Sans fil : Contrôleurs de réseau local sans fil de la gamme Cisco 4400

PEAP sous des réseaux sans fil unifiés avec Microsoft Internet Authentication Service (IAS)

16 janvier 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (20 décembre 2015) | Commentaires


Contenu


Introduction

Ce document fournit un exemple de configuration pour installer Protected Extensible Authentication Protocol (PEAP) avec l'authentification de Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) version 2 dans un réseau sans fil unifié Cisco avec le service d'authentification de routage Internet de Microsoft (IAS) en tant que serveur RADIUS.

Conditions préalables

Conditions requises

Il existe la supposition que le lecteur a connaissance de l'installation de base de Windows 2003 et de l'installation du contrôleur de routage Cisco puisque ce document couvre seulement les configurations spécifiques pour faciliter les tests.

Remarque: Ce document se destine à donner aux lecteurs un exemple sur la configuration requise du serveur MS pour l'authentification PEAP - MS CHAP. La configuration du serveur de Microsoft présentée dans cette section a été testée dans le laboratoire et s'est avérée fonctionner comme prévu. Si vous avez des problèmes pour configurer le serveur de Microsoft, contactez Microsoft pour obtenir de l'aide. TAC de Cisco ne prend pas en charge la configuration du serveur de Microsoft Windows.

Pour l'installation initiale et les informations de configuration pour les contrôleurs de la gamme Cisco 4400, consultez le Guide de démarrage rapide : Contrôleurs de réseau local sans fil de la gamme Cisco 4400

Les guides d'installation et de configuration de Microsoft Windows 2003 peuvent être trouvés sous Installer Windows Server 2003 R2.leavingcisco.com

Avant de commencer, installez Microsoft Windows Server 2003 avec le système d'exploitation SP sur chacun des serveurs dans le laboratoire de test et mettez à jour tous les Services Pack. Installez les contrôleurs et les points d'accès léger (LAP) et assurez-vous que les dernières mises à jour logicielles sont configurées.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Contrôleur Cisco de la gamme 4400 qui exécute la version 4.0 du microprogramme

  • Protocole de point d'accès léger Cisco 1131 (LWAPP) AP

  • Serveur Windows 2003 Enterprise (SP1) avec le service d'authentification Internet (IAS), l'autorité de certification (CA), DHCP et les services de système de noms de domaine (DNS) installés

  • Windows XP Professional avec SP2 (et les Services Pack mis à jour) et la carte réseau sans fil Cisco Aironet 802.11a/b/g (NIC)

  • Utilitaire de bureau Aironet version 4.0

  • Commutateur du routage Cisco 3560

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Présentation de PEAP

PEAP utilise Transport Level Security (TLS) pour créer un canal chiffré crypté entre un client de routage authentifiant PEAP, tel qu'un ordinateur portable sans fil, et un authentificateur PEAP, tel que le Service d'authentification Internet de Microsoft (IAS) ou n'importe quel serveur RADIUS. PEAP ne spécifie pas de méthode d'authentication, mais fournit la sécurité supplémentaire pour d'autres protocoles d'authentification EAP, tels qu'EAP-MSCHAPv2, qui peut fonctionner par le canal crypté par TLS fourni par PEAP. Le processus d'authentification PEAP consiste en deux phases principales :

Première phase PEAP : Canal crypté par TLS

Le client sans fil s'associe avec l'AP. Une association basée sur IEEE 802.11 fournit un système ouvert ou l'authentification de clé partagée avant qu'une association sécurisée soit créée entre le client de routage et le point d'accès (LAP). Après que l'association basée sur IEEE 802.11 est établie avec succès entre le client de routage et le point d'accès, la session de TLS est négociée avec l'AP. Une fois que l'authentification a abouti avec succès entre le client sans fil et le serveur IAS, la session de TLS est négociée entre eux. La clé qui dérive de cette négociation est utilisée pour crypter toute la communication ultérieure.

Deuxième phase PEAP : communication authentifiée d'EAP

La communication d'EAP, qui inclut la négociation d'EAP, se produit à l'intérieur du canal de TLS créé par PEAP dans la première phase du processus d'authentification de PEAP. Le serveur d'IAS authentifie le client sans fil avec EAP-MS-CHAP v2. Le LAP et le contrôleur réachemine seulement les messages entre le client sans fil et le serveur RADIUS. Le WLC et le LAP ne peuvent pas déchiffrer ces messages parce que ce n'est pas le point d'extrémité de TLS.

Une fois que la première phase de PEAP a lieu et que le canal TLS est créé entre le serveur IAS et le client sans fil de 802.1x, pour une tentative réussie d'authentification où l'utilisateur a fourni les identifiants basés sur un mot de passe valide avec PEAP-MS-CHAP v2, l'ordre de message RADIUS est le suivant :

  1. Le serveur d'IAS envoie un message de requête d'identité au client : Requête EAP/Identité.

  2. Le client répond avec un message de réponse d'identité : Réponse EAP/Identité.

  3. Le serveur IAS envoie un message de défi MS-CHAP v2 : Requête-EAP/Type-EAP=EAP MS-CHAP-V2 (défi).

  4. Le client répond avec un défi et la réponse MS-CHAP v2 : Réponse-EAP/Type-EAP=EAP-MS-CHAP-V2 (réponse).

  5. Le serveur IAS renvoie un paquet de réussite MS-CHAP v2 quand le serveur a authentifié le client avec succès : Requête-EAP/Type-EAP=EAP-MS-CHAP-V2 (réussite).

  6. Le client de routage répond avec un paquet de réussite MS-CHAP v2 quand le client a authentifié le serveur avec succès : Réponse-EAP/Type-EAP=EAP-MS-CHAP-V2 (réussite).

  7. Le serveur d'IAS envoie un EAP-TLV qui indique l'authentification réussie.

  8. Le client répond avec un message de réussite d'état EAP-TLV.

  9. Le serveur complète l'authentification et envoie un message de réussite-EAP du texte en clair. Si des VLAN sont déployés pour l'isolation du client, les attributs VLAN sont inclus dans ce message.

Configurez

Ce document fournit un exemple pour la configuration de PEAP MS-CHAP v2.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/100397/peap-ias-1.gif

Dans cette configuration, un serveur de Microsoft Windows 2003 effectue ces rôles :

  • Contrôleur de domaine pour le domaine de routage Wireless.com

  • Serveur DHCP/DNS

  • Serveur d'Autorité de certification (CA)

  • Active Directory - pour mettre à jour la base de données utilisateur

  • Service d'authentification Internet (IAS) - pour authentifier les utilisateurs sans fil

Ce serveur se connecte au réseau câblé par un commutateur de la couche 2 comme montré.

Le contrôleur LAN sans fil (WLC) et le LAP enregistré se connectent également au réseau par le commutateur de la couche 2.

Les clients sans fil C1 et C2 emploieront le Wi-Fi Protected Access 2 (WPA2) - authentification PEAP MSCHAP v2 pour se connecter au réseau sans fil.

L'objectif est de configurer le serveur de Microsoft 2003, le contrôleur LAN sans fil et le poids léger AP pour authentifier les clients sans fil avec l'authentification PEAP MSCHAP v2.

La section suivante explique comment paramétrer les périphériques pour cette configuration.

Configurations

Cette section traite de la configuration requise pour installer l'authentification PEAP MS-CHAP v2 dans ce WLAN :

Commencez par la configuration du serveur de Microsoft Windows 2003.

Configurez le serveur de Microsoft Windows 2003

Configurez le serveur de Microsoft Windows 2003

Comme mentionné dans la section de configuration réseau, utilisez le serveur de Microsoft Windows 2003 dans le réseau pour remplir ces fonctions.

  • Contrôleur de domaine ? pour le domaine sans fil

  • Serveur DHCP/DNS

  • Serveur d'Autorité de certification (CA)

  • Service d'authentification Internet (IAS) - pour authentifier les utilisateurs sans fil

  • Active Directory - pour mettre à jour la base de données utilisateur

Configurez le serveur de Microsoft Windows 2003 pour ces services. Commencez par la configuration du serveur de Microsoft Windows 2003 comme contrôleur de domaine.

Configurez le serveur de Microsoft Windows 2003 comme contrôleur de domaine

Afin de configurer le serveur de Microsoft Windows 2003 comme contrôleur de domaine, suivez ces étapes :

  1. Cliquez sur le début, cliquez sur Run, tapez dcpromo.exe, et puis cliquez sur le début OKTO l'assistant d'installation de Répertoire actif.

    peap-ias-2.gif

  2. Cliquer sur Next to exécute l'assistant d'installation d'Active Directory.

    /image/gif/paws/100397/peap-ias-3.gif

  3. Afin de créer un nouveau domaine, choisissez l'option Contrôleur de domaine pour un nouveau domaine.

    peap-ias-4.gif

  4. Cliquer sur Next to crée une nouvelle forêt d'arborescences de domaine.

    /image/gif/paws/100397/peap-ias-5.gif

  5. Si DNS n'est pas installé dans le système, l'assistant vous fournit des options avec lesquelles configurer DNS. Choisissez No, Just Install and Configure DNS sur cet ordinateur. Cliquez sur Next (Suivant).

    /image/gif/paws/100397/peap-ias-6.gif

  6. Introduisez le nom DNS complet pour le nouveau domaine de routage. Dans cet exemple Wireless.com est utilisé, puis cliquez sur Next.

    /image/gif/paws/100397/peap-ias-7.gif

  7. Écrivez le nom NetBIOS pour le domaine de routage, puis cliquez sur Next. Cet exemple utilise WIRELESS.

    /image/gif/paws/100397/peap-ias-8.gif

  8. Choisissez la base de données et consignez les emplacements pour le domaine. Cliquez sur Next (Suivant).

    /image/gif/paws/100397/peap-ias-9.gif

  9. Choisissez un emplacement pour le répertoire de Sysvol. Cliquez sur Next (Suivant).

    /image/gif/paws/100397/peap-ias-10.gif

  10. Choisissez les autorisations par défaut pour les utilisateurs et les groupes. Cliquez sur Next (Suivant).

    /image/gif/paws/100397/peap-ias-11.gif

  11. Définissez le mot de passe administrateur, puis cliquez sur Next.

    /image/gif/paws/100397/peap-ias-12.gif

  12. Cliquer sur Next pour confirmer les options de domaine définies précédemment.

    /image/gif/paws/100397/peap-ias-13.gif

  13. Cliquez sur Finish pour fermer l'assistant d'installation d'Active Directory.

    /image/gif/paws/100397/peap-ias-14.gif

  14. Redémarrez le serveur pour que les modifications prennent effet.

    /image/gif/paws/100397/peap-ias-15.gif

Au cours de cette étape, vous avez configuré le serveur de Microsoft Windows 2003 comme contrôleur de domaine et avez créé un nouveau domaine de routage Wireless.com. Configurez ensuite les services DHCP sur le serveur.

Installez et configurez les services DHCP sur le serveur de Microsoft Windows 2003

Le service DHCP sur le serveur de Microsoft 2003 est utilisé pour fournir des adresses IP aux clients sans fil. Afin d'installer et de configurer des services DHCP sur ce serveur, suivez ces étapes :

  1. Cliquez sur Add or Remove Programs dans le panneau de configuration.

  2. Cliquez sur Add/Remove Windows Components.

  3. Choisissez Networking Services, puis cliquez sur Details.

  4. Choisissez Dynamic Host Configuration Protocol (DHCP), puis cliquez sur OK.

    peap-ias-16.gif

  5. Cliquer sur Next pour installer le service DHCP.

    /image/gif/paws/100397/peap-ias-17.gif

  6. Cliquez sur Finish pour terminer l'installation.

    /image/gif/paws/100397/peap-ias-18.gif

  7. Afin de configurer des services DHCP, cliquez sur Start > Programs > Administrative tools , puis cliquez sur le jeu d'outils DHCP.

  8. Choisissez le serveur DHCP - tsweb-lapt.wireless.com (dans cet exemple).

  9. Cliquez sur Action, puis cliquez sur Authorize pour autoriser le service DHCP.

    /image/gif/paws/100397/peap-ias-19.gif

  10. Dans l'arborescence de la console, cliquez à droite sur tsweb-lapt.wireless.com, puis cliquez sur New Scope pour définir une plage d'adresses IP pour les clients sans fil.

  11. Sur la page de bienvenue de l'assistant de New Scope, cliquez sur Next.

    peap-ias-20.gif

  12. À la page du nom de portée, saisissez le nom de la portée DHCP. Dans cet exemple, utilisez DHCP-Clients comme nom de portée. Cliquez sur Next (Suivant).

    /image/gif/paws/100397/peap-ias-21.gif

  13. À la page de plage d'adresses IP, saisissez les adresses IP de début et de fin pour la portée, puis cliquez sur Next.

    /image/gif/paws/100397/peap-ias-22.gif

  14. Sur la page d'ajout des exclusions, mentionnez l'adresse IP que vous voudriez réserver/exclure de la portée DHCP. Cliquez sur Next (Suivant).

    /image/gif/paws/100397/peap-ias-23.gif

  15. Mentionnez la durée de bail dans la page de durée de bail, puis cliquez sur Next.

    /image/gif/paws/100397/peap-ias-24.gif

  16. Sur la page des options de configuration DHCP, choisissez Yes, I want to configure DHCP Option now, puis cliquez sur Next.

    /image/gif/paws/100397/peap-ias-25.gif

  17. S'il existe un routeur de passerelle par défaut, mentionnez l'adresse IP du routeur de passerelle dans la page du routeur (passerelle par défaut), puis cliquez sur Next.

    /image/gif/paws/100397/peap-ias-26.gif

  18. Sur la page du nom du domaine et des serveurs DNS, introduisez le nom du domaine qui a été configuré précédemment. Dans l'exemple, utilisez Wireless.com. Saisissez l'adresse IP du serveur. Cliquez sur Add.

    /image/gif/paws/100397/peap-ias-27.gif

  19. Cliquez sur Next (Suivant).

  20. À la page de serveur WINS, cliquez sur Next.

  21. Sur la page d'activation du champ, choisissez Yes, I want to activate the scope now, puis cliquez sur Next.

    /image/gif/paws/100397/peap-ias-28.gif

  22. Lorsque l'assistant de New Scope aura terminé, cliquez sur Finish.

    /image/gif/paws/100397/peap-ias-29.gif

  23. Dans la fenêtre DHCP Snapin, vérifiez que la portée DHCP qui a été créée est active.

    /image/gif/paws/100397/peap-ias-30.gif

Maintenant que DHCP / DNS est activé sur le serveur, configurez le serveur en tant que serveur d'Autorité de certification (CA) d'entreprise.

Installez et configurez le serveur de Microsoft Windows 2003 en tant que serveur d'Autorité de certification (CA)

Le PEAP avec EAP-MS-CHAPv2 valide le serveur RADIUS basé sur le certificat actuel sur le serveur. De plus, le certificat du serveur doit être délivré par une autorité publique de certification (CA) que l'ordinateur client considère comme étant de confiance (c'est-à-dire, le certificat public CA existe déjà dans le répertoire Trusted Root Certification Authority dans la mémoire des certificats de l'ordinateur client). Dans cet exemple, configurez le serveur de Microsoft Windows 2003 en tant qu'Autorité de certification (CA) qui fournit le certificat au Service d'authentification Internet (IAS).

Afin d'installer et de configurer les services de certificat sur le serveur, suivez ces étapes :

  1. Cliquez sur Add or Remove Programs dans le panneau de configuration.

  2. Cliquez sur Add/Remove Windows components.

  3. Cliquez sur Services de certificat.

    /image/gif/paws/100397/peap-ias-31.gif

  4. Cliquez sur Yes au message d'avertissement, après avoir installé les services de certificat, l'ordinateur ne peut pas être renommé, se connecter à un domaine ou être supprimé. Voulez-vous continuer ?

    /image/gif/paws/100397/peap-ias-32.gif

  5. Sous le type d'autorité de certification, choisissez Enterprise root CA, puis cliquez sur Next.

    peap-ias-33.gif

  6. Saisissez un nom pour identifier le CA. Cet exemple utilise Wireless-CA. Cliquez sur Next (Suivant).

    /image/gif/paws/100397/peap-ias-34.gif

  7. Un répertoire « journal de certification » est créé pour le stockage de la base de données de certificats. Cliquez sur Next (Suivant).

    /image/gif/paws/100397/peap-ias-35.gif

  8. Si IIS est activé, il doit être arrêté avant que vous poursuiviez. Cliquez sur OK au message d'avertissement qu'IIS doit être arrêté. Il redémarre automatiquement après l'installation du CA.

    peap-ias-36.gif

  9. Cliquez sur Finish pour terminer l'installation des services d'Autorité de certification (CA).

    peap-ias-37.gif

L'étape suivante consiste à installer et à configurer le Service d'authentification Internet sur le serveur de Microsoft Windows 2003.

Connectez les clients de routage au domaine de routage

L'étape suivante consiste à connecter les clients au réseau câblé et à télécharger les informations spécifiques au domaine depuis le nouveau domaine. En d'autres termes, connectez les clients au domaine. Pour ce faire, suivez ces étapes :

  1. Connectez les clients au réseau câblé avec une droite par un câble Ethernet.

  2. Initialisez le client et la connexion avec le nom d'utilisateur/mot de passe du client.

  3. Cliquez sur Start ; cliquez sur Run ; saisissez cmd ; puis cliquez sur OK.

  4. À l'invite de commande, saisissez ipconfig, puis cliquez sur Enter pour vérifier que le DHCP fonctionne correctement et que le client a reçu une adresse IP du server DHCP.

  5. Afin de connecter le client au domaine, cliquez à droite sur My Computer, puis choisissez Properties.

  6. Cliquez sur l'onglet Computer Name.

  7. Cliquez sur Change.

  8. Cliquez sur Domain ; saisissez wireless.com ; puis cliquez sur OK.

    peap-ias-38.gif

  9. Saisissez Username Administrator et le mot de passe spécifique au domaine auquel le client se connecte. (Il s'agit du compte administrateur dans l'Active Directory sur le serveur.)

    peap-ias-39.gif

  10. Cliquez sur OK.

    peap-ias-40.gif

  11. Cliquez sur Yes pour redémarrer l'ordinateur.

  12. Une fois que l'ordinateur a redémarré, connectez-vous avec les informations suivantes : Nom d'utilisateur = Administrateur ; Mot de passe = <mot de passedomaine>; Domaine = Sans fil.

  13. Cliquez à droite sur My Computer, puis cliquez sur Properties.

  14. Cliquez sur l'onglet Computer Name pour vérifier que vous êtes sur le domaine Wireless.com.

    /image/gif/paws/100397/peap-ias-41.gif

  15. L'étape suivante consiste à vérifier que le client a reçu le certificat d'authentification (de confiance) du serveur.

  16. Cliquez sur Start ; cliquez sur Run ; saisissez mmc, puis cliquez sur OK.

  17. Cliquez sur File, puis cliquez sur le jeu d'outils Add/Remove.

    /image/gif/paws/100397/peap-ias-42.gif

  18. Cliquez sur Add.

  19. Choisissez Certificate, puis cliquez sur Add.

    /image/gif/paws/100397/peap-ias-43.gif

  20. Choisissez Computer Account, puis cliquez sur Next.

    /image/gif/paws/100397/peap-ias-44.gif

  21. Cliquez surFinish pour accepter l'ordinateur local par défaut.

    /image/gif/paws/100397/peap-ias-45.gif

  22. Cliquez sur Close, puis cliquez sur OK.

  23. Élargissez Certificates (Local Computer) ; Élargissez Trusted Root Certification Authorities ; puis cliquez sur Certificates. Trouvez Wireless dans la liste.

    /image/gif/paws/100397/peap-ias-46.gif

  24. Répétez cette procédure pour ajouter plus de clients au domaine.

Installez le service d'authentification Internet sur le serveur de Microsoft Windows 2003 et demandez un certificat

Dans cette configuration, le Service d'authentification Internet (IAS) est utilisé en tant que serveur RADIUS pour authentifier des clients sans fil avec l'authentification PEAP.

Suivez ces étapes pour installer et configurer IAS sur le serveur.

  1. Cliquez sur Add or Remove Programs dans le panneau de configuration.

  2. Cliquez sur Add/Remove Windows Components.

  3. Choisissez Networking Services, puis cliquez sur Details.

  4. Choisissez Internet Authentication Service ; Cliquez sur OK. puis cliquez sur Next.

    /image/gif/paws/100397/peap-ias-47.gif

  5. Cliquez sur Finish pour terminer l'installation IAS.

    /image/gif/paws/100397/peap-ias-48.gif

  6. L'étape suivante consiste à installer le certificat de l'ordinateur pour le Service d'authentification Internet (IAS).

  7. Cliquez sur Start ; cliquez sur Run ; saisissez mmc ; puis cliquez sur OK.

    /image/gif/paws/100397/peap-ias-49.gif

  8. Cliquez sur Console dans le menu Fichier, puis choisissez le jeu d'outils Add/Remove.

  9. Cliquez sur Add pour ajouter un jeu d'outils.

    /image/gif/paws/100397/peap-ias-50.gif

  10. Choisissez Certificates dans la liste des jeux d'outil, puis cliquez sur Add.

    /image/gif/paws/100397/peap-ias-51.gif

  11. Choisissez Computer account, puis cliquez sur Next.

    /image/gif/paws/100397/peap-ias-52.gif

  12. Choisissez Local computer, puis cliquez sur Finish.

    /image/gif/paws/100397/peap-ias-53.gif

  13. Cliquez sur Close, puis cliquez sur OK.

  14. Élargissez Certificates (Local Computer) ; cliquez à droite sur répertoire personnel ; choisissez All tasks, puis Request New Certificate.

    peap-ias-54.gif

  15. Cliquez sur Next dans Welcome to the Certificate Request Wizard.

    /image/gif/paws/100397/peap-ias-55.gif

  16. Choisissez le modèle de certificat du contrôleur de domaine (si vous demandez un certificat d'ordinateur sur un serveur autre que DC, choisissez un modèle de certificat d'ordinateur), puis cliquez sur Next.

    peap-ias-56.gif

  17. Saisissez un nom et une description pour le certificat.

    /image/gif/paws/100397/peap-ias-57.gif

  18. Cliquez sur Finish pour terminer avec l'assistant de requête de certification.

    /image/gif/paws/100397/peap-ias-58.gif

    peap-ias-59.gif

Configurez le service d'authentification Internet pour l'authentification PEAP-MS-CHAP v2

Maintenant que vous avez installé et que vous avez demandé un certificat pour IAS, configurez IAS pour l'authentification.

Procédez comme suit :

  1. Cliquez sur Start > Programs > Administrative Tools, puis cliquez sur le jeu d'outils Internet Authentication Service.

  2. Cliquez à droite sur Internet Authentication Service (IAS), puis cliquez sur Register Service in Active Directory.

    /image/gif/paws/100397/peap-ias-60.gif

  3. La boîte de dialogue Register Internet Authentication Service in Active Directory apparaît ; Cliquez sur OK. Ceci permet à IAS d'authentifier des utilisateurs dans Active Directory.

    peap-ias-61.gif

  4. Cliquez sur OK dans la boîte de dialogue suivante.

    /image/gif/paws/100397/peap-ias-62.gif

  5. Ajoutez le contrôleur LAN sans fil en tant que client AAA sur le serveur MS IAS.

  6. Cliquez à droite sur RADIUS Clients, puis choisissez New RADIUS Client.

    /image/gif/paws/100397/peap-ias-63.gif

  7. Introduisez le nom du client (WLC, dans ce cas), puis saisissez l'adresse IP du WLC. Cliquez sur Next (Suivant).

    peap-ias-64.gif

  8. Sur la page suivante, sous Client-Vendor, choisissez RADIUS Standard ; entrez le secret partagé ; puis cliquez sur Finish.

  9. Notez que le WLC est ajouté en tant que client AAA sur IAS.

    /image/gif/paws/100397/peap-ias-65.gif

  10. Créez une stratégie d'accès à distance pour les clients.

  11. À cette fin, cliquez à droite sur Remote Access Policies, puis choisissez New Remote Access Policy.

    /image/gif/paws/100397/peap-ias-66.gif

  12. Saisissez un nom pour la stratégie d'accès à distance. Dans cet exemple, utilisez le nom PEAP. Cliquez ensuite sur Next.

    /image/gif/paws/100397/peap-ias-67.gif

  13. Choisissez les attributs de la politique en fonction de vos nécessités. Dans cet exemple, choisissez Wireless.

    peap-ias-68.gif

  14. Sur la page suivante, choisissez User pour appliquer cette stratégie d'accès à distance à la liste des utilisateurs.

    peap-ias-69.gif

  15. Sous les méthodes d'authentication, choisissez Protected EAP (PEAP), puis cliquez sur Configure.

    /image/gif/paws/100397/peap-ias-70.gif

  16. Sur la page Protected EAP Properties , choisissez le certificat approprié du menu déroulant des certificats émis, puis cliquez sur OK.

    /image/gif/paws/100397/peap-ias-71.gif

  17. Vérifiez les détails de la stratégie d'accès à distance, puis cliquez sur Finish.

    /image/gif/paws/100397/peap-ias-72.gif

  18. La stratégie d'accès à distance a été ajoutée à la liste.

    /image/gif/paws/100397/peap-ias-73.gif

  19. Cliquez à droite sur la stratégie, puis cliquez Properties. Sélectionnez « Grant remote access permission » sous « If a connection request matches the specified conditions ».

    /image/gif/paws/100397/peap-ias-74.gif

Ajoutez les utilisateurs à l'Active Directory

Dans cette configuration, la base de données de l'utilisateur est mise à jour dans l'Active Directory.

Afin d'ajouter des utilisateurs à la base de données d'Active Directory, suivez ces étapes :

  1. Dans l'arborescence de la console d'utilisateurs et d'ordinateurs d'Active Directory, cliquez à droite sur Users ; cliquez sur New ; puis cliquez alors sur User.

    /image/gif/paws/100397/peap-ias-75.gif

  2. Dans le nouvel objet - boîte de dialogue de l'utilisateur, introduisez le nom de l'utilisateur sans fil. Cet exemple utilise le nom WirelessUser dans le premier champ d'identification et WirelessUser dans le champ d'identification de connexion d'utilisateur. Cliquez sur Next (Suivant).

    peap-ias-76.gif

  3. Dans le nouvel objet - boîte de dialogue d'utilisateur, saisissez un mot de passe de votre choix dans le champ mot de passe, puis confirmez les champs du mot de passe. Effacez la case à cocher User must change password at next logon, puis cliquez sur Next.

    /image/gif/paws/100397/peap-ias-77.gif

  4. Dans le nouvel objet - boîte de dialogue d'utilisateur, cliquez sur Finish.

    /image/gif/paws/100397/peap-ias-78.gif

  5. Répétez les étapes 2 à 4 afin de créer des comptes d'utilisateur supplémentaires.

Permettez l'accès sans fil aux utilisateurs

Procédez comme suit :

  1. Dans l'arborescence de la console d'utilisateurs et d'ordinateurs d'Active Directory, cliquez à droite sur le répertoire Users ; cliquez à droite sur WirelessUser ; cliquez sur Properties ; puis allez sur Dial-in tab.

  2. Sélectionnez Allow access, puis cliquez sur OK.

    /image/gif/paws/100397/peap-ias-79.gif

Configurez le contrôleur LAN sans fil et les AP légers

Configurez maintenant les périphériques sans fil pour cette configuration. Ceci inclut la configuration des contrôleurs LAN sans fil, des AP légers et des clients sans fil.

Configurez le WLC pour l'authentification RADIUS par le serveur RADIUS de MS IAS

Configurez d'abord le WLC pour utiliser MS IAS en tant que serveur d'authentification. WLC doit être configuré afin de transférer les identifiants de l'utilisateur à un serveur RADIUS externe. Le serveur RADIUS externe valide alors les identifiants de l'utilisateur et permet d'accéder aux clients sans fil. À cette fin, ajoutez le serveur MS IAS en tant que serveur RADIUS dans la page Security > RADIUS Authentication.

Procédez comme suit :

  1. Sélectionnez Security et RADIUS Authentication depuis la GUI du contrôleur pour afficher la page des serveurs d'authentification RADIUS. Cliquez alors sur New afin de définir un serveur RADIUS.

    /image/gif/paws/100397/peap-ias-80.gif

  2. Définissez les paramètres du serveur RADIUS sur la page RADIUS Authentication Servers > New . Ces paramètres incluent l'adresse IP du serveur RADIUS, secret partagé, numéro de port et état du serveur. Les cases à cocher d'utilisateur du réseau et de gestion déterminent si l'authentification basée sur RADIUS s'applique pour la gestion et les utilisateurs du réseau. Cet exemple utilise MS IAS en tant que serveur RADIUS avec l'adresse IP 10.77.244.198.

    /image/gif/paws/100397/peap-ias-81.gif

  3. Cliquez sur Apply.

  4. Le serveur MS IAS a été ajouté au WLC en tant que serveur RADIUS et peut être utilisé pour authentifier des clients sans fil.

Configurez un WLAN pour les clients de routage

Configurez le SSID (WLAN) auquel les clients sans fil se connectent. Dans cet exemple, créez le SSID, puis nommez-le PEAP.

Définissez l'authentification de la couche 2 comme WPA2 de sorte que les clients exécutent l'authentification basée par EAP (PEAP-MSCHAPv2 dans ce cas) et utilise AES comme mécanisme de cryptage. Laissez toutes autres valeurs à leurs paramètres par défaut.

Remarque: Ce document relie le WLAN aux interfaces de gestion. Quand vous avez plusieurs VLAN dans votre réseau, vous pouvez créer un VLAN séparé et le relier au SSID. Pour les informations sur la façon de configurer des VLAN sur les WLC, reportez-vous aux VLAN sur l'exemple de configuration de contrôleurs LAN sans fil.

Afin de configurer un WLAN sur le WLC, suivez ces étapes :

  1. Cliquez sur les WLAN de la GUI du contrôleur afin d'afficher la page des WLAN. Cette page énumère les WLAN qui existent sur le contrôleur.

  2. Sélectionnez New afin de créer un nouveau WLAN. Saisissez l'ID WLAN et le SSID WLAN pour le WLAN, puis cliquez sur Apply.

    /image/gif/paws/100397/peap-ias-82.gif

  3. Une fois que vous avez créé un nouveau WLAN, la page WLAN > Edit du nouveau WLAN apparaît. Sur cette page, vous pouvez définir les divers paramètres spécifiques à ce WLAN qui incluent des stratégies générales, des serveurs RADIUS, des stratégies de sécurisation et des paramètres 802.1x.

    peap-ias-90.gif

  4. Vérifiez l'état admin sous les stratégies générales afin d'activer le WLAN. Si vous voulez qu'AP diffuse le SSID dans ses trames balises, vérifiez le SSID de diffusion.

  5. Sous Layer 2 Security, sélectionnez WPA1+WPA2. Ceci active le WPA sur le WLAN. Déroulez la page et choisissez le stratégie WPA. Cet exemple utilise le WPA2 et le cryptage AES. Choisissez le serveur RADIUS approprié du menu déroulant sous serveurs RADIUS. Dans cet exemple, utilisez 10.77.244.198 (adresse IP du serveur MS IAS). Les autres paramètres peuvent être modifiés sur les conditions requises du réseau WLAN.

    /image/gif/paws/100397/peap-ias-91.gif

  6. Cliquez sur Apply.

    peap-ias-92.gif

Configurez les clients sans fil

Configurez les clients sans fil pour l'authentification PEAP-MS CHAPv2

Cet exemple fournit des informations sur la façon de configurer le client sans fil avec l'utilitaire de bureau Cisco Aironet. Avant de configurer l'adaptateur client, assurez-vous que la dernière version du microprogramme et l'utilitaire sont utilisés. Recherchez la dernière version du microprogramme et les utilitaires dans la page de téléchargements sans fil sur Cisco.com.

Afin de configurer l'adaptateur du client sans fil de Cisco Aironet 802.11 a/b/g avec l'ADU, suivez ces étapes :

  1. Ouvrez l'utilitaire de bureau d'Aironet.

  2. Cliquez sur Profile Management, puis cliquez sur New pour définir un profil.

  3. Sous l'onglet général, saisissez le nom du profil et le SSID. Dans cet exemple, utilisez le SSID que vous avez configuré sur le WLC (PEAP).

    /image/gif/paws/100397/peap-ias-85.gif

  4. Sélectionnez l'onglet Security ; sélectionnez WPA/WPA2/CCKM ; sous l'EAP WPA/WPA2/CCKM, sélectionnez PEAP [EAP-MSCHAPv2], puis cliquez sur Configure.

    peap-ias-93.gif

  5. Sélectionnez Validate Server Certificate, puis choisissez Wireless-CA dans le menu déroulant Trusted Root Certificate Authorities.

    /image/gif/paws/100397/peap-ias-88.gif

  6. Cliquez sur OK, puis activez le profil.

    Remarque: Lorsque vous utilisez le protocole d'authentification protégé EAP-Microsoft Challenge Handshake version 2 (PEAP-MSCHAPv2), avec Microsoft XP SP2 et que la carte sans fil est gérée par la configuration automatique sans fil de Microsoft (WZC), vous devez appliquer le correctif logiciel de Microsoft KB885453 . Ceci évite plusieurs problèmes d'authentification liés à PEAP Fast Resume.

Vérifiez et dépannez

Afin de vérifier si la configuration fonctionne comme prévu, activez le profil PEAP-MSCHAPv2 sur le client sans fil Client1.

/image/gif/paws/100397/peap-ias-94.gif

Une fois que le profil PEAP-MSCHAPv2 est activé sur l'ADU, le client exécute l'authentification ouverte de 802.11, puis exécute l'authentification PEAP-MSCHAPv2. Voici un exemple d'authentification PEAP-MSCHAPv2 réussie.

Utilisez les commandes de débogage pour comprendre l'ordre des opérations qui se produisent.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Ces commandes de débogage sur le contrôleur LAN sans fil sont utiles.

  • debug dot1x events enable - Afin de configurer le débogage des événements de 802.1x

  • debug aaa events enable - Afin de configurer le débogage des événements AAA

  • debug mac addr <mac address> - Afin de configurer le débogage MAC, utilisez la commande de débogage mac

  • debug dhcp message enable - Afin de configurer le débogage des messages d'erreur DHCP

Ce sont les exemples de résultat de la commande debug dot1x events enable et de la commande debug client <mac address>.

debug dot1x events enable:

Tue Dec 18 06:58:45 2007: 00:40:96:ac:e6:57 Received EAPOL START from 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:45 2007: 00:40:96:ac:e6:57 Sending EAP-Request/Identity to 
   mobile 00:40:96:ac:e6:57 (EAP Id 2)
Tue Dec 18 06:58:45 2007: 00:40:96:ac:e6:57 Received Identity Response (count=2) from 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 3)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 3, EAP Type 25)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 4)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 4, EAP Type 25)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 5)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 5, EAP Type 25)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 6)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 6, EAP Type 25)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 7)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 7, EAP Type 25)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 8)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 8, EAP Type 25)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 9)
Tue Dec 18 06:58:51 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 9, EAP Type 25)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 10)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 10, EAP Type 25)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 11)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 11, EAP Type 25)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Processing Access-Challenge for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending EAP Request from AAA to 
   mobile 00:40:96:ac:e6:57 (EAP Id 12)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Received EAP Response from 
   mobile 00:40:96:ac:e6:57 (EAP Id 12, EAP Type 25)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Processing Access-Accept for 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Creating a new PMK Cache 
   Entry for station 00:40:96:ac:e6:57 (RSN 0)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending EAP-Success to 
   mobile 00:40:96:ac:e6:57 (EAP Id 13)
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending default RC4 key to 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Sending Key-Mapping RC4 key to 
   mobile 00:40:96:ac:e6:57
Tue Dec 18 06:58:52 2007: 00:40:96:ac:e6:57 Received Auth Success while in 
   Authenticating state for mobile 00:40:96:ac:e6:57

debug mac addr <MAC Address>:

Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Association received from 
   mobile 00:40:96:ac:e6:57 on AP 00:0b:85:51:5a:e0
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 STA: 00:40:96:ac:e6:57 - 
   rates (8): 12 18 24 36 48 72 96 108 0 0 0 0 0 0 0 0
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN (20) 
   Change state to START (0)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 START (0) 
   Initializing policy
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 START (0) 
   Change state to AUTHCHECK (2)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 AUTHCHECK (2) 
   Change state to 8021X_REQD (3)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 8021X_REQD (3) 
   Plumbed mobile LWAPP rule on AP 00:0b:85:51:5a:e0
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Changing state for 
   mobile 00:40:96:ac:e6:57 on AP 00:0b:85:51:5a:e0 from Associated to Associated
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Stopping deletion of 
   Mobile Station: 00:40:96:ac:e6:57 (callerId: 48)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Sending Assoc Response to 
   station 00:40:96:ac:e6:57 on BSSID 00:0b:85:51:5a:e0 (status 0)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Changing state for 
   mobile 00:40:96:ac:e6:57 on AP 00:0b:85:51:5a:e0 from Associated to Associated
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 10.77.244.218 Removed NPU entry.
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 dot1x - moving 
   mobile 00:40:96:ac:e6:57 into Connecting state
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Sending EAP-
   Request/Identity to mobile 00:40:96:ac:e6:57 (EAP Id 1)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 Received EAPOL START from 
   mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 EAP State update from 
   Connecting to Authenticating for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 dot1x - 
   moving mobile 00:40:96:ac:e6:57 into Authenticating state
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Processing Access-Challenge for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Req state (id=3) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 3)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 3, EAP Type 25)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Processing Access-Challenge for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Req state (id=4) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 4)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 4, EAP Type 25)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Processing Access-Challenge for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Req state (id=5) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 5)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 5, EAP Type 25)
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Processing Access-Challenge for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Req state (id=6) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:49 2007: 00:40:96:ac:e6:57 
   Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 6)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 9, EAP Type 25)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Processing Access-Challenge for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Req state (id=10) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 10)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 10, EAP Type 25)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Processing Access-Challenge for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Req state (id=11) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Sending EAP Request from AAA to mobile 00:40:96:ac:e6:57 (EAP Id 11)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Received EAP Response from mobile 00:40:96:ac:e6:57 (EAP Id 11, EAP Type 25)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Entering Backend Auth Response state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Processing Access-Accept for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Creating a new PMK Cache Entry for station 00:40:96:ac:e6:57 (RSN 0)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Sending EAP-Success to mobile 00:40:96:ac:e6:57 (EAP Id 12)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Sending default RC4 key to mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 
   Sending Key-Mapping RC4 key to mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 
   8021X_REQD (3) Change state to L2AUTHCOMPLETE (4)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 
   L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 00:0b:85:51:5a:e0
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 
   L2AUTHCOMPLETE (4) Change state to RUN (20)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN 
   (20) Reached PLUMBFASTPATH: from line 4041
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN 
   (20) Replacing Fast Path rule
  type = Airespace AP Client
  on AP 00:0b:85:51:5a:e0, slot 0, interface = 2
  ACL Id = 255, Jumbo Frames = NO, 802.1P = 0, DSCP = 0, TokenID = 5006
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN (20) 
  Card = 0 (slot 0), InHandle = 0x00000000, 
   OutHandle = 0x00000000, npuCryptoFlag = 0x0000
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN 
   (20) Successfully plumbed mobile rule (ACL ID 255)
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 10.77.244.218 RUN 
   (20) Reached RETURN: from line 4041
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Entering Backend 
   Auth Success state (id=12) for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 Received Auth Success 
   while in Authenticating state for mobile 00:40:96:ac:e6:57
Wed Dec 19 02:31:56 2007: 00:40:96:ac:e6:57 dot1x - 
   moving mobile 00:40:96:ac:e6:57 into Authenticated state

Remarque: Si vous utilisez le demandeur de Microsoft pour authentifier avec un Cisco Secure ACS pour l'authentification PEAP, le client peut ne pas authentifier avec succès. Parfois la connexion initiale peut authentifier avec succès, mais les tentatives ultérieures d'authentification de connexion rapide ne se connectent pas avec succès. Il s'agit d'un problème identifié. Les détails de ce problème et du respectif correctif sont disponibles ici.leavingcisco.com

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 100397