Безопасность : Сервер безопасного контроля доступа Cisco для Windows

Безопасный ACS для Windows v3.2 With EAP-TLS Machine Authentication

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (10 февраля 2011) | Английский (20 декабря 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как настроить Transport Layer Security расширяемого протокола аутентификации (EAP-TLS) с системой управления доступом Cisco Secure Access Control System (ACS) для Версии Windows 3.2.

Примечание: Аутентификация компьютера не поддерживается с Центром сертификации (CA) Novell. Сервер ACS может использовать EAP-TLS для поддержки аутентификации компьютеров в каталоге Active Directory системы Microsoft Windows. Клиент конечного пользователя может ограничивать выбор протоколов аутентификации пользователя только тем протоколом, который используется для аутентификации компьютеров. Таким образом, использование EAP-TLS для аутентификации компьютеров может потребовать применения EAP-TLS для аутентификации пользователей. Дополнительные сведения об аутентификации компьютеров см. в разделе Аутентификация компьютеровРуководства пользователя сервера управления доступом Cisco 4.1.

Примечание: Когда устанавливание ACS для аутентификации машин через EAP-TLS и ACS было установлено для Аутентификации компьютера, клиент должен быть настроен, чтобы сделать аутентификацию компьютера только. Для получения дополнительной информации отнеситесь, Как включить аутентификацию только для компьютера для основанной на 802.1X сети в Windows Vista в Windows Server 2008, и в Windows XP Service Pack 3.

Предварительные условия

Требования

Для данного документа отсутствуют предварительные условия.

Используемые компоненты

Сведения, содержащиеся в данном документе, относятся к следующим версиям программного и аппаратного обеспечения.

Сведения, представленные в этом документе, были получены от устройств в специфической лабораторной среде. Все устройства, используемые в этом документе, были запущены с чистой конфигурацией (конфигурацией по умолчанию). При работе с реальной сетью необходимо полностью осознавать возможные результаты использования всех команд.

Теоретические сведения

И EAP-TLS, и защищенный расширяемый протокол аутентификации (PEAP) образуют и используют туннель TLS/Secure Socket Layer (SSL). EAP-TLS использует взаимную аутентификацию, при которой сервер управления доступом (ААА) и клиенты имеют сертификаты и удостоверяют личности друг друга. В то же время, PEAP использует только серверную аутентификацию, только у сервера есть сертификат и только сервер доказывает свою подлинность клиенту.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Схема сети

В данном документе используется сеть, изображенная на следующей схеме.

/image/gif/paws/43722/acs-eap-01.gif

Настройка Cisco Secure ACS версии 3.2 для Windows

Для настройки ACS 3.2 следуйте указанным ниже инструкциям.

  1. Получите сертификат для сервера ACS.

  2. Настройте ACS для использования сертификата из хранилища.

  3. Укажите дополнительные центры сертификации, которым сервер ACS должен доверять.

  4. Перезапустите эту службу и настройте параметры PEAP на ACS.

  5. Укажите и настройте точку доступа как клиент AAA.

  6. Настройте внешние базы данных пользователей.

  7. Перезапустите службу.

Получите сертификат для сервера ACS

Чтобы получить сертификат, выполните данные шаги.

  1. На сервере ACS отройте браузер и войдите на сервер центра сертификации, набрав адрес http://ip-адрес-центра-сертификации/certsrv.

  2. Войдите в домен с правами администратора.

    /image/gif/paws/43722/acs-eap-02.gif

  3. Выберите пункт Request a certificate (Запрос сертификата), затем нажмите кнопку Next (Далее).

    /image/gif/paws/43722/acs-eap-03.gif

  4. Выберите Advanced request (Расширенный запрос) и нажмите кнопку Next (Далее).

    /image/gif/paws/43722/acs-eap-04.gif

  5. Выберите Submit a certificate request to this CA using a form (Отправить запрос сертификата этому центру посредством формы) и нажмите кнопку Next (Далее).

    /image/gif/paws/43722/acs-eap-05.gif

  6. Настройте параметры сертификата:

    1. В качестве шаблона сертификата выберите Web Server (web-сервер) и введите имя сервера ACS.

      /image/gif/paws/43722/acs-eap-06a.gif

    2. В поле Key Size (Размер ключа) введите 1024, затем отметьте флажки Mark keys as exportable (Пометить ключи как экспортируемые) и Use local machine store (Использовать локальное хранилище компьютера).

    3. Настройте остальные параметры необходимым образом и нажмите кнопку Подтвердить.

      /image/gif/paws/43722/acs-eap-06b.gif

      Примечание: Если диалоговое окно Potential Scripting Violation появляется, нажмите Yes для продолжения.

      acs-eap-07.gif

  7. Выберите Install this certificate (Установить этот сертификат).

    /image/gif/paws/43722/acs-eap-08.gif

    Примечание: Если диалоговое окно Potential Scripting Violation появляется, нажмите Yes для продолжения.

    acs-eap-09.gif

  8. В случае успешной установки появится сообщение Certificate Installed (Сертификат установлен).

    acs-eap-10.gif

Настройте ACS для использования сертификата из хранилища

Чтобы настроить ACS для использования сертификата из хранилища, выполните следующие действия.

  1. Для доступа к серверу ACS откройте браузер и введите: http://ip-адрес-ACS:2002/.

  2. В разделе System Configuration (Настройка системы) выберите ACS Certificate Setup (Настройка сертификатов управления доступом).

  3. Нажмите кнопку Install ACS certificate (Установить сертификат ACS).

  4. Нажмите кнопку Use certificate from storage (Использовать сертификат из хранилища).

  5. В поле Certificate CN (Общее имя сертификата) введите имя сертификата, назначенного в пункте 5а раздела Получение сертификата от сервера ACS настоящего документа.

  6. Щелкните Submit (отправить).

    /image/gif/paws/43722/acs-eap-11.gif

    После завершения настройки будет выведено сообщение о подтверждении, указывающее, что конфигурация сервера ACS была изменена.

    Примечание: Перезапуск сервера управления доступом не требуется.

    /image/gif/paws/43722/acs-eap-12.gif

Указание дополнительных CA, которым должен доверять сервер ACS

Сервер управления доступом (ACS) автоматически доверяет центру сертификации, выпустившему его сертификат. Если сертификаты клиента выпущены иным центром сертификации, то необходимо выполнить следующие шаги:

  1. В разделе System Configuration (Настройка системы) выберите ACS Certificate Setup (Настройка сертификатов управления доступом).

  2. Щелкните ACS Certificate Authority Setup (Установка центра сертификации ACS), чтобы добавить центр сертификации к списку доверенных сертификатов.

  3. В соответствующее поле введите расположение файла сертификата CA и нажмите кнопку Submit (Отправить).

    /image/gif/paws/43722/acs-eap-13.gif

  4. Щелкните Edit Certificate Trust List (Редактировать список доверенных сертификатов).

  5. Установите флажки для всех центров сертификации, которым должен доверять сервер управления доступом, и снимите флажки для всех центров, которым он не должен доверять.

  6. Щелкните Submit (отправить).

    /image/gif/paws/43722/acs-eap-14.gif

Перезапуск службы и настройка параметров EAP-TLS на сервере ACS

Для перезапуска службы и настройки параметров EAP-TLS следуйте приведенным ниже указаниям:

  1. В разделе System Configuration (Настройка системы) выберите Service Control (Управление службами).

  2. Нажмите кнопку Restart (Перезапуск), чтобы перезапустить службу.

  3. {\f3 Для настройки параметров PEAP выберите }{\f3 System Configuration}{\f3 (Настройка системы), а затем }–{\f3 Global Authentication Setup}{\f3 (Глобальная настройка аутентификации).}

  4. Отметьте флажок Allow EAP-TLS (Разрешить EAP-TLS), а затем один или несколько сравниваемых сертификатов.

  5. Щелкните Submit (отправить).

    /image/gif/paws/43722/acs-eap-15.gif

Указание и настройка точки доступа в качестве клиента AAA

Для настройки точки доступа (AP) в качестве клиента AAA выполните следующие шаги:

  1. Выберите Network Configuration (Настройка сети).

  2. На вкладке AAA Clients (Клиенты AAA) щелкните Add Entry (Добавить запись).

    /image/gif/paws/43722/acs-eap-16.gif

  3. Введите имя хоста точки доступа в поле AAA Client Hostname (Имя хоста клиента AAA) и ее IP-адрес в поле AAA Client IP Address (IP-адрес клиента AAA).

  4. Введите общий секретный ключ для ACS и точки доступа в поле Key (Ключ).

  5. В качестве метода аутентификации выберите RADIUS (Cisco Aironet), после чего нажмите кнопку Submit (Отправить).

    /image/gif/paws/43722/acs-eap-17.gif

Настройте внешние базы данных пользователей

Для настройки внешних баз данных пользователей выполните следующие действия.

  1. Выберите External User Databases (Внешние базы данных пользователей), затем выберите Database Configuration (Настройка базы данных).

  2. Выберите Windows Database (База данных Windows).

    Примечание: Если нет определенной базы данных Windows, щелкните "Create New Configuration" (Создать новую конфигурацию), а затем щелкните "Submit" (Отправить).

  3. Нажмите кнопку Configure (Настроить).

  4. На вкладке Configure Domain List (Список настройки доменов) переместите домен SEC-SYD из списка Available Domains (Доступные домены) в список Domain (Домен).

    /image/gif/paws/43722/acs-eap-18.gif

  5. В разделе Windows EAP Settings (Настройки EAP Windows) отметьте флажок Permit EAP-TLS machine authentication (Разрешить аутентификацию компьютеров EAP-TLS).

    Примечание:  Не меняйте префикс аутентификации компьютера. Корпорация Майкрософт для указания различия между аутентификацией пользователей и компьютеров в настоящее время использует префикс /host (значение по умолчанию).

  6. Чтобы разрешить удаление имен доменов, дополнительно можно отметить флажок EAP-TLS Strip Domain Name (Удалять имя домена EAP-TLS).

  7. Щелкните Submit (отправить).

    /image/gif/paws/43722/acs-eap-19.gif

  8. {\f3 Выберите }{\f3 External User Databases}{\f3 (Внешние базы данных пользователей), а затем }–{\f3 Unknown User Policy}{\f3 (Политика для неизвестных пользователей).}

  9. Выберите переключатель Check the following external user databases (Проверять следующие базы данных пользователей).

  10. Переместите базу данных Windows (Windows Database) из списка External Databases (Внешние базы данных) в список Selected Databases (Выбранные базы данных).

  11. Щелкните Submit (отправить).

    /image/gif/paws/43722/acs-eap-19a.gif

Перезапустите службу

По завершении настройки ACS, выполните следующие шаги для перезапуска службы:

  1. В разделе System Configuration (Настройка системы) выберите Service Control (Управление службами).

  2. Нажмите кнопку Restart (Перезапустить).

Настройка автоматического зачисления сертификата Microsoft для компьютера

Чтобы настроить домен для автоматического зачисления сертификатов компьютеров, выполните следующие действия:

  1. Выберите Control Panel > Administrative Tools > Open Active Directory Users and Computers. (Панель управления > Администрирование > Открытие пользователей и компьютеров Active Directory).

  2. Щелкните правой кнопкой мыши на пункте domain sec-syd, затем выберите Properties (Свойства).

  3. Щелкните вкладку Group-Based Policy (Политика на основе группы).

  4. Выберите Default Domain Policy (Политика доменов по умолчанию), а затем нажмите кнопку Edit (Изменить).

  5. Перейти к Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Automatic Certificate Request Settings (Конфигурация компьютера > Параметры Windows > Параметры безопасности > Политики открытого ключа > Параметры автоматического запроса сертификатов).

    acs-eap-20.gif

  6. В строке меню перейдите к пункту Action > New > Automatic Certificate Request (Действие > Создать > Автоматический запрос сертификата) и нажмите кнопку Next (Далее).

  7. Выберите Computer (Компьютер) и нажмите кнопку Next (Далее).

  8. {\f3 Проверьте значение поля Certificate Authority (Центр сертификации), в данном примере }–{\f3 Our TAC CA.}

  9. Щелкните Next, а затем — Finish.

Настройка точки доступа Cisco

Выполните следующие шаги, чтобы настроить точку доступа для использования сервером ACS в качестве сервера аутентификации:

  1. Откройте web-браузер и наберите адрес http://ip-адрес-точки-доступа/certsrv для входа в точку доступа.

  2. На панели инструментов нажмите Setup (Установить).

  3. В разделе Services (Службы) выберите Security (Безопасность), затем выберите Authentication Server (Сервер аутентификации).

    Примечание: При настройке учетных записей на AP необходимо войти.

  4. Введите параметры настройки аутентификатора:

    • Выберите 802.1x-2001 в качестве версии протокола 802.1x (для аутентификации EAP).

    • Введите IP-адрес сервера ACS в поле Server Name/IP (Имя/IP-адрес сервера).

    • В поле Server Type (Тип сервера) выберите RADIUS.

    • В поле Port (Порт) введите 1645 или 1812.

    • В поле Specify and Configure the Access Point as an AAA Client (Определение и настройка точки доступа как клиента AAA) введите общий секретный ключ, которой был определен на шаге 2.

    • Для указания режима использования сервера отметьте параметр EAP Authentication (Аутентификация EAP).

  5. По завершении нажмите кнопку ОК.

    /image/gif/paws/43722/acs-eap-21.gif

  6. {\f3 Выберите }{\f3 Radio Data Encryption (WEP)}{\f3 (Шифрование данных в беспроводной сети }–{\f3 WEP).}

  7. Задайте настройки шифрования внутренних данных.

    • В раскрывающемся списке Use of Data Encryption by Stations (Использование шифрования данных на станциях) выберите Full Encryption (Полное шифрование), чтобы задать уровень шифрования.

    • Для задание допустимого типа аутентификации в разделе Accept Authentication Type (Принимать тип аутентификации) отметьте флажок Open (Открытый), затем отметьте флажок Network-EAP, чтобы разрешить протокол LEAP.

    • Чтобы требовать протокол EAP, в поле Require EAP (Требовать EAP) отметьте флажок Open (Открытый).

    • В поле Encryption Key (Ключ шифрования) введите ключ, затем в раскрывающемся списке Key Size (Размер ключа) выберите 128 bit (128 бит).

  8. По завершении нажмите кнопку ОК.

    acs-eap-22.gif

  9. Перейдите в раздел Network > Service Sets > Select the SSID Idx (Сеть > Наборы служб > Выбор индекса службы) для подтверждения используемого идентификатора набора служб (SSID).

  10. Нажмите кнопку ОК.

    /image/gif/paws/43722/acs-eap-22a.gif

Настройка беспроводного клиента

Для настройки ACS 3.2 выполните следующие действия:

  1. Подключитесь к домену.

  2. Получите сертификат для пользователя.

  3. Настройте беспроводной доступ к сети.

Вступление в домен

Чтобы добавить беспроводного клиента в домен, выполните следующие шаги.

Примечание: Для выполнения этих шагов у беспроводного клиента должно быть подключение к CA, или посредством проводного соединения или посредством беспроводного соединения с отключенной безопасностью 802.1x.

  1. Войдите в Windows XP под именем локального администратора.

  2. Перейдите в раздел Control Panel > Performance and Maintenance > System (Панель управления > Производительность и обслуживание > Система).

  3. На вкладке Computer Name (Имя компьютера) выберите Change (Изменить).

  4. Введите имя хоста в поле Computer Name (Имя компьютера).

  5. {\f3 В поле }{\f3 Domain}{\f3 выберите домен, затем введите имя домена (в данном примере }–{\f3 SEC-SYD).}

  6. Нажмите кнопку ОК.

    /image/gif/paws/43722/acs-eap-23.gif

  7. Когда появится диалоговое окно Login (Вход), войдите с учетной записью, имеющей достаточные разрешения для подключения к домену.

  8. После того как компьютер успешно присоединился к домену, перезагрузите компьютер.

    Компьютер становится членом домена. Поскольку настроен параметр machine autoenrollment, у компьютера есть установленный сертификат для центра сертификации, а также сертификат для аутентификации компьютера.

Получите сертификат для пользователя

Чтобы получить сертификат для пользователя, выполните следующие действия.

  1. Войдите в систему Windows XP и на домен (SEC-SYD) на беспроводном клиенте (переносном компьютере) с учетной записью, которая требует сертификата.

  2. Откройте web-браузер и наберите адрес http://ip-адрес-центра-сертификации/certsrv для входа на сервер центра сертификации.

  3. Войдите на сервер центра сертификации под той же учетной записью.

    Примечание: Сертификат сохранен на беспроводном клиенте под профилем текущего пользователя; поэтому, необходимо использовать ту же учетную запись для регистрации к Windows и Приблизительно

    /image/gif/paws/43722/acs-eap-24.gif

  4. Выберите Request a certificate (Запрос сертификата), затем нажмите кнопку Next (Далее).

    /image/gif/paws/43722/acs-eap-03.gif

  5. Выберите переключатель Advanced request (Расширенный запрос), затем нажмите кнопку Next (Далее).

    /image/gif/paws/43722/acs-eap-04.gif

  6. Выберите переключатель Submit a certificate request to this CA using a form (Отправить запрос сертификата этому центру посредством формы) и нажмите кнопку Next (Далее).

    /image/gif/paws/43722/acs-eap-05.gif

  7. В поле Certificate Template (Шаблон сертификата) выберите User (Пользовательский), затем в поле Key Size (Размер ключа) введите 1024.

  8. Настройте остальные параметры необходимым образом и нажмите кнопку Submit (Отправить).

    /image/gif/paws/43722/acs-eap-25.gif

    Примечание: Если диалоговое окно Potential Scripting Violation появляется, нажмите Yes для продолжения.

    acs-eap-07.gif

  9. Выберите Install this certificate (Установить этот сертификат).

    /image/gif/paws/43722/acs-eap-08.gif

    Примечание: Если диалоговое окно Potential Scripting Violation появляется, нажмите Yes для продолжения.

    acs-eap-09.gif

    Примечание: Если собственный сертификат CA уже, не сохранен на беспроводном клиенте Хранилище Корневого сертификата могло бы появиться. Для сохранения сертификата в локальном хранилище нажмите кнопку Yes (Да).

    acs-eap-26.gif

    В случае успешной установки появится подтверждающее сообщение.

    acs-eap-10.gif

Настройка доступа к беспроводной сети

Настройте параметры беспроводной сети, выполнив следующие действия:

  1. Зарегистрируйтесь в домене как его пользователь.

  2. Перейдите в раздел Control Panel > Network and Internet Connections > Network Connections (Панель управления > Сеть и подключения к Интернету > Сетевые подключения).

  3. Щелкните правой кнопкой мыши Wireless Connection (Беспроводное подключение) и выберите Properties (Свойства).

  4. Выберите вкладку Wireless Networks (Беспроводные сети).

  5. Выберите беспроводную сеть из списка доступных сетей и затем нажмите кнопку Configure (Настроить).

    /image/gif/paws/43722/acs-eap-23.gif

  6. На вкладке Authentication (Аутентификация) отметьте флажок Enable IEEE 802.1x authentication for this network (Включить аутентификацию IEEE 802.1x для этой сети).

  7. В раскрывающемся списке типов EAP выберите Smart Card or other Certificate (Смарт-карта или другой сертификат), затем щелкните Properties (Свойства).

    Примечание: Для включения аутентификации компьютера проверьте Подтверждение подлинность как компьютер, когда сведения о компьютере являются доступным флажком.

    /image/gif/paws/43722/acs-eap-27.gif

  8. Выберите переключатель Use a certificate on this computer (Использовать сертификат на этом компьютере), затем отметьте флажок Use simple certificate selection (Использовать простой выбор сертификата).

  9. Отметьте флажок Validate server certificate (Подтверждать сертификат сервера), затем нажмите кнопку OK.

    Примечание: Когда клиент присоединяется к домену, сертификат CA установлен автоматически как Trusted Root Certification Authority. Клиент будет автоматически (и в неявной форме) доверять CA, подписавшему сертификат клиента. Можно доверять дополнительным ЦС, проверив их по списку доверенных корневых центров сертификации.

    /image/gif/paws/43722/acs-eap-28.gif

  10. На вкладке Association (Ассоциации) в окне свойств сети установите флажки Data encryption (WEP enabled) (Шифрование данных [Разрешить WEP]) и The key is provided for me automatically (Ключ предоставляется автоматически).

  11. Чтобы закрыть окно настройки сети, нажмите OK и снова OK.

    /image/gif/paws/43722/acs-eap-29.gif

Проверка.

В данном разделе содержатся сведения о проверке работы конфигурации.

  • Для проверки прохождения аутентификации клиента беспроводной сети выполните следующие действия:

    1. На клиенте перейдите в раздел Control Panel > Network and Internet Connections > Network Connections (Панель управления > Сеть и подключения к Интернету > Сетевые подключения).

    2. В строке меню перейдите в раздел View > Tiles (Вид > Плитка).

    Для беспроводного соединения должно отображаться сообщение Authentication succeeded (Аутентификация успешно пройдена).

  • {\f3 Чтобы убедиться в прохождении аутентификации беспроводными клиентами, перейдите в web-интерфейсе ACS в раздел }{\f3 Reports and Activity > Passed Authentications > Passed Authentications active.csv}{\f3 (Отчеты и действия > Пройденная аутентификация > Пройденная аутентификация }–{\f3 active.csv).}

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

  • Убедитесь в том, что на сервере Windows 2000 Advanced Server с пакетом обновления SP3 в качестве корневого сервера аутентификации предприятия установлена служба MS Certificate Services.

  • Проверьте, используется ли Cisco Secure ACS для Windows версии 3.2 с Windows 2000 и пакетом обновления 3.

  • В случае неудачной аутентификации компьютера для беспроводного клиента подключиться к сети с помощью беспроводного подключения невозможно. Только учетные записи, профили которых кэшированы на беспроводном клиенте, смогут зарегистрироваться в домене. Будет необходимо подключить компьютер к проводной сети или настроить для беспроводного подключения с отключенной безопасностью 802.1x.

  • Если при присоединении к домену не сработало автоматическое зачисление в CA, проверьте возможные причины сбоя в средстве Event Viewer (Просмотр событий).

  • Если профиль пользователя беспроводного клиента не имеет действительного сертификата, возможность входа в компьютер и домен сохраняются при наличии правильного пароля, однако следует помнить, что беспроводное соединение не будет иметь возможности подключения.

  • Если сертификат ACS на беспроводном клиенте является недействительным (что зависит от дат начала и окончания действия сертификата, настроек даты и времени клиента и доверия СА), то клиент отклонит его и проверка не будет пройдена. ACS зарегистрирует неудачную аутентификацию в сетевом интерфейсе в файле Reports and Activity > Failed Attempts > Failed Attempts XXX.csv с тем же кодом ошибки аутентификации, что и в случае сообщения EAP-TLS or PEAP authentication failed during SSL handshake (Ошибка аутентификации EAP-TLS или PEAP при подтверждении установления связи SSL). Ожидаемое сообщение об ошибках в файле CSAuth.log подобно следующему:

    AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
    other side probably didn't accept our certificate
  • Если сертификат клиента в ACS недействителен (это определяется по начальной и конечной дате срока действия сертификата, настройкам времени и даты сервера и уровня доверия CA), то сервер отклонит его и аутентификация завершится неудачно. ACS зарегистрирует неудачную аутентификацию в сетевом интерфейсе в файле Reports and Activity > Failed Attempts > Failed Attempts XXX.csv с тем же кодом ошибки аутентификации, что и в случае сообщения EAP-TLS or PEAP authentication failed during SSL handshake (Ошибка аутентификации EAP-TLS или PEAP при подтверждении установления связи SSL). Если ACS отклоняет сертификат клиента, поскольку CA не является доверенным для данного ACS, то в файле CSAuth.log появится сообщение об ошибке следующего вида:

    AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse:
    SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)

    Если ACS отклоняет сертификат клиента, поскольку срок действия сертификата истек, то в файле CSAuth.log появится сообщение об ошибке следующего вида:

    AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse:
    SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)
  • {\f3 В журналах web-интерфейса ACS, как в разделе }{\f3 Reports and Activity > Passed Authentications > Passed Authentications XXX.csv}{\f3 (Отчеты и действия > Пройденная аутентификация > Пройденная аутентификация }–{\f3 XXX.csv), так и в разделе }{\f3 Reports and Activity > Failed Attempts > Failed Attempts XXX.csv}{\f3 (Отчеты и действия > Неудачные попытки > Неудачные попытки }–{\f3 XXX.csv) аутентификация EAP-TLS будет представляться в формате <идентификатор-пользователя>@<домен>.} Аутентификация PEAP будет представлена в формате <ДОМЕН>\<идентификатор-пользователя>.

  • Можно проверить сертификат и доверенное состояние сервера ACS, выполнив следующие шаги.

    1. Войдите в Windows на сервере ACS, используя учетную запись с привилегиями администратора.

    2. Выберите Start > Run (Пуск > Выполнить), наберите mmc и нажмите OK для открытия Microsoft Management Console.

    3. В строке меню выберите Console > Add/Remove Snap-in (Консоль > Добавить или удалить оснастку), затем нажмите кнопку Add (Добавить).

    4. Выберите Certificates (Сертификаты) и нажмите кнопку Add (Добавить).

    5. Выберите Computer account (Учетная запись компьютера), нажмите кнопку Next (Далее) и затем выберите Local computer (the computer this console is running on) (Локальный компьютер (на котором открыта данная консоль)).

    6. Нажмите кнопку Finish (Готово), затем нажмите кнопку Close (Закрыть), а затем нажмите кнопку ОК.

    7. Чтобы убедиться в наличии у сервера ACS действующего серверного сертификата, перейдите в радел Console Root > Certificates (Local Computer) > Personal > Certificates (Корень консоли > Сертификаты (Локальный компьютер) > Личные > Сертификаты).

    8. Откройте сертификат и проверьте следующие позиции:

      • Предупреждения об отсутствии проверки сертификата для всех намеченных целей нет.

      • Предупреждения об отрицании подлинности сертификата нет.

      • {\f3 This certificate is intended to }—{\f3 Ensures the identity of a remote computer (Назначение сертификата }–{\f3 проверяет подлинность адреса удаленного компьютера).}"

      • Сертификат не просрочен и является действительным (проверьте, действительны ли начальная и конечная даты).

      • You have a private key that corresponds to this certificate (У вас имеется секретный ключ, соответствующий данному сертификату)."

    9. {\f3 На вкладке Details (Сведения) поле Version (Версия) должно иметь значение V3, а поле Enhanced Key Usage (Использование расширенных ключей) }—{\f3 содержать серверную аутентификацию (1.3.6.1.5.5.7.3.1).}

    10. Чтобы убедиться в том, что сервер CA является доверенным для сервера ACS, перейдите в радел Console Root > Certificates (Local Computer) > Trusted Root Certification Authorities > Certificates (Корень консоли > Сертификаты (Локальный компьютер) > Доверенные корневые центры сертификации > Сертификаты). В данном примере сертификат назван Our TAC CA.

    11. Откройте сертификат и проверьте следующие позиции:

      • Предупреждения об отсутствии проверки сертификата для всех намеченных целей нет.

      • Предупреждения об отрицании подлинности сертификата нет.

      • Целевое назначение сертификата верно.

      • Сертификат не просрочен и является действительным (проверьте, действительны ли начальная и конечная даты).

      Если сервер управления доступом (ACS) и клиент используют общий корневой центр сертификации (CA), убедитесь, что установлен полный набор сертификатов для серверов сертификации. Выполните те же действия, если сертификат был получен в сертифицированной организации.

  • Можно проверить сертификат машины беспроводного клиента и заверить его при помощи нижеследующих шагов.

    1. Войдите в Windows на сервере ACS, используя учетную запись с привилегиями администратора. Откройте Microsoft Management Console, выбрав Start > Run (Пуск > Выполнить), набрав mmc и нажав кнопку OK.

    2. В строке меню выберите Console > Add/Remove Snap-in (Консоль > Добавить или удалить оснастку), затем щелкните Add (Добавить).

    3. Выберите Certificates и нажмите кнопку Add (Добавить).

    4. Выберите Computer account (Учетная запись компьютера), нажмите кнопку Next (Далее) и затем выберите Local computer (the computer this console is running on) (Локальный компьютер (на котором открыта данная консоль)).

    5. Нажмите кнопку Finish (Готово), затем нажмите кнопку Close (Закрыть), а затем нажмите кнопку ОК.

    6. Убедитесь, что компьютеру предоставлен действительный сертификат клиента. Если сертификат недействителен, автомат не пройдет проверку подлинности. Чтобы проверить сертификат, перейдите в раздел Console Root > Certificates (Local Computer) > Personal > Certificates (Корень консоли > Сертификаты (локальный компьютер) > Личные > Сертификаты). Убедитесь в наличии сертификата для компьютера; имя будет в указано формате <имя хоста>.<домен>. Откройте сертификат и проверьте следующие позиции.

      • Предупреждения об отсутствии проверки сертификата для всех намеченных целей нет.

      • Предупреждения об отрицании подлинности сертификата нет.

      • {\f3 This certificate is intended to }—{\f3 Proves your identity to a remote computer (Назначение данного сертификата }–{\f3 удостоверение вашей личности для удаленного компьютера).}"

      • Сертификат не просрочен и является действительным (проверьте, действительны ли начальная и конечная даты).

      • You have a private key that corresponds to this certificate (У вас имеется секретный ключ, соответствующий данному сертификату)."

  • На вкладке Details (Сведения) поле Version (Версия) должно иметь значение V3, а поле Enhanced Key Usage (Использование расширенных ключей) содержать как минимум значение аутентификации клиентов (1.3.6.1.5.5.7.3.2); могут быть перечислены и другие назначения. Убедитесь в том, что поле Subject (Предмет) содержит значение CN = <имя-хоста>.<домен>; могут быть перечислены дополнительные значения. Убедитесь, что имя хоста и домен соответствуют заданным в сертификате параметрам.

  • Для того чтобы убедиться в том, что профиль клиента доверяет серверу центра сертификации, необходимо перейти в раздел Console Root > Certificates (Current User) > Trusted Root Certification Authorities > Certificates (Корень консоли > Сертификаты > Текущий пользователь > Доверенные корневые центры сертификации > Сертификаты). Убедитесь в наличии сертификата для сервера центра сертификации (в данном примере названного TAC CA). Откройте сертификат и проверьте следующие позиции.

    • Предупреждения об отсутствии проверки сертификата для всех намеченных целей нет.

    • Предупреждения об отрицании подлинности сертификата нет.

    • Целевое назначение сертификата верно.

    • Сертификат не просрочен и является действительным (проверьте, действительны ли начальная и конечная даты).

    Если сервер управления доступом (ACS) и клиент используют общий корневой центр сертификации (CA), убедитесь, что установлен полный набор сертификатов для серверов сертификации. Выполните те же действия, если сертификат был получен в сертифицированной организации.

  • Проверьте параметры системы ACS, как описано в разделе Настройка Cisco Secure ACS версии 3.2 для Windows.

  • Проверьте настройки CA, как описано в разделе Настройка автоматического зачисления сертификата Microsoft для компьютера.

  • Проверьте параметры настройки точки доступа, как описано в разделе Настройка точки доступа Cisco.

  • Проверьте настройки беспроводного клиента, как описано в разделе Настройка беспроводного клиента.

  • Убедитесь, что учетная запись пользователя присутствует во внутренней базе данных сервера AAA или в одной из настроенных внешних баз данных, и проверьте, не отключена ли она.

  • Сертификаты, выполненные CA, основывались на Защищенном алгоритме хэширования 2 (SHA 2), не совместимы с Cisco Secure ACS, так как они разработаны с Java, который не поддерживает SHA 2 на данный момент. Для решения этого вопроса повторно установите CA и настройте его для запуска сертификатов с SHA-1.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 43722