sur chacun des serveurs dans le laboratoire de test et mettez à jour tous les Services Pack. Installez les contrôleurs et les points d'accès léger (LAP) et assurez-vous que les dernières mises à jour logicielles sont configurées.

Important : Au moment de cette écriture, le SP1 est la dernière mise à jour de la Microsoft Windows Server 2003, et le SP2 avec des correctifs de mise à jour est le dernier logiciel pour le professionnel de Microsoft Windows XP.

Les Windows Server 2003 avec le SP1, Enterprise Edition, sont utilisés de sorte que l'autoenrollment des Certificats d'utilisateur et de poste de travail pour l'authentification PEAP puisse être configuré. L'autoenrollment de certificat et autorenewal le facilitent pour déployer des Certificats et pour améliorer la Sécurité automatiquement en expirant et en renouvelant des Certificats.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Contrôleur de gamme Cisco 2006 ou 4400 qui exécute 3.2.116.21

  • Protocole de point d'accès léger Cisco 1131 (LWAPP) AP

  • Entreprise de Windows 2003 avec l'Internet Information Server (IIS), l'Autorité de certification (CA), le DHCP, et le Système de noms de domaine (DNS) installé

  • Norme de Windows 2003 avec le serveur de contrôle d'accès (ACS) 4.0

  • Windows XP Professionnel avec le fournisseur de services (et les Services Pack mis à jour) et le network interface card Sans fil (NIC) (avec CCX support v3) ou le suppliant de tiers.

  • Commutateur du routage Cisco 3560

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Topologie de travaux pratiques Sans fil Cisco Secure

/image/gif/paws/72013/peap-acs40-win2003-1.gif

L'objectif principal de ce document est de te fournir la procédure pas à pas pour implémenter le PEAP sous des réseaux sans fil unifié avec ACS 4.0 et le serveur d'entreprise de Windows 2003. L'accent principal est sur l'Auto-inscription du client de sorte que les autos-enrolls de client et prend le certificat du serveur.

Remarque: Afin d'ajouter l'accès protégé par Wi-Fi (WPA)/WPA2 avec la norme de chiffrement du Protocole TKIP (Temporal Key Integrity Protocol) /Advanced (AES) au Windows XP Professionnel avec le fournisseur de services, se rapportent à la mise à jour de l'élément d'information de services de ravitaillement WPA2/Wireless (IE WPS) pour Windows XP avec le Service Pack 2.leavingcisco.com

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Entreprise 2003 de Windows installée avec IIS, autorité de certification, DN, DHCP (DC_CA)

DC_CA (wirelessdemoca)

DC_CA est un ordinateur qui exécute les Windows Server 2003 avec le SP1, Enterprise Edition, et exécute ces rôles :

  • Un contrôleur de domaine pour le domaine wirelessdemo.local qui exécute IIS

  • Un serveur DNS pour le domaine de DN wirelessdemo.local

  • Un serveur DHCP

  • Racine CA d'entreprise pour le domaine wirelessdemo.local

Terminez-vous ces étapes afin de configurer DC_CA pour ces services :

  1. Exécutez une installation et une configuration de base.

  2. Configurez l'ordinateur comme contrôleur de domaine.

  3. Élevez le niveau fonctionnel de domaine.

  4. Installez et configurez le DHCP.

  5. Installez les services de certificat.

  6. Vérifiez les privilèges d'administrateur pour des Certificats.

  7. Ajoutez les ordinateurs au domaine.

  8. Permettez l'accès à l'ordinateur Sans fil.

  9. Ajoutez les utilisateurs au domaine.

  10. Permettez l'accès Sans fil aux utilisateurs.

  11. Ajoutez les groupes au domaine.

  12. Ajoutez les utilisateurs au groupe de WirelessUsers.

  13. Ajoutez les ordinateurs client au groupe de WirelessUsers.

Étape 1 : Exécutez l'installation et la configuration de base

Procédez comme suit :

  1. Installez les Windows Server 2003 avec le SP1, Enterprise Edition, en tant que serveur autonome.

  2. Configurez le protocole TCP/IP avec l'adresse IP de 172.16.100.26 et le masque de sous-réseau de 255.255.255.0.

Étape 2 : Configurez l'ordinateur comme contrôleur de domaine

Procédez comme suit :

  1. Afin de commencer l'assistant d'installation de Répertoire actif, choisissez le Start > Run, tapez dcpromo.exe, et cliquez sur OK.

  2. Sur l'accueil à la page d'assistant d'installation de Répertoire actif, cliquez sur Next.

  3. À la page du système d'exploitation de compatibilité, cliquez sur Next.

  4. À la page de type de contrôleur de domaine, le contrôleur de domaine choisi pour un nouveau domaine et cliquent sur Next.

  5. À la nouvelle page de domaine de création, le domaine choisi dans une nouvelle forêt et cliquent sur Next.

  6. Sur l'installer ou configurez la page de DN, sélectionnez l'aucun, juste installez et configurez les DN sur cet ordinateur et cliquez sur Next.

  7. À la page de nouveau nom de domaine, le type wirelessdemo.local et cliquent sur Next.

  8. À la page de nom de domaine de Netbios, écrivez le nom NetBIOS de domaine comme wirelessdemo et cliquez sur Next.

  9. Dans les répertoires de base de données et de log que les emplacements paginent, reçoivent la base de données par défaut et se connectent les répertoires de répertoires et cliquent sur Next.

    /image/gif/paws/72013/peap-acs40-win2003-2.gif

  10. Dans la page partagée de volume de système, vérifiez que l'emplacement de dossier par défaut est correct et cliquez sur Next.

    /image/gif/paws/72013/peap-acs40-win2003-3.gif

  11. Sur les autorisations paginez, vérifiez que des autorisations compatibles seulement avec le Windows 2000 ou les systèmes d'exploitation Windows Server 2003 est sélectionnées et cliquez sur Next.

    peap-acs40-win2003-4.gif

  12. Sur les services d'annuaire restaurez la page de mot de passe de gestion de mode, laissez le blanc de cadres Password et cliquez sur Next.

  13. Examinez les informations à la page récapitulative et cliquez sur Next.

    peap-acs40-win2003-5.gif

  14. Quand vous êtes fait avec l'installation de Répertoire actif, cliquez sur Finish.

  15. Une fois incité à redémarrer l'ordinateur, cliquez sur la reprise maintenant.

Étape 3 : Élevez le niveau fonctionnel de domaine

Procédez comme suit :

  1. Ouvrez les domaines et les confiances de Répertoire actif SNAP-dans du répertoire d'outils d'administration (Start > Programs > Administrative tools > domaines et confiances de Répertoire actif), et puis cliquez avec le bouton droit l'ordinateur DC_CA.wirelessdemo.local de domaine.

  2. Cliquez sur le niveau fonctionnel de domaine d'augmenter, et puis sélectionnez les Windows Server 2003 à la page de niveau fonctionnel de domaine d'augmenter.

    /image/gif/paws/72013/peap-acs40-win2003-6.gif

  3. Cliquez sur l'augmenter, cliquez sur OK, et puis cliquez sur OK de nouveau.

Étape 4 : Installez et configurez le DHCP

Procédez comme suit :

  1. Installez le protocole DHCP (DHCP) comme composant de service de réseau à l'aide de ajoutent ou retirent des programmes au panneau de configuration.

  2. Ouvrez le DHCP SNAP-dans du répertoire d'outils d'administration (Start > Programs > Administrative tools > DHCP), et puis mettez en valeur le serveur DHCP, DC_CA.wirelessdemo.local.

  3. Cliquez sur l'action, et puis cliquez sur autorisent afin d'autoriser le service DHCP.

  4. Dans l'arborescence de la console, le clic droit DC_CA.wirelessdemo.local, et cliquent sur New alors la portée.

  5. Sur l'écran de bienvenue du nouvel assistant de portée, cliquez sur Next.

  6. À la page de nom de portée, type CorpNet dans la zone d'identification.

    /image/gif/paws/72013/peap-acs40-win2003-7.gif

  7. Cliquez sur Next et complétez ces paramètres :

    • Adresse IP de début — 172.16.100.1

    • Adresse IP d'extrémité — 172.16.100.254

    • Longueur — 24

    • Masque de sous-réseau — 255.255.255.0

    peap-acs40-win2003-8.gif

  8. Cliquez sur Next et entrez dans 172.16.100.1 pour l'adresse IP de début et 172.16.100.100 pour que l'adresse IP d'extrémité soit exclue. Cliquez ensuite sur Next. Ceci réserve les adresses IP dans la plage de 172.16.100.1 à 172.16.100.100. Ces adresses IP de réserve ne sont pas réparties par le serveur DHCP.

    /image/gif/paws/72013/peap-acs40-win2003-9.gif

  9. À la page de durée de bail, cliquez sur Next.

  10. Sur la page options DHCP de configurer, choisissez oui, je veux configurer ces options maintenant et cliquer sur Next.

    /image/gif/paws/72013/peap-acs40-win2003-10.gif

  11. À la page de routeur (passerelle par défaut) ajoutez l'adresse du routeur par défaut de 172.16.100.1 et cliquez sur Next.

    /image/gif/paws/72013/peap-acs40-win2003-11.gif

  12. Sur le nom de domaine et les serveurs DNS paginez, tapez wirelessdemo.local dans le domaine de domaine de parent, tapez 172.16.100.26 dans le domaine d'adresse IP, et puis cliquez sur Addand cliquent sur Next.

    /image/gif/paws/72013/peap-acs40-win2003-12.gif

  13. À la page de serveurs WINS, cliquez sur Next.

  14. À la page de portée de lancement, choisissez oui, je veux lancer cette portée maintenant et cliquer sur Next.

    /image/gif/paws/72013/peap-acs40-win2003-13.gif

  15. Quand vous terminez avec la nouvelle page d'assistant de portée, cliquez sur Finish.

Étape 5 : Installez les services de certificat

Procédez comme suit :

Remarque: IIS doit être installé avant que vous installiez des services de certificat et l'utilisateur devrait faire partie de l'OU d'admin d'entreprise.

  1. Au panneau de configuration, ouvert ajoutez ou retirez les programmes, et puis cliquez sur Add/retirez les composants de Windows.

  2. Dans la page d'assistant de composants de Windows, choisissez les services de certificat, et puis cliquez sur Next.

    /image/gif/paws/72013/peap-acs40-win2003-14.gif

  3. À la page de type CA, choisissez la racine CA d'entreprise et cliquez sur Next.

    peap-acs40-win2003-15.gif

  4. Dans la page de l'information d'identification CA, wirelessdemoca de type dans le nom commun pour cette case CA. Vous pouvez également écrire les autres détails facultatifs. Alors cliquez sur Next et recevez les par défaut sur la page Settings de base de données de certificat.

    /image/gif/paws/72013/peap-acs40-win2003-16.gif

  5. Cliquez sur Next (Suivant). À la fin de l'installation, cliquez sur Finish.

  6. Cliquez sur OK après que vous ayez lu le message d'avertissement au sujet d'installer IIS.

Étape 6 : Vérifiez les privilèges d'administrateur pour des Certificats

Procédez comme suit :

  1. Choisissez le début > les outils d'administration > l'autorité de certification.

  2. Le wirelessdemoca CA de clic droit et cliquent sur alors Properties.

  3. Sur l'onglet Sécurité, les administrateurs de clic dans le groupe ou les noms d'utilisateur les répertorient.

  4. Dans les autorisations ou les administrateurs le répertoriez, vérifiez que ces options sont placées de laisser :

    • Délivrez et gérez les Certificats

    • Gérez le CA

    • Certificats de demande

    Si l'un de ces sont placés pour refuser ou ne sont pas sélectionnés, placez l'autorisation de laisser.

    peap-acs40-win2003-17.gif

  5. Cliquez sur OK pour fermer la boîte de dialogue Properties du wirelessdemoca CA, et puis clôturez l'autorité de certification.

Étape 7 : Ajoutez les ordinateurs au domaine

Procédez comme suit :

Remarque: Si l'ordinateur est déjà ajouté au domaine, poursuivez pour ajouter des utilisateurs au domaine.

  1. Ouvrez les utilisateurs et les ordinateurs de Répertoire actif SNAP-dans.

  2. Dans l'arborescence de la console, développez wirelessdemo.local.

  3. Cliquez avec le bouton droit les utilisateurs, cliquez sur New, et puis cliquez sur l'ordinateur.

  4. Dans le nouvel objet ? La boîte de dialogue d'ordinateur, introduisent le nom de l'ordinateur dans le domaine de nom de l'ordinateur et cliquent sur Next. Cet exemple utilise le client de nom de l'ordinateur.

    peap-acs40-win2003-18.gif

  5. Dans la boîte de dialogue gérée, cliquez sur Next.

  6. Dans le nouvel objet ? La boîte de dialogue d'ordinateur, cliquent sur Finish.

  7. Répétez les étapes 3 à 6 afin de créer des comptes d'ordinateur supplémentaire.

Étape 8 : Permettez l'accès à l'ordinateur Sans fil

Procédez comme suit :

  1. Dans l'arborescence de la console d'utilisateurs et d'ordinateurs de Répertoire actif, cliquez sur le répertoire d'ordinateurs et cliquez avec le bouton droit sur l'ordinateur pour lequel vous voulez assigner l'accès Sans fil. Cet exemple affiche la procédure avec le client d'ordinateur ce que vous avez ajouté dans le clic Properties d'étape 7., et puis va à l'onglet Numérotation.

  2. Choisissez permettent l'accès et cliquent sur OK.

Étape 9 : Ajoutez les utilisateurs au domaine

Procédez comme suit :

  1. Dans l'arborescence de la console d'utilisateurs et d'ordinateurs de Répertoire actif, les utilisateurs de clic droit, cliquent sur New, et puis cliquent sur l'utilisateur.

  2. Dans le nouvel objet - boîte de dialogue de l'utilisateur, introduisez le nom de l'utilisateur sans fil. Cet exemple utilise le nom WirelessUser dans le domaine de prénom, et WirelessUser dans le domaine de nom de connexion d'utilisateur. Cliquez sur Next (Suivant).

    peap-acs40-win2003-19.gif

  3. Dans le nouvel objet - boîte de dialogue d'utilisateur, saisissez un mot de passe de votre choix dans le champ mot de passe, puis confirmez les champs du mot de passe. Effacez la case à cocher User must change password at next logon, puis cliquez sur Next.

    /image/gif/paws/72013/peap-acs40-win2003-20.gif

  4. Dans le nouvel objet - boîte de dialogue d'utilisateur, cliquez sur Finish.

  5. Répétez les étapes 2 à 4 afin de créer des comptes d'utilisateur supplémentaires.

Étape 10 : Permettez l'accès sans fil aux utilisateurs

Procédez comme suit :

  1. Dans l'arborescence de la console d'utilisateurs et d'ordinateurs de Répertoire actif, cliquez sur le répertoire d'utilisateurs, cliquez avec le bouton droit WirelessUser, cliquez sur Properties, et puis allez à l'onglet Numérotation.

  2. Choisissez permettent l'accès et cliquent sur OK.

Étape 11 : Ajoutez les groupes au domaine

Procédez comme suit :

  1. Dans l'arborescence de la console d'utilisateurs et d'ordinateurs de Répertoire actif, les utilisateurs de clic droit, cliquent sur New, et puis cliquent sur le groupe.

  2. Dans la nouvelle boîte de dialogue de groupe d'objets, introduisez le nom du groupe dans la zone d'identification de groupe et cliquez sur OK. Ce document utilise le nom de groupe WirelessUsers.

    peap-acs40-win2003-21.gif

Étape 12 : Ajoutez les utilisateurs au groupe de WirelessUsers

Procédez comme suit :

  1. Dans le volet de détails des utilisateurs et des ordinateurs de Répertoire actif, double clic sur le groupe WirelessUsers.

  2. Allez aux membres l'onglet et cliquez sur Add.

  3. Dans les utilisateurs choisis, les contacts, boîte de dialogue d'ordinateurs, ou de groupes, introduisent le nom des utilisateurs que vous voulez ajouter au groupe. Cet exemple affiche comment ajouter le wirelessuser d'utilisateur au groupe. Cliquez sur OK.

    peap-acs40-win2003-22.gif

  4. Dans les plusieurs noms la boîte de dialogue trouvée, cliquent sur OK. Le compte utilisateur de WirelessUser est ajouté au groupe de WirelessUsers.

    /image/gif/paws/72013/peap-acs40-win2003-23.gif

  5. Cliquez sur OK afin de sauvegarder des modifications au groupe de WirelessUsers.

  6. Répétez cette procédure pour ajouter plus d'utilisateurs au groupe.

Étape 13 : Ajoutez les ordinateurs client au groupe de WirelessUsers

Procédez comme suit :

  1. Répétez les étapes 1 et 2 dans les utilisateurs d'ajouter à la section de groupe de WirelessUsers de ce document

  2. Dans les utilisateurs choisis, la boîte de dialogue de contacts, ou d'ordinateurs, introduisent le nom de l'ordinateur que vous voulez ajouter au groupe. Cet exemple affiche comment ajouter l'ordinateur nommé Client au groupe.

    /image/gif/paws/72013/peap-acs40-win2003-24.gif

  3. Cliquez sur les types d'objet, effacez la case d'utilisateurs, et puis cochez les ordinateurs.

    /image/gif/paws/72013/peap-acs40-win2003-25.gif

  4. Cliquez deux fois sur OK. Le compte d'ordinateur client est ajouté au groupe de WirelessUsers.

  5. Répétez la procédure pour ajouter plus d'ordinateurs au groupe.

Norme 2003 de Windows installée avec le Cisco Secure ACS 4.0

Le Cisco Secure ACS est un ordinateur qui exécute les Windows Server 2003 avec le SP1, le Standard Edition, qui fournit l'authentification et l'autorisation de RAYON pour le contrôleur. Remplissez les procédures dans cette section afin de configurer ACS en tant que serveur de RAYON :

Installation et configuration de base

Procédez comme suit :

  1. Installez les Windows Server 2003 avec le SP1, Standard Edition, en tant que serveur membre nommé ACS dans le domaine wirelessdemo.local.

    Remarque: Le nom de serveur ACS apparaît comme cisco_w2003 dans les configurations restantes. ACS ou cisco_w2003 de remplacement sur l'installation restante de laboratoire.

  2. Pour la connexion au réseau local, configurez le protocole TCP/IP avec l'adresse IP de 172.16.100.26, le masque de sous-réseau de 255.255.255.0, et l'adresse IP de serveur DNS de 127.0.0.1.

Installation du Cisco Secure ACS 4.0

Remarque: Référez-vous au guide d'installation pour le Cisco Secure ACS 4.0 pour Windows pour plus d'informations sur la façon configurer le Cisco Secure ACS 4.0 pour Windows.

Procédez comme suit :

  1. Employez un compte administrateur de domaine afin d'ouvrir une session à l'ordinateur nommé ACS pour installer le Cisco Secure ACS.

    Remarque: Seulement des installations exécutées à l'ordinateur où vous installez le Cisco Secure ACS sont prises en charge. Des installations distantes exécutées utilisant des services de terminaux ou des Produits de Windows tels que Virtual Network Computing (VNC) ne sont pas testées, et ne sont pas prises en charge.

  2. Insérez le CD de Cisco Secure ACS dans un lecteur de CD-ROM sur l'ordinateur.

  3. Si le lecteur de CD-ROM prend en charge la caractéristique d'autorun de Windows, le Cisco Secure ACS pour la boîte de dialogue de Windows Server apparaît.

    Remarque: Si l'ordinateur n'a pas un pack de services exigé installé, une boîte de dialogue apparaît. Des paquets de service windows peuvent être appliqués l'un ou l'autre avant ou après que vous installiez le Cisco Secure ACS. Vous pouvez continuer l'installation, mais le pack de services exigé doit être appliqué après que l'installation soit complète. Autrement, le Cisco Secure ACS ne pourrait pas fonctionner sûrement.

  4. Effectuez une de ces tâches :

    • Si le Cisco Secure ACS pour la boîte de dialogue de Windows Server apparaît, le clic installent.

    • Si le Cisco Secure ACS pour la boîte de dialogue de Windows Server n'apparaît pas, exécutez setup.exe, situé dans le répertoire racine du CD de Cisco Secure ACS.

  5. Le Cisco Secure ACS a installé la boîte de dialogue affiche l'accord de licence logicielle.

  6. Lisez l'accord de licence logicielle. Si vous recevez l'accord de licence logicielle, le clic reçoivent.

    La boîte de dialogue bienvenue affiche les informations de base au sujet du programme de configuration.

  7. Après que vous ayez lu les informations dans la boîte de dialogue bienvenue, cliquez sur Next.

  8. Avant que vous commenciez les éléments de listes de boîte de dialogue que vous devez se terminer avant que vous continuiez l'installation. Si vous vous êtes terminé tous les éléments répertoriés dans avant que vous commenciez la boîte de dialogue, cochez la case correspondante pour chaque élément et cliquez sur Next.

    Remarque: Si vous ne vous êtes pas terminé tous les éléments répertoriés dans avant que vous commenciez la boîte de dialogue, cliquez sur l'annulation et puis cliquez sur l'installation de sortie. Après que vous vous terminiez tous les éléments répertoriés dans avant que vous commenciez la boîte de dialogue, redémarrez l'installation.

  9. La boîte de dialogue d'emplacement de destination de choisir apparaît. Sous le répertoire de destination, l'emplacement d'installation apparaît. C'est le lecteur et le chemin où le programme de configuration installe le Cisco Secure ACS.

  10. Si vous voulez changer l'emplacement d'installation, terminez-vous ces étapes :

    1. Cliquez sur Browse. La boîte de dialogue de répertoire de choisir apparaît. La case de chemin contient l'emplacement d'installation.

    2. Changez l'emplacement d'installation. Vous pouvez ou taper le nouveau emplacement dans la case de chemin ou utiliser les lecteurs et les répertoires le répertorie pour sélectionner un nouveaux lecteur et répertoire. L'emplacement d'installation doit être sur des gens du pays d'entraînement à l'ordinateur.

      Remarque: Ne spécifiez pas un chemin qui contient un caractère de pour cent, « % ». Si vous faites ainsi, l'installation pourrait sembler continuer correctement mais échoue avant qu'elle se termine.

    3. Cliquez sur OK.

      Remarque: Si vous spécifiiez un répertoire qui n'existe pas, le programme de configuration affiche une boîte de dialogue pour confirmer la création du répertoire. Afin de continuer, cliquez sur Yes.

  11. Dans la boîte de dialogue d'emplacement de destination de choisir, le nouvel emplacement d'installation apparaît sous le répertoire de destination.

  12. Cliquez sur Next (Suivant).

  13. Le boîtier de dialogue de configuration de base de données d'authentification répertorie des options pour authentifier des utilisateurs. Vous pouvez authentifier avec la base de données utilisateur Cisco Secure seulement, ou également avec une base de données d'utilisateur Windows.

    Remarque: Après que vous installiez le Cisco Secure ACS, vous pouvez configurer le soutien d'authentification de tous les types de base de données d'utilisateur externe en plus des bases de données d'utilisateur Windows.

  14. Si vous voulez authentifier des utilisateurs avec la base de données utilisateur Cisco Secure seulement, choisissez le contrôle l'option de base de données de Cisco Secure ACS seulement.

  15. Si vous voulez authentifier des utilisateurs avec une base de données utilisateur de l'Access Manager de protection windows (SAM) ou la base de données utilisateur de Répertoire actif en plus de la base de données utilisateur Cisco Secure, terminez-vous ces étapes :

    1. Choisissez également le vérifier l'option de base de données d'utilisateur Windows.

    2. L'oui, se rapportent « Grant que l'autorisation de dialin à la case de configuration à utilisateur » devient disponible.

      Remarque: L'oui, se rapportent « Grant que l'autorisation de dialin à la case de configuration à utilisateur » s'applique à toutes les formes de l'accès contrôlées par Cisco Secure ACS, pas simplement accès par appel téléphonique. Par exemple, un utilisateur qui accède au réseau par un tunnel VPN n'introduit pas dans un serveur d'accès à distance. Cependant, si l'oui, référez-vous « Grant que l'autorisation de dialin à la case de configuration à utilisateur » est cochée, Cisco Secure ACS applique les permissions d'accès commuté entrant d'utilisateur Windows afin de déterminer si accorder l'accès client au réseau.

    3. Si vous voulez permettre l'accès aux utilisateurs qui sont authentifiés par une base de données utilisateur de domaine windows seulement quand ils ont la permission d'accès commuté entrant dans leur compte de Windows, cochez l'oui, se rapportent « autorisation de dialin de Grant à la case de configuration à utilisateur ».

  16. Cliquez sur Next (Suivant).

  17. Le programme de configuration installe le Cisco Secure ACS et met à jour le registre de Windows.

  18. La boîte de dialogue anticipée d'options répertorie plusieurs caractéristiques de Cisco Secure ACS qui ne sont pas activées par défaut. Pour plus d'informations sur ces caractéristiques, référez-vous au guide de l'utilisateur pour le Cisco Secure ACS pour des Windows Server, version 4.0.

    Remarque: Les caractéristiques énumérées apparaissent dans l'interface HTML de Cisco Secure ACS seulement si vous les activez. Après installation, vous pouvez les activer ou désactiver sur la page options avancée dans la section de configuration d'interface.

  19. Pour chaque caractéristique que vous voulez activer, cochez la case correspondante.

  20. Cliquez sur Next (Suivant).

  21. La boîte de dialogue active de surveillance de service apparaît.

    Remarque: Après installation, vous pouvez configurer les caractéristiques actives de surveillance de service à la page active de gestion des services dans la section de configuration système.

  22. Si vous voulez que le Cisco Secure ACS surveille des services d'authentification de l'utilisateur, cochez la case de surveillance de procédure de connexion d'enable. Du script pour exécuter la liste, choisissez l'option que vous voulez appliqué en cas de la défaillance d'un service d'authentification :

    • Aucune mesure corrective — Le Cisco Secure ACS n'exécute pas un script.

      Remarque: Cette option est utile si vous activez des notifications de messagerie d'événement.

    • Réinitialisation — Le Cisco Secure ACS exécute un script qui redémarre l'ordinateur qui exécute le Cisco Secure ACS.

    • Le Cisco Secure ACS de reprise entièrement redémarre tous les services de Cisco Secure ACS.

    • Reprise RADIUS/TACACS+ — Le Cisco Secure ACS redémarre des services seulement du RAYON et TACACS+.

  23. Si vous voulez que le Cisco Secure ACS envoie un message électronique quand la surveillance de service détecte un événement, cochez la case de notification de messagerie.

  24. Cliquez sur Next (Suivant).

  25. La boîte de dialogue de mot de passe de cryptage de base de données apparaît.

    Remarque: Le mot de passe de cryptage de base de données est chiffré et enregistré dans le registre ACS. Vous pourriez devoir réutiliser ce mot de passe quand les problèmes essentiels surgissent et la base de données doit être accédée à manuellement. Maintenez ce mot de passe actuel de sorte que le Soutien technique puisse accéder à la base de données. Le mot de passe peut être changé chaque période d'expiration.

  26. Entrez un mot de passe pour le cryptage de base de données. Le mot de passe doit être au moins huit caractères longs et doit contenir des caractères et des chiffres. Il n'y a aucun caractère incorrect.

  27. Cliquez sur Next (Suivant).

  28. Le programme de configuration termine et la boîte de dialogue d'initiation de service de Cisco Secure ACS apparaît.

  29. Pour chaque Cisco Secure ACS entretient l'option d'initiation que vous voulez, cochez la case correspondante. Les actions associées avec les options se produisent après que le programme de configuration termine.

    • Oui, je veux commencer le service de Cisco Secure ACS maintenant — met sur pied les services windows qui composent le Cisco Secure ACS. Si vous ne sélectionnez pas cette option, l'interface HTML de Cisco Secure ACS n'est pas disponible à moins que vous redémarriez l'ordinateur ou commenciez le service de CSAdmin.

    • Oui, je veux que l'installation lance l'administrateur de Cisco Secure ACS de mon installation suivante de navigateur — ouvre l'interface HTML de Cisco Secure ACS dans le navigateur Web par défaut pour le compte utilisateur de fenêtres en cours.

    • Oui, je veux visualiser le fichier readme — ouvre le fichier readme.txt dans Windows Notepad.

  30. Cliquez sur Next (Suivant).

  31. Si vous sélectionniez une option, le début de services de Cisco Secure ACS. L'affiche des informations complète de boîte de dialogue d'installation au sujet de l'interface HTML de Cisco Secure ACS.

  32. Cliquez sur Finish (Terminer).

    Remarque: Le reste de la configuration est documenté sous la section pour le type d'EAP qui est configuré.

Configuration de contrôleur de Cisco LWAPP

Créez la configuration nécessaire pour WPAv2/WPA

Procédez comme suit :

Remarque: La supposition est que le contrôleur a la Connectivité de base au réseau et l'accessibilité par IP à l'interface de gestion est réussie.

  1. Parcourez à https://172.16.101.252 afin d'ouvrir une session au contrôleur.

    peap-acs40-win2003-26.gif

  2. Procédure de connexion de clic

  3. Ouvrez une session avec l'admin par défaut d'utilisateur et l'admin de mot de passe par défaut.

  4. Créez une nouvelle interface pour le mappage VLAN sous le menu de contrôleur.

  5. Interfaces de clic.

  6. Cliquez sur New.

  7. Dans l'employé de type de zone d'identification d'interface. (Ce champ peut être n'importe quelle valeur que vous aimez.)

  8. Dans le type de champ d'ID DE VLAN 20. (Ce champ peut être n'importe quel VLAN qui est porté dedans le réseau.)

  9. Cliquez sur Apply.

  10. Configurez les informations comme cette fenêtre d'Interfaces > Edit affiche.

    peap-acs40-win2003-27.gif

  11. Cliquez sur Apply.

  12. Cliquez sur l'onglet WLAN.

  13. Choisissez créent nouveau et cliquent sur Go.

  14. Écrivez un nom de profil et dans l'employé de type de champ SSID de theWLAN.

  15. Choisissez un ID pour le WLAN et cliquez sur Apply.

  16. Configurez les informations pour ce WLAN quand la fenêtre de WLANs > Edit affiche.

    Remarque: WPAv2 est la méthode de cryptage choisie de la couche 2 pour ce laboratoire. Afin de permettre au WPA avec des clients TKIP-MIC pour s'associer à ce SSID, vous pouvez également vérifier le mode compatible WPA et permettre aux clients WPA2 TKIP des cases ou à ces clients qui ne prennent en charge pas la méthode de cryptage 802.11i AES.

    peap-acs40-win2003-28.gif

  17. Sur l'écran de WLANs > Edit, cliquez sur l'onglet Général.

  18. Assurez-vous que la case d'état est vérifiée a activé et l'interface appropriée (employé) est choisi. En outre, veillez à cocher la case activée pour le Broadcast SSID.

  19. Cliquez sur l'onglet Security.

  20. Sous le sous-menu de la couche 2 vérifiez WPA + WPA2 pour le degré de sécurité de la couche 2. Pour le contrôle de chiffrement WPA2 AES + TKIP afin de permettre des clients TKIP.

  21. Choisissez le 802.1x comme méthode d'authentification.

  22. Ignorez le sous-menu de la couche 3 car on ne l'exige pas. Une fois que le serveur de RAYON est configuré le serveur compétent peut être choisi du menu d'authentification.

  23. Le QoS et les onglets Avancés peuvent être laissés au par défaut à moins que tous les confiugrations spéciaux soient exigés.

  24. Cliquez sur le menu Security pour ajouter le serveur de RAYON.

  25. Sous l'authentification de clic de sous-menu de RAYON. Puis, cliquez sur New.

  26. Ajoutez l'adresse IP du serveur de RAYON (172.16.100.25) qui est le serveur ACS configuré plus tôt.

  27. Assurez-vous que le principal partagé apparie le client d'AAA configuré dans le serveur ACS. Assurez-vous que la case Network User est cochée et cliquez sur Apply.

    peap-acs40-win2003-29.gif

  28. La configuration de base est maintenant complète et vous pouvez commencer à tester le PEAP.

Authentification PEAP

Le PEAP avec la version 2 MS-CHAP exige des Certificats sur les serveurs ACS mais pas sur les clients Sans fil. L'inscription automatique des Certificats d'ordinateur pour les serveurs ACS peut être utilisée pour simplifier un déploiement.

Afin de configurer DC_CA pour fournir l'autoenrollment pour l'ordinateur et les certificats utilisateurs, remplissez les procédures dans cette section.

Remarque: Microsoft a changé le modèle de serveur Web avec la release de l'entreprise CA de Windows 2003 de sorte que les clés ne soient plus exportables et l'option soit greyed. Il n'y a aucun autre modèle de certificat fourni avec des services de certificat qui sont pour l'authentification de serveur et donnent la capacité de marquer les clés car exportable qui sont disponibles dans le déroulant ainsi vous devez créer un nouveau modèle qui fait ainsi.

Remarque: Le Windows 2000 tient compte des clés exportables et ces procédures n'ont pas besoin d'être suivies si vous utilisez le Windows 2000.

Installez les modèles de certificat SNAP-dans

Procédez comme suit :

  1. Choisissez le Start > Run, tapez le MMC, et cliquez sur OK.

  2. Sur le menu File, cliquez sur Add/retirez SNAP-dans et puis cliquez sur Add.

  3. Sous SNAP-dans, les modèles de certificat de double clic, fin de clic, et cliquent sur OK alors.

  4. Dans l'arborescence de la console, modèles de certificat de clic. Tous les modèles de certificat apparaissent dans le volet de détails.

  5. Afin de sauter les étapes 2 à 4, type certtmpl.msc SNAP-dans lequel ouvre les modèles de certificat.

    /image/gif/paws/72013/peap-acs40-win2003-31.gif

Créez le modèle de certificat pour le serveur Web ACS

Procédez comme suit :

  1. Dans le volet de détails des modèles de certificat SNAP-dans, cliquez sur le modèle de serveur Web.

  2. Sur le menu Action, modèle en double de clic.

    /image/gif/paws/72013/peap-acs40-win2003-32.gif

  3. Dans la zone d'identification d'affichage de modèle, type ACS.

    peap-acs40-win2003-33.gif

  4. Allez à l'onglet de manipulation de demande et le contrôle permettent la clé privée à exporter. Assurez-vous également que la signature et le cryptage est sélectionnée du menu déroulant de but.

    /image/gif/paws/72013/peap-acs40-win2003-34.gif

  5. Choisissez les demandes doit utiliser un du CSPs suivant et vérifier Microsoft Base Cryptographic Provider v1.0. Décochez n'importe quel autre CSPs qui sont vérifiés et puis cliquez sur OK.

    /image/gif/paws/72013/peap-acs40-win2003-35.gif

  6. Allez à l'onglet de nom du sujet, choisissez l'approvisionnement dans la demande et cliquez sur OK.

    peap-acs40-win2003-36.gif

  7. Allez à l'onglet Sécurité, mettez en valeur le groupe d'admins de domaine et assurez-vous que l'option d'inscription est vérifiée sous laissé.

    Important : Si vous choisissez d'établir de ce contrôle de l'information de Répertoire actif seulement le nom principal d'utilisateur (UPN) et décocher le nom d'email d'inclure dans le nom du sujet et le courrier électronique nommez parce qu'un nom de courrier électronique n'a pas été écrit pour le compte d'utilisateur de sans fil dans les utilisateurs et les ordinateurs de Répertoire actif SNAP-dans. Si vous ne désactivez pas ces deux options, des tentatives d'autoenrollment d'utiliser le courrier électronique, qui a comme conséquence une erreur d'autoenrollment.

    /image/gif/paws/72013/peap-acs40-win2003-37.gif

  8. Il y a des mesures de sécurité supplémentaires si nécessaire d'empêcher des Certificats d'être automatiquement éliminée. Ceux-ci peuvent être trouvés sous l'onglet de conditions requises d'émission. Ceci n'est pas discuté plus loin dans ce document.

    /image/gif/paws/72013/peap-acs40-win2003-38.gif

  9. Cliquez sur OK pour sauvegarder le modèle et pour passer à émettre ce modèle de l'autorité de certification SNAP-dans.

Activez le nouveau modèle de certificat de serveur Web ACS

Procédez comme suit :

  1. Ouvrez l'autorité de certification SNAP-dans. Suivez les étapes 1-3 dans la création le modèle de certificat pour la section de serveur Web ACS, choisissez l'option d'autorité de certification, choisissez l'ordinateur local et cliquez sur Finish.

    peap-acs40-win2003-39.gif

  2. Dans l'arborescence de la console, développez le wirelessdemoca, et puis cliquez avec le bouton droit les modèles de certificat.

    /image/gif/paws/72013/peap-acs40-win2003-40.gif

  3. Choisissez nouveau > modèle de certificat à émettre.

  4. Cliquez sur le modèle de certificat ACS.

    /image/gif/paws/72013/peap-acs40-win2003-41.gif

  5. Cliquez sur OK et ouvrez les utilisateurs et les ordinateurs de Répertoire actif SNAP-dans.

  6. Dans l'arborescence de la console, les utilisateurs et les ordinateurs de Répertoire actif de double clic, le clic droit wirelessdemo.local, et cliquent sur alors Properties.

    peap-acs40-win2003-42.gif

  7. Sur l'onglet de stratégie de groupe, la stratégie par défaut de domaine de clic, et cliquent sur Edit alors. Ceci ouvre l'éditeur d'objet de stratégie de groupe SNAP-dans.

    peap-acs40-win2003-43.gif

  8. Dans l'arborescence de la console, développez la configuration de l'ordinateur > les paramètres de windows > les paramètres de sécurité > des stratégies de clé publique, et puis sélectionnez les configurations automatiques de demande de certificat.

    /image/gif/paws/72013/peap-acs40-win2003-44.gif

  9. Cliquez avec le bouton droit les configurations automatiques de demande de certificat et choisissez la nouvelle > automatique demande de certificat.

  10. Sur l'accueil à la page automatique d'assistant de configuration de demande de certificat, cliquez sur Next.

  11. À la page de modèle de certificat, cliquez sur l'ordinateur et cliquez sur Next.

    peap-acs40-win2003-45.gif

  12. Quand vous remplissez la page automatique d'assistant de configuration de demande de certificat, cliquez sur Finish.

    Le type de certificat d'ordinateur apparaît maintenant dans le volet de détails de l'éditeur d'objet de stratégie de groupe SNAP-dans.

    peap-acs40-win2003-46.gif

  13. Dans l'arborescence de la console, développez la configuration utilisateur > les paramètres de windows > les paramètres de sécurité > des stratégies de clé publique.

    /image/gif/paws/72013/peap-acs40-win2003-47.gif

  14. Dans le volet de détails, configurations d'Autoenrollment de double clic.

  15. Choisissez s'inscrivent des Certificats automatiquement et vérifient les Certificats expirés Renew, les mettent à jour en attendant des Certificats et retirent les Certificats retirés et les Certificats de mise à jour qui utilisent des modèles de certificat.

    peap-acs40-win2003-48.gif

  16. Cliquez sur OK.

Installation de certificat ACS 4.0

Configurez le certificat exportable pour ACS

Important : Le serveur ACS doit obtenir un certificat de serveur du serveur de la racine CA d'entreprise afin d'authentifier un client WLAN PEAP.

Important : Assurez-vous que le gestionnaire IIS n'est pas ouvert pendant la procédure d'installation de certificat en tant que problèmes de causes avec les informations en cache.

  1. Connectez-vous dans le serveur ACS avec un compte qui a des droits d'admin d'entreprise.

  2. Sur l'ordinateur des gens du pays ACS, dirigez le navigateur au serveur d'autorité de certification de Microsoft chez http://IP-address-of-Root-CA/certsrv. Dans ce cas, l'adresse IP est 172.16.100.26.

  3. Procédure de connexion en tant qu'administrateur.

    /image/gif/paws/72013/peap-acs40-win2003-49.gif

  4. Choisissez la demande un certificat et cliquez sur Next.

    peap-acs40-win2003-50.gif

  5. Choisissez la demande avancée et cliquez sur Next.

    peap-acs40-win2003-51.gif

  6. Choisissez créent et soumettent une demande à ce CA et cliquent sur Next.

    Important : La raison pour cette étape est due au fait que Windows 2003 ne permet pas pour des clés exportables et vous le besoin de générer une demande de certificat basée sur le certificat ACS que vous avez créé plus tôt cela fait.

    peap-acs40-win2003-52.gif

  7. Du certificat les modèles sélectionnent le modèle de certificat créé ACS plus tôt nommé. Les options changent après que vous sélectionniez le modèle.

  8. Configurez le nom pour être le nom de domaine complet du serveur ACS. Dans ce cas le nom de serveur ACS est cisco_w2003.wirelessdemo.local. Assurez-vous que le certificat de mémoire dans la mémoire de certificat d'ordinateur local est vérifié et cliquez sur Submit.

    peap-acs40-win2003-53.gif

  9. Une fenêtre d'afficher apparaît avertissante au sujet d'une violation potentielle de script. Choisissez oui.

    peap-acs40-win2003-54.gif

  10. Le clic installent ce certificat.

    /image/gif/paws/72013/peap-acs40-win2003-55.gif

  11. Une fenêtre d'afficher apparaît de nouveau et avertit au sujet d'une violation potentielle de script. Choisissez oui.

    peap-acs40-win2003-56.gif

  12. Après que vous cliquiez sur oui, le certificat est installé.

    /image/gif/paws/72013/peap-acs40-win2003-57.gif

  13. En ce moment, le certificat est installé dans les Certificats MMC sous personnel > des Certificats.

    peap-acs40-win2003-58.gif

  14. Maintenant que le certificat est installé sur l'ordinateur local (ACS ou cisco_w2003 dans cet exemple), vous devez générer un fichier du certificat (.cer) pour la configuration de fichier du certificat ACS 4.0.

  15. Sur le serveur ACS (cisco_w2003 dans cet exemple), indiquez le navigateur au serveur d'autorité de certification de Microsoft http://172.16.100.26 /certsrv.

Installez le certificat en logiciel ACS 4.0

Procédez comme suit :

  1. Sur le serveur ACS (cisco_w2003 dans cet exemple), indiquez le navigateur au serveur de Microsoft CA http://172.16.100.26 /certsrv.

  2. Du choisi une option de tâche choisissent le téléchargement un certificat de CA, une chaîne de certificat ou un CRL.

  3. Choisissez la méthode de codage par radio de la base 64 et cliquez sur Download le certificat de CA.

    peap-acs40-win2003-59.gif

  4. Une fenêtre d'alerte de sécurité de téléchargement de fichier apparaît. Cliquez sur Save.

    peap-acs40-win2003-60.gif

  5. Sauvegardez le fichier avec un nom tel qu'ACS.cer ou n'importe quel nom que vous souhaitez. Souvenez-vous ce nom puisque vous l'utilisez pendant l'autorité de certification ACS installée dans ACS 4.0.

    /image/gif/paws/72013/peap-acs40-win2003-61.gif

  6. Ouvrez l'admin ACS du raccourci de bureau créé pendant l'installation.

  7. Configuration système de clic.

    /image/gif/paws/72013/peap-acs40-win2003-62.gif

  8. Installation de certificat du clic ACS.

    /image/gif/paws/72013/peap-acs40-win2003-63.gif

  9. Le clic installent le certificat ACS.

    /image/gif/paws/72013/peap-acs40-win2003-64.gif

  10. Choisissez le certificat d'utilisation de la mémoire et saisissez le nom de domaine complet de cisco_w2003.wirelessdemo.local (ou d'ACS.wirelessdemo.local si vous utilisiez ACS comme nom).

    peap-acs40-win2003-65.gif

  11. Cliquez sur Submit.

    peap-acs40-win2003-66.gif

  12. Configuration système de clic.

  13. Le contrôle des services de clic et cliquent sur alors la reprise.

    peap-acs40-win2003-67.gif

  14. Configuration système de clic.

  15. Installation globale d'authentification de clic.

  16. Vérifiez permettent EAP-MSCHAPV2 et permettent EAP-GTC.

    /image/gif/paws/72013/peap-acs40-win2003-68.gif

  17. Cliquez sur Submit + reprise.

  18. Configuration système de clic.

  19. Installation d'autorité de certification du clic ACS.

  20. Sous la fenêtre d'installation d'autorité de certification ACS, tapez le nom et l'emplacement du fichier créé *.cer plus tôt. Dans cet exemple, le fichier créé *.cer est ACS.cer dans le répertoire racine c:\.

  21. Tapez c:\acs.cer dans le domaine de fichier de certificat de CA et cliquez sur Submit.

    peap-acs40-win2003-69.gif

  22. Redémarrez le service ACS.

Configuration de CLIENT pour le PEAP utilisant des Windows Zero Touch

Dans notre exemple, le CLIENT est un ordinateur qui exécute le Windows XP Professionnel avec le fournisseur de services qui agit en tant que client sans fil et obtient l'accès aux ressources en intranet par le point d'accès sans fil. Remplissez les procédures dans cette section afin de configurer le CLIENT en tant que client sans fil.

Exécutez une installation et une configuration de base

Procédez comme suit :

  1. Connectez le CLIENT au segment de réseau d'intranet utilisant un câble Ethernet connecté au hub.

  2. Sur le CLIENT, installez le Windows XP Professionnel avec le SP2 comme ordinateur de membre nommé CLIENT du domaine wirelessdemo.local.

  3. Installez le Windows XP Professionnel avec le SP2. Ceci doit être installé afin d'avoir le support PEAP.

    Remarque: Le pare-feu Windows est automatiquement activé dans le Windows XP Professionnel avec le SP2. N'arrêtez pas le Pare-feu.

Installez l'adaptateur réseau sans fil

Procédez comme suit :

  1. Arrêtez l'ordinateur client.

  2. Démontez l'ordinateur client du segment de réseau d'intranet.

  3. Redémarrez l'ordinateur client, et puis ouvrez une session utilisant le compte administrateur local.

  4. Installez l'adaptateur réseau sans fil.

    Important : N'installez pas le logiciel de la configuration du fabricant pour l'adaptateur Sans fil. Installez les gestionnaires d'adaptateur réseau sans fil utilisant l'assistant de matériel d'ajouter. En outre, une fois incité, fournissez au CD équipé par le fabricant ou un disque les gestionnaires mis à jour pour l'usage en Windows XP Professionnel de SP2.

Configurez la connexion réseau sans fil

Procédez comme suit :

  1. La déconnexion et ouvrent une session alors à l'aide du compte de WirelessUser dans le domaine wirelessdemo.local.

  2. Choisissez le début > le panneau de configuration, double-cliquer les connexions réseau, et puis cliquez avec le bouton droit la connexion réseau sans fil.

  3. Cliquez sur Properties, allez à l'onglet Wireless Networks, et assurez-vous que l'utilisation Windows de configurer mes paramètres de réseau sans fil est vérifiée.

    peap-acs40-win2003-81.gif

  4. Cliquez sur Add.

  5. Sous l'onglet d'association, employé de type dans le domaine du nom de réseau (SSID).

  6. Le WPA choisi pour l'authentification de réseau et s'assurent que le chiffrement de données est placé au TKIP.

    /image/gif/paws/72013/peap-acs40-win2003-72.gif

  7. Allez à l'onglet d'authentification.

  8. Validez que le type d'EAP est configuré pour utiliser l'EAP protégé (PEAP). S'il n'est pas, sélectionnez-le du menu déroulant.

  9. Si vous voulez que l'ordinateur soit authentifié avant le contrôle de procédure de connexion (qui permet des scripts de connexion ou des poussers de stratégie de groupe d'être appliqué) authentifiez comme ordinateur quand les informations d'ordinateur sont disponibles.

    peap-acs40-win2003-83.gif

  10. Cliquez sur Properties.

  11. Comme le PEAP comporte l'authentification du serveur par le client assurez que qui valident le certificat de serveur est vérifié. En outre, assurez-vous que le CA qui a émis le certificat ACS est vérifié sous le menu d'Autorités de certification racine approuvée.

  12. Choisissez le mot de passe sécurisé (EAP-MSCHAP v2) sous la méthode d'authentification comme elle est utilisée pour l'authentification intérieure.

    peap-acs40-win2003-84.gif

  13. Assurez-vous que la case d'Enable Fast Reconnect est cochée. Puis, cliquez sur OK trois fois.

  14. Cliquez avec le bouton droit l'icône de connexion réseau sans fil dans systray et puis cliquez sur les réseaux sans fil disponibles de vue.

  15. Cliquez sur le réseau Sans fil des employés et le clic se connectent.

    peap-acs40-win2003-85.gif

    Ces copies d'écran indiquent si la connexion se termine avec succès.

    /image/gif/paws/72013/peap-acs40-win2003-86.gif

    peap-acs40-win2003-87.gif

    peap-acs40-win2003-88.gif

    peap-acs40-win2003-89.gif

  16. Après l'authentification est réussie, vérifiez la configuration TCP/IP pour l'adaptateur Sans fil à l'aide des connexions réseau. Il devrait avoir une plage d'adresses de 172.16.100.100-172.16.100.254 de la portée de DHCP ou de la portée créée pour les clients sans fil.

  17. Afin de tester la fonctionnalité, ouvrez un navigateur et parcourez à http://wirelessdemoca (ou à l'adresse IP du serveur d'entreprise CA).

Problème : Le client d'odyssée incite trois fois pour la plate-forme symbolique d'authentification

Cette question se produit dans toutes les versions de Windows et solution 2.x.

Typiquement, les Services sans fil plaçant dans le XP font produire ceci.

Terminez-vous ces étapes afin de corriger cette question :

  1. Choisissez le début > les configurations > le panneau de configuration > les outils d'administration > les services.

  2. Allez au bas de la liste et recherchez Wireless Zero Configuration.

  3. Double-cliquer cette configuration.

  4. Sélectionnez l'option d'arrêter ce service.

  5. Sous la configuration pour le débronchement choisi de type de démarrage.

    Remarque: Si tout que vous faites est arrêt le service, il reprend sur la réinitialisation, ainsi vous devez la désactiver pour que cette question ne se produise pas de nouveau.

  6. Sauvegardez les configurations et fermez-vous.

    peap-acs40-win2003-90.gif

L'authentification PEAP échoue avec le serveur ACS

Quand votre client échoue authentification PEAP avec un serveur ACS, vérifiez si vous trouvez le message d'erreur « de tentative reproduite par NAS d'authentification » dans l'option d'essais ratés sous le menu d'état et d'activité de l'ACS.

Vous pourriez recevoir ce message d'erreur quand Microsoft Windows XP SP2 est installé sur la machine cliente et les Windows XP SP2 authentifient contre un serveur de tiers autre qu'un serveur de Microsoft IAS. En particulier, le serveur de RAYON de Cisco (ACS) emploie une différente méthode pour calculer le type d'Extensible Authentication Protocol : Longueur : ID du format de valeur (EAP-TLV) que les utilisations de Windows XP de méthode. Microsoft a identifié ceci comme défaut dans le suppliant de XP SP2.

Pour un correctif, contactez Microsoft et référez-vous à l'article KB885453. Le problème intrinsèque est celui sur le côté client, avec l'utilitaire de fenêtres, le rapide rebranchent l'option est désactivé pour le PEAP par défaut. Cependant, cette option est activée par défaut sur le côté serveur (ACS). Afin de résoudre ce problème, décochez le rapide rebranchent l'option sur le serveur ACS et la presse submit+restart. Alternativement, vous pouvez activer le rapide rebranchez l'option sur le côté client de résoudre le problème.

Terminez-vous ces étapes afin d'activer rapide rebranchent sur le client qui exécute Windows XP utilisant l'utilitaire Windows :

  1. Début > configurations > panneau de configuration de clic.

  2. Double-cliquer l'icône de connexions réseau.

  3. Cliquez avec le bouton droit l'icône de connexion réseau sans fil et cliquez sur Properties.

  4. Cliquez sur l'onglet Wireless Networks.

  5. Vérifiez l'utilisation Windows de configurer mon option de paramètres de réseau sans fil de permettre à des fenêtres de configurer l'adaptateur de client.

  6. Si vous avez déjà configuré un SSID, choisissez le SSID et cliquez sur Properties. Sinon, cliquez sur New pour ajouter un nouveau WLAN.

  7. Écrivez le SSID sous l'association tableau s'assurent que l'authentification de réseau est ouverte et le chiffrement de données est placé au WEP.

  8. Authentification de clic.

  9. Vérifiez l'authentification de 802.1x d'IEEE d'enable pour cette option Network.

  10. Choisissez le type d'EAP comme PEAP et cliquez sur Properties.

  11. Vérifiez l'option d'Enable Fast Reconnect au bas de page.

    peap-acs40-win2003-91.gif

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 72013