Tecnología inalámbrica : Productos Cisco Wireless LAN Controller de la serie 4400

EAP-TLS bajo red inalámbrica unificada con ACS 4.0 y Windows 2003

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (18 Abril 2008) | Inglés (20 Diciembre 2015) | Comentarios


Contenido


Introducción

Este documento describe cómo configurar el acceso de red inalámbrica seguro usando el software y el Cisco Secure Access Control Server (ACS) 4.0 de los reguladores (WLCs), de Microsoft Windows 2003 del Wireless LAN vía la Seguridad de la capa del Protocolo-transporte de la autenticación ampliable (EAP-TLS).

Nota: Para más información sobre el despliegue de asegure la Tecnología inalámbrica, refiera al modelo del sitio web del Wi-Fileavingcisco.com de Microsoft y de la Tecnología inalámbrica del Cisco SAFE.

prerrequisitos

Requisitos

Hay una suposición que el instalador tiene la instalación de Windows 2003 del conocimietno básico y instalación del controlador de Cisco mientras que este documento cubre solamente las configuraciones específicas para facilitar las pruebas.

Para la instalación inicial y la información de la configuración para los reguladores de las Cisco 4400 Series, refiera a la guía de inicio rápido: Cisco Wireless LAN Controllers de la serie 4400. Para la instalación inicial y la información de la configuración para los reguladores de las Cisco 2000 Series, refiera a la guía de inicio rápido: Cisco Wireless LAN Controllers de la serie 2000.

Antes de que usted comience, instale al Servidor Windows 2003 con el Service Pack (el sistema operativo SP)1 en cada uno de los servidores en el laboratorio de prueba y pone al día todo el Service Packs. Instale los reguladores y los AP y asegúrese de que las actualizaciones de último software están configuradas.

Importante: Cuando este documento fue escrito, el SP1 es la última actualización del Servidor Windows 2003, y el SP2 con las correcciones de la actualización es el último software para el profesional de Windows XP.

Utilizan al Servidor Windows 2003 con el SP1, Enterprise Edition, para poder configurar el Autoregistro de los Certificados del usuario y del puesto de trabajo para autenticación EAP-TLS. Esto se describe en autenticación EAP-TLS la sección de este documento. El Autoregistro y la auto-renovación del certificado hacen más fácil desplegar los Certificados y mejorar la Seguridad automáticamente la expiración y renovando los Certificados.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Regulador de las Cisco o Series que ejecuta 3.2.116.21

  • Cisco protocolo de 1131 Lightweight Access Point (LWAPP) AP

  • Empresa de Windows 2003 con el Internet Information Server (IIS), el Certificate Authority (CA), el DHCP, y el Domain Name System (DNS) instalado

  • Estándar de Windows 2003 con el Access Control Server (ACS) 4.0

  • Profesional de Windows XP con el SP (y Service Packs actualizado) y Wireless Network Interface Card (NIC) (con CCX el soporte del v3) o supplicant del otro vendedor.

  • Cisco 3560 Switch

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Cisco asegura la Topología de laboratorio inalámbrica

/image/gif/paws/71929/eap-tls-acs40-win2003-1.gif

El propósito primario de este documento es proporcionarle el procedimiento paso a paso para implementar el EAP-TLS bajo redes inalámbricas unificadas con ACS 4.0 y el Servidor de Enterprise de Windows 2003. El énfasis principal está en el Autoregistro del cliente de modo que el cliente auto-aliste y tome el certificado del servidor.

Nota: Para agregar el Wi-Fi protegió el acceso (WPA)/WPA2 con la norma de encripción del Temporal Key Integrity Protocol (TKIP) /Advanced (AES) al profesional de Windows XP con el SP, refieren a la actualización del elemento de información de los servicios del aprovisionamiento WPA2/Wireless (WPS IE) para Windows XP con el SP2leavingcisco.com .

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Empresa 2003 de Windows puesta con el IIS, Certificate Authority, DNS, DHCP (DC_CA)

DC_CA (wirelessdemoca)

DC_CA es un ordenador que funciona con al Servidor Windows 2003 con el SP1, Enterprise Edition, y realiza estos papeles:

  • Un controlador de dominio para el dominio wirelessdemo.local que ejecuta el IIS

  • Un servidor DNS para el dominio DNS wirelessdemo.local

  • Un servidor DHCP

  • Empresa raíz CA para el dominio wirelessdemo.local

Complete estos pasos para configurar DC_CA para estos servicios:

  1. Realice una instalación básica y una configuración.

  2. Configure el ordenador como controlador de dominio.

  3. Aumente el nivel funcional del dominio.

  4. Instale y configure el DHCP.

  5. Instale los servicios de certificados.

  6. Verifique los permisos del administrador para los Certificados.

  7. Agregue los ordenadores al dominio.

  8. Permita el acceso de red inalámbrica a los ordenadores.

  9. Agregue a los usuarios al dominio.

  10. Permita el acceso de red inalámbrica a los usuarios.

  11. Agregue a los grupos al dominio.

  12. Agregue a los usuarios al grupo de WirelessUsers.

  13. Agregue las computadoras cliente al grupo de WirelessUsers.

Paso 1: Realice la instalación básica y la configuración

Complete estos pasos:

  1. Instale al Servidor Windows 2003 con el SP1, Enterprise Edition, como servidor independiente.

  2. Configure el protocolo TCP/IP con la dirección IP de 172.16.100.26 y la máscara de subred de 255.255.255.0.

Paso 2: Configure la Computadora como controlador de dominio

Complete estos pasos:

  1. Para comenzar al Asisitente de instalación de Active Directory, elija el Start (Inicio) > Run (Ejecutar), teclee dcpromo.exe, y haga clic la AUTORIZACIÓN.

  2. En la n la recepción a la página del Asisitente de instalación de Active Directory, hace clic después.

  3. En la página de la compatibilidad del sistema operativo, haga clic después.

  4. En la página de tipo del controlador de dominio, el controlador de dominio selecto para un nuevo dominio y el tecleo después.

  5. En la nueva página del dominio del crear, el dominio selecto en un nuevo bosque y el tecleo después.

  6. En la página del instalar o de la configuración DNS, seleccione ningún, apenas instale y configure el DNS en este ordenador y haga clic después.

  7. En la nuevos página del Domain Name, tipo wirelessdemo.local y tecleo después.

  8. En la página del Domain Name del NetBios, ingrese el nombre de NETBIOS del dominio como wirelessdemo y haga clic después.

  9. En la base de datos y la página de la ubicación de las carpetas del registro, valide los directorios predeterminados de las carpetas de la base de datos y del registro y haga clic después.

    /image/gif/paws/71929/eap-tls-acs40-win2003-2.gif

  10. En System Volume (Volumen del sistema) el cuadro de diálogo compartido, verifique que la ubicación de la carpeta predeterminada es correcta y tecleo después.

    /image/gif/paws/71929/eap-tls-acs40-win2003-3.gif

  11. En los permisos pagine, verifique que los permisos compatibles solamente con los sistemas operativos del Windows 2000 o del Servidor Windows 2003 están seleccionados y clickNext.

    eap-tls-acs40-win2003-4.gif

  12. En la página de la contraseña de administración del modo del Restore de los servicios de directorio, deje el espacio en blanco de casillas de verificación de contraseña y haga clic después.

  13. Revise la información sobre la página de resumen y haga clic después.

    eap-tls-acs40-win2003-5.gif

  14. Al completar la página del Asisitente de instalación de Active Directory, clic en Finalizar.

  15. Cuando se le pregunte para recomenzar el ordenador, el tecleo ahora recomienza.

Paso 3: Aumente el nivel funcional del dominio

Complete estos pasos:

  1. Abra los dominios de Active Directory y las confianzas broche-en de la carpeta de las herramientas administrativas (Start (Inicio) > Administrative Tools (Herramientas administrativas) > dominios de Active Directory y confianzas), y después haga clic con el botón derecho del ratón la computadora dominio DC_CA.wirelessdemo.local.

  2. Haga clic el nivel funcional del dominio del aumento, y después seleccione al Servidor Windows 2003 en la página del nivel funcional del dominio del aumento.

    /image/gif/paws/71929/eap-tls-acs40-win2003-6.gif

  3. Haga clic el aumento, haga clic la AUTORIZACIÓN, y después haga clic la AUTORIZACIÓN otra vez.

Paso 4: Instale y configure el DHCP

Complete estos pasos:

  1. Instale el Protocolo de configuración dinámica de host (DHCP) como componente de servicio de red usando agregan o quitan los programas en el panel de control.

  2. Abra el DHCP broche-en de la carpeta de las herramientas administrativas (el Start (Inicio) > Programs (Programas) > Administrative Tools (Herramientas administrativas) > el DHCP, y entonces resaltan al servidor DHCP, DC_CA.wirelessdemo.local.

  3. Haga clic la acción, y después haga clic autorizan para autorizar el servicio del DHCP.

  4. En el árbol de la consola, haga clic con el botón derecho del ratón DC_CA.wirelessdemo.local, y después haga clic el nuevo alcance.

  5. En la página de Bienvenida del nuevo asistente de alcance, haga clic después.

  6. En la página del nombre del alcance, teclee CorpNet en el campo de nombre.

    /image/gif/paws/71929/eap-tls-acs40-win2003-7.gif

  7. El tecleo después y completa estos parámetros:

    • Comience a la dirección IP 172.16.100.1

    • Termine a la dirección IP 172.16.100.254

    • Longitud — 24

    • Máscara de subred — 255.255.255.0

    eap-tls-acs40-win2003-8.gif

  8. Haga clic después y ingrese 172.16.100.1 para el IP Address del comienzo y 172.16.100.100 para que el IP Address del extremo sea excluido. Luego haga clic en Next (Siguiente). Esto reserva los IP Addresses en el rango de 172.16.100.1 a 172.16.100.100. Éstos los IP Addresses reservados no son asignados por el servidor DHCP.

    /image/gif/paws/71929/eap-tls-acs40-win2003-9.gif

  9. En la página del tiempo de validez, haga clic después.

  10. En la configuración las opciones DHCP paginan, eligen sí, quiero ahora configurar estas opciones y hacer clic después.

    /image/gif/paws/71929/eap-tls-acs40-win2003-10.gif

  11. En la página del router (default gateway) agregue a la dirección del router predeterminada de 172.16.100.1 y haga clic después.

    /image/gif/paws/71929/eap-tls-acs40-win2003-11.gif

  12. En el Domain Name y los servidores DNS pagine, teclee wirelessdemo.local en el campo del dominio del padre, teclee 172.16.100.26 en el campo de la dirección IP, y después haga clic el tecleo de Addand después.

    /image/gif/paws/71929/eap-tls-acs40-win2003-12.gif

  13. En los TRIUNFOS que los servidores paginan, que haga clic después.

  14. En la página del alcance del activar, elija sí, quiero ahora activar este alcance y hacer clic después.

    /image/gif/paws/71929/eap-tls-acs40-win2003-13.gif

  15. Al completar la nueva página del asistente de alcance, clic en Finalizar.

Paso 5: Instale los servicios de certificados

Complete estos pasos:

Nota: El IIS debe ser instalado antes de que usted instale los servicios de certificados y el usuario debe ser parte de la empresa Admin OU.

  1. En el panel de control, abierto agregue o quite los programas, y después haga clic agregan/quitan a los componentes de Windows.

  2. En la página del Asistente de componentes de Windows, elija los servicios de certificados, y después haga clic después.

    /image/gif/paws/71929/eap-tls-acs40-win2003-14.gif

  3. En la página de tipo de CA, elija la empresa raíz CA y haga clic después.

    eap-tls-acs40-win2003-15.gif

  4. En CA que identifica la página de información, teclee el wirelessdemoca en el Common Name para este cuadro de CA. Usted puede ingresar los otros detalles opcionales y después hacer clic después. Valide los valores por defecto en la página de las configuraciones de la base de datos del certificado.

    /image/gif/paws/71929/eap-tls-acs40-win2003-16.gif

  5. Haga clic en Next (Siguiente). Al completar la instalación, clic en Finalizar.

  6. Haga Click en OK después de que usted leyera la advertencia sobre instalar el IIS.

Paso 6: Verifique los permisos del administrador para los Certificados

Complete estos pasos:

  1. Elija el Start (Inicio) > Administrative Tools (Herramientas administrativas) > las autoridades de certificación.

  2. Haga clic con el botón derecho del ratón el wirelessdemoca CA y después haga clic las propiedades.

  3. En la ficha de seguridad, haga clic a los administradores en la lista del grupo o de Nombres de usuario.

  4. En los permisos o los administradores enumere, verifique que estas opciones están fijadas para permitir:

    • Publique y maneje los Certificados

    • Maneje CA

    • Pida los Certificados

    Si ninguno de estos se fijan para negar o no se seleccionan, fije el permiso para permitir.

    eap-tls-acs40-win2003-17.gif

  5. Haga Click en OK para cerrar el cuadro de diálogo Propiedades de CA del wirelessdemoca, y después para cerrar las autoridades de certificación.

Paso 7: Agregue las Computadoras al dominio

Complete estos pasos:

Nota: Si el ordenador se agrega ya al dominio, proceda a agregar a los usuarios al dominio.

  1. Abra a los usuarios de directorio activo y computadora broche-en.

  2. En el árbol de la consola, amplíe wirelessdemo.local.

  3. Haga clic con el botón derecho del ratón a los usuarios, haga clic nuevo, y después haga clic la Computadora.

  4. En el nuevo objeto – El cuadro de diálogo de la Computadora, teclea el nombre del ordenador en el campo de nombre de la computadora y hace clic después. Este ejemplo utiliza al cliente del nombre de computadora.

    /image/gif/paws/71929/eap-tls-acs40-win2003-18.gif

  5. En el cuadro de diálogo manejado, haga clic después.

  6. En el nuevo cuadro de diálogo de la Objeto-Computadora, clic en Finalizar.

  7. Relance los pasos 3 a 6 para crear las cuentas de la computadora adicional.

Paso 8: Permita el acceso de red inalámbrica a las Computadoras

Complete estos pasos:

  1. En el árbol de la consola de los usuarios de directorio activo y computadora, haga clic la carpeta de las Computadoras y haga clic con el botón derecho del ratón en el ordenador para el cual usted quiere asignar el acceso de red inalámbrica. Este ejemplo muestra el procedimiento con la computadora cliente cuál usted agregó en el paso 7.

  2. Haga clic las propiedades, y después vaya al dial-in tab.

  3. Elija permiten el acceso y hacen clic la AUTORIZACIÓN.

Paso 9: Agregue a los usuarios al dominio

Complete estos pasos:

  1. En el árbol de la consola de los usuarios de directorio activo y computadora, haga clic con el botón derecho del ratón a los usuarios, haga clic nuevo, y después haga clic al usuario.

  2. En el nuevo objeto – Cuadro de diálogo del usuario, tipo WirelessUser en el campo de primer nombre, y tipo WirelessUser en el campo y el tecleo de nombre de inicio del usuario después.

    eap-tls-acs40-win2003-19.gif

  3. En el nuevo objeto – El cuadro de diálogo del usuario, teclea una contraseña de su opción en la contraseña y confirma los campos de contraseña. Borre al usuario debe cambiar la contraseña en la casilla de verificación siguiente del inicio, y hace clic después.

    /image/gif/paws/71929/eap-tls-acs40-win2003-20.gif

  4. En el nuevo objeto – Cuadro de diálogo del usuario, clic en Finalizar.

  5. Relance los pasos 2 a 4 para crear las cuentas de usuario adicionales.

Paso 10: Permita el acceso de red inalámbrica a los usuarios

Complete estos pasos:

  1. En el árbol de la consola de los usuarios de directorio activo y computadora, haga clic la carpeta del usuario, haga clic con el botón derecho del ratón WirelessUser, haga clic las propiedades, y después vaya al dial-in tab.

  2. Elija permiten el acceso y hacen clic la AUTORIZACIÓN.

Paso 11: Agregue a los grupos al dominio

Complete estos pasos:

  1. En el árbol de la consola de los usuarios de directorio activo y computadora, haga clic con el botón derecho del ratón a los usuarios, haga clic nuevo, y después haga clic al grupo.

  2. En el nuevo objeto – Agrupe el cuadro de diálogo, teclee el nombre del grupo en el campo de nombre del grupo y haga clic la AUTORIZACIÓN. Este documento utiliza el nombre del grupo WirelessUsers.

    eap-tls-acs40-win2003-21.gif

Paso 12: Agregue a los usuarios al grupo de WirelessUsers

Complete estos pasos:

  1. En el panel de detalles de los usuarios de directorio activo y computadora, haga doble clic en el grupo WirelessUsers.

  2. Vaya a la lengueta y al haga click en Add de los miembros

  3. En los usuarios selectos, los contactos, cuadro de diálogo de las Computadoras, o de los grupos, teclean el nombre de los usuarios que usted quiere agregar al grupo. Este ejemplo muestra cómo agregar el wirelessuser del usuario al grupo. Haga clic en OK.

    eap-tls-acs40-win2003-22.gif

  4. En el múltiplo los nombres encontraron el cuadro de diálogo, AUTORIZACIÓN del tecleo. La cuenta de usuario de WirelessUser se agrega al grupo de WirelessUsers.

    /image/gif/paws/71929/eap-tls-acs40-win2003-23.gif

  5. Haga Click en OK para salvar los cambios al grupo de WirelessUsers.

  6. Relance este procedimiento para agregar a más usuarios al grupo.

Paso 13: Agregue las computadoras cliente al grupo de WirelessUsers

Complete estos pasos:

  1. Relance los pasos 1 y 2 en los usuarios del agregar a la sección de grupo de WirelessUsers de este documento

  2. En los usuarios selectos, el cuadro de diálogo de los contactos, o de las Computadoras, teclea el nombre del ordenador que usted quiere agregar al grupo. Este ejemplo muestra cómo agregar el ordenador nombrado cliente al grupo.

    /image/gif/paws/71929/eap-tls-acs40-win2003-24.gif

  3. Haga clic los tipos de objeto, borre la casilla de verificación de los usuarios, y después marque las Computadoras.

    /image/gif/paws/71929/eap-tls-acs40-win2003-25.gif

  4. Haga clic en OK dos veces. La cuenta de la computadora cliente se agrega al grupo de WirelessUsers.

  5. Relance el procedimiento para agregar más ordenadores al grupo.

Estándar 2003 de Windows puesto con el Cisco Secure ACS 4.0

El Cisco Secure ACS es un ordenador que funciona con al Servidor Windows 2003 con el SP1, la edición estándar, que proporciona la autenticación de RADIUS y la autorización para el regulador. Complete los procedimientos en esta sección para configurar el ACS como servidor de RADIUS:

Instalación básica y configuración

Complete estos pasos:

  1. Instale al Servidor Windows 2003 con el SP1, edición estándar, como servidor miembro nombrado ACS en el dominio wirelessdemo.local.

    Nota: El nombre de servidor ACS aparece como cisco_w2003 en las Configuraciones restantes. ACS o cisco_w2003 substituto en la configuración de laboratorio restante.

  2. Para la conexión de área local, configure el protocolo TCP/IP con la dirección IP de 172.16.100.26, la máscara de subred de 255.255.255.0, y la dirección IP del servidor DNS de 127.0.0.1.

Instalación del Cisco Secure ACS 4.0

Nota: Refiera a la guía de instalación para el Cisco Secure ACS 4.0 para Windows para más información sobre cómo configurar el Cisco Secure ACS 4.0 para Windows.

Complete estos pasos:

  1. Usando una cuenta del administrador de dominio, inicie sesión al ordenador nombrado ACS al Cisco Secure ACS.

    Nota: Solamente las instalaciones realizadas en el ordenador donde usted instala el Cisco Secure ACS se soportan. Las instalaciones remotas realizadas usando el Windows Terminal Services o los Productos tales como Virtual Network Computing (VNC), no se prueban, y no se soportan.

  2. Inserte el CD del Cisco Secure ACS en un unidad de Cd-ROM en el ordenador.

  3. Si el unidad de Cd-ROM soporta la característica del autorun de Windows, el cuadro de diálogo del servidor del Cisco Secure ACS for Windows aparece.

    Nota: Si el ordenador no tiene un paquete de servicio solicitado instalado, un cuadro de diálogo aparece. Los paquetes de servicios de Windows pueden ser aplicados cualquiera antes o después de que usted instala el Cisco Secure ACS. Usted puede continuar con la instalación, pero el paquete de servicio solicitado debe ser aplicado después de que la instalación sea completa. Si no, el Cisco Secure ACS no pudo funcionar confiablemente.

  4. Realice una de estas tareas:

    • Si aparece el cuadro de diálogo del servidor del Cisco Secure ACS for Windows, el tecleo instala.

    • Si no aparece el cuadro de diálogo del servidor del Cisco Secure ACS for Windows, ejecute el setup.exe, situado en el directorio raíz del CD del Cisco Secure ACS.

  5. El Cisco Secure ACS puso el cuadro de diálogo visualiza el acuerdo de licencia de software.

  6. Lea el acuerdo de licencia de software. Si usted valida el acuerdo de licencia de software, el tecleo valida.

    El cuadro de diálogo agradable visualiza la información básica sobre el programa de configuración.

  7. Después de que usted haya leído la información en el cuadro de diálogo agradable, haga clic después.

  8. Antes de que usted comience los elementos de las listas del cuadro de diálogo que usted debe completar antes de que usted continúe con la instalación. Si usted ha completado todos los elementos enumerados en antes de que usted comience el cuadro de diálogo, marque el cuadro correspondiente para cada elemento y haga clic después.

    Nota: Si usted no ha completado todos los elementos enumerados en antes de que usted comience el cuadro, haga clic la cancelación y después haga clic la configuración de la salida. Después de que usted complete todos los elementos enumerados en antes de que usted comience el cuadro de diálogo, recomience la instalación.

  9. El cuadro de diálogo de la Ubicación de destino del elegir aparece. Bajo la carpeta de destino, la ubicación de la instalación aparece. Ésta es la unidad y la trayectoria en donde el programa de configuración instala el Cisco Secure ACS.

  10. Si usted quiere cambiar la ubicación de la instalación, complete estos pasos:

    1. El tecleo hojea. El cuadro de diálogo de la carpeta del elegir aparece. El cuadro de la trayectoria contiene la ubicación de la instalación.

    2. Cambie la ubicación de la instalación. Usted puede teclear la nueva ubicación en el cuadro de la trayectoria o utilizar las listas de las unidades y de los directorios para seleccionar una nuevos unidad y directorio. La ubicación de la instalación debe estar en una unidad local al ordenador.

      Nota: No especifique una trayectoria que contenga un carácter del por ciento, “%”. Si usted lo hace así pues, la instalación pudo aparecer continuar correctamente pero falla antes de que complete.

    3. Haga clic en OK.

      Nota: Si usted especificó una carpeta que no existe, el programa de configuración visualiza un cuadro de diálogo para confirmar la creación de la carpeta. Para continuar, haga clic en .

  11. En el cuadro de diálogo de la Ubicación de destino del elegir, la nueva ubicación de la instalación aparece bajo la carpeta de destino.

  12. Haga clic en Next (Siguiente).

  13. El cuadro del diálogo de configuración de la base de datos de autenticación enumera las opciones para los usuarios de autenticidad. Usted puede autenticar con la base de datos de Usuario usuario seguro de Cisco solamente, o también con una base de datos de usuario de Windows.

    Nota: Después de que usted instale el Cisco Secure ACS, usted puede configurar el soporte de la autenticación para todos los tipos de la Base de datos de usuarios externa además de las bases de datos de usuario de Windows.

  14. Si usted quiere autenticar a los usuarios con la base de datos de Usuario usuario seguro de Cisco solamente, elija el control la opción de la base de datos del Cisco Secure ACS solamente.

  15. Si usted quiere autenticar a los usuarios con una base de datos de usuarios del administrador del acceso a la seguridad de Windows (SAM) o la base de datos de usuarios del Active Directory además de la base de datos de Usuario usuario seguro de Cisco, complete estos pasos:

    1. Elija también el marcar la opción de base de datos del usuario de Windows.

    2. El sí, refiere “Grant que el permiso de marcado a la casilla de verificación de la configuración al usuario” está disponible.

      Nota: El sí, refiere “Grant que el permiso de marcado a la casilla de verificación de la configuración al usuario” se aplica a todas las formas de acceso controladas por el Cisco Secure ACS, no apenas acceso dial in. Por ejemplo, un usuario que accede la red a través de un túnel VPN no está marcando en un servidor de acceso a la red. Sin embargo, si el sí, refiera “Grant que se marca el permiso de marcado al rectángulo de la configuración al usuario”, Cisco Secure ACS aplica los permisos de dial in del usuario de Windows para determinar si conceder el acceso del usuario a la red.

    3. Si usted quiere permitir el acceso a los usuarios que son autenticados por una base de datos de usuarios del Dominio de Windows solamente cuando tienen permiso de dial in en su cuenta de Windows, marque el sí, refieren “permiso de marcado de Grant al cuadro de la configuración al usuario”.

  16. Haga clic en Next (Siguiente).

  17. El programa de configuración instala el Cisco Secure ACS y pone al día el registro de Windows.

  18. El cuadro anticipado del diálogo de opciones enumera varias características del Cisco Secure ACS que no se habiliten por abandono. Para más información sobre estas características, refiera al guía del usuario para el servidor del Cisco Secure ACS for Windows, versión 4.0.

    Nota: Las características mencionadas aparecen en la interfaz de HTML del Cisco Secure ACS solamente si usted las habilita. Después de la instalación, usted puede habilitarlas o inhabilitar en la página opciones avanzada en la sección de configuración de la interfaz.

  19. Para cada característica que usted quiere habilitar, marque el cuadro correspondiente.

  20. Haga clic en Next (Siguiente).

  21. El cuadro de diálogo de la supervisión del servicio activo aparece.

    Nota: Después de la instalación, usted puede configurar las características de la supervisión del servicio activo en la página de la Administración del servicio activo en la sección de configuración del sistema.

  22. Si usted quisiera que el Cisco Secure ACS monitoreara los servicios de autenticación de usuario, marque el cuadro de la supervisión del login del permiso. Del script para ejecutar la lista, elija la opción que usted quiere aplicado en caso de error del servicio de autenticación:

    • Ninguna acción reparadora — El Cisco Secure ACS no ejecuta un script.

      Nota: Esta opción es útil si usted habilita las notificaciones del correo del evento.

    • Reinicialización — El Cisco Secure ACS ejecuta un script que reinicia el ordenador que ejecuta el Cisco Secure ACS.

    • Recomience todos — El Cisco Secure ACS recomienza todos los servicios del Cisco Secure ACS.

    • Reinicio RADIUS/TACACS+ — El Cisco Secure ACS recomienza los servicios solamente RADIUS y TACACS+.

  23. Si usted quisiera que el Cisco Secure ACS enviara un correo electrónico cuando la supervisión del servicio detecta un evento, marque el cuadro de la notificación del correo.

  24. Haga clic en Next (Siguiente).

  25. El cuadro de diálogo de contraseña del cifrado de la base de datos aparece.

    Nota: La contraseña del cifrado de la base de datos se cifra y se salva en el registro ACS. Usted puede ser que necesite reutilizar esta contraseña cuando se presentan los problemas críticos y la base de datos necesita ser accedida manualmente. Mantenga esta contraseña a mano de modo que el Soporte técnico pueda acceder a la base de datos. La contraseña se puede cambiar cada período de la expiración.

  26. Ingrese una contraseña para el cifrado de la base de datos. La contraseña necesita ser por lo menos ocho caracteres de largo y necesita contener los caracteres y los dígitos. No hay caracteres no válidos. Haga clic en Next (Siguiente).

  27. El programa de configuración acaba y el cuadro de diálogo del lanzamiento del servicio del Cisco Secure ACS aparece.

  28. Para cada Cisco Secure ACS mantiene la opción del lanzamiento que usted quiere, que marca el cuadro correspondiente. Las acciones asociadas a las opciones ocurren después de que el programa de configuración acabe.

    • Sí, quiero ahora comenzar el servicio del Cisco Secure ACS — comienza los servicios de Windows que componen el Cisco Secure ACS. Si usted no selecciona esta opción, la interfaz de HTML del Cisco Secure ACS no está disponible a menos que usted reinicie el ordenador o comience el servicio de CSAdmin.

    • Sí, quisiera que la configuración iniciara al administrador del Cisco Secure ACS de mi instalación de siguiente del navegador — abre la interfaz de HTML del Cisco Secure ACS en el buscador Web predeterminado para la cuenta de usuario de las ventanas actuales.

    • Sí, quiero ver el archivo Léame — abre el archivo leame.txt en el Bloc de notas de Windows.

  29. Haga clic en Next (Siguiente).

  30. Si usted seleccionó una opción, los servicios del Cisco Secure ACS comienzan. El cuadro de diálogo completo de la configuración visualiza la información sobre la interfaz de HTML del Cisco Secure ACS.

  31. Haga clic en Finish (Finalizar).

    Nota: El resto de la configuración se documenta bajo sección para el tipo EAP se configura que.

Configuración de controlador del LWAPP de Cisco

Cree la configuración necesaria para WPA2/WPA

Complete estos pasos:

Nota: La suposición es que el regulador tiene conectividad básica a la red y el alcance IP a la interfaz de administración es acertado.

  1. Inicie sesión en el regulador hojeando a https://172.16.101.252.

    eap-tls-acs40-win2003-26.gif

  2. Haga clic en Login (Conexión).

  3. Inicie sesión con el usuario predeterminado admin y la contraseña predeterminada admin.

  4. Cree la asignación del VLA N de la interfaz bajo menú del regulador.

  5. Haga clic las interfaces.

  6. Haga clic en New.

  7. En el empleado del tipo de campo de nombre de la interfaz. (Este campo puede ser cualquier valor que usted tenga gusto.)

  8. En el tipo de campo 20 VLAN ID. (Este campo puede ser cualquier VLA N que se lleve adentro la red.)

  9. Haga clic en Apply (Aplicar).

  10. Configure la información como esto interconecta > edita las demostraciones de la ventana.

    /image/gif/paws/71929/eap-tls-acs40-win2003-27.gif

  11. Haga clic en Apply (Aplicar).

  12. red inalámbrica (WLAN) del tecleo.

  13. Haga clic en New.

  14. En el empleado del tipo de campo de la red inalámbrica (WLAN) SSID.

  15. Haga clic en Apply (Aplicar).

  16. Configure la información como este los WLAN > editan las demostraciones de la ventana.

    Nota: El WPA2 es el método de encripción elegido de la capa 2 para este laboratorio. Para permitir que el WPA con los clientes TKIP-MIC se asocie a este SSID, usted puede también marcar al modo de compatibilidad de los cuadros WPA y permitir los clientes WPA2 TKIP o a esos clientes que no soportan el método de encripción AES 802.11i.

    /image/gif/paws/71929/eap-tls-acs40-win2003-28.gif

  17. Haga clic en Apply (Aplicar).

  18. Haga clic el menú de seguridad y agregue al servidor de RADIUS.

  19. Haga clic en New.

  20. Agregue la dirección IP del servidor de RADIUS (172.16.100.25) que es el servidor ACS configurado anterior.

  21. Asegúrese de que la clave compartida haga juego al cliente AAA configurado en el servidor ACS.

  22. Haga clic en Apply (Aplicar).

    eap-tls-acs40-win2003-29.gif

    eap-tls-acs40-win2003-30.gif

  23. La configuración básica es completa ahora y usted puede comenzar a probar el EAP-TLS.

Autenticación EAP-TLS

Autenticación EAP-TLS requiere el ordenador y los Certificados de usuario en el cliente de red inalámbrica, la adición de EAP-TLS como tipo EAP a la política de acceso remoto para el acceso de red inalámbrica, y una reconfiguración de la conexión de red inalámbrica.

Para configurar DC_CA para proporcionar el Autoregistro para el ordenador y los Certificados de usuario, complete los procedimientos en esta sección.

Nota: Microsoft ha cambiado la plantilla del servidor Web con la versión de la empresa CA de Windows 2003 de modo que las claves sean no más exportables y la opción sea greyed hacia fuera. No hay otros Certificate Template plantilla de certificado suministrados los servicios de certificados que están para la autenticación de servidor y dan la capacidad de marcar las claves pues exportable que están disponibles en el descenso-abajo así que usted tiene que crear una nueva plantilla que lo haga tan.

Nota: El Windows 2000 permite las claves exportables y estos procedimientos no necesitan ser seguidos si usted utiliza el Windows 2000.

Instale los Certificate Template plantilla de certificado Broche-en

Complete estos pasos:

  1. Elija el Start (Inicio) > Run (Ejecutar), teclee el mmc, y haga clic la AUTORIZACIÓN.

  2. En el menú de archivos, el tecleo agrega/quita Broche-en y entonces haga click en Add

  3. Bajo Broche-en, los Certificate Template plantilla de certificado del clic doble, cierre del tecleo, y entonces hacen clic la AUTORIZACIÓN.

  4. En el árbol de la consola, Certificate Template plantilla de certificado del tecleo. Todos los Certificate Template plantilla de certificado aparecen en el panel de detalles.

  5. Para desviar los pasos 2 a 4, tipo certtmpl.msc broche-en quien abre los Certificate Template plantilla de certificado.

    /image/gif/paws/71929/eap-tls-acs40-win2003-31.gif

Cree el Certificate Template plantilla de certificado para el servidor Web ACS

Complete estos pasos:

  1. En el panel de detalles de los Certificate Template plantilla de certificado broche-en, haga clic la plantilla del servidor Web.

  2. En el Menú Action (Acción), haga clic la plantilla duplicado.

    /image/gif/paws/71929/eap-tls-acs40-win2003-32.gif

  3. En el campo de nombre de la visualización de la plantilla, tipo ACS.

    eap-tls-acs40-win2003-33.gif

  4. Vaya a la lengueta de la dirección de petición y el control permite que la clave privada sea exportada.

    eap-tls-acs40-win2003-34.gif

  5. Elija las peticiones debe utilizar uno de los CSP siguientes y marcar el v1.0 del Proveedor criptográfico de la base de Microsoft. Desmarque cualquier otro CSP se marque que y después haga clic la AUTORIZACIÓN.

    /image/gif/paws/71929/eap-tls-acs40-win2003-35.gif

  6. Vaya a la lengueta del asunto, elija la fuente en la petición y haga clic la AUTORIZACIÓN.

    eap-tls-acs40-win2003-36.gif

  7. Vaya a la ficha de seguridad, resalte el grupo de Admins del dominio y asegúrese de que la opción del alistar está marcada bajo permitido.

    Importante: Si usted elige construir de esta información del Active Directory solamente, marcar el nombre principal de usuario (UPN) y desmarcar incluya el nombre del email en el nombre del asunto y del email porque un nombre del email no fue ingresado para la cuenta de WirelessUser en los usuarios de directorio activo y computadora broche-en. Si usted no inhabilita estas dos opciones, el Autoregistro intenta utilizar el email, que da lugar a un error del Autoregistro.

    /image/gif/paws/71929/eap-tls-acs40-win2003-37.gif

  8. Hay medidas de seguridad complementaria si es necesario para evitar que los Certificados sean eliminados automáticamente. Éstos se pueden encontrar bajo lengueta de los requisitos de la emisión. Esto no se discute más lejos en este documento.

    /image/gif/paws/71929/eap-tls-acs40-win2003-38.gif

  9. Haga Click en OK para salvar la plantilla y a moverse sobre la publicación de esta plantilla desde el Certificate Authority broche-en.

Habilite el nuevo Certificate Template plantilla de certificado del servidor Web ACS

Complete estos pasos:

  1. Abra las autoridades de certificación broche-en. Siga los pasos 1-3 en el crear el Certificate Template plantilla de certificado para la sección del servidor Web ACS, elija la opción del Certificate Authority, elija la computadora local y el clic en Finalizar.

    eap-tls-acs40-win2003-39.gif

  2. En el árbol de la consola, amplíe el wirelessdemoca, y después haga clic con el botón derecho del ratón los Certificate Template plantilla de certificado.

    /image/gif/paws/71929/eap-tls-acs40-win2003-40.gif

  3. Elija nuevo > Certificate Template plantilla de certificado a publicar.

  4. Haga clic el Certificate Template plantilla de certificado ACS.

    /image/gif/paws/71929/eap-tls-acs40-win2003-41.gif

  5. El Haga Click en OK y abre a los usuarios de directorio activo y computadora broche-en.

  6. En el árbol de la consola, los usuarios de directorio activo y computadora del clic doble, hacen clic con el botón derecho del ratón el dominio wirelessdemo.local, y después hacen clic las propiedades.

    /image/gif/paws/71929/eap-tls-acs40-win2003-42.gif

  7. En la lengueta de la directiva del grupo, la directiva del Default Domain del tecleo, y entonces hace clic edita. Esto abre el editor del objeto de la directiva del grupo broche-en.

    eap-tls-acs40-win2003-43.gif

  8. En el árbol de la consola, amplíe el Computer Configuration (Configuración de la computadora) > Windows Settings (Configuración de Windows) > Security Settings (Configuración de seguridad) > las directivas de la clave pública, y después seleccione las configuraciones automáticas del pedido de certificado.

    /image/gif/paws/71929/eap-tls-acs40-win2003-44.gif

  9. Haga clic con el botón derecho del ratón las configuraciones automáticas del pedido de certificado y elija el nuevo > automático pedido de certificado.

  10. En la recepción a la página automática del asistente para la configuración del pedido de certificado, haga clic después.

  11. En la página del Certificate Template plantilla de certificado, haga clic la Computadora y haga clic después.

    eap-tls-acs40-win2003-45.gif

  12. Al completar la página automática del asistente para la configuración del pedido de certificado, clic en Finalizar.

    El tipo de certificado de la Computadora ahora aparece en el panel de detalles del editor del objeto de la directiva del grupo broche-en.

    eap-tls-acs40-win2003-46.gif

  13. En el árbol de la consola, amplíe la configuración de usuario > las configuraciones del > Security (Seguridad) de las configuraciones de Windows > las directivas de la clave pública.

    /image/gif/paws/71929/eap-tls-acs40-win2003-47.gif

  14. En el panel de detalles, configuraciones del Autoregistro del clic doble.

  15. Elija alistan los Certificados automáticamente y el control renueva los certificados vencidos, se pone al día hasta que finalicen los Certificados y quita los Certificados revocados y los Certificados de la actualización que utilizan los Certificate Template plantilla de certificado.

    eap-tls-acs40-win2003-48.gif

  16. Haga clic en OK.

Configuración del certificado ACS 4.0

Certificado exportable de la configuración para el ACS

Importante: El servidor ACS debe obtener un certificado de servidor del servidor de la empresa raíz CA para autenticar a un cliente del EAP-TLS de la red inalámbrica (WLAN).

Importante: Asegúrese de que el Administrador IIS no esté abierto durante el proceso de configuración del certificado pues causa los problemas con la información guardada en memoria caché.

  1. El registro en el servidor ACS con una cuenta que tenga empresa Admin endereza.

  2. En la máquina local ACS, señale al navegador en el servidor de las autoridades de certificación de Microsoft en http://IP-address-of-Root-CA/certsrv. En este caso, la dirección IP es 172.16.100.26.

  3. Login como el administrador.

    eap-tls-acs40-win2003-49.gif

  4. Elija la petición un certificado y haga clic después.

    eap-tls-acs40-win2003-50.gif

  5. Elija el pedido avanzado y haga clic después.

    eap-tls-acs40-win2003-51.gif

  6. Elija crean y someten una petición a este CA y hacen clic después.

    Importante: La razón de este paso es debido al hecho que Windows 2003 no permite para las claves exportables y usted necesita generar un pedido de certificado basado en el certificado ACS que usted creó eso lo hace anterior.

    eap-tls-acs40-win2003-52.gif

  7. De los Certificate Template plantilla de certificado, seleccione el ACS anterior nombrado creado Certificate Template plantilla de certificado. Las opciones cambian después de que usted seleccione la plantilla.

  8. Configure el nombre para ser el Nombre de dominio totalmente calificado (FQDN) del servidor ACS. En este caso el nombre de servidor ACS es cisco_w2003.wirelessdemo.local. Asegúrese de que el certificado del almacén en el almacén de certificados de computadora local esté marcado y tecleo someten.

    /image/gif/paws/71929/eap-tls-acs40-win2003-53.gif

  9. Un hacer estallar encima de la ventana aparece que advierte sobre una infracción potencial del scripting. Haga clic en Sí

    eap-tls-acs40-win2003-54.gif

  10. Haga clic en Install this certificate (Instalar este certificado).

    /image/gif/paws/71929/eap-tls-acs40-win2003-55.gif

  11. Un hacer estallar encima de la ventana aparece otra vez y advierte sobre una infracción potencial del scripting. Haga clic en Sí

    eap-tls-acs40-win2003-56.gif

  12. Después de que usted haga clic , el certificado está instalado.

    /image/gif/paws/71929/eap-tls-acs40-win2003-57.gif

  13. En este momento, el certificado está instalado en la carpeta de los Certificados. Para acceder esta carpeta, elija el Start (Inicio) > Run (Ejecutar), el tipo mmc, Presione ENTER, y elija personal > los Certificados.

    eap-tls-acs40-win2003-58.gif

  14. Ahora que el certificado está instalado a la computadora local (ACS o cisco_w2003 en este ejemplo), usted necesita generar un archivo de certificado (.cer) para la configuración del archivo de certificado ACS 4.0.

  15. En el servidor ACS (cisco_w2003 en este ejemplo), señale al navegador en el servidor de las autoridades de certificación de Microsoft a http://172.16.100.26 /certsrv.

Instale el certificado en el software ACS 4.0

Complete estos pasos:

  1. En el servidor ACS (cisco_w2003 en este ejemplo), señale al navegador en el Microsoft CA server a http://172.16.100.26 /certsrv.

  2. Del selecto una opción de la tarea elige la descarga un certificado de CA, una Cadena de certificados o un CRL.

  3. Elija el método de codificación de la radio del base 64 y haga clic el certificado de CA de la descarga.

    eap-tls-acs40-win2003-59.gif

  4. Una ventana de la advertencia de seguridad de la descarga del archivo aparece. Haga clic en Save (Guardar).

    eap-tls-acs40-win2003-60.gif

  5. Salve el archivo con un nombre tal como ACS.cer o cualquier nombre que usted desee. Recuerde este nombre puesto que usted lo utiliza durante el Certificate Authority ACS puesto en ACS 4.0.

    eap-tls-acs40-win2003-61.gif

  6. Abra ACS Admin del acceso directo en el escritorio creado durante la instalación.

  7. Haga clic la configuración del sistema.

    /image/gif/paws/71929/eap-tls-acs40-win2003-62.gif

  8. Configuración del certificado del tecleo ACS.

    /image/gif/paws/71929/eap-tls-acs40-win2003-63.gif

  9. Haga clic en Install ACS Certificate (Instalar certificado ACS).

    /image/gif/paws/71929/eap-tls-acs40-win2003-64.gif

  10. Elija el certificado del uso del almacenamiento y teclee adentro el Nombre de dominio totalmente calificado (FQDN) de cisco_w2003.wirelessdemo.local (o de ACS.wirelessdemo.local si usted utilizó el ACS como el nombre).

    /image/gif/paws/71929/eap-tls-acs40-win2003-65.gif

  11. Haga clic en Submit (Enviar).

    eap-tls-acs40-win2003-66.gif

  12. Configuración del sistema del tecleo.

  13. El control de servicio del tecleo y entonces hace clic el reinicio.

    eap-tls-acs40-win2003-67.gif

  14. Configuración del sistema del tecleo.

  15. Configuración de la autenticación global del tecleo.

  16. El control permite el EAP-TLS y todos los cuadros por debajo él.

    /image/gif/paws/71929/eap-tls-acs40-win2003-68.gif

  17. Tecleo Submit + Restart.

  18. Configuración del sistema del tecleo.

  19. Configuración de las autoridades de certificación del tecleo ACS.

  20. Bajo la ventana de la configuración de las autoridades de certificación ACS, teclee el nombre y la ubicación del archivo *.cer creado anterior. En este ejemplo, el archivo *.cer creado es ACS.cer en el directorio raíz c:\.

  21. El tipo c:\acs.cer en el campo del archivo del certificado de CA y el tecleo someten.

    eap-tls-acs40-win2003-69.gif

  22. Recomience el servicio ACS.

Configuración del cliente para el EAP-TLS usando Windows cero tacto

El CLIENTE es un ordenador que funciona con al profesional de Windows XP con el SP2 que actúa como cliente de red inalámbrica y obtiene el acceso a los recursos del Intranet a través de la Tecnología inalámbrica AP. Complete los procedimientos en esta sección para configurar al CLIENTE como cliente de red inalámbrica.

Realice una instalación básica y una configuración

Complete estos pasos:

  1. Conecte al CLIENTE con el segmento de red del Intranet usando un cable Ethernet conectado con el Switch.

  2. En el CLIENTE, instale al profesional de Windows XP con el SP2 como ordenador del miembro nombrado CLIENT en el dominio wirelessdemo.local.

  3. Instale al profesional de Windows XP con el SP2. Esto se debe instalar para tener soporte del EAP-TLS y PEAP.

    Nota: Firewall de Windows se gira automáticamente en el profesional de Windows XP con el SP2. No apague el Firewall.

Configure la conexión de red inalámbrica

Complete estos pasos:

  1. Termine una sesión y después abra una sesión usando la cuenta de WirelessUser en el dominio wirelessdemo.local.

    Nota: El ordenador y la configuración de usuario de la actualización agrupan las configuraciones de la directiva y obtienen un ordenador y un Certificado de usuario para el ordenador del cliente de red inalámbrica inmediatamente, tecleando el gpupdate en un comando prompt. Si no, cuando usted termina una sesión y después abre una sesión, realiza la misma función que el gpupdate. Usted debe ser abierto una sesión al dominio conectando sobre el alambre.

    Nota: Para validar que el certificado está instalado automáticamente en el cliente, abra el certificado MMC y valídelo que el certificado de WirelessUser está disponible en la carpeta de los certificados personales.

    /image/gif/paws/71929/eap-tls-acs40-win2003-70.gif

  2. Elija el comienzo > al panel de control, haga doble clic las conexiones de red, y después haga clic con el botón derecho del ratón la conexión de red inalámbrica.

  3. Haga clic las propiedades, vaya a la lengueta de las redes inalámbricas, y asegúrese de que las Ventanas del usuario para configurar mis configuraciones de la red inalámbrica están marcadas.

    eap-tls-acs40-win2003-71.gif

  4. Haga clic en Add (Agregar).

  5. Vaya a la lengueta de la asociación, y al empleado del tipo en el campo del nombre de red (SSID).

  6. Asegúrese de que la encripción de datos esté fijada al WEP y la clave está proporcionada para mí está marcada automáticamente.

    /image/gif/paws/71929/eap-tls-acs40-win2003-72.gif

  7. Vaya a la lengueta de la autenticación.

  8. Valide que configuran al tipo EAP para utilizar la placa inteligente o el otro certificado. Si no es, selecciónelo del menú desplegable.

  9. Si usted quiere la máquina que se autenticará antes del login (que permite los scripts del login o directiva del grupo avanza para ser aplicado) elige la opción autentica como ordenador cuando información acerca de la computadora está disponible.

    eap-tls-acs40-win2003-73.gif

  10. Haga clic en Properties (Propiedades).

  11. Asegúrese de que los cuadros en esta ventana estén marcados.

    /image/gif/paws/71929/eap-tls-acs40-win2003-74.gif

  12. Haga Click en OK tres veces.

  13. Haga clic con el botón derecho del ratón el icono de la conexión de red inalámbrica en systray y después haga clic las redes inalámbricas disponibles de la visión.

  14. Haga clic la red inalámbrica del empleado y el tecleo conecta.

    eap-tls-acs40-win2003-75.gif

    Estas capturas de pantalla indican si la conexión completa con éxito.

    /image/gif/paws/71929/eap-tls-acs40-win2003-76.gif

    eap-tls-acs40-win2003-77.gif

    eap-tls-acs40-win2003-78.gif

    eap-tls-acs40-win2003-79.gif

  15. Después de que la autenticación sea acertada, marque la configuración TCP/IP para el adaptador de red inalámbrica usando las conexiones de red. Debe tener un intervalo de direcciones de 172.16.100.100-172.16.100.254 del alcance de DHCP o del alcance creado para los clientes de red inalámbrica.

  16. Para probar las funciones, abra a un navegador y hojee a http://wirelessdemoca (o a la dirección IP del servidor de CA de la empresa).

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 71929