Безопасность : Сервер безопасного контроля доступа Cisco для Windows

Настройка Cisco Secure ACS для Windows v3.2 с проверкой подлинности компьютеров PEAP-MS-CHAPv2

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (21 мая 2008) | Английский (20 декабря 2015) | Отзыв


Содержание


Введение

В этом документе демонстрируется настройка протокола аутентификации PEAP с Cisco Secure ACS для Windows 3.2.

Для получения дополнительной информации о том, как настроить безопасный беспроводной доступ с помощью Контроллеров беспроводной локальной сети, программного обеспечения Microsoft Windows 2003 года и сервера Cisco Secure Access Control Server (ACS) 4.0, обратитесь к PEAP под Unified Wireless Network с ACS 4.0 и Windows 2003.

Предварительные условия

Требования

Для данного документа отсутствуют предварительные условия.

Используемые компоненты

Сведения, содержащиеся в данном документе, относятся к следующим версиям программного и аппаратного обеспечения.

Сведения, представленные в этом документе, были получены от устройств в специфической лабораторной среде. Все устройства, используемые в этом документе, были запущены с чистой конфигурацией (конфигурацией по умолчанию). При работе с реальной сетью необходимо полностью осознавать возможные результаты использования всех команд.

Теоретические сведения

Как PEAP, так и EAP-TLS устанавливают и используют туннель TLS/Secure Socket Layer (SSL). PEAP использует только серверную аутентификацию, только у сервера есть сертификат и только сервер доказывает свою подлинность клиенту. EAP-TLS использует взаимную аутентификацию, при которой и сервер управления доступом (аутентификация, авторизация и учет [ААА]) и клиенты имеют сертификаты и удостоверяют личности друг друга.

PEAP удобен в использовании, так как клиентам не нужны сертификаты. EAP-TLS полезен для автономных устройств, осуществляющих аутентификацию, так как сертификаты не требуют вмешательства пользователя.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Схема сети

В данном документе используется сеть, изображенная на следующей схеме.

/image/gif/paws/43486/acs-peap-01.gif

Настройте Cisco Secure ACS для Windows v3.2

Выполните эти действия для настройки ACS 3.2.

  1. Получите сертификат для сервера ACS.

  2. Настройте ACS для использования сертификата из хранилища.

  3. Укажите дополнительные центры сертификации, которым сервер ACS должен доверять.

  4. Перезапустите эту службу и настройте параметры PEAP на ACS.

  5. Укажите и настройте точку доступа как клиент AAA.

  6. Настройте внешние базы данных пользователей.

  7. Перезапустите службу.

Получите сертификат для сервера ACS

Чтобы получить сертификат, выполните данные шаги.

  1. На сервере системы усовершенствованных коммуникаций отройте браузер и просмотрите сервер сертификации, перейдя по адресу http://CA-ip-address/certsrv. Войдите в домен с правами администратора.

    /image/gif/paws/43486/acs-peap-02.gif

  2. Выберите пункт Request a certificate (Запрос сертификата), затем нажмите кнопку Next (Далее).

    /image/gif/paws/43486/acs-peap-03.gif

  3. Выберите Advanced request (Расширенный запрос) и нажмите кнопку Next (Далее).

    /image/gif/paws/43486/acs-peap-04.gif

  4. Выберите Submit a certificate request to this CA using a form (Отправить запрос сертификата этому центру посредством формы) и нажмите кнопку Next (Далее).

    /image/gif/paws/43486/acs-peap-05.gif

  5. Настройте параметры сертификата.

    1. Выберите веб-сервер в качестве шаблона сертификата. Введите имя ACS-сервера.

      /image/gif/paws/43486/acs-peap-06a.gif

    2. Укажите для размера ключа значение 1024. Выберите параметры для "Пометить ключи как разрешенные для экспорта" и "Использовать хранилище локального компьютера". Настройте остальные параметры необходимым образом и нажмите кнопку Подтвердить.

      /image/gif/paws/43486/acs-peap-06b.gif

      Примечание: Если появится окно предупреждения о нарушении сценария (в зависимости от настроек безопасности/секретности браузера), щелкните Yes (Да), чтобы продолжить.

      /image/gif/paws/43486/acs-peap-07.gif

  6. Выберите Install this certificate (Установить этот сертификат).

    /image/gif/paws/43486/acs-peap-08.gif

    Примечание: Если появится окно предупреждения о нарушении сценария (в зависимости от настроек безопасности/секретности браузера), щелкните Yes (Да), чтобы продолжить.

    /image/gif/paws/43486/acs-peap-09.gif

  7. В случае успешной инсталляции появляется подтверждающее сообщение.

    /image/gif/paws/43486/acs-peap-10.gif

Настройте ACS для использования сертификата из хранилища

Выполните следующие действия, чтобы настроить ACS для использования сертификата из хранилища.

  1. Откройте браузер сети и введите в строку адреса http://ACS-ip-address:2002/. В разделе System Configuration (Настройка системы) выберите ACS Certificate Setup (Настройка сертификатов управления доступом).

  2. Нажмите кнопку Install ACS certificate (Установить сертификат ACS).

  3. Выберите вариант использования сертификата из хранилища. В поле Certificate CN введите имя сертификата, который вы назначили в шаге 5a раздела, Получают Сертификат для Сервера ACS. Щелкните Submit (отправить).

    Эта запись должна совпадать с именем, введенным в поле "Name" во время расширенного запроса сертификата. В предметном поле сертификата сервера находится имя CN, сертификат сервера можно редактировать, установив флажок возле этого имени. В данном примере сервер контроля доступа называется "OurACS". Не вводить имя CN выдающей службы.

    /image/gif/paws/43486/acs-peap-11.gif

  4. После завершения настройки будет выведено сообщение о подтверждении, указывающее, что конфигурация сервера ACS была изменена.

    Примечание: Перезапуск сервера управления доступом не требуется.

    /image/gif/paws/43486/acs-peap-12.gif

Указание дополнительных CA, которым должен доверять сервер ACS

Сервер управления доступом (ACS) автоматически доверяет центрам сертификации, которые выпускают собственный сертификат. Если сертификат клиента выпущен дополнительными центрами сертификации, то необходимо выполнить следующие шаги.

  1. В разделе System Configuration (Настройка системы) выберите ACS Certificate Setup (Настройка сертификатов управления доступом).

  2. Щелкните ACS Certificate Authority Setup (Установка центра сертификации ACS), чтобы добавить центр сертификации к списку доверенных сертификатов. В соответствующее поле введите расположение файла сертификата CA и нажмите кнопку Submit (Отправить).

    /image/gif/paws/43486/acs-peap-13.gif

  3. Щелкните Edit Certificate Trust List (Редактировать список доверенных сертификатов). Установите флажки для всех центров сертификации, которым должен доверять сервер управления доступом, и снимите флажки для всех центров, которым он не должен доверять. Щелкните Submit (отправить).

    /image/gif/paws/43486/acs-peap-14.gif

Перезапустите эту службу и настройте параметры PEAP на ACS

Выполните эти действия, чтобы перезапустить сервис и настроить параметры настройки PEAP.

  1. В разделе System Configuration (Настройка системы) выберите Service Control (Управление службами).

  2. Нажмите кнопку "Restart" (Перезапуск), чтобы перезапустить службу.

  3. Для настройки параметров PEAP выберите компонент "Настройка системы", а затем "Настройка глобальной аутентификации".

  4. Проверьте две настройке, показанные ниже, и оставьте значения всех остальных настроек по умолчанию. Можно задать дополнительные параметры, например Enable Fast Reconnect. По завершении нажмите кнопку "Отправить".

    • Разрешить EAP-MSCHAPv2

    • Allow MS-CHAP Version 2 Authentication

    Примечание: Дополнительную информацию по функции быстрого установления соединения Fast Connect см. в подразделе "Параметры конфигурации аутентификации" раздела "Конфигурация системы": Проверка подлинности и сертификаты.

    /image/gif/paws/43486/acs-peap-15.gif

Указание и настройка точки доступа в качестве клиента AAA

Следуйте этим шагам для конфигурации точки доступа (AP) в качестве клиента AAA.

  1. Выберите Network Configuration (Настройка сети). На вкладке AAA Clients (Клиенты AAA) щелкните Add Entry (Добавить запись).

    /image/gif/paws/43486/acs-peap-16.gif

  2. Введите имя сетевого узла AP в поле AAA Client Hostname и его IP-адрес в поле IAAA Client IP Address. Введите общий секретный ключ для ACS и AP в поле Key. Выбор RADIUS (Cisco Aironet) в качестве метода аутентификации. По завершении нажмите кнопку "Отправить".

    /image/gif/paws/43486/acs-peap-17.gif

Настройте внешние базы данных пользователей

Для конфигурации внешних пользовательских баз данных выполните следующие действия.

Примечание: Только ACS 3.2 поддерживает PEAP-MS-CHAPv2 с машинной аутентификацией в базе данных Windows.

  1. Выберите External User Databases (Внешние базы данных пользователей), затем выберите Database Configuration (Настройка базы данных). Выберите Windows Database (База данных Windows).

    Примечание: Если нет определенной базы данных Windows, щелкните "Create New Configuration" (Создать новую конфигурацию), а затем щелкните "Submit" (Отправить).

  2. Нажмите кнопку Configure (Настроить). На вкладке Configure Domain List (Список настройки доменов) переместите домен SEC-SYD из списка Available Domains (Доступные домены) в список Domain (Домен).

    /image/gif/paws/43486/acs-peap-18.gif

  3. Чтобы включить аутентификацию компьютера, установите в списке настроек Windows EAP флажок Permit PEAP machine authentication (Разрешить аутентификацию компьютера PEAP). Не меняйте префикс аутентификации компьютера. Корпорация Майкрософт для указания различия между аутентификацией пользователей и компьютеров в настоящее время использует префикс /host (значение по умолчанию). При необходимости проверьте параметр разрешения изменения пароля в PEAP. По завершении нажмите кнопку "Отправить".

    /image/gif/paws/43486/acs-peap-19.gif

  4. {\f3 Выберите }{\f3 External User Databases}{\f3 (Внешние базы данных пользователей), а затем }–{\f3 Unknown User Policy}{\f3 (Политика для неизвестных пользователей).} Выберите опцию для Проверки придерживающиеся внешние базы данных пользователей, затем используйте кнопку правой стрелки (->) для перемещения Базы данных Windows от Внешних баз данных до Выбранных баз данных. По завершении нажмите кнопку "Отправить".

    /image/gif/paws/43486/acs-peap-19a.gif

Перезапустите службу

Когда вы закончите настройку ACS, выполните следующие шаги для перезапуска службы.

  1. В разделе System Configuration (Настройка системы) выберите Service Control (Управление службами).

  2. Нажмите кнопку Restart (Перезапустить).

Настройте точку доступа Cisco

Выполните следующие шаги, чтобы настроить точку доступа для использования ACS в качестве сервера авторизации.

  1. Откройте веб-браузер и перейдите к AP, введя http://AP-ip-address/certsrv в адресной строке. На панели инструментов нажмите Setup (Установить).

  2. В области Services выберите Security.

  3. Щелкните Authentication Server (Сервер аутентификации).

    Примечание: Если настроены учетные записи для AP, требуется выполнить вход в систему.

  4. Введите параметры настройки аутентификатора.

    По завершении нажмите кнопку ОК.

    /image/gif/paws/43486/acs-peap-20.gif

  5. {\f3 Выберите }{\f3 Radio Data Encryption (WEP)}{\f3 (Шифрование данных в беспроводной сети }–{\f3 WEP).}

  6. Задайте настройки шифрования внутренних данных.

    • Выберите «Full Encryption (Полное шифрование)», чтобы установить уровень шифрования данных.

    • Введите ключ шифрования и задайте размер ключа 128 бит, чтобы его можно было использовать как широковещательный ключ.

    По завершении нажмите кнопку ОК.

    /image/gif/paws/43486/acs-peap-21.gif

  7. Подтвердите, что вы используете корректные идентификаторы наборов сервисов (SSID), переходя к Network> Service Sets> Select the SSID Idx и нажимаете OK, когда вы закончены.

    В примере внизу показано значение SSID по умолчанию "tsunami'."

    /image/gif/paws/43486/acs-peap-21a.gif

Настройте беспроводного клиента

Выполните эти действия для настройки ACS 3.2.

  1. Настройте автоматическую регистрацию сертификатов MS.

  2. Подключитесь к домену.

  3. Вручную установить сертификат корня на клиенте Windows.

  4. Настройка доступа к беспроводной сети.

Настройте автоматическую регистрацию сертификатов MS

Выполните эти действия для настройки домена для хранилища сертификатов автомата на контроллере домена Кант.

  1. Выберите Control Panel > Administrative Tools > Open Active Directory Users and Computers. (Панель управления > Администрирование > Открытие пользователей и компьютеров Active Directory).

  2. Щелкните правой кнопкой мыши "domain sec-syd" и в подменю выберите пункт "Properties" (Свойства).

  3. Выберите закладку Group Policy (Групповая политика). Выберите Default Domain Policy (Политика доменов по умолчанию), а затем нажмите кнопку Edit (Изменить).

  4. Перейти к Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Automatic Certificate Request Settings (Конфигурация компьютера > Параметры Windows > Параметры безопасности > Политики открытого ключа > Параметры автоматического запроса сертификатов).

    /image/gif/paws/43486/acs-peap-21b.gif

  5. В строке меню перейдите к пункту Action > New > Automatic Certificate Request (Действие > Создать > Автоматический запрос сертификата) и нажмите кнопку Next (Далее).

  6. Выберите "Компьютер" и нажмите кнопку "Далее".

  7. Проверьте CA.

    В данном примере центр сертификации (СА) назван "Our TAC CA."."

  8. Щелкните Next, а затем — Finish.

Вступление в домен

Чтобы добавить беспроводного клиента в домен, выполните данные шагию.

Примечание: Для завершения этих шагов беспроводной клиент должен иметь возможность подключиться к CA либо через проводное соединение или беспроводное соединение с отключенными требованиями безопасности 802.1x.

  1. Войдите в Windows XP под именем локального администратора.

  2. Перейдите в раздел Control Panel > Performance and Maintenance > System (Панель управления > Производительность и обслуживание > Система).

  3. Перейдите на вкладку Computer Name и нажмите кнопку Change. Введите имя хоста в поле для имени компьютера. Выберите домен, затем введите его имя (в этом примере SEC-SYD). Нажмите кнопку ОК.

    /image/gif/paws/43486/acs-peap-22.gif

  4. Когда показано диалоговое окно регистрации, присоединитесь к домену, зарегистрировавшись с учетной записи, имеющей право присоединяться к домену.

  5. После того как компьютер успешно присоединился к домену, перезагрузите компьютер. Компьютер будет членом домена, так как для него была установлена авторегистрация компьютера, а также у него будет установленный сертификат для центра сертификации, как и сертификат для аутентификации компьютера.

Вручную установить сертификат корня на клиенте Windows

Чтобы вручную установить корневой сертификат, выполните следующие действия.

Примечание: Если вы уже настроили авторегистрацию машины, этот этап можно пропустить. Пропустите все до раздела Настройка беспроводной сети.

  1. На компьютере клиенте Windows необходимо открыть браузер сети и вызвать сервер центра сертификации Microsoft путем введения в адресную строку http://root-CA-ip-address/certsrv. Зарегистрироваться на сайте центра сертификации.

    В этом примере IP-адрес CA - 10.66.79.241.

    /image/gif/paws/43486/acs-peap-28.gif

  2. Выберите «Извлечь сертификат CA» или список отзыва сертификатов, затем нажмите «Далее».

    /image/gif/paws/43486/acs-peap-29.gif

  3. Щелкните "Download CA certificate" (Загрузить сертификат ЦС), чтобы сохранить сертификат на локальном компьютере.

    /image/gif/paws/43486/acs-peap-30.gif

  4. Открыть сертификат и нажать Install Certificate.

    Примечание: В следующем примере значок вверху слева указывает, что сертификаты еще не удостоверены (не установлены).

    /image/gif/paws/43486/acs-peap-31.gif

  5. Установите сертификат в Current User/ Trusted Root Certificate Authorities.

    1. Нажмите кнопку Next.

    2. Выберите "Automatically select the certificate store based on the type of the certificate" и нажмите "Next".

    3. Нажать Finish для того, чтобы автоматически разместить сертификат корня в Current User/ Trusted Root Certificate Authorities.

Настройка доступа к беспроводной сети

Настройте опции беспроводной сети, следуя инструкциям.

  1. Зарегистрируйтесь в домене как его пользователь.

  2. Перейдите в раздел Control Panel > Network and Internet Connections > Network Connections (Панель управления > Сеть и подключения к Интернету > Сетевые подключения). Щелкните правой кнопкой мыши Wireless Connection (Беспроводное соединение) и выберите в контекстном меню команду Properties (Свойства).

  3. Выберите закладку беспроводной сети. Выберите беспроводную сеть (отображается идентификатор набора услуг SSID точки доступа) в списке доступных сетей и нажмите "Configure" (Настроить).

    /image/gif/paws/43486/acs-peap-23.gif

  4. На вкладке «Проверка подлинности» окна свойств сети проверьте параметр включения проверки подлинности IEEE 802.1x для этой сети. Как EAP type выбрать Protected EAP (PEAP) для типа EAP, а затем нажать Properties.

    Примечание: Чтобы включить машинную аутентификацию, установите флажок Authenticate as computer when computer information is available (Проходить аутентификацию как компьютер, если доступны сведения о компьютере).

    /image/gif/paws/43486/acs-peap-24.gif

  5. Проверьте достоверность сертификата сервера, а затем проверьте маршрут CA для предприятия, используемый клиентами PEAP и устройствами ACS. Выберите надежный пароль (EAP-MSCHAP v2) для метода аутентификации, а затем нажмите кнопку Configure.

    В этом примере корневой центр сертификации (CA) назван «Our TAC CA»."

    /image/gif/paws/43486/acs-peap-25.gif

  6. Для включения единого предъявления пароля проверьте опции для автоматического использования имени регистрации Windows и пароля (и домена, при наличии такового). Нажать OK для подтверждения настроек, а затем еще раз нажать OK для возвращения в окно свойств сети.

    Если для протокола PEAP разрешен единый вход в систему, клиент использует учетные данные Windows для аутентификации PEAP, и пользователю не приходится вводить пароль дважды.

    /image/gif/paws/43486/acs-peap-26.gif

  7. На вкладке Association (Ассоциации) в окне свойств сети установите флажки для параметров шифрования данных (разрешить WEP) и The key is provided for me automatically (Ключ предоставляется автоматически). Чтобы закрыть окно настройки сети, дважды нажмите "ОК".

    /image/gif/paws/43486/acs-peap-27.gif

Проверка.

В данном разделе содержатся сведения о проверке работы конфигурации.

  • Чтобы проверить, что беспроводной клиент был заверен на беспроводном клиенте, переходят к Панели управления> Сетевые подключения и Интернет-соединения> Сетевые подключения. В строке меню перейдите в раздел View > Tiles (Вид > Плитка). Для беспроводного соединения должно отображаться сообщение Authentication succeeded."

  • Чтобы проверить, что беспроводные клиенты были заверены на веб-интерфейсе ACS, переходят к Отчётам, и Действие> Прошло, Аутентификации> Передали active.csv Аутентификаций.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

  • Необходимо убедиться в том, что службы сертификации Microsoft были установлены как корневой центр сертификации предприятия на Windows 2000 Advanced Server с установленным пакетом Service Pack 3. После того, как были установлены службы сертификации Microsoft, должны быть установлены hotfix 323172 и 313664. Если службы сертификации MS переустановлены, исправление 323172 также нужно переустановить.

  • Необходимо проверить, используется ли Cisco Secure ACS для Windows версии 3.2 с Windows 2000 и пакетом Service Pack 3. А также убедиться в том, что были установлены hotfix 323172 и 313664.

  • В случае неудачной аутентификации компьютера для беспроводного клиента подключиться к сети с помощью беспроводного подключения невозможно. Только учетные записи, профили которых кэшированы на беспроводном клиенте, смогут зарегистрироваться в домене. Будет необходимо подключить компьютер к проводной сети или настроить для беспроводного подключения, при котором отключенной безопасностью 802.1x.

  • Если автоматическое зачисление с CA не сработало при присоединении к домену, проверьте возможные причины сбоя в Event Viewer. На портативном компьютере можно попробовать проверить настройки DNS.

  • Если сертификат ACS отвергнут клиентом (это зависит от сроков действия сертификата, настроек даты и времени клиента, а также степень доверия органа, выдавшего сертификат), то клиент отвергнет его, а аутентификация закончится неудачей. ACS зарегистрирует неудачную аутентификацию в сетевом интерфейсе в файле Reports and Activity > Failed Attempts > Failed Attempts XXX.csv с тем же кодом ошибки аутентификации, что и в случае сообщения EAP-TLS or PEAP authentication failed during SSL handshake (Ошибка аутентификации EAP-TLS или PEAP при подтверждении установления связи SSL). Ожидаемое сообщение об ошибках в файле CSAuth.log подобно следующему.

    AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
    other side probably didn't accept our certificate
  • Во входе в систему веб-интерфейса ACS, в соответствии с обоими Отчётами и Действием> Прошел, Аутентификации> Передали Аутентификации XXX.csv и Отчёты и Действие> Неудачные попытки> Неудачные попытки XXX.csv, аутентификации PEAP показывают в <DOMAIN> формата \<user-id>. Проверки подлинности EAP-TLS показывают в формате <user-id> <домен>.

  • Чтобы использовать быстрое переподключение PEAP, эту функцию необходимо включить как на сервере, так и на клиенте ACS.

  • Если было включено изменение пароля PEAP, то пароль можно изменить, только если пароль учетной записи устарел или для учетной записи указана смена пароля при следующем входе в систему.

  • Можно проверить сертификат и доверенное состояние сервера ACS, выполнив следующие шаги.

    1. Войдите в Windows на сервере ACS, используя учетную запись с привилегиями администратора. Откройте Microsoft Management Console, выбрав Start > Run (Пуск > Выполнить), набрав mmc и нажав кнопку OK.

    2. В строке меню выберите Console > Add/Remove Snap-in (Консоль > Добавить или удалить оснастку), затем щелкните Add (Добавить).

    3. Выберите Certificates и нажмите кнопку Add (Добавить).

    4. Выберите Computer account (Учетная запись компьютера), нажмите кнопку Next (Далее) и затем выберите Local computer (the computer this console is running on) (Локальный компьютер (на котором открыта данная консоль)).

    5. Нажмите кнопку Finish (Готово), затем нажмите кнопку Close (Закрыть), а затем нажмите кнопку ОК.

    6. Чтобы проверить, что сервер ACS имеет допустимый сертификат серверной части, перейдите к Корневым (сертификат) консолям> Сертификаты (Локальный компьютер)> ACSCertStore> Сертификаты. Проверьте наличие сертификата для сервера ACS (названного в этом примере OurACS). Откройте сертификат и проверьте следующие позиции.

      • Предупреждения об отсутствии проверки сертификата для всех намеченных целей нет.

      • Предупреждения об отрицании подлинности сертификата нет.

      • {\f3 This certificate is intended to }—{\f3 Ensures the identity of a remote computer (Назначение сертификата }–{\f3 проверяет подлинность адреса удаленного компьютера).}"

      • Сертификат не просрочен и является действительным (проверьте, действительны ли начальная и конечная даты).

      • You have a private key that corresponds to this certificate (У вас имеется секретный ключ, соответствующий данному сертификату)."

    7. {\f3 На вкладке Details (Сведения) поле Version (Версия) должно иметь значение V3, а поле Enhanced Key Usage (Использование расширенных ключей) }—{\f3 содержать серверную аутентификацию (1.3.6.1.5.5.7.3.1).}

    8. Чтобы проверить, что сервер ACS доверяет серверу CA, перейдите к Корневым (сертификат) консолям> Сертификаты (Локальный компьютер)> Доверенные корневые центры сертификации> Сертификаты. Убедитесь в наличии сертификата для сервера центра сертификации (в данном примере названного TAC CA). Откройте сертификат и проверьте следующие позиции.

      • Предупреждения об отсутствии проверки сертификата для всех намеченных целей нет.

      • Предупреждения об отрицании подлинности сертификата нет.

      • Целевое назначение сертификата верно.

      • Сертификат не просрочен и является действительным (проверьте, действительны ли начальная и конечная даты).

      Если сервер управления доступом (ACS) и клиент используют общий корневой центр сертификации (CA), убедитесь, что установлен полный набор сертификатов для серверов сертификации. Выполните те же действия, если сертификат был получен в сертифицированной организации.

  • Можно проверить надежность клиента, выполнив следующие шаги.

    1. Зарегистрируйтесь в Windows с помощью беспроводного клиента и учетной записи. Откройте Microsoft Management Console, выбрав Start > Run (Пуск > Выполнить), набрав mmc и нажав кнопку OK.

    2. В строке меню выберите Console > Add/Remove Snap-in (Консоль > Добавить или удалить оснастку), затем щелкните Add (Добавить).

    3. Выберите Certificates и нажмите кнопку Add (Добавить).

    4. Нажать Close, а затем нажать OK.

    5. Для того чтобы убедиться в том, что профиль клиента доверяет серверу центра сертификации, необходимо перейти в раздел Console Root > Certificates (Current User) > Trusted Root Certification Authorities > Certificates (Корень консоли > Сертификаты > Текущий пользователь > Доверенные корневые центры сертификации > Сертификаты). Убедитесь в наличии сертификата для сервера центра сертификации (в данном примере названного TAC CA). Откройте сертификат и проверьте следующие позиции.

      • Предупреждения об отсутствии проверки сертификата для всех намеченных целей нет.

      • Предупреждения об отрицании подлинности сертификата нет.

      • Целевое назначение сертификата верно.

      • Сертификат не просрочен и является действительным (проверьте, действительны ли начальная и конечная даты).

      Если сервер управления доступом (ACS) и клиент используют общий корневой центр сертификации (CA), убедитесь, что установлен полный набор сертификатов для серверов сертификации. Выполните те же действия, если сертификат был получен в сертифицированной организации.

  • Проверьте параметры системы ACS, как описано в разделе по настройке Cisco Secure ACS для Windows, версия 3.2.

  • Проверьте параметры настройки точки доступа, как описано в разделе по конфигурации точки доступа Cisco.

  • Проверьте настройки беспроводного клиента, пользуясь сведениями из соответствующего раздела.

  • Удостоверьтесь, что учетная запись пользователя существуют во внутренней базе данных AAA-сервера или в одной из настроенных внешних баз данных. Убедитесь, что учетная запись не была отключена.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 43486