Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 4400

EAP-TLS в Unified Wireless Network с ACS 4.0 и Windows 2003

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (20 декабря 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как настроить безопасный беспроводной доступ с помощью Контроллеров беспроводной локальной сети (WLC), программное обеспечение Microsoft Windows 2003 и сервер Cisco Secure Access Control Server (ACS) 4.0 с помощью Transport Layer Security расширяемого протокола аутентификации (EAP-TLS).

Примечание: Для получения дополнительной информации о развертываниях безопасного радио, обратитесь к веб-сайту Microsoft Wi-Fi leavingcisco.com и Проекту беспроводных сетей Cisco SAFE.

Предварительные условия

Требования

Существует предположение, что установщик ознакамливается с основной установкой Windows 2003 и установкой контроллера Cisco, поскольку этот документ только покрывает определенные конфигурации для упрощения тестов.

Для начальной установки и сведений о конфигурации для Cisco Контроллеры серии 4400, обратитесь к Краткому руководству по началу работы: Контроллеры беспроводных LAN серии Cisco 4400. Дополнительные сведения по изначальной установке и конфигурации контроллеров серии Cisco 2000 см. в Краткое руководство по началу запуска: Контроллеры беспроводных LAN серии Cisco 2000.

Перед началом установите Windows Server 2003 с Пакетом обновления (SP) 1 операционная система на каждом из серверов в тестовой лабораторной работе и обновите все Пакеты обновления. Установите контроллеры и AP и гарантируйте, что настроены обновления последних версий программного обеспечения.

Важно: В то время, когда этот документ был записан, SP1 является последним обновлением Windows Server 2003, и SP2 с исправлениями обновления является последними версиями программного обеспечения для Windows XP Professional.

Windows Server 2003 с SP1, Enterprise Edition, используется так, чтобы могла быть настроена автоматическая подача заявок пользователя и сертификатов рабочей станции для Проверки подлинности EAP-TLS. Это описано в разделе Проверки подлинности EAP-TLS этого документа. Автоматическая подача заявок сертификата и автообновление упрощают развертывать сертификаты и улучшать безопасность путем автоматического истечения и возобновления сертификатов.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Cisco 2006 или Контроллер серии 4400, который выполняется 3.2.116.21

  • AP протокола LWAPP Cisco 1131

  • Windows 2003 Enterprise с информационным сервером интернета (IIS), Центром сертификации (CA), DHCP и Системой доменных имен (DNS) установлен

  • Windows 2003 Standard с Access Control Server (ACS) 4.0

  • Windows XP Professional с SP (и обновленные Пакеты обновления) и интерфейсная карта беспроводной сети (NIC) (с поддержкой v3 CCX) или соискатель третьей стороны.

  • Коммутатор Cisco 3560

Схема сети

В настоящем документе используется следующая схема сети:

Лабораторная топология беспроводных сетей Cisco Secure

/image/gif/paws/71929/eap-tls-acs40-win2003-1.gif

Первичная цель этого документа должна предоставить вас пошаговая процедура для реализации EAP-TLS под Unified Wireless Network с ACS 4.0 и Windows 2003 Enterprise server. Основной акцент находится на автоматической подаче заявок клиента так, чтобы клиент автозарегистрировал и взял сертификат от сервера.

Примечание: Для добавления Защищенного доступа по протоколу Wi-Fi (WAP) / WPA2 с Протоколом TKIP / Расширенный стандарт шифрования (AES) к Windows XP Professional с SP, обратитесь к Информационному элементу WPA2/Wireless Provisioning Services (IE WPS) обновление для Windows XP с SP2 leavingcisco.com.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Windows Enterprise 2003 Setup с IIS, центром сертификации, DNS, DHCP (DC_CA)

DC_CA (wirelessdemoca)

DC_CA является компьютером, который выполняет Windows Server 2003 с SP1, Enterprise Edition, и выполняет эти роли:

  • Контроллер домена для wirelessdemo.local домена, который выполняет IIS

  • Сервер DNS для wirelessdemo.local Домена DNS

  • Сервер DHCP

  • Узел CA предприятия для wirelessdemo.local домена

Выполните эти шаги для настройки DC_CA для этих сервисов:

  1. Выполните базовую установку и конфигурацию.

  2. Настройте компьютер как контроллер домена.

  3. Повысьте доменный функциональный уровень.

  4. Установите и настройте DHCP.

  5. Установите сервисы сертификации.

  6. Проверьте Права администратора для сертификатов.

  7. Добавьте компьютеры к домену.

  8. Позвольте беспроводной доступ компьютерам.

  9. Добавьте пользователей к домену.

  10. Позвольте беспроводной доступ пользователям.

  11. Добавьте группы к домену.

  12. Добавьте пользователей к группе WirelessUsers.

  13. Добавьте компьютеры клиента к группе WirelessUsers.

Шаг 1: Выполните базовую установку и конфигурацию

Выполните следующие действия:

  1. Установите Windows Server 2003 с SP1, Enterprise Edition, как автономный сервер.

  2. Настройте протокол TCP/IP с IP-адресом 172.16.100.26 и маской подсети 255.255.255.0.

Шаг 2: Настройте компьютер как контроллер домена

Выполните следующие действия:

  1. Для начала мастера Установки Active Directory выберите Start> Run, введите dcpromo.exe и нажмите OK.

  2. На n Приветствие к странице Active Directory Installation Wizard нажмите Next.

  3. На странице Operating System Compatibility нажмите Next.

  4. На Полосе набора Контроллера домена выберите Контроллер домена для нового домена и нажмите Next.

  5. На Создавании Новой страницы Domain выберите Domain в новом лесу и нажмите Next.

  6. На странице Install или Configure DNS выберите No, просто установите и настройте DNS на этом компьютере и нажмите Next.

  7. На Новой странице Domain Name введите wirelessdemo.local и нажмите Next.

  8. На странице Domain Name NetBIOS введите Доменное Имя NETBIOS как wirelessdemo и нажмите Next.

  9. На Базе данных и Регистрационной странице Location Папок, примите каталоги Database и Log Folders по умолчанию и нажмите Next.

    /image/gif/paws/71929/eap-tls-acs40-win2003-2.gif

  10. На диалоговом окне Shared System Volume проверьте, что расположение папки по умолчанию корректно, и нажмите Next.

    /image/gif/paws/71929/eap-tls-acs40-win2003-3.gif

  11. На странице Permissions проверьте, что Разрешения, совместимые только с Windows 2000 или операционными системами Windows Server 2003, выбраны и clickNext.

    eap-tls-acs40-win2003-4.gif

  12. На странице Directory Services Restore Mode Administration Password оставьте незаполненные поля пароля и нажмите Next.

  13. Рассмотрите информацию о Сводной странице и нажмите Next.

    eap-tls-acs40-win2003-5.gif

  14. На странице Completing the Active Directory Installation Wizard нажмите Finish.

  15. Когда предложено перезапустить компьютер, нажмите Restart Now.

Шаг 3: Повысьте доменный функциональный уровень

Выполните следующие действия:

  1. Откройте моментальный снимок Доменов и Трестов Active Directory - в от папки Administrative Tools (Пуск> Средства администрирования> Домены Active Directory и Тресты), и затем щелкните правой кнопкой мыши компьютер домена DC_CA.wirelessdemo.local.

  2. Нажмите Raise Domain Functional Level, и затем выберите Windows Server 2003 на странице Raise Domain Functional Level.

    /image/gif/paws/71929/eap-tls-acs40-win2003-6.gif

  3. Нажмите Raise, нажмите OK, и затем нажмите OK снова.

Шаг 4: Установите и настройте DHCP

Выполните следующие действия:

  1. Установите Протокол DHCP (динамического конфигурирования узла), как компонент Сетевого сервиса при помощи Добавляет или Удаляет Программы в Панели управления.

  2. Откройте моментальный снимок DHCP - в от папки Administrative Tools (Пуск> Программы> Средства администрирования> DHCP, и затем выделите сервер DHCP, DC_CA.wirelessdemo.local.

  3. Нажмите Action, и затем нажмите Authorize для авторизации сервиса DHCP.

  4. На дереве консоли щелкните правой кнопкой мыши DC_CA.wirelessdemo.local, и затем нажмите New Scope.

  5. На Странице приветствия Нового Мастера создания области нажмите Next.

  6. На странице Scope Name введите CorpNet в Поле имени.

    /image/gif/paws/71929/eap-tls-acs40-win2003-7.gif

  7. Нажмите Next и заполните эти параметры:

    • Запустите IP-адрес — 172.16.100.1

    • Конечный IP-адрес — 172.16.100.254

    • Длина

    • Маска подсети: 255.255.255.0

    eap-tls-acs40-win2003-8.gif

  8. Нажмите Next и войдите 172.16.100.1 для IP-адреса Запуска и 172.16.100.100 для Конечного IP-адреса, который будет исключен. Нажмите кнопку Next. Это резервирует IP-адреса в диапазоне от 172.16.100.1 до 172.16.100.100. Эти зарезервированные IP-адреса не выделены сервером DHCP.

    /image/gif/paws/71929/eap-tls-acs40-win2003-9.gif

  9. На странице Lease Duration нажмите Next.

  10. На странице Configure DHCP Options выберите Yes, I want to configure these options now и нажмите Next.

    /image/gif/paws/71929/eap-tls-acs40-win2003-10.gif

  11. На маршрутизаторе страница (Default Gateway) добавляет адрес маршрутизатора по умолчанию 172.16.100.1 и нажимает Next.

    /image/gif/paws/71929/eap-tls-acs40-win2003-11.gif

  12. На странице Domain Name и DNS Servers введите wirelessdemo.local в Родительском поле domain, тип 172.16.100.26 в поле IP address, и затем нажмите Add и нажмите Next.

    /image/gif/paws/71929/eap-tls-acs40-win2003-12.gif

  13. На странице WINS Servers нажмите Next.

  14. На Активировать странице Scope выберите Yes, I want to activate this scope now и нажмите Next.

    /image/gif/paws/71929/eap-tls-acs40-win2003-13.gif

  15. На странице Completing the New Scope Wizard нажмите Finish.

Шаг 5: Установите сервисы сертификации

Выполните следующие действия:

Примечание: IIS должен быть установлен перед установкой Сервисов сертификации, и пользователь должен быть частью OU Admin Предприятия.

  1. В Панели управления, открытой, Добавляют или Удаляют Программы, и затем нажимают Add/Remove Windows Components.

  2. На странице Windows Components Wizard выберите Certificate Services, и затем нажмите Next.

    /image/gif/paws/71929/eap-tls-acs40-win2003-14.gif

  3. На Полосе набора CA выберите узел CA Enterprise и нажмите Next.

    eap-tls-acs40-win2003-15.gif

  4. На странице информации Определения CA введите wirelessdemoca в Общем имени для этой коробки CA. Можно ввести другие дополнительные подробные данные и затем нажать Next. Примите настройки по умолчанию на странице Certificate Database Settings.

    /image/gif/paws/71929/eap-tls-acs40-win2003-16.gif

  5. Нажмите кнопку Next. После завершения установки нажмите Finish.

  6. Нажмите OK после чтения предупреждения об установке IIS.

Шаг 6: Проверьте права администратора для сертификатов

Выполните следующие действия:

  1. Выберите Start> Administrative Tools> Certification Authority.

  2. Щелкните правой кнопкой мыши wirelessdemoca CA и затем нажмите Properties.

  3. На Вкладке Безопасность нажмите Administrators в списке Имен пользователей или Группе.

  4. В списке Разрешений или Администраторов проверьте, что эти опции собираются Позволить:

    • Выполните и управляйте сертификатами

    • Управляйте CA

    • Сертификаты запроса

    Если какой-либо из них собирается Запретить или не выбран, заставьте разрешения Позволять.

    eap-tls-acs40-win2003-17.gif

  5. Нажмите OK для закрытия wirelessdemoca CA Диалоговое окно со свойствами, и затем близкий Центр сертификации.

Шаг 7: Добавьте компьютеры к домену

Выполните следующие действия:

Примечание: Если компьютер уже добавлен к домену, продолжите Добавлять Пользователей к Домену.

  1. Откройте моментальный снимок Пользователей и компьютеров Active Directory - в.

  2. В дереве консоли разверните wirelessdemo.local.

  3. Щелкните правой кнопкой мыши Пользователей, нажмите New, и затем нажмите Computer.

  4. В диалоговом окне New Object - Computer введите имя компьютера в Поле Имя компьютера и нажмите Next. Данный пример использует Клиента имени компьютера.

    /image/gif/paws/71929/eap-tls-acs40-win2003-18.gif

  5. В диалоговом окне Managed нажмите Next.

  6. В Новом диалоговом окне Объектного компьютера нажмите Finish.

  7. Повторите шаги 3 - 6 для создания учетных записей дополнительного компьютера.

Шаг 8: Позвольте беспроводной доступ компьютерам

Выполните следующие действия:

  1. В дереве консоли Пользователей и компьютеров Active Directory нажмите папку Computers и щелкните правой кнопкой мыши на компьютере, для которого вы хотите назначить беспроводной доступ. Данный пример показывает процедуру с компьютерным клиентом, которого вы добавили в шаге 7.

  2. Нажмите Properties, и затем перейдите к Вкладке наборный (телефонный) доступ.

  3. Выберите предоставляют доступ и нажимают OK.

Шаг 9: Добавьте пользователей к домену

Выполните следующие действия:

  1. В дереве консоли Пользователей и компьютеров Active Directory щелкните правой кнопкой мыши Пользователей, нажмите New, и затем нажмите User.

  2. В Новом Объекте – диалоговое окно User, введите WirelessUser в поле Имени, и введите WirelessUser в Пользовательском поле имени пользователя и нажмите Next.

    eap-tls-acs40-win2003-19.gif

  3. В Новом Объекте – диалоговое окно User, введите пароль по Вашему выбору в Полях Password и Полях подтверждения пароля. Очиститесь Пользователь должен изменить пароль в следующем флажке входа в систему и нажать Next.

    /image/gif/paws/71929/eap-tls-acs40-win2003-20.gif

  4. В Новом Объекте – диалоговое окно User, нажмите Finish.

  5. Повторите шаги 2 - 4 для создания дополнительных учетных записей пользователя.

Шаг 10: Позвольте беспроводной доступ пользователям

Выполните следующие действия:

  1. В дереве консоли Пользователей и компьютеров Active Directory нажмите Папку Пользователи, щелкните правой кнопкой мыши WirelessUser, нажмите Properties, и затем перейдите к Вкладке наборный (телефонный) доступ.

  2. Выберите предоставляют доступ и нажимают OK.

Шаг 11: Добавьте группы к домену

Выполните следующие действия:

  1. В дереве консоли Пользователей и компьютеров Active Directory щелкните правой кнопкой мыши Пользователей, нажмите New, и затем нажмите Group.

  2. В диалоговом окне New Object - Group введите имя группы в поле Имени группы и нажмите OK. Этот документ использует имя группы WirelessUsers.

    eap-tls-acs40-win2003-21.gif

Шаг 12: Добавьте пользователей к WirelessUsers Group

Выполните следующие действия:

  1. В панели Пользователей и компьютеров Active Directory дважды нажмите на Группе WirelessUsers.

  2. Перейдите к вкладке Members и нажмите Add.

  3. В Выбрать Users, Contacts, Computers или диалоговое окно Groups, вводит имя пользователей, которых вы хотите добавить к группе. Данный пример показывает, как добавить пользователя wirelessuser к группе. Нажмите кнопку OK.

    eap-tls-acs40-win2003-22.gif

  4. В диалоговом окне Multiple Names Found нажмите OK. Учетная запись пользователя WirelessUser добавлена к группе WirelessUsers.

    /image/gif/paws/71929/eap-tls-acs40-win2003-23.gif

  5. Нажмите OK для сохранения изменений группе WirelessUsers.

  6. Повторите эту процедуру, чтобы добавить больше пользователей к группе.

Шаг 13: Добавьте компьютеры клиента к WirelessUsers Group

Выполните следующие действия:

  1. Повторите шаги 1 и 2 в Добавить Пользователей к Разделу группы WirelessUsers этого документа

  2. В Выбрать Users Contacts или диалоговое окно Computers, вводит имя компьютера, который вы хотите добавить к группе. Данный пример показывает, как добавить компьютер, названный клиентом группе.

    /image/gif/paws/71929/eap-tls-acs40-win2003-24.gif

  3. Нажмите Object Types, снимите флажок Users, и затем проверьте Компьютеры.

    /image/gif/paws/71929/eap-tls-acs40-win2003-25.gif

  4. Дважды нажмите кнопку OK. Учетная запись Компьютера клиента добавлена к группе WirelessUsers.

  5. Повторите процедуру, чтобы добавить больше компьютеров к группе.

Windows Standard 2003 Setup с Cisco Secure ACS 4.0

Cisco Secure ACS является компьютером, который выполняет Windows Server 2003 с SP1, Standard Edition, который предоставляет Проверку подлинности RADIUS и авторизацию для контроллера. Завершите процедуры в этом разделе для настройки ACS как сервера RADIUS:

Базовая установка и конфигурация

Выполните следующие действия:

  1. Установите Windows Server 2003 с SP1, Standard Edition, как рядовой сервер, названный ACS в wirelessdemo.local домене.

    Примечание: Название сервера ACS появляется как cisco_w2003 в оставшихся конфигурациях. ACS замены или cisco_w2003 на остающейся лабораторной установке.

  2. Для подключения по локальной сети настройте протокол TCP/IP с IP-адресом 172.16.100.26, маской подсети 255.255.255.0 и IP-адресом сервера DNS 127.0.0.1.

Cisco Secure ACS 4.0 установки

Примечание: См. Руководство по установке для Cisco Secure ACS 4.0 для Windows для получения дополнительной информации о том, как настроить Cisco Secure ACS 4.0 для Windows.

Выполните следующие действия:

  1. Использование учетной записи Администратора домена, вход в систему к компьютеру назвал ACS к Cisco Secure ACS.

    Примечание: Только установки выполнили в компьютере, где вы устанавливаете Cisco Secure ACS, поддерживаются. Удаленные установки выполнили использование Сервиса терминалов Windows или продуктов, таких как Virtual Network Computing (VNC), не протестированы и не поддерживаются.

  2. Вставьте CD Cisco Secure ACS в дисковод для компакт-дисков на компьютере.

  3. Если дисковод для компакт-дисков поддерживает Windows автоматически выполненная функция, диалоговое окно Cisco Secure ACS for Windows Server появляется.

    Примечание: Если компьютеру не установили пакет требуемого сервиса, диалоговое окно появляется. Пакеты обновления Windows могут быть применены или прежде или после установки Cisco Secure ACS. Можно продолжить установку, но пакет требуемого сервиса должен быть применен после того, как установка завершена. В противном случае Cisco Secure ACS не мог бы функционировать надежно.

  4. Выполните одну из следующих задач:

    • Если диалоговое окно Cisco Secure ACS for Windows Server появляется, нажмите Install.

    • Если диалоговое окно Cisco Secure ACS for Windows Server не появляется, выполните setup.exe, расположенный в корневом каталоге CD Cisco Secure ACS.

  5. Диалоговое окно Cisco Secure ACS Setup отображает лицензионное соглашение.

  6. Считайте лицензионное соглашение. Если вы принимаете лицензионное соглашение, нажимаете кнопку Принять.

    Диалоговое окно приветствия отображает основные сведения о программе установки.

  7. После чтения информаций в Диалоговом окне приветствия нажмите Next.

  8. Диалоговое окно Before You Begin перечисляет элементы, которые необходимо завершить, прежде чем вы продолжите установку. Если вы завершили все элементы, перечисленные в Перед диалоговым окном You Begin, устанавливаете соответствующий флажок для каждого элемента и нажимаете Next.

    Примечание: Если вы не завершили все элементы, перечисленные в Перед началом коробки нажмите Cancel и затем нажмите Exit Setup. После того, как вы завершаете все элементы, перечисленные в Перед диалоговым окном You Begin, перезапускаете установку.

  9. Диалоговое окно Choose Destination Location появляется. Под Нужной папкой появляется путь установки. Это - дисковод и путь, где программа установки устанавливает Cisco Secure ACS.

  10. Если вы хотите изменить путь установки, выполните эти шаги:

    1. Нажмите кнопку Browse. Диалоговое окно Choose Folder появляется. Коробка Пути содержит путь установки.

    2. Измените установочный каталог. Можно или ввести новое местоположение в коробке Пути или использовать Дисководы и списки Каталогов для выбора нового дисковода и каталога. Путь установки должен быть на дисководе, локальном для компьютера.

      Примечание: Не задавайте путь, который содержит символ процента, "%". Если вы делаете так, установка, могло бы казаться, продолжалась бы должным образом, но сбои, прежде чем она завершит.

    3. Нажмите кнопку OK.

      Примечание: Если вы задали папку, которая не существует, программа установки отображает диалоговое окно для подтверждения создания папки. Чтобы продолжить, нажмите кнопку Yes.

  11. В диалоговом окне Choose Destination Location новый путь установки появляется под Нужной папкой.

  12. Нажмите кнопку Next.

  13. Коробка Диалогового окна конфигурации Базы данных проверки подлинности перечисляет опции для аутентификации пользователей. Можно аутентифицироваться с базой данных пользователей Cisco Secure только, или также с базой данных Пользователя Windows.

    Примечание: После установки Cisco Secure ACS можно настроить поддержку функции аутентификации для всех типов внешней базы данных пользователей в дополнение к базам данных Пользователя Windows.

  14. Если вы хотите аутентифицировать пользователей с базой данных пользователей Cisco Secure только, выбрать Проверку база данных Cisco Secure ACS только опция.

  15. Если вы хотите аутентифицировать пользователей с Access Manager безопасности Windows (SAM) база данных пользователей или база данных Пользователя Active Directory в дополнение к базе данных пользователей Cisco Secure, выполните эти шаги:

    1. Выберите Also проверяют Параметр базы данных Пользователя Windows.

    2. Да, обратитесь, чтобы "Допустить, что разрешение набора номера пользователю" установка флажка становится доступным.

      Примечание: Да, обратитесь, чтобы "Допустить, что разрешение набора номера пользователю" установка флажка применяется ко всем формам доступа, управляемого Cisco Secure ACS, не просто доступом входящих звонков. Например, пользователь, обращающийся к сети через VPN-туннель, не набирает в сервер доступа к сети. Однако, если Да, обратитесь, чтобы "Допустить, что разрешение набора номера пользователю" установка коробки проверено, Cisco Secure ACS применяет полномочия для удаленного доступа по телефонной линии Пользователя Windows, чтобы определить, предоставить ли пользовательский доступ к сети.

    3. Если вы хотите предоставить доступ пользователям, которые аутентифицируются базой данных пользователей Домена Windows только, когда у них есть полномочия для удаленного доступа по телефонной линии в их учетной записи Windows, проверьте Да, обратитесь, чтобы "Предоставить разрешение набора номера пользователю" установка коробки.

  16. Нажмите кнопку Next.

  17. Программа установки устанавливает Cisco Secure ACS и обновляет Реестр Windows.

  18. Окно параметров Усовершенствования перечисляет несколько функций Cisco Secure ACS, которые не включены по умолчанию. Для получения дополнительной информации об этих функциях, обратитесь к Руководству пользователя для Cisco Secure ACS для Windows Server, Версии 4.0.

    Примечание: Перечисленные функции появляются в интерфейсе HTML Cisco Secure ACS, только если вы включаете им. После установки можно включить или отключить их на странице Advanced Options в разделе Конфигурации интерфейса.

  19. Для каждой функции вы хотите включить, установить соответствующий флажок.

  20. Нажмите кнопку Next.

  21. Диалоговое окно Active Service Monitoring появляется.

    Примечание: После установки можно настроить функции мониторинга активного сервиса на странице Active Service Management в разделе Конфигурации системы.

  22. Если вы хотите, чтобы Cisco Secure ACS контролировал сервисы проверки подлинности пользователя, установите Разрешать флажок Мониторинга Входа в систему. Из Сценария для Выполнения списка выберите опцию, которую вы хотите примененный в случае сбоя сервиса проверки подлинности:

    • Никакое Исправительное действие — Cisco Secure ACS не выполняет сценарий.

      Примечание: Эта опция полезна событие enable при отправке по почте уведомлений.

    • Перезагрузка — Cisco Secure ACS выполняет сценарий, который перезагружает компьютер, который выполняет Cisco Secure ACS.

    • Перезапустите Все — Cisco Secure ACS перезапускает все сервисы Cisco Secure ACS.

    • RADIUS/TACACS перезапуска + — Cisco Secure ACS перезапускает только RADIUS и TACACS + сервисы.

  23. Если вы хотите, чтобы Cisco Secure ACS передал сообщение электронной почты, когда сервисный мониторинг обнаруживает событие, установите Почтовый флажок Уведомления.

  24. Нажмите кнопку Next.

  25. Диалоговое окно Database Encryption Password появляется.

    Примечание: Пароль шифрования Базы данных зашифрован и сохранен в реестре ACS. Вы, возможно, должны были бы снова использовать этот пароль, когда критические проблемы возникают, и к базе данных нужно обратиться вручную. Поддержите этот пароль под рукой так, чтобы Техническая поддержка могла получить доступ к базе данных. Пароль может быть изменен каждый период истечения.

  26. Введите пароль для шифрования базы данных. Пароль должен быть по крайней мере восемь символов длиной и должен содержать и символы и цифры. Нет никаких недопустимых символов. Нажмите кнопку Next.

  27. Концы программы установки и диалоговое окно Cisco Secure ACS Service Initiation появляются.

  28. Для каждой опции Cisco Secure ACS Services Initiation вы хотите, устанавливаете соответствующий флажок. Действия, привязанные к опциям, происходят после того, как программа установки заканчивается.

    • Да, я хочу запуститься, Сервис Cisco Secure ACS теперь — Запускает службы Windows, которые составляют Cisco Secure ACS. Если вы не выбираете эту опцию, интерфейс HTML Cisco Secure ACS не доступен, пока вы не перезагружаете компьютер или запускаете сервис CSAdmin.

    • Да, я хочу, чтобы Настройка запустила Администратора Cisco Secure ACS от моего браузера после установки — Открывает интерфейс HTML Cisco Secure ACS в браузере веб-страницы по умолчанию для учетной записи пользователя текущих окон.

    • Да, я хочу просмотреть Файл предварительных сведений — Открывает ФАЙЛ README.TXT в Блокноте Windows.

  29. Нажмите кнопку Next.

  30. При выборе опции сервисы Cisco Secure ACS запускаются. Диалоговое окно Setup Complete отображает информацию об интерфейсе HTML Cisco Secure ACS.

  31. Нажмите кнопку Finish.

    Примечание: Остаток конфигурации задокументирован под разделом для типа EAP, который настроен.

Конфигурация контроллера LWAPP Cisco

Создайте необходимую конфигурацию для WPA2/WPA

Выполните следующие действия:

Примечание: Предположение - то, что контроллер имеет основное подключение к сети, и возможности IP - доступы к интерфейсу управления успешны.

  1. Вход в систему в контроллер путем просмотра к https://172.16.101.252.

    eap-tls-acs40-win2003-26.gif

  2. Щелкните "Регистрация в системе".

  3. Вход в систему с admin пользователя по умолчанию и admin пароля по умолчанию.

  4. Создайте сопоставление Interface VLAN в соответствии с меню Controller.

  5. Нажмите Interfaces.

  6. Щелкните New.

  7. В Сотруднике типа поля Имени интерфейса. (Это поле может быть любым значением, которое вы любите.)

  8. В типе поля ИДЕНТИФИКАТОРА VLAN 20. (Это поле может быть любой VLAN, которую несут в сети.)

  9. Щелкните "Применить".

  10. Настройте информацию как это Интерфейсы>, Окно редактирования показывает.

    /image/gif/paws/71929/eap-tls-acs40-win2003-27.gif

  11. Щелкните "Применить".

  12. Нажмите WLAN.

  13. Щелкните New.

  14. В Сотруднике типа поля SSID WLAN.

  15. Щелкните "Применить".

  16. Настройте информацию как это WLAN>, Окно редактирования показывает.

    Примечание: WPA2 является выбранным методом шифрования Уровня 2 для этой лабораторной работы. Чтобы позволить WPA с клиентами MIC TKIP связываться к этому SSID, можно также проверить режим совместимости WPA коробок и Позволить Клиентам TKIP WPA2 или тем клиентам, которые не поддерживают 802.11i метод шифрования AES.

    /image/gif/paws/71929/eap-tls-acs40-win2003-28.gif

  17. Щелкните "Применить".

  18. Нажмите Меню системы безопасности и добавьте сервер RADIUS.

  19. Щелкните New.

  20. Добавьте IP-адрес сервера RADIUS (172.16.100.25), который является сервером ACS, настроенным ранее.

  21. Гарантируйте, что общий ключ совпадает с клиентом AAA, настроенным в сервере ACS.

  22. Щелкните "Применить".

    eap-tls-acs40-win2003-29.gif

    eap-tls-acs40-win2003-30.gif

  23. Базовая конфигурация теперь завершена, и можно начать тестировать EAP-TLS.

Проверка подлинности EAP-TLS

Проверка подлинности EAP-TLS требует компьютера и сертификатов пользователя на беспроводном клиенте, добавлении EAP-TLS как тип EAP к политике удаленного доступа для беспроводного доступа и изменение конфигурации беспроводного сетевого соединения.

Для настройки DC_CA для обеспечения автоматической подачи заявок для компьютера и сертификатов пользователя, завершите процедуры в этом разделе.

Примечание: Microsoft изменила Шаблон веб-сервера с выпуском Windows 2003 Enterprise CA так, чтобы ключи больше не были экспортными, и опция отображается серым. Нет никаких других шаблонов сертификата, предоставленных сервисами сертификации, которые являются для проверки подлинности сервера и дают способность отметить ключи как экспортные, которые доступны в выпадающем, таким образом, необходимо создать новый шаблон, который делает так.

Примечание: Windows 2000 обеспечивают экспортные ключи, и эти процедуры не должны быть выполнены при использовании Windows 2000.

Установите моментальный снимок шаблонов сертификата - в

Выполните следующие действия:

  1. Выберите Start> Run, введите mmc и нажмите OK.

  2. На Меню Файл нажмите Add/Remove Snap - в и затем нажмите Add.

  3. Под Моментальным снимком - в, дважды нажмите Certificate Templates, нажмите Close, и затем нажмите OK.

  4. В дереве консоли нажмите Certificate Templates. Все шаблоны сертификата появляются в Панели.

  5. Для обхода шагов 2 - 4 введите certtmpl.msc, который открывает моментальный снимок Шаблонов сертификата - в.

    /image/gif/paws/71929/eap-tls-acs40-win2003-31.gif

Создайте шаблон сертификата для Web-сервера ACS

Выполните следующие действия:

  1. В Панели моментального снимка Шаблонов сертификата - в, нажмите Шаблон веб-сервера.

  2. На Меню Действие нажмите Duplicate Template.

    /image/gif/paws/71929/eap-tls-acs40-win2003-32.gif

  3. В поле имени показа Шаблона введите ACS.

    eap-tls-acs40-win2003-33.gif

  4. Перейдите к вкладке Request Handling, и проверка Позволяют секретному ключу экспортироваться.

    eap-tls-acs40-win2003-34.gif

  5. Выберите Requests должен использовать один из следующих CSP и проверить v1.0 Microsoft Base Cryptographic Provider. Анчек любые другие CSP, которые проверены и затем нажимают OK.

    /image/gif/paws/71929/eap-tls-acs40-win2003-35.gif

  6. Перейдите к вкладке Subject Name, выберите Supply в запросе и нажмите OK.

    eap-tls-acs40-win2003-36.gif

  7. Перейдите к Вкладке Безопасность, выделите Domain Admins Group и гарантируйте, что опция Enroll проверена под Позволенным.

    Важно: Если вы принимаете решение создать из этой Информации Active Directory только, проверьте, что Пользовательское главное имя (UPN) и снятие Включают имя электронной почты в Имя субъекта и Имя электронной почты, потому что имя электронной почты не было введено для учетной записи WirelessUser в моментальном снимке Пользователей и компьютеров Active Directory - в. Если вы не отключаете эти две опции, автоматическая подача заявок пытается использовать электронную почту, которая приводит к ошибке автоматической подачи заявок.

    /image/gif/paws/71929/eap-tls-acs40-win2003-37.gif

  8. Существуют меры по дополнительным мерам безопасности в случае необходимости, чтобы препятствовать тому, чтобы сертификаты были автоматически выставлены. Они могут быть найдены под вкладкой Issuance Requirements. Это не обсуждено далее в этом документе.

    /image/gif/paws/71929/eap-tls-acs40-win2003-38.gif

  9. Нажмите OK, чтобы сохранить шаблон и перейти на запуск этого шаблона от моментального снимка Центра сертификации - в.

Включите новый шаблон сертификата Web-сервера ACS

Выполните следующие действия:

  1. Откройте моментальный снимок Центра сертификации - в. Придерживайтесь шагов 1-3 в Создавание Шаблона сертификата для раздела Web-сервера ACS, выберите опцию Certificate Authority, выберите Local Computer и нажмите Finish.

    eap-tls-acs40-win2003-39.gif

  2. В дереве консоли разверните wirelessdemoca, и затем щелкните правой кнопкой мыши Шаблоны сертификата.

    /image/gif/paws/71929/eap-tls-acs40-win2003-40.gif

  3. Выберите New> Certificate Template to Issue.

  4. Нажмите ACS Certificate Template.

    /image/gif/paws/71929/eap-tls-acs40-win2003-41.gif

  5. Нажмите OK и откройте моментальный снимок Пользователей и компьютеров Active Directory - в.

  6. В дереве консоли дважды нажмите Active Directory Users and Computers, щелкните правой кнопкой мыши wirelessdemo.local домен, и затем нажмите Properties.

    /image/gif/paws/71929/eap-tls-acs40-win2003-42.gif

  7. На вкладке Group Policy нажмите Default Domain Policy, и затем нажмите Edit. Это открывает моментальный снимок Редактора объектов Групповой политики - в.

    eap-tls-acs40-win2003-43.gif

  8. В дереве консоли разверните Computer Configuration> Windows Settings> Security Settings> Политика С открытым ключом, и затем выберите Automatic Certificate Request Settings.

    /image/gif/paws/71929/eap-tls-acs40-win2003-44.gif

  9. Щелкните правой кнопкой мыши Автоматические Параметры настройки Запроса сертификата и выберите New> Automatic Certificate Request.

  10. На Приветствии к странице Automatic Certificate Request Setup Wizard нажмите Next.

  11. На странице Certificate Template нажмите Computer и нажмите Next.

    eap-tls-acs40-win2003-45.gif

  12. На странице Completing the Automatic Certificate Request Setup Wizard нажмите Finish.

    Компьютерный Тип сертификата теперь появляется в панели моментального снимка Редактора объектов Групповой политики - в.

    eap-tls-acs40-win2003-46.gif

  13. В дереве консоли разверните Пользовательскую конфигурацию>> Security Windows Settings Параметры настройки> Политика С открытым ключом.

    /image/gif/paws/71929/eap-tls-acs40-win2003-47.gif

  14. В панели дважды нажмите Auto-enrollment Settings.

  15. Выберите сертификаты Enroll автоматически, и проверка Возобновляют просроченные сертификаты, обновление сертификаты в состоянии ожидания и удаляют отозванные сертификаты и сертификаты Обновления то использование шаблоны сертификата.

    eap-tls-acs40-win2003-48.gif

  16. Нажмите кнопку OK.

Настройка сертификата ACS 4.0

Настройте экспортный сертификат для ACS

Важно: Сервер ACS должен получить серверный сертификат из сервера узла CA Предприятия для аутентификации клиента EAP-TLS WLAN.

Важно: Гарантируйте, что Диспетчер IIS не открыт во время процесса установки сертификата, поскольку он вызывает проблемы с кэшируемой информацией.

  1. Войдите в сервер ACS с учетной записью, которая имеет права администратора Предприятия.

  2. На локальной машине ACS укажите браузер в сервере центра сертификации Microsoft в http://IP-address-of-Root-CA/certsrv. В этом случае IP-адрес 172.16.100.26.

  3. Войдите как Администратор.

    eap-tls-acs40-win2003-49.gif

  4. Выберите Request a Certificate и нажмите Next.

    eap-tls-acs40-win2003-50.gif

  5. Выберите Advanced Request и нажмите Next.

    eap-tls-acs40-win2003-51.gif

  6. Выберите Create и отправьте запрос к этому CA и нажмите Next.

    Важно: Причина для этого шага состоит в том вследствие того, что Windows 2003 не обеспечивает экспортные ключи, и необходимо генерировать запрос сертификата на основе Сертификата ACS, который вы создали ранее, который делает.

    eap-tls-acs40-win2003-52.gif

  7. От Шаблонов сертификата выберите шаблон сертификата, созданный ранее названный ACS. Изменение опций после выбора шаблона.

  8. Настройте Название, чтобы быть полным доменным именем сервера ACS. В этом случае название сервера ACS является cisco_w2003.wirelessdemo.local. Гарантируйте, что сертификат Хранилища в хранилище сертификата локального компьютера проверен, и нажмите Submit.

    /image/gif/paws/71929/eap-tls-acs40-win2003-53.gif

  9. Раскрывающееся окно появляется, который предупреждает о потенциальном нарушении сценариев. Нажмите кнопку YES.

    eap-tls-acs40-win2003-54.gif

  10. Нажмите кнопку Install this certificate (Установить этот сертификат).

    /image/gif/paws/71929/eap-tls-acs40-win2003-55.gif

  11. Раскрывающееся окно появляется снова и предупреждает о потенциальном нарушении сценариев. Нажмите кнопку YES.

    eap-tls-acs40-win2003-56.gif

  12. После того, как вы нажмете кнопку Да, сертификат установлен.

    /image/gif/paws/71929/eap-tls-acs40-win2003-57.gif

  13. На этом этапе сертификат установлен в папке Certificates. Для доступа к этой папке выберите Start> Run, введите mmc, нажмите Enter и выберите Personal> Certificates.

    eap-tls-acs40-win2003-58.gif

  14. Теперь, когда сертификат установлен к локальному компьютеру (ACS или cisco_w2003 в данном примере), необходимо генерировать файл сертификата (.cer) для конфигурации ACS 4.0 файла сертификата.

  15. На сервере ACS (cisco_w2003 в данном примере), укажите браузер в сервере Microsoft Certification Authority к http://172.16.100.26/certsrv.

Установите сертификат в программном обеспечении ACS 4.0

Выполните следующие действия:

  1. На сервере ACS (cisco_w2003 в данном примере), укажите браузер в Microsoft CA server к http://172.16.100.26/certsrv.

  2. От Select a Task опция выбирают Download a CA certificate, цепочку сертификатов или CRL.

  3. Выберите Ядро 64 радио-способа кодирования и нажмите Download CA Certificate.

    eap-tls-acs40-win2003-59.gif

  4. Окно предупреждения защиты Загрузки Файла появляется. Нажмите Save.

    eap-tls-acs40-win2003-60.gif

  5. Сохраните файл с названием, таким как ACS.cer или любое название, которого вы желаете. Помните это название, так как вы используете его во время настройки Центра сертификации ACS в ACS 4.0.

    eap-tls-acs40-win2003-61.gif

  6. Открытый Admin ACS от настольного ярлыка создан во время установки.

  7. Нажмите System Configuration.

    /image/gif/paws/71929/eap-tls-acs40-win2003-62.gif

  8. Нажмите ACS Certificate Setup.

    /image/gif/paws/71929/eap-tls-acs40-win2003-63.gif

  9. Нажмите кнопку Install ACS certificate (Установить сертификат ACS).

    /image/gif/paws/71929/eap-tls-acs40-win2003-64.gif

  10. Выберите сертификат Use из хранилища и типа в полном доменном имени cisco_w2003.wirelessdemo.local (или ACS.wirelessdemo.local, если вы использовали ACS в качестве названия).

    /image/gif/paws/71929/eap-tls-acs40-win2003-65.gif

  11. Нажмите кнопку Submit (Отправить).

    eap-tls-acs40-win2003-66.gif

  12. Нажмите System Configuration.

  13. Нажмите Service Control и затем нажмите Restart.

    eap-tls-acs40-win2003-67.gif

  14. Нажмите System Configuration.

  15. Нажмите Global Authentication Setup.

  16. Проверка Позволяет EAP-TLS и все коробки под ним.

    /image/gif/paws/71929/eap-tls-acs40-win2003-68.gif

  17. Нажмите Submit + Restart.

  18. Нажмите System Configuration.

  19. Нажмите ACS Certification Authority Setup.

  20. Под окном ACS Certification Authority Setup введите название и местоположение *.cer файла, созданного ранее. В данном примере *.cer созданный файл является ACS.cer в корневом каталоге c:\.

  21. Введите c:\acs.cer в поле файла сертификата CA и нажмите Submit.

    eap-tls-acs40-win2003-69.gif

  22. Перезапустите сервис ACS.

Конфигурация клиента для EAP-TLS с помощью Windows Zero Touch

КЛИЕНТ является компьютером, который выполняет Windows XP Professional с SP2, который действует как беспроводной клиент и получает доступ к ресурсам Интранет через беспроводной AP. Завершите процедуры в этом разделе для настройки КЛИЕНТА как беспроводного клиента.

Выполните базовую установку и конфигурацию

Выполните следующие действия:

  1. Подключите КЛИЕНТА с сегментом Внутренней сети с помощью Кабеля Ethernet, связанного с коммутатором.

  2. На КЛИЕНТЕ установите Windows XP Professional с SP2 как задействованный компьютер под названием КЛИЕНТ на wirelessdemo.local домене.

  3. Установите Windows XP Professional с SP2. Это должно быть установлено для имения поддержки PEAP и EAP-TLS.

    Примечание: Windows Firewall автоматически включен в Windows XP Professional с SP2. Не выключайте межсетевой экран.

Настройте беспроводное сетевое соединение

Выполните следующие действия:

  1. Выход и затем входит в систему при помощи учетной записи WirelessUser в wirelessdemo.local домене.

    Примечание: Компьютер обновления и параметры настройки групповой политики пользовательской конфигурации и получают компьютер и сертификат пользователя для компьютера беспроводного клиента сразу путем ввода gpupdate в командной строке. В противном случае, когда вы выходите из системы и затем входите в систему, это выполняет ту же функцию как gpupdate. Вы должны войтись в систему к домену путем соединения по проводу.

    Примечание: Чтобы проверить, что сертификат автоматически установлен на клиенте, откройте MMC сертификата и проверьте, что сертификат WirelessUser доступен в папке Personal Certificates.

    /image/gif/paws/71929/eap-tls-acs40-win2003-70.gif

  2. Выберите Start> Control Panel, дважды нажмите Network Connections, и затем щелкните правой кнопкой мыши Беспроводное сетевое соединение.

  3. Нажмите Properties, перейдите к вкладке Wireless Networks и гарантируйте, что проверены Окна пользователя для настройки моих параметров настройки беспроводной сети.

    eap-tls-acs40-win2003-71.gif

  4. Нажмите кнопку Add.

  5. Перейдите к вкладке Association и введите Сотрудника в поле (SSID) Сетевого имени.

  6. Гарантируйте, что Шифрование данных установлено в WEP, и ключ предоставлен для меня, автоматически проверен.

    /image/gif/paws/71929/eap-tls-acs40-win2003-72.gif

  7. Перейдите к вкладке Authentication.

  8. Проверьте тот тип EAP, настроен для использования Смарт-карты или другого Сертификата. Если это не, выберите его от раскрывающегося меню.

  9. Если вы хотите, чтобы машина аутентифицировалась до входа в систему (который позволяет сценарии регистрации, или толчки групповой политики, которые будут применены), выбирают опцию Authenticate в качестве компьютера, когда сведения о компьютере доступны.

    eap-tls-acs40-win2003-73.gif

  10. Нажмите Properties.

  11. Гарантируйте, что установлены флажки в этом окне.

    /image/gif/paws/71929/eap-tls-acs40-win2003-74.gif

  12. Нажмите OK три раза.

  13. Щелкните правой кнопкой мыши значок беспроводного сетевого соединения в systray и затем нажмите View Available Wireless Networks.

  14. Нажмите беспроводную сеть Сотрудника и нажмите Connect.

    eap-tls-acs40-win2003-75.gif

    Эти снимки экрана указывают, завершает ли соединение успешно.

    /image/gif/paws/71929/eap-tls-acs40-win2003-76.gif

    eap-tls-acs40-win2003-77.gif

    eap-tls-acs40-win2003-78.gif

    eap-tls-acs40-win2003-79.gif

  15. После того, как аутентификация успешна, проверьте конфигурацию TCP/IP для беспроводного адаптера при помощи Сетевых подключений. Это должно иметь диапазон адресов 172.16.100.100-172.16.100.254 от области DHCP или области, созданной для беспроводных клиентов.

  16. Для тестирования функциональности откройте браузер и перейдите к http://wirelessdemoca (или IP-адрес Предприятия CA сервер).


Дополнительные сведения


Document ID: 71929