局域网交换 : 802.1x

与二进制证书比较的802.1x EAP-TLS从AD和NAM配置文件配置示例

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 12 月 19 日) | 反馈

简介

本文描述802.1x配置以扩展验证传输层安全(EAP-TLS)和访问控制系统(ACS),当他们进行在请求方提供的客户端证书和在Microsoft Active Directory保留的同一证书之间的一个二进制证书比较(AD)。AnyConnect网络访问管理器(NAM)配置文件使用自定义。所有组件的配置在本文被提交,与方案一起排除故障配置。

贡献用米哈拉Garcarz, Cisco TAC工程师。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

拓扑

  • 802.1x请求方- Windows 7用Cisco AnyConnect安全移动客户端版本3.1.01065 (NAM模块)
  • 802.1x验证器- 2960交换机
  • 802.1x认证服务器- ACS版本5.4
  • ACS集成与Microsoft AD -域控制器- Windows 2008服务器

拓扑详细信息

  • ACS - 192.168.10.152
  • 连接的2960 - 192.168.10.10 (e0/0 -请求方)
  • DC - 192.168.10.101
  • Windows 7 - DHCP

Windows 7站点有安装的AnyConnect NAM,用于作为请求方验证到ACS有EAP-TLS方法的服务器。有802.1x的交换机作为验证器。用户证书由ACS验证,并且策略授权运用根据从证书的共同名称(CN)的策略。另外, ACS拿来从AD的用户证书并且进行一个二进制比较与请求方提供的证书。

交换机配置

交换机有一个基本配置。默认情况下,端口在检疫VLAN 666。该VLAN有一限制访问。在用户授权后,重新配置端口VLAN。

aaa authentication login default group radius local
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control

interface Ethernet0/0
switchport access vlan 666
switchport mode access
ip device tracking maximum 10
duplex auto
authentication event fail action next-method
authentication order dot1x mab
authentication port-control auto
dot1x pae authenticator
end

radius-server host 192.168.10.152 auth-port 1645 acct-port 1646 key cisco

证书准备

对于EAP-TLS,证书为请求方和认证服务器要求。此示例根据Openssl生成的证书。微软认证授权(CA)可以用于简化在企业网络的部署。

  1. 为了生成CA,请输入这些命令:
    openssl genrsa -des3 -out ca.key 1024
    openssl req -new -key ca.key -out ca.csr
    cp ca.key ca.key.org
    openssl rsa -in ca.key.org -out ca.key
    openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

    CA证书在ca.crt文件和私有(和无保护的)密钥被保留在ca.key文件。

  2. 生成三个用户证书和该CA: ACS的,所有签字的一证书
    • CN=test1
    • CN=test2
    • CN=test3
    • CN=acs54

    生成单个证书的脚本签字由思科的CA是:

    openssl genrsa -des3 -out server.key 1024
    openssl req -new -key server.key -out server.csr

    cp server.key server.key.org
    openssl rsa -in server.key.org -out server.key

    openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial
    -out server.crt -days 365
    openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt
    -certfile ca.crt

    专用密钥在server.key文件,并且证书在server.crt文件。pkcs12版本在server.pfx文件。

  3. 双击每证书(.pfx文件)导入它到域控制器。在域控制器中,全部三证书应该是委托。

同一进程在Windows 7 (请求方)或使用活动目录可以按照推送用户证书。

域控制器配置

映射特定证书对AD的特定用户是必要的。

  1. 从激活目录用户和计算机,请导航到用户文件夹。
  2. 从视图菜单,请选择高级特性

  3. 添加这些用户:
    • test1
    • 测试2
    • 测试3

    注意:密码不是重要。

  4. 从属性窗口,请选择已发布Certificates Tab。选择测验的特定证书。例如,为了test1用户CN是test1。

    注意:请勿使用名称映射(在用户名的右键单击)。它使用另外服务。

在此阶段,证书是已绑定的给AD的一个特定用户。这可以验证与使用ldapsearch :

ldapsearch -h 192.168.10.101 -D "CN=Administrator,CN=Users,DC=cisco-test,DC=com" -w 
Adminpass -b "DC=cisco-test,DC=com"

测试2的示例结果如下:

# test2, Users, cisco-test.com
dn: CN=test2,CN=Users,DC=cisco-test,DC=com
..................
userCertificate:: MIICuDCCAiGgAwIBAgIJAP6cPWHhMc2yMA0GCSqGSIb3DQEBBQUAMFYxCzAJ
BgNVBAYTAlBMMQwwCgYDVQQIDANNYXoxDzANBgNVBAcMBldhcnNhdzEMMAoGA1UECgwDVEFDMQwwC
gYDVQQLDANSQUMxDDAKBgNVBAMMA1RBQzAeFw0xMzAzMDYxMjUzMjdaFw0xNDAzMDYxMjUzMjdaMF
oxCzAJBgNVBAYTAlBMMQswCQYDVQQIDAJQTDEPMA0GA1UEBwwGS3Jha293MQ4wDAYDVQQKDAVDaXN
jbzENMAsGA1UECwwEQ29yZTEOMAwGA1UEAwwFdGVzdDIwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ
AoGBAMFQZywrGTQKL+LeI19ovNavCFSG2zt2HGs8qGPrf/h3o4IIvU+nN6aZPdkTdsjiuCeav8HYD
aRznaK1LURt1PeGtHlcTgcGZ1MwIGptimzG+h234GmPU59k4XSVQixARCDpMH8IBR9zOSWQLXe+kR
iZpXC444eKOh6wO/+yWb4bAgMBAAGjgYkwgYYwCwYDVR0PBAQDAgTwMHcGA1UdJQRwMG4GCCsGAQU
FBwMBBggrBgEFBQcDAgYKKwYBBAGCNwoDBAYLKwYBBAGCNwoDBAEGCCsGAQUFBwMBBggrBgEFBQgC
FQYKKwYBBAGCNwoDAQYKKwYBBAGCNxQCAQYJKwYBBAGCNxUGBggrBgEFBQcDAjANBgkqhkiG9w0BA
QUFAAOBgQCuXwAgcYqLNm6gEDTWm/OWmTFjPyA5KSDB76yVqZwr11ch7eZiNSmCtH7Pn+VILagf9o
tiFl5ttk9KX6tIvbeEC4X/mQVgAB3HuJH5sL1n/k2H10XCXKfMqMGrtsZrA64tMCcCeZRoxfAO94n
PulwF4nkcnu1xO/B7x+LpcjxjhQ==

请求方配置

  1. 安装此配置文件编辑器, anyconnect-profileeditor-win-3.1.00495-k9.exe。
  2. 打开网络访问管理器配置文件编辑器并且配置特定配置文件。
  3. 创建一个特定有线网络。


    在此阶段是非常重要是提供用户选择使用证书在每验证。请勿缓存该选择。并且,请使用‘用户名’,因为无保护的id.它是重要记住它不是ACS用于查询AD证书的同一个id。该id在ACS将配置。

  4. 保存.xml文件作为c:\Users\All用户\思科\ Cisco AnyConnect安全移动客户端\网络访问管理器\系统\ configuration.xml。
  5. 重新启动思科AnyConnect NAM服务。

此示例显示一手工的配置文件部署。AD能用于部署所有用户的该文件。并且, ASA能用于设置配置文件,当集成与VPN。

ACS配置

  1. 加入AD域。

    ACS匹配与使用的AD用户名从从请求方接收的证书的CN字段(在这种情况下它是test1、测试2或者测试3)。二进制比较也启用。这强制ACS从AD获取用户证书和它与请求方接收的同一证书比较。如果它不配比,验证发生故障。

  2. 配置标识存储顺序,使用AD基于认证的验证与证书摘要一起。

    这使用作为标识来源在RADIUS标识策略。

  3. 配置两项授权策略。第一项策略使用test1,并且拒绝对该用户的访问。第二项策略使用测试2,并且允许与VLAN2配置文件的访问。

    VLAN2是返回RADIUS属性绑定用户对在交换机的VLAN2的授权配置文件。

  4. 安装在ACS的CA证书。

  5. 生成并且安装ACS的思科的CA (可扩展的认证协议使用情况)签字的证书。

验证

因为使用,是良好的做法禁用在Windows 7请求方的本地802.1x服务AnyConnect NAM。使用已配置的配置文件,客户端允许选择一特定证书。

当使用时测试2证书,交换机与RADIUS属性一起收到成功响应。

00:02:51: %DOT1X-5-SUCCESS: Authentication successful for client
(0800.277f.5f64) on Interface Et0/0
00:02:51: %AUTHMGR-7-RESULT: Authentication result 'success' from 'dot1x'
for client (0800.277f.5f64) on Interface Et0/0
switch#
00:02:51: %EPM-6-POLICY_REQ: IP=0.0.0.0| MAC=0800.277f.5f64|
        AUDITSESID=C0A80A0A00000001000215F0| AUTHTYPE=DOT1X|
        EVENT=APPLY

switch#show authentication sessions interface e0/0
            Interface:  Ethernet0/0
           MAC Address:  0800.277f.5f64
            IP Address:  Unknown
            User-Name:  test2
            Status:  Authz Success
            Domain:  DATA
        Oper host mode:  single-host
     Oper control dir:  both
         Authorized By:  Authentication Server
           Vlan Policy:  2
       Session timeout:  N/A
          Idle timeout:  N/A
    Common Session ID:  C0A80A0A00000001000215F0
       Acct Session ID:  0x00000005
            Handle:  0xE8000002

Runnable methods list:
       Method   State
       dot1x    Authc Succes

注意VLAN 2分配。 它是可能的添加其他RADIUS属性对在ACS的该授权配置文件(例如提前访问控制表或再认可计时器)。

注册ACS如下:

故障排除

在ACS的无效时间设置

可能的错误-在ACS活动目录的内部错误

没有在AD DC的证书配置的和已绑定的

-失败的可能的错误从活动目录获取用户证书

NAM配置文件自定义

在企业网络中,是它建议验证与使用计算机和用户证书。在这种情况下,建议以限制VLAN使用在交换机的开放802.1x模式。在802.1x的计算机重新启动,第一验证会话启动并且验证与使用AD机器认证。然后,在用户提供凭证并且注册对域后,第二验证会话启动与用户证书。用户在与全双工网络访问的正确(委托的) VLAN放置。它在身份服务引擎(ISE)恰好集成。

然后,配置从计算机验证和用户认证选项卡的独立的认证是可能的。

如果开放802.1x模式不是可接受在交换机,使用802.1x模式是可能的,在登录功能在客户端策略前配置。

相关信息



Document ID: 116018