Беспроводные сети / Мобильные решения : Системы фиксированного беспроводного доступа

Клиент служб Cisco Secure с аутентификацией EAP-FAST

11 августа 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (6 декабря 2006) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Условные обозначения
Параметры проектирования
     База данных
     Шифрование
     Учетные данные компьютера для однократного входа в систему
Схема сети
Настройка сервера контроля доступа (ACS)
     Добавление точки доступа в качестве клиента AAA (NAS) в ACS
     Настройка ACS для запроса внешней базы данных
     Включение поддержки EAP-FAST в ACS
     Контроллер Cisco WLAN
Настройка беспроводного контроллера LAN
     Основные действия и регистрация LAP для контроллера
     Аутентификация RADIUS с помощью Cisco Secure ACS
     Настройка параметров беспроводной локальной сети (WLAN)
Проверка работоспособности
Приложение
     Анализатор пакетов для EAP-FAST Exchange
     Отладка контроллера беспроводной локальной сети (WLAN)
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В данном документе описывается порядок конфигурации клиента служб Cisco Secure (CSSC) с контроллерами беспроводной внутренней сети, программным обеспечением Microsoft Windows 2000® и сервером контроля доступа Cisco Secure (ACS) 4.0 через EAP-FAST. Данный документ знакомит с архитектурой EAP-FAST и предоставляет несколько примеров развертывания и конфигураций. CSSC - это компонент клиентского программного обеспечения, который обеспечивает соединение учетных данных пользователя с инфраструктурой для аутентификации пользователя в сети и назначения соответствующего доступа.

В данном документе рассматриваются следующие преимущества решения CSSC:

  • Аутентификация каждого пользователя (или устройства) предшествует разрешению доступа в WLAN/LAN с расширяемым протоколом аутентификации (EAP)

  • Сквозное решение по безопасности WLAN с компонентами сервера, аутентификатора и клиента

  • Стандартное решение для проводной и беспроводной аутентификации

  • Динамичные ключи шифрования для каждого пользователя, полученные в процессе аутентификации

  • Отсутствие требований инфраструктуры открытых ключей (PKI) или сертификатов (параметра проверки сертификата)

  • Назначение политики доступа и/или структура EAP с поддержкой NAC

Примечание. Дополнительную информацию по развертыванию безопасных беспроводных систем см. в Cisco SAFE Wireless Blueprint.

Система аутентификации 802.1x входит в состав стандарта 802.11i (Безопасность беспроводных LAN) и предназначена для включения функций аутентификации, авторизации и учета уровня 2 в сети беспроводных LAN 802.11. На сегодняшний день имеется несколько протоколов EAP для развертывания в проводных и беспроводных сетях. К стандартным применяемым протоколам EAP относятся протоколы LEAP, PEAP и EAP-TLS. В дополнение к данным протоколам в Cisco определен и внедрен протокол EAP (Гибкая аутентификация с использованием защищенного туннеля (EAP-FAST)) в качестве стандартного протокола EAP, доступного для развертывания в проводных и беспроводных сетях LAN. Спецификация протокола EAP-FAST доступна на веб-сайте IETF leavingcisco.com.

Как и другие протоколы EAP, протокол EAP-FAST представляет собой клиент-серверную архитектуру обеспечения безопасности, с помощью которой шифруются транзакции EAP в туннеле TLS. Сходный в этом отношении с протоколом PEAP или EAP-TTLS, данный протокол отличается от них тем, что туннель EAP-FAST базируется на общих строгих секретных ключах, которые уникальны для каждого пользователя (тогда как PEAP и EAP-TTLS используют сертификат X.509 сервера для защиты сеанса аутентификации). Такие общие секретные ключи называются учетными данными PAC (учетные данные защищенного доступа) и могут распределяться на клиентские устройства автоматически (автоматическая или внутриполосная настройка) или вручную (ручная или внеполосная настройка). Поскольку квитирование на основе общих секретных ключей, более эффективно, чем квитирование на основе инфраструктуры PKI, EAP-FAST является самым быстрым протоколом типа EAP, не требующим интенсивной работы процессора; он обеспечивает защищенный обмен информацией об аутентификации. EAP-FAST также упрощает развертывание, поскольку не требует сертификата клиента в беспроводных LAN или инфраструктуре RADIUS, при этом поддерживает встроенный механизм настройки.

Ниже приведено несколько ключевых возможностей протокола EAP-FAST:

  • Однократное предъявление пароля (SSO) с именем пользователя или паролем Windows

  • Поддержка выполнения сценария регистрации

  • Поддержка безопасного доступа Wi-Fi (WPA) без стороннего запрашивающего устройства (только Windows 2000 и XP)

  • Простое развертывание, не требующее инфраструктуры PKI

  • Срок действия пароля Windows (поддержка срока действия пароля на базе сервера)

  • Интеграция с Cisco Trust Agent для контроля доступа в сеть (Network Admission Control) с использованием соответствующего клиентского программного обеспечения

Предварительные условия

Требования

Предполагается, что установщик знаком с основами установки Windows 2003 и Cisco WLC, поскольку данный документ охватывает только специфические конфигурации для облегчения испытаний.

Дополнительные сведения по изначальной установке и конфигурации контроллеров серии Cisco 4400 см. в Краткое руководство по началу запуска: Контроллеры беспроводных LAN серии Cisco 4400. Дополнительные сведения по изначальной установке и конфигурации контроллеров серии Cisco 2000 см. в Краткое руководство по началу запуска: Контроллеры беспроводных LAN серии Cisco 2000.

Вначале необходимо установить Microsoft Windows Server 2000 с последней версией программного обеспечения пакета обновлений. Установите контроллеры и упрощенные точки доступа (LAP) и убедитесь, что обновления последней версии программного обеспечения настроены.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Контроллеры серий Cisco 2006 или 4400, поддерживающие 4.0.155.5

  • Cisco 1242 LWAPP AP

  • Windows 2000 с Active Directory

  • Коммутатор Cisco Catalyst 3750G

  • Windows XP с адаптерной картой CB21AG и клиент служб Cisco Secure версии 4.05

Условные обозначения

Более подробные сведения о применяемых в документе обозначениях см. в статье Условные обозначения, используемые в технической документации Cisco.

Параметры проектирования

База данных

При развертывании сети WLAN и поиске протокола аутентификации рекомендуется использовать текущую базу данных для аутентификации пользователя или компьютера. Обычно используются базы данных Windows Active Directory, LDAP или база данных одноразовых паролей (OTP), то есть RSA или SecureID. Все эти базы данных совместимы с протоколом EAP-FAST, но для развертывания необходимо соответствие некоторым требованиям совместимости. Начальное развертывание PAC-файла на клиентах выполняется с помощью анонимной автоматической настройки, аутентифицированной настройки (с помощью текущего сертификата клиента X.509) или настройки вручную. В данном документе рассмотрена настройка вручную и анонимная автоматическая настройка.

При автоматической настройке PAC используется протокол обмена ключами Диффи-Хеллмана (ADHP) для создания защищенного туннеля. Защищенный туннель может быть установлен как анонимно, так и с помощью механизма аутентификации сервера. При подключении туннеля используется MS-CHAPv2 для аутентификации клиента и для предоставления PAC-файла клиенту. После настройки PAC-файла его можно использовать для инициализации нового сеанса аутентификации EAP-FAST для получения безопасного сетевого доступа.

Автоматическая настройка PAC соответствует используемой базе данных. Потому что, поскольку механизм автоматической настройки основан на MSCHAPv2, база данных, используемая для аутентификации пользователей, должна быть поддерживать форматы паролей. При использовании EAP-FAST с базой данных, не поддерживающей формат MSCHAPv2 (например, OTP, Novell или LDAP), необходимо применять другой механизм (ручная настройка или настройка с аутентификацией) для развертывания PAC-файлов пользователей. В данном документе приведен пример автоматической настройки с использованием базы данных пользователей Windows.

Шифрование

Для аутентификации EAP-FAST нет необходимости использовать специальные типы шифрования данных в WLAN. Используемые типы шифрования данных в WLAN задаются возможностями клиентских плат NIC. Рекомендуется использовать шифрование WPA2 (AES-CCM) или WPA(TKIP) в зависимости от возможностей платы NIC в конкретных условиях развертывания. Необходимо учитывать, что решения Cisco для сетей WLAN позволяют одновременно использовать клиентские устройства WPA2 и WPA с общим идентификатором SSID.

Если клиентские устройства не поддерживают WPA2 или WPA, возможно развертывание аутентификации 802.1X с помощью динамических ключей WEP, но из-за широко распространенных средств взлома этих ключей, не рекомендуется использовать данный механизм шифрования WLAN. Если необходима поддержка только WEP-клиентов, рекомендуется использовать интервал тайм-аута сеанса, который требует частую генерацию новых WEP-ключей. Рекомендуемый интервал тайм-аута сеанса при обычной скорости передачи данных в WLAN составляет 30 минут.

Учетные данные компьютера, необходимые для однократного входа в систему

Однократный вход в систему подразумевает возможность однократной регистрации пользователя или ввод учетных данных аутентификации для доступа к различным приложениям и устройствам. В данном документе однократный вход подразумевает использование учетных данных, необходимых для регистрации компьютера в WLAN.

С помощью приложения Cisco Secure Services Client можно использовать учетные данные регистрации пользователя для аутентификации в WLAN. Если регистрация ПК в сети происходит раньше регистрации пользователя, необходимо использовать сохраненные учетные данные пользователя или учетные данные, привязанные к профилю компьютера. Эти способы, в отличие от регистрации пользователей, используются в случаях, если необходимо запустить сценарии регистрации или сопоставить диски при перезагрузке ПК.

Схема сети

Ниже приведена схема сети, которая используется в данном документе. Данная сеть состоит из четырех подсетей. Следует учитывать, что нет необходимости относить данные устройства к разным сетям, но это может повысить гибкость интеграции с реальными сетями. Контроллер интегрированной беспроводной сети Catalyst 3750G поддерживает коммутируемые порты POE (питание через Ethernet), коммутацию 3 уровня и возможности контроллера WLAN на общем шасси.

  1. ACS -сервер располагается в сети 10.1.1.0.

  2. Сеть 10.10.80.0 является управляющей и используется контроллером WLAN.

  3. В сети 10.10.81.0 располагаются точки AP.

  4. Сеть 10.10.82.0 используется для клиентов WLAN.

CSSC_Deployment_Guide1.gif

Настройка сервера контроля доступа (ACS)

В этом разделе приводятся сведения о настройке функций, описанных в данном документе.

Примечание. Для получения дополнительных сведений о применяемых в данном документе командах, используйте Средство поиска команд (только для зарегистрированных пользователей).

Добавление точки доступа в качестве AAA-клиента (NAS) на ACS-сервер

В данном разделе рассмотрен процесс настройки ACS-сервера для EAP-FAST с внутриполосной настройкой PAC с использованием Windows Active Directory как внешней базы данных.

  1. Необходимо зарегистрироваться в ACS > Network Configuration и щелкнуть Add Entry.

  2. Введите имя контроллера WLAN, IP-адрес, общий секретный ключ и в поле "Authenticate Using" выбрать пункт "RADIUS (Cisco Airespace)", который также включает в себя атрибуты RADIUS IETF.

    Примечание. Если есть группы сетевых устройств (NDG), необходимо выбрать соответствующую группу и добавить в нее контроллер WLAN. Дополнительные сведения о группах NDG см. в Руководстве по настройке ACS-сервера.

  3. Нажмите Submit + Restart.

    CSSC_Deployment_Guide2.gif

Настройка ACS-сервера для выполнения запросов внешней базы данных

В данном разделе приведено описание настройки ACS-сервера для выполнения запросов внешней базы данных.

  1. Нажмите External User Database > Database Configuration > Windows Database > Configure.

  2. В поле "Configure Domain List" переместите Domains из списка "Available Domains" в список "Domain".

    Примечание. ACS-сервер должен иметь сведения об этих доменах, чтобы обнаруживать ACS-приложения и использовать эти домены для аутентификации.

    CSSC_Deployment_Guide3.gif

  3. В окне "Windows EAP Settings" необходимо настроить параметр, разрешающий изменять пароль внутреннего сеанса PEAP или EAP-FAST. Дополнительные сведения о EAP-FAST и устаревании паролей Windows см. в документе Руководство по настройке Cisco Secure ACS 4.1.

  4. Нажмите Submit.

    Примечание. Для EAP-FAST также можно включить функцию Dialin Permission в окне "Windows User Database Configuration", чтобы внешняя база данных Windows могла контролировать разрешения доступа. Параметры MS-CHAP для изменения пароля на странице конфигурации базы данных Windows не применимы к EAP-аутентификации MS-CHAP. Чтобы разрешить смену пароля в сочетании с EAP-FAST, необходимо разрешить изменение пароля в параметрах Windows EAP.

    CSSC_Deployment_Guide4.gif

  5. Нажмите External User Database > Unknown User Policy и выберите Check the following external user databases.

  6. Переместите базу данных Windows из окна External Databases в окно Selected Databases.

  7. Нажмите Submit.

    Примечание. С этого момента ACS-сервер будет проверять БД Windows. Если в локальной базе данных ACS пользователь не найден, он помещается в ACS-группу по умолчанию. Дополнительные сведения о сопоставлении группам базы данных см. в документации ACS.

    Примечание. Так как ACS-сервер посылает запрос в базу данных Microsoft Active Directory для проверки учетных данных пользователей, необходимо настроить дополнительные параметры прав доступа в Windows. Дополнительные сведения см. в документе Руководство по установке Cisco Secure ACS для Windows Server.

    CSSC_Deployment_Guide5.gif

Включение поддержки EAP-FAST в ACS

В данном разделе рассмотрен процесс активации поддержки EAP-FAST на ACS-сервере.

  1. Перейдите в System Configuration > Global Authentication Setup > EAP-FAST Configuration.

  2. Выберите Allow EAP-FAST.

  3. Рекомендуемые настройки: Master key TTL/ Retired master key TTL/ PAC TTL. Данные параметры настроены по умолчанию Cisco Secure ACS:

    • Master Key TTL: 1 месяц

    • Retired Key TTL: 3 месяца

    • PAC TTL: 1 неделя

  4. Заполните поле Authority ID Info. Этот текст будет отображаться в ПО некоторых клиентов EAP-FAST, где в качестве авторизации PAC (PAC Authority) задан контроллер.

    Примечание. Для авторизации в клиенте Cisco Secure Services данный описательный текст не используется.

  5. Выберите поле Allow in-band PAC provisioning. Данное поле активирует автоматическую настройку PAC для активных клиентов EAP-FAST. В данном примере используется автоматическая настройка.

  6. Выберите Allowed inner methods: EAP-GTC и EAP-MSCHAP2. Это разрешает работу обоих клиентов: EAP-FAST v1 и EAP-FAST v1a. (Клиент Cisco Secure Services поддерживает EAP-FAST v1a.) Для поддержки клиентов EAP-FAST v1 необходимо активировать EAP-MSCHAPv2 как внутренний метод.

  7. Установите флажок EAP-FAST Master Server для активизации данного сервера EAP-FAST в качестве основного. Это позволяет другим ACS-серверам использовать данный сервер как главный для авторизации PAC, что предотвращает предоставление уникальных ключей каждому ACS-серверу в сети. Дополнительные сведения см. в Руководстве по настройке ACS-сервера.

  8. Нажмите Submit + Restart.

    CSSC_Deployment_Guide6.gif

Контроллер Cisco WLAN

В данном руководстве по развертыванию интегрированного контроллера беспроводной сети (WLC) Cisco WS3750G используется с "облегченными" точками доступа (LAP) Cisco AP1240 для тестирования клиента CSSC в инфраструктуре WLAN. Данные конфигурации подходят для всех контроллеров Cisco WLAN. Используемая версия ПО – 4.0.155.5.

Настройка контроллера беспроводной LAN

Основные действия и регистрация точки доступа LAP контроллера

Чтобы настроить WLC для работы необходимо открыть мастер запуска конфигурации в интерфейсе командной строки (CLI). Или можно использовать GUI ля настройки WLC. В данном документе описан процесс настройки WLC с помощью мастера запуска конфигурации в CLI.

После первоначальной загрузки WLC, он подключается к мастеру запуска конфигурации. Чтобы настроить основные параметры, используется мастер запуска конфигурации. Доступ к мастеру возможен в CLI или GUI. Эти выходные данные представляют собой пример мастера запуска конфигурации в CLI:

Welcome to the Cisco Wizard Configuration Tool
Use the '-' character to backup
System Name [Cisco_33:84:a0]: ws-3750
Enter Administrative User Name (24 characters max): admin
Enter Administrative Password (24 characters max): *****
Management Interface IP Address: 10.10.80.3
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 10.10.80.2
Management Interface VLAN Identifier (0 = untagged):
Management Interface DHCP Server IP Address: 10.10.80.2
AP Manager Interface IP Address: 10.10.80.4
AP-Manager is on Management subnet, using same values
AP Manager Interface DHCP Server (172.16.1.1):
Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: Security
Network Name (SSID): Enterprise
Allow Static IP Addresses [YES][no]: yes
Configure a RADIUS Server now? [YES][no]: no
Warning! The default WLAN security policy requires a RADIUS server.
Please see documentation for more details.
Enter Country Code (enter 'help' for a list of countries) [US]:
Enable 802.11b Network [YES][no]: yes
Enable 802.11a Network [YES][no]: yes
Enable 802.11g Network [YES][no]: yes
Enable Auto-RF [YES][no]: yes

Configuration saved!
Resetting system with new configuration.

Данные параметры используются, чтобы настроить WLC для выполнения основных операций. В данном примере конфигурации в WLC используется 10.10.80.3 в качестве IP-адреса интерфейса управления и 10.10.80.4 в качестве IP-адреса интерфейса AP-диспетчера.

До настройки других функций WLC, необходимо зарегистрировать точки LAP на WLC. В данном документе предполагается, что LAP зарегистрирована на контроллере WLC. Дополнительные сведения о регистрации "облегченных" AP с помощью WLC см. в разделе Регистрация "облегченных" AP на контроллерах WLC документа Пример конфигурации при отказе контроллера WLAN для "облегченных" точек доступа. В данном примере конфигурации выполнено развертывание точек AP1240 в отдельной подсети (10.10.81.0/24) из контроллера WLAN (10.10.80.0/24); параметр DHCP 43 используется для обнаружения контроллера.

Аутентификация сервера RADIUS с помощью Cisco Secure ACS

Необходимо настроить WLC для переадресации на сервер Cisco Secure ACS учетных данных пользователя. Затем ACS-сервер проверяет подлинность учетных данных пользователя (с помощью настроенной базы данных Windows) и предоставляет доступ к беспроводным клиентам.

Чтобы настроить связь WLC с ACS-сервером, необходимо выполнить следующие действия:

  1. Нажмите Security и RADIUS Authentication в контроллере GUI, чтобы открыть страницу "RADIUS Authentication Servers". Чтобы задать сервер RADIUS, необходимо нажмите New.

    CSSC_Deployment_Guide7.gif

  2. Определите параметры ACS-сервера в RADIUS Authentication Servers > New page. Параметры: ACS IP Address (IP-адрес ACS-сервера), Shared Secret (общий секретный ключ), Port Number (номер порта) и Server Status (состояние сервера).

    Примечание. Номера портов 1645 и 1812 совместимы с ACS для аутентификации RADIUS.

    С помощью флажков Network User и Management можно определить, применяется ли аутентификация на основе сервера RADIUS для управления (то есть, для администраторов) и сетевых пользователей (например, клиентов WLAN). В данном примере конфигурации используется Cisco Secure ACS как сервер RADIUS с IP-адресом 10.1.1.12:

    CSSC_Deployment_Guide8.gif

Настройка параметров WLAN

В данном разделе описывается конфигурация клиента служб Cisco Secure. В данном примере, CSSC v4.0.5.4783 используется с адаптером клиента Cisco CB21AG. Перед установкой ПО CSSC, проверьте, что установлены драйверы только для CB21AG, а не для Aironet Desktop Utility (ADU).

После того, как ПО установлено, а служба запущена, происходит процесс поиска доступной сети, затем все доступные сети отображаются.

Примечание. CSSC отключает нулевую конфигурацию Windows.

Примечание. Отображаются только те SSID, которые доступны для широковещательной рассылки.

CSSC_Deployment_Guide11.gif

Примечание. Контроллер WLAN по умолчанию выполняет широковещательную рассылку SSID. Все найденные SSID отображаются в списке Create Networks. Чтобы создать профиль сети, в списке нажмите SSID (Enterprise), затем кнопку Create Network.

Если инфраструктура WLAN настроена на передачу отключенных SSID, необходимо вручную добавить SSID. В устройствах доступа нажмите кнопку Add, вручную введите подходящий SSID (например, Enterprise). Настройте активное состояние образца для клиента, т.е., где клиент активно проводит испытание для своей настроенной SSID. Укажите Actively search for this access device, после того, как будет введен SSID в окне Add Access Device.

Примечание. Настройка портов не обеспечивает режимы enterprise (802.1X), если параметры аутентификации EAP не были изначально настроены для профиля.

Кнопка Create Network запускает окно Network Profile, которое позволяет связываться с выбранными (или настроенными) SSID с аутентификационным механизмом. Назначьте данному профилю описательное имя.

Примечание. Несколько типов безопасности WLAN и/или идентификаторов SSID могут быть связаны в данном профиле аутентификации.

Чтобы клиент автоматически соединялся с сетью при нахождении в зоне действия радиосвязи, выберите Automatically establish User connection. Снимите флажок с Available to all users, если использование данного профиля для других учетных записей пользователей на данном устройстве нежелательно. Если Automatically establish не выбрано, необходимо, чтобы пользователь открыл окно CSSC и вручную запустил WLAN подключение кнопкой Connect.

Если требуется запустить WLAN- подключение до входа в систему пользователем, выберите Before user account. Это запускает функцию Single-Sign-On с сохраненными учетными данными пользователя (паролем или сертификатом/Smartcard при использовании TLS в EAP-FAST).

CSSC_Deployment_Guide12.gif

Примечание. Для работы WPA/TKIP с адаптером клиента Cisco Aironet серии 350, необходимо отключить проверку квитирования связи WPA, так как в настоящее время существует несовместимость между клиентом CSSC и драйверами 350 в отношении проверки хэша квитирования связи WPA. Эта проверка отключается в Client > Advanced Settings > WPA/WPA2 Handshake Validation. Отключенная проверка квитирования связи разрешает работу функций безопасности, свойственным WPA (TKIP манипуляция по каждому пакету и проверка целостности сообщения), но отключает начальную проверку подлинности ключа WPA.

CSSC_Deployment_Guide13.gif

В "Network Configuration Summary" нажмите Modify, чтобы настроить параметры EAP/учетных данных. Нажмите Turn On, чтобы включить аутентификацию. Выберите в FAST в "Protocol", затем выберите 'Anonymous' as Identity (чтобы не использовать имя пользователя в начальном запросе EAP). Возможно использование Use Username as Identity в качестве внешней идентификации EAP, но многие клиенты не желают открывать идентификаторы пользователя в начальном незашифрованном запросе EAP. Укажите Use Single Sign on Credentials, чтобы использовать журнал учетных данных для аутентификации сети. Нажмите Configure, чтобы настроить параметры EAP-FAST.

CSSC_Deployment_Guide14.gif

В настройках FAST возможно указать Validate Server Certificate, что позволяет клиенту проверять сертификат сервера EAP-FAST (ACS) до установления сеанса EAP-FAST. Это обеспечивает защиту устройствам клиента от соединений с неизвестными или неавторизованными серверами EAP-FAST и непреднамеренной передачи их аутентификационных учетных данных ненадежным источникам. Это требует, чтобы на сервер ACS был установлен сертификат, а на клиент - соответствующий сертификат Root Certificate Authority. В данном примере проверка сертификата сервера не включена.

В настройках FAST возможно указать Allow Fast Session Resumption, что разрешает возобновление сеанса EAP-FAST на основе информации о туннеле (сеанса TLS), а не на основе требования полной повторной аутентификации EAP-FAST. Если сервер EAP-FAST и клиент имеют общие сведения о согласовании сеанса TLS в начальной аутентификации EAP-FAST, может произойти возобновление сеанса.

Примечание. Сервер и клиент EAP-FAST должны быть настроены на возобновление сеанса EAP-FAST.

В Tunneled Method > EAP-TLS Settings, укажите Any Method, чтобы разрешить EAP-MSCHAPv2 для автоматической настройки PAC и EAP-GTC для аутентификации. Если используется база данных формата Microsoft, например, Active Directory, и если она не поддерживает клиентов EAP-FAST v1 в сети, можно также указать использование одного MSCHAPv2 в качестве метода туннелирования.

Примечание. Сертификат Validate Server Certificate включен по умолчанию в настройках EAP-TLS данного окна. Поскольку в примере EAP-TLS в качестве внутреннего метода аутентификации не используется, данное поле не применяется. Если данное поле включено, то клиенту позволена проверка сертификата сервера, в дополнение к проверке сертификата клиента сервером в EAP-TLS.

CSSC_Deployment_Guide15.gif

Нажмите OK, чтобы сохранить настройки EAP-FAST. Поскольку в профиле клиента настроено "automatically establish", он автоматически запускает сопоставление/аутентификацию сети. Во вкладке Manage Networks поля Network, Status и Data Security означают состояние соединения клиента. Из примера видно, что используется профиль Enterprise Network, а устройством сетевого доступа является SSID Enterprise, который указывает Connected:Authenticated и использует Autoconnect. Поле Data Security показывает используемый тип шифрования 802.11, которым для данного примера является WPA2.

CSSC_Deployment_Guide16.gif

После аутентификации клиента, выберите SSID в профиле во вкладке управления сетями и нажмите Status, чтобы выполнить запрос по сведениям подключения. В окне Connection Details приводятся сведения об устройстве клиента, состоянии соединения и статистике, а также метод аутентификации. Во вкладке WiFi Details приводятся сведения о состоянии соединения 802.11, которые состоят из сведений о RSSI, 802.11 канале и аутентификации/шифровании.

CSSC_Deployment_Guide17.gif

CSSC_Deployment_Guide18.gif

Системный администратор имеет право диагностировать служебную программу, системный отчет клиента Cisco Secure Services, который доступен в стандартном распределении CSSC. Данная служебная программа доступна в меню "Start" или в каталоге CSSC. Чтобы получить данные, нажмите Collect Data > Copy to Clipboard > Locate Report File. В окне Microsoft File Explorer перейдите в каталог с архивным файлом отчета. Полезные данные архивного файла, находятся в журнале (log_current).

Служебная программа отображает текущее состояние CSSC, интерфейса и сведения драйвера, а также сведения о WLAN (обнаруженные SSID, состояния сопоставления и т.д.). Это может пригодиться для диагностирования неполадок соединения между CSSC и адаптером WLAN.

Проверка работоспособности

После настройки сервера Cisco Secure ACS, контроллера WLAN, клиента CSSC и предположительно верной конфигурации и заполнения баз данных, сеть WLAN настраивается для аутентификации EAP-FAST, а также для безопасных соединений клиента. Существует множество точек, которые можно контролировать для проверки развития/ошибок безопасного сеанса.

Чтобы проверить конфигурацию, попытайтесь сопоставить беспроводной клиент с контроллером WLAN с аутентификацией EAP-FAST.

  1. Если CSSC настроен на автоматическое соединение, клиент делает попытку подключиться автоматически. Если он не настроен на автоматическое соединение и функцию однократного предъявления пароля, пользователю необходимо инициировать подключение WLAN с помощью кнопки Connect. Это запускает процесс сопоставления 802.11, посредством которого происходит аутентификация EAP.

    Ниже представлен пример:

    CSSC_Deployment_Guide19.gif

  2. Пользователю необходимо ввести имя пользователя и пароль для аутентификации EAP-FAST (из EAP-FAST PAC Authority или ACS сервера).

    Ниже представлен пример:

    CSSC_Deployment_Guide20.gif

    CSSC_Deployment_Guide21.gif

  3. Клиент CSSC (с помощью WLC) передает учетные данные пользователя на сервер RADIUS (Cisco Secure ACS), чтобы проверить учетные данные. ACS проверяет учетные данные пользователя, сравнивая данные с настроенной базой данных (в примере конфигурации, внешней базой данных является Windows Active Directory) и предоставляет доступ к беспроводным клиентам, если учетные данные пользователя верны. В отчете Passed Authentication на сервере ACS отображаются сведения о том, что клиент прошел аутентификацию RADIUS/EAP.

    Ниже представлен пример:

    CSSC_Deployment_Guide22.gif

  4. При успешном завершении аутентификации RADIUS/EAP, беспроводной клиент (00:40:96:ab:36:2f в данном примере) проходит аутентификацию с помощью контроллеров AP/WLAN.

    CSSC_Deployment_Guide23.gif

Приложение

В дополнение к диагностическим сведениям и сведениям о состоянии, которые доступны на Cisco Secure ACS и Cisco WLAN контроллере, существуют некоторые пункты, которые могут использоваться для диагностики аутентификации EAP-FAST. Хотя большинство неполадок аутентификаций может быть диагностировано без использования WLAN анализатора или отладочных EAP обменов на WLAN контроллере, данный справочный материал представлен для помощи устранения неполадок.

Анализатор пакетов для EAP-FAST Exchange

Анализатор пакетов 802.11 отображает обмен аутентификацией.

CSSC_Deployment_Guide24.gif

В данном пакете отображено первоначальная EAP-FAST ответа EAP.

Примечание. В соответствии с настройкой в клиенте CSSC в первоначальном EAP ответе в качестве внешней идентификации EAP используется анонимный идентификатор.

CSSC_Deployment_Guide25.gif

Отладка контроллера беспроводной локальной сети (WLAN)

Данные отладочные команды можно использовать на WLAN-контроллерах, чтобы контролировать прогресс обмена информации об аутентификации:

  • debug aaa events enable

  • debug aaa detail enable

  • debug dot1x events enable

  • debug dot1x states enable

Ниже приведен пример запуска транзакции аутентификации между клиентом CSSC и ACS-сервером, полученной при мониторинге на контроллере WLAN с помощью команд отладки:

Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Processing RSN IE type 48, 
   length 20 for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received RSN IE with 
   0 PMKIDs from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f dot1x - 
   moving mobile 00:40:96:a0:36:2f into Connecting state
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAP-
   Request/Identity to mobile 00:40:96:a0:36:2f (EAP Id 1)
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received Identity Response 
   (count=1) from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f EAP State update from 
   Connecting to Authenticating for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f dot1x - moving mobile 
   00:40:96:a0:36:2f into Authenticating state
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Entering Backend Auth 
   Response state for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: AuthenticationRequest: 0x138dd764
Thu Aug 24 18:20:54 2006:       Callback.......0x10372764
Thu Aug 24 18:20:54 2006:       protocolType...0x00040001
Thu Aug 24 18:20:54 2006:       proxyState.....00:40:96:A0:36:2F-11:00
Thu Aug 24 18:20:54 2006:       Packet contains 15 AVPs (not shown)
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Successful transmission of 
   Authentication Packet (id 84) to 10.1.1.12:1812, proxy state0
Thu Aug 24 18:20:54 2006: ****Enter processIncomingMessages: response code=11
Thu Aug 24 18:20:54 2006: ****Enter processRadiusResponse: response code=11
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Access-Challenge received from 
   RADIUS server 10.1.1.12 for mobile 00:40:96:a0:36:2f rec7
Thu Aug 24 18:20:54 2006: AuthorizationResponse: 0x11c8a394
Thu Aug 24 18:20:54 2006:       structureSize..147
Thu Aug 24 18:20:54 2006:       resultCode.....255
Thu Aug 24 18:20:54 2006:       protocolUsed...0x00000001
Thu Aug 24 18:20:54 2006:       proxyState.....00:40:96:A0:36:2F-11:00
Thu Aug 24 18:20:54 2006:       Packet contains 4 AVPs (not shown)
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Processing Access-Challenge 
   for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Entering Backend Auth Req state 
   (id=249) for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f WARNING: 
   updated EAP-Identifer 1 ===> 249 for STA 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAP Request from 
   AAA to mobile 00:40:96:a0:36:2f (EAP Id 249)
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAP Response from 
   mobile 00:40:96:a0:36:2f (EAP Id 249, EAP Type 3)

Это успешное завершение обмена EAP на основе данных отладки контроллера (с применением аутентификации WPA2):

Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Processing Access-
   Accept for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Applying new AAA 
   override for station 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Override values for station 
   00:40:96:a0:36:2f source: 4, valid bits: 0x0
qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: 
   -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, r1'
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Unable to apply override 
   policy for station 00:40:96:a0:36:2f - VapAllowRadiusOverride E
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Creating a new PMK Cache Entry 
   for station 00:40:96:a0:36:2f (RSN 2)
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Adding BSSID 
   00:14:1b:5a:33:d0 to PMKID cache for station 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: New PMKID: (16)
Thu Aug 24 18:20:54 2006:      [0000] a6 c0 02 95 66 e8 ed 9b 1c 65 9b 
   72 1f 3f 5f 5b
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAP-Success 
   to mobile 00:40:96:a0:36:2f (EAP Id 0)
Thu Aug 24 18:20:54 2006: Including PMKID in M1  (16)
Thu Aug 24 18:20:54 2006:      
   [0000] a6 c0 02 95 66 e8 ed 9b 1c 65 9b 72 1f 3f 5f 5b
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAPOL-Key Message to 
   mobile 00:40:96:a0:36:2f state INITPMK (message 1), repl0
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Entering Backend 
   Auth Success state (id=0) for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received Auth Success 
   while in Authenticating state for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f dot1x - 
   moving mobile 00:40:96:a0:36:2f into Authenticated state
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAPOL-
   Key from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Invalid EAPOL version 
   (1) in EAPOL-key message from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAPOL-key 
   in PKT_START state (message 2) from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Stopping retransmission 
   timer for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAPOL-Key Message 
   to mobile 00:40:96:a0:36:2f state PTKINITNEGOTIATING (messa1
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received 
   EAPOL-Key from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Invalid EAPOL version (1) 
   in EAPOL-key message from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAPOL-key in 
   PTKINITNEGOTIATING state (message 4) from mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:54 2006: AccountingMessage 
   Accounting Interim: 0x138dd764
Thu Aug 24 18:20:54 2006: Packet contains 20 AVPs:
Thu Aug 24 18:20:54 2006: 
   AVP[01] User-Name..................enterprise (10 bytes)
Thu Aug 24 18:20:54 2006: AVP[02] 
   Nas-Port...........................0x0000001d (29) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[03] 
   Nas-Ip-Address.....................0x0a0a5003 (168448003) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[04] 
   Class..............................CACS:0/28b5/a0a5003/29 (22 bytes)
Thu Aug 24 18:20:54 2006: AVP[05] 
   NAS-Identifier.....................ws-3750 (7 bytes)
Thu Aug 24 18:20:54 2006: AVP[06] 
   Airespace / WLAN-Identifier........0x00000001 (1) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[07] 
   Acct-Session-Id....................44ede3b0/00:40:
   96:a0:36:2f/14 (29 bytes)
Thu Aug 24 18:20:54 2006: AVP[08] 
   Acct-Authentic.....................0x00000001 (1) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[09] 
   Tunnel-Type........................0x0000000d (13) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[10] 
   Tunnel-Medium-Type.................0x00000006 (6) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[11] 
   Tunnel-Group-Id....................0x3832 (14386) (2 bytes)
Thu Aug 24 18:20:54 2006: AVP[12] 
   Acct-Status-Type...................0x00000003 (3) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[13] 
   Acct-Input-Octets..................0x000b99a6 (760230) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[14] 
   Acct-Output-Octets.................0x00043a27 (277031) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[15] 
   Acct-Input-Packets.................0x0000444b (17483) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[16] 
   Acct-Output-Packets................0x0000099b (2459) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[17] 
   Acct-Session-Time..................0x00000a57 (2647) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[18] 
   Acct-Delay-Time....................0x00000000 (0) (4 bytes)
Thu Aug 24 18:20:54 2006: AVP[19] 
   Calling-Station-Id.................10.10.82.11 (11 bytes)
Thu Aug 24 18:20:54 2006: AVP[20] 
   Called-Station-Id..................10.10.80.3 (10 bytes)
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f 
   Stopping retransmission timer for mobile 00:40:96:a0:36:2f
Thu Aug 24 18:20:57 2006: User admin authenticated

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 72788