Управление сетью и автоматизация : Cisco Access Registrar

Настройка Cisco Access Registrar и LEAP

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Access Registrar (AR) Cisco networking services 3.0 Световых расширяемых протокола аутентификации (LEAP) поддержек (беспроводные сети EAP-Cisco). Этот документ показывает, как настроить беспроводной Aironet Client Utilities и Cisco Aironet 340, 350, или точки доступа серии 1200 (AP) для Аутентификации LEAP к AR Cisco.

Предварительные условия

Требования

Для данного документа отсутствуют предварительные условия.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Cisco Aironet₩½ 340, 350, или точки доступа серии 1200

  • Микропрограмма точки доступа 11.21 или позже для LEAP Cisco

  • Cisco Aironet 340 или сетевые интерфейсные платы серии 350 (NIC)

  • Версии микропрограммы 4.25.30 или позже для LEAP Cisco

  • Network Driver Interface Specification (NDIS) 8.2.3 или позже для LEAP Cisco

  • Версии Aironet Client Utilities (ACU) 5.02 или позже

  • Cisco Access Registrar 3.0 или позже требуется, чтобы выполнять и аутентифицировать LEAP Cisco и запросы проверки подлинности MAC

Сведения, содержащиеся в данном документе, были получены с устройств в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе с реальной сетью необходимо полностью осознавать возможные результаты использования всех команд.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Настройка EAP-Cisco Wireless (Cisco LEAP)

Этот раздел покрывает базовые конфигурации LEAP Cisco на сервере AR Cisco, AP и различных клиентах.

Пошаговые инструкции

Следуйте этим инструкциям для настройки LEAP:

  1. Измените порт на сервере AR Cisco.

    AP передает Данные RADIUS на портах протокола пользовательских датаграмм (UDP) 1812 (аутентификация) и 1813 года (учет). Так как AR Cisco слушает на портах 1645 и 1646 UDP по умолчанию, необходимо настроить AR Cisco для прослушивания на портах 1812 и 1813 UDP.

    1. Выполните CD/radius/advanced/ports команда.

    2. Выполните команду add 1812 для добавления порта 1812.

    3. Если вы планируете сделать учет, выполнить команду add 1813 для добавления порта 1813.

    Сохраните конфигурацию, и затем перезапустите сервисы.

  2. Для добавления AP к серверу AR Cisco выполните эти команды:

    • CD/Radius/Clients

    • добавьте ap350-1

    • cd ap350-1

    • набор ipaddress 171.69.89.1

    • набор sharedsecret Cisco

  3. Для настройки превышения времени ожидания сеанса ключа Протокола WEP выполните эти команды:

    Примечание: 802.1x задает параметр повторной аутентификации. Алгоритм LEAP Cisco использует эту опцию, чтобы истечь текущий ключ сеанса WEP для пользователя и выполнить новый ключ сеанса WEP.

    • CD/Radius/Profiles

    • добавьте профиль AP

    • профиль AP CD

    • атрибуты CD

    • session-timeout 600 набора

  4. Для создания группы пользователей, которая использует профили, добавленные в Шаге 3 выполните эти команды:

    • CD/Radius/Usergroups

    • добавьте ap-group

    • ap-group CD

    • набор baseprofile профиль AP

    Пользователи в этой группе пользователей наследовали профиль и в свою очередь получают превышение времени ожидания сеанса.

  5. Чтобы создать пользователей в списке пользователей и добавить пользователей к группе пользователей, определенной в Шаге 4, выполните эти команды:

    • CD/Radius/Userlists

    • добавьте пользователей AP

    • пользователи AP CD

    • добавьте user1

    • user1 CD

    • set password Cisco

    • ap-group set group

  6. Для создания локальной проверки подлинности и сервиса авторизации, чтобы использовать UserService "ap-userservice" и установить тип сервиса в "скачок eap" выполните эти команды:

    • CD/Radius/Services

    • добавьте ap-localservice

    • ap-localservice CD

    • set type eap-leap

    • установите ap-userservice UserService

  7. Для создания сервиса пользователя "ap-userservice" для использования списка пользователей, определенного в Шаге 5, выполните эти команды:

    • CD/Radius/Services

    • добавьте ap-userservice

    • ap-localservice CD

    • set type local

    • набор userlist пользователи AP

  8. Для установки проверки подлинности по умолчанию и сервиса авторизации, который AR Cisco использует для сервиса, определенного в Шаге 6 выполните эти команды:

    • CD / радиус

    • набор defaultauthenticationservice ap-localservice

    • набор defaultauthorizationservice ap-localservice

  9. Чтобы сохранить и повторно загрузить конфигурацию, выполните эти команды:

    • save

    • повторная загрузка

Включение EAP-Cisco (Cisco LEAP) на AP

Пошаговые инструкции

Выполните эти действия для включения LEAP Cisco на AP:

  1. Перейдите к AP.

  2. От страницы Summary Status нажмите SETUP.

  3. В меню Services нажмите Security> Authentication Server.

  4. Выберите версию 802.1x для работы этого AP в раскрывающемся меню Версии протокола 802.1x.

  5. Настройте IP-адрес AR Cisco в текстовом поле/IP Имени сервера.

  6. Проверьте, что раскрывающееся меню Типа сервера установлено в RADIUS.

  7. Измените текстовое поле порта на 1812. Это - корректный номер порта IP для использования с AR Cisco.

  8. Настройте текстовое поле Общего секретного ключа со значением, используемым на AR Cisco.

  9. Установите флажок EAP Authentication.

  10. Модифицируйте коробку Текста для времени ожидания, раз так желаемую. Это - значение таймаута для запроса аутентификации для AR Cisco.

  11. Нажмите OK для возврата к экрану Security Setup.

    Если вы также делаете учет RADIUS, проверяете, что порт на Бухгалтерской Странице настройки соглашается с портом, настроенным в AR Cisco (набор на 1813).

  12. Выберите Radio Data Encryption (WEP) (Шифрование данных в беспроводной сети – WEP).

  13. Настройте широковещательный Ключ WEP путем ввода в 40-или 128-разрядного значения параметра в КЛЮЧЕ WEP 1 текстового поля.

  14. Выберите типы проверки подлинности для использования. Удостоверьтесь, что как минимум установлен флажок Network-EAP.

  15. Проверьте, что раскрывающееся меню Use of Data Encryption установлено в Необязательное или полное шифрование. Дополнительный позволяет использование не-WEP и клиентов WEP на том же AP. Знайте, что это - опасный режим работы. Используйте Полное шифрование, если это возможно.

  16. Нажмите OK для завершения.

Настройка ACU 6.00

Пошаговые инструкции

Выполните эти действия для настройки ACU:

  1. Откройте ACU.

  2. Нажмите Profile Manager на панели инструментов.

  3. Нажмите Add для создания нового профиля.

  4. Введите имя профиля в текстовое поле, и затем нажмите OK.

  5. Войдите в соответствующих идентификаторах наборов сервисов (SSID) в текстовом поле SSID1.

  6. Нажмите Network Security.

  7. Выберите LEAP от раскрывающегося меню Типа Сетевой безопасности.

  8. Нажмите кнопку Configure (Настроить).

  9. Настройте вводы пароля по мере необходимости.

  10. Нажмите кнопку OK.

  11. Нажмите OK на экране Network Security.

Трассировка от Cisco AR

Выполните trace/r 5 для получения выходных данных трассировки на AR Cisco. При необходимости в отладке AP можно соединиться с AP через Telnet и выполнить eap_diag1_on и команды eap_diag2_on.

06/28/2004 16:31:49: P1121: Packet received from 10.48.86.230
06/28/2004 16:31:49: P1121: Checking Message-Authenticator
06/28/2004 16:31:49: P1121: Trace of Access-Request packet
06/28/2004 16:31:49: P1121: identifier = 5
06/28/2004 16:31:49: P1121: length = 146
06/28/2004 16:31:49: P1121: 
   reqauth = e5:4f:91:27:0a:91:82:6b:a4:81:c1:cc:c8:11:86:0b
06/28/2004 16:31:49: P1121: User-Name = user1
06/28/2004 16:31:49: P1121: NAS-IP-Address = 10.48.86.230
06/28/2004 16:31:49: P1121: NAS-Port = 37
06/28/2004 16:31:49: P1121: Service-Type = Login
06/28/2004 16:31:49: P1121: Framed-MTU = 1400
06/28/2004 16:31:49: P1121: Called-Station-Id = 000d29e160f2
06/28/2004 16:31:49: P1121: Calling-Station-Id = 00028adc8f2e
06/28/2004 16:31:49: P1121: NAS-Identifier = frinket
06/28/2004 16:31:49: P1121: NAS-Port-Type = Wireless - IEEE 802.11
06/28/2004 16:31:49: P1121: EAP-Message = 02:02:00:0a:01:75:73:65:72:31
06/28/2004 16:31:49: P1121: 
   Message-Authenticator = f8:44:b9:3b:0f:33:34:a6:ed:7f:46:2d:83:62:40:30
06/28/2004 16:31:49: P1121: Cisco-AVPair = ssid=blackbird
06/28/2004 16:31:49: P1121: Using Client: ap1200-1 (10.48.86.230)
06/28/2004 16:31:49: P1121: Using Client ap1200-1 (10.48.86.230) as the NAS
06/28/2004 16:31:49: P1121: Authenticating and Authorizing with 
   Service ap-localservice
06/28/2004 16:31:49: P1121: Response Type is Access-Challenge, 
   skipping Remote Session Management.
06/28/2004 16:31:49: P1121: Response Type is Access-Challenge, 
   skipping Local Session Management.
06/28/2004 16:31:49: P1121: Adding Message-Authenticator to response
06/28/2004 16:31:49: P1121: Trace of Access-Challenge packet
06/28/2004 16:31:49: P1121: identifier = 5
06/28/2004 16:31:49: P1121: length = 61
06/28/2004 16:31:49: P1121: 
   reqauth = 60:ae:19:8d:41:5e:a8:dc:4c:25:1b:8d:49:a3:47:c4
06/28/2004 16:31:49: P1121: EAP-Message = 
   01:02:00:15:11:01:00:08:66:27:c3:47:d6:be:b3:67:75:73:65:72:31
06/28/2004 16:31:49: P1121: Message-Authenticator = 
   59:d2:bc:ec:8d:85:36:0b:3a:98:b4:90:cc:af:16:2f
06/28/2004 16:31:49: P1121: Sending response to 10.48.86.230
06/28/2004 16:31:49: P1123: Packet received from 10.48.86.230
06/28/2004 16:31:49: P1123: Checking Message-Authenticator
06/28/2004 16:31:49: P1123: Trace of Access-Request packet
06/28/2004 16:31:49: P1123: identifier = 6
06/28/2004 16:31:49: P1123: length = 173
06/28/2004 16:31:49: P1123: 
   reqauth = ab:f1:0f:2d:ab:6e:b7:49:9e:9e:99:00:28:0f:08:80
06/28/2004 16:31:49: P1123: User-Name = user1
06/28/2004 16:31:49: P1123: NAS-IP-Address = 10.48.86.230
06/28/2004 16:31:49: P1123: NAS-Port = 37
06/28/2004 16:31:49: P1123: Service-Type = Login
06/28/2004 16:31:49: P1123: Framed-MTU = 1400
06/28/2004 16:31:49: P1123: Called-Station-Id = 000d29e160f2
06/28/2004 16:31:49: P1123: Calling-Station-Id = 00028adc8f2e
06/28/2004 16:31:49: P1123: NAS-Identifier = frinket
06/28/2004 16:31:49: P1123: NAS-Port-Type = Wireless - IEEE 802.11
06/28/2004 16:31:49: P1123: EAP-Message = 
   02:02:00:25:11:01:00:18:5e:26:d6:ab:3f:56:f7:db:21:96:f3:b0:fb:ec:6b:
   a7:58:6f:af:2c:60:f1:e3:3c:75:73:65:72:31
06/28/2004 16:31:49: P1123: Message-Authenticator = 
   21:da:35:89:30:1e:e1:d6:18:0a:4f:3b:96:f4:f8:eb
06/28/2004 16:31:49: P1123: Cisco-AVPair = ssid=blackbird
06/28/2004 16:31:49: P1123: Using Client: ap1200-1 (10.48.86.230)
06/28/2004 16:31:49: P1123: Using Client ap1200-1 (10.48.86.230) as the NAS
06/28/2004 16:31:49: P1123: Authenticating and Authorizing 
   with Service ap-localservice
06/28/2004 16:31:49: P1123: Calling external service ap-userservice 
   for authentication and authorization
06/28/2004 16:31:49: P1123: Getting User user1's UserRecord
   from UserList ap-users
06/28/2004 16:31:49: P1123: User user1's MS-CHAP password matches
06/28/2004 16:31:49: P1123: Processing UserGroup ap-group's check items
06/28/2004 16:31:49: P1123: User user1 is part of UserGroup ap-group
06/28/2004 16:31:49: P1123: Merging UserGroup ap-group's BaseProfiles
   into response dictionary
06/28/2004 16:31:49: P1123: Merging BaseProfile ap-profile
   into response dictionary
06/28/2004 16:31:49: P1123: Merging attributes into the Response Dictionary:
06/28/2004 16:31:49: P1123: Adding attribute Session-Timeout, value = 600
06/28/2004 16:31:49: P1123: Merging UserGroup ap-group's Attributes 
   into response Dictionary
06/28/2004 16:31:49: P1123: Merging attributes into the Response Dictionary:
06/28/2004 16:31:49: P1123: Removing all attributes except for 
   EAP-Message from response - they will be sent back in the Access-Accept
06/28/2004 16:31:49: P1123: Response Type is Access-Challenge, 
   skipping Remote Session Management.
06/28/2004 16:31:49: P1123: Response Type is Access-Challenge, 
   skipping Local Session Management.
06/28/2004 16:31:49: P1123: Adding Message-Authenticator to response
06/28/2004 16:31:49: P1123: Trace of Access-Challenge packet
06/28/2004 16:31:49: P1123: identifier = 6
06/28/2004 16:31:49: P1123: length = 44
06/28/2004 16:31:49: P1123: 
   reqauth = 28:2e:a3:27:c6:44:9e:13:8d:b3:60:01:7f:da:8b:62
06/28/2004 16:31:49: P1123: EAP-Message = 03:02:00:04
06/28/2004 16:31:49: P1123: Message-Authenticator = 
   2d:63:6a:12:fd:91:9e:7d:71:9d:8b:40:04:56:2e:90
06/28/2004 16:31:49: P1123: Sending response to 10.48.86.230
06/28/2004 16:31:49: P1125: Packet received from 10.48.86.230
06/28/2004 16:31:49: P1125: Checking Message-Authenticator
06/28/2004 16:31:49: P1125: Trace of Access-Request packet
06/28/2004 16:31:49: P1125: identifier = 7
06/28/2004 16:31:49: P1125: length = 157
06/28/2004 16:31:49: P1125: 
   reqauth = 72:94:8c:34:4c:4a:ed:27:98:ba:71:33:88:0d:8a:f4
06/28/2004 16:31:49: P1125: User-Name = user1
06/28/2004 16:31:49: P1125: NAS-IP-Address = 10.48.86.230
06/28/2004 16:31:49: P1125: NAS-Port = 37
06/28/2004 16:31:49: P1125: Service-Type = Login
06/28/2004 16:31:49: P1125: Framed-MTU = 1400
06/28/2004 16:31:49: P1125: Called-Station-Id = 000d29e160f2
06/28/2004 16:31:49: P1125: Calling-Station-Id = 00028adc8f2e
06/28/2004 16:31:49: P1125: NAS-Identifier = frinket
06/28/2004 16:31:49: P1125: NAS-Port-Type = Wireless - IEEE 802.11
06/28/2004 16:31:49: P1125: EAP-Message = 
   01:02:00:15:11:01:00:08:3e:b9:91:18:a8:dd:98:ee:75:73:65:72:31
06/28/2004 16:31:49: P1125: Message-Authenticator = 
   8e:73:2b:a6:54:c6:f5:d9:ed:6d:f0:ce:bd:4f:f1:d6
06/28/2004 16:31:49: P1125: Cisco-AVPair = ssid=blackbird
06/28/2004 16:31:49: P1125: Using Client: ap1200-1 (10.48.86.230)
06/28/2004 16:31:49: P1125: Using Client ap1200-1 (10.48.86.230) as the NAS
06/28/2004 16:31:49: P1125: Authenticating and Authorizing 
   with Service ap-localservice
06/28/2004 16:31:49: P1125: Merging attributes into the Response Dictionary:
06/28/2004 16:31:49: P1125: Adding attribute Session-Timeout, value = 600
06/28/2004 16:31:49: P1125: Restoring all attributes to response 
   that were removed in the last Access-Challenge
06/28/2004 16:31:49: P1125: No default Remote Session Service defined.
06/28/2004 16:31:49: P1125: Adding Message-Authenticator to response
06/28/2004 16:31:49: P1125: Trace of Access-Accept packet
06/28/2004 16:31:49: P1125: identifier = 7
06/28/2004 16:31:49: P1125: length = 142
06/28/2004 16:31:49: P1125: 
   reqauth = 71:f1:ef:b4:e6:e0:c2:4b:0a:d0:95:47:35:3d:a5:84
06/28/2004 16:31:49: P1125: Session-Timeout = 600
06/28/2004 16:31:49: P1125: EAP-Message = 
02:02:00:25:11:01:00:18:86:5c:78:3d:82:f7:69:c7:96:70:35:31:bb:51:a7:ba:f8:48:8c:
45:66:00:e8:3c:75:73:65:72:31
06/28/2004 16:31:49: P1125: Message-Authenticator = 7b:48:c3:17:53:67:44:f3:af:5e:17:27:3d:3d:23:5f
06/28/2004 16:31:49: P1125: Cisco-AVPair = 6c:65:61:70:3a:73:65:73:73:69:6f:6e:2d:6b:65:79:3d:04:f2:c5:2a:de:fb:4e:1e:8a:8d
:b8:1b:e9:2c:f9:9a:3e:83:55:ff:ae:54:57:4b:60:e1:03:05:fd:22:95:4c:b4:62
06/28/2004 16:31:49: P1125: Sending response to 10.48.86.230

Дополнительные сведения


Document ID: 28901