Tecnología inalámbrica / Movilidad : Seguridad de WLAN

Ejemplo de configuración del servidor local unificado de la red inalámbrica EAP

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (20 Diciembre 2015) | Comentarios


Contenido


Introducción

Este documento describe la configuración de un servidor local de Extensible Authentication Protocol (EAP) en un Controlador de LAN de Red Inalámbrica Cisco (WLC) para la autenticación de los usuarios de red inalámbrica.

El EAP local es un método de autentificación que permite los usuarios y a los clientes de red inalámbrica que se autenticarán localmente. Se diseña para el uso en las oficinas remotas que quieren mantener la Conectividad a los clientes de red inalámbrica cuando el sistema final se interrumpe o va el servidor de autenticación externa abajo. Cuando usted habilita el EAP local, el regulador sirve como el servidor de autenticación y la base de datos de usuarios locales, de tal modo quitando la dependencia de un servidor de autenticación externa. El EAP local extrae los credenciales de usuario de la base de datos de usuarios locales o de la base de datos del back-end del Lightweight Directory Access Protocol (LDAP) para autenticar a los usuarios. El EAP local soporta EAP ligero (SALTO), la autenticación adaptable de EAP vía el Tunelización seguro (EAP-FAST), y la autenticación de la Seguridad de la capa del EAP-transporte (EAP-TLS) entre el regulador y los clientes de red inalámbrica.

Observe que el servidor local EAP no está disponible si hay una configuración de servidor RADIUS externo global en el WLC. Todos los pedidos de autenticación se remiten al externo global RADIUS hasta que el servidor local EAP esté disponible. Si el WLC suelta la Conectividad al servidor RADIUS externo, después el servidor local EAP llega a ser activo. Si no hay configuración de servidor de RADIUS global, el servidor local EAP llega a ser inmediatamente activo. El servidor local EAP no se puede utilizar para autenticar a los clientes, que están conectados con el otro WLCs. Es decir un WLC no puede remitir su petición EAP a otro WLC para la autenticación. Cada WLC debe tener su propio servidor local EAP y base de datos individual.

Nota: Utilice estos comandos para parar el WLC de enviar las peticiones a un servidor RADIUS externo.

config wlan disable
        config wlan radius_server auth disable 
        config wlan enable

Los soportes de servidor locales EAP estos protocolos en la versión de software de 4.1.171.0 y posterior:

  • SALTO

  • EAP-FAST (ambo nombre de usuario/contraseña, y Certificados)

  • EAP-TLS

prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Conocimiento de cómo configurar el WLCs y los Puntos de acceso ligeros (revestimientos) para la operación básica

  • Conocimiento de los métodos del protocolo (LWAPP) y de la seguridad de red inalámbrica del Lightweight Access Point

  • Conocimiento básico de la autenticación EAP local.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Windows XP con la versión 4.05 de la placa adaptadora y del Cisco Secure Services Client del CB21AG

  • Regulador 4.1.171.0 del Wireless LAN de Cisco 4400

  • Autoridades de certificación de Microsoft encendido Windows 2000 Server

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Configure el EAP local en el controlador LAN de la tecnología inalámbrica de Cisco

Este documento asume que la configuración básica del WLC está completada ya.

Configuración local EAP

Complete estos pasos para configurar el EAP local:

  1. Agregue a un usuario de red local:

    Del GUI. elija la Seguridad > a los usuarios de red local > nuevo, ingrese el Nombre de usuario, contraseña, Usuario invitado, ID DE WLAN, y la descripción y el tecleo se aplican.

    uwn-loc-eap-svr-config-1a.gif

    Del CLI usted puede utilizar el netuser de los config agrega el comando del <description> del id> del <password> <WLAN del <username>:

    Nota: Este comando se ha derribado a una segunda línea debido a las razones espaciales.

    (Cisco Controller) >config netuser add eapuser2 cisco123 1 Employee 
    user local database
    
    
  2. Especifique la orden de extracción del credencial de usuario.

    Del GUI, elija la Seguridad > local EAP > prioridad de la autenticación. Entonces seleccione el LDAP, hacen clic “<” el botón y el tecleo se aplica. Esto pone los credenciales de usuario en la base de datos local primero.

    uwn-loc-eap-svr-config-2.gif

    Del CLI:

    (Cisco Controller) >config local-auth user-credentials local
    
  3. Agregue un perfil EAP:

    Para hacer esto del GUI, elija la Seguridad > local EAP > los perfiles y haga clic nuevo. Cuando aparece la nueva ventana, teclee el nombre del perfil y el tecleo se aplica.

    uwn-loc-eap-svr-config-3.gif

    Usted puede también hacer esto usando el comando CLI que el EAP-perfil del local-auth de los config agrega el <profile-name>. En nuestro ejemplo, el nombre del perfil es EAP-prueba.

    (Cisco Controller) >config local-auth eap-profile add EAP-test
    
    
  4. Agregue un método al perfil EAP.

    Del GUI elija la Seguridad > local EAP > los perfiles y haga clic en el nombre del perfil para el cual usted quiere agregar los métodos de autentificación. Este ejemplo utiliza el SALTO, el EAP-FAST, y el EAP-TLS. El tecleo se aplica para fijar los métodos.

    /image/gif/paws/91628/uwn-loc-eap-svr-config-4.gif

    Usted puede también utilizar el comando CLI que el método del EAP-perfil del local-auth de los config agrega el <profile-name> del <method-name>. En nuestro ejemplo de configuración agregamos tres métodos a la EAP-prueba del perfil. Los métodos son el SALTO, el EAP-FAST, y el EAP-TLS cuyos nombres del método son salto, rápido, y tls respectivamente. Esta salida muestra los comandos de configuración CLI:

    (Cisco Controller) >config local-auth eap-profile method add leap EAP-test
    (Cisco Controller) >config local-auth eap-profile method add fast EAP-test
    (Cisco Controller) >config local-auth eap-profile method add tls EAP-test
    
  5. Configure los parámetros del método EAP. Esto se utiliza solamente para el EAP-FAST. Los parámetros que se configurarán son:

    • Clave del servidor (clave del servidor) — Cifrar/de la clave del servidor credenciales protegidas decrypt del acceso (PAC) (en el hexadecimal).

    • Time to Live para PAC (PAC-TTL) — Fija el Time to Live para el PAC.

    • Autoridad ID (autoridad-identificación) — Fija el identificador de la autoridad.

    • Disposición de Annonymous (anon-provn) — Configura si la disposición anónima está permitida. Esto se activa como opción predeterminada.

    Para la configuración con el GUI, elija la Seguridad > local los parámetros EAP > del EAP-FAST y ingrese la clave del servidor, el Time to Live para el PAC, la autoridad ID (en el maleficio), y los valores de información ID de la autoridad.

    /image/gif/paws/91628/uwn-loc-eap-svr-config-5.gif

    Éstos son los comandos de configuración CLI de utilizar para fijar estos parámetros para el EAP-FAST:

    (Cisco Controller) >config local-auth method fast server-key 12345678
    (Cisco Controller) >config local-auth method fast authority-id 43697369f1 CiscoA-ID
    (Cisco Controller) >config local-auth method fast pac-ttl 10
    
  6. Autenticación local del permiso por la red inalámbrica (WLAN):

    Del GUI elija los WLAN en el menú superior y seleccione la red inalámbrica (WLAN) para la cual usted quiere configurar la autenticación local. Una nueva ventana aparece. Haga clic las lenguetas de la Seguridad >AAA. Marque la autenticación EAP local y seleccione el nombre del perfil correcto EAP del menú desplegable como este ejemplo muestra:

    /image/gif/paws/91628/uwn-loc-eap-svr-config-6.gif

    Usted puede también publicar el comando configuration wlan del <wlan-id> del <profile-name> del permiso del local-auth de los config CLI como se muestra aquí:

    (Cisco Controller) >config wlan local-auth enable EAP-test 1 
  7. Fije los parámetros de seguridad de la capa 2.

    De la interfaz GUI, en la red inalámbrica (WLAN) edite la ventana van a las lenguetas de la Seguridad > de la capa 2 y eligió WPA+WPA2 del menú desplegable de la Seguridad de la capa 2. Bajo parámetros WPA+WPA2 seccione, fije el cifrado WPA TKIP y WPA2 al cifrado AES. Entonces haga clic se aplican.

    uwn-loc-eap-svr-config-7a.gif

    Del CLI, utilice estos comandos:

    (Cisco Controller) >config wlan security wpa enable 1 
    (Cisco Controller) >config wlan security wpa wpa1 ciphers tkip enable 1
    (Cisco Controller) >config wlan security wpa wpa2 ciphers aes enable 1 
  8. Verifique la configuración:

    (Cisco Controller) >show local-auth config 
    
    User credentials database search order:
        Primary ..................................... Local DB
    
    Timer:
        Active timeout .............................. Undefined
    
    Configured EAP profiles:
        Name ........................................ EAP-test
          Certificate issuer ........................ cisco
          Peer verification options:
            Check against CA certificates ........... Enabled
            Verify certificate CN identity .......... Disabled
            Check certificate date validity ......... Enabled
          EAP-FAST configuration:
            Local certificate required .............. No
            Client certificate required ............. No
          Enabled methods ........................... leap fast tls 
          Configured on WLANs ....................... 1 
    
    EAP Method configuration:
        EAP-FAST:
    --More-- or (q)uit
          Server key ................................ <hidden>
          TTL for the PAC ........................... 10
          Anonymous provision allowed ............... Yes
          Authority ID .............................. 43697369f10000000000000000000
          Authority Information ..................... CiscoA-ID

    Usted puede ver los parámetros específicos de 1 wlan con el comando <wlan wlan del id> de la demostración:

    (Cisco Controller) >show wlan 1
    
    
    WLAN Identifier.................................. 1
    Profile Name..................................... austinlab
    Network Name (SSID).............................. austinlab
    Status........................................... Disabled
    MAC Filtering.................................... Disabled
    Broadcast SSID................................... Enabled
    AAA Policy Override.............................. Disabled
    Number of Active Clients......................... 0
    Exclusionlist Timeout............................ 60 seconds
    Session Timeout.................................. 1800 seconds
    Interface........................................ management
    WLAN ACL......................................... unconfigured
    DHCP Server...................................... Default
    DHCP Address Assignment Required................. Disabled
    Quality of Service............................... Silver (best effort)
    WMM.............................................. Disabled
    CCX - AironetIe Support.......................... Enabled
    CCX - Gratuitous ProbeResponse (GPR)............. Disabled
    Dot11-Phone Mode (7920).......................... Disabled
    Wired Protocol................................... None
    --More-- or (q)uit
    IPv6 Support..................................... Disabled
    Radio Policy..................................... All
    Local EAP Authentication......................... Enabled (Profile 'EAP-test')
    Security
    
       802.11 Authentication:........................ Open System
       Static WEP Keys............................... Disabled
       802.1X........................................ Disabled
       Wi-Fi Protected Access (WPA/WPA2)............. Enabled
          WPA (SSN IE)............................... Enabled
             TKIP Cipher............................. Enabled
             AES Cipher.............................. Disabled
          WPA2 (RSN IE).............................. Enabled
             TKIP Cipher............................. Disabled
             AES Cipher.............................. Enabled
                                                                Auth Key Management
             802.1x.................................. Enabled
             PSK..................................... Disabled
             CCKM.................................... Disabled
       CKIP ......................................... Disabled
       IP Security................................... Disabled
       IP Security Passthru.......................... Disabled
       Web Based Authentication...................... Disabled
    --More-- or (q)uit
       Web-Passthrough............................... Disabled
       Conditional Web Redirect...................... Disabled
       Auto Anchor................................... Disabled
       Cranite Passthru.............................. Disabled
       Fortress Passthru............................. Disabled
       H-REAP Local Switching........................ Disabled
       Infrastructure MFP protection................. Enabled 
                                              (Global Infrastructure MFP Disabled)
       Client MFP.................................... Optional
       Tkip MIC Countermeasure Hold-down Timer....... 60
    
     Mobility Anchor List
     WLAN ID     IP Address       Status

    Hay otros parámetros de la autenticación local que pueden ser configurados, particularmente el temporizador activo del descanso. Este temporizador configura el período durante el cual el EAP local es después de todo servidores de RADIUS usados ha fallado.

    Del GUI, elija la Seguridad > local EAP > general y determinado el valor del tiempo. Entonces haga clic se aplican.

    /image/gif/paws/91628/uwn-loc-eap-svr-config-7b.gif

    Del CLI, publique estos comandos:

    (Cisco Controller) >config local-auth active-timeout ?
    <1 to 3600> Enter the timeout period for the Local EAP to remain active, 
    in seconds.
    (Cisco Controller) >config local-auth active-timeout 60
    

    Usted puede verificar el valor al cual se configura este temporizador cuando usted publica el comando config del local-auth de la demostración.

    (Cisco Controller) >show local-auth config 
    
    User credentials database search order:
        Primary ..................................... Local DB
    
    Timer:
        Active timeout .............................. 60
    
    Configured EAP profiles:
        Name ........................................ EAP-test
    ... Skip
  9. Si usted necesita generar y cargar el PAC manual, usted puede utilizar el GUI o el CLI.

    Del GUI, los COMANDOS selectos del menú superior y eligieron el archivo de la carga de la lista en el Lado derecho. PAC selecto (credenciales protegidos del acceso) del menú desplegable del tipo de archivo. Ingrese todos los parámetros y haga clic en la carga.

    /image/gif/paws/91628/uwn-loc-eap-svr-config-7c.gif

    Del CLI, ingrese estos comandos:

    (Cisco Controller) >transfer upload datatype pac 
    (Cisco Controller) >transfer upload pac ?
                   
    username     Enter the user (identity) of the PAC 
                   
     (Cisco Controller) >transfer upload pac test1 ?
                   
    <validity>     Enter the PAC validity period (days)
                   
    (Cisco Controller) >transfer upload pac test1 60 ?
                   
    <password>     Enter a password to protect the PAC
                   
     (Cisco Controller) >transfer upload pac test1 60 cisco123
    
    (Cisco Controller) >transfer upload serverip 10.1.1.1
    
    (Cisco Controller) >transfer upload filename manual.pac
    
    (Cisco Controller) >transfer upload start 
    
    Mode............................................. TFTP  
    TFTP Server IP................................... 10.1.1.1
    TFTP Path........................................ /
    TFTP Filename.................................... manual.pac
    Data Type........................................ PAC         
    PAC User......................................... test1
    PAC Validity..................................... 60 days
    PAC Password..................................... cisco123
    
    Are you sure you want to start? (y/N) y
    PAC transfer starting.
    File transfer operation completed successfully.

Autoridades de certificación de Microsoft

Para utilizar la versión 2 del EAP-FAST y autenticación EAP-TLS, el WLC y todos los dispositivos del cliente deben tener un certificado válido y deben también conocer el certificado público de las autoridades de certificación.

Instalación

Si Windows 2000 Server no tiene ya los servicios de las autoridades de certificación instalados, usted necesita instalarla.

Complete estos pasos para activar las autoridades de certificación de Microsoft en a Windows 2000 Server:

  1. Del panel de control, elija agregan/quitan los programas. :

    uwn-loc-eap-svr-config-8.gif

  2. Selecto agregue/quite a los componentes de Windows en el lado izquierdo.

    /image/gif/paws/91628/uwn-loc-eap-svr-config-9.gif

  3. Servicios de certificados del control.

    /image/gif/paws/91628/uwn-loc-eap-svr-config-10.gif

    Revise esta advertencia antes de que usted proceda:

    uwn-loc-eap-svr-config-11.gif

  4. Seleccione que el tipo de autoridades de certificación usted quiere instalar. Para crear una autoridad independiente simple, seleccione independiente raíz CA.

    uwn-loc-eap-svr-config-12.gif

  5. Ingrese la información necesaria sobre las autoridades de certificación. Esta información crea un certificado autofirmado para sus autoridades de certificación. Recuerde el nombre de CA que usted utiliza.

    Las autoridades de certificación salvan los Certificados en una base de datos. Este ejemplo utiliza la configuración predeterminada propuesta por Microsoft:

    /image/gif/paws/91628/uwn-loc-eap-svr-config-13.gif

  6. Los servicios de las autoridades de certificación de Microsoft utilizan al servidor Web IIS Microsoft para crear y manejar los Certificados de cliente y servidor. Necesita recomenzar el servicio IIS para esto:

    uwn-loc-eap-svr-config-14.gif

    Microsoft Windows 2000 Server ahora instala el nuevo servicio. Usted necesita tener su Windows 2000 Server CD de instalación para instalar los componentes de las nuevas ventanas.

    Las autoridades de certificación ahora están instaladas.

Instale el certificado en el controlador LAN de la tecnología inalámbrica de Cisco

Para utilizar la versión 2 y el EAP-TLS del EAP-FAST en el servidor local EAP de un controlador LAN de la tecnología inalámbrica de Cisco, siga estos tres pasos:

  1. Instale el certificado del dispositivo en el regulador del Wireless LAN.

  2. Descargue un certificado de CA del vendedor al regulador del Wireless LAN.

  3. Configure el regulador del Wireless LAN para utilizar el EAP-TLS.

Observe que en el ejemplo mostrado en este documento, el Access Control Server (ACS) está instalado en el mismo host que el Microsoft Active Directory y las autoridades de certificación de Microsoft, pero la configuración debe ser lo mismo si el servidor ACS está en un diverso servidor.

Instale el certificado del dispositivo en el regulador del Wireless LAN

Complete estos pasos:

  1. . Complete estos pasos para generar el certificado para importar al WLC:

    1. Vaya a http:// <serverIpAddr>/certsrv.

    2. Elija la petición un certificado y haga clic después.

    3. Elija el pedido avanzado y haga clic después.

    4. Elija presentan un pedido de certificado a este CA usando una forma y hacen clic después.

    5. Elija al servidor Web para el Certificate Template plantilla de certificado y ingrese la información pertinente. Entonces marque las claves como exportables.

    6. Usted ahora recibe un certificado que usted necesite instalar en su máquina.

  2. Complete estos pasos para extraer el certificado del PC:

    1. Abra a un buscador Internet Explorer y elija las herramientas > las opciones de Internet > el contenido.

    2. Haga clic los Certificados.

    3. Seleccione el certificado nuevamente instalado del menú desplegable.

    4. Haga clic la exportación.

    5. Haga clic después dos veces y elija sí la exportación la clave privada. Este formato es el PKCS-12 (formato del .PFX).

    6. Elija la protección fuerte del permiso.

    7. Teclee una contraseña.

    8. Sálvela en un archivo <tme2.pfx>.

  3. Copie el certificado en el formato del PKCS-12 a cualquier ordenador donde usted hace Openssl instalar para convertirlo al formato PEM.

    openssl pkcs12 -in tme2.pfx -out tme2.pem  
    
    !--- The command to be given, -in <inputfilename>.
    
    Enter Import Password:              
    
    !--- Enter the password given previously, from step 2g.
    
    MAC verified OK
    Enter PEM pass phrase:      
    
    !--- Enter a phrase.
    
    Verifying - Enter PEM pass phrase:
  4. Descargue el certificado convertido del dispositivo de formato PEM sobre el WLC.

    (Cisco Controller) >transfer download datatype eapdevcert
    
    (Cisco Controller) >transfer download certpassword password 
    
    !--- From step 3.
    
    Setting password to <cisco123>
    
    (Cisco Controller) >transfer download filename tme2.pem
    
    (Cisco Controller) >transfer download start
    
    Mode............................................. TFTP
    Data Type........................................ Vendor Dev Cert
    TFTP Server IP................................... 10.1.1.12
    TFTP Packet Timeout.............................. 6
    TFTP Max Retries................................. 10
    TFTP Path........................................ /
    TFTP Filename.................................... tme2.pem
    
    This may take some time.
    Are you sure you want to start? (y/N) y
    
    TFTP EAP Dev cert transfer starting.
    
    Certificate installed.
      Reboot the switch to use new certificate.
  5. Una vez que está reiniciado, marque el certificado.

    (Cisco Controller) >show local-auth certificates
    
    Certificates available for Local EAP authentication:
    
    Certificate issuer .............................. vendor
      CA certificate:
        Subject: C=US, ST=ca, L=san jose, O=cisco, OU=wnbu, CN=tme
         Issuer: C=US, ST=ca, L=san jose, O=cisco, OU=wnbu, CN=tme
          Valid: 2007 Feb 28th, 19:35:21 GMT to 2012 Feb 28th, 19:44:44 GMT
      Device certificate:
        Subject: C=US, ST=ca, L=san jose, O=cisco, OU=wnbu, CN=tme2
         Issuer: C=US, ST=ca, L=san jose, O=cisco, OU=wnbu, CN=tme
          Valid: 2007 Mar 28th, 23:08:39 GMT to 2009 Mar 27th, 23:08:39 GMT

Descargue un certificado de CA del vendedor al regulador del Wireless LAN

Complete estos pasos:

  1. Complete estos pasos para extraer el certificado de CA del vendedor:

    1. Vaya a http:// <serverIpAddr>/certsrv.

    2. Elija extraen el certificado de CA y hacen clic después.

    3. Elija el certificado de CA.

    4. Haga clic el DER codificado.

    5. Haga clic en el certificado de CA de la descarga y salve el certificado como rootca.cer.

  2. Convierta al vendedor que CA del formato DER en el formato PEM con el openssl x509 - en rootca.cer - informa al DER - hacia fuera rootca.pem - comando del outform PEM.

    El archivo saliente es rootca.pem en el formato PEM.

  3. Descargue el certificado de CA del vendedor:

    (Cisco Controller) >transfer download datatype eapcacert
    
    (Cisco Controller) >transfer download filename ?
                   
    <filename>     Enter filename up to 16 alphanumeric characters.
                   
    (Cisco Controller) >transfer download filename rootca.pem
    
    (Cisco Controller) >transfer download start ?
                   
    (Cisco Controller) >transfer download start 
    
    Mode............................................. TFTP  
    Data Type........................................ Vendor CA Cert
    TFTP Server IP................................... 10.1.1.12
    TFTP Packet Timeout.............................. 6
    TFTP Max Retries................................. 10
    TFTP Path........................................ /
    TFTP Filename.................................... rootca.pem
    
    This may take some time.
    Are you sure you want to start? (y/N) y
    
    TFTP EAP CA cert transfer starting.
    
    Certificate installed.
      Reboot the switch to use new certificate.

Configure el regulador del Wireless LAN para utilizar el EAP-TLS

Complete estos pasos:

Del GUI, elija la Seguridad > local EAP > los perfiles, elija el perfil y marque para saber si hay estas configuraciones:

  • El certificado local requerido se habilita.

  • El certificado del cliente requerido se habilita.

  • El emisor del certificado es vendedor.

  • El control contra los Certificados de CA se habilita.

uwn-loc-eap-svr-config-15.gif

Instale el certificado del Certificate Authority en el dispositivo del cliente

Descargue y instale a certificado raíz CA para el cliente

El cliente debe obtener a certificado raíz CA de un servidor de las autoridades de certificación. Hay varios métodos que usted puede utilizar para obtener un certificado del cliente y para instalarlo en la máquina de Windows XP. Para adquirir un certificado válido, el usuario de Windows XP tiene que ser abierto una sesión usando su identificación del usuario y debe tener una conexión de red.

Utilizaron a un buscador Web en el cliente de Windows XP y una conexión alámbrica a la red para obtener un certificado del cliente del servidor privado de las autoridades de certificación raíz. Este procedimiento se utiliza para obtener el certificado del cliente de un servidor de las autoridades de certificación de Microsoft:

  1. Utilice a un buscador Web en el cliente y señale al navegador al servidor de las autoridades de certificación. Para hacer esto, ingrese http://IP-address-of-Root-CA/certsrv.

  2. Inicie sesión con Domain_Name \ el user_name. Usted debe iniciar sesión usando el nombre de usuario del individuo que es utilizar al cliente de XP.

  3. En la ventana agradable, elija extraen un certificado de CA y hacen clic después.

  4. Seleccione el base64 que codifica y descargue el certificado de CA.

  5. En la ventana publicada certificado, el tecleo instala este certificado y hace clic después.

  6. Elija automáticamente selecto el almacén de certificados y haga clic después, para el mensaje acertado de la importación.

  7. Conecte con las autoridades de certificación para extraer el certificado del Certificate Authority:

    uwn-loc-eap-svr-config-16.gif

  8. Haga clic el certificado de CA de la descarga.

    uwn-loc-eap-svr-config-17.gif

    /image/gif/paws/91628/uwn-loc-eap-svr-config-18.gif

    uwn-loc-eap-svr-config-19.gif

    uwn-loc-eap-svr-config-20.gif

  9. Para marcar que el certificado de la autoridad de certificación está instalado correctamente, Internet Explorer abierto y elegir las herramientas > las opciones de Internet > el contenido > los Certificados.

    uwn-loc-eap-svr-config-21.gif

    uwn-loc-eap-svr-config-22.gif

    En el Trusted Root Certification Authority, usted debe ver sus autoridades de certificación nuevamente instaladas:

    uwn-loc-eap-svr-config-23.gif

Genere un certificado del cliente para un dispositivo del cliente

El cliente debe obtener un certificado de un servidor de las autoridades de certificación para que el WLC autentique a un cliente del EAP-TLS de la red inalámbrica (WLAN). Hay varios métodos que usted puede utilizar para obtener un certificado del cliente y instalarlo en la máquina de Windows XP. Para adquirir un certificado válido, el usuario de Windows XP tiene que ser abierto una sesión usando su identificación del usuario y debe tener una conexión de red (una conexión alámbrica o una conexión de la red inalámbrica (WLAN) con la Seguridad del 802.1x inhabilitada).

Utilizan a un buscador Web en el cliente de Windows XP y una conexión alámbrica a la red para obtener un certificado del cliente del servidor privado de las autoridades de certificación raíz. Este procedimiento se utiliza para obtener el certificado del cliente de un servidor de las autoridades de certificación de Microsoft:

  1. Utilice a un buscador Web en el cliente y señale al navegador al servidor de las autoridades de certificación. Para hacer esto, ingrese http://IP-address-of-Root-CA/certsrv.

  2. Inicie sesión con Domain_Name \ el user_name. Usted debe iniciar sesión usando el nombre de usuario del individuo que utiliza al cliente de XP. (El nombre de usuario consigue integrado en el certificado del cliente.)

  3. En la ventana agradable, elija la petición un certificado y haga clic después.

  4. Elija el pedido avanzado y haga clic después.

  5. Elija presentan un pedido de certificado a este CA usando una forma y hacen clic después.

  6. En el formulario de solicitud de certificado avanzado, elija el Certificate Template plantilla de certificado como usuario, especifican el tamaño de clave como 1024 y el tecleo somete.

  7. En la ventana publicada certificado, el tecleo instala este certificado. Esto da lugar a la instalación exitosa de un certificado del cliente en el cliente de Windows XP.

    uwn-loc-eap-svr-config-24.gif

    uwn-loc-eap-svr-config-25.gif

  8. Seleccione el Certificado de autenticación del cliente.

    uwn-loc-eap-svr-config-26.gif

    El certificado del cliente ahora se crea.

  9. Para marcar que el certificado está instalado, vaya al Internet Explorer y elija las herramientas > las opciones de Internet > el contenido > los Certificados. En la lengueta personal, usted debe ver el certificado.

    /image/gif/paws/91628/uwn-loc-eap-svr-config-27.gif

EAP-TLS con el Cisco Secure Services Client en el dispositivo del cliente

Complete estos pasos:

  1. El WLC, por abandono, transmite el SSID, así que se muestra en la lista de las redes del crear de SSID analizados. Para crear un perfil de la red, usted puede hacer clic el SSID en la lista (empresa) y el tecleo crea la red.

    Si la infraestructura WLAN se configura con el broadcast SSID inhabilitado, usted debe agregar manualmente el SSID. Para hacer esto, el tecleo agrega bajo dispositivos de acceso y ingresa manualmente el SSID apropiado (por ejemplo, empresa). Comportamiento activo de la sonda de la configuración para el cliente. Es decir, donde el cliente sonda activamente para su SSID configurado. Especifique activamente la búsqueda para este dispositivo de acceso después de que usted ingrese el SSID en la ventana del dispositivo de acceso del agregar.

    Nota: Las configuraciones de puerto no permiten a los modos de empresa (802.1x) si las configuraciones de la autenticación EAP no son primeras configuradas para el perfil.

  2. El tecleo crea la red para iniciar la ventana del perfil de la red, que permite que usted asocie (o configurado) el SSID elegido a un mecanismo de autenticación. Asigne un nombre descriptivo para el perfil.

    Nota: La Seguridad de WLAN múltiple teclea y/o los SSID pueden ser asociados bajo este perfil de la autenticación.

    /image/gif/paws/91628/uwn-loc-eap-svr-config-28.gif

  3. Gire la autenticación y marque el método del EAP-TLS. Entonces haga clic la configuración para configurar las propiedades del EAP-TLS.

  4. Conforme al resumen de la configuración de red, el tecleo se modifica para configurar el EAP/las configuraciones de las credenciales.

  5. Especifique giran la autenticación, eligen el EAP-TLS bajo protocolo, y eligen el nombre de usuario como la identidad.

  6. Especifique la sola muestra del uso en las credenciales de utilizar los credenciales de inicio de sesión para la autenticación de red. Haga clic la configuración para configurar los parámetros del EAP-TLS.

    uwn-loc-eap-svr-config-29.gif

    uwn-loc-eap-svr-config-30.gif

  7. Para tener una configuración asegurada del EAP-TLS que usted necesita marcar el certificado de servidor de RADIUS. Para hacer esto, el control valida el certificado de servidor.

    uwn-loc-eap-svr-config-31.gif

  8. Para validar el certificado de servidor de RADIUS, usted necesita dar la información del Cisco Secure Services Client para validar solamente el certificado derecho. Elija al cliente > confiaba en que los servidores > manejan los servidores confiados en Usuario usuario actual.

    uwn-loc-eap-svr-config-32.gif

    uwn-loc-eap-svr-config-33.gif

  9. Dé un nombre para la regla y marque el nombre del certificado de servidor.

    /image/gif/paws/91628/uwn-loc-eap-svr-config-34.gif

    Se acaba la configuración del EAP-TLS.

  10. Conecte con el perfil de la red inalámbrica. El Cisco Secure Services Client pide el ingreso del usuario al sistema:

    uwn-loc-eap-svr-config-35.gif

    El Cisco Secure Services Client recibe el certificado de servidor y lo marca (con la regla configurada y las autoridades de certificación instaladas). Entonces pide el certificado utilizar para el usuario.

  11. Después de que el cliente autentique, elija el SSID bajo perfil en la lengueta de las redes del manejo y haga clic el estatus para preguntar los detalles de la conexión.

    La ventana de los detalles de la conexión proporciona la información sobre el dispositivo del cliente, el estado de la conexión y las estadísticas, y el método de autentificación. La lengueta de los detalles de WiFi proporciona los detalles en el estado de la conexión del 802.11, que incluye el RSSI, el canal del 802.11, y la autenticación/el cifrado.

    uwn-loc-eap-svr-config-36.gif

    uwn-loc-eap-svr-config-37.gif

    uwn-loc-eap-svr-config-38.gif

Comandos de Debug

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Estos comandos debug pueden ser empleados en el WLC para monitorear el progreso del intercambio de la autenticación:

  • permiso de los eventos aaa del debug

  • permiso del detalle aaa del debug

  • permiso de los eventos del dot1x del debug

  • permiso de los estados del dot1x del debug

  • permiso de los eventos del eap del local-auth aaa del debug

    O

  • debug aaa all enable

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 91628