Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 5500

PEAP под Unified Wireless Network с ACS 5.1 и Windows 2003 Server

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Этот документ описывает, как настроить защищенный беспроводной доступ используя контроллеры беспроводной локальной сети, программное обеспечение Microsoft Windows 2003 и сервер Cisco ACS 5.1, посредством защищенного протокола аутентификации (PEAP) с протоколом аутентификации с косвенным согласованием Microsoft (MS-CHAP) версии 2.

Примечание: Для получения информации о развертываниях безопасного радио обратитесь к веб-сайту Microsoft Wi-Fi leavingcisco.com и Проекту беспроводных сетей Cisco SAFE.

Предварительные условия

Требования

Существует предположение, что установщик ознакамливается с основной установкой Windows 2003 и установкой контроллера WLAN Cisco, поскольку этот документ только покрывает определенные конфигурации для упрощения тестов.

Для начальной установки и сведений о конфигурации для Cisco Контроллеры серии 5508, сошлитесь на Руководство по установке контроллера беспроводной локальной сети Cisco серии 5500. Для начальной установки и сведений о конфигурации для Cisco Контроллеры серии 2100, обратитесь к Краткому руководству по началу работы: Контроллер беспроводной локальной сети Cisco серии 2100.

Установка Microsoft Windows 2003 года и руководства по конфигурации могут быть найдены при Установке Windows Server 2003 R2 leavingcisco.com.

Прежде чем вы начнете, установите Microsoft Windows server 2003 с операционной системой SP1 на каждом из серверов в тестовой лабораторной работе и обновите все Пакеты обновления. Установите контроллеры и облегченные точки доступа (LAP) и гарантируйте, что настроены обновления последних версий программного обеспечения.

Windows Server 2003 с SP1, Enterprise Edition, используется так, чтобы могла быть настроена автоматическая подача заявок пользователя и сертификатов рабочей станции для аутентификации PEAP. Автоматическая подача заявок сертификата и автообновление упрощают развертывать сертификаты и улучшать безопасность путем автоматического истечения и возобновления сертификатов.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco 2106 или Контроллер серии 5508, который выполняется 7.0.98.0

  • AP протокола LWAPP Cisco 1142

  • Windows 2003 Enterprise с информационным сервером интернета (IIS), Центром сертификации (CA), DHCP и Системой доменных имен (DNS) установлен

  • Устройство системы управления безопасного доступа Cisco 1121 (ACS) 5.1

  • Windows XP Professional с SP (и обновленные Пакеты обновления) и интерфейсная карта беспроводной сети (NIC) (с поддержкой v3 CCX) или соискатель третьей стороны.

  • Коммутатор Cisco 3750

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

Лабораторная топология беспроводных сетей Cisco Secure

acs51-peap-deployment-01.gif

Первичная цель этого документа должна предоставить вас пошаговая процедура для осуществления PEAP под Unified Wireless Network с ACS 5.1 и Windows 2003 Enterprise server. Основной акцент находится на автоматической подаче заявок клиента так, чтобы клиент автозарегистрировал и взял сертификат от сервера.

Примечание: Для добавления Защищенного доступа по протоколу Wi-Fi (WAP) / WPA2 с Протоколом TKIP / Расширенный стандарт шифрования (AES) к Windows XP Professional с SP, обратитесь к Информационному элементу WPA2/Wireless Provisioning Services (IE WPS) обновление для Windows XP с Пакетом обновления 2 leavingcisco.com.

Windows Enterprise 2003 Setup с IIS, центром сертификации, DNS, DHCP (CA)

CA (democa)

CA компьютер, который выполняет Windows Server 2003 с SP2, Enterprise Edition, и выполняет эти роли:

  • Контроллер домена для demo.local домена, который выполняет IIS

  • Сервер DNS для demo.local Домена DNS

  • DHCP server

  • Узел CA предприятия для demo.local домена

Выполните эти шаги для настройки CA для этих сервисов:

  1. Выполните базовую установку и конфигурацию.

  2. Настройте компьютер как контроллер домена.

  3. Повысьте доменный функциональный уровень.

  4. Установите и настройте DHCP.

  5. Сервисы сертификации установки.

  6. Проверьте Права администратора для сертификатов.

  7. Добавьте компьютеры к домену.

  8. Позвольте беспроводной доступ компьютерам.

  9. Добавьте пользователей к домену.

  10. Позвольте беспроводной доступ пользователям.

  11. Добавьте группы к домену.

  12. Добавьте пользователей к wirelessusers группе.

  13. Добавьте компьютеры клиента к wirelessusers группе.

Выполните базовую установку и конфигурацию

Выполните данные действия:

  1. Windows Server 2003 установки с SP2, Enterprise Edition, как автономный сервер.

  2. Настройте протокол TCP/IP с IP-адресом 10.0.10.10 и маской подсети 255.255.255.0.

Настройте компьютер как контроллер домена

Выполните данные действия:

  1. Для начала мастера Установки Active Directory выберите Start> Run, введите dcpromo.exe и нажмите OK.

  2. На Приветствии к странице Active Directory Installation Wizard нажмите Next.

  3. На странице Operating System Compatibility нажмите Next.

  4. На Полосе набора Контроллера домена выберите Domain Controller для нового Домена и нажмите Next.

  5. На Создавании Новой страницы Domain выберите Domain в новом лесу и нажмите Next.

  6. На странице Install или Configure DNS выберите No, просто установите и настройте DNS на этом компьютере и нажмите Next.

  7. На Новой странице Domain Name введите demo.local и нажмите Next.

  8. На странице Domain Name NetBIOS введите Доменное Имя NETBIOS как демонстрацию и нажмите Next.

  9. На странице Database и Log Folders Locations примите каталоги Database и Log Folders по умолчанию и нажмите Next.

    acs51-peap-deployment-02.gif

  10. На странице Shared System Volume проверьте, что расположение папки по умолчанию корректно, и нажмите Next.

    acs51-peap-deployment-03.gif

  11. На странице Permissions проверьте, что Разрешения, совместимые только с Windows 2000 или операционными системами Windows Server 2003, выбраны, и нажмите Next.

    acs51-peap-deployment-04.gif

  12. На странице Directory Services Restore Mode Administration Password оставьте незаполненные поля пароля и нажмите Next.

  13. Рассмотрите информацию о Сводной странице и нажмите Next.

    acs51-peap-deployment-05.gif

  14. Когда вы будете сделаны с Установкой Active Directory, нажмите Finish.

  15. Когда предложено перезапустить компьютер, нажмите Restart Now.

Повысьте доменный функциональный уровень

Выполните данные действия:

  1. Откройте моментальный снимок Доменов и Трестов Active Directory - в от папки Administrative Tools (Пуск> Программы> Средства администрирования> Домены Active Directory и Тресты), и затем щелкните правой кнопкой мыши по компьютеру домена CA.demo.local.

  2. Нажмите Raise Domain Functional Level, и затем выберите Windows Server 2003 на странице Raise Domain Functional Level.

    acs51-peap-deployment-06.gif

  3. Нажмите Raise, нажмите OK, и затем нажмите OK снова.

Установите и настройте DHCP

Выполните данные действия:

  1. Протокол DHCP (динамического конфигурирования узла) установки как компонент Сетевого сервиса при помощи Добавляет или Удаляет Программы в Панели управления.

  2. Откройте моментальный снимок DHCP - в от папки Administrative Tools (Пуск> Программы> Средства администрирования> DHCP), и затем выделите DHCP server, CA.demo.local.

  3. Нажмите Action, и затем нажмите Authorize для авторизации сервиса DHCP.

  4. В дереве консоли щелкните правой кнопкой мыши по CA.demo.local, и затем нажмите New Scope.

  5. На Странице приветствия Нового Мастера создания области нажмите Next.

  6. На странице Scope Name введите CorpNet в Поле имени.

    acs51-peap-deployment-07.gif

  7. Нажмите Next и заполните эти параметры:

    • Запустите IP-адрес - 10.0.20.1

    • Конечный IP-адрес - 10.0.20.200

    • Длина- 24

    • Маска подсети: 255.255.255.0

    acs51-peap-deployment-08.gif

  8. Нажмите Next и войдите 10.0.20.1 для IP-адреса запуска и 10.0.20.100 для Конечного IP-адреса, который будет исключен. Нажмите кнопку Next., это резервирует IP-адреса в диапазоне от 10.0.20. От 1 до 10. 0.20.100. Эти резервные IP-адреса не выделены DHCP server.

    acs51-peap-deployment-09.gif

  9. На странице Lease Duration нажмите Next.

  10. На странице Configure DHCP Options выберите Yes, I want to configure these options now и нажмите Next.

    acs51-peap-deployment-10.gif

  11. На Router (Default Gateway) страница добавляет адрес маршрутизатора по умолчанию 10.0.20.1 и нажимает Next.

    acs51-peap-deployment-11.gif

  12. На странице Domain Name и DNS Servers введите demo.local в Родительском поле domain, введите 10.0.10.10 в поле IP address, и затем нажмите Add и нажмите Next.

    acs51-peap-deployment-12.gif

  13. На странице WINS Servers нажмите Next.

  14. На Активировать странице Scope выберите Yes, I want to activate this scope now и нажмите Next.

    acs51-peap-deployment-13.gif

  15. Когда вы закончите со страницей New Scope Wizard, нажмите Finish.

Сервисы сертификации установки

Выполните данные действия:

Примечание: IIS должен быть установлен перед установкой Сервисов сертификации, и пользователь должен быть частью OU Admin Предприятия.

  1. В Панели управления, открытой, Добавляют или Удаляют Программы, и затем нажимают Add/Remove Windows Components.

  2. На странице Windows Components Wizard выберите Certificate Services, и затем нажмите Next.

  3. На Полосе набора CA выберите узел CA Enterprise и нажмите Next.

  4. В Странице информации Определения CA введите democa в Общем имени для этой коробки CA. Можно также ввести другие дополнительные подробные данные. Затем нажмите Next и примите настройки по умолчанию на странице Certificate Database Settings.

  5. Нажмите кнопку Next. После завершения установки нажмите Finish.

  6. Нажмите OK после чтения предупреждающего сообщения об установке IIS.

Проверьте права администратора для сертификатов

Выполните данные действия:

  1. Выберите Start> Administrative Tools> Certification Authority.

  2. Щелкните правой кнопкой мыши democa CA и затем нажмите Properties.

  3. На Вкладке Безопасность нажмите Administrators в списке Имен пользователей или Группе.

  4. В списке Разрешений для администраторов проверьте, что эти опции собираются Позволить:

    • Выполните и управляйте сертификатами

    • Управляйте CA

    • Сертификаты запроса

    Если какой-либо из них собирается Запретить или не выбран, заставьте разрешения Позволять.

    acs51-peap-deployment-14.gif

  5. Нажмите OK для закрытия democa CA Диалоговое окно со свойствами, и затем близкий Центр сертификации.

Добавьте компьютеры к домену

Выполните данные действия:

Примечание: Если компьютер уже добавлен к домену, продолжите Добавлять Пользователей к Домену.

  1. Откройте моментальный снимок Пользователей и компьютеров Active Directory - в.

  2. В дереве консоли разверните demo.local.

  3. Щелкните правой кнопкой мыши Компьютеры, нажмите New, и затем нажмите Computer.

  4. В диалоговом окне New Object - Computer введите имя компьютера в Поле Имя компьютера и нажмите Next. Данный пример использует Клиент имени компьютера.

    acs51-peap-deployment-15.gif

  5. В диалоговом окне Managed нажмите Next.

  6. В диалоговом окне New Object - Computer нажмите Finish.

  7. Повторите шаги 3 - 6 для создания учетных записей дополнительного компьютера.

Позвольте беспроводной доступ компьютерам

Выполните данные действия:

  1. В дереве консоли Пользователей и компьютеров Active Directory нажмите папку Computers и щелкните правой кнопкой мыши на компьютере, для которого вы хотите назначить беспроводной доступ. Данный пример показывает процедуру с компьютерным клиентом, которого вы добавили в шаге 7. Нажмите Properties, и затем перейдите к Вкладке наборный (телефонный) доступ.

  2. В Разрешениях Удаленного доступа выберите, предоставляют доступ и нажимают OK.

    acs51-peap-deployment-16.gif

Добавьте пользователей к домену

Выполните данные действия:

  1. В дереве консоли Пользователей и компьютеров Active Directory щелкните правой кнопкой мыши по Пользователям, нажмите New, и затем нажмите User.

  2. В Новом Объекте – диалоговое окно User, введите имя пользователя беспроводной связи. Данный пример использует название wirelessuser в поле Имени и wirelessuser в Пользовательском поле имени пользователя. Нажмите кнопку Next.

    acs51-peap-deployment-17.gif

  3. В Новом Объекте – диалоговое окно User, введите пароль по Вашему выбору в Пароле и Полях подтверждения пароля. Очиститесь Пользователь должен изменить пароль в следующем флажке входа в систему и нажать Next.

    acs51-peap-deployment-18.gif

  4. В Новом Объекте – диалоговое окно User, нажмите Finish.

  5. Повторите шаги 2 - 4 для создания дополнительных учетных записей пользователя.

Позвольте беспроводной доступ пользователям

Выполните данные действия:

  1. В дереве консоли Пользователей и компьютеров Active Directory нажмите Папку Пользователи, щелкните правой кнопкой мыши по wirelessuser, нажмите Properties, и затем перейдите к Вкладке наборный (телефонный) доступ.

  2. В Разрешениях Удаленного доступа выберите, предоставляют доступ и нажимают OK.

    acs51-peap-deployment-19.gif

Добавьте группы к домену

Выполните данные действия:

  1. В дереве консоли Пользователей и компьютеров Active Directory щелкните правой кнопкой мыши по Пользователям, нажмите New, и затем нажмите Group.

  2. В диалоговом окне New Object - Group введите имя группы в поле Имени группы и нажмите OK. Этот документ использует имя группы wirelessusers.

    acs51-peap-deployment-20.gif

Добавьте Пользователей к wirelessusers Группе

Выполните данные действия:

  1. В панели Пользователей и компьютеров Active Directory дважды нажмите на группе WirelessUsers.

  2. Перейдите к вкладке Members и нажмите Add.

  3. В Выбрать Users, Contacts, Computers или диалоговое окно Groups, вводит имя пользователей, которых вы хотите добавить к группе. Данный пример показывает, как добавить пользователя wirelessuser к группе. Нажмите кнопку ОК.

    acs51-peap-deployment-21.gif

  4. В диалоговом окне Multiple Names Found нажмите OK. wirelessuser учетная запись пользователя добавлена к wirelessusers группе.

    acs51-peap-deployment-22.gif

  5. Нажмите OK для сохранения изменений wirelessusers группе.

  6. Повторите эту процедуру, чтобы добавить больше пользователей к группе.

Добавьте Компьютеры клиента к wirelessusers Группе

Выполните данные действия:

  1. Повторите шаги 1 и 2 в Добавить Пользователей к wirelessusers Разделу группы этого документа.

  2. В Выбрать Users Contacts или диалоговое окно Computers, вводит имя компьютера, который вы хотите добавить к группе. Данный пример показывает, как добавить компьютер, названный клиентом группе.

    acs51-peap-deployment-23.gif

  3. Нажмите Object Types, снимите флажок Users, и затем проверьте Компьютеры.

    acs51-peap-deployment-24.gif

  4. Дважды нажмите кнопку OK. Учетная запись Компьютера клиента добавлена к wirelessusers группе.

    acs51-peap-deployment-25.gif

  5. Повторите процедуру, чтобы добавить больше компьютеров к группе.

Cisco 1121 безопасный ACS 5.1

Установка Использование устройства серии CSACS-1121

Устройство CSACS-1121 предварительно установлено с программным обеспечением ACS 5.1. В этом разделе приведены вам обзор процесса установки и задач, которые необходимо выполнить прежде, чем установить ACS.

  1. Подключите CSACS-1121 с консолью устройства и сетью. См. Главу 4, "Соединительные кабели".

  2. Включите устройство CSACS-1121. См. Главу 4, "Включая Устройство Серии CSACS-1121".

  3. Выполните команду настройки в приглашении CLI для настройки исходных параметров для сервера ACS. Посмотрите Выполнение Программы установки.

Установите сервер ACS

В этом разделе описываются процесс установки для сервера ACS на устройстве Серии CSACS-1121.

Для получения дальнейшей информации на установке Cisco Secure ACS Сервер обращаются к Установке и Руководству по обновлению для Cisco Secure Access Control System 5.1.

Конфигурация контроллера Cisco WLC5508

Создайте необходимую конфигурацию для WPAv2/WPA

Выполните данные действия:

Примечание: Предположение - то, что контроллер имеет основное подключение к сети, и возможности IP - доступы к интерфейсу управления успешны.

  1. Передите к https://10.0.1.10 для входа в систему к контроллеру.

    acs51-peap-deployment-26.gif

  2. Нажмите кнопку Login (Вход).

  3. Войдите с admin пользователя по умолчанию и admin пароля по умолчанию.

  4. Создайте новый Интерфейс для сопоставления VLAN в соответствии с меню Controller.

  5. Нажмите Interfaces.

  6. Щелкните New.

  7. В поле Имени интерфейса введите Сотрудника. (Это поле может быть любым значением, которое вы любите.)

  8. В поле VLAN ID войдите 20. (Это поле может быть любой VLAN, которую переносят в сети.)

  9. Нажмите кнопку Apply.

  10. Настройте информацию как это Интерфейсы>, Окно редактирования показывает:

    • IP-адрес интерфейса - 10.0.20.2

    • Маска подсети - 255.255.255.0

    • Шлюз - 10.0.10.1

    • Основной DHCP - 10.0.10.10

    acs51-peap-deployment-27.gif

  11. Нажмите кнопку Apply.

  12. Нажмите вкладку WLAN.

  13. Выберите Create New и нажмите Go.

  14. Введите Имя профиля, и, в поле WLAN SSID, введите Сотрудника.

    acs51-peap-deployment-28.gif

  15. Выберите ID для WLAN и нажмите Apply.

  16. Настройте информацию для этого WLAN, когда появятся WLAN> Окно редактирования.

    Примечание: WPAv2 является выбранным методом шифрования Уровня 2 для этой лабораторной работы. Чтобы позволить WPA с клиентами MIC TKIP связываться к этому SSID, можно также проверить режим совместимости WPA и Позволить коробки Клиентов TKIP WPA2 или те клиенты, которые не поддерживают 802.11i метод шифрования AES.

  17. На WLAN> экран Edit, нажмите Вкладку Общие.

  18. Удостоверьтесь, что флажок Статуса установлен для Включенного, и соответствующий Интерфейс (сотрудник) выбран. Кроме того, удостоверьтесь, что проверили флажок Enabled для Широковещательного SSID.

    acs51-peap-deployment-29.gif

  19. Щелкните вкладку Безопасность.

  20. Под подменю Уровня 2 проверьте WPA + WPA2 для безопасности уровня 2. Для шифрования WPA2 проверьте AES + TKIP, чтобы позволить клиентам TKIP.

  21. Выберите 802.1x в качестве метода аутентификации.

    acs51-peap-deployment-30.gif

  22. Пропустите подменю Уровня 3, поскольку оно не требуется. Как только сервер RADIUS настроен, соответствующий сервер может быть выбран из меню Authentication.

  23. QoS и Вкладки Дополнительно можно оставить в по умолчанию, пока не требуются любые специальные конфигурации.

  24. Нажмите Меню системы безопасности для добавления сервера RADIUS.

  25. Под подменю RADIUS нажмите Authentication. Затем нажмите New.

  26. Добавьте IP-адрес сервера RADIUS (10.0.10.20), который является сервером ACS, настроенным ранее.

  27. Удостоверьтесь, что общий ключ совпадает с клиентом AAA, настроенным в сервере ACS. Удостоверьтесь, что флажок Пользователя сети установлен, и нажмите Apply.

    acs51-peap-deployment-31.gif

  28. Базовая конфигурация теперь завершена, и можно начать тестировать PEAP.

Аутентификация PEAP

PEAP с Версией MS-CHAP 2 требует сертификатов на серверах ACS, но не на беспроводных клиентах. Автоматическая подача заявок компьютерных сертификатов для серверов ACS может использоваться для упрощения развертываний.

Для настройки сервера CA для обеспечения автоматической подачи заявок для компьютера и сертификатов пользователя, завершите процедуры в этом разделе.

Примечание: Microsoft изменила Шаблон веб-сервера с выпуском Windows 2003 Enterprise CA так, чтобы ключи больше не были экспортными, и опция отображается серым. Нет никаких других шаблонов сертификата, предоставленных сервисами сертификации, которые являются для проверки подлинности сервера и дают возможность отметить ключи как экспортные, которые доступны в выпадающем, таким образом, необходимо создать новый шаблон, который делает так.

Примечание: Windows 2000 обеспечивают экспортные ключи, и эти процедуры не должны быть выполнены при использовании Windows 2000.

Установите моментальный снимок шаблонов сертификата - в

Выполните данные действия:

  1. Выберите Start> Run, введите mmc и нажмите OK.

  2. На Меню Файл нажмите Add/Remove Snap - в, и затем нажмите Add.

  3. Под Моментальным снимком - в, дважды нажмите Certificate Templates, нажмите Close, и затем нажмите OK.

  4. В дереве консоли нажмите Certificate Templates. Все шаблоны сертификата появляются в Панели.

  5. Для обхода шагов 2 - 4 введите certtmpl.msc, который открывает моментальный снимок Шаблонов сертификата - в.

    acs51-peap-deployment-32.gif

Создайте шаблон сертификата для Web-сервера ACS

Выполните данные действия:

  1. В Панели моментального снимка Шаблонов сертификата - в, нажмите Шаблон веб-сервера.

  2. На Меню Действие нажмите Duplicate Template.

    acs51-peap-deployment-33.gif

  3. В поле имени показа Шаблона введите ACS.

    acs51-peap-deployment-34.gif

  4. Перейдите к вкладке Request Handling, и проверка Позволяют секретному ключу экспортироваться. Также гарантируйте, что Подпись и Шифрование выбраны от раскрывающегося меню Цели.

    acs51-peap-deployment-35.gif

  5. Выберите Requests должен использовать один из придерживающихся CSP и проверить v1.0 Microsoft Base Cryptographic Provider. Анчек любые другие CSP, которые проверены и нажимают OK.

    acs51-peap-deployment-36.gif

  6. Перейдите к вкладке Subject Name, выберите Supply в запросе и нажмите OK.

    acs51-peap-deployment-37.gif

  7. Перейдите к Вкладке Безопасность, выделите Domain Admins Group и удостоверьтесь, что опция Enroll проверена под Позволенным.

    Примечание: Если вы принимаете решение создать из этой Информации Active Directory, только проверяют Пользовательское главное имя (UPN) и сняли флажок с Включать именем электронной почты в имени субъекта и Именем электронной почты, потому что имя электронной почты не было введено для учетной записи Пользователя беспроводной связи в моментальном снимке Пользователей и компьютеров Active Directory - в. Если вы не отключаете эти две опции, автоматическая подача заявок пытается использовать электронную почту, которая приводит к ошибке автоматической подачи заявок.

  8. Существуют меры по дополнительным мерам безопасности в случае необходимости, чтобы препятствовать тому, чтобы сертификаты были автоматически выставлены. Они могут быть найдены под вкладкой Issuance Requirements. Это не обсуждено далее в этом документе.

    acs51-peap-deployment-38.gif

  9. Нажмите OK, чтобы сохранить шаблон и перейти на запуск этого шаблона от моментального снимка Центра сертификации - в.

Включите новый шаблон сертификата Web-сервера ACS

Выполните данные действия:

  1. Откройте моментальный снимок Центра сертификации - в. Выполните шаги 1 - 3 в Создавание Шаблона сертификата для раздела Web-сервера ACS, выберите опцию Certificate Authority, выберите Local Computer и нажмите Finish.

  2. В дереве консоли Центра сертификации разверните ca.demo.local, и затем щелкните правой кнопкой мыши по Шаблонам сертификата.

  3. Перейдите Новый> Шаблон сертификата для Запуска.

    acs51-peap-deployment-39.gif

  4. Нажмите ACS Certificate Template.

    acs51-peap-deployment-40.gif

  5. Нажмите OK и откройте моментальный снимок Пользователей и компьютеров Active Directory - в.

  6. В дереве консоли дважды нажмите Active Directory Users and Computers, щелкните правой кнопкой мыши по demo.local, и затем нажмите Properties.

    acs51-peap-deployment-41.gif

  7. На вкладке Group Policy нажмите Default Domain Policy, и затем нажмите Edit. Это открывает моментальный снимок Редактора объектов Групповой политики - в.

    acs51-peap-deployment-42.gif

  8. В дереве консоли разверните Computer Configuration> Windows Settings> Security Settings> Политика С открытым ключом, и затем выберите Automatic Certificate Request Settings.

    acs51-peap-deployment-43.gif

  9. Щелкните правой кнопкой мыши Автоматические Параметры настройки Запроса сертификата и выберите New> Automatic Certificate Request.

  10. На Приветствии к странице Automatic Certificate Request Setup Wizard нажмите Next.

  11. На странице Certificate Template нажмите Computer, и затем нажмите Next.

    acs51-peap-deployment-44.gif

  12. При завершении страницы Automatic Certificate Request Setup Wizard нажмите Finish. Компьютерный Тип сертификата теперь появляется в панели моментального снимка Редактора объектов Групповой политики - в.

    acs51-peap-deployment-45.gif

  13. В дереве консоли разверните Пользовательскую конфигурацию>> Security Windows Settings Параметры настройки> Политика С открытым ключом.

  14. В панели дважды нажмите Auto-enrollment Settings.

    acs51-peap-deployment-46.gif

  15. Выберите сертификаты Enroll автоматически, и проверка Возобновляют просроченные сертификаты, обновление сертификаты в состоянии ожидания и удаляют отозванные сертификаты и сертификаты Обновления то использование шаблоны сертификата.

    acs51-peap-deployment-47.gif

  16. Нажмите кнопку ОК.

Настройка сертификата ACS 5.1

Настройте экспортный сертификат для ACS

Примечание: Сервер ACS должен получить серверный сертификат из сервера узла CA предприятия для аутентификации клиента PEAP WLAN.

Примечание: Удостоверьтесь, что Диспетчер IIS не открыт во время процесса установки сертификата как проблемы причин с кэшируемой информацией.

  1. Войдите к серверу ACS с учетной записью администратора в права.

  2. Перейдите к Администрированию системы> Конфигурация> Сертификаты Локального сервера. Нажмите Add.

    acs51-peap-deployment-48.gif

  3. Когда вы выбираете метод создания серверного сертификата, выбираете Generate Certificate Signing Request. Нажмите кнопку Next.

    acs51-peap-deployment-49.gif

  4. Введите сертификат подчиненная и длина ключа как пример, затем нажмите Finish:

    • Предмет сертификата - CN=acs.demo.local

    • Длина ключа - 1024

    acs51-peap-deployment-50.gif

  5. ACS вызовет это, запрос подписи сертификата генерировался. Нажмите кнопку ОК.

    acs51-peap-deployment-51.gif

  6. Под Администрированием системы перейдите к Конфигурации> Сертификаты Локального сервера> Выдающиеся Запросы подписи.

    Примечание: Причина для этого шага состоит в том, что Windows 2003 не обеспечивает экспортные ключи, и необходимо генерировать запрос сертификата на основе Сертификата ACS, который вы создали ранее, который делает.

    acs51-peap-deployment-52.gif

  7. Выберите запись Запроса подписи сертификата и нажмите Export.

    acs51-peap-deployment-53.gif

  8. Сохраните файл .pem сертификата ACS к рабочему столу.

    acs51-peap-deployment-54.gif

Установите сертификат в программном обеспечении ACS 5.1

Выполните данные действия:

  1. Откройте браузер и подключение к URL сервера CA http://10.0.10.10/certsrv.

    acs51-peap-deployment-55.gif

  2. Окно Microsoft Certificate Services появляется. Выберите Request сертификат.

    acs51-peap-deployment-56.gif

  3. Нажмите для отправки усовершенствованного запроса сертификата.

    acs51-peap-deployment-57.gif

  4. В расширенном запросе нажмите Submit запрос сертификата с помощью base-64-encoded …

    acs51-peap-deployment-58.gif

  5. В поле Saved Request, если безопасность браузера разрешения, переходят к предыдущему файлу запроса сертификата ACS и вставляют.

    acs51-peap-deployment-59.gif

  6. Параметры безопасности браузера могут не позволить обращаться к файлу на диске. Если так, нажмите OK для выполнения ручной вставки.

    acs51-peap-deployment-60.gif

  7. Найдите ACS *.pem файл от предыдущего экспорта ACS. Откройте файл с помощью текстового редактора (например, Блокнот).

    acs51-peap-deployment-61.gif

  8. Выделите все содержание файла и нажмите Copy.

    acs51-peap-deployment-62.gif

  9. Возвратитесь к окну запроса сертификата Microsoft. Вставьте скопированное содержание в поле Saved Request.

    acs51-peap-deployment-63.gif

  10. Выберите ACS в качестве Шаблона сертификата и нажмите Submit.

    acs51-peap-deployment-64.gif

  11. Как только Сертификат Выполнен, выберите Base 64, закодированный, и нажмите сертификат Download.

    acs51-peap-deployment-65.gif

  12. Нажмите Save для сохранения сертификата к рабочему столу.

    acs51-peap-deployment-66.gif

  13. Перейдите к ACS> Администрирование системы> Конфигурация> Сертификаты Локального сервера. Выберите Bind CA Signed Certificate и нажмите Next.

    acs51-peap-deployment-67.gif

  14. Нажмите Browse и найдите сохраненный сертификат.

    acs51-peap-deployment-68.gif

  15. Выберите сертификат ACS, который был выполнен сервером CA, и нажмите Open.

    acs51-peap-deployment-69.gif

  16. Кроме того, установите флажок Протокола для EAP и нажмите Finish.

    acs51-peap-deployment-70.gif

  17. Выполненный CA сертификат ACS появится в ACS локальный сертификат.

    acs51-peap-deployment-71.gif

Настройте идентификационное хранилище ACS для Active Directory

Выполните данные действия:

  1. Соединитесь с ACS и войдите с Учетной записью администратора.

  2. Перейдите к Пользователям и Идентификационным Хранилищам> Внешние хранилища идентификаторов> Active Directory.

    acs51-peap-deployment-72.gif

  3. Введите Домен Active Directory demo.local, введите пароль сервера и нажмите Test Connection. Нажмите OK, чтобы продолжить.

    acs51-peap-deployment-73.gif

  4. Нажмите кнопку Save Changes (Сохранить изменения).

    acs51-peap-deployment-74.gif

    Примечание: Для получения дополнительной информации о ACS 5.x процедура интеграции обращаются к ACS 5.x и позже: Интеграция с Примером конфигурации Microsoft Active Directory.

Добавьте контроллер к ACS как клиент AAA

Выполните данные действия:

  1. Соединитесь с ACS и перейдите к Сетевым ресурсам> Сетевые устройства и Клиенты AAA. Нажмите кнопку Create.

    acs51-peap-deployment-75.gif

  2. Введите в эти поля:

    • Название - wlc

    • IP - 10.0.1.10

    • Флажок RADIUS - Проверенный

    • Общий секретный ключ - Cisco

    acs51-peap-deployment-76.gif

  3. Нажмите Submit по окончании. Контроллер появится как запись в списке Сетевых устройств ACS.

    acs51-peap-deployment-77.gif

Настройте политику доступа ACS для беспроводных сетей

Выполните данные действия:

  1. В ACS перейдите к Политике доступа> Службы доступа.

    acs51-peap-deployment-78.gif

  2. В окне Access Services нажмите Create.

    acs51-peap-deployment-79.gif

  3. Создайте службу доступа и введите имя (например, WirelessAD). Выберите Based на сервисном шаблоне и нажмите Select.

    acs51-peap-deployment-80.gif

  4. В Диалоговом окне Веб-страницы выберите Network Access – Простой. Нажмите кнопку ОК.

    acs51-peap-deployment-81.gif

  5. В Диалоговом окне Веб-страницы выберите Network Access – Простой. Нажмите кнопку ОК. Как только шаблон выбран, нажмите Next.

    acs51-peap-deployment-82.gif

  6. В соответствии с Разрешенными протоколами, установите флажки для, Позволяют MSCHAPv2 и Позволяют PEAP. Нажмите кнопку Finish.

    acs51-peap-deployment-83.gif

  7. Когда ACS побудит вас активировать новый сервис, нажмите Yes.

    acs51-peap-deployment-84.gif

  8. В новой службе доступа, которая была просто создана/активирована, разверните и выберите Identity. Для Идентификационного Источника нажмите Select.

    acs51-peap-deployment-85.gif

  9. Выберите AD1 for Active Directory, который был настроен в ACS, нажмите OK.

    acs51-peap-deployment-86.gif

  10. Подтвердите, что Идентификационный Источник является AD1, и нажмите Save Changes.

    acs51-peap-deployment-87.gif

Создайте политику доступа ACS и сервисное правило

Выполните данные действия:

  1. Перейдите к Политике доступа> Сервисные Правила выбора.

    acs51-peap-deployment-88.gif

  2. Нажмите Create в Сервисном Окне политики Выбора. Дайте новому правилу название (например, WirelessRule). Установите флажок для Протокола для соответствия с Радиусом.

    acs51-peap-deployment-89.gif

  3. Выберите Radius и нажмите OK.

    acs51-peap-deployment-90.gif

  4. Под Результатами выберите WirelessAD for Service (созданный в предыдущем шаге).

    acs51-peap-deployment-91.gif

  5. Как только новое беспроводное правило создано, выберите и переместите это правило в вершину, которая будет первым правилом определить беспроводную проверку подлинности RADIUS с помощью Active Directory.

    acs51-peap-deployment-92.gif

Конфигурация клиента для PEAP с помощью Windows Zero Touch

В нашем примере КЛИЕНТ является компьютером, который выполняет Windows XP Professional с SP, который действует как беспроводной клиент и получает доступ к ресурсам Интранет через беспроводной AP. Завершите процедуры в этом разделе для настройки КЛИЕНТА как беспроводного клиента.

Выполните Basic Installation и Configuraiton

Выполните данные действия:

  1. Подключите КЛИЕНТ с сегментом Внутренней сети с помощью Кабеля Ethernet, связанного с концентратором.

  2. У КЛИЕНТА, установка Windows XP Professional с SP2 как задействованный компьютер под названием КЛИЕНТ demo.local домена.

  3. Установите Windows XP Professional с SP2. Это должно быть установлено для имения поддержки PEAP.

    Примечание: Windows Firewall автоматически включен в Windows XP Professional с SP2. Не выключайте межсетевой экран.

Установите адаптер беспроводной сети

Выполните данные действия:

  1. Завершение работы Компьютер клиента.

  2. Разъедините Компьютер клиента от сегмента Внутренней сети.

  3. Перезапустите Компьютер клиента, и затем войдите в систему использования учетной записи локального администратора.

  4. Установите адаптер беспроводной сети.

    Примечание: Не устанавливайте программное обеспечение конфигурации изготовителя для беспроводного адаптера. Установите драйверы адаптера беспроводной сети, использующие Добавить Мастера оборудования. Кроме того, когда предложено, предоставьте CD, предоставленный изготовителем или диском с обновленными драйверами для использования с Windows XP Professional с SP2.

Настройте беспроводное сетевое соединение

Выполните данные действия:

  1. Выход и затем входит в использование учетной записи WirelessUser в demo.local домене.

  2. Выберите Start> Control Panel, дважды нажмите Network Connections, и затем щелкните правой кнопкой мыши по Беспроводному сетевому соединению.

  3. Нажмите Properties, перейдите к вкладке Wireless Networks и удостоверьтесь, что проверен Windows Использования для настройки моих параметров настройки беспроводной сети.

    acs51-peap-deployment-93.gif

  4. Нажмите Add.

  5. Под вкладкой Association введите Сотрудника в поле (SSID) Сетевого имени.

  6. Выберите WPA для Сетевой проверки подлинности и удостоверьтесь, что Шифрование данных установлено в TKIP.

    acs51-peap-deployment-94.gif

  7. Нажмите вкладку Authentication.

  8. Проверьте тот тип EAP, настроен для использования Защищенного EAP (PEAP). Если это не, выберите его из раскрывающегося меню.

  9. Если вы хотите, чтобы машина была заверена до входа в систему (который позволяет сценариям регистрации или толчкам групповой политики быть примененными), проверка Подтверждают подлинность как компьютер, когда сведения о компьютере доступны.

    acs51-peap-deployment-95.gif

  10. Нажмите Properties.

  11. Поскольку PEAP включает аутентификацию Сервера клиентом, гарантируйте, что проверен Проверить серверный сертификат. Кроме того, удостоверьтесь CA, который вышел, сертификат ACS проверен в соответствии с меню Trusted Root Certification Authorities.

  12. Выберите пароль Secured (MSCHAP EAP v2) под Методом аутентификации, поскольку это используется для внутренней аутентификации.

    acs51-peap-deployment-96.gif

  13. Удостоверьтесь, что проверено Разрешение Быстрого флажка Reconnect. Затем нажмите OK три раза.

  14. Щелкните правой кнопкой мыши значок беспроводного сетевого соединения в systray, и затем нажмите View Available Wireless Networks.

  15. Нажмите беспроводную сеть Сотрудника, и затем нажмите Connect. Если соединение будет успешно, беспроводной клиент покажет Связанный.

    acs51-peap-deployment-97.gif

  16. После того, как аутентификация успешна, проверьте конфигурацию TCP/IP для беспроводного адаптера при помощи Сетевых подключений. Это должно иметь диапазон адресов 10.0.20.100-10.0.20.200 от области DHCP или области, созданной для беспроводных клиентов CorpNet.

  17. Для тестирования функциональности откройте браузер и передите к http://10.0.10.10 (или IP-адрес сервера CA).

Устраните неполадки беспроводной аутентификации с ACS

Выполните данные действия:

  1. Перейдите к ACS> Отслеживание и сообщение и нажмите Launch Monitoring и Report Viewer.

    acs51-peap-deployment-98.gif

  2. Отдельное окно ACS откроется. Нажмите Dashboard.

    acs51-peap-deployment-99.gif

  3. В Моем Любимом разделе Отчётов нажмите Authentications – RADIUS – Сегодня.

    acs51-peap-deployment-100.gif

  4. Журнал покажет все Проверки подлинности RADIUS или как Проход или как Сбой. В зарегистрированной записи щелкните по значку лупы в столбце Details.

    acs51-peap-deployment-101.gif

  5. Подробность Проверки подлинности RADIUS предоставит много информации о зарегистрированных попытках.

    acs51-peap-deployment-102.gif

  6. Количество Соответствия Сервиса ACS может предоставить обзор попыток, совпадающих с правилом (ами), созданным в ACS. Перейдите к ACS> Политика доступа> Службы доступа и нажмите Service Selection Rules.

    acs51-peap-deployment-103.gif

Сбои аутентификации PEAP с сервером ACS

Когда клиентская аутентификация PEAP сбоев с сервером ACS, проверьте, находите ли вы сообщение об ошибках NAS duplicated authentication attempt в опции Неудачных попыток в соответствии с меню Report и Activity ACS.

Вы могли бы получить это сообщение об ошибках, когда SP2 Microsoft Windows XP установлен на клиентском компьютере, и Windows XP SP2 подтверждает подлинность против сервера третьей стороны кроме сервера Microsoft IAS. В частности сервер CISCO RADIUS (ACS) использует другой метод для вычисления Расширяемого протокола аутентификации формат Type:Length:Value (TLV EAP) ID, чем метод использование Windows XP. Microsoft определила это как дефект в соискателе SP2 XP.

Для исправления свяжитесь с Microsoft и обратитесь к аутентификации PEAP статьи, не успешно, когда вы соединяетесь со сторонним сервером RADIUS leavingcisco.com. Основная проблема - то, что на клиентской стороне, со служебной программой Windows, Быстрая опция Reconnect отключена для PEAP по умолчанию. Однако эта опция включена по умолчанию на стороне сервера (ACS). Для решения этого вопроса снимите флажок с Быстрой опцией Reconnect на сервере ACS (под Опциями Глобальной системы). Также можно позволить Быстрой опции Reconnect на клиентской стороне решить вопрос.

Perorm эти шаги для включения Быстрого Переподключения у клиента, который выполняет Windows XP с помощью Служебной программы Windows:

  1. Перейдите к Пуску> Настройка> Панель управления.

  2. Дважды нажмите значок Сетевых подключений.

  3. Щелкните правой кнопкой мыши значок Беспроводного сетевого соединения, и затем нажмите Properties.

  4. Выберите вкладку Wireless Networks (Беспроводные сети).

  5. Выберите Use Windows для настройки моего параметра настройки беспроводной сети чтобы к окнам enable для настройки клиентского адаптера.

  6. Если вы уже настроили SSID, выбираете SSID и нажимаете Properties. В противном случае нажмите New для добавления нового WLAN.

  7. Введите SSID под вкладкой Association. Удостоверьтесь, что Сетевая проверка подлинности Открыта, и Шифрование данных установлено в WEP.

  8. Нажмите Authentication.

  9. Выберите Разрешать аутентификацию IEEE 802.1x для этого параметра Network.

  10. Выберите PEAP в качестве Типа EAP и нажмите Properties.

  11. Выберите Разрешение Быстрой опции Reconnect внизу страницы.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения