安全 : 用于 Windows 的思科安全访问控制服务器

对 Cisco Secure ACS for Windows v3.2 配置 PEAP-MS-CHAPv2 机器身份验证

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 9 月 29 日) | 反馈


目录


简介

本文档演示如何使用针对 Windows 版本 3.2 的 Cisco Secure ACS 来配置受保护的可扩展的认证协议 (PEAP)。

关于如何配置安全无线访问的更多信息使用无线局域网控制器、Microsoft Windows 2003年软件和思科安全访问控制服务器(ACS) 4.0,参考的PEAP在与ACS 4.0的Unified无线网络下和Windows 2003年

先决条件

要求

本文档没有任何特定的前提条件。

使用的组件

本文档中的信息基于以下软件和硬件版本。

  • Cisco Secure ACS for Windows v3.2

  • Microsoft 证书服务(作为企业根证书颁发机构 [CA] 安装)

    注意: 有关详细信息,请参阅证书颁发机构设置分步指南leavingcisco.com

  • DNS 服务和 Windows 2000 Server(装有 Service Pack 3)

    注意: 如果遇到 CA 服务器问题,请安装修补程序 323172leavingcisco.com Windows 2000 SP3 客户端需要修补程序 313664 才能启用 IEEE 802.1x 身份验证。leavingcisco.com

  • Cisco Aironet 1200 系列无线接入点 12.01T

  • 运行 Windows XP Professional(装有 Service Pack 1)的 IBM ThinkPad T30

本文档中的信息都是基于特定实验室环境中的设备创建的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您是在真实网络上操作,请确保您在使用任何命令前已经了解其潜在影响。

背景理论

PEAP 和 EAP-TLS 构建并使用 TLS/安全套接字层 (SSL) 隧道。PEAP 仅使用服务器端身份验证;只有服务器才具备证书,并向客户端证明其身份。EAP-TLS 在 ACS 服务器(身份验证、授权和记帐 [AAA])和客户端都有证书的情况下使用相互认证,证明它们彼此的身份。

因为客户端不需要证书,因此 PEAP 非常方便。EAP-TLS 用于验证无外设设备,因为证书不需要任何用户交互。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

网络图

本文档使用下图所示的网络设置。

/image/gif/paws/43486/acs-peap-01.gif

配置 Cisco Secure ACS for Windows v3.2

按照以下步骤配置 ACS 3.2。

  1. 获取 ACS 服务器证书

  2. 配置 ACS 以使用存储中的证书

  3. 指定 ACS 应信任的其他证书颁发机构

  4. 重新启动服务并在 ACS 上配置 PEAP 设置

  5. 将接入点指定并配置为 AAA 客户端

  6. 配置外部用户数据库

  7. 重新启动服务

获取 ACS 服务器证书

按照以下步骤获取证书。

  1. 在 ACS 服务器上打开 Web 浏览器,并在地址栏输入 http://CA ip address/certsrv 访问 CA 服务器。以管理员身份登录到域。

    /image/gif/paws/43486/acs-peap-02.gif

  2. 选择 Request a certificate,然后单击 Next。

    /image/gif/paws/43486/acs-peap-03.gif

  3. 选择 Advanced request,然后单击 Next。

    /image/gif/paws/43486/acs-peap-04.gif

  4. 选择 Submit a certificate request to this CA using a form,然后单击 Next。

    /image/gif/paws/43486/acs-peap-05.gif

  5. 配置证书选项。

    1. 选择 Web Server 作为证书模板。输入 ACS 服务器的名称。

      /image/gif/paws/43486/acs-peap-06a.gif

    2. 将密钥大小设置为 1024。选中 Mark keys as exportable 和 Use local machine store 选项。根据需要配置其他选项,然后单击 Submit

      /image/gif/paws/43486/acs-peap-06b.gif

      注意: 如果您看到指代脚本侵害的警告窗口(取决于您的浏览器安全/隐私设置),请单击 Yes 继续。

      /image/gif/paws/43486/acs-peap-07.gif

  6. 单击 Install this certificate

    /image/gif/paws/43486/acs-peap-08.gif

    注意: 如果您看到指代脚本侵害的警告窗口(取决于您的浏览器安全/隐私设置),请单击 Yes 继续。

    /image/gif/paws/43486/acs-peap-09.gif

  7. 如果安装成功,您将看到一条确认消息。

    /image/gif/paws/43486/acs-peap-10.gif

配置 ACS 以使用存储中的证书

按照以下步骤将 ACS 配置为使用存储中的证书。

  1. 打开 Web 浏览器,并通过在地址栏中输入 http://ACS-ip-address:2002/ 浏览到 ACS 服务器。单击 System Configuration,然后单击 ACS Certificate Setup。

  2. 单击 Install ACS Certificate

  3. 选择 Use certificate from storage。在 Certificate CN 字段中,输入您在获取 ACS 服务器证书部分的步骤 5a 中指定的证书名称。单击 submit

    在高级的证书请求期间,此条目必须与您输入名称字段的名字匹配。该名称是服务器证书的 subject 字段中的 CN 名称;可以对服务器证书进行编辑,以查看此名称。在本示例中,该名称为“OurACS”。请 输入颁发者的 CN 名称。

    /image/gif/paws/43486/acs-peap-11.gif

  4. 当配置完成时,您将看到一条确认消息,指示 ACS 服务器的配置已被更改。

    注意: 此时无需重新启动 ACS。

    /image/gif/paws/43486/acs-peap-12.gif

指定 ACS 应信任的其他证书颁发机构

ACS 将自动信任颁发其自己的证书的 CA。如果另外的 CA 发行客户端证书,则您需要完成以下步骤。

  1. 单击 System Configuration,然后单击 ACS Certificate Setup。

  2. 单击 ACS Certificate Authority Setup 以向受信任的证书列表添加 CA。在 CA 证书文件的字段中,输入证书的位置,然后单击 Submit

    /image/gif/paws/43486/acs-peap-13.gif

  3. 单击 Edit Certificate Trust List。选中 ACS 应该信任的所有 CA,不要选择 ACS 不应信任的所有 CA。单击 submit

    /image/gif/paws/43486/acs-peap-14.gif

重新启动服务并在 ACS 上配置 PEAP 设置

按照以下步骤重新启动服务和配置 PEAP 设置。

  1. 单击 System Configuration,然后单击 Service Control。

  2. 单击 Restart 以重新启动服务。

  3. 要配置 PEAP 设置,请单击 System Configuration,然后单击 Global Authentication Setup。

  4. 选中如下所示的两个设置,并将所有其他设置保留为默认值。如果您愿意,您可以指定其他设置,例如,Enable Fast Reconnect。请在完成后单击 Submit

    • Allow EAP-MSCHAPv2

    • Allow MS-CHAP Version 2 Authentication

    注意: 有关快速连接的详细信息,请参阅系统配置:身份验证和证书中的“身份验证配置选项”。

    /image/gif/paws/43486/acs-peap-15.gif

将接入点指定并配置为 AAA 客户端

遵从这些步骤配置接入点(AP)作为AAA客户端。

  1. 单击 Network Configuration。在 AAA Clients 下,单击 Add Entry

    /image/gif/paws/43486/acs-peap-16.gif

  2. 在 AAA Client Hostname 字段输入 AP 的主机名,在 AAA 客户端 IP 地址字段输入 IP 地址。在 Key 字段中输入 ACS 和 AP 的共享密钥。选择 RADIUS (Cisco Aironet) 作为身份验证方法。请在完成后单击 Submit

    /image/gif/paws/43486/acs-peap-17.gif

配置外部用户数据库

按照以下步骤配置外部用户数据库。

注意: 只有 ACS 3.2 才支持对 Windows 数据库进行 PEAP-MS-CHAPv2 和计算机身份验证。

  1. 单击 External User Databases,然后单击 Database Configuration。单击 Windows Database

    注意: 如果尚未定义 Windows 数据库,请单击 Create New Configuration,然后单击 Submit。

  2. 单击 Configure。在 Configure Domain List 下,将 SEC-SYD 域从 Available Domains 移至 Domain List。

    /image/gif/paws/43486/acs-peap-18.gif

  3. 要启用机器认证,在Windows EAP设置之下检查允许PEAP机器认证的选项。请 更改计算机身份验证名称前缀。Microsoft 当前使用“/host”(默认值)区分用户身份验证和计算机身份验证。如果您愿意,请选中 Permit password change inside PEAP 选项。请在完成后单击 Submit

    /image/gif/paws/43486/acs-peap-19.gif

  4. 单击 External User Databases,然后单击 Unknown User Policy。选择此选项,检查以下外部用户数据库,然后使用右箭头按钮(- >)将Windows数据库从外部数据库移到选中的数据库。请在完成后单击 Submit

    /image/gif/paws/43486/acs-peap-19a.gif

重新启动服务

当您完成配置 ACS 时,遵从这些步骤重新启动服务。

  1. 单击 System Configuration,然后单击 Service Control。

  2. 单击 Restart

配置 Cisco 接入点

按照这些步骤配置 AP 使用 ACS 作为认证服务器。

  1. 打开 Web 浏览器,并通过在地址栏中输入 http://AP-ip-address/certsrv 浏览到 AP。请在工具栏上单击 Setup

  2. 请在 Services 下单击 Security

  3. 单击 Authentication Server

    注意: 如果您已在 AP 上配置相应帐户,您将需要登录。

  4. 输入身份验证程序配置设置。

    • 在 802.1x Protocol Version 中选择 802.1x-2001(适用于 EAP 身份验证)。

    • 在 Server Name/IP 字段中,输入 ACS 服务器的 IP 地址。

    • 选择 RADIUS 作为服务器类型。

    • 在 Port 字段中输入 1645 或 1812。

    • 输入您在指定并配置访问接入点作为 AAA 客户端的第 2 步中指定的共享密钥。

    • 选中 EAP Authentication 选项以指定服务器的使用方式。

    请在完成后单击 OK

    /image/gif/paws/43486/acs-peap-20.gif

  5. 单击 Radio Data Encryption (WEP)

  6. 输入内部数据加密设置。

    • 选择 Full Encryption 以设置数据加密的级别。

    • 输入加密密钥并且设置密钥的大小为128位,用于广播键。

    请在完成后单击 OK

    /image/gif/paws/43486/acs-peap-21.gif

  7. 进入 网络>服务集>选择SSID Idx,确认您在使用正确的服务定义标识符(SSID),完成后点击OK 键。

    下面的示例显示默认 SSID“tsunami”。

    /image/gif/paws/43486/acs-peap-21a.gif

配置无线客户端

按照以下步骤配置 ACS 3.2。

  1. 配置 MS 证书计算机自动注册

  2. 加入域

  3. 在 Windows 客户端上手动安装根证书

  4. 配置无线网络

配置 MS 证书计算机自动注册

按照以下步骤配置域,以便在域控制器 Kant 上自动注册计算机证书。

  1. 转至 Control Panel > Administrative Tools > Open Active Directory Users and Computers

  2. 右键单击 domain sec-syd,并从子菜单中选择 Properties。

  3. 选择 Group Policy 选项卡。单击 Default Domain Policy,然后单击 Edit。

  4. 转至 Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Automatic Certificate Request Settings

    /image/gif/paws/43486/acs-peap-21b.gif

  5. 在菜单栏上转至 Action > New > Automatic Certificate Request,并单击 Next。

  6. 选择 Computer,并单击 Next。

  7. 选中 CA。

    在本示例中,CA 命名为“Our TAC CA”。

  8. 单击 Next,然后单击“Finish”。

加入域

按照以下步骤向域添加无线客户端。

注意: 要完成这些步骤,无线客户端必须连接 CA,可以通过有线连接或带有 802.1 安全禁用的无线连接。

  1. 以本地管理员身份登录到 Windows XP。

  2. 转至 Control Panel > Performance and Maintenance > System

  3. 选择 Computer Name 选项卡,然后单击 Change。在计算机名称字段中输入主机名。选择 Domain,然后输入该域的名称(在本例中为 SEC-SYD)。单击 Ok

    /image/gif/paws/43486/acs-peap-22.gif

  4. 当显示登录对话时,使用具有加入域的权限的帐户,登录到该域。

  5. 在计算机成功加入域之后,请重新启动该计算机。计算机将成为该域的成员;因为我们设置机器自动注册,该机器将有一个用于已安装 CA 的认证书,以及一个用于机器认证的证书。

在 Windows 客户端上手动安装根证书

按照以下步骤手动安装根证书。

注意: 如果已设置计算机自动注册,则不需要执行此步骤。请跳过配置无线网络

  1. 在 Windows 客户端机器上,打开 Web 浏览器,并通过在地址栏中输入 http://root-CA-ip-address/certsr,访问 Microsoft CA 服务器。登录到 CA 站点。

    在本示例中,CA 的 IP 地址是 10.66.79.241。

    /image/gif/paws/43486/acs-peap-28.gif

  2. 选择 Retrieve the CA certificate or certification revocation list,然后单击 Next。

    /image/gif/paws/43486/acs-peap-29.gif

  3. 单击 Download CA certificate 以在本地计算机上保存该证书。

    /image/gif/paws/43486/acs-peap-30.gif

  4. 打开证书并单击 Install Certificate

    注意: 在下面的示例中,左上端的图标表明认证还没被确认(安装)。

    /image/gif/paws/43486/acs-peap-31.gif

  5. 在 Current User/Trusted Root Certificate Authorities 中安装证书。

    1. 单击 Next

    2. 选择 Automatically select the certificate store based on the type of the certificate,然后单击 Next。

    3. 单击 Finish 以将根证明自动放置在 Current User/Trusted Root Certificate Authorities 下。

配置无线网络

按照以下步骤设置无线网络的选项。

  1. 以域用户身份登录到域。

  2. 转至 Control Panel > Network and Internet Connections > Network Connections。右键单击 Wireless Connection,并从显示的子菜单中选择 Properties。

  3. 选择 Wireless Networks 选项卡。从可用网络列表中选择无线网络(使用 AP 的 SSID 名称显示),然后单击 Configure

    /image/gif/paws/43486/acs-peap-23.gif

  4. 在网络属性窗口的 Authentication 选项卡上,选中 Enable IEEE 802.1x authentication for this network 选项。对于 EAP 类型,请为 EAP 类型选择 Protected EAP (PEAP),然后单击 Properties。

    注意: 要启用计算机身份验证,请选中 Authenticate as computer when computer information is available 选项。

    /image/gif/paws/43486/acs-peap-24.gif

  5. 选中 Validate server certificate,然后选中 PEAP 客户端和 ACS 设备所使用的企业根 CA。为身份验证方法选择 Secure password (EAP-MSCHAP v2),然后单击 Configure。

    在本示例中,根 CA 命名为“Our TAC CA”。

    /image/gif/paws/43486/acs-peap-25.gif

  6. 要启用单一登录,请选中 Automatically use my Windows logon name and password (and domain if any) 选项。单击 OK 接受此设置,然后再次单击 OK 返回网络属性窗口。

    客户端使用 Windows 登录名进行 PEAP 认证,使用一次登录因此用户不需要第二次输入密码。

    /image/gif/paws/43486/acs-peap-26.gif

  7. 在网络属性窗口的 Association 选项卡上,选中 Data encryption (WEP enabled) 和 The key is provided for me automatically 选项。单击 OK,然后再次单击 OK 以关闭网络配置窗口。

    /image/gif/paws/43486/acs-peap-27.gif

验证

本部分所提供的信息可用于确认您的配置是否正常工作。

  • 要验证无线客户端是否已通过验证,请在无线客户端上转至 Control Panel > Network and Internet Connections > Network Connections。在菜单栏上转至 View > Tiles。无线连接应显示消息“Authentication succeeded”。

  • 要验证无线客户端已通过身份验证,请在 ACS Web 界面中转到 Reports and Activity > Passed Authentications > Passed Authentications active.csv

故障排除

本部分提供的信息可用于对配置进行故障排除。

  • 验证是否已在 Windows 2000 Advanced Server(装有 Service Pack 3)上将 MS 证书服务安装为企业根 CA。必须在安装 MS 证书服务之后 安装修补程序 323172 和 313664。如果要重新安装 MS 证书服务,还必须重新安装修补程序 323172。

  • 验证您是否正在使用 Cisco Secure ACS for Windows v3.2 和 Windows 2000(装有 Service Pack 3)。确保安装了修补程序 323172 和 313664。

  • 如果机器认证在无线客户端出现故障,在无线连接将没有网络连接。只有档案存储在无线客户端上的缓存中的帐户才能登录到域。机器需要插入有线网络,或设置无线连接,没有 802.1x 安全性。

  • 如果在加入域时带CA的自动登记发生故障,请检查事件浏览器查找可能的错误原因。尝试检查便携式计算机上的 DNS 设置。

  • 如果 ACS 的证书被客户端拒绝(取决于认证生效的期止日期、客户端日期和时间设置和 CA 信任),那么客户端将拒绝证书,导致认证失败。ACS 将在 Web 界面中的 Reports and Activity > Failed Attempts > Failed Attempts XXX.csv 下记录失败的身份验证,其中含有与“EAP-TLS or PEAP authentication failed during SSL handshake.”类似的身份验证失败代码。CSAuth.log 文件中的预期错误消息与以下内容相似。

    AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
    other side probably didn't accept our certificate
  • 在注册ACS Web接口,在两个报告和活动下>在格式<DOMAIN> \ <user-id>通过认证>通过认证XXX.csv和Reportsand活动>失败的尝试>失败的尝试XXX.csv, PEAP认证显示。EAP-TLS 身份验证以 <user-id>@<domain> 格式显示。

  • 要使用 PEAP 快速重连接,您必须在 ACS 服务器和客户端上启用此功能。

  • 如果已经通过 PEAP 密码更改,只有帐户密码过期或当帐户标明下次登录更改密码时,您才能更改密码。

  • 您能通过遵从下面的步骤验证 ACS 服务器的认证和信任。

    1. 使用具有管理员特权的帐户登录到 ACS 服务器上的 Windows。打开 Microsoft 管理控制台,方法是:转至“开始”>“运行”,键入 mmc,并单击“确定”。

    2. 在菜单栏上,转至“控制台”>“添加/删除管理单元”,然后单击“添加”。

    3. 选择“证书”,并单击“添加”。

    4. 选择 Computer account,单击 Next,然后选择 Local computer(运行此控制台的计算机)。

    5. 依次单击“完成”、“关闭”和“确定”。

    6. 要确认 ACS 服务器具备有效的服务器端证书,请转到 Console Root > Certificates (Local Computer) > ACSCertStore > Certificates。验证是否存在 ACS 服务器的证书(在本例中命名为 OurACS)。打开证书,并验证以下各项。

      • 对所有预先计划而没有验证的证书没有的警告。

      • 没有任何有关此证书不受信任的警告。

      • “此证书用于 - 确保远程计算机的身份”。

      • 认证未到期,仍然有效(检查“起止”日期是否有效)。

      • “您具有与此证书相对应的私钥”。

    7. 在Details制表符上,验证 Version 字段有 V3 的值,并且增强的密钥用法字段至少包含客户端验证这个值 (1.3.6.1.5.5.7.3.1)。

    8. 要验证ACS服务器是否委托CA服务器,请进入控制台根>认证(本地计算机) >可信的根认证授权>认证。验证是否存在 CA 服务器的证书(在本例中命名为 Our TAC CA)。打开证书,并验证以下各项。

      • 对所有预先计划而没有验证的证书没有的警告。

      • 没有任何有关此证书不受信任的警告。

      • 证书旨在用于正当目的。

      • 认证未到期,仍然有效(检查“起止”日期是否有效)。

      如果 ACS 和客户端没有使用同一个根 CA,则应验证是否安装了完整的 CA 服务器证书。如果证书是从子证书颁发机构获取的,上述内容则同样适用。

  • 按照以下步骤,验证客户端是否可靠。

    1. 使用客户端帐户在无线客户端上登录到 Windows。打开 Microsoft 管理控制台,方法是:转至“开始”>“运行”,键入 mmc,并单击“确定”。

    2. 在菜单栏上,转至“控制台”>“添加/删除管理单元”,然后单击“添加”。

    3. 选择“证书”,并单击“添加”。

    4. 单击 Close,然后单击 OK。

    5. 验证客户端的配置文件委托CA服务器,请进入控制台根>认证-当前用户>可信的根认证授权>认证。验证是否存在 CA 服务器的证书(在本例中命名为 Our TAC CA)。打开证书,并验证以下各项。

      • 对所有预先计划而没有验证的证书没有的警告。

      • 没有任何有关此证书不受信任的警告。

      • 证书旨在用于正当目的。

      • 认证未到期,仍然有效(检查“起止”日期是否有效)。

      如果 ACS 和客户端没有使用同一个根 CA,则应验证是否安装了完整的 CA 服务器证书。如果证书是从子证书颁发机构获取的,上述内容则同样适用。

  • 按照配置 Cisco Secure ACS for Windows v3.2 部分中的说明验证 ACS 设置。

  • 按照配置 Cisco 接入点部分中的说明验证 AP 设置。

  • 按照配置无线客户端部分中的说明验证无线客户端设置。

  • 验证用户帐户存在于 AAA 服务器的内部数据库中或存在于已配置的外部数据库中。确保未禁用该帐户。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 43486