Sans fil : Contrôleurs de réseau local sans fil de la gamme Cisco 4400

Exemple de configuration d'authentification EAP locale sur le contrôleur de réseau local sans fil avec un serveur EAP-FAST et LDAP

16 janvier 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (20 décembre 2015) | Commentaires


Contenu


Introduction

Ce document explique comment configurer le Protocole EAP (Extensible Authentication Protocol) - authentification EAP locale de Flexible Authentication via Secure Tunneling (JEÛNEZ) sur un contrôleur LAN Sans fil (WLC). Ce document explique également comment configurer le serveur de protocole d'accès aux annuaires allégés (LDAP) comme base de données principale pour que l'EAP local récupère les identifiants utilisateurs et pour authentifier l'utilisateur.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Gamme Cisco 4400 WLC qui exécute les micrologiciels 4.2

  • Point d'accès léger (LAP) de gamme de Cisco Aironet 1232AG

  • Serveur de Microsoft Windows 2003 configuré comme contrôleur de domaine, serveur de serveur LDAP aussi bien que d'autorité de certification.

  • Adaptateur de client du 802.11 a/b/g de Cisco Aironet qui exécute la version de microprogramme 4.2

  • Cisco Aironet Desktop Utility (ADU) ce exécute la version 4.2 de micrologiciels

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

L'authentification EAP locale sur les contrôleurs LAN Sans fil a été introduite avec la version Sans fil 4.1.171.0 de contrôleur LAN.

L'EAP local est une méthode d'authentification qui permet des utilisateurs et des clients sans fil à authentifier localement sur le contrôleur. Cette méthode est conçue pour une utilisation dans les bureaux distants qui veulent conserver la connectivité avec les clients sans fil lorsque le système principal est perturbé ou que le serveur d'authentification externe est en panne. Quand vous activez l'EAP local, le contrôleur sert de serveur d'authentification et de base de données locale des utilisateurs, ainsi il enlève la dépendance à l'égard un serveur d'authentification externe. L'authentification EAP locale récupère les identifiants de l'utilisateur à partir de la base de données des utilisateurs locaux ou de la base de données LDAP principale pour authentifier les utilisateurs. Les supports locaux d'EAP authentification SAUTENT, d'EAP-FAST, d'EAP-TLS, P EAPv0/MSCHAPv2, et PEAPv1/GTC entre le contrôleur et les clients sans fil.

L'EAP local peut utiliser un serveur LDAP en tant que sa base de données principale pour récupérer des identifiants utilisateurs.

Une base de données principale LDAP permet au contrôleur de demander à un serveur LDAP les informations d'identification (nom d'utilisateur et mot de passe) d'un utilisateur particulier. Ces informations d'identification sont ensuite utilisées pour authentifier l'utilisateur.

Les supports de base de données de backend de LDAP ces méthodes locales d'EAP :

  • EAP-FAST/GTC

  • EAP-TLS

  • PEAPv1/GTC.

Le LEAP, les EAP-FAST/MSCHAPv2, et les PEAPv0/MSCHAPv2 sont également pris en charge, mais seulement si le serveur LDAP est installé pour renvoyer un mot de passe de libellé. Par exemple, la Microsoft Active Directory n'est pas prise en charge parce qu'elle ne renvoie pas un mot de passe de libellé. Si le serveur LDAP ne peut pas être configuré pour renvoyer un mot de passe de libellé, le LEAP, les EAP-FAST/MSCHAPv2, et les PEAPv0/MSCHAPv2 ne sont pas pris en charge.

Remarque: Si des serveurs de RAYON sont configurés sur le contrôleur, les essais de contrôleur pour authentifier les clients sans fil à l'aide des serveurs de RAYON d'abord. L'authentification EAP locale est utilisée uniquement si aucun serveur RADIUS n'est détecté, soit parce que les serveurs RADIUS ont expiré, soit parce qu'aucun serveur RADIUS n'a été configuré. Si quatre serveurs de RAYON sont configurés, les tentatives de contrôleur d'authentifier le client avec le premier serveur de RAYON, puis le deuxième serveur de RAYON, et puis EAP local. Si les tentatives de client d'authentifier à nouveau alors manuellement, le contrôleur juge le troisième serveur de RAYON, puis le quatrième serveur de RAYON, et puis EAP local.

Cet exemple utilise l'EAP-FAST comme méthode locale d'EAP sur le WLC, qui consécutivement est configuré pour questionner la base de données de backend de LDAP pour des identifiants utilisateurs d'un client sans fil.

Configurez

Ce document utilise l'EAP-FAST avec des Certificats sur le client et le côté serveur. Pour ceci, l'installation utilise le serveur de Microsoft Certificate Authority (CA) pour générer les Certificats de client et serveur.

Les identifiants utilisateurs sont enregistrés dans le serveur LDAP de sorte que sur la validation réussie de certificat, le contrôleur questionne le serveur LDAP afin de récupérer les identifiants utilisateurs et authentifie le client sans fil.

Ce document suppose que ces configurations sont déjà en place :

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/100590/ldap-eapfast-config1.gif

Configurations

Terminez-vous ces étapes afin d'implémenter cette configuration :

Configurez l'EAP-FAST en tant que méthode d'authentification EAP locale sur le WLC

Comme cité précédemment, ce document utilise l'EAP-FAST avec des Certificats sur le client et le côté serveur comme méthode d'authentification EAP locale. La première étape est de télécharger et installer les Certificats suivants sur le serveur (WLC, dans ce cas) et le client.

Le WLC et le client chaque besoin ces Certificats d'être téléchargé du serveur CA :

  • Certificat de périphérique (un pour le WLC et un pour le client)

  • Certificat racine de l'Infrastructure à clés publiques (PKI) pour le WLC, et certificat de CA pour le client

Générez un certificat de périphérique pour le WLC

Exécutez ces étapes afin de générer un certificat de périphérique pour le WLC du serveur CA. Ce certificat de périphérique est utilisé par le WLC pour authentifier au client.

  1. Allez à http:// < à l'adresse IP de CA server>/certsrv de votre PC qui a une connexion réseau au serveur CA. Procédure de connexion en tant qu'administrateur du serveur CA.

    ldap-eapfast-config2.gif

  2. Sélectionnez la demande un certificat.

    ldap-eapfast-config3.gif

  3. Dans la demande une page de certificat, cliquent sur la demande avancée de certificat.

    /image/gif/paws/100590/ldap-eapfast-config4.gif

  4. Dans la page avancée de demande de certificat, le clic créent et soumettent une demande à ce CA. Ceci vous porte à la forme avancée de demande de certificat.

    ldap-eapfast-config5.gif

  5. Sous la forme avancée de demande de certificat, choisissez le serveur Web comme modèle de certificat. Puis, spécifiez un nom à ce certificat de périphérique.

    Ce les exemples utilise le nom de certificat comme ciscowlc123. Complétez l'autre information d'identification selon votre condition requise.

  6. Sous la section Options principale, sélectionnez les clés de marque en tant qu'option exportable. Parfois, cette option particulière sera greyed et ne peut pas être activée ou désactivée si vous choisissez un modèle de web server. En pareil cas, cliquez sur de retour du menu de navigateur pour mettre un dos de page et pour le revenir de nouveau à cette page. Cette fois la marque introduit pendant que l'option exportable devrait être disponible.

    ldap-eapfast-config6.gif

  7. Configurez tous les autres champs nécessaires et cliquez sur Submit.

    ldap-eapfast-config7.gif

  8. Clic oui dans la prochaine fenêtre afin de permettre le processus de demande de certificat.

    ldap-eapfast-config8.gif

  9. La fenêtre émise par certificat apparaît qui indique un processus réussi de demande de certificat. L'étape suivante est d'installer le certificat délivré sur le stock de certificat de ce PC. Le clic installent ce certificat.

    ldap-eapfast-config9.gif

  10. Le nouveau certificat est installé avec succès sur le PC d'où la demande est générée au serveur CA.

    ldap-eapfast-config10.gif

  11. L'étape suivante est d'exporter ce certificat de la mémoire de certificat au disque dur comme fichier. Ce fichier du certificat plus tard sera utilisé pour télécharger le certificat au WLC.

    Afin d'exporter le certificat de la mémoire de certificat, ouvrez le navigateur Internet Explorer, puis cliquez sur les outils > les options Internet.

    /image/gif/paws/100590/ldap-eapfast-config11.gif

  12. Le contenu > les Certificats de clic afin d'aller au certificat enregistre où les Certificats sont installés par défaut.

    /image/gif/paws/100590/ldap-eapfast-config12.gif

  13. Les Certificats de périphérique sont habituellement installés sous la liste personnelle de certificat. Ici, vous devriez voir le certificat nouvellement installé. Sélectionnez le certificat et cliquez sur l'exportation.

    ldap-eapfast-config13.gif

  14. Cliquez sur Next dans les fenêtres suivantes. Choisissez l'oui, exportez l'option de clé privée dans la fenêtre d'assistant d'exportation de certificat. Cliquez sur Next (Suivant).

    ldap-eapfast-config14.gif

  15. Choisissez le format de fichier d'exportation comme .PFX et choisissez l'option forte de protection d'enable. Cliquez sur Next (Suivant).

    ldap-eapfast-config15.gif

  16. Dans la fenêtre de mot de passe, entrez un mot de passe. Cet exemple utilise Cisco comme mot de passe.

    ldap-eapfast-config16.gif

  17. Sauvegardez le fichier du certificat (fichier .PFX) à votre disque dur. Cliquez sur Next et terminez le processus d'exportation avec succès.

    /image/gif/paws/100590/ldap-eapfast-config17.gif

    ldap-eapfast-config18.gif

Télécharger le certificat de périphérique sur le WLC

Maintenant que le certificat de périphérique WLC est tout disponible qu'un fichier .PFX, l'étape suivante est de télécharger le fichier au contrôleur. Les Cisco WLC reçoivent des Certificats seulement dans le format .PEM. Par conséquent, vous devez convertir d'abord le fichier du format .PFX ou PKCS12 en fichier PEM utilisant le programme d'openSSL.

Convertissez le certificat dans PFX en format PEM utilisant le programme d'openSSL

Vous pouvez copier le certificat sur n'importe quel PC où vous faites installer l'openSSL pour le convertir en format PEM. Sélectionnez ces commandes sur le fichier Openssl.exe dans le répertoire de coffre du programme d'openSSL :

Remarque: Vous pouvez télécharger l'openSSL du site Webleavingcisco.com d'OpenSSL.

openssl>pkcs12 -in ciscowlc123.pfx  -out ciscowlc123.pem


!--- ciscowlc123 is the name used in this example for the exported file. 
!--- You can specify any name to your certificate file.
 
Enter Import Password : cisco

!--- This is the same password that is mentioned in step 16 of the previous section.

 MAC verified Ok
 Enter PEM Pass phrase   :  cisco

!--- Specify any passphrase here. This example uses the PEM passphrase as cisco.

 Verifying - PEM pass phrase : cisco

Le fichier du certificat est converti en format PEM. L'étape suivante est de télécharger le certificat de périphérique de formatage PEM au WLC.

Remarque: Avant cela, vous avez besoin d'un logiciel de serveur TFTP sur votre PC d'où le fichier PEM va être téléchargé. Ce PC devrait avoir la Connectivité au WLC. Le serveur TFTP devrait faire spécifier son courant et répertoire de base avec l'emplacement où le fichier PEM est enregistré.

Téléchargez le certificat converti de périphérique de formatage PEM au WLC

Cet exemple explique l'opération de téléchargement par le CLI du WLC.

  1. Procédure de connexion au contrôleur CLI.

  2. Sélectionnez la commande d'eapdevcert de transfer download datatype.

  3. Sélectionnez la commande de 10.77.244.196 de transfer download serverip.

    10.77.244.196 est l'adresse IP du serveur TFTP.

  4. Sélectionnez la commande du transfer download filename ciscowlc.pem.

    ciscowlc123.pem est le nom du fichier utilisé dans cet exemple.

  5. Sélectionnez la commande de transfer download certpassword de placer le mot de passe pour le certificat.

  6. Sélectionnez la commande de transfer download start de visualiser les configurations mises à jour.

    Puis, réponse y une fois incité à confirmer les configurations actuelles et à commencer l'opération de téléchargement.

    Cet exemple affiche la sortie de commande de téléchargement :

    (Cisco Controller) >transfer download start
    
    Mode............................................. TFTP
    Data Type........................................ Vendor Dev Cert
    TFTP Server IP................................... 10.77.244.196
    TFTP Packet Timeout.............................. 6
    TFTP Max Retries................................. 10
    TFTP Path........................................
    TFTP Filename.................................... ciscowlc.pem
    
    This may take some time.
    Are you sure you want to start? (y/N) y
    TFTP EAP CA cert transfer starting.
    Certificate installed.
    Reboot the switch to use the new certificate.
    Enter the reset system command to reboot the controller. 
         The controller is now loaded with the device certificate.
  7. Sélectionnez la commande de système de remise de redémarrer le contrôleur. Le contrôleur est maintenant chargé avec le certificat de périphérique.

Installez le certificat racine du PKI dans le WLC

Maintenant que le certificat de périphérique est installé dans le WLC, l'étape suivante est d'installer le certificat racine du PKI sur le WLC du serveur CA. Effectuez les étapes suivantes :

  1. Allez à http:// < à l'adresse IP de CA server>/certsrv de votre PC qui a une connexion réseau au serveur CA. Procédure de connexion en tant qu'administrateur du serveur CA.

    ldap-eapfast-config19.gif

  2. Cliquez sur Download un certificat de CA, une chaîne de certificat, ou un CRL.

    /image/gif/paws/100590/ldap-eapfast-config20.gif

  3. Dans la page résultante, vous pouvez voir les Certificats CA de courant disponibles sur le serveur CA sous la case de certificat de CA. Choisissez DER comme méthode de codage et cliquez sur Download le certificat de CA.

    ldap-eapfast-config21.gif

  4. Sauvegardez le certificat comme fichier de .cer. Cet exemple utilise certnew.cer comme nom du fichier.

  5. L'étape suivante est de convertir le fichier de .cer en format PEM et de le télécharger au contrôleur. Afin d'exécuter ces étapes, répétez la même procédure expliquée dans le téléchargement le certificat de périphérique à la section WLC avec ces modifications :

    • L'openSSL « - dans » et « - » fichiers sont certnew.cer et certnew.pem.

      En outre, aucun mot de passe PEM ou mot de passe d'importation ne sont exigés dans ce processus.

    • En outre, la commande d'openSSL de convertir le fichier de .cer en fichier .pem est :

      x509 - dans certnew.cer - informent DER - certnew.pem - PEM d'outform

    • Dans l'étape 2 du téléchargement le certificat converti de périphérique de formatage PEM à la section WLC, la commande de télécharger le certificat au WLC est :

      Eapcacert de datatype de téléchargement de >transfer (de contrôleur de Cisco)

    • Le fichier à télécharger au WLC est certnew.pem.

Vous pouvez vérifier si les Certificats sont installés sur le WLC du GUI de contrôleur comme suit :

  • Du GUI WLC, cliquez sur Security. Dans la page de Sécurité, cliquez sur avancé > des CERT d'IPSec des tâches qui apparaissent du côté gauche. Certificat de CA de clic afin de visualiser le certificat de CA installé. Voici l'exemple :

    ldap-eapfast-config22.gif

  • Afin de vérifier si le certificat de périphérique est installé sur le WLC, du GUI WLC, cliquez sur Security. Dans la page de Sécurité, cliquez sur avancé > des CERT d'IPSec des tâches qui apparaissent du côté gauche. Certificat d'ID de clic afin de visualiser le certificat de périphérique installé. Voici l'exemple :

    ldap-eapfast-config23.gif

Générez un certificat de périphérique pour le client

Maintenant que le certificat de périphérique et le certificat de CA sont installés sur le WLC, l'étape suivante est de générer ces Certificats pour le client.

Exécutez ces étapes afin de générer le certificat de périphérique pour le client. Ce certificat sera utilisé par le client pour authentifier au WLC. Ce document explique les étapes impliquées en générant des Certificats pour le client de professionnel de Windows XP.

  1. Allez à http:// < à l'adresse IP de CA server>/certsrv du client qui exige du certificat pour être installé. Procédure de connexion comme nom de domaine \ nom d'utilisateur au serveur CA. Le nom d'utilisateur devrait être le nom d'utilisateur qui utilise cet ordinateur de XP, et l'utilisateur devrait déjà être configuré en tant qu'élément du même domaine que le serveur CA.

    ldap-eapfast-config24.gif

  2. Sélectionnez la demande un certificat.

    ldap-eapfast-config25.gif

  3. Dans la demande une page de certificat, cliquent sur la demande avancée de certificat.

    /image/gif/paws/100590/ldap-eapfast-config26.gif

  4. Dans la page avancée de demande de certificat, le clic créent et soumettent une demande à ce CA. Ceci vous porte à la forme avancée de demande de certificat.

    ldap-eapfast-config27.gif

  5. Sous la forme avancée de demande de certificat, choisissez l'utilisateur du menu déroulant de modèle de certificat.

    Sous la clé les options sectionnent, choisissent ces paramètres :

    Entrez dans le Sizein principal le champ de taille de clé. Cet exemple utilise 1024.

    Vérifiez les clés de marque en tant qu'option exportable.

    /image/gif/paws/100590/ldap-eapfast-config28.gif

  6. Configurez tous les autres champs nécessaires et cliquez sur Submit.

    ldap-eapfast-config29.gif

  7. Le certificat du périphérique du client est maintenant généré selon la demande. Le clic installent le certificat afin d'installer le certificat sur la mémoire de certificat.

    ldap-eapfast-config30.gif

  8. Vous devriez pouvoir trouver le certificat du périphérique du client installé sous la liste personnelle de certificat sous des outils > des options Internet > le contenu > des Certificats sur le navigateur IE du client.

    /image/gif/paws/100590/ldap-eapfast-config31.gif

    Le certificat de périphérique pour le client est installé sur le client.

Générez le certificat de CA de racine pour le client

L'étape suivante est de générer le certificat de CA pour le client. Terminez-vous ces étapes du PC client :

  1. Allez à http:// < à l'adresse IP de CA server>/certsrv du client qui exige du certificat pour être installé. Procédure de connexion comme nom de domaine \ nom d'utilisateur au serveur CA. Le nom d'utilisateur devrait être le nom d'utilisateur qui utilise cet ordinateur de XP, et l'utilisateur devrait déjà être configuré en tant qu'élément du même domaine que le serveur CA.

    ldap-eapfast-config32.gif

  2. Dans la page résultante, vous pouvez voir les Certificats CA de courant disponibles sur le serveur CA sous la case de certificat de CA. Choisissez la base 64 comme méthode de codage. Puis, cliquez sur Download le certificat de CA et sauvegardez le fichier au PC du client comme fichier de .cer. Cet exemple utilise rootca.cer comme nom du fichier.

    /image/gif/paws/100590/ldap-eapfast-config33.gif

  3. Ensuite, installez le certificat de CA enregistré dans le format de .cer sur la mémoire du certificat de client. Le double clic sur le fichier de rootca.cer et le clic installent le certificat.

    ldap-eapfast-config34.gif

  4. Cliquez sur Next afin d'importer le certificat à partir du disque dur du client à la mémoire de certificat.

    ldap-eapfast-config35.gif

  5. Choisissez automatiquement choisi la mémoire de certificat basée sur le type de certificat et cliquez sur Next.

    ldap-eapfast-config36.gif

  6. Cliquez sur Finish afin de terminer le processus d'importation.

    /image/gif/paws/100590/ldap-eapfast-config37.gif

  7. Par défaut, des Certificats CA sont installés sous les Autorités de certification racine approuvée les répertorient sur le navigateur IE du client sous des outils > des options Internet > le contenu > des Certificats. Voici l'exemple :

    /image/gif/paws/100590/ldap-eapfast-config38.gif

Tous les Certificats exigés sont installés sur le WLC aussi bien que le client pour l'authentification EAP de gens du pays d'EAP-FAST. L'étape suivante est de configurer le WLC pour l'authentification EAP locale.

Configurez l'EAP local sur le WLC

Terminez-vous ces étapes du mode GUI WLC afin de configurer l'authentification EAP locale sur le WLC :

  1. Cliquez sur Security > EAP local.

    /image/gif/paws/100590/ldap-eapfast-config39.gif

  2. Sous l'EAP local, profils de clic afin de configurer l'eap profile local.

    ldap-eapfast-config40.gif

  3. Cliquez sur New afin de créer un nouvel eap profile local.

  4. Configurez un nom pour ce profil et cliquez sur Apply. Dans cet exemple, le nom de profil est LDAP. Ceci vous porte aux eap profile locaux créés sur le WLC.

    ldap-eapfast-config41.gif

  5. Cliquez sur le profil de LDAP qui a été juste créé, qui apparaît sous le champ de nom de profil de la page locale d'eap profile. Ceci vous porte aux eap profile locaux > éditent la page.

    /image/gif/paws/100590/ldap-eapfast-config42.gif

  6. Configurez les paramètres spécifiques à ce profil sur les eap profile locaux > éditent la page.

    • Choisissez l'EAP-FAST comme méthode d'authentification EAP locale.

    • Activez les cases à côté du certificat local requis et du certificat client requis.

    • Choisissez le constructeur comme émetteur de certificat parce que ce document utilise un serveur du tiers CA.

    • Permettez à la case à côté du contrôle contre des Certificats CA afin de permettre le certificat entrant du client à valider contre les Certificats CA sur le contrôleur.

    • Si vous voulez que le nom commun (NC) dans le certificat entrant soit validé contre la NC de Certificats CA sur le contrôleur, cochez la case d'identité NC de certificat de vérifier. Le paramètre par défaut est désactivé. Afin de permettre au contrôleur pour vérifier que le certificat entrant de périphérique est encore valide et n'a pas expiré, cochez la case de validité de date de certificat de contrôle.

      Remarque: La validité de date de certificat est vérifiée contre le temps UTC de courant (GMT) qui est configuré sur le contrôleur. Le décalage de fuseau horaire est ignoré.

    Cliquez sur Apply.

    ldap-eapfast-config43.gif

  7. L'eap profile local avec l'authentification d'EAP-FAST est maintenant créé sur le WLC.

    /image/gif/paws/100590/ldap-eapfast-config44.gif

  8. L'étape suivante est de configurer des paramètres spécifiques d'EAP-FAST sur le WLC. Dans la page de Sécurité WLC, paramètres locaux d'EAP de clic > d'EAP-FAST afin de se déplacer à la page de paramètres de méthode d'EAP-FAST.

    Décochez la case anonyme de disposition parce que cet exemple explique l'EAP-FAST utilisant des Certificats. Laissez tous autres paramètres à leurs par défaut. Cliquez sur Apply.

    ldap-eapfast-config45.gif

Configurez WLC avec des coordonnées de serveur LDAP

Maintenant que le WLC est configuré avec l'eap profile local et les informations relatives, l'étape suivante est de configurer le WLC avec des coordonnées du serveur LDAP. Terminez-vous ces étapes sur le WLC :

  1. Dans la page de Sécurité du WLC, AAA choisi > LDAP du volet de tâche de côté gauche afin de se déplacer à la page de configuration de serveur LDAP. Afin d'ajouter un serveur LDAP, cliquez sur New. La page LDAP Servers > New apparaît.

    /image/gif/paws/100590/ldap-eapfast-config46.gif

  2. Dans les serveurs LDAP éditez la page, spécifient les coordonnées du serveur LDAP telles que l'adresse IP du serveur LDAP, numéro de port, état de serveur d'enable et ainsi de suite.

    • Choisissez un nombre de la liste déroulante d'index de serveur (priorité) pour spécifier la commande prioritaire de ce serveur par rapport à tous les autres serveurs LDAP configurés. Vous pouvez configurer jusqu'à dix-sept serveurs. Si le contrôleur ne peut pas atteindre le premier serveur, il essaye le second dans la liste et ainsi de suite.

    • Écrivez l'adresse IP du serveur LDAP dans le domaine d'adresse IP du serveur.

    • Introduisez le nombre du port TCP du serveur LDAP dans le domaine de numéro de port. La plage valide s'étend de 1 à 65535, et la valeur par défaut est 389.

    • Dans le champ User Base DN, entrez le nom distinctif (DN) du sous-arbre dans le serveur LDAP qui contient une liste de tous les utilisateurs. Par exemple, ou=unité organisationnelle, .ou=unité organisationnelle suivante et o=corporation.com. Si l'arborescence contenant des utilisateurs est le DN de base, entrez dans o=corporation.com ou dc=corporation, dc=com.

      Dans cet exemple, l'utilisateur se trouve sous le ldapuser de l'unité organisationnelle (OU) qui consécutivement est créé en tant qu'élément du domaine de Wireless.com.

      Le DN de base de clients devrait diriger le chemin d'accès complet où les informations utilisateur (identifiant utilisateur selon la méthode d'authentification d'EAP-FAST) se trouvent. Dans cet exemple, l'utilisateur se trouve sous le DN de base OU=ldapuser, DC=Wireless, DC=com.

      Plus de détails sur l'OU, aussi bien que configuration utilisateur, sont expliqués dans les utilisateurs de création sur la section de contrôleur de domaine de ce document.

    • Dans le champ User Attribute, entrez le nom de l'attribut dans l'enregistrement utilisateur contenant le nom d'utilisateur.

      Dans le champ User Object Type, entrez la valeur de l'attribut LDAP objectType qui identifie l'enregistrement comme utilisateur. Souvent, les enregistrements utilisateur ont plusieurs valeurs pour l'attribut objectType, certains étant propres à l'utilisateur et certains étant partagés avec d'autres types d'objet.

      Remarque:  Vous pouvez obtenir la valeur de ces deux champs de votre serveur de répertoire avec l'utilitaire de navigateur de LDAP, qui est livré en tant qu'élément de Windows 2003 outils d'assistance. Cet outil de navigateur de LDAP de Microsoft s'appelle le LDP. À l'aide de cet outil, vous pouvez connaître le DN de base de clients, l'attribut d'utilisateur, et les champs User Object Types de cet utilisateur particulier. Les informations détaillées au sujet d'employer le LDP pour connaître ces attributs spécifiques d'utilisateur sont discutées dans le LDP de utilisation pour identifier la section d'attributs d'utilisateur de ce document.

    • Choisissez à l'abri de la liste déroulante de mode de serveur si vous voulez que toutes les transactions de LDAP utilisent un tunnel sécurisé de TLS. Autrement, n'en choisissez aucun, qui est la valeur par défaut.

    • Dans le champ Server Timeout, écrivez le nombre de secondes entre les retransmissions. La plage valide s'étend de 2 à 30 secondes, et la valeur par défaut est de 2 secondes.

    • Cochez la case d'Enable Server Status pour activer ce serveur LDAP, ou décochez-la pour désactiver. Par défaut, cette option est désactivée.

    • Cliquez sur Apply pour valider les modifications.

      Voici un exemple déjà configuré avec ces informations :

    ldap-eapfast-config47.gif

    Maintenant que des détails au sujet du serveur LDAP sont configurés sur le WLC, l'étape suivante est de configurer le LDAP comme base de données de backend prioritaire de sorte que le WLC premier regarde à la base de données de LDAP pour des identifiants utilisateurs plutôt que toutes les autres bases de données.

Configurez le LDAP comme base de données de backend prioritaire

Terminez-vous ces étapes sur le WLC afin de configurer le LDAP comme base de données de backend prioritaire :

  1. Dans la page de Sécurité, EAP local > authentication priority de clic. Dans la page de commande > de gens du pays-Auth prioritaire, vous pouvez trouver deux bases de données (des gens du pays et LDAP) qui peuvent enregistrer les identifiants utilisateurs.

    Afin de faire le LDAP comme base de données prioritaire, choisir le LDAP des identifiants utilisateurs de côté gauche enferment dans une boîte et cliquent sur > bouton afin de déplacer le LDAP dans la case de commande prioritaire du côté droit.

    /image/gif/paws/100590/ldap-eapfast-config48.gif

  2. Cet exemple montre clairement que le LDAP est choisi sur la case de côté gauche et > le bouton est sélectionné. Comme résultat, le LDAP est déplacé dans la case du côté droit qui décide la priorité. La base de données de LDAP est choisie comme base de données d'authentication priority.

    Cliquez sur Apply.

    ldap-eapfast-config49.gif

    Remarque: Si le LDAP et les GENS DU PAYS apparaissent dans la case droite d'identifiants utilisateurs avec le LDAP sur le dessus et les GENS DU PAYS sur le bas, les tentatives locales d'EAP d'authentifier des clients utilisant la base de données de backend de LDAP et bascule à la base de données locale des utilisateurs si les serveurs LDAP ne sont pas accessibles. Si l'utilisateur n'est pas trouvé, la tentative d'authentification est rejetée. Si les GENS DU PAYS sont sur le dessus, des tentatives locales d'EAP d'authentifier utilisant seulement la base de données locale des utilisateurs. Il ne bascule pas à la base de données de backend de LDAP.

Configurez le WLAN sur le WLC avec l'authentification EAP locale

La dernière étape dans le WLC est de configurer un WLAN qui utilise l'EAP local en tant que sa méthode d'authentification avec le LDAP en tant que sa base de données principale. Effectuez les étapes suivantes :

  1. Du menu principal de contrôleur, clic WLAN afin de se déplacer à la page de configuration WLAN. Dans les WLAN paginez, cliquez sur New afin de créer un nouveau WLAN. Cet exemple crée un nouveau LDAP WLAN.

    Cliquez sur Apply l'étape suivante est de configurer les paramètres WLAN dans la page de WLANs > Edit.

  2. Dans le WLAN éditez la page, activent l'état de ce WLAN. Configurez tous les autres paramètres nécessaires.

    ldap-eapfast-config51.gif

  3. Cliquez sur Security afin de configurer les paramètres liés à la sécurité pour ce WLAN. Cet exemple utilise le degré de sécurité de la couche 2 comme 802.1x avec 104 bits WEP dynamique.

    Remarque: Ce document utilise le 802.1x avec le WEP dynamique comme exemple. Il est recommandé pour utiliser plus des méthodes d'authentification sécurisées, telles que WPA/WPA2.

  4. Dans la page de configuration de Sécurité WLAN, onglet de serveurs de theAAA de clic. Dans l'AAA les serveurs paginent, activent la méthode d'authentification EAP locale et choisissent le LDAP de la liste déroulante qui correspond au paramètre de nom d'eap profile. C'est l'eap profile local créé dans cet exemple.

    ldap-eapfast-config52.gif

  5. Choisissez le serveur LDAP (qui a été précédemment configuré sur le WLC) de la liste déroulante. Assurez-vous que le serveur LDAP est accessible du WLC.

    Cliquez sur Apply.

    /image/gif/paws/100590/ldap-eapfast-config53.gif

  6. Les nouveaux ldaphas WLAN configuré sur le WLC. Ce WLAN authentifie des clients avec l'authentification EAP locale (EAP-FAST dans ce cas) et questionne une base de données de backend de LDAP pour la validation de laisser-passer de client.

    /image/gif/paws/100590/ldap-eapfast-config54.gif

Configurez le serveur LDAP

Maintenant que l'EAP local est configuré sur le WLC, l'étape suivante est de configurer le serveur LDAP qui sert de base de données principale pour authentifier les clients sans fil sur la validation réussie de certificat.

La première étape en configurant le serveur LDAP est de créer une base de données utilisateur sur le serveur LDAP de sorte que le WLC puisse questionner cette base de données pour authentifier l'utilisateur.

Création des utilisateurs sur le contrôleur de domaine

Dans cet exemple, un nouveau ldapuser OU est créé et l'utilisateur user2 est créé sous cette OU. En configurant cet utilisateur pour l'accès de LDAP, le WLC peut questionner cette base de données de LDAP pour l'authentification de l'utilisateur.

Le domaine utilisé dans cet exemple est wireless.com.

Créez une base de données utilisateur sous une OU

Cette section explique comment créer une nouvelle OU dans votre domaine et créer un nouvel utilisateur sur cette OU.

  1. Dans le contrôleur de domaine, Start > Programs > Administrative tools de clic > utilisateurs de Répertoire actif et ordinateurs afin de lancer la console de gestion d'utilisateurs et d'ordinateurs de Répertoire actif.

  2. Cliquez avec le bouton droit sur votre nom de domaine (wireless.com, dans cet exemple), puis sélectionnez nouveau > unité organisationnelle du menu contextuel afin de créer une nouvelle OU.

    ldap-eapfast-config55.gif

  3. Assignez un nom à cette OU et cliquez sur OK.

    /image/gif/paws/100590/ldap-eapfast-config56.gif

Maintenant que le nouveau ldapuser OU est créé sur le serveur LDAP, l'étape suivante est de créer l'utilisateur user2 sous cette OU. Afin de réaliser ceci, terminez-vous ces étapes :

  1. Clic droit sur la nouvelle OU créée. Nouveau choisi > utilisateur des menus contextuels résultants afin de créer un nouvel utilisateur.

    /image/gif/paws/100590/ldap-eapfast-config57.gif

  2. Dans la page d'installation utilisateur, complétez les champs requis suivant les indications de cet exemple. Cet exemple a user2 comme nom de connexion d'utilisateur.

    C'est le nom d'utilisateur qui sera vérifié dans la base de données de LDAP pour authentifier le client. Cet exemple utilise l'abcd comme le prénom et le nom de famille. Cliquez sur Next (Suivant).

    ldap-eapfast-config58.gif

  3. Entrez un mot de passe et confirmez le mot de passe. Choisissez le mot de passe n'expire jamais et clique sur Next.

    ldap-eapfast-config59.gif

  4. Cliquez sur Finish (Terminer).

    Un nouvel utilisateur user2 est créé sous le ldapuser OU. Les identifiants utilisateurs sont :

    • nom d'utilisateur : user2

    • mot de passe : Laptop123

    ldap-eapfast-config60.gif

Maintenant que l'utilisateur sous une OU est créé, l'étape suivante est de configurer cet utilisateur pour l'accès de LDAP.

Configurez l'utilisateur pour le LDAP Access

Exécutez les étapes dans cette section afin de configurer un utilisateur pour l'accès de LDAP.

Caractéristique anonyme de grippage d'enable sur le serveur Windows 2003

Pour que toutes les applications de tiers accèdent à l'AD de Windows 2003 sur le LDAP, la caractéristique anonyme de grippage devrait être activée sur Windows 2003. Par défaut, on ne permet pas des exécutions anonymes de LDAP sur Windows 2003 contrôleurs de domaine.

Exécutez ces étapes afin d'activer la caractéristique anonyme de grippage :

  1. Lancez l'ADSI éditent l'outil du Start > Run > du type d'emplacement : ADSI Edit.msc. Cet outil fait partie de Windows 2003 outils d'assistance.

  2. Dans l'ADSI éditez la fenêtre, développent le domaine de racine (configuration [tsweb-lapt.Wireless.com]).

    Développez CN=Services > CN= Windows NT > service de CN=Directory. Cliquez avec le bouton droit le conteneur de service de CN=Directory et sélectionnez les propriétés du menu contextuel.

    /image/gif/paws/100590/ldap-eapfast-config61.gif

  3. Dans le CN=Directory entretenez la fenêtre de Properties, cliquez sur l'attribut de dsHeuristics sous le champ d'attribut et choisissez éditent. Dans la fenêtre d'éditeur d'attribut de chaîne de cet attribut, écrivez la valeur 0000002 et cliquez sur Apply et L'APPROUVEZ. La caractéristique anonyme de grippage est activée sur le serveur Windows 2003.

    Remarque: Le dernier (septième) caractère est celui qui contrôle la manière que vous pouvez lier au service de LDAP. "0" ou aucun septièmes caractères ne signifient que des exécutions anonymes de LDAP sont désactivées. L'établissement du septième caractère à "2" active la caractéristique anonyme de grippage.

    /image/gif/paws/100590/ldap-eapfast-config62.gif

    Remarque: Si cet attribut contient déjà une valeur, assurez-vous que vous changez seulement le septième caractère du gauche. C'est le seul caractère qui doit être changé afin d'activer des grippages anonymes. Par exemple, si la valeur courante est "0010000", vous devrez le changer à "0010002". Si la valeur courante est moins de sept caractères, vous devrez mettre des zéros dedans les endroits non utilisés : "001" deviendra "0010002".

Accordant à CONNEXION ANONYME Access à l'utilisateur "user2"

L'étape suivante est d'accorder l'accès ANONYME de CONNEXION à l'utilisateur user2. Terminez-vous ces étapes afin de réaliser ceci :

  1. Ouvrez les utilisateurs et les ordinateurs de Répertoire actif.

  2. Assurez-vous que fonctionnalité avancée de vue est vérifiée.

  3. Naviguez vers l'utilisateur user2 et cliquez avec le bouton droit-le. Properties choisi du menu contextuel. Cet utilisateur est identifié avec le prénom « abcd ».

    ldap-eapfast-config63.gif

  4. Allez à la Sécurité dans la fenêtre de Properties d'abcd.

    /image/gif/paws/100590/ldap-eapfast-config64.gif

  5. Cliquez sur Add dans la fenêtre résultante.

  6. Écrivez la CONNEXION ANONYME sous l'entrer les noms d'objet pour sélectionner la case et pour reconnaître le dialogue.

    /image/gif/paws/100590/ldap-eapfast-config65.gif

  7. Dans l'ACL, vous noterez que la CONNEXION ANONYME a accès à quelques ensembles de propriété de l'utilisateur. Cliquez sur OK. On accorde l'accès ANONYME de CONNEXION sur cet utilisateur.

    /image/gif/paws/100590/ldap-eapfast-config66.gif

L'octroi de la liste contente l'autorisation sur l'OU

L'étape suivante est d'accorder au moins l'autorisation de contenu de liste à la CONNEXION ANONYME sur l'OU que l'utilisateur se trouve. Dans cet exemple, "user2" se trouve sur l'OU « ldapuser ». Terminez-vous ces étapes afin de réaliser ceci :

  1. Dans des utilisateurs et des ordinateurs de Répertoire actif, cliquez avec le bouton droit le ldapuser OU et choisissez Properties.

    /image/gif/paws/100590/ldap-eapfast-config67.gif

  2. Cliquez sur Security et avez puis avancé.

    /image/gif/paws/100590/ldap-eapfast-config68.gif

  3. Cliquez sur Add. Dans le dialogue qui s'ouvre, écrivez la CONNEXION ANONYME.

    ldap-eapfast-config69.gif

  4. Reconnaissez le dialogue. Ceci ouvre une nouvelle fenêtre de dialogue.

  5. Dans l'application sur la liste déroulante, choisissez cet objet seulement et activez le contenu de liste permettent la case.

    /image/gif/paws/100590/ldap-eapfast-config70.gif

Utilisant le LDP pour identifier les attributs d'utilisateur

Cet outil GUI est un client de LDAP qui permet à des utilisateurs pour exécuter des exécutions (comme connectez, liez, le recherchez, modifiez, ajoutez, effacement) contre n'importe quel répertoire LDAP-compatible, tel que le Répertoire actif. Le LDP est utilisé aux vues standard enregistrées dans le Répertoire actif avec leurs métadonnées, telles que des descripteurs de Sécurité et des métadonnées de réplication.

L'outil GUI LDP est inclus quand vous installez des outils d'assistance des Windows Server 2003 du CD de produit. Cette section explique utilisant l'utilitaire LDP pour identifier les attributs spécifiques associés à l'utilisateur user2. Certains de ces attributs sont utilisés pour compléter les paramètres de configuration de serveur LDAP sur le WLC, tel que le type d'attribut d'utilisateur et le type d'objet utilisateur.

  1. Sur le serveur Windows 2003 (même sur le même serveur LDAP), le Start > Run de clic et écrivent le LDP afin d'accéder au navigateur LDP.

  2. Dans la fenêtre principale LDP, la connexion de clic > se connectent et se connectent au serveur LDAP en écrivant l'adresse IP du serveur LDAP.

    /image/gif/paws/100590/ldap-eapfast-config71.gif

  3. Une fois connecté au serveur LDAP, à la vue choisie du menu principal et à l'arborescence de clic.

    ldap-eapfast-config72.gif

  4. Dans la fenêtre résultante de vue d'arborescence, entrez dans le baseDN de l'utilisateur. Dans cet exemple, user2 se trouve sous l'OU « ldapuser » sous le domaine Wireless.com. Par conséquent, le baseDN pour l'utilisateur user2 est OU=ldapuser, dc=wireless, dc=com. Cliquez sur OK.

    /image/gif/paws/100590/ldap-eapfast-config73.gif

  5. Le côté gauche du navigateur LDP affiche l'arborescence entière qui apparaît sous le baseDN spécifié (OU=ldapuser, dc=wireless, dc=com). Développez l'arborescence pour localiser l'utilisateur user2. Cet utilisateur peut être identifié avec la valeur NC qui représente le premier nom d'utilisateur. Dans cet exemple, c'est CN=abcd. Double clic CN=abcd. Dans le volet de côté droit du navigateur LDP, le LDP affichera tous les attributs associés avec user2. Cet exemple explique cette étape :

    ldap-eapfast-config74.gif

    Dans cet exemple, observez les champs encerclés du côté droit.

  6. Comme mentionné dans le configurer WLC avec des détails de section de serveur LDAP de ce document, dans le domaine d'attribut d'utilisateur, écrivez le nom de l'attribut dans l'article utilisateur qui contient le nom d'utilisateur.

    De cette sortie LDP, vous pouvez voir que le sAMAccountName est un attribut qui contient le nom d'utilisateur "user2". , Écrivez par conséquent l'attribut de sAMAccountName qui correspond au champ d'attribut d'utilisateur sur le WLC.

  7. Dans le champ User Object Type, entrez la valeur de l'attribut LDAP objectType qui identifie l'enregistrement comme utilisateur. Souvent, les enregistrements utilisateur ont plusieurs valeurs pour l'attribut objectType, certains étant propres à l'utilisateur et certains étant partagés avec d'autres types d'objet.

    Dans la sortie LDP, CN=Person est une valeur qui identifie l'enregistrement en tant qu'utilisateur. , Spécifiez par conséquent la personne comme attribut de type d'objet utilisateur sur le WLC.

Configurez le client sans fil

La dernière étape est de configurer le client sans fil pour l'authentification d'EAP-FAST avec des Certificats de client et serveur. Terminez-vous ces étapes afin de réaliser ceci :

  1. Lancez Cisco Aironet Desktop Utility (ADU). Dans la fenêtre principale ADU, Profile Management > New de clic afin de créer un nouveau profil de client sans fil.

    ldap-eapfast-config75.gif

  2. Spécifiez un nom de profil et assignez un nom SSID à ce profil. Ce nom SSID devrait être identique configuré sur le WLC. Dans cet exemple, le nom SSID est LDAP.

    ldap-eapfast-config76.gif

  3. Cliquez sur l'onglet Sécurité et choisissez 802.1x/EAP comme degré de sécurité de la couche 2. Choisissez l'EAP-FAST comme méthode d'EAP et cliquez sur Configure.

  4. Dans la page de configuration d'EAP-FAST, choisissez le certificat client de TLS de la liste déroulante de méthode d'authentification d'EAP-FAST et cliquez sur Configure.

    ldap-eapfast-config77.gif

  5. Dans la fenêtre de configuration de certificat client de TLS :

    ldap-eapfast-config78.gif

Le profil de client sans fil est créé.

Vérifiez

Exécutez ces étapes afin de vérifier si votre configuration fonctionne correctement.

  1. Lancez le LDAP SSID sur l'ADU.

  2. Clic oui ou CORRECT de la manière prescrite sur les prochaines fenêtres. Vous devriez pouvoir voir toutes les étapes de l'authentification client aussi bien que de l'association pour être réussies sur l'ADU.

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration. Utilisez le mode CLI WLC.

  • Afin de vérifier si WLC peut communiquer avec le serveur LDAP et localiser l'utilisateur, spécifiez la commande d'enable de LDAP de debug aaa du WLC CLI. Cet exemple explique un processus réussi de LDAP de transmission :

    Remarque: Une partie de la sortie dans cette section a été les deuxièmes lignes déplacées dues à la considération de l'espace.

    Enable de LDAP d'AAA de >debug (de contrôleur de Cisco)

    Sun Jan 27 09:23:46 2008: AuthenticationRequest: 0xba96514
    Sun Jan 27 09:23:46 2008:       Callback.....................................0x8
    344900      
    Sun Jan 27 09:23:46 2008:       protocolType.................................0x0
    0100002
    Sun Jan 27 09:23:46 2008:       proxyState...................................00:
    40:96:AC:E6:57-00:00
    Sun Jan 27 09:23:46 2008:       Packet contains 2 AVPs (not shown)
    Sun Jan 27 09:23:46 2008: ldapTask [1] received msg 'REQUEST' (2) in state 'IDLE' (1)
    Sun Jan 27 09:23:46 2008: LDAP server 1 changed state to INIT
    Sun Jan 27 09:23:46 2008: ldapInitAndBind [1] called lcapi_init (rc = 0 - Success)
    Sun Jan 27 09:23:46 2008: ldapInitAndBind [1] called lcapi_bind (rc = 0 - Success)
    Sun Jan 27 09:23:46 2008: LDAP server 1 changed state to CONNECTED
    Sun Jan 27 09:23:46 2008: LDAP server 1 now active
    Sun Jan 27 09:23:46 2008: LDAP_CLIENT: UID Search (base=OU=ldapuser,DC=wireless,
    DC=com, pattern=(&(objectclass=Person)(sAMAccountName=user2)))
    Sun Jan 27 09:23:46 2008: LDAP_CLIENT: Returned msg type 0x64
    Sun Jan 27 09:23:46 2008: ldapAuthRequest [1] called lcapi_query base="OU=ldapus
    er,DC=wireless,DC=com" type="Person" attr="sAMAccountName" user="user2" (rc = 0
    - Success)
    Sun Jan 27 09:23:46 2008: LDAP ATTR> dn = CN=abcd,OU=ldapuser,DC=Wireless,DC=com
     (size 38)
    Sun Jan 27 09:23:46 2008: Handling LDAP response Success
    

    Des informations mises en valeur dans cette sortie de débogage, il est clair que le serveur LDAP soit questionné par le WLC avec les attributs d'utilisateur spécifiés sur le WLC et le processus de LDAP est réussi.

  • Afin de vérifier si l'authentification EAP locale est réussie, spécifiez la commande d'enable d'événements de méthode de debug aaa local-auth eap du WLC CLI. Voici un exemple :

    Enable d'événements de méthode d'eap de gens du pays-auth d'AAA de >debug (de contrôleur de Cisco)

    Sun Jan 27 09:38:28 2008: eap_fast.c-EVENT: New context 
    (EAP handle = 0x1B000009)
    
    Sun Jan 27 09:38:28 2008: eap_fast.c-EVENT: Allocated new EAP-FAST context 
    (handle = 0x22000009)
    
    Sun Jan 27 09:38:28 2008: eap_fast_auth.c-AUTH-EVENT: Process Response 
    (EAP handle = 0x1B000009)
    
    Sun Jan 27 09:38:28 2008: eap_fast_auth.c-AUTH-EVENT: Received Identity
    
    Sun Jan 27 09:38:28 2008: eap_fast_tlv.c-AUTH-EVENT: Adding PAC A-ID TLV 
    (436973636f0000000000000000000000)
    
    Sun Jan 27 09:38:28 2008: eap_fast_auth.c-AUTH-EVENT: Sending Start
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-AUTH-EVENT: Process Response, type: 0x2b
    
    Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Process Response 
    (EAP handle = 0x1B000009)
    
    Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: 
    Received TLS record type: Handshake in state: Start
    
    Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Local certificate found
    
    Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Reading Client Hello handshake
    
    Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: 
    TLS_DHE_RSA_AES_128_CBC_SHA proposed...
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT: Proposed ciphersuite(s):
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_DHE_RSA_WITH_AES_128_CBC_SHA
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_RSA_WITH_AES_128_CBC_SHA
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_RSA_WITH_RC4_128_SHA
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT: Selected ciphersuite:
    
    Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_DHE_RSA_WITH_AES_128_CBC_SHA
    
    Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Building Provisioning Server Hello
    
    Sun Jan 27 09:38:29 2008: eap_fast_crypto.c-EVENT: 
    Starting Diffie Hellman phase 1 ...
    
    Sun Jan 27 09:38:30 2008: eap_fast_crypto.c-EVENT: 
    Diffie Hellman phase 1 complete
    
    Sun Jan 27 09:38:30 2008: eap_fast_auth.c-AUTH-EVENT: DH signature length = 128
    
    Sun Jan 27 09:38:30 2008: eap_fast_auth.c-AUTH-EVENT: Sending Provisioning Serving Hello
    
    Sun Jan 27 09:38:30 2008: eap_fast.c-EVENT: Tx packet fragmentation required
    
    Sun Jan 27 09:38:30 2008: eap_fast.c-AUTH-EVENT: eap_fast_rx_packet(): 
    EAP Fast NoData (0x2b)
    
    Sun Jan 27 09:38:30 2008: eap_fast.c-AUTH-EVENT: eap_fast_rx_packet(): 
    EAP Fast NoData (0x2b)
    
    Sun Jan 27 09:38:30 2008: eap_fast.c-AUTH-EVENT: eap_fast_rx_packet(): 
    EAP Fast NoData (0x2b)
    
    Sun Jan 27 09:38:32 2008: eap_fast.c-AUTH-EVENT: Process Response, type: 0x2b
    
    Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Reassembling TLS record
    
    Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Sending EAP-FAST Ack
    
    ............................................................................
    
    ..............................................................................
    
    ..............................................................................
    
    Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
    Received TLS record type: Handshake in state: Sent provisioning Server Hello
    
    Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
    Reading Client Certificate handshake
    
    Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Added certificate 1 to chain
    
    Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Added certificate 2 to chain
    
    Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Successfully validated received certificate
    
    Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: Rx'd I-ID: 
    "EAP-FAST I-ID" from Peer Cert
    
    Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
    Reading Client Key Exchange handshake
    
    Sun Jan 27 09:38:32 2008: eap_fast_crypto.c-EVENT: 
    Starting Diffie Hellman phase 2 ...
    
    Sun Jan 27 09:38:32 2008: eap_fast_crypto.c-EVENT: 
    Diffie Hellman phase 2 complete.
    
    Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
    Reading Client Certificate Verify handshake
    
    Sun Jan 27 09:38:32 2008: eap_fast_crypto.c-EVENT: 
    Sign certificate verify succeeded (compare)
    
    ............................................................................................
    
    ............................................................................................
    
    ............................................................................................
    
    .............................................................................................
  • La commande d'enable DB de debug aaa local-auth est également très utile. Voici un exemple :

    Enable DB de gens du pays-auth d'AAA de >debug (de contrôleur de Cisco)

    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: EAP: Received an auth request
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Creating new context
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Local auth profile name for context 'ldapuser'
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Created new context eap session handle fb000007
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: (EAP:8) Sending the Rxd EAP packet 
    (id 2) to EAP subsys
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Found matching context for id - 8
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: (EAP) Sending user credential 
    request username 'user2' to LDAP
    
    Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Found context matching MAC address - 8
    
    
    ........................................................................................
    
    ........................................................................................
    
    ........................................................................................
    
    ........................................................................................
    
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) Sending the Rxd EAP packet 
    (id 12) to EAP subsys
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: Found matching context for id - 8
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) ---> [KEY AVAIL] send_len 64, recv_len 0
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) received keys waiting for success
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: Found matching context for id - 8
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) Received success event
    
    Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) Processing keys success
    
  • Afin de visualiser les Certificats installés dans le WLC à utiliser pour l'authentification locale, délivrez le show local-auth certificates commandent du WLC CLI. Voici un exemple :

    Certificats de gens du pays-auth de >show (de contrôleur de Cisco)

    Certificates available for Local EAP authentication:
    
    
    
    Certificate issuer .............................. vendor
    
      CA certificate:
    
        Subject: DC=com, DC=Wireless, CN=wireless
    
         Issuer: DC=com, DC=Wireless, CN=wireless
    
          Valid: 2008 Jan 23rd, 15:50:27 GMT to 2013 Jan 23rd, 15:50:27 GMT
    
      Device certificate:
    
        Subject: O=cisco, CN=ciscowlc123
    
         Issuer: DC=com, DC=Wireless, CN=wireless
    
          Valid: 2008 Jan 24th, 12:18:31 GMT to 2010 Jan 23rd, 12:18:31 GMT
    
    
    
    Certificate issuer .............................. cisco
    
      CA certificate:
    
        Subject: O=Cisco Systems, CN=Cisco Manufacturing CA
    
         Issuer: O=Cisco Systems, CN=Cisco Root CA 2048
    
          Valid: 2005 Jun 10th, 22:16:01 GMT to 2029 May 14th, 20:25:42 GMT
    
       Device certificate:
    
                 Not installed.
  • Afin de visualiser la configuration d'authentification locale sur le WLC du mode CLI, émettez la commande de show local-auth config. Voici un exemple :

    Config de gens du pays-auth de >show (de contrôleur de Cisco)

    User credentials database search order:
    
        Primary ..................................... LDAP
    
    
    
    Timer:
    
        Active timeout .............................. 300
    
    
    
    Configured EAP profiles:
    
        Name ........................................ ldapuser
    
          Certificate issuer ........................ vendor
    
          Peer verification options:
    
            Check against CA certificates ........... Enabled
    
            Verify certificate CN identity .......... Disabled
    
            Check certificate date validity ......... Disabled
    
          EAP-FAST configuration:
    
            Local certificate required .............. Yes
    
            Client certificate required ............. Yes
    
          Enabled methods ........................... fast 
    
          Configured on WLANs ....................... 2 
    
    
    
    EAP Method configuration:
    
        EAP-FAST:
    
    --More-- or (q)uit
    
          Server key ................................ <hidden>
    
          TTL for the PAC ........................... 10
    
          Anonymous provision allowed ............... No
    
          .............................................
    
          .............................................
    
          Authority Information ..................... Cisco A-ID

Dépannez

Vous pouvez utiliser ces commandes de dépanner votre configuration :

  • enable d'événements de méthode de debug aaa local-auth eap

  • debug aaa all enable

  • enable de paquet de debug dot1x

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 100590