Tecnología inalámbrica : Productos Cisco Wireless LAN Controller de la serie 4400

EAP-TLS en redes inalámbricas unificadas con ACS 4.0 y Windows 2003

18 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (13 Septiembre 2013) | Inglés (4 Agosto 2008) | Comentarios

Contenido

Introducción
Requisitos previos
      Requerimientos
      Componentes utilizados
      Diagrama de la red
      Convenciones
Configuración de Windows Enterprise 2003 con IIS, Certificate Authority (Entidad emisora de certificados), DNS, DHCP (DC_CA)
      DC_CA (wirelessdemoca)
Configuración de Windows Standard 2003 con Cisco Secure ACS 4.0
      Instalación y configuración básicas
      Instalación de Cisco Secure ACS 4.0
Configuración del controlador LWAPP de Cisco
      Creación de la configuración necesaria para WPA2/WPA
Autenticación EAP-TLS
      Instalación del complemento de plantillas de certificado
      Creación de la plantilla de certificado para el servidor Web ACS
      Activación de la nueva plantilla de certificado del servidor Web ACS
Configuración de certificado de ACS 4.0
      Configuración de certificado exportable para ACS
      Instalación de certificado en el software ACS 4.0
Configuración de CLIENT para EAP-TLS con Windows Zero Touch
      Realización de una instalación y una configuración básicas
      Configuración de la conexión de red inalámbrica
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento describe cómo configurar el acceso inalámbrico seguro mediante los controladores para redes LAN inalámbricas (WLC), el software Microsoft Windows 2003 y Cisco Secure Access Control Server (ACS) 4.0 mediante protocolo de autenticación extensible-seguridad de capa de transporte (EAP-TLS).

Nota: Para obtener más información sobre la implementación de seguridad inalámbrica, consulte el sitio Web de Wi-Fi de Microsoft leavingcisco.com (en inglés) y Plano SAFE inalámbrico de Cisco (en inglés).

Requisitos previos

Requerimientos

Se asume que el instalador tiene conocimientos sobre la instalación básica de Windows 2003 y la instalación del controlador de Cisco puesto que este documento sólo abarca las configuraciones específicas para facilitar las pruebas.

Para obtener información sobre la instalación y configuración iniciales de los controladores de la serie 4400 de Cisco, consulte Quick Start Guide: Cisco 4400 Series Wireless LAN Controllers (Guía de inicio rápido: controladores para redes LAN inalámbricas de la serie 4400 de Cisco). Para obtener información sobre la instalación y configuración iniciales de los controladores de la serie 2000 de Cisco, consulte Quick Start Guide: Cisco 2000 Series Wireless LAN Controllers (Guía de inicio rápido: controladores para redes LAN inalámbricas de la serie 2000 de Cisco).

Antes de comenzar, instale el sistema operativo Windows Server 2003 con Service Pack (SP)1 en cada uno de los servidores del laboratorio y actualice todos los Service Pack. Instale los controladores y AP, y asegúrese de que se han configurado las últimas actualizaciones del software.

Importante: En el momento de elaboración de este documento, SP1 es la última actualización de Windows Server 2003 y SP2 con parches de actualización es la última versión de software de Windows XP Professional.

Windows Server 2003 Enterprise Edition con SP1 se utiliza para poder configurar la inscripción automática de certificados de usuario y estación de trabajo para la autenticación EAP-TLS. Este procedimiento se describe en la sección Autenticación EAP-TLS de este documento. La inscripción y renovación automáticas de certificados facilitan la implementación de los mismos y mejoran la seguridad al hacer que los certificados caduquen y se renueven automáticamente.

Componentes utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Controlador de la serie 2006 o 4400 de Cisco que utiliza 3.2.116.21

  • AP de protocolo de punto de acceso ligero de (LWAPP) 1131 de Cisco

  • Windows 2003 Enterprise con Internet Information Server (IIS), Certificate Authority (CA) (Entidad emisora de certificados), DHCP y sistema de nombres de dominio (DNS) instalados

  • Windows 2003 Standard con Access Control Server (ACS) 4.0

  • Windows XP Professional con SP (y Service Pack actualizados) y tarjeta de interfaz de red inalámbrica (NIC) (admite CCX v3) o solicitante de terceros.

  • Switch 3560 de Cisco

Diagrama de la red

En este documento se utiliza la siguiente configuración de red:

Topología de laboratorio inalámbrico de Cisco Secure

eap-tls-acs40-win2003-1.gif

El principal propósito de este documento es describir paso a paso el procedimiento de implementación de EAP-TLS en redes inalámbricas unificadas con ACS 4.0 y Windows 2003 Enterprise Server. El énfasis principal está en la inscripción automática del cliente, de modo que éste se inscriba automáticamente y tome el certificado del servidor.

Nota: Para agregar acceso protegido Wi-Fi (WPA)/WPA2 con el protocolo de integridad de clave temporal (TKIP)/norma de cifrado avanzado (AES) a Windows XP Professional con SP, consulte Actualización de WPA2/elemento de información de servicios de aprovisionamiento inalámbricos (WPS IE) para Windows XP con SP2 (en inglés). leavingcisco.com

La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.

Configuración de Windows Enterprise 2003 con IIS, Certificate Authority (Entidad emisora de certificados), DNS, DHCP (DC_CA)

DC_CA (wirelessdemoca)

DC_CA es un equipo que ejecuta Windows Server 2003 con SP1, Enterprise Edition, y realiza estas funciones:

  • Controlador de dominio para el dominio wirelessdemo.local que ejecuta IIS

  • Servidor DNS para el dominio DNS wirelessdemo.local

  • Servidor DHCP

  • CA raíz de Enterprise para el dominio wirelessdemo.local

Siga estos pasos para configurar DC_CA para estos servicios:

  1. Realizar una instalación y una configuración básicas.

  2. Configurar el equipo como controlador de dominio.

  3. Elevar el nivel funcional del dominio.

  4. Instalar y configurar DHCP.

  5. Instalar Servicios de Certificate Server.

  6. Verificar los permisos de administrador para certificados.

  7. Agregar equipos al dominio.

  8. Permitir acceso inalámbrico a los equipos.

  9. Agregar usuarios al dominio.

  10. Permitir el acceso inalámbrico a usuarios.

  11. Agregar grupos al dominio.

  12. Agregar usuarios al grupo WirelessUsers.

  13. Agregar equipos cliente al grupo WirelessUsers.

Paso 1: Realizar una instalación y una configuración básicas

Siga estos pasos:

  1. Instale Windows Server 2003 Enterprise Edition con SP1 como servidor independiente.

  2. Configure el protocolo TCP/IP con la dirección IP 172.16.100.26 y la máscara de subred 255.255.255.0.

Paso 2: Configurar el equipo como controlador de dominio

Siga estos pasos:

  1. Para iniciar Active Directory Installation Wizard (Asistente para instalación de Active Directory), seleccione Start > Run (Inicio > Ejecutar), escriba dcpromo.exe y haga clic en OK (Aceptar).

  2. En la página Welcome to the Active Directory Installation Wizard (éste es el Asistente para instalación de Active Directory), haga clic en Next (Siguiente).

  3. En la página Operating System Compatibility (Compatibilidad de sistema operativo), haga clic en Next (Siguiente).

  4. En la página Domain Controller Type (Tipo de controlador de dominio), seleccione Domain controller for a new domain (Controlador de dominio para un dominio nuevo) y haga clic en Next (Siguiente).

  5. En la página Create New Domain (Crear nuevo dominio), seleccione Domain in a new forest (Dominio en un nuevo bosque) y haga clic en Next (Siguiente).

  6. En la página Install or Configure DNS (Instalar o configurar DNS), seleccione No, just install and configure DNS on this computer (No, sólo instalar y configurar DNS en este equipo) y haga clic en Next (Siguiente).

  7. En la página New Domain Name (Nuevo nombre de dominio), escriba wirelessdemo.local y haga clic en Next (Siguiente).

  8. En la página NetBIOS Domain Name (Nombre de dominio NetBIOS), introduzca el nombre de dominio NetBIOS wirelessdemo y haga clic en Next (Siguiente).

  9. En la página Database and Log Folders (Carpetas de la base de datos y del registro), acepte los directorios de base de datos y carpetas de registro predeterminados, y haga clic en Next (Siguiente).

    eap-tls-acs40-win2003-2.gif

  10. En el cuadro de diálogo Shared System Volume (Volumen del sistema compartido), compruebe que la ubicación de carpetas predeterminada es correcta y haga clic en Next (Siguiente).

    eap-tls-acs40-win2003-3.gif

  11. En la página Permissions (Permisos), compruebe que esté seleccionado Permissions compatible only with Windows 2000 or Windows Server 2003 operating systems (Permisos compatibles sólo con sistemas operativos de servidor Windows 2000 o Windows Server 2003) y haga clic en Next (Siguiente).

    eap-tls-acs40-win2003-4.gif

  12. En la página Directory Services Restore Mode Administration Password (Contraseña de administración de modo de restauración de servicios de directorio), deje los cuadros de contraseña en blanco y haga clic en Next (Siguiente).

  13. Revise la información de la página Summary (Resumen) y haga clic en Next (Siguiente).

    eap-tls-acs40-win2003-5.gif

  14. En la página Completing the Active Directory Installation Wizard (Finalización del Asistente para instalación de Active Directory), haga clic en Finish (Finalizar).

  15. Cuando se le pregunte si desea reiniciar el equipo, haga clic en Restart Now (Reiniciar ahora).

Paso 3: Elevar el nivel funcional del dominio

Siga estos pasos:

  1. Abra el complemento Active Directory Domains and Trusts (Dominios y confianzas de Active Directory) en la carpeta Administrative Tools (Herramientas administrativas) (Start > Administrative Tools > Active Directory Domains and Trusts (Inicio > Herramientas administrativas > Dominios y confianzas de Active Directory)) y, a continuación, haga clic con el botón derecho en el equipo del dominio DC_CA.wirelessdemo.local.

  2. Haga clic en Raise Domain Functional Level (Elevar el nivel funcional del dominio) y, a continuación, seleccione Windows Server 2003 en la página Raise Domain Functional Level (Elevar el nivel funcional del dominio).

    eap-tls-acs40-win2003-6.gif

  3. Haga clic en Raise (Elevar), OK (Aceptar) y, por último, de nuevo en OK (Aceptar).

Paso 4: Instalar y configurar DHCP

Siga estos pasos:

  1. Instale el protocolo de configuración de host dinámico (DHCP) como un componente del servicio de red mediante Add or Remove Programs (Agregar o quitar programas) en Control Panel (Panel de control).

  2. Abra el complemento DHCP de la carpeta Administrative Tools (Herramientas administrativas) (Start > Programs > Administrative Tools > DHCP (Inicio > Programas > Herramientas administrativas > DHCP)) y, a continuación, resalte el servidor DHCP DC_CA.wirelessdemo.local.

  3. Haga clic en Action (Acción), y, a continuación, haga clic en Authorize (Autorizar) para autorizar el servicio DHCP.

  4. En el árbol de la consola, haga clic con el botón derecho en DC_CA.wirelessdemo.local y, a continuación, haga clic en New Scope (Ámbito nuevo).

  5. En la página Welcome (Bienvenido) de New Scope Wizard (Asistente para ámbito nuevo), haga clic en Next (Siguiente).

  6. En la página Scope Name (Nombre de ámbito), escriba CorpNet en el campo Name (Nombre).

    eap-tls-acs40-win2003-7.gif

  7. Haga clic en Next (Siguiente) y rellene estos parámetros:

    • Start IP address (Dirección IP inicial): 172.16.100.1

    • End IP address (Dirección IP final): 172.16.100.254

    • Length (Longitud): 24

    • Subnet mask (Máscara de subred): 255.255.255.0

    eap-tls-acs40-win2003-8.gif

  8. Haga clic en Next (Siguiente) e introduzca 172.16.100.1 para Start IP address (Dirección IP inicial) y 172.16.100.100 para End IP address (Dirección IP final). Luego, haga clic en Next (Siguiente). De este modo, se reservan las direcciones IP del intervalo comprendido entre 172.16.100.1 y 172.16.100.100. El servidor DHCP no asigna estas direcciones IP reservadas.

    eap-tls-acs40-win2003-9.gif

  9. En la página Lease Duration (Duración de la concesión), haga clic en Next. (Siguiente).

  10. En la página Configure DHCP Options (Configurar opciones DHCP), seleccione Yes, I want to configure these options now (Configurar estas opciones ahora) y haga clic en Next (Siguiente).

    eap-tls-acs40-win2003-10.gif

  11. En la página Router (Default Gateway) (Enrutador (Puerta de enlace predeterminada)), agregue la dirección del router predeterminada 172.16.100.1 y haga clic en Next (Siguiente).

    eap-tls-acs40-win2003-11.gif

  12. En la página Domain Name and DNS Servers (Nombre de dominio y servidores DNS), escriba wirelessdemo.local en el campo Parent domain (Dominio primario), escriba 172.16.100.26 en el campo IP address (Dirección IP), haga clic en Add (Agregar) y, por último, haga clic en Next (Siguiente).

    eap-tls-acs40-win2003-12.gif

  13. En la página WINS Servers (Servidores WINS), haga clic en Next (Siguiente).

  14. En la página Activate Scope (Activar ámbito), seleccione Yes, I want to activate this scope now (Activar este ámbito ahora) y, a continuación, haga clic en Next (Siguiente).

    eap-tls-acs40-win2003-13.gif

  15. En la página Completing the New Scope Wizard (Finalización del Asistente para crear ámbito nuevo), haga clic en Finish (Finalizar).

Paso 5: Instalar Servicios de Certificate Server

Siga estos pasos:

Nota: IIS debe instalarse antes que Servicios de Certificate Server y el usuario debe formar parte de Enterprise Admin OU.

  1. En Control Panel (Panel de control), abra Add or Remove Programs (Agregar o quitar programas) y, a continuación, haga clic en Add/Remove Windows Components (Agregar o quitar componentes de Windows).

  2. En la página Windows Components Wizard (Asistente para componentes de Windows), seleccione Certificate Services (Servicios de Certificate Server) y, a continuación, haga clic en Next (Siguiente).

    eap-tls-acs40-win2003-14.gif

  3. En la página CA Type (Tipo de entidad emisora de certificados), seleccione Enterprise root CA (Entidad emisora raíz de Enterprise) y haga clic en Next (Siguiente).

    eap-tls-acs40-win2003-15.gif

  4. En la página CA Identifying information (Identificación de la entidad emisora de certificados), escriba wirelessdemoca en el campo Common Name (Nombre común) para este cuadro de CA. Puede introducir los otros detalles opcionales y, a continuación, hacer clic en Next (Siguiente). Acepte los valores predeterminados de la página Certificate Database Settings (Configuración de la base de datos de certificados).

    eap-tls-acs40-win2003-16.gif

  5. Haga clic en Next (Siguiente). Cuando termine la instalación, haga clic en Finish (Finalizar).

  6. Haga clic en OK (Aceptar) después de leer la advertencia sobre la instalación de IIS.

Paso 6: Verificar los permisos de administrador para los certificados

Siga estos pasos:

  1. Seleccione Start > Administrative Tools > Certification Authority (Inicio > Herramientas administrativas > Entidad emisora de certificados).

  2. Haga clic con el botón derecho en wirelessdemoca CA y, a continuación, en Properties (Propiedades).

  3. En la ficha Security (Seguridad), haga clic en Administrators (Administradores) en la lista Group or User names (Nombres de grupos o usuarios).

  4. En la lista Permissions for Administrators (Permisos de administradores), compruebe que estas opciones se han establecido en Allow (Permitir):

    • Issue and Manage Certificates (Emitir y administrar certificados)

    • Manage CA (Administrar entidad emisora)

    • Request Certificates (Solicitar certificados)

    Si cualquiera de ellas se ha establecido en Deny (Denegar) o no se ha seleccionado, establezca el permiso en Allow (Permitir).

    eap-tls-acs40-win2003-17.gif

  5. Haga clic en OK (Aceptar) para cerrar el cuadro de diálogo Properties (Propiedades) de wirelessdemoca CA y, a continuación, cierre Certification Authority (Entidad emisora de certificados).

Paso 7: Agregar equipos al dominio

Siga estos pasos:

Nota: Si ya se ha agregado el equipo al dominio, continúe con el paso Agregue usuarios al dominio.

  1. Abra el complemento Active Directory Users and Computers (Usuarios y equipos de Active Directory).

  2. En el árbol de la consola, expanda wirelessdemo.local.

  3. Haga clic con el botón derecho en Users (Usuarios), a continuación, en New (Nuevo) y, por último, en Computer (Equipo).

  4. En el cuadro de diálogo New Object – Computer (Nuevo objeto: equipo), escriba el nombre del equipo en el campo Computer Name (Nombre del equipo) y haga clic en Next (Siguiente). En este ejemplo se utiliza el nombre de equipo Client.

    eap-tls-acs40-win2003-18.gif

  5. En el cuadro de diálogo Managed (Administrado), haga clic en Next (Siguiente).

  6. En el cuadro de diálogo New Object - Computer (Nuevo objeto: equipo), haga clic en Finish (Finalizar).

  7. Repita los pasos del 3 al 6 para crear cuentas de equipos adicionales.

Paso 8: Permitir acceso inalámbrico a los equipos

Siga estos pasos:

  1. En el árbol de la consola Active Directory Users and Computers (Usuarios y equipos de Active Directory), haga clic en la carpeta Computers (Equipos) y, a continuación, haga clic con el botón derecho en el equipo al que desee asignar acceso inalámbrico. Este ejemplo muestra el procedimiento con el equipo CLIENT agregado en el paso 7.

  2. Haga clic en Properties (Propiedades) y, a continuación, vaya a la ficha Dial-in (Marcado).

  3. Seleccione Allow access (Permitir el acceso) y haga clic en OK (Aceptar).

Paso 9: Agregar usuarios al dominio

Siga estos pasos:

  1. En el árbol de la consola Active Directory Users and Computers (Usuarios y equipos de Active Directory), haga clic con el botón derecho en Users (Usuarios), haga clic en New (Nuevo) y, a continuación, en User (Usuario).

  2. En el cuadro de diálogo New Object – User (Nuevo objeto: usuario), escriba WirelessUser en el campo First name (Nombre) y WirelessUser en el campo User logon name (Nombre de inicio de sesión del usuario) y, a continuación, haga clic en Next (Siguiente).

    eap-tls-acs40-win2003-19.gif

  3. En el cuadro de diálogo New Object – User (Nuevo objeto: usuario), escriba la contraseña que desee en los campos Password (Contraseña) y Confirm password (Confirmar contraseña). Desactive la casilla de verificación User must change password at next logon (El usuario debe cambiar la contraseña en el próximo inicio de sesión) y, a continuación, haga clic en Next (Siguiente).

    eap-tls-acs40-win2003-20.gif

  4. En el cuadro de diálogo New Object – User (Nuevo objeto: usuario), haga clic en Finish (Finalizar).

  5. Repita los pasos del 2 al 4 para crear cuentas de usuario adicionales.

Paso 10: Permitir acceso inalámbrico a usuarios

Siga estos pasos:

  1. En el árbol de la consola Active Directory Users and Computers (Usuarios y equipos de Active Directory), haga clic en la carpeta Users (Usuarios), haga clic con el botón derecho en WirelessUser, haga clic en Properties (Propiedades) y, a continuación, vaya a la ficha Dial-in (Marcado).

  2. Seleccione Allow access (Permitir el acceso) y haga clic en OK (Aceptar).

Paso 11: Agregar grupos al dominio

Siga estos pasos:

  1. En el árbol de la consola Active Directory Users and Computers (Usuarios y equipos de Active Directory), haga clic con el botón derecho en Users (Usuarios), haga clic en New (Nuevo) y, a continuación, en Group (Grupo).

  2. En el cuadro de diálogo New Object – Group (Nuevo objeto: grupo), escriba el nombre del grupo en el campo Group name (Nombre de grupo) y haga clic en OK (Aceptar). En este documento, se utiliza el nombre de grupo WirelessUsers.

    eap-tls-acs40-win2003-21.gif

Paso 12: Agregar usuarios al grupo WirelessUsers

Siga estos pasos:

  1. En el panel de detalles de Active Directory Users and Computers (Usuarios y equipos de Active Directory), haga doble clic en el grupo WirelessUsers.

  2. Vaya a la ficha Members (Miembros) y haga clic en Add (Añadir).

  3. En el cuadro de diálogo Select Users, Contacts, Computers, or Groups (Seleccione usuarios, contactos, equipos o grupos), escriba el nombre de los usuarios que desea agregar al grupo. En este ejemplo, se muestra cómo agregar el usuario wirelessuser al grupo. Haga clic en OK (Aceptar).

    eap-tls-acs40-win2003-22.gif

  4. En el cuadro de diálogo Multiple Names Found (Nombres múltiples encontrados), haga clic en OK (Aceptar). La cuenta de usuario WirelessUser se agrega al grupo WirelessUsers.

    eap-tls-acs40-win2003-23.gif

  5. Haga clic en OK (Aceptar) para guardar los cambios realizados en el grupo WirelessUsers.

  6. Repita este procedimiento para agregar más usuarios al grupo.

Paso 13: Agregar equipos cliente al grupo WirelessUsers

Siga estos pasos:

  1. Repita los pasos 1 y 2 de la sección Agregue usuarios al grupo WirelessUsers de este documento

  2. En el cuadro de diálogo Select Users, Contacts, Computers, or Groups (Seleccione usuarios, contactos, equipos o grupos), escriba el nombre del equipo que desea agregar al grupo. En este ejemplo, se muestra cómo agregar el equipo client al grupo.

    eap-tls-acs40-win2003-24.gif

  3. Haga clic en Object Types (Tipos de objetos), desactive la casilla de verificación Users (Usuarios) y, a continuación, active Computers (Equipos).

    eap-tls-acs40-win2003-25.gif

  4. Haga clic en OK (Aceptar) dos veces. La cuenta del equipo CLIENT se agrega al grupo WirelessUsers.

  5. Repita el procedimiento para agregar más equipos al grupo.

Configuración de Windows Standard 2003 con Cisco Secure ACS 4.0

Cisco Secure ACS es un equipo que ejecuta Windows Server 2003 Standard Edition con SP1, que proporciona autenticación y autorización RADIUS para el controlador. Realice los procedimientos en esta sección para configurar ACS como servidor RADIUS:

Instalación y configuración básicas

Siga estos pasos:

  1. Instale Windows Server 2003 Standard Edition con SP1 como servidor miembro con el nombre ACS en el dominio wirelessdemo.local.

    Nota: El nombre de servidor ACS aparece como cisco_w2003 en las configuraciones restantes. Sustituya ACS o cisco_w2003 en la configuración de laboratorio restante.

  2. Para la conexión de área local, configure el protocolo TCP/IP con la dirección IP 172.16.100.26, la máscara de subred 255.255.255.0 y la dirección IP del servidor DNS 127.0.0.1.

Instalación de Cisco Secure ACS 4.0

Nota: Consulte Installation Guide for Cisco Secure ACS 4.0 for Windows (Guía de instalación de ACS de Cisco Secure para Windows) para obtener más información sobre cómo configurar Cisco Secure ACS 4.0 para Windows.

Siga estos pasos:

  1. Con una cuenta de administrador del dominio, inicie sesión en el equipo ACS para Cisco Secure ACS.

    Nota: Sólo se admiten las instalaciones realizadas en el equipo en el que instale Cisco Secure ACS. Las instalaciones remotas realizadas con Windows Terminal Services o productos como Virtual Network Computing (VNC) no se han probado y no son compatibles.

  2. Introduzca el CD de Cisco Secure ACS en una unidad de CD-ROM del equipo.

  3. Si la unidad de CD-ROM admite la función de ejecución automática de Windows, aparecerá el cuadro de diálogo Cisco Secure ACS for Windows Server (Cisco Secure ACS para Windows Server).

    Nota: Si el equipo no tiene instalado un service pack necesario, aparece un cuadro de diálogo. Los service pack de Windows pueden aplicarse antes o después de instalar Cisco Secure ACS. Puede continuar con la instalación, pero el service pack necesario debe aplicarse después de que finalice la instalación. En caso contrario, puede que Cisco Secure ACS no funcione correctamente.

  4. Realice una de estas tareas:

    • Si aparece el cuadro de diálogo Cisco Secure ACS for Windows Server (Cisco Secure ACS para Windows Server), haga clic en Install (Instalar).

    • Si no aparece el cuadro de diálogo Cisco Secure ACS for Windows Server (Cisco Secure ACS para Windows Server), ejecute setup.exe, que se encuentra en el directorio raíz del CD de Cisco Secure ACS.

  5. En el cuadro de diálogo Cisco Secure ACS Setup (Instalación de Cisco Secure ACS), aparece el acuerdo de licencia del software.

  6. Lea el acuerdo de licencia del software. Si acepta el acuerdo de licencia del software, haga clic en Accept (Aceptar).

    En el cuadro de diálogo Welcome (Bienvenida), aparece información básica sobre el programa de instalación.

  7. Después de leer la información del cuadro de diálogo Welcome (Bienvenida), haga clic en Next (Siguiente).

  8. El cuadro de diálogo Before You Begin (Antes de comenzar) enumera los elementos que debe completar antes de continuar con la instalación. Si ha completado todos los elementos que aparecen en el cuadro de diálogo Before You Begin (Antes de comenzar), active el cuadro correspondiente para cada elemento y haga clic en Next (Siguiente).

    Nota: Si no ha completado todos los elementos que aparecen el cuadro Before You Begin (Antes de comenzar), haga clic en Cancel (Cancelar) y, a continuación, haga clic en Exit Setup (Salir de la instalación). Después de completar todos los elementos enumerados en el cuadro de diálogo Before You Begin (Antes de comenzar), reinicie la instalación.

  9. A continuación, aparece el cuadro de diálogo Choose Destination Location (Elegir ubicación de destino). En la carpeta Destination (Destino), aparece la ubicación de la instalación. Ésta es la unidad y la ruta donde el programa de instalación instala Cisco Secure ACS.

  10. Si desea cambiar la ubicación de instalación, siga estos pasos:

    1. Haga clic en Browse (Explorar). Aparece el cuadro de diálogo "Choose Folder" (Elegir carpeta). La casilla "Path" (Ruta) contiene la ubicación de instalación.

    2. Cambie la ubicación de instalación. Puede escribir la ruta de ubicación nueva en la casilla Path (Ruta) o utilizar las listas Drives and Directories (Unidades y directorios) para seleccionar una nueva unidad y directorio. La ubicación de instalación debe estar en una unidad de la computadora.

      Nota: No especifique ninguna ruta que contenga el carácter de porcentaje "%". En caso contrario, puede parecer que la instalación continúa correctamente, pero se producirá algún error antes de que termine.

    3. Haga clic en OK (Aceptar).

      Nota: Si ha especificado una carpeta que no existe, el programa de configuración muestra un cuadro de diálogo para confirmar la creación de la carpeta. Para continuar, haga clic en Yes (Sí).

  11. En el cuadro de diálogo Choose Destination Location (Elegir ubicación de destino), aparece la nueva ubicación de instalación en la carpeta Destination (Destino).

  12. Haga clic en Next (Siguiente).

  13. El cuadro de diálogo Authentication Database Configuration (Configuración de base de datos de autenticación) presenta las opciones de autenticación de usuarios. Puede realizar la autenticación sólo con la base de datos de usuarios de Cisco Secure, o también con una base de datos de usuarios de Windows.

    Nota: Después de instalar Cisco Secure ACS, puede configurar el soporte de autenticación para todos los tipos de bases de datos de usuarios externos, además de las bases de datos de usuarios de Windows.

  14. Si desea autenticar usuarios sólo con la base de datos de Cisco Secure, seleccione la opción Check the Cisco Secure ACS database only (Comprobar sólo la base de datos de Cisco Secure ACS).

  15. Si desea autenticar usuarios con una base de datos de usuarios de Windows Security Access Manager (SAM) o de Active Directory además de la base de datos de usuarios de Cisco Secure, siga estos pasos:

    1. Seleccione la opción Also check the Windows User Database (Comprobar también la base de datos de usuarios de Windows).

    2. La casilla de verificación Yes, refer to "Grant dialin permission to user" (Sí, consulte "Conceder permiso de marcado al usuario") aparece disponible.

      Nota: La casilla de verificación Yes, refer to "Grant dialin permission to user" (Sí, consulte "Conceder permiso de marcado al usuario") se aplica a todos los modos de acceso controlados por Cisco Secure ACS, no sólo el acceso mediante marcado. Por ejemplo, un usuario que accede a la red mediante un túnel VPN no está accediendo por marcado a un servidor de acceso de red. Sin embargo, si la casilla de verificación Yes, refer to "Grant dialin permission to user" ("Conceder permiso de marcado al usuario") está activada, Cisco Secure ACS aplica los permisos de marcado de Windows con el fin de determinar si se concede al usuario acceso a la red.

    3. Si desea permitir el acceso a los usuarios autenticados mediante una base de datos de usuarios del dominio de Windows solamente cuando tienen permiso de marcado en su cuenta de Windows, active la casilla Yes, refer to "Grant dialin permission to user" (Sí, consulte el valor "Conceder permiso de marcado al usuario").

  16. Haga clic en Next (Siguiente).

  17. El programa de instalación instala Cisco Secure ACS y actualiza el registro de Windows.

  18. El cuadro de diálogo Advance Options (Opciones avanzadas) enumera varias funciones de Cisco Secure ACS que no aparecen activadas de forma predeterminada. Para obtener más información sobre estas funciones, consulte User Guide for Cisco Secure ACS for Windows Server, Version 4.0 (Guía del usuario de Cisco Secure ACS para Windows Server, versión 4.0).

    Nota: Las funciones enumeradas aparecen en la interfaz HTML de Cisco Secure ACS sólo si se activan. Después de la instalación, puede activarlas o desactivarlas en la página Advanced Options (Opciones avanzadas) en la sección Interface Configuration (Configuración de la interfaz).

  19. Para cada función que desee activar, active la casilla correspondiente.

  20. Haga clic en Next (Siguiente).

  21. A continuación, aparece el cuadro de diálogo Active Service Monitoring (Supervisión de servicio activo).

    Nota: Tras la instalación, puede configurar las funciones de supervisión del servicio activo en la página Active Service Management (Administración de servicio activo) en la sección System Configuration (Configuración del sistema).

  22. Si desea que Cisco Secure ACS supervise los servicios de autenticación de usuarios, active la casilla Enable Login Monitoring (Activar supervisión de inicio de sesión). En la lista Script to Execute (Secuencia de comandos que ejecutar), seleccione la opción que desee que se aplique en caso de que se produzca un fallo en el servicio de autenticación:

    • No Remedial Action (Sin acción de reparación): Cisco Secure ACS no ejecuta ninguna secuencia de comandos.

      Nota: Esta opción resulta útil si activa las notificaciones de sucesos por correo.

    • Reboot (Reiniciar): Cisco Secure ACS ejecuta una secuencia de comandos que reinicia el ordenador que ejecuta Cisco Secure ACS.

    • Restart All (Reiniciar todo): Cisco Secure ACS reinicia todos los servicios de Cisco Secure ACS.

    • Restart RADIUS/TACACS+ (Reiniciar RADIUS/TACACS+): Cisco Secure ACS reinicia solamente los servicios RADIUS y TACACS+.

  23. Si desea que Cisco Secure ACS envíe un mensaje de correo electrónico cuando la supervisión del servicio detecte un evento, active la casilla Mail Notification (Notificación vía correo).

  24. Haga clic en Next (Siguiente).

  25. Aparece el cuadro de diálogo Database Encryption Password (Contraseña de cifrado de base de datos).

    Nota: La contraseña de cifrado de base de datos se cifra y se almacena en el registro de ACS. Puede que necesite utilizar de nuevo esta contraseña cuando se presenten problemas críticos y sea necesario acceder a la base de datos manualmente. Mantenga esta contraseña a mano, de modo que el Soporte pueda acceder a la base de datos. La contraseña se puede cambiar cada período de caducidad.

  26. Introduzca una contraseña para el cifrado de base de datos. La contraseña debe tener al menos ocho caracteres y contener tanto caracteres como dígitos. No hay ningún carácter no válido. Haga clic en Next (Siguiente).

  27. El programa de instalación termina y aparece el cuadro de diálogo Cisco Secure ACS Service Initiation (Inicio del servicio de Cisco Secure ACS).

  28. Para cada opción de inicio de servicio de Cisco Secure ACS que desee, active la casilla correspondiente. Las acciones asociadas a las opciones se producen después de que finalice el programa de instalación.

    • Yes, I want to start the Cisco Secure ACS Service now (Sí, deseo activar el servicio de Cisco Secure ACS): inicia los servicios de Windows que forman Cisco Secure ACS. Si no selecciona esta opción, la interfaz HTML de Cisco Secure ACS no está disponible a menos que reinicie el ordenador o inicie el servicio CSAdmin.

    • Yes, I want Setup to launch the Cisco Secure ACS Administrator from my browser following installation (Sí, deseo que el programa de instalación ejecute el administrador de Cisco Secure ACS desde mi explorador después de la instalación): abre la interfaz HTML de Cisco Secure ACS en el explorador Web predeterminado para la cuenta del usuario de Windows actual.

    • Yes, I want to view the Readme File (Sí, quiero ver el archivo Readme): abre el archivo README.TXT en el Bloc de notas de Windows.

  29. Haga clic en Next (Siguiente).

  30. Si seleccionó alguna opción, se inician los servicios de Cisco Secure ACS. El cuadro de diálogo Setup Complete (Instalación finalizada) muestra información sobre la interfaz HTML de Cisco Secure ACS.

  31. Haga clic en Finish (Finalizar).

    Nota: El resto de la configuración se incluye en la sección para el tipo EAP configurado.

Configuración del controlador LWAPP de Cisco

Creación de la configuración necesaria para WPA2/WPA

Siga estos pasos:

Nota: Se asume que el controlador tiene conectividad básica a la red y alcance IP a la interfaz de administración.

  1. Conéctese al controlador accediendo a la dirección https://172.16.101.252.

    eap-tls-acs40-win2003-26.gif

  2. Haga clic en Login (Conexión).

  3. Conéctese con el nombre de usuario admin y la contraseña admin predeterminados.

  4. Cree la asignación de interfaz VLAN en el menú Controller (Controlador).

  5. Haga clic en Interfaces (Interfaces).

  6. Haga clic en New (Nuevo).

  7. En el campo Interface name (Nombre de interfaz) escriba Employee. El valor de este campo puede ser el que se desee.

  8. En el campo VLAN ID (ID de VLAN), escriba 20. El valor de este campo puede ser cualquier VLAN que se encuentre en la red.

  9. Haga clic en Apply (Aplicar).

  10. Configure la información tal y como aparece en esta ventana Interfaces > Edit (Interfaces > Editar).

    eap-tls-acs40-win2003-27.gif

  11. Haga clic en Apply (Aplicar).

  12. Haga clic en WLAN.

  13. Haga clic en New (Nuevo).

  14. En el campo WLAN SSID, escriba Employee.

  15. Haga clic en Apply (Aplicar).

  16. Configure la información tal y como aparece en esta ventana WLANs > Edit (WLAN > Editar).

    Nota: WPA2 es el método elegido de cifrado de la capa 2 para este laboratorio. Para permitir que WPA con clientes TKIP-MIC se asocie a este SSID, también puede activar las casillas WPA compatibility mode (Modo de compatibilidad con WPA) y Allow WPA2 TKIP Clients (Permitir clientes TKIP de WPA2) para los clientes que no admiten el método de cifrado 802.11i AES.

    eap-tls-acs40-win2003-28.gif

  17. Haga clic en Apply (Aplicar).

  18. Haga clic en el menú Security (Seguridad) y agregue el servidor RADIUS.

  19. Haga clic en New (Nuevo).

  20. Agregue la dirección IP del servidor RADIUS (172.16.100.25), que es el servidor ACS configurado anteriormente.

  21. Asegúrese de que la clave compartida corresponde con la del cliente AAA configurado en el servidor ACS.

  22. Haga clic en Apply (Aplicar).

    eap-tls-acs40-win2003-29.gif

    eap-tls-acs40-win2003-30.gif

  23. Aquí finaliza la configuración básica y ahora puede comenzar a probar EAP-TLS.

Autenticación EAP-TLS

La autenticación EAP-TLS precisa certificados de equipo y usuario en el cliente inalámbrico, la adición de EAP-TLS como tipo de EAP a la política de acceso remoto para el acceso inalámbrico y una reconfiguración de la conexión de red inalámbrica.

Para configurar DC_CA con el fin de proporcionar una inscripción automática para certificados de equipo y usuario, realice los procedimientos de esta sección.

Nota: Microsoft ha cambiado la plantilla del servidor Web con la versión de CA de Windows 2003 Enterprise, de modo que las claves ya no son exportables y la opción aparece atenuada. No hay otras plantillas de certificado incluidas con los servicios de certificado para la autenticación del servidor y que permitan marcar claves como exportables disponibles en el menú desplegable, por lo que tiene que crear una plantilla nueva que lo permita.

Nota: Windows 2000 permite claves exportables y no es necesario seguir estos procedimientos si utiliza Windows 2000.

Instalación del complemento de plantillas de certificado

Siga estos pasos:

  1. Seleccione Start > Run (Inicio > Ejecutar), escriba mmc (mmc) y, a continuación, haga clic en OK (Aceptar).

  2. En el menú File (Archivo), haga clic en Add/Remove Snap-in (Agregar o quitar complemento) y, a continuación, haga clic en Add (Agregar).

  3. En Snap-in (Complemento), haga doble clic en Certificate Templates (Plantillas de certificado), haga clic en Close (Cerrar) y, a continuación, haga clic en OK (Aceptar).

  4. En el árbol de la consola, haga clic en Certificate Templates (Plantillas de certificado). Todas las plantillas de certificado aparecen en el panel Details (Detalles).

  5. Para omitir los pasos 2 a 4, escriba certtmpl.msc, que abre el complemento Certificate Templates (Plantillas de certificado).

    eap-tls-acs40-win2003-31.gif

Creación de la plantilla de certificado para el servidor Web ACS

Siga estos pasos:

  1. En el panel Details (Detalles) del complemento Certificate Templates (Plantillas de certificado), haga clic en la plantilla Web Server (Servidor Web).

  2. En el menú Action (Acción), haga clic en Duplicate Template (Plantilla duplicada).

    eap-tls-acs40-win2003-32.gif

  3. En el campo Template display name (Nombre para mostar plantilla), escriba ACS.

    eap-tls-acs40-win2003-33.gif

  4. Vaya a la ficha Request Handling (Tratamiento de la petición) y active la opción Allow private key to be exported (Permitir que la clave privada se pueda exportar).

    eap-tls-acs40-win2003-34.gif

  5. Seleccione Requests must use one of the following CSPs (Las solicitudes tienen que usar uno de los siguientes CSP) y active Microsoft Base Cryptographic Provider v1.0. Desactive cualquier otro CSP que esté activado y, a continuación, haga clic en OK (Aceptar).

    eap-tls-acs40-win2003-35.gif

  6. Vaya a la ficha Subject Name (Nombre de sujeto), seleccione Supply in the request (Proporcionado por el solicitante) y, a continuación, haga clic en OK (Aceptar).

    eap-tls-acs40-win2003-36.gif

  7. Vaya a la ficha Security (Seguridad), resalte Domain Admins Group (Grupo de administradores del dominio) y asegúrese de que está activada la opción Enroll (Inscribirse) bajo Allowed (Permitidos).

    Importante: Si elige utilizar solamente la información de este Active Directory, active User principal name (UPN) (Nombre principal de usuario) y desactive Include email name (Incluir nombre de correo electrónico) en Subject name (Nombre de sujeto) e E-mail name (Nombre de correo electrónico), ya que no se ha introducido ningún nombre de correo electrónico para la cuenta WirelessUser en los complementos Active Directory Users and Computers (Usuarios y equipos de Active Directory). Si no desactiva estas dos opciones, los intentos de la inscripción automática de utilizar el correo electrónico producirán un error.

    eap-tls-acs40-win2003-37.gif

  8. Hay medidas de seguridad adicionales si es necesario evitar que los certificados sean eliminados automáticamente. Éstas se pueden encontrar en la ficha Issuance Requirements (Requisitos de emisión). Este tema no se trata más adelante en este documento.

    eap-tls-acs40-win2003-38.gif

  9. Haga clic en OK (Aceptar) para guardar la plantilla y pasar a la emisión de la misma desde el complemento Certificate Authority (Entidad emisora de certificados).

Activación de la nueva plantilla de certificado del servidor Web ACS

Siga estos pasos:

  1. Abra el complemento Certification Authority (Entidad emisora de certificados). Siga los pasos del 1 al 3 en la sección Creación de la plantilla de certificado para el servidor Web ACS, seleccione la opción Certificate Authority (Entidad emisora de certificados), seleccione Local Computer (Equipo local) y, a continuación, haga clic en Finish (Finalizar).

    eap-tls-acs40-win2003-39.gif

  2. En el árbol de la consola, expanda wirelessdemoca y, a continuación, haga clic con el botón derecho en Certificate Templates (Plantillas de certificado).

    eap-tls-acs40-win2003-40.gif

  3. Seleccione New > Certificate Template to Issue (Nueva > Plantilla de certificado que se va a emitir).

  4. Haga clic en la plantilla de certificado ACS.

    eap-tls-acs40-win2003-41.gif

  5. Haga clic en OK (Aceptar) y abra el complemento Active Directory Users and Computers (Usuarios y equipos de Active Directory).

  6. En el árbol de la consola, haga doble clic en Active Directory Users and Computers, (Usuarios y equipos de Active Directory), haga clic con el botón derecho en el dominio wirelessdemo.local y, a continuación, haga clic en Properties (Propiedades).

    eap-tls-acs40-win2003-42.gif

  7. En la ficha Group Policy (Políticas de grupo), haga clic en Default Domain Policy (Directiva de dominio predeterminada) y, a continuación, en Edit (Editar). De este modo, se abre el complemento Group Policy Object Editor (Editor de objetos de directiva de grupo).

    eap-tls-acs40-win2003-43.gif

  8. En el árbol de la consola, expanda Computer Configuration > Windows Settings > Security Settings > Public Key Policies (Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas de claves públicas) y, a continuación, seleccione Automatic Certificate Request Settings (Configuración de la petición de certificados automática).

    eap-tls-acs40-win2003-44.gif

  9. Haga clic con el botón derecho en Automatic Certificate Request Settings (Configuración de la petición de certificados automática). y seleccione New > Automatic Certificate Request (Nuevo > Petición de certificados automática).

  10. En la página Welcome to the Automatic Certificate Request Setup Wizard (Éste es el Asistente para instalación de petición automática de certificado), haga clic en Next (Siguiente).

  11. En la página Certificate Template (Plantilla de certificado), haga clic en Computer (Equipo) y, a continuación, en Next (Siguiente).

    eap-tls-acs40-win2003-45.gif

  12. En la página Completing the Automatic Certificate Request Setup Wizard (Finalización del Asistente para instalación de petición automática de certificado), haga clic en Finish (Finalizar).

    Ahora, el tipo de certificado del equipo aparece en el panel de detalles del complemento Group Policy Object Editor (Editor de objetos de directiva de grupo).

    eap-tls-acs40-win2003-46.gif

  13. En el árbol de la consola, expanda User Configuration > Windows Settings > Security Settings > Public Key Policies (Configuración del usuario > Configuración de Windows > Configuración de seguridad > Directivas de claves públicas).

    eap-tls-acs40-win2003-47.gif

  14. En el panel de detalles, haga doble clic en Auto-enrollment Settings (Configuración de inscripción automática).

  15. Seleccione Enroll certificates automatically (Registrar certificados automáticamente) y active Renew expired certificates, update pending certificates and remove revoked certificates (Renovar certificados caducados, actualizar certificados pendientes y quitar certificados revocados) y Update certificates that use certificate templates (Actualizar certificados que usan plantillas de certificados)

    eap-tls-acs40-win2003-48.gif

  16. Haga clic en OK (Aceptar).

Configuración de certificado de ACS 4.0

Configuración de certificado exportable para ACS

Importante: El servidor ACS debe obtener un certificado de servidor del servidor CA raíz de Enterprise para autenticar un cliente EAP-TLS de WLAN.

Importante: Asegúrese de que el administrador de IIS no esté abierto durante el proceso de configuración del certificado ya que causa problemas con la información guardada en memoria caché.

  1. Conéctese al servidor ACS con una cuenta que tenga derechos de administración de Enterprise.

  2. En la máquina ACS local, apunte al explorador del servidor de la autoridad emisora de certificados de Microsoft en http://IP-address-of-Root-CA/certsrv. En este caso, la dirección IP es 172.16.100.26.

  3. Inicie sesión como administrador.

    eap-tls-acs40-win2003-49.gif

  4. Seleccione Request a Certificate (Solicitar un certificado) y haga clic Next (Siguiente).

    eap-tls-acs40-win2003-50.gif

  5. Seleccione Advanced Request (Solicitud avanzada) y haga clic en Next (Siguiente).

    eap-tls-acs40-win2003-51.gif

  6. Seleccione Create and submit a request to this CA (Crear y enviar una solicitud a esta CA) y haga clic en Next (Siguiente).

    Importante: Este paso se debe al hecho de que Windows 2003 no permite claves exportables y el usuario necesita generar una petición de certificado basada en el certificado ACS creado anteriormente.

    eap-tls-acs40-win2003-52.gif

  7. En Certificate Templates (Plantillas de certificado), seleccione la plantilla de certificado ACS creada anteriormente. Las opciones cambian después de seleccionar la plantilla.

  8. Configure el nombre que será el nombre completamente calificado del dominio del servidor ACS. En este caso, el nombre del servidor ACS es cisco_w2003.wirelessdemo.local. Asegúrese de que la opción Store certificate in the local computer certificate store (Almacenar el certificado en el almacén de certificados del equipo local) está activada y haga clic en Submit (Enviar).

    eap-tls-acs40-win2003-53.gif

  9. Aparece una ventana emergente que advierte de una infracción potencial de secuencia de comandos. Haga clic en Yes (Sí).

    eap-tls-acs40-win2003-54.gif

  10. Haga clic en Install this certificate (Instalar este certificado).

    eap-tls-acs40-win2003-55.gif

  11. Vuelve a aparecer una ventana emergente que advierte de una infracción potencial de secuencia de comandos. Haga clic en Yes (Sí).

    eap-tls-acs40-win2003-56.gif

  12. Después de hacer clic en Yes (Sí), el certificado se instala.

    eap-tls-acs40-win2003-57.gif

  13. En ese momento, el certificado se instala en la carpeta Certificates (Certificados). Para acceder a esta carpeta, seleccione Start > Run, (Inicio > Ejecutar) escriba mmc, pulse Enter (Intro) y seleccione Personal > Certificates (Personal > Certificados).

    eap-tls-acs40-win2003-58.gif

  14. Ahora que el certificado está instalado en el equipo local (ACS o cisco_w2003 en este ejemplo), debe generar un archivo de certificado (.cer) para la configuración de archivos de certificado de ACS 4.0.

  15. En el servidor ACS (cisco_w2003 en este ejemplo), apunte el explorador del servidor de Microsoft Certification Authority a la dirección http://172.16.100.26 /certsrv.

Instalación de certificado en el software ACS 4.0

Siga estos pasos:

  1. En el servidor ACS (cisco_w2003 en este ejemplo), apunte el explorador del servidor de Microsoft CA a la dirección http://172.16.100.26 /certsrv.

  2. En la opción Select a Task (Seleccionar una tarea), seleccione Download a CA certificate, certificate chain or CRL (Descargar un certificado de entidad emisora, una cadena de certificados o un CRL).

  3. Seleccione el método de codificación por radio Base 64 y haga clic en Download CA Certificate (Descargar certificado de entidad emisora).

    eap-tls-acs40-win2003-59.gif

  4. Aparece una ventana de advertencia de seguridad de descarga de archivos. Haga clic en Save (Guardar).

    eap-tls-acs40-win2003-60.gif

  5. Guarde el archivo con un nombre como ACS.cer o cualquier nombre que desee. Recuerde este nombre puesto que lo utilizará durante la configuración de ACS Certificate Authority (Entidad emisora de certificados de ACS) en ACS 4.0.

    eap-tls-acs40-win2003-61.gif

  6. Abra ACS Admin mediante el acceso directo del escritorio creado durante la instalación.

  7. Haga clic en System Configuration (Configuración del sistema).

    eap-tls-acs40-win2003-62.gif

  8. Haga clic en ACS Certificate Setup (Configuración de certificado ACS).

    eap-tls-acs40-win2003-63.gif

  9. Haga clic en Install ACS Certificate (Instalar certificado ACS).

    eap-tls-acs40-win2003-64.gif

  10. Seleccione Use certificate from storage (Usar certificado desde almacenamiento) y escriba el nombre de dominio completo de cisco_w2003.wirelessdemo.local (o bien ACS.wirelessdemo.local si ha utilizado ACS como nombre).

    eap-tls-acs40-win2003-65.gif

  11. Haga clic en Submit (Enviar).

    eap-tls-acs40-win2003-66.gif

  12. Haga clic en System Configuration (Configuración del sistema).

  13. Haga clic en Service Control (Control de servicios) y, a continuación, haga clic en Restart (Reiniciar).

    eap-tls-acs40-win2003-67.gif

  14. Haga clic en System Configuration (Configuración del sistema).

  15. Haga clic en Global Authentication Setup (Configuración de autenticación global).

  16. Active Allow EAP-TLS (Permitir EAP-TLS) y todas las casillas debajo de ésta.

    eap-tls-acs40-win2003-68.gif

  17. Haga clic en Submit + Restart (Enviar + Reiniciar).

  18. Haga clic en System Configuration (Configuración del sistema).

  19. Haga clic en ACS Certification Authority Setup (Configuración de ACS Certification Authority).

  20. Bajo la ventana Configuración de ACS Certification Authority (Configuración de ACS Certification Authority), pulse el nombre y la ubicación del archivo *.cer creado anteriormente. En este ejemplo, el archivo *.cer creado es ACS.cer en el directorio raíz c: \.

  21. Escriba c:\acs.cer en el campo CA certificate (Certificado de entidad emisora) y haga clic en Submit (Enviar).

    eap-tls-acs40-win2003-69.gif

  22. Reinicie el servicio ACS.

Configuración de CLIENT para EAP-TLS con Windows Zero Touch

CLIENT es un equipo que ejecuta Windows XP Professional con SP2, que actúa como cliente inalámbrico y obtiene acceso a los recursos de Intranet a través de la AP inalámbrica. Realice los procedimientos de esta sección para configurar CLIENT como cliente inalámbrico.

Realización de una instalación y una configuración básicas

Siga estos pasos:

  1. Conecte CLIENT al segmento de la red Intranet con un cable Ethernet conectado al switch.

  2. En CLIENT, instale Windows XP Professional con SP2 como equipo miembro con el nombre CLIENT en el dominio wirelessdemo.local.

  3. Instale Windows XP Professional con SP2. Debe instalarse para disponer de soporte de EAP-TLS y PEAP.

    Nota: El firewall de Windows se activa automáticamente en Windows XP Professional con SP2. No desactive el firewall.

Configuración de la conexión de red inalámbrica

Siga estos pasos:

  1. Desconéctese y conéctese utilizando la cuenta WirelessUser en el dominio wirelessdemo.local.

    Nota: Actualice la configuración de directiva de grupo de configuración de equipo y usuario y obtenga un certificado de equipo y usuario para el equipo cliente inalámbrico de manera inmediata escribiendo gpupdate en el símbolo del sistema. En caso contrario, cuando se desconecte y se conecte a continuación, realiza la misma función que gpupdate. Debe estar conectado al dominio por cable.

    Nota: Para comprobar que el certificado se instala automáticamente en el cliente, abra la MMC del certificado y compruebe que el certificado WirelessUser está disponible en la carpeta Personal Certificates (Certificados personales).

    eap-tls-acs40-win2003-70.gif

  2. Seleccione Start > Control Panel (Inicio > Panel de control), haga doble clic en Network Connections (Conexiones de red) y, a continuación, haga clic con el botón derecho en Wireless Network Connection (Conexión de red inalámbrica).

  3. Haga clic en Properties (Propiedades), vaya a la ficha Wireless Networks (Redes inalámbricas) y asegúrese de que está activada la opción Use Windows to configure my wireless network settings (Usar Windows para establecer mi config. de red inalámbrica).

    eap-tls-acs40-win2003-71.gif

  4. Haga clic en Add (Agregar).

  5. Vaya a la ficha Association (Asociación) y escriba Employee en el campo Network Name (Nombre de la red) (SSID).

  6. Asegúrese de que el cifrado de datos está configurado como WEP y que está activada la opción The key is provided for me automatically (La clave se proporciona automáticamente).

    eap-tls-acs40-win2003-72.gif

  7. Vaya a la ficha Authentication (Autenticación).

  8. Compruebe que el tipo EAP se ha configurado para utilizar Smart Card or other Certificate (Tarjeta inteligente u otro certificado). En caso contrario, selecciónelo del menú desplegable.

  9. Si desea que se autentique la máquina antes de la conexión (lo que permite aplicar secuencias de comandos de conexión o directivas de grupo), seleccione la opción Authenticate as computer when computer information is available (Autenticar como equipo cuando la información de equipo esté disponible).

    eap-tls-acs40-win2003-73.gif

  10. Haga clic en Properties (Propiedades).

  11. Asegúrese de que las casillas de esta ventana están activadas.

    eap-tls-acs40-win2003-74.gif

  12. Haga clic en OK (Aceptar) tres veces.

  13. Haga clic con el botón derecho en el icono de conexión de red inalámbrica en la bandeja del sistema y, a continuación, haga clic en View Available Wireless Networks (Ver redes inalámbricas disponibles).

  14. Haga clic en la red inalámbrica Employee y, a continuación, haga clic en Connect (Conectar).

    eap-tls-acs40-win2003-75.gif

    Estas capturas de pantalla indican si la conexión se realiza correctamente.

    eap-tls-acs40-win2003-76.gif

    eap-tls-acs40-win2003-77.gif

    eap-tls-acs40-win2003-78.gif

    eap-tls-acs40-win2003-79.gif

  15. Después de que la autenticación se realice correctamente, compruebe la configuración TCP/IP para el adaptador inalámbrico utilizando Network Connections (Conexiones de red). El intervalo de direcciones debe ser 172.16.100.100-172.16.100.254 a partir del alcance de DHCP o el alcance creado para los clientes inalámbricos.

  16. Para probar la funcionalidad, abra en un explorador http://wirelessdemoca (o la dirección IP del servidor CA de Enterprise).


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 71929