Switching de LAN : 802.1x

EAP-TLS del 802.1x con la comparación binaria del certificado ejemplo de configuración de los perfiles AD y NAM

18 Junio 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (19 Diciembre 2015) | Comentarios

Introducción

Este documento describe la configuración del 802.1x con la Seguridad de la capa del Protocolo-transporte de la autenticación ampliable (EAP-TLS) y el Sistema de control de acceso (ACS) como realizan una comparación binaria del certificado entre un certificado del cliente proporcionado por el supplicant y el mismo certificado mantenido el Microsoft Active Directory (AD). El perfil del administrador del acceso a la red de AnyConnect (NAM) se utiliza para el arreglo para requisitos particulares. La configuración para todos los componentes se presenta en este documento, junto con los escenarios para resolver problemas la configuración.

Contribuido por Michal Garcarz, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

Topología

  • supplicant del 802.1x - Windows 7 con la versión de Cliente de movilidad Cisco AnyConnect Secure 3.1.01065 (módulo NAM)
  • authenticator del 802.1x - 2960 Switch
  • servidor de autenticación del 802.1x - Versión 5.4 ACS
  • ACS integrado con Microsoft AD - Controlador de dominio - Servidor de Windows 2008

Detalles de la topología

  • ACS - 192.168.10.152
  • 2960 - 192.168.10.10 (e0/0 - supplicant conectados)
  • DC - 192.168.10.101
  • Windows 7 - DHCP

Flujo

La estación de Windows 7 tiene AnyConnect NAM instalado, que se utiliza como supplicant para autenticar al servidor ACS con el método del EAP-TLS. El Switch con el 802.1x actúa como el authenticator. El Certificado de usuario es verificado por el ACS y la autorización de la directiva aplica las directivas basadas en el Common Name (CN) del certificado. Además, el ACS trae el Certificado de usuario del AD y realiza una comparación binaria con el certificado proporcionado por el supplicant.

Configuración del switch

El Switch tiene una configuración básica. Por abandono, el puerto está en el VLA N 666 de la cuarentena. Ese VLA N tiene un acceso restringido. Después de que autoricen al usuario, se configura de nuevo el puerto VLAN.

aaa authentication login default group radius local
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control

interface Ethernet0/0
switchport access vlan 666
switchport mode access
ip device tracking maximum 10
duplex auto
authentication event fail action next-method
authentication order dot1x mab
authentication port-control auto
dot1x pae authenticator
end

radius-server host 192.168.10.152 auth-port 1645 acct-port 1646 key cisco

Preparación del certificado

Para el EAP-TLS, un certificado se requiere para el supplicant y el servidor de autenticación. Este ejemplo se basa en los Certificados generados OpenSSL. Microsoft Certificate Authority (CA) se puede utilizar para simplificar el despliegue en las redes para empresas.

  1. Para generar el CA, ingrese estos comandos:
    openssl genrsa -des3 -out ca.key 1024
    openssl req -new -key ca.key -out ca.csr
    cp ca.key ca.key.org
    openssl rsa -in ca.key.org -out ca.key
    openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

    El certificado de CA se mantiene el archivo ca.crt y la clave privada (y desprotegida) en el archivo ca.key.

  2. Genere tres Certificados de usuario y un certificado para el ACS, firmado todo por ese CA:
    • CN=test1
    • CN=test2
    • CN=test3
    • CN=acs54

    El script para generar un solo certificado firmado por CA de Cisco es:

    openssl genrsa -des3 -out server.key 1024
    openssl req -new -key server.key -out server.csr

    cp server.key server.key.org
    openssl rsa -in server.key.org -out server.key

    openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial
    -out server.crt -days 365
    openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt
    -certfile ca.crt

    La clave privada está en el archivo server.key y el certificado está en el archivo server.crt. La versión del pkcs12 está en el archivo server.pfx.

  3. Haga doble clic cada certificado (archivo del .pfx) para importarlo al controlador de dominio. En el controlador de dominio, los tres Certificados deben ser confiados en.

El mismo proceso se puede seguir en Windows 7 (supplicant) o el Active Directory del uso para avanzar los Certificados de usuario.

Configuración del controlador de dominio

Es necesario asociar el certificado específico al usuario específico en el AD.

  1. De los usuarios de directorio activo y computadora, navegue a la carpeta del usuario.
  2. Del menú de la visión, elija las funciones avanzadas.

  3. Agregue a estos usuarios:
    • test1
    • test2
    • test3

    Nota: La contraseña no es importante.

  4. De la ventana de pPropiedades, elija los Certificados publicados que cuadro elige el certificado específico para la prueba. Por ejemplo, porque test1 el usuario CN es test1.

    Nota: No utilice la correlación de nombre (click derecho en el nombre de usuario). Se utiliza para diversos servicios.

En esta etapa, el certificado es binded a un usuario específico en el AD. Esto se puede verificar con el uso del ldapsearch:

ldapsearch -h 192.168.10.101 -D "CN=Administrator,CN=Users,DC=cisco-test,DC=com" -w 
Adminpass -b "DC=cisco-test,DC=com"

Los resultados del ejemplo para test2 son como sigue:

# test2, Users, cisco-test.com
dn: CN=test2,CN=Users,DC=cisco-test,DC=com
..................
userCertificate:: MIICuDCCAiGgAwIBAgIJAP6cPWHhMc2yMA0GCSqGSIb3DQEBBQUAMFYxCzAJ
BgNVBAYTAlBMMQwwCgYDVQQIDANNYXoxDzANBgNVBAcMBldhcnNhdzEMMAoGA1UECgwDVEFDMQwwC
gYDVQQLDANSQUMxDDAKBgNVBAMMA1RBQzAeFw0xMzAzMDYxMjUzMjdaFw0xNDAzMDYxMjUzMjdaMF
oxCzAJBgNVBAYTAlBMMQswCQYDVQQIDAJQTDEPMA0GA1UEBwwGS3Jha293MQ4wDAYDVQQKDAVDaXN
jbzENMAsGA1UECwwEQ29yZTEOMAwGA1UEAwwFdGVzdDIwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ
AoGBAMFQZywrGTQKL+LeI19ovNavCFSG2zt2HGs8qGPrf/h3o4IIvU+nN6aZPdkTdsjiuCeav8HYD
aRznaK1LURt1PeGtHlcTgcGZ1MwIGptimzG+h234GmPU59k4XSVQixARCDpMH8IBR9zOSWQLXe+kR
iZpXC444eKOh6wO/+yWb4bAgMBAAGjgYkwgYYwCwYDVR0PBAQDAgTwMHcGA1UdJQRwMG4GCCsGAQU
FBwMBBggrBgEFBQcDAgYKKwYBBAGCNwoDBAYLKwYBBAGCNwoDBAEGCCsGAQUFBwMBBggrBgEFBQgC
FQYKKwYBBAGCNwoDAQYKKwYBBAGCNxQCAQYJKwYBBAGCNxUGBggrBgEFBQcDAjANBgkqhkiG9w0BA
QUFAAOBgQCuXwAgcYqLNm6gEDTWm/OWmTFjPyA5KSDB76yVqZwr11ch7eZiNSmCtH7Pn+VILagf9o
tiFl5ttk9KX6tIvbeEC4X/mQVgAB3HuJH5sL1n/k2H10XCXKfMqMGrtsZrA64tMCcCeZRoxfAO94n
PulwF4nkcnu1xO/B7x+LpcjxjhQ==

Configuración del supplicant

  1. Instale este editor del perfil, anyconnect-profileeditor-win-3.1.00495-k9.exe.
  2. Abra el editor del perfil del administrador del acceso a la red y configure el perfil específico.
  3. Cree una red alámbrica específica.


    Es en esta etapa muy importante es dar al usuario la opción para utilizar el certificado en cada autenticación. No oculte esa opción. También, utilice el “nombre de usuario” pues la identificación desprotegida él es importante recordar que no es la misma identificación que es utilizada por el ACS para preguntar el AD para el certificado. Esa identificación será configurada en el ACS.

  4. Salve el archivo del .xml como usuarios \ Cisco \ Cliente de movilidad Cisco AnyConnect Secure de c:\Users\All \ administrador del acceso a la red \ el sistema \ configuration.xml.
  5. Recomience el servicio de Cisco AnyConnect NAM.

Este ejemplo mostró un despliegue manual del perfil. El AD se podía utilizar para desplegar ese archivo para todos los usuarios. También, el ASA se podía utilizar para provision el perfil cuando estaba integrado con los VPN.

Configuración de ACS

  1. Únase al dominio AD.

    El ACS hace juego los nombres de usuario AD con el uso del campo CN del certificado recibido del supplicant (en este caso es test1, test2, o test3). La Comparación binaria también se habilita. Esto fuerza el ACS para obtener el Certificado de usuario del AD y para compararlo con el mismo certificado recibido por el supplicant. Si no hace juego, la autenticación falla.

  2. Configure las secuencias del almacén de la identidad, que utiliza el AD para la autenticación basada en el certificado junto con el perfil del certificado.

    Esto se utiliza como la fuente de la identidad en la directiva de la identidad RADIUS.

  3. Configuración dos directivas de la autorización. La primera directiva se utiliza para test1 y niega el acceso a ese usuario. La segunda directiva se utiliza para la prueba 2 y permite el acceso con el perfil VLAN2.

    El VLAN2 es el perfil de la autorización que vuelve los atributos de RADIUS que atan al usuario al VLAN2 en el Switch.

  4. Instale el certificado de CA en el ACS.

  5. Genere y instale el certificado (para el uso del protocolo extensible authentication) firmado por CA de Cisco para el ACS.

Verificación

Es práctica adecuada inhabilitar el servicio nativo del 802.1x en el supplicant de Windows 7 puesto que se utiliza AnyConnect NAM. Con el perfil configurado, se permite al cliente seleccionar un certificado específico.

Cuando se utiliza el certificado test2, el Switch recibe una respuesta del éxito junto con los atributos de RADIUS.

00:02:51: %DOT1X-5-SUCCESS: Authentication successful for client
(0800.277f.5f64) on Interface Et0/0
00:02:51: %AUTHMGR-7-RESULT: Authentication result 'success' from 'dot1x'
for client (0800.277f.5f64) on Interface Et0/0
switch#
00:02:51: %EPM-6-POLICY_REQ: IP=0.0.0.0| MAC=0800.277f.5f64|
        AUDITSESID=C0A80A0A00000001000215F0| AUTHTYPE=DOT1X|
        EVENT=APPLY

switch#show authentication sessions interface e0/0
            Interface:  Ethernet0/0
           MAC Address:  0800.277f.5f64
            IP Address:  Unknown
            User-Name:  test2
            Status:  Authz Success
            Domain:  DATA
        Oper host mode:  single-host
     Oper control dir:  both
         Authorized By:  Authentication Server
           Vlan Policy:  2
       Session timeout:  N/A
          Idle timeout:  N/A
    Common Session ID:  C0A80A0A00000001000215F0
       Acct Session ID:  0x00000005
            Handle:  0xE8000002

Runnable methods list:
       Method   State
       dot1x    Authc Succes

Observe que se ha asignado el VLAN2.  Es posible agregar otros atributos de RADIUS a ese perfil de la autorización en el ACS (tal como temporizadores avanzados de la lista de control de acceso o de la reautorización).

Abre una sesión el ACS son como sigue:

Troubleshooting

Configuraciones del tiempo no válido en el ACS

Error posible - error interno en el Active Directory ACS

Ningún certificado configurado y binded en AD CC

Error posible - no podido para extraer el Certificado de usuario del Active Directory

Arreglo para requisitos particulares del perfil NAM

En las redes para empresas, es aconsejó para autenticar con el uso de la máquina y de los Certificados de usuario. En tal escenario, se aconseja para utilizar el modo abierto del 802.1x en el Switch con el VLA N restricto. Sobre la reinicialización de la máquina para el 802.1x, la primera sesión de la autenticación se inicia y se autentica con el uso del certificado de la máquina AD. Entonces, después de que el usuario proporcione las credenciales y abra una sesión al dominio, la segunda sesión de la autenticación se inicia con el Certificado de usuario. Ponen al usuario en el VLA N (de confianza) correcto con el acceso a la red completo. Se integra agradable en el Identity Services Engine (ISE).

Entonces, es posible configurar las autenticaciones separadas de las lenguetas de la autenticación y de la autenticación de usuario de la máquina.

Si el modo abierto del 802.1x no es aceptable en el Switch, es posible utilizar el modo del 802.1x antes de que la característica del inicio se configure en la política de cliente.

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 116018