Маршрутизаторы : Маршрутизаторы Cisco ISR серии 2800

Протестируйте новую публикацию документа на PBI000000030064 временного решения проблемы PBI

19 октября 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (31 июля 2013) | Отзыв


Содержание


Введение

Этот документ описывает, как настроить защищенный беспроводной доступ используя контроллеры беспроводной локальной сети, программное обеспечение Microsoft Windows 2003 и сервер Cisco ACS 5.1, посредством защищенного протокола аутентификации (PEAP) с протоколом аутентификации с косвенным согласованием Microsoft (MS-CHAP) версии 2.

Примечание. Для получения информации о развертываниях безопасного радио обратитесь к веб-сайту Microsoft Wi-Fi leavingcisco.comи Проекту беспроводных сетей Cisco SAFE.

Предварительные условия

Требования

Существует предположение, что установщик имеет установку Windows 2003 знания основ и установку контроллера WLAN Cisco, поскольку этот документ только покрывает определенные конфигурации для упрощения тестов.

Для начальной установки и сведений о конфигурации для Контроллеров серии Cisco 5508, обратитесь к Руководству Установки контроллера беспроводных сетей серии 5500 Cisco. Для начальной установки и сведений о конфигурации для Контроллеров серии Cisco 2100, обратитесь к Краткому руководству по началу работы: контроллер беспроводных LAN Серии Cisco 2100.

Установка Microsoft Windows 2003 года и руководства по конфигурации могут быть найдены при Установке Windows Server 2003 R2 leavingcisco.com.

Прежде, чем вы начнете, установите Microsoft Windows server 2003 с операционной системой SP1 на каждом из серверов в тестовой лабораторной работе и обновите все Пакеты обновления. Установите контроллеры и облегченные точки доступа (LAP) и гарантируйте, что настроены обновления последних версий программного обеспечения.

Windows Server 2003 с SP1, Enterprise Edition, используется так, чтобы могло быть настроено автоматическое зачисление пользователя и сертификатов рабочей станции для аутентификации PEAP. Автоматическое зачисление сертификата и автообновление упрощают развертывать сертификаты и улучшать безопасность путем автоматического истечения и возобновления сертификатов.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Контроллер серии Cisco 2106 или 5508, который выполняется 7.0.98.0

  • AP Протокола LWAPP Cisco 1142

  • Windows 2003 Enterprise с Интернет-информационным сервером (IIS), Центром сертификации (CA), DHCP, и Системой имен домена (DNS) установлен

  • Устройство Системы управления Безопасного доступа Cisco 1121 (ACS) 5.1

  • Windows XP Professional с SP (и обновленные Пакеты обновления) и интерфейсная карта беспроводной сети (NIC) (с поддержкой v3 CCX) или соискатель третьей стороны.

  • Коммутатор Cisco 3750

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе "Условные обозначения технических терминов Cisco".

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в данном документе.

 Примечание. Используйте Средство поиска команд (только для зарегистрированных клиентов) для получения дополнительной информации по используемым в данном разделе командам.

Схема сети

В этом документе использованы параметры данной сети.

Лабораторная топология беспроводных сетей Cisco Secure

acs51-peap-deployment-01.gif

Первичная цель этого документа должна предоставить вас пошаговая процедура для осуществления PEAP под Unified Wireless Network с ACS 5.1 и Windows 2003 Enterprise server. Основной акцент находится на автоматическом зачислении клиента так, чтобы клиент автозарегистрировал и взял сертификат от сервера.

Примечание. Чтобы добавить Защищенный доступ Wi-Fi (WPA) / WPA2 с Протоколом временной целостности ключа (TKIP) / Advanced Encryption Standard (AES) к Windows XP Professional с SP, обратитесь к Информационному элементу WPA2/Wireless Provisioning Services (IE WPS) обновление для Windows XP с Пакетом обновления 2 leavingcisco.com.

Windows Enterprise 2003 Setup с IIS, центром сертификации, DNS, DHCP (CA)

CA (democa)

CA компьютер, который выполняет Windows Server 2003 с SP2, Enterprise Edition, и выполняет эти роли:

  • Контроллер домена для demo.local домена, который выполняет IIS

  • Сервер DNS для demo.local Домена DNS

  • Сервер DHCP

  • Узел CA предприятия для demo.local домена

Выполните эти шаги, чтобы настроить CA для этих служб:

  1. Выполните базовую установку и конфигурацию.

  2. Настройте компьютер как контроллер домена.

  3. Повысьте функциональный уровень домена.

  4. Установите и настройте DHCP.

  5. Установите службы сертификации.

  6. Проверьте Права администратора для сертификатов.

  7. Добавьте компьютеры к домену.

  8. Позвольте беспроводной доступ компьютерам.

  9. Добавьте пользователей к домену.

  10. Позвольте беспроводной доступ пользователям.

  11. Добавьте группы к домену.

  12. Добавьте пользователей к wirelessusers группе.

  13. Добавьте компьютеры клиента к wirelessusers группе.

Выполните базовую установку и конфигурацию

Выполните данные действия:

  1. Установите Windows Server 2003 с SP2, Enterprise Edition, как автономный сервер.

  2. Настройте протокол TCP/IP с IP-адресом 10.0.10.10 и маской подсети 255.255.255.0.

Настройте компьютер как контроллер домена

Выполните данные действия:

  1. Чтобы запустить мастера Установки Active Directory, выберите Start> Run, введите dcpromo.exe, и нажмите "OK".

  2. На Приветствии к странице Active Directory Installation Wizard нажмите Next.

  3. На странице Operating System Compatibility нажмите Next.

  4. На Полосе набора Контроллера домена выберите Domain Controller для нового Домена и нажмите Next.

  5. На Создавании Новой страницы Domain выберите Domain в новом лесу и нажмите Next.

  6. На странице Install или Configure DNS выберите No, просто установите и настройте DNS на этом компьютере и нажмите Next.

  7. На странице New Domain Name введите demo.local и нажмите Next.

  8. На странице NetBIOS Domain Name введите Имя NETBIOS Домена как демонстрационный пример и нажмите Next.

  9. На странице Database и Log Folders Locations примите каталоги Database и Log Folders по умолчанию и нажмите Next.

    acs51-peap-deployment-02.gif

  10. На странице Shared System Volume проверьте, что расположение папки по умолчанию корректно, и нажмите Next.

    acs51-peap-deployment-03.gif

  11. На странице Permissions проверьте, что Разрешения, совместимые только с Windows 2000 или операционными системами Windows Server 2003, выбраны, и нажмите Next.

    acs51-peap-deployment-04.gif

  12. На странице Directory Services Restore Mode Administration Password оставьте незаполненные поля пароля и нажмите Next.

  13. Рассмотрите информацию о Сводной странице и нажмите Next.

    acs51-peap-deployment-05.gif

  14. Когда вы сделаны с Установкой Active Directory, нажмите Finish.

  15. Когда вызвано для перезапуска компьютера нажмите Restart Now.

Повысьте функциональный уровень домена

Выполните данные действия:

  1. Откройте моментальный снимок Доменов и Трестов Active Directory - в от папки Administrative Tools (Пуск> Программы> Средства администрирования> Домены Active Directory и Тресты), и затем щелкните правой кнопкой мыши по компьютеру домена CA.demo.local.

  2. Нажмите Функциональный уровень Домена Повышения, и затем выберите Windows Server 2003 на странице Raise Domain Functional Level.

    acs51-peap-deployment-06.gif

  3. Нажмите Повышение, нажмите "OK", и затем нажмите "OK" снова.

Установите и настройте DHCP

Выполните данные действия:

  1. Установите Протокол DHCP (динамического конфигурирования узла), как компонент Сетевой службы при помощи Добавляет или Удаляет Программы в Панели управления.

  2. Откройте моментальный снимок DHCP - в от папки Administrative Tools (Пуск> Программы> Средства администрирования> DHCP), и затем выделите сервер DHCP, CA.demo.local.

  3. Нажмите Действие, и затем нажмите Authorize, чтобы авторизовать службу DHCP.

  4. В дереве консоли щелкните правой кнопкой мыши по CA.demo.local, и затем нажмите New Scope.

  5. На Странице приветствия Нового Мастера создания области нажмите Next.

  6. На странице Scope Name введите CorpNet в Поле имени.

    acs51-peap-deployment-07.gif

  7. Нажмите Затем и заполните эти параметры:

    • Запустите IP-адрес - 10.0.20.1

    • Конечный IP-адрес - 10.0.20.200

    • Length - 24

    • Маска подсети: 255.255.255.0

    acs51-peap-deployment-08.gif

  8. Нажмите Затем и войдите 10.0.20.1 для IP-адреса запуска и 10.0.20.100 для Конечного IP-адреса, который будет исключен. Затем нажмите кнопку "Далее". Это резервирует IP-адреса в диапазоне от 10.0.20. от 1 до 10 0.20.100. Эти резервные IP-адреса не выделены сервером DHCP.

    acs51-peap-deployment-09.gif

  9. На странице Lease Duration нажмите Next.

  10. На странице Configure DHCP Options выберите Yes, I want to configure these options now и нажмите Next.

    acs51-peap-deployment-10.gif

  11. На Router (Default Gateway) страница добавляет адрес маршрутизатора по умолчанию 10.0.20.1 и нажимает Next.

    acs51-peap-deployment-11.gif

  12. На странице Domain Name и DNS Servers введите demo.local в Родительском поле домена, введите 10.0.10.10 в поле IP-адреса, и затем нажмите Add и нажмите Next.

    acs51-peap-deployment-12.gif

  13. На странице WINS Servers нажмите Next.

  14. На Активировать странице Scope выберите Yes, I want to activate this scope now и нажмите Next.

    acs51-peap-deployment-13.gif

  15. Когда вы заканчиваете со страницей New Scope Wizard, нажмите Finish.

Установите службы сертификации

Выполните данные действия:

Примечание. IIS должен быть установлен перед установкой Служб сертификации, и пользователь должен быть частью OU Admin Предприятия.

  1. В Панели управления, открытой, Добавляют или Удаляют Программы, и затем нажимают Add/Remove Windows Components.

  2. На странице Windows Components Wizard выберите Certificate Services, и затем нажмите Next.

  3. На CA Полосе набора выберите узел CA Enterprise и нажмите Next.

  4. В CA Определяющей Странице информации введите democa в Общем имени для этого CA коробка. Можно также ввести другие дополнительные подробные данные. Затем нажмите Next и примите настройки по умолчанию на странице Certificate Database Settings.

  5. Нажмите кнопку Next. После завершения установки нажмите Finish.

  6. Нажмите "OK" после чтения предупреждающего сообщения об установке IIS.

Проверьте права администратора для сертификатов

Выполните данные действия:

  1. Выберите Start> Administrative Tools> Certification Authority.

  2. Щелкните правой кнопкой мыши democa CA и затем нажмите Properties.

  3. На Вкладке Безопасность нажмите Administrators в Группе, или Имена пользователей перечисляют.

  4. В Разрешениях для администраторов перечисляют, проверяют, что эти опции собираются Позволить:

    • Выполните и управляйте сертификатами

    • Управляйте CA

    • Запросите сертификаты

    Если любой их собираются Запретить или не выбраны, заставьте разрешения Позволять.

    acs51-peap-deployment-14.gif

  5. Нажмите "OK" для закрытия democa диалогового окна CA Properties, и затем близкого Центра сертификации.

Добавьте компьютеры к домену

Выполните данные действия:

Примечание. Если компьютер уже добавлен к домену, продолжите Добавлять Пользователей к Домену.

  1. Откройте моментальный снимок Пользователей и компьютеров Active Directory - в.

  2. В дереве консоли разверните demo.local.

  3. Щелкните правой кнопкой мыши Компьютеры, нажмите New, и затем нажмите Computer.

  4. В диалоговом окне New Object - Computer введите имя компьютера в Поле Имя компьютера и нажмите Next. Данный пример использует Клиент имени компьютера.

    acs51-peap-deployment-15.gif

  5. В диалоговом окне Managed нажмите Next.

  6. В диалоговом окне New Object - Computer нажмите Finish.

  7. Повторите шаги 3 - 6, чтобы создать учетные записи дополнительного компьютера.

Позвольте беспроводной доступ компьютерам

Выполните данные действия:

  1. В дереве консоли Пользователей и компьютеров Active Directory нажмите папку Computers и щелкните правой кнопкой мыши на компьютере, для которого вы хотите назначить беспроводной доступ. Данный пример показывает процедуру с компьютерным клиентом, которого вы добавили в шаге 7. Нажмите Свойства, и затем перейдите к Вкладке наборный (телефонный) доступ.

  2. В Разрешениях Удаленного доступа выберите, предоставляют доступ и нажимают "OK".

    acs51-peap-deployment-16.gif

Добавьте пользователей к домену

Выполните данные действия:

  1. В дереве консоли Пользователей и компьютеров Active Directory щелкните правой кнопкой мыши по Пользователям, нажмите New, и затем нажмите User.

  2. В Новом Объекте – диалоговое окно User, введите имя пользователя беспроводной связи. Данный пример использует название wirelessuser в поле Имени, и wirelessuser в Пользовательском поле имени пользователя. Нажмите кнопку Next.

    acs51-peap-deployment-17.gif

  3. В Новом Объекте – диалоговое окно User, введите пароль своего выбора в Пароле и Подтвердите поля пароля. Очиститесь Пользователь должен изменить пароль в следующем флажке входа в систему, и нажать Next.

    acs51-peap-deployment-18.gif

  4. В Новом Объекте – диалоговое окно User, нажмите Finish.

  5. Повторите шаги 2 - 4, чтобы создать дополнительные учетные записи пользователя.

Позвольте беспроводной доступ пользователям

Выполните данные действия:

  1. В дереве консоли Пользователей и компьютеров Active Directory нажмите Папку Пользователи, щелкните правой кнопкой мыши по wirelessuser, нажмите Properties, и затем перейдите к Вкладке наборный (телефонный) доступ.

  2. В Разрешениях Удаленного доступа выберите, предоставляют доступ и нажимают "OK".

    acs51-peap-deployment-19.gif

Добавьте группы к домену

Выполните данные действия:

  1. В дереве консоли Пользователей и компьютеров Active Directory щелкните правой кнопкой мыши по Пользователям, нажмите New, и затем нажмите Group.

  2. В диалоговом окне New Object - Group введите имя группы в поле Имени группы и нажмите "OK". Этот документ использует имя группы wirelessusers.

    acs51-peap-deployment-20.gif

Добавьте Пользователей к wirelessusers Группе

Выполните данные действия:

  1. В подробной области Пользователей и компьютеров Active Directory дважды нажмите на группе WirelessUsers.

  2. Перейдите к вкладке Members и нажмите Add.

  3. В Выбрать Users, Contacts, Computers, или диалоговое окно Groups, вводит имя пользователей, которых вы хотите добавить к группе. Данный пример показывает, как добавить пользователя wirelessuser к группе. Нажмите кнопку ОК.

    acs51-peap-deployment-21.gif

  4. В диалоговом окне Multiple Names Found нажать "OK". wirelessuser учетная запись пользователя добавлена к wirelessusers группе.

    acs51-peap-deployment-22.gif

  5. Нажмите "OK", чтобы сохранить, изменяется на wirelessusers группу.

  6. Повторите эту процедуру для добавления большего количества пользователей к группе.

Добавьте Компьютеры клиента к wirelessusers Группе

Выполните данные действия:

  1. Повторите шаги 1 и 2 в Добавить Пользователей к wirelessusers Разделу группы этого документа.

  2. В Выбрать Users Contacts, или диалоговое окно Computers, вводит имя компьютера, который вы хотите добавить к группе. Данный пример показывает, как добавить компьютер, названный клиентом группе.

    acs51-peap-deployment-23.gif

  3. Нажмите Типы объекта, снимите флажок Users, и затем проверьте Компьютеры.

    acs51-peap-deployment-24.gif

  4. Дважды нажмите кнопку OK. Учетная запись Компьютера клиента добавлена к wirelessusers группе.

    acs51-peap-deployment-25.gif

  5. Повторите процедуру для добавления большего количества компьютеров к группе.

Cisco 1121 Безопасный ACS 5.1

Установка Использование устройства серии CSACS-1121

Устройство CSACS-1121 предварительно установлено с ACS 5.1 программных обеспечений. Этот раздел дает вам обзор процесса установки и задач, которые необходимо выполнить прежде, чем установить ACS.

  1. Подключите CSACS-1121 с консолью устройства и сетью. См. Главу 4, "Соединительные кабели."

  2. Включите устройство CSACS-1121. См. Главу 4, "Включая Устройство Серии CSACS-1121."

  3. Выполните команду настройки в приглашении CLI для настройки исходных параметров для сервера ACS. См. Выполнение Программы установки.

Установите сервер ACS

Этот раздел описывает процесс установки для сервера ACS на устройстве Серии CSACS-1121.

Для получения дальнейшей информации на установке Cisco Secure ACS Сервер обращаются к Установке и Руководству по обновлению для Системы управления доступом Cisco Secure 5.1.

Конфигурация контроллера Cisco WLC5508

Создайте необходимую конфигурацию для WPAv2/WPA

Выполните данные действия:

Примечание. Предположение - то, что контроллер имеет основное соединение к сети, и возможности IP - доступы к интерфейсу управления успешны.

  1. Перейдите к https://10.0.1.10, чтобы войти к контроллеру.

    acs51-peap-deployment-26.gif

  2. Нажмите кнопку Login (Вход).

  3. Войдите с admin пользователя по умолчанию и admin пароля по умолчанию.

  4. Создайте новый Интерфейс для сопоставления VLAN в соответствии с меню Controller.

  5. Нажмите интерфейсы.

  6. Щелкните New.

  7. В поле Имени интерфейса введите Сотрудника. (Это поле может быть любым значением, которое вы любите.)

  8. В поле ИДЕНТИФИКАТОРА VLAN войдите 20. (Это поле может быть любым VLAN, который переносят в сети.)

  9. Нажмите кнопку Apply.

  10. Настройте информацию как это Интерфейсы> показы Окна редактирования:

    • IP-адрес интерфейса - 10.0.20.2

    • Маска подсети - 255.255.255.0

    • Шлюз - 10.0.10.1

    • Основной DHCP - 10.0.10.10

    acs51-peap-deployment-27.gif

  11. Нажмите кнопку Apply.

  12. Нажмите вкладку WLAN.

  13. Выберите Create New, и нажмите Go.

  14. Введите Имя профиля, и, в поле SSID WLAN, введите Сотрудника.

    acs51-peap-deployment-28.gif

  15. Выберите ID для WLAN, и нажмите Apply.

  16. Настройте информацию для этого WLAN, когда появляются WLAN> Окно редактирования.

    Примечание. WPAv2 является выбранным методом шифрования Уровня 2 для этой лабораторной работы. Чтобы позволить WPA с клиентами MIC TKIP связываться к этому SSID, можно также проверить режим совместимости WPA и Позволить коробки Клиентов TKIP WPA2 или те клиенты, которые не поддерживают 802.11i метод шифрования AES.

  17. На WLAN> экран Edit, нажмите Вкладку Общие.

  18. Удостоверьтесь, что флажок Статуса установлен для Включенного, и соответствующий Интерфейс (сотрудник) выбран. Кроме того, удостоверьтесь, что проверили флажок Enabled для Широковещательного SSID.

    acs51-peap-deployment-29.gif

  19. Щелкните вкладку Безопасность.

  20. Под подменю Уровня 2 проверьте WPA + WPA2 для Безопасности Уровня 2. Для шифрования WPA2 проверьте AES + TKIP, чтобы позволить клиентам TKIP.

  21. Выберите 802.1x как метод аутентификации.

    acs51-peap-deployment-30.gif

  22. Пропустите подменю Уровня 3, поскольку оно не требуется. Как только сервер RADIUS настроен, соответствующий сервер может быть выбран из меню Authentication.

  23. QoS и Вкладки Дополнительно можно оставить в по умолчанию, если не требуются любые специальные конфигурации.

  24. Нажмите Меню системы безопасности для добавления сервера RADIUS.

  25. Под подменю RADIUS нажмите Authentication. Затем, нажмите New.

  26. Добавьте IP-адрес (10.0.10.20) сервера RADIUS, который является сервером ACS, настроенным ранее.

  27. Удостоверьтесь, что общий ключ совпадает с клиентом AAA, настроенным в сервере ACS. Удостоверьтесь, что флажок Пользователя сети установлен, и нажмите Apply.

    acs51-peap-deployment-31.gif

  28. Базовая конфигурация теперь завершена, и можно начать тестировать PEAP.

Аутентификация PEAP

PEAP с Версией MS-CHAP 2 требует сертификатов на серверах ACS, но не на беспроводных клиентах. Автоматическая регистрация компьютерных сертификатов для серверов ACS может использоваться для упрощения развертываний.

Чтобы настроить CA сервер для обеспечения автоматического зачисления для компьютера и сертификатов пользователя, завершите процедуры в этом разделе.

Примечание. Microsoft изменила шаблон Web-сервера с выпуском Windows 2003 Enterprise CA так, чтобы ключи больше не были экспортными, и опция является grayed. Нет никаких других шаблонов сертификата, предоставленных службами сертификации, которые являются для проверки подлинности сервера и предоставляют возможность для маркировки ключей как экспортных, которые доступны в выпадающем, таким образом, необходимо создать новый шаблон, который делает так.

Примечание. Windows 2000 обеспечивают экспортные ключи, и эти процедуры не должны быть выполнены при использовании Windows 2000.

Установите моментальный снимок шаблонов сертификата - в

Выполните данные действия:

  1. Выберите Start> Run, введите mmc, и нажмите "OK".

  2. На Меню Файл нажмите Add/Remove Snap - в, и затем нажмите Add.

  3. Под Моментальным снимком - в, дважды нажмите Certificate Templates, нажмите Close, и затем нажмите "OK".

  4. В дереве консоли нажмите Certificate Templates. Все шаблоны сертификата появляются в области Details.

  5. Чтобы обойти шаги 2 - 4, введите certtmpl.msc, который открывает моментальный снимок Шаблонов сертификата - в.

    acs51-peap-deployment-32.gif

Создайте шаблон сертификата для Web-сервера ACS

Выполните данные действия:

  1. В области Details моментального снимка Шаблонов сертификата - в, нажмите шаблон Web-сервера.

  2. На Меню Действие нажмите Duplicate Template.

    acs51-peap-deployment-33.gif

  3. В поле имени показа Шаблона введите ACS.

    acs51-peap-deployment-34.gif

  4. Перейдите к вкладке Request Handling, и проверка Позволяют секретному ключу экспортироваться. Также гарантируйте, что Подпись и Шифрование выбраны от раскрывающегося меню Цели.

    acs51-peap-deployment-35.gif

  5. Выберите Requests должен использовать один из придерживающихся CSP и проверить v1.0 Microsoft Base Cryptographic Provider. Анчек любые другие CSP, которые проверены, и нажимают "OK".

    acs51-peap-deployment-36.gif

  6. Перейдите к вкладке Subject Name, выберите Supply в запросе, и нажмите "OK".

    acs51-peap-deployment-37.gif

  7. Перейдите к Вкладке Безопасность, выделите Domain Admins Group, и удостоверьтесь, что опция Enroll проверена под Позволенным.

    Примечание. Если вы выбираете к сборке из этой информации Active Directory, только проверяют Пользовательское главное имя (UPN) и снятие Включать имя электронной почты в имени субъекта и Имя электронной почты, потому что имя электронной почты не было введено для учетной записи Пользователя беспроводной связи в моментальном снимке Пользователей и компьютеров Active Directory - в. Если вы не отключаете эти две опции, автоматическое зачисление пытается использовать электронную почту, которая приводит к ошибке автоматического зачисления.

  8. Существуют меры по дополнительным мерам безопасности при необходимости, чтобы препятствовать тому, чтобы сертификаты были автоматически выставлены. Они могут быть найдены под вкладкой Issuance Requirements. Это не обсуждено далее в этом документе.

    acs51-peap-deployment-38.gif

  9. Нажмите "OK", чтобы сохранить шаблон и перейти на издание этого шаблона от моментального снимка центра сертификации - в.

Включите новый шаблон сертификата Web-сервера ACS

Выполните данные действия:

  1. Откройте моментальный снимок Центра сертификации - в. Выполните шаги 1 - 3 в Создавание Шаблона сертификата для раздела Web-сервера ACS, выберите опцию Certificate Authority, выберите Local Computer, и нажмите Finish.

  2. В дереве консоли центра сертификации разверните ca.demo.local, и затем щелкните правой кнопкой мыши по Шаблонам сертификата.

  3. Перейдите Новый> Шаблон сертификата для Издания.

    acs51-peap-deployment-39.gif

  4. Нажмите шаблон сертификата ACS.

    acs51-peap-deployment-40.gif

  5. Нажмите "OK" и откройте моментальный снимок Пользователей и компьютеров Active Directory - в.

  6. В дереве консоли дважды нажмите Active Directory Users and Computers, щелкните правой кнопкой мыши по demo.local, и затем нажмите Properties.

    acs51-peap-deployment-41.gif

  7. На вкладке Group Policy нажмите Default Domain Policy, и затем нажмите Edit. Это открывает Редактора Объекта Групповой политики моментальный снимок - в.

    acs51-peap-deployment-42.gif

  8. В дереве консоли разверните Computer Configuration> Windows Settings> Security Settings> Политика Открытого ключа, и затем выберите Automatic Certificate Request Settings.

    acs51-peap-deployment-43.gif

  9. Щелкните правой кнопкой мыши Автоматические Параметры настройки Запроса сертификата, и выберите New> Automatic Certificate Request.

  10. На Приветствии к странице Automatic Certificate Request Setup Wizard нажмите Next.

  11. На странице Certificate Template нажмите Computer, и затем нажмите Next.

    acs51-peap-deployment-44.gif

  12. При завершении страницы Automatic Certificate Request Setup Wizard нажмите Finish. Компьютерный Тип сертификата теперь появляется в подробной области Редактора Объекта Групповой политики моментальный снимок - в.

    acs51-peap-deployment-45.gif

  13. В дереве консоли разверните Пользовательскую конфигурацию>> Security Windows Settings Параметры настройки> Политика Открытого ключа.

  14. В подробной области дважды нажмите Auto-enrollment Settings.

    acs51-peap-deployment-46.gif

  15. Выберите сертификаты Enroll автоматически, и проверка Возобновляют просроченные сертификаты, обновление сертификаты на ожидании и удаляют отозванные сертификаты и сертификаты Обновления то использование шаблоны сертификата.

    acs51-peap-deployment-47.gif

  16. Нажмите кнопку ОК.

ACS 5.1 Настроек Сертификата

Настройте экспортный сертификат для ACS

Примечание. Сервер ACS должен получить серверный сертификат из сервера узла CA предприятия, чтобы подтвердить подлинность клиента PEAP WLAN.

Примечание. Удостоверьтесь, что Диспетчер IIS не открыт во время процесса установки сертификата как проблемы причин с кэшируемой информацией.

  1. Войдите к серверу ACS с учетной записью администратора права.

  2. Перейдите к Администрированию системы> Конфигурация> Сертификаты Локального сервера. Нажмите Add.

    acs51-peap-deployment-48.gif

  3. Когда вы выбираете метод создания серверного сертификата, выбираете Generate Certificate Signing Request. Нажмите кнопку Next.

    acs51-peap-deployment-49.gif

  4. Введите сертификат подчиненная и длина ключа как пример, затем нажмите Finish:

    • Предмет сертификата - CN=acs.demo.local

    • Длина ключа - 1024

    acs51-peap-deployment-50.gif

  5. ACS вызовет это, запрос подписи сертификата генерировался. Нажмите кнопку ОК.

    acs51-peap-deployment-51.gif

  6. Под Администрированием системы перейдите к Конфигурации> Сертификаты Локального сервера> Открытые Запросы подписи.

    Примечание. Причина для этого шага состоит в том, что Windows 2003 не обеспечивает экспортные ключи, и необходимо генерировать запрос сертификата на основе Сертификата ACS, что вы создали ранее, который делает.

    acs51-peap-deployment-52.gif

  7. Выберите запись Запроса подписи сертификата, и нажмите Export.

    acs51-peap-deployment-53.gif

  8. Сохраните файл.pem сертификата ACS к рабочему столу.

    acs51-peap-deployment-54.gif

Установите Сертификат в ACS 5.1 программных обеспечений

Выполните данные действия:

  1. Откройте браузер и соединитесь с CA URL сервера http://10.0.10.10/certsrv.

    acs51-peap-deployment-55.gif

  2. Окно Microsoft Certificate Services появляется. Выберите Request сертификат.

    acs51-peap-deployment-56.gif

  3. Нажмите для отправки усовершенствованного запроса сертификата.

    acs51-peap-deployment-57.gif

  4. В расширенном запросе нажмите Submit, запрос сертификата использует base-64-encoded …

    acs51-peap-deployment-58.gif

  5. В поле Сохраненного запроса, если безопасность браузера разрешения, переходят к предыдущему файлу запроса сертификата ACS и вставляют.

    acs51-peap-deployment-59.gif

  6. Параметры безопасности браузера могут не позволить обращаться к файлу на диске. Если так, нажмите "OK" для выполнения ручной вставки.

    acs51-peap-deployment-60.gif

  7. Определите местоположение ACS *.pem файл от предыдущего экспорта ACS. Откройтесь файл используют текстовый редактор (например, Блокнот).

    acs51-peap-deployment-61.gif

  8. Выделите все содержание файла, и нажмите Copy.

    acs51-peap-deployment-62.gif

  9. Возвратитесь к окну запроса сертификата Microsoft. Вставьте скопированное содержание в поле Сохраненного запроса.

    acs51-peap-deployment-63.gif

  10. Выберите ACS в качестве Шаблона сертификата, и нажмите Submit.

    acs51-peap-deployment-64.gif

  11. Как только Сертификат Выполнен, выберите Base 64, закодированный, и нажмите сертификат Download.

    acs51-peap-deployment-65.gif

  12. Нажмите Сохраняют, чтобы сохранить сертификат рабочему столу.

    acs51-peap-deployment-66.gif

  13. Перейдите к ACS> Администрирование системы> Конфигурация> Сертификаты Локального сервера. Выберите Bind CA Signed Certificate, и нажмите Next.

    acs51-peap-deployment-67.gif

  14. Нажмите Переходят, и определяют местоположение сохраненного сертификата.

    acs51-peap-deployment-68.gif

  15. Выберите сертификат ACS, который был выполнен CA сервер, и нажмите Open.

    acs51-peap-deployment-69.gif

  16. Кроме того, установите флажок Протокола для EAP, и нажмите Finish.

    acs51-peap-deployment-70.gif

  17. CA выполненный сертификат ACS появится в ACS локальный сертификат.

    acs51-peap-deployment-71.gif

Настройте идентификационное хранилище ACS для Active Directory

Выполните данные действия:

  1. Соединитесь с ACS и войдите с Учетной записью администратора.

  2. Перейдите к Пользователям, и Идентичность Хранит>, Внешняя Идентичность Хранит> Active Directory.

    acs51-peap-deployment-72.gif

  3. Введите Домен Active Directory demo.local, введите пароль сервера, и нажмите Test Connection. Нажмите OK, чтобы продолжить.

    acs51-peap-deployment-73.gif

  4. Нажмите кнопку Save Changes (Сохранить изменения).

    acs51-peap-deployment-74.gif

    Примечание. Для получения дополнительной информации по ACS 5.x процедура интеграции обращаются к ACS 5.x и позже: Интеграция с Примером конфигурации Microsoft Active Directory.

Добавьте контроллер к ACS как клиент AAA

Выполните данные действия:

  1. Соединитесь с ACS, и перейдите к Сетевым ресурсам> Сетевые устройства и Клиенты AAA. Нажмите кнопку Create.

    acs51-peap-deployment-75.gif

  2. Введите в эти поля:

    • Name: wlc

    • IP - 10.0.1.10

    • Флажок RADIUS - Проверенный

    • Общий secret Cisco

    acs51-peap-deployment-76.gif

  3. Нажмите Подвергаются когда закончено. Контроллер появится, поскольку запись в Сетевых устройствах ACS перечисляет.

    acs51-peap-deployment-77.gif

Настройте политику доступа ACS для беспроводных сетей

Выполните данные действия:

  1. В ACS перейдите к Политике доступа> Службы доступа.

    acs51-peap-deployment-78.gif

  2. В окне Access Services нажмите Create.

    acs51-peap-deployment-79.gif

  3. Создайте службу доступа, и введите имя (например, WirelessAD). Выберите шаблон службы Based on, и нажмите Select.

    acs51-peap-deployment-80.gif

  4. В Диалоговом окне Веб-страницы выберите Network Access – Простой. Нажмите кнопку ОК.

    acs51-peap-deployment-81.gif

  5. В Диалоговом окне Веб-страницы выберите Network Access – Простой. Нажмите кнопку ОК. Как только шаблон выбран, нажмите Next.

    acs51-peap-deployment-82.gif

  6. В соответствии с Позволенными Протоколами, установите флажки для, Позволяют MSCHAPv2 и Позволяют PEAP. Нажмите кнопку Finish.

    acs51-peap-deployment-83.gif

  7. Когда ACS побуждает вас для активации новой службы, нажмите Yes.

    acs51-peap-deployment-84.gif

  8. В новой службе доступа, которая была просто создана/активирована, разверните и выберите Identity. Для Идентификационного Источника нажмите Select.

    acs51-peap-deployment-85.gif

  9. Выберите AD1 for Active Directory, который был настроен в ACS, нажать "OK".

    acs51-peap-deployment-86.gif

  10. Подтвердите, что Идентификационный Источник является AD1, и нажмите Save Changes.

    acs51-peap-deployment-87.gif

Создайте политику доступа ACS и сервисное правило

Выполните данные действия:

  1. Перейдите к Политике доступа> Сервисные Правила выбора.

    acs51-peap-deployment-88.gif

  2. Нажмите Создают в Сервисном Окне политики Выбора. Дайте новому правилу название (например, WirelessRule). Установите флажок для Протокола для соответствия с Радиусом.

    acs51-peap-deployment-89.gif

  3. Выберите Radius, и нажмите "OK".

    acs51-peap-deployment-90.gif

  4. Под Результатами выберите WirelessAD for Service (созданный в предыдущем шаге).

    acs51-peap-deployment-91.gif

  5. Как только новое беспроводное правило создано, выберите и переместите это правило в вершину, которая будет первым правилом определить беспроводную проверку подлинности RADIUS используя Active Directory.

    acs51-peap-deployment-92.gif

Конфигурация клиента для PEAP использует Windows Zero Touch

В нашем примере КЛИЕНТ является компьютером, который выполняет Windows XP Professional с SP, который действует как беспроводной клиент и получает доступ к ресурсам Интранет через беспроводной AP. Завершите процедуры в этом разделе, чтобы настроить КЛИЕНТ как беспроводного клиента.

Выполните Basic Installation и Configuraiton

Выполните данные действия:

  1. Соединитесь КЛИЕНТ к сегменту сети Интранет используют Кабель Ethernet, связанный с концентратором.

  2. У КЛИЕНТА установите Windows XP Professional с SP2 как задействованный компьютер под названием КЛИЕНТ demo.local домена.

  3. Установите Windows XP Professional с SP2. Это должно быть установлено, чтобы иметь поддержку PEAP.

    Примечание. Windows Firewall автоматически включен в Windows XP Professional с SP2. Не выключайте межсетевой экран.

Установите адаптер беспроводной сети

Выполните данные действия:

  1. Завершите Компьютер клиента.

  2. Разъедините Компьютер клиента от сегмента сети Интранет.

  3. Перезапустите Компьютер клиента, и затем войдите в систему используя учетной записи локального администратора.

  4. Установите адаптер беспроводной сети.

    Примечание. Не устанавливайте программное обеспечение конфигурации изготовителя для беспроводного адаптера. Установите драйверы адаптера беспроводной сети используя Добавить Мастер оборудования. Кроме того, когда вызвано, предоставьте CD, предоставленный изготовителем или диском с обновленными драйверами для использования с Windows XP Professional с SP2.

Настройте беспроводное сетевое соединение

Выполните данные действия:

  1. Выйдите из системы и затем войдите используя учетная запись WirelessUser в demo.local домене.

  2. Выберите Start> Control Panel, дважды нажмите Network Connections, и затем щелкните правой кнопкой мыши по Беспроводному сетевому соединению.

  3. Нажмите Свойства, перейдите к вкладке Wireless Networks, и удостоверьтесь, что проверен Windows Использования для настройки моих параметров настройки беспроводной сети.

    acs51-peap-deployment-93.gif

  4. Нажмите Add.

  5. Под вкладкой Association введите Сотрудника в Сетевое имя (SSID) поле.

  6. Выберите WPA для Сетевой проверки подлинности, и удостоверьтесь, что Шифрование данных установлено в TKIP.

    acs51-peap-deployment-94.gif

  7. Нажмите вкладку Authentication.

  8. Проверьте того типа EAP, настроен для использования Защищенного EAP (PEAP). Если это не, выберите его из раскрывающегося меню.

  9. Если вы хотите, чтобы машина была заверена до входа в систему (который позволяет сценариям регистрации или толчкам групповой политики быть примененными), проверка Подтверждают подлинность как компьютер, когда сведения о компьютере доступны.

    acs51-peap-deployment-95.gif

  10. Нажмите Properties.

  11. Поскольку PEAP включает аутентификацию Сервера клиентом, гарантируйте, что проверен Проверить серверный сертификат. Кроме того, удостоверьтесь CA, который вышел, сертификат ACS проверен в соответствии с меню Trusted Root Certification Authorities.

  12. Выберите пароль Secured (MSCHAP EAP v2) под Методом аутентификации, поскольку это используется для внутренней аутентификации.

    acs51-peap-deployment-96.gif

  13. Удостоверьтесь, что проверено Включение Быстрого флажка Reconnect. Затем, нажмите "OK" три раза.

  14. Щелкните правой кнопкой мыши значок беспроводного сетевого соединения в systray, и затем нажмите View Available Wireless Networks.

  15. Нажмите беспроводную сеть Сотрудника, и затем нажмите Connect. Если соединение будет успешно, беспроводной клиент покажет Связанный.

    acs51-peap-deployment-97.gif

  16. После того, как аутентификация успешна, проверьте конфигурацию TCP/IP для беспроводного адаптера при помощи Сетевых подключений. Это должно иметь диапазон адресов 10.0.20.100-10.0.20.200 от области DHCP или области, созданной для беспроводных клиентов CorpNet.

  17. Чтобы протестировать функциональность, откройте браузер и перейдите к http://10.0.10.10 (или IP-адрес CA сервер).

Устраните неполадки беспроводной аутентификации с ACS

Выполните данные действия:

  1. Перейдите к ACS> Отслеживание и сообщение, и нажмите Launch Monitoring & Report Viewer.

    acs51-peap-deployment-98.gif

  2. Отдельное окно ACS откроется. Нажмите Информационную панель.

    acs51-peap-deployment-99.gif

  3. В Моем Любимом разделе Отчётов нажмите Authentications – RADIUS – Сегодня.

    acs51-peap-deployment-100.gif

  4. Журнал покажет все Проверки подлинности RADIUS или как Проход или как Сбой. В зарегистрированной записи щелкните по значку лупы в столбце Details.

    acs51-peap-deployment-101.gif

  5. Подробность Проверки подлинности RADIUS предоставит много информации о зарегистрированных попытках.

    acs51-peap-deployment-102.gif

  6. Количество Соответствия Службы ACS может предоставить обзор попыток, совпадающих с правилом (ами), созданным в ACS. Перейдите к ACS> Политика доступа> Службы доступа, и нажмите Service Selection Rules.

    acs51-peap-deployment-103.gif

Сбои аутентификации PEAP с сервером ACS

Когда ваша клиентская аутентификация PEAP сбоев с сервером ACS, проверьте, находите ли вы сообщение об ошибках NAS duplicated authentication attempt в опции Неудачных попыток в соответствии с меню Report и Activity ACS.

Вы могли бы получить это сообщение об ошибках, когда SP2 Microsoft Windows XP установлен на клиентском компьютере, и SP2 Windows XP подтверждает подлинность против сервера третьей стороны кроме сервера Microsoft IAS. В частности сервер CISCO RADIUS (ACS) использует другой метод для вычисления Расширяемого протокола аутентификации формат Type:Length:Value (TLV EAP) ID, чем метод использование Windows XP. Microsoft определила это как дефект в соискателе SP2 XP.

Для исправления обратитесь Microsoft и обратитесь к аутентификации PEAP статьи, не успешно, когда вы соединяетесь со сторонним сервером RADIUS leavingcisco.com. Основная проблема - то, что на клиентской стороне, со служебной программой Windows, Быстрая опция Reconnect отключена для PEAP по умолчанию. Однако эта опция включена по умолчанию на стороне сервера (ACS). Чтобы решить этот вопрос, снятие Быстрая опция Reconnect на сервере ACS (под Опциями Глобальной системы). Альтернативно, можно включить Быструю опцию Reconnect на клиентской стороне решить вопрос.

Perorm, которые эти шаги, чтобы включить Быстро, Повторно подключают у клиента, который выполняет Windows XP, используют Служебную программу Windows:

  1. Перейдите к Пуску> Настройка> Панель управления.

  2. Дважды нажмите значок Сетевых подключений.

  3. Щелкните правой кнопкой мыши значок Беспроводного сетевого соединения, и затем нажмите Properties.

  4. Выберите вкладку Wireless Networks (Беспроводные сети).

  5. Выберите Use Windows для настройки моего параметра настройки беспроводной сети, чтобы включить окна настроить клиентский адаптер.

  6. Если вы уже настроили SSID, выбираете SSID и нажимаете Properties. В противном случае нажмите New, чтобы добавить новый WLAN.

  7. Введите SSID под вкладкой Association. Удостоверьтесь, что Сетевая проверка подлинности Открыта, и Шифрование данных установлено в WEP.

  8. Нажмите аутентификацию.

  9. Выберите Включать аутентификацию IEEE 802.1x для этого параметра Network.

  10. Выберите PEAP в качестве Типа EAP, и нажмите Properties.

  11. Выберите Включение Быстрой опции Reconnect внизу страницы.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 116428