Sans fil : Contrôleurs de réseau local sans fil de la gamme Cisco 4400

Exemple de configuration d'authentification EAP-FAST avec des contrôleurs de réseau local sans fil et un serveur RADIUS externe

16 janvier 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (20 décembre 2015) | Commentaires


Contenu

PAC

Introduction

Ce document explique comment configurer le contrôleur de réseau local sans fil (WLC) pour l'Extensible Authentication Protocol (EAP) - authentification flexible par l'intermédiaire de l'authentification de Secure Tunneling (FAST) avec l'utilisation d'un serveur RADIUS externe. Cet exemple de configuration utilise le Cisco Secure Access Control Server (ACS) en tant que serveur RADIUS externe pour authentifier le client sans fil.

Ce document se concentre sur la façon configurer l'ACS pour le ravitaillement (automatique) anonyme et authentifié des qualifications de Protected Access d'intrabande (PAC) aux clients sans fil. Afin de configurer ravitaillement manuel/hors bande PAC, référez-vous à la génération manuelle de ravitaillement PAC et de fichier PAC pour le pour en savoir plus manuel de ravitaillement.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • Connaissance de base de la configuration du Point d'accès léger (recouvrements) et des Cisco WLC

  • Connaissance de base du protocole LWAPP (Lightweight Access Point Protocol)

  • La connaissance de la façon configurer un serveur RADIUS externe, tel que le Cisco Secure ACS

  • La connaissance fonctionnelle sur le cadre général d'EAP

  • Connaissance de base sur des protocoles de Sécurité, tels que MS-CHAPv2 et EAP-GTC, et connaissance sur des Certificats numériques

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Gamme Cisco 2000 WLC qui exécute les micrologiciels 4.0.217.0

  • Gamme de LAP Cisco Aironet 1000

  • Cisco Secure ACS exécutant la version 4.1

  • Adaptateur client Cisco Aironet 802.11 a/b/g

  • Cisco Aironet Desktop Utility (ADU) ce exécute la version 3.6 de micrologiciels

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Le protocole d'EAP-FAST est un nouveau, publiquement accessible type d'EAP de 802.1X d'IEEE qui Cisco développé pour prendre en charge les clients qui ne peuvent pas imposer une stratégie de mot de passe fort et vouloir déployer un type d'EAP de 802.1X qui n'exige pas des Certificats numériques.

Le protocole d'EAP-FAST est une architecture de degré de sécurité de client-serveur qui chiffre des transactions d'EAP avec un tunnel de Sécurité de niveau de transport (TLS). L'établissement de tunnel d'EAP-FAST est basé sur les secrets forts qui sont seuls aux utilisateurs. Ces secrets forts s'appellent les PACs, que l'ACS génère à l'aide d'une clé principale connue seulement à l'ACS.

L'EAP-FAST se produit en trois phases :

  • La phase zéro (phase automatique de ravitaillement PAC) — la phase zéro d'EAP-FAST, une phase facultative est des moyens tunnel-sécurisés de fournir à un client d'utilisateur d'EAP-FAST un PAC pour l'utilisateur demandant l'accès au réseau. La fourniture d'un PAC au client d'utilisateur est l'objectif unique de la phase zéro.

    Remarque: La phase zéro est facultative parce que des PACs peuvent également manuellement provisioned aux clients au lieu d'utiliser la phase zéro.

    Voyez la section de modes de ravitaillement PAC de ce document pour des détails.

  • Phase une — Dans la phase une, les ACS et le client d'utilisateur établissent TLS percent un tunnel basé sur le laisser-passer PAC de l'utilisateur. Cette phase exige que le client d'utilisateur a été donné un PAC pour l'utilisateur qui tente de gagner l'accès au réseau, et que le PAC est basé sur une clé principale qui n'a pas expiré. Aucun service réseau n'est activé par la phase une de l'EAP-FAST.

  • Phase deux — Dans la phase deux, des qualifications d'authentification de l'utilisateur sont passées sécurisé suivre une méthode intérieure d'EAP prise en charge par EAP-FAST dans le tunnel de TLS au RAYON créé utilisant le PAC entre le client et le serveur de RAYON. EAP-GTC, TLS et MS-CHAP sont pris en charge en tant que méthodes intérieures d'EAP. Aucun autre type d'EAP n'est pris en charge pour l'EAP-FAST.

Référez-vous à comment l'EAP-FAST fonctionne le pour en savoir plus.

PAC

Les PACs sont des secrets partagés forts qui activent l'ACS et un client d'utilisateur d'EAP-FAST pour s'authentifier et pour établir TLS percent un tunnel pour l'usage dans la phase deux d'EAP-FAST. L'ACS génère des PACs à l'aide de la clé principale active et d'un nom d'utilisateur.

Le PAC comporte :

  • PAC-clé — Limite secrète partagée à un client (et au périphérique de client) et l'identité de serveur.

  • PAC opaque — Champ opaque que le client cache et passe au serveur. Le serveur récupère la PAC-clé et l'identité de client pour authentifier mutuellement avec le client.

  • PAC-information — Au minimum, inclut l'identité du serveur pour permettre au client de cacher différents PACs. Sur option, il inclut d'autres informations telles que le temps d'expiration du PAC.

Modes PAC Provisoning

Comme cité précédemment, la phase zéro est une phase facultative.

L'EAP-FAST offre deux options de provision un client avec un PAC :

  • Ravitaillement automatique PAC (ravitaillement PAC de phase 0, ou d'intrabande d'EAP-FAST)

  • Ravitaillement (hors bande) manuel PAC

L'intrabande/ravitaillement automatique PAC envoie un nouveau PAC à un client d'utilisateur au-dessus d'une connexion réseau sécurisée. Le ravitaillement automatique PAC n'exige aucune intervention de l'utilisateur du réseau ou d'un administrateur ACS, à condition que vous configuriez l'ACS et le client d'utilisateur pour prendre en charge le ravitaillement automatique.

La dernière version d'EAP-FAST prend en charge deux options de configuration différentes de ravitaillement PAC d'intrabande :

  • Ravitaillement anonyme PAC d'intrabande

  • Ravitaillement authentifié PAC d'intrabande

Remarque: Ce document discute ces méthodes de ravitaillement PAC d'intrabande et comment les configurer.

Ravitaillement hors bande/manuel PAC exige d'un administrateur ACS de générer les fichiers PAC, qui doivent alors être distribués aux utilisateurs du réseau applicables. Les utilisateurs doivent configurer des clients d'utilisateur avec leurs fichiers PAC.

Installation de schéma de réseau et de configuration

Dans cette installation, Cisco 2006 WLC et un RECOUVREMENT sont connectés par un hub. Un serveur RADIUS externe (Cisco Secure ACS) est également connecté au même concentrateur. Tous les périphériques se trouvent dans le même sous-réseau. Le Point d'accès (AP) est au commencement enregistré au contrôleur. Vous devez configurer le WLC pour l'authentification d'EAP-FAST. Les clients qui se connectent à l'authentification d'EAP-FAST d'utilisation AP afin de s'associer avec AP. Cisco Secure ACS sert à l'exécution de l'authentification RADIUS.

eapfast-wlc-rad-config1.gif

Configurez le WLC pour l'authentification d'EAP-FAST

Exécutez ces étapes afin de configurer le WLC pour l'authentification d'EAP-FAST :

  1. Configurer le WLC pour l'authentification RADIUS via un serveur RADIUS externe

  2. Configurez le WLAN pour l'authentification d'EAP-FAST

Configurer le WLC pour l'authentification RADIUS via un serveur RADIUS externe

WLC doit être configuré afin de transférer les identifiants de l'utilisateur à un serveur RADIUS externe. Le serveur RADIUS externe alors valide les identifiants utilisateurs utilisant l'EAP-FAST et permet d'accéder aux clients sans fil.

Complétez ces étapes pour configurer le WLC pour un serveur RADIUS externe :

  1. Sélectionnez Security et RADIUS Authentication depuis la GUI du contrôleur pour afficher la page des serveurs d'authentification RADIUS. Puis, cliquez sur New afin de définir un serveur de RAYON.

  2. Définissez les paramètres de serveur de RAYON sur le RADIUS Authentication Servers > New page. Ces paramètres incluent :

    • Adresse IP du serveur RADIUS

    • Secret partagé

    • Numéro de port

    • État de serveur

    Ce document utilise le serveur ACS avec une adresse IP de 10.77.244.196.

    /image/gif/paws/99791/eapfast-wlc-rad-config2.gif

  3. Cliquez sur Apply.

Configurez le WLAN pour l'authentification d'EAP-FAST

Ensuite, configurez le WLAN que les clients les utilisent pour se connecter au réseau Sans fil pour l'authentification d'EAP-FAST et pour assigner à une interface dynamique. Le nom WLAN configuré dans cet exemple est eap rapide. Cet exemple assigne ce WLAN à l'interface de gestion.

Terminez-vous ces étapes afin de configurer l'eap WLAN rapide et ses paramètres relatifs :

  1. Cliquez sur les WLAN de la GUI du contrôleur afin d'afficher la page des WLAN.

    Cette page énumère les WLAN qui existent sur le contrôleur.

  2. Cliquez sur New afin de créer un nouveau WLAN.

    /image/gif/paws/99791/eapfast-wlc-rad-config3.gif

  3. Configurez le nom, le nom de profil et l'ID de WLAN rapides de l'eap WLAN SSID à la page de WLANs > New. Cliquez ensuite sur Apply.

    eapfast-wlc-rad-config4.gif

  4. Une fois que vous avez créé un nouveau WLAN, la page WLAN > Edit du nouveau WLAN apparaît. À cette page, vous pouvez définir de divers paramètres spécifiques à ce WLAN. Ceci inclut des stratégies générales, des serveurs de RAYON, des stratégies de sécurité, et des paramètres de 802.1x.

  5. Cochez la case d'Admin Status dans le cadre des stratégies générales afin d'activer le WLAN.

  6. Si vous voulez qu'AP annonce le SSID dans des ses trames balise, cochez la case de Broadcast SSID. Cochez la case d'Allow AAA Override si vous voulez ignorer les configurations WLC par le serveur de RAYON.

  7. Choisissez le serveur RADIUS approprié du menu déroulant sous serveurs RADIUS. Dans le cadre des stratégies de sécurité, choisissez le 802.1x du menu déroulant de degré de sécurité de la couche 2. Vous pouvez également utiliser n'importe quelle autre méthode d'authentification (WPA/WPA2 avec le 802.1x) qui fait participer le serveur de RAYON pour l'authentification.

    Cet exemple utilise le 802.1x avec le cryptage WEP dynamique comme degré de sécurité de la couche 2 pour ce WLAN. Les autres paramètres peuvent être modifiés sur les conditions requises du réseau WLAN.

    /image/gif/paws/99791/eapfast-wlc-rad-config5.gif

  8. Cliquez sur Apply.

    Remarque: C'est la seule configuration d'EAP qui doit être configurée sur le contrôleur pour l'authentification EAP. Toutes autres configurations spécifiques à l'EAP-FAST doivent être faites sur le serveur de RAYON et les clients qui doivent être authentifiées.

Configurez le serveur de RAYON pour l'authentification d'EAP-FAST

Exécutez ces étapes afin de configurer le serveur de RAYON pour l'authentification d'EAP-FAST :

  1. Créez une base de données utilisateur pour authentifier des clients d'EAP-FAST

  2. Ajoutez le WLC comme client d'AAA au serveur de RAYON

  3. Configurez l'authentification d'EAP-FAST sur le serveur de RAYON avec le ravitaillement anonyme PAC d'intrabande

  4. Configurez l'authentification d'EAP-FAST sur le serveur de RAYON avec le ravitaillement authentifié PAC d'intrabande

Créez une base de données utilisateur pour authentifier des clients d'EAP-FAST

Terminez-vous ces étapes afin de créer une base de données utilisateur pour des clients d'EAP-FAST sur l'ACS. Cet exemple configure le nom d'utilisateur et mot de passe du client d'EAP-FAST comme radio et radio, respectivement.

  1. Du GUI ACS dans la barre de navigation, installation utilisateur choisie. Créez une nouvelle radio d'utilisateur, puis cliquez sur Add/l'éditez afin d'aller à la page d'éditer de cet utilisateur.

    /image/gif/paws/99791/eapfast-wlc-rad-config6.gif

  2. De l'installation utilisateur éditez la page, configurez le nom réel et la description aussi bien que les paramètres du mot de passe suivant les indications de cet exemple.

    Ce document utilise des ACS Internal Database pour l'authentification de mot de passe.

  3. Choisissez les ACS Internal Database de la liste déroulante d'authentification de mot de passe.

    /image/gif/paws/99791/eapfast-wlc-rad-config7.gif

  4. Configurez tous les autres paramètres requis et cliquez sur Submit.

Ajoutez le WLC comme client d'AAA au serveur de RAYON

Terminez-vous ces étapes afin de définir le contrôleur en tant que client d'AAA sur le serveur ACS :

  1. Cliquez sur Network Configuration depuis l'interface graphique ACS. Sous la section de client d'AAA d'ajouter de la page de configuration réseau, cliquez sur Add l'entrée afin d'ajouter le WLC en tant que client d'AAA au serveur de RAYON.

    eapfast-wlc-rad-config8.gif

  2. De la page de client d'AAA, définissez le nom du WLC, de l'adresse IP, du secret partagé et de la méthode d'authentification (RADIUS/Cisco Airespace). Référez-vous à la documentation du constructeur pour d'autres serveurs d'authentification non-ACS.

    Remarque: les clés secrètes partagées que vous configurez sur le WLC et le serveur ACS doivent correspondre. Le secret partagé distingue les majuscules et minuscules.

  3. Clic Submit+Apply.

    eapfast-wlc-rad-config9.gif

Configurez l'authentification d'EAP-FAST sur le serveur de RAYON avec le ravitaillement anonyme PAC d'intrabande

Ravitaillement anonyme d'intrabande

C'est l'une des deux méthodes de ravitaillement d'intrabande dans lesquelles l'ACS établit une connexion sécurisée avec le client d'utilisateur afin de fournir au client un nouveau PAC. Cette option permet une prise de contact anonyme de TLS entre le client d'utilisateur et l'ACS.

Cette méthode actionne l'intérieur un tunnel authentifié de Protocol d'accord de Diffie-HellmanKey (ADHP) avant que le pair authentifie le serveur ACS.

Puis, l'ACS exige l'authentification EAP-MS-CHAPv2 de l'utilisateur. À l'authentification de l'utilisateur réussie, l'ACS établit un tunnel de Diffie-Hellman avec le client d'utilisateur. L'ACS génère un PAC pour l'utilisateur et l'envoie au client d'utilisateur dans ce tunnel, avec des informations sur cet ACS. Cette méthode de ravitaillement utilise EAP-MSCHAPv2 comme méthode d'authentification dans la phase zéro et EAP-GTC dans la phase deux.

Puisqu'un serveur unauthenticated provisioned, il n'est pas possible d'utiliser un mot de passe de texte brut. Par conséquent, seulement des qualifications MS-CHAP peuvent être utilisées à l'intérieur du tunnel. MS-CHAPv2 est utilisé pour prouver l'identité du pair et pour recevoir un PAC pour d'autres sessions d'authentification (EAP-MS-CHAP sera utilisé en tant que méthode intérieure seulement).

Terminez-vous ces étapes afin de configurer l'authentification d'EAP-FAST dans le serveur de RAYON pour le ravitaillement anonyme d'intrabande :

  1. Configuration système de clic du GUI de serveur de RAYON. De la page de configuration système, choisissez l'installation globale d'authentification.

    /image/gif/paws/99791/eapfast-wlc-rad-config10.gif

  2. De la page globale d'installation d'authentification, configuration d'EAP-FAST de clic afin d'aller aux configurations d'EAP-FAST la page.

    /image/gif/paws/99791/eapfast-wlc-rad-config11.gif

  3. De la page Settings d'EAP-FAST, cochez la case d'EAP-FAST d'autoriser pour activer l'EAP-FAST dans le serveur de RAYON.

  4. Configurez l'Active/valeurs retirées de la clé principale TTL (Time to Live) comme désirées, ou placez-les à la valeur par défaut suivant les indications de cet exemple.

    Référez-vous aux clés principales pour des informations sur l'Active et les clés principales retirées. En outre, référez-vous aux clés principales et au pour en savoir plus PAC TTL.

    La zone d'informations d'ID d'autorité représente l'identité textuelle de ce serveur ACS, qu'un utilisateur final peut employer pour déterminer contre quel serveur ACS à authentifier. Compléter ce champ est obligatoire.

    Le champ de message d'affichage d'initiale de client spécifie un message à envoyer aux utilisateurs qui authentifient avec un client d'EAP-FAST. La longueur maximale est 40 caractères. Un utilisateur verra le message initial seulement si le client d'utilisateur prend en charge l'affichage.

  5. Si vous voulez que l'ACS effectue le ravitaillement anonyme PAC d'intrabande, cochez la case anonyme de ravitaillement PAC d'intrabande d'autoriser.

    Méthodes intérieures permises — Cette option détermine quelles méthodes intérieures d'EAP peuvent fonctionner à l'intérieur du tunnel de TLS d'EAP-FAST. Pour le ravitaillement anonyme d'intrabande, vous devez activer EAP-GTC et EAP-MS-CHAP pour la compatibilité ascendante. Si vous sélectionnez permettez le ravitaillement anonyme PAC d'intrabande, vous devez sélectionner EAP-MS-CHAP (phase zéro) et EAP-GTC (phase deux).

  6. Clic Submit+Restart.

    Ce tir d'écran affiche les étapes dans cette section :

    /image/gif/paws/99791/eapfast-wlc-rad-config12.gif

Configurez l'authentification d'EAP-FAST sur le serveur de RAYON avec le ravitaillement authentifié PAC d'intrabande

Ravitaillement authentifié d'intrabande

L'EAP-FAST a été amélioré pour prendre en charge un tunnel authentifié (utilisant le certificat de serveur), qui est où le ravitaillement PAC se produit. Ce mode provisions un client d'utilisateur avec un PAC à l'aide de la phase zéro d'EAP-FAST avec l'authentification de côté serveur de TLS. Cette option exige que vous installez un certificat de serveur et une racine de confiance CA sur l'ACS.

Les nouvelles suites de chiffrement, cela sont des améliorations à l'EAP-FAST et spécifiquement le certificat de serveur, sont utilisés. Puisque le serveur est authentifié en tant qu'élément d'installer le tunnel, des méthodes plus faibles d'EAP telles qu'EAP-GTC peuvent être utilisées à l'intérieur du tunnel pour fournir l'authentification de suppliant.

Par défaut, l'ACS prend en charge l'authentification de côté serveur de TLS. Cependant, si le client envoie le certificat utilisateur à l'ACS, l'authentification mutuelle de TLS est exécutée et des méthodes intérieures sont sautées.

  1. Répétez steps1 à 4 de la configuration anonyme de ravitaillement d'intrabande afin de configurer les autres configurations d'EAP-FAST sur le serveur de RAYON.

  2. Si vous voulez que l'ACS effectue le ravitaillement anonyme PAC d'intrabande, cochez la case de ravitaillement PAC d'intrabande authentifiée Allow.

    1. Recevez le client sur le ravitaillement authentifié — Cette option est seulement disponible quand l'option de ravitaillement PAC d'intrabande authentifiée par autoriser est sélectionnée. Le serveur envoie toujours une Access-anomalie à la fin de la phase de ravitaillement, qui force le client pour authentifier à nouveau utilisant le tunnel PAC. Cette option permet à l'ACS d'envoyer un Access-recevoir au client à la fin de la phase de ravitaillement.

    2. Décochez la case sans état d'option de reprise de session d'autoriser si vous ne voulez pas que l'ACS provision l'autorisation PACs pour des clients d'EAP-FAST et exécute toujours la phase deux de l'EAP-FAST.

    3. Méthodes intérieures permises — Si vous sélectionnez le ravitaillement PAC d'intrabande authentifié Allow, la méthode intérieure pendant la phase d'authentification est négociable (EAP-GTC est utilisé par défaut dans la phase zéro). Sélectionnez un ou plusieurs de ces méthodes intérieures :

      • EAP-GTC — Afin d'activer EAP-GTC dans l'EAP JEÛNEZ authentification, cochent cette case.

      • EAP-MS-CHAPv2 — Afin d'activer EAP-MS-CHAPv2 dans l'EAP JEÛNEZ authentification, cochent cette case.

      • EAP-TLS — Afin d'activer l'EAP-TLS dans l'authentification RAPIDE d'EAP, cochez cette case.

      Remarque: L'ACS exécute toujours la première méthode activée d'EAP. Par exemple, si vous sélectionnez EAP-GTC et EAP-MS-CHAPv2, puis la première méthode activée d'EAP est EAP-GTC.

    Toutes ces configurations spécifiques au ravitaillement authentifié PAC d'intrabande sont mentionnées dans cet exemple :

    eapfast-wlc-rad-config13.gif

  3. Clic Submit+Restart.

Installez le certificat de serveur sur ACS pour le ravitaillement authentifié d'intrabande

L'EAP-FAST a été amélioré pour prendre en charge un intérieur authentifié de tunnel (utilisant le certificat de serveur) que le ravitaillement PAC se produit.

Remarque: Cette option exige installer un certificat de serveur et une racine de confiance CA sur l'ACS.

Il y a plusieurs méthodes disponibles pour installer le certificat de serveur sur l'ACS. Ce document explique comment générer un certificat auto-signé sur l'ACS et l'importer à la liste de confiance de l'autorité de certification du client.

Générez le certificat Auto-signé dans ACS

L'ACS prend en charge des protocoles TLS/SSL-related, qui inclut le PEAP, l'EAP-FAST, et les HTTPS, qui exigent l'utilisation des Certificats numériques. L'emploi des Certificats auto-signés est une manière pour que les administrateurs répondent à cette exigence sans devoir interagir avec un CA pour obtenir et installer le certificat pour l'ACS.

Terminez-vous ces étapes afin de générer le certificat auto-signé dans l'ACS :

  1. Configuration système de clic du GUI de serveur de RAYON. De la page de configuration système, choisissez l'installation de certificat ACS.

    /image/gif/paws/99791/eapfast-wlc-rad-config14.gif

  2. L'installation de certificat ACS répertorie de diverses options d'installer le certificat sur l'ACS. Pour cet exemple, choisissez génèrent le certificat Auto-signé.

    eapfast-wlc-rad-config15.gif

    Le certificat Auto-signé par générer éditent la page apparaît.

  3. De cette page, terminez-vous ces étapes :

    1. Dans la case de sujet de certificat, écrivez le sujet de certificat dans le de forme.

    2. Dans la case de fichier du certificat, écrivez le chemin d'accès complet et le nom du fichier pour le fichier du certificat. Dans la case de longueur principale, sélectionnez la longueur principale.

    3. Dans la case privée de fichier principal, écrivez le chemin d'accès complet et le nom du fichier pour le fichier principal privé.

    4. Dans le cadre Password de clé privée, entrez le mot de passe de clé privée. Dans le cadre Password de clé privée de retaper, retapez le mot de passe de clé privée.

    5. Dans le condensé à signer avec la case, sélectionnez le condensé d'informations parasites (SHA1 dans cet exemple) à utiliser pour chiffrer la clé.

    6. Afin d'installer le certificat auto-signé quand vous soumettez la page, sélectionnez l'option de certificat générée Install.

      Remarque: Si vous sélectionnez l'option de certificat générée Install, vous devez redémarrer des services ACS après que vous soumettiez cette forme pour les nouveaux paramètres pour prendre effet. Si vous ne sélectionnez pas l'option de certificat générée Install, le fichier du certificat et le fichier principal privé sont générés et enregistrés quand vous cliquez sur Submit dans l'étape suivante. Cependant, ceux-ci ne sont pas installés dans la mémoire d'ordinateur local.

    Voici un exemple d'une retouche par page Auto-signée de certificat :

    /image/gif/paws/99791/eapfast-wlc-rad-config16.gif

    Remarque: Les valeurs de champ écrites (solides totaux-Web) voici les valeurs d'exemple. Vous pouvez employer tous les valeurs ou noms de champ pour générer un certificat auto-signé sur l'ACS. Tous les champs doivent être complétés.

Importez le certificat Auto-signé au client

Vous devez importer le certificat auto-signé généré sur l'ACS à la liste d'Authoritiy de la certification racine du client pour que le client authentifie le serveur comme utilisant un certificat valide.

Terminez-vous ces étapes dans le client :

  1. Copiez le certificat de son emplacement sur l'ACS sur le client.

  2. Cliquez avec le bouton droit le fichier de .cer et le clic installent le certificat.

    eapfast-wlc-rad-config17.gif

  3. Cliquez sur Next (Suivant).

  4. Choisissez l'endroit tous les Certificats dans la mémoire suivante et le clic parcourent.

    La fenêtre de mémoire choisie de certificat popup.

  5. De la fenêtre de mémoire choisie de certificat, cochez la case physique de mémoires d'exposition.

  6. Développez les Autorités de certification racine approuvée de l'arborescence de certificat, sélectionnez l'ordinateur local, et cliquez sur OK.

    eapfast-wlc-rad-config18.gif

  7. Cliquez sur Next, cliquez sur Finish, et cliquez sur OK.

    Un assistant d'importation de certificat apparaît qui affiche que l'importation était réussie.

    /image/gif/paws/99791/eapfast-wlc-rad-config19.gif

Configurez le client pour l'authentification d'EAP-FAST

Terminez-vous ces étapes afin de configurer le client pour l'authentification d'EAP-FAST :

  1. Configurez le client pour le ravitaillement anonyme d'intrabande

  2. Configurez le client pour le ravitaillement authentifié d'intrabande

Configurez le client pour le ravitaillement anonyme d'intrabande

Terminez-vous ces étapes afin de configurer le client sans fil pour le ravitaillement anonyme d'intrabande :

  1. De la fenêtre d'Aironet Desktop Utility, Profile Management > New de clic afin de créer un profil pour l'utilisateur d'EAP-FAST.

    Comme cité précédemment, ce document utilise le nom WLAN/SSID comme eap rapide pour le client sans fil.

    eapfast-wlc-rad-config20.gif

  2. De la fenêtre Profile Management, cliquez sur l'onglet Général et configurez le nom de profil, le nom de client et le nom SSID suivant les indications de cet exemple. Puis, cliquez sur OK.

    eapfast-wlc-rad-config21.gif

  3. Cliquez sur l'onglet Sécurité et choisissez le 802.1x comme option de Sécurité de positionnement avec le type d'EAP de 802.1x comme EAP-FAST. Cliquez sur Configure afin de configurer la configuration d'EAP-FAST.

    eapfast-wlc-rad-config22.gif

  4. De la fenêtre d'EAP-FAST de configurer, cochez la case automatique de ravitaillement PAC d'autoriser. Si vous voulez configurer le ravitaillement anonyme PAC, EAP-MS-CHAP sera utilisé comme seule méthode intérieure dans la phase zéro.

  5. Choisissez le nom d'utilisateur MSCHAPv2 et le mot de passe comme méthode d'authentification de la liste déroulante de méthode d'authentification d'EAP-FAST. Cliquez sur Configure.

    eapfast-wlc-rad-config23.gif

  6. De la fenêtre de nom d'utilisateur et de mot de passe du configurer MSCHAPv2, choisissez les configurations appropriées de nom d'utilisateur et mot de passe.

    Cet exemple choisit manuellement la demande pour le nom d'utilisateur et le mot de passe.

    Le même nom d'utilisateur et mot de passe devrait être enregistré à l'ACS. Comme cité précédemment, cet exemple utilise la radio et la radio respectivement comme nom d'utilisateur et mot de passe.

    En outre, notez que c'est un ravitaillement anonyme d'intrabande. Par conséquent, le client ne peut pas valider le certificat de serveur. Vous devez s'assurer que la case d'identité de serveur de validation est décochée.

  7. Cliquez sur OK.

    eapfast-wlc-rad-config24.gif

Configurez le client pour le ravitaillement authentifié d'intrabande

Terminez-vous ces étapes afin de configurer le client sans fil pour le ravitaillement authentifié d'intrabande :

  1. Répétez les étapes 1 3 du client de configurer pour la section anonyme de ravitaillement d'intrabande de ce document.

  2. De la fenêtre d'EAP-FAST de configurer, cochez la case automatique de ravitaillement PAC d'autoriser.

    Avec le ravitaillement authentifié PAC d'intrabande, des méthodes intérieures l'unes des (EAP-GTC, EAP-MSCHAPv2, certificat client de TLS) permises sur le côté ACS peuvent être sélectionnées sur le client comme méthode d'authentification de la liste déroulante de méthode d'authentification d'EAP-FAST.

    Cet exemple choisit le jeton/mot de passe GTC comme méthode d'authentification d'EAP-FAST.

  3. Cliquez sur Configure.

    eapfast-wlc-rad-config25.gif

  4. De la fenêtre de configuration GTC, vous pouvez utiliser un mot de passe statique ou un jeton à inciter au moment de l'authentification.

    Cet exemple utilise un nom d'utilisateur et mot de passe statique. Le même nom d'utilisateur et mot de passe devrait être enregistré à l'ACS. Comme cité précédemment, cet exemple utilise la radio et la radio respectivement comme nom d'utilisateur et mot de passe.

  5. En outre, notez que c'est une configuration authentifiée de ravitaillement d'intrabande. , Cochez par conséquent la case d'identité de serveur de validation. En outre, de la liste déroulante d'Autorités de certification racine approuvée, faites descendre l'écran pour rechercher le certificat Auto-signé importé de l'ACS (solides totaux-Web dans cet exemple). Choisissez le certificat en tant qu'Autorité de certification racine approuvée. Cliquez sur OK.

    eapfast-wlc-rad-config26.gif

Vérifiez le ravitaillement d'intrabande

Terminez-vous ces étapes afin de vérifier si votre configuration d'EAP-FAST fonctionne correctement :

  1. Sélectionnez l'eap de profil rapide et le clic lancent afin de lancer le profil de client sans fil.

    /image/gif/paws/99791/eapfast-wlc-rad-config27.gif

  2. Si vous avez activé MS-CHAP ver2 en tant que votre méthode d'authentification (avec anonyme, c'est la seule méthode réussie comme expliqué plus tôt), alors le client incitera pour le nom d'utilisateur et mot de passe.

    /image/gif/paws/99791/eapfast-wlc-rad-config28.gif

  3. Pendant le traitement d'EAP-FAST de l'utilisateur, vous serez incité par le client à demander le PAC du serveur de RAYON. Quand vous cliquez sur l'OUI, des débuts de ravitaillement PAC.

    eapfast-wlc-rad-config29.gif

    Après ravitaillement réussi PAC dans la phase zéro, la phase une et deux suivent et une procédure réussie d'authentification a lieu.

    /image/gif/paws/99791/eapfast-wlc-rad-config30.gif

  4. Avec le ravitaillement authentifié d'intrabande, si vous avez activé GTC/Token en tant que votre méthode d'authentification d'EAP-FAST, vous serez incité à écrire le jeton. Comme cité précédemment, cet exemple utilise la radio comme identifiant utilisateur. Cliquez sur OK.

    /image/gif/paws/99791/eapfast-wlc-rad-config31.gif

    Vous pouvez voir le fichier PAC reçu par le client dans la page de configuration d'EAP-FAST.

    eapfast-wlc-rad-config32.gif

    Ce PAC peut être utilisé pour d'autres sessions d'authentification de cet utilisateur selon les configurations des valeurs de TTL de clé PAC/Master.

  5. Le clic parviennent à voir le contenu du fichier PAC par le furetage par l'arborescence de Gestion PAC comme affiché ici. Le double clic sur le fichier PAC de radio pour afficher le contenu du PAC classent.

    /image/gif/paws/99791/eapfast-wlc-rad-config33.gif

    C'est le contenu d'un fichier PAC :

    eapfast-wlc-rad-config34.gif

Vérifiez

Vous pouvez vérifier si le serveur de RAYON reçoit et valide la demande d'authentification du client sans fil. Pour ce faire, vérifiez les rapports Passed Authentications et Failed Attempts sur le serveur ACS pour savoir si l'authentification a réussi ou échoué. Ces rapports sont disponibles sous l'option Reports and Activities sur le serveur ACS.

Voici un exemple quand l'authentification de serveur de RAYON est réellement réussie. Cependant, parce que la phase zéro de l'EAP-FAST n'active pas un service réseau, même une transaction réussie de la phase zéro d'EAP-FAST est enregistrée dans le log d'essais ratés ACS. Si vous voyez le « utilisateur d'EAP-FAST provisioned avec le message nouveau PAC », ceci indique que le PAC provisioned avec succès au client.

/image/gif/paws/99791/eapfast-wlc-rad-config35.gif

Ces commandes de débogage pourraient être utiles pour quelque dépannage :

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

  • enable d'événements de debug dot1x — Active le débogage de tous les événements de dot1x. Voici une sortie de débogage d'exemple basée sur l'authentification réussie :

    (Cisco Controller)>debug dot1x events enable
    
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Sending EAP
    -Request/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received EAP Response packet with mi
    smatching id (currentid=2, eapid=1) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    ..............................................................................
    ..............................................................................
    ...............................................................................
    ................................................................................
    
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 19, EAP Type 43)
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:01 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 43)
    Mon Oct 22 20:35:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -
    0
    Mon Oct 22 20:35:29 2007: Resetting the group key timer for 3689 seconds on AP 0
    0:0b:85:91:c3:c0
    Mon Oct 22 20:35:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0 -
    1
    Mon Oct 22 20:35:29 2007: Resetting the group key timer for 3696 seconds on AP 0
    0:0b:85:91:c3:c0
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received Identity Response (count=3)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ==
    => 19 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 19)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 19, EAP Type 3)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 43)
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 21, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 22, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 23)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 23, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 24)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 24, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 25, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 26)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 26, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 27)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 27, EAP Type 43)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Processing Access-Reject for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Failure to mobile 00:40:
    96:af:3e:93 (EAP Id 27)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds fo
    r mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:35:31 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 2 ===
    > 20 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 20, EAP Type 3)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 21, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 22, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 ==
    => 24 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 24)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 24, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 25, EAP Type 43)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Processing Access-Accept for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Creating a new PMK Cache Entry for s
    tation 00:40:96:af:3e:93 (RSN 0)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending EAP-Success to mobile 00:40:
    96:af:3e:93 (EAP Id 25)
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending default RC4 key to mobile 00
    :40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Sending Key-Mapping RC4 key to mobil
    e 00:40:96:af:3e:93
    Mon Oct 22 20:35:32 2007: 00:40:96:af:3e:93 Received Auth Success while in Authe
    nticating state for mobile 00:40:96:af:3e:93
    

    Voici un exemple de l'authentification défaillante de la sortie de la commande d'enable d'événements de debug dot1x :

    (Cisco Controller) >debug dot1x events enable
    
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Requ
    est/Identity to mobile 00:40:96:af:3e:93 (EAP Id 1)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 2)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received Identity Response (count=2)
     from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 2 ===
    > 11 for STA 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 11)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 11, EAP Type 3)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 12)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 12, EAP Type 43)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi
    le 00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi
    le 00:40:96:af:3e:93 (EAP Id 13)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00
    :40:96:af:3e:93 (EAP Id 13, EAP Type 43)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Processing Access-Reject for mobile
    00:40:96:af:3e:93
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Sending EAP-Failure to mobile 00:40:
    96:af:3e:93 (EAP Id 13)
    Mon Oct 22 20:26:11 2007: 00:40:96:af:3e:93 Setting quiet timer for 5 seconds fo
    r mobile 00:40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 802.1x 'quiteWhile' Timer expired fo
    r station 00:40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 quiet timer completed for mobile 00:
    40:96:af:3e:93
    Mon Oct 22 20:26:16 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 15)
    Mon Oct 22 20:26:17 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:17 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 16)
    Mon Oct 22 20:26:18 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:18 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 17)
    Mon Oct 22 20:26:19 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:19 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 18)
    Mon Oct 22 20:26:20 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:20 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 19)
    Mon Oct 22 20:26:21 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:21 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 20)
    Mon Oct 22 20:26:22 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:22 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 21)
    Mon Oct 22 20:26:23 2007: 00:40:96:af:3e:93 802.1x 'txWhen' Timer expired for st
    ation 00:40:96:af:3e:93
    Mon Oct 22 20:26:23 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi
    le 00:40:96:af:3e:93 (EAP Id 22)
  • enable de paquet de debug dot1x — Active le débogage des messages de paquet de 802.1x. Voici une sortie de débogage d'exemple basée sur l'authentification réussie :

    (Cisco Controller) debug dot1x packet enable
    
     00:40:96:af:3e:93 Sending 802
    .11 EAPOL message  to mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 2c 01 01 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    ) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 01 00 00
          ....
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 2c 01 02 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 3
    1) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 1b 02 02 00 1b  01 50 45 41 50 2d 3
    0 30  .........PEAP-00
                          00000010: 2d 34 30 2d 39 36 2d 41  46 2d 33 45 2d 39 33
      -40-96-AF-3E-93
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 26 01 19 00 26  11 01 00 08 52 97 b
    2 df  ...&...&....R...
                          00000010: 38 d2 ce 74 50 45 41 50  2d 30 30 2d 34 30 2d 39
      8..tPEAP-00-40-9
                      00000020: 36 2d 41 46 2d 33 45 2d  39 33                    6-
    AF-3E-93
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 1
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 06 02 19 00 06  03 2b
          .........+
    Mon Oct 22 20:41:13 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:13 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:14 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:14 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:15 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:15 2007: 00000000: 01 00 00 1a 01 1a 00 1a  2b 21 00 04 00 10 7
    c 9e  ........+!....|.
                          00000010: fc 68 bd 16 29 4d bb e5  be 7e e4 17 bd 9f
      .h..)M...~....
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 6
    0) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 00 38 02 1a 00 38  2b 01 16 03 01 00 2
    d 01  ...8...8+.....-.
                          00000010: 00 00 29 03 01 47 1c bd  d7 0f 4c 38 41 29 51 34
      ..)..G....L8A)Q4
                      00000020: dc 42 4d bb 3d 3f ca 79  a6 34 5c 52 d1 ab ba ec  .B
    M.=?.y.4\R....
                  00000030: f5 d7 44 0d
    Mon Oct 22 20:41:16 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:16 2007: 00000000: 01 00 02 72 01 1b 02 72  2b 81 00 00 02 68 1
    6 03  ...r...r+....h..
                          00000010: 01 00 4a 02 00 00 46 03  01 47 1c bd b1 3a a8 8e
      ..J...F..G...:..
                      00000020: de fc 62 51 e0 fe 93 c2  1d 21 08 51 59 ba c6 90  ..
    bQ.....!.QY...
                  00000030: ad 14 1b bc
    Mon Oct 22 20:41:17 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 3
    36) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:17 2007: 00000000: 01 00 01 4c 02 1b 01 4c  2b 01 16 03 01 01 0
    6 10  ...L...L+.......
                          00000010: 00 01 02 01 00 f4 92 8c  54 b1 34 ae 1e 13 a3 63
      ........T.4....c
                      00000020: 03 35 e9 33 e6 45 01 6a  87 18 ba 3d 03 0f 5f a5  .5
    .3.E.j...=.._.
                  00000030: 1d 3a ae fa
    Mon Oct 22 20:41:46 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    ) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:46 2007: 00000000: 01 01 00 00
          ....
    Mon Oct 22 20:41:46 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 45 01 1d 00 45  2b 81 00 00 00 3b 1
    4 03  ...E...E+....;..
                          00000010: 01 00 01 01 16 03 01 00  30 cc 1f c4 54 ac a2 88
      ........0...T...
                      00000020: 14 11 92 c4 5a 78 2c 57  06 57 77 d7 6b 4e b1 db  ..
    ..Zx,W.Ww.kN..
    eived 802.11 EAPOL message (len 1
    11) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 02 1f 00 6b  2b 01 17 03 01 00 6
    0 8b  ...k...k+.....`.
                          00000010: 25 2f c6 1a 61 de af 51  a4 1d ae 9e 8c e8 45 80
      %/..a..Q......E.
                      00000020: e0 14 69 01 d8 ab eb 08  af 21 44 44 70 9c 25 d2  ..
    i......!DDp.%.
                  00000030: 39 6f 75 ce
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 5b 01 20 00 5b  2b 01 17 03 01 00 5
    0 0a  ...[...[+.....P.
                          00000010: 7e da 91 4e d7 ae 6b 87  7c 31 7f 7a 3c af 67 71
      ~..N..k.|1.z<.gq
                      00000020: 8a a1 0b aa 0a ac 6f b5  e8 65 83 3b d1 39 bd 1b  ..
    ....o..e.;.9..
                  00000030: f4 dd f9 68
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 4
    7) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 2b 02 20 00 2b  2b 01 17 03 01 00 2
    0 73  ...+...++......s
                          00000010: 02 d6 0e d3 55 57 7c 0c  58 f0 7c 1f 5e 61 09 40
      ....UW|.X.|.^a.@
                      00000020: 00 85 0b 8e 11 b5 23 1b  fc 27 77 71 ad b8 ed     ..
    ....#..'wq...
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 01 21 00 6b  2b 01 17 03 01 00 6
    0 c8  ...k.!.k+.....`.
                          00000010: c4 69 43 5d ad 34 88 05  24 d7 7e 90 e3 65 87 37
      .iC].4..$.~..e.7
                      00000020: 9c 94 2f 99 5d be ca 82  1a 11 89 68 44 08 4c ef  ..
    /.]......hD.L.
                  00000030: 56 89 18 7a
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 1
    11) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 6b 02 21 00 6b  2b 01 17 03 01 00 6
    0 16  ...k.!.k+.....`.
                          00000010: 04 f2 92 41 da 4c 9c 4a  64 d8 88 9e 4b ac b9 76
      ...A.L.Jd...K..v
                      00000020: a0 94 2a 7c 5f 7b 9b be  8b 07 e1 42 79 f1 4f 06  ..
    *|_{.....By.O.
                  00000030: 8e 50 c8 25
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 01 1b 01 22 01 1b  2b 01 17 03 01 01 1
    0 0f  ....."..+.......
                          00000010: 9b 84 da 57 60 8b a7 f6  e2 09 33 38 0c d8 fc 1f
      ...W`.....38....
                      00000020: 5f 2f 6a 59 72 4a a7 db  3a 5d 32 5c ac ed 1d d0  _/
    jYrJ..:]2\....
                  00000030: 46 6a 1c 93
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Received 802.11 EAPOL message (len 7
    9) from mobile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 4b 02 22 00 4b  2b 01 17 03 01 00 4
    0 3f  ...K.".K+.....@?
                          00000010: 93 1f aa c6 2f 61 f8 45  84 f5 60 bd 35 87 8e 3a
      ..../a.E..`.5..:
                      00000020: 6b 96 7c 9a f6 79 91 73  c1 e9 68 78 82 88 29 07  k.
    |..y.s..hx..).
                  00000030: 8f 71 ef 09
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 04 04 22 00 04
          ....."..
    Mon Oct 22 20:41:47 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:47 2007: 00000000: 01 00 00 2c 01 01 00 2c  01 00 6e 65 74 77 6
    f 72  ...,...,..networ
                          00000010: 6b 69 64 3d 65 61 70 20  66 61 73 74 2c 6e 61 73
      kid=eap.fast,nas
                      00000020: 69 64 3d 57 4c 43 31 2c  70 6f 72 74 69 64 3d 32  id
    =WLC1,portid=2
    Mon Oct 22 20:41:48 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 
                  00000030: 2c 14 ca 45
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 00 00 04 03 20 00 04
          ........
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 03 00 39 01 00 0d ca  b3 f9 35 00 0a 60 b
    a 20  ...9......5..`..
                          00000010: 82 55 76 30 27 6f 92 2e  ee ce 49 c8 c2 5c 24 01
      .Uv0'o....I..\$.
                      00000020: 33 8e 39 fb a6 f4 fa 72  09 8b ae 1a d5 ab 84 73  3.
    9....r.......s
                  00000030: e9 b9 28 85
    Mon Oct 22 20:41:49 2007: 00:40:96:af:3e:93 Sending 802.11 EAPOL message  to mob
    ile 00:40:96:af:3e:93
    Mon Oct 22 20:41:49 2007: 00000000: 01 03 00 2c 01 00 0d ca  b3 f9 35 00 0a 60 b
    b 2b  ...,......5..`.+
                          00000010: fa 79 fc 30 50 de dd a0  95 95 cb 50 25 19 0a 80
      .y.0P......P%...
                      00000020: 1e e8 3e bf 8b 7a e3 a1  37 2a 07 8d ef 24 72 47  ..
    >..z..7*...$rG
  • enable d'événements de debug aaa — Active la sortie de débogage de tous les événements d'AAA. Voici un exemple de sortie de débogage d'un procédé d'authentification défaillante :

    (Cisco Controller) >debug aaa events enable
    
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Successful trans
    mission of Authentication Packet (id 145) to 10.77.244.196:1812, proxy state 00:
    40:96:af:3e:93-96:af
    Mon Oct 22 20:14:35 2007: ****Enter processIncomingMessages: response code=11
    Mon Oct 22 20:14:35 2007: ****Enter processRadiusResponse: response code=11
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIU
    S server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 9
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 146) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    ..................................................................................
    ..................................................................................
    ..................................................................................
    ..................................................................................
    Mon Oct 22 20:14:35 2007: ****Enter processIncomingMessages: response code
    Mon Oct 22 20:14:35 2007: ****Enter processRadiusResponse: response code=3
    Mon Oct 22 20:14:35 2007: 00:40:96:af:3e:93 Access-Reject received from RADIUS s
    erver 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 9
    Mon Oct 22 20:14:42 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 149) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    

Dépannez

Conseils de dépannage

  • Assurez-vous que la case d'identité de serveur de validation est désactivée pour le profil de client pour le ravitaillement anonyme d'intrabande.

  • Assurez-vous qu'EAP-MSCHAPver2 est sélectionné comme méthode authentifiée sur le profil de client pour le ravitaillement anonyme d'intrabande. C'est la méthode intérieure de seul EAP applicable dans la phase zéro pour le ravitaillement anonyme d'intrabande.

  • Assurez-vous que les identifiants utilisateurs écrits au côté client au moment de l'authentification sont déjà configurés dans l'ACS.

  • Vérifiez si le serveur de RAYON est sélectionné du menu déroulant du WLAN (SSID).

  • Si vous utilisez le Protocole WPA (Wi-Fi Protected Access), alors vous devez installer le dernier correctif de Microsft WPA pour des Windows XP SP2. En outre, vous devriez améliorer le gestionnaire pour votre suppliant de client à la dernière version.

  • [SÉCURITÉ] le 1x_ptsm.c 391 : Les retransmissions M3 d'EAPOL-clé max ont atteint le message d'erreur signifie que la carte n'a pas répondu à une demande de son identité. Vous pouvez étendre les temporisateurs d'EAP sur les contrôleurs pour attendre les informations de 802.1x de client si vous utilisez ces commandes sur le WLC CLI :

    • identité-demande-délai d'attente 120 C de config advanced eap

    • identité-demande-relances 20 de config advanced eap

    • request-timeout 120 de config advanced eap

    • save config des demande-relances 20 de config advanced eap

Extraction du fichier de package du serveur ACS RADIUS pour le dépannage

Si vous utilisez ACS en tant que serveur RADIUS externe, cette section peut être utilisée pour dépanner. Le package.cab est un fichier zip qui contient tous les fichiers nécessaires requis afin de dépanner l'ACS efficacement. Vous pouvez utiliser l'utilitaire CSSupport.exe pour créer le fichier package.cab ou collecter les fichiers manuellement.

Référez-vous à créer une section de fichier package.cab d'obtenir les informations de version et de debug d'AAA pour le Cisco Secure ACS pour Windows pour plus d'informations sur la façon créer et extraire le fichier de package du système de contrôle Sans fil (WCS).

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 99791