¿Tiene una cuenta?
Este documento demuestra cómo configurar el protocolo extensible authentication protegido (PEAP) con Cisco ACS seguro para la versión de Windows 3.2.
Para más información sobre cómo configurar el acceso de red inalámbrica seguro usando los reguladores inalámbricos LAN, el software de Microsoft Windows 2003, y el Cisco Secure Access Control Server (ACS) 4.0, refieren al PEAP bajo redes inalámbricas unificadas con ACS 4.0 y Windows 2003.
No hay requisitos previos específicos para este documento.
La información que contiene este documento se basa en las versiones de software y hardware indicadas a continuación.
Cisco ACS seguro para la versión de Windows 3.2
Servicios de certificado de Microsoft (instalados como Enterprise root certificate authority [CA])
El DNS mantiene con Windows 2000 Server con el Service Pack 3
Nota: Si experimenta problemas en el Servidor CA, instale hotfix 323172. El cliente del Windows 2000 SP3 requiere el hotfix 313664
activar la autenticación del 802.1x de IEEE.
Unto de acceso de red inalámbrica 12.01T del Cisco Aironet de la serie 1200
IBM ThinkPad T30 que funciona con al profesional de Windows XP con el Service Pack 1
La Información presentada en este documento fue creada de los dispositivos en un entorno específico del laboratorio. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo.
El PEAP y el EAP-TLS construyen y utilizan un túnel del Socket Layer TLS/Secure (SSL). El PEAP utiliza solamente la autenticación del lado servidor; solamente el servidor tiene un certificado y prueba su identidad al cliente. El EAP-TLS, sin embargo, utiliza la autenticación recíproca en la cual el servidor y los clientes ACS (autenticación, autorización, y [AAA] de las estadísticas) tienen Certificados y prueban sus identidades el uno al otro.
El PEAP es conveniente porque los clientes no requieren los Certificados. El EAP-TLS es útil para autenticar los dispositivos sin encabezado, porque los Certificados no requieren ninguna interacción del usuario.
Para más información sobre los convenios del documento, vea los convenios de los consejos técnicos de Cisco.
Este documento utiliza la instalación de red que se muestra en el siguiente diagrama.
Siga los siguientes pasos para configurar ACS 3.2.
Especifique las autoridades de certificado adicionales en las que debería confiar el ACS (Servidor de control de acceso seguro).
Reinicie el servicio y configure los parámetros de PEAP en ACS.
Especificar y configurar el punto de acceso como un cliente AAA.
Siga los siguientes pasos para obtener un certificado.
En el servidor ACS, abra un explorador de Internet y busque el servidor CA; para ello, introduzca http://CA-ip-address/certsrv en la barra de direcciones. Iniciar sesión en el dominio como Administrador.
Seleccione la petición un certificado, y después haga clic después.
Selecccione Advanced request (Petición avanzada) y luego haga clic en Next (Siguiente).
Seleccione Submit a certificate request to this CA using a form (Enviar una petición de certificado a esta CA mediante un formulario) y luego haga clic en Next (Siguiente).
Configure las opciones del certificado.
Seleccione Servidor Web como plantilla de certificado. Ingrese el nombre del servidor ACS.
Establezca el tamaño de clave en 1024. Seleccione las opciones para las claves de marca como exportables y Usar almacenamiento de máquina local. Configure las otras opciones que sean necesarias y luego haga clic en Submit (Enviar).
Nota: Si se abre una ventana de advertencia acerca de la falta de cumplimiento de una secuencia de comandos (depende de la configuración de privacidad/seguridad de su navegador), haga clic en Yes (Sí) para continuar.
Haga clic en Install this certificate (Instalar este certificado).
Nota: Si se abre una ventana de advertencia acerca de la falta de cumplimiento de una secuencia de comandos (depende de la configuración de privacidad/seguridad de su navegador), haga clic en Yes (Sí) para continuar.
Si la instalación se ha realizado con éxito, verá un mensaje de confirmación
Siga los siguientes pasos para configurar ACS para utilizar el certificado en el almacenamiento.
Abra un explorador de Web e ingrese http://ACS-ip-address:2002/ en la barra de direcciones para buscar el servidor ACS. Haga clic en Configuración del sistema, y luego en Instalación de certificado ACS.
El tecleo instala el certificado ACS.
Seleccione Use Certificate from storage (Usar certificado desde almacenamiento). En el campo NC del certificado, ingrese el nombre del certificado que usted asignó en el paso 5a de la sección obtiene un certificado para el servidor ACS. Haga clic en Submit (Enviar).
Esta entrada debe hacer juego el nombre que usted pulsó en el campo de nombre durante la solicitud de certificado avanzada. Es el nombre NC en el campo Subject del certificado de servidor; usted puede corregir el certificado de servidor para controlar para saber si hay este nombre. En este ejemplo, el nombre es “OurACS”. No ingrese el nombre NC del emisor.
Cuando la configuración haya finalizado, verá un mensaje de confirmación indicando que la configuración del servidor ACS ha sido modificada.
Nota: No es necesario que reinicie el ACS ahora.
El ACS confiará automáticamente en la Autoridad de certificación que emitió su propio certificado. Si los certificados del cliente son publicados por el CAs adicional, después usted necesita completar los pasos siguientes.
Haga clic en Configuración del sistema, y luego en Instalación de certificado ACS.
Haga clic la disposición de la autoridad de certificación ACS para agregar el CAs a la lista de certificados confiables. En el campo para el archivo de certificado CA, ingrese la ubicación del archivo y luego haga clic en Submit (Enviar).
El tecleo corrige Certificate Trust List (Lista de confianza del certificado). Controle todo el CAs que el ACS debe confiar en, y uncheck todo el CAs que el ACS no debe confiar en. Haga clic en Submit (Enviar).
Siga los siguientes pasos para recomenzar el servicio y para configurar las configuraciones PEAP.
Haga clic en System Configuration (Configuración del sistema), y luego en Service Control (Control del servicio).
Haga clic el reinicio para recomenzar el servicio.
Para configurar las configuraciones PEAP, haga clic la configuración del sistema, y después haga clic la disposición global de la autenticación.
Controle las dos configuraciones mostradas abajo, y deje el resto de las configuraciones como valor por defecto. Si usted desea, usted puede especificar las configuraciones adicionales, tales como permiso rápidamente vuelve a conectar. Cuando haya finalizado, haga clic en Submit (Enviar).
Permita EAP-MSCHAPv2
Permita la autenticación de la versión MS-CHAP 2
Nota: Para más información sobre rápido conecte, refiera a las “opciones de configuración de autenticación” en configuración del sistema: Autenticación y Certificados.
Siga los siguientes pasos para configurar el punto de acceso como cliente AAA.
Haga clic en la configuración de red. En los clientes AAA, haga clic en Add Entry (Agregar entrada).
Ingrese el hostname AP en Nombre del host del cliente AAA el campo y su IP address en el campo del IP address del cliente AAA. Ingrese una clave secreta compartida para el ACS y el AP en el campo clave. Seleccione RADIUS (Cisco Aironet) como el método de autenticación. Cuando haya finalizado, haga clic en Submit (Enviar).
Siga los siguientes pasos para configurar las Bases de datos de usuarios externas.
Nota: Solamente ACS 3.2 utiliza PEAP-MS-CHAPv2 con la autenticación de la máquina a una base de datos de Windows.
Las Bases de datos de usuarios externas del tecleo, y entonces hacen clic la configuración de la base de datos. Base de datos de Windows del tecleo.
Nota: Si no hay base de datos de Windows definida ya, el tecleo crea la nueva configuración, y después hace clic somete.
Haga clic en Configure (Configurar). Desde Configurar lista de dominio, mueva el dominio SEC-SYD de los dominios disponibles a la lista de dominio.
Para activar la autenticación de la máquina, bajo configuraciones de Windows EAP controle la opción para permitir la autenticación de la máquina PEAP. No cambie el prefijo de nombre de la autenticación de la máquina. Microsoft actualmente utiliza "/host" (el valor predeterminado) para hacer la distinción entre la autenticación del usuario y de la máquina. Si usted desea, controle la opción para saber si hay cambio de la contraseña del permiso dentro del PEAP. Cuando haya finalizado, haga clic en Submit (Enviar).
Las Bases de datos de usuarios externas del tecleo, y entonces hacen clic la Política de usuario desconocido. Seleccione la opción para el control las Bases de datos de usuarios externas siguientes, después utilice el botón de la flecha correcta (- >) para mover la base de datos de Windows desde las bases de datos externas a las bases de datos seleccionadas. Cuando haya finalizado, haga clic en Submit (Enviar).
Cuando haya terminado de configurar ACS, siga los siguientes pasos para reiniciar el servicio.
Haga clic en System Configuration (Configuración del sistema), y luego en Service Control (Control del servicio).
Haga clic el reinicio.
Siga los siguientes pasos para configurar el AP para utilizar el ACS como el servidor de la autenticación.
Abrir un explorador de Web y navegar hacia AP ingresando a http://AP-ip-address/certsrv en la barra de direcciones. En la barra de herramientas, haga clic en Setup (Configuración).
En Services (Servicios), haga clic en Security (Seguridad).
Haga clic el servidor de la autenticación.
Nota: Si ha configurado cuentas en AP, deberá iniciar sesión.
Ingrese las configuraciones de la configuración del authenticator.
Seleccione 802.1x-2001 para la versión de protocolo 802.1x (para autenticación EAP).
Ingrese el IP address del servidor ACS en el campo del servidor Name/IP.
Seleccione RADIUS como el tipo de servidor.
Ingrese 1645 o 1812 en el campo de puerto.
Ingrese la clave secreta compartida que usted especificó en el paso 2 Specify y Configure el Punto de acceso como cliente AAA.
Controle la opción para saber si hay autenticación EAP para especificar cómo el servidor debe ser utilizado.
Cuando haya finalizado, haga clic en OK (Aceptar).
Haga clic en Radio Data Encryption (WEP) (Cifrado de datos de Radio (WEP)).
Ingrese las configuraciones de encripción de los datos internos.
Seleccione Full Encryption (Cifrado completo) para establecer el nivel de encripción de datos.
Ingrese una clave de encripción y fije el tamaño de clave al bit 128 que se utilizará como clave de la difusión.
Cuando haya finalizado, haga clic en OK (Aceptar).
Confirme que usted está utilizando el Service Set Identifier (SSID) correcto yendo al Network (Red) > Service Sets (Conjuntos de servicios) > Select the SSID Idx (Seleccionar el SSID Idx), y haga clic la AUTORIZACIÓN cuando le acaban.
El ejemplo que aparece abajo muestra el "tsunami" de SSID predeterminado.
Siga los siguientes pasos para configurar ACS 3.2.
Configure la inscripción automática de la máquina del certificado ms.
Instale manualmente el certificado raíz en el cliente de Windows.
Siga los siguientes pasos para configurar el dominio para la inscripción automática del certificado de la máquina en el regulador Kant del dominio.
Van al panel de control > las herramientas administrativas > los usuarios de directorio activo y computadora abiertos.
Haga clic con el botón secundario del mouse en el dominio sec-syd y seleccione Properties (Propiedades) en el submenú.
Seleccione la política de dominio del valor por defecto del tecleo de cuadro de la directiva del grupo, y después haga clic corrigen.
Vaya al Computer Configuration (Configuración de computadora) > Windows Settings (Configuración de Windows) > Security Settings (Configuración de seguridad) > Public Key Policies (Políticas de clave pública) > Automatic Certificate Request Settings (Configuración automática de petición de certificados).
En la barra de menú, vaya al Action (Acción) > New (Nuevo) > Automatic Certificate Request (Petición automática de certificado) y haga clic en Next (Siguiente).
Seleccione Computadora y haga clic en Siguiente.
Controle el CA.
En este ejemplo, el CA se nombra “nuestro TAC CA”
Tecleo después, y entonces clic en Finalizar.
Siga los siguientes pasos para agregar al cliente de red inalámbrica al dominio.
Nota: Para realizar estos pasos, el cliente inalámbrico debe tener conectividad al CA, a través de una conexión cableada o de la conexión inalámbrica con la seguridad 802.1x desactivada.
Clave a Windows XP como administrador local.
Vaya al Control Panel (Panel de control) > Performance and Maintenance (Rendimiento y mantenimiento) > System (Sistema).
Seleccione la ficha Computer Name (Nombre de la computadora) y luego haga clic en Change (Cambiar). Ingrese el nombre de host en el campo para el nombre de computadora. Seleccione el dominio y luego ingrese el nombre del dominio (SEC-SYD en este ejemplo). Click OK.
Cuando aparece un cuadro de diálogo de acceso al sistema, únase al dominio conectándose con una cuenta que tenga permiso para unirse al dominio.
Una vez que la computadora se haya unido correctamente al dominio, reiníciela. La máquina será un miembro del dominio; puesto que hemos puesto la inscripción automática de la máquina, la máquina tendrá un certificado para el CA instalado así como un certificado para la autenticación de la máquina.
Siga los siguientes pasos para instalar manualmente el certificado raíz.
Nota: Si usted ha puesto ya la inscripción automática de la máquina, usted no necesita este paso. Salte por favor para configurar la red inalámbrica.
En la máquina de cliente de Windows, abra a un buscador Web y hojee al servidor de Microsoft CA ingresando http:// root-CA-ip-address/certsrv en la barra de dirección. Ábrase una sesión al sitio CA.
En este ejemplo, la dirección IP Ca es 10.66.79.241.
Seleccione Retrieve the CA certificate or certification revocation list (Recuperar certificado de CA o lista de revocación de certificación) y haga clic en Next (Siguiente).
Haga clic el certificado CA de la transferencia directa para salvar el certificado en la máquina local.
Abra el certificado y el tecleo instala el certificado.
Nota: En el ejemplo abajo, el icono en la superior izquierda indica que el certificado todavía no está confiado en (instalado).
Instale el certificado en las autoridades de certificación actuales de la Raíz confiable del usuario.
Haga clic en Next (Siguiente).
Seleccione automáticamente selecto el almacén de certificados basado en el tipo del certificado y haga clic después.
Clic en Finalizar para colocar el certificado raíz automáticamente bajo autoridades de certificación actuales de la Raíz confiable del usuario.
Siga los siguientes pasos para fijar las opciones para la red inalámbrica.
Ábrase una sesión al dominio como Domain User.
Vaya al Control Panel (Panel de control) > Network and Internet Connections (Conexiones de red e Internet) > Network Connections (Conexiones de red). Haga clic con el botón secundario del mouse en Wireless Connection (Conexión inalámbrica) y en el submenú que aparece, seleccione Properties (Propiedades).
Seleccione las redes inalámbricas que cuadro selecciona la red inalámbrica (visualizada usando el nombre SSID del AP) de la lista de redes disponibles, y después haga clic configuran.
En la ficha Authentication (Autenticación) de la ventana de propiedades de la red, seleccione la opción para activar la autenticación IEEE 802.1x en esta red. Para el tipo EAP, seleccione EAP protegido (PEAP) para el tipo EAP, y después haga clic las propiedades.
Nota: Para habilitar la autenticación mediante la máquina, verifique la opción Autentícate as computer (Autenticar como computadora) cuando la información de computadora esté disponible.
El control valida el certificado de servidor, y después controla raíz CA para saber si hay la empresa usada por los clientes PEAP y los dispositivos ACS. Seleccione la contraseña segura (EAP-MSCHAP v2) para el método de autenticación, y después haga clic configuran.
En este ejemplo, raíz CA se nombra “nuestro TAC CA”
Para activar solo muestra-en, controlan la opción para saber si hay automáticamente utilizan mi nombre de inicio y contraseña (y dominio de Windows si ninguno). Haga clic la AUTORIZACIÓN para validar esta configuración, y después haga clic la AUTORIZACIÓN otra vez para volver a la ventana de las propiedades Propiedades de la red.
Con la conexión simple a PEAP, el cliente utiliza su nombre de usuario de ingreso Windows para la autenticación de PEAP, por lo que no necesita escribir la contraseña por segunda vez.
En la ficha Association (Asociación) de la ventana de propiedades de la red, marque las opciones para Data encryption (WEP enabled) (Cifrado de datos [habilitación WEP] y The key is provided for me automatically (La clave se proporciona automáticamente para mí). Haga clic en OK (Aceptar) y, a continuación, en OK (Aceptar) otra vez para cerrar la ventana de configuración de red.
En esta sección encontrará información que puede utilizar para confirmar que su configuración esté funcionando correctamente.
Para verificar que hayan autenticado al cliente de red inalámbrica, en el cliente de red inalámbrica va al Control Panel (Panel de control) > Network and Internet Connections (Conexiones de red e Internet) > Network Connections (Conexiones de red). En la barra de menú, vaya al View (Ver) > Titles (Títulos). La conexión inalámbrica debería mostrar el mensaje “Autenticación exitosa”
Para verificar que hayan autenticado a los clientes de red inalámbrica, en la interfaz Web ACS va al Reports and Activity (Informes y actividad) > Passed Authentications (Autenticaciones aprobadas) > Passed Authentications active.csv (Autenticaciones aprobadas active.csv).
En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.
Verifique que el ms que los servicios del certificado ha estado instalado como empresa raíz CA en Windows 2000 Advanced Server con el Service Pack 3. Hotfixes 323172 y 313664 deba ser instalado después de que los servicios del certificado ms estén instalados. Si reinstalan a los servicios del certificado ms, el hotfix 323172 debe también ser reinstalado.
Verifique que esté usando Cisco Secure ACS para Windows versión 3.2 con Windows 2000 y Service Pack 3. Asegúrese de que los hotfixes 323172 y 313664 hayan estado instalados.
Si la autenticación de la máquina falla en el cliente de red inalámbrica, no habrá conectividad de red en la conexión de red inalámbrica. Sólo las cuentas que tengan sus perfiles almacenados en la memoria caché del cliente inalámbrico podrán cargarse en el dominio. Será necesario conectar la máquina a una red cableada o configurar una conexión inalámbrica sin seguridad 802.1x.
Si el enlistamiento automático con el CA falla al unirse al dominio, espectador del evento del control por las razones posibles. Intente controlar las configuraciones DNS en la computadora portátil.
Si el certificado ACS es rechazado por el cliente (de quien depende del certificado válido “” y “” a las fechas, a las configuraciones de la fecha y hora del cliente, y a la confianza CA), después el cliente la rechazará y la autenticación fallará. El ACS registrará la autenticación fallada en la interfaz Web bajo los informes y la actividad > los intentos fallidos > intentos fallidos XXX.csv con el código de falla de la autenticación similar al “EAP-TLS o la autenticación PEAP fallada durante el contacto SSL.” El mensaje de error esperado en el archivo CSAuth.log es similar al siguiente.
AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: other side probably didn't accept our certificate
En abre una sesión la interfaz Web ACS, bajo ambos informes y la actividad > las autenticaciones pasajeras > las autenticaciones pasajeras XXX.csv y la actividad de Reportsand > los intentos fallidos > los intentos fallidos XXX.csv, las autenticaciones PEAP se muestran en el formato <DOMAIN> \ <user-id>. Las autenticaciones del EAP-TLS se muestran en el <user-id>@<domain> del formato.
Para utilizar el PEAP rápido vuelva a conectar, usted debe activar esta característica en el servidor ACS y el cliente.
Si se ha activado el cambio de contraseña PEAP, usted puede cambiar la contraseña solamente cuando la contraseña de una cuenta ha envejecido o cuando la cuenta se marca para tener su contraseña cambiada en la clave siguiente.
Puede verificar el certificado y la fiabilidad del servidor ACS con los pasos a continuación.
Ingrese a Windows en el servidor ACS con una cuenta que tenga privilegios de administrador. Abra Microsoft Management Console yendo al Start (Inicio) > Run (Ejecutar), al mmc que pulsa, y a la AUTORIZACIÓN que hace clic.
En la barra de menú, vaya al Console (Consola) > Add/Remove Snap-in (Agregar/Remover complemento), y después haga clic agregan.
Seleccione Certificates (Certificados) y haga clic en Add (Agregar)
Seleccione Computer account (Cuenta de computadora), haga clic en Next (Siguiente) y luego seleccione Local computer (Computadora local [la computadora en la cual se ejecuta esta consola]).
Haga clic en Finish (Finalizar), luego en Close (Cerrar) y por último en OK (Aceptar).
Para verificar que el servidor ACS tenga un certificado en el lado del servidor válido, vaya a la Raíz de la consola > a los Certificados (computadora local) > ACSCertStore > los Certificados. Verifique si existe un certificado para el servidor ACS (denominado OurACS en este ejemplo). Abra el certificado y verifique los siguientes elementos.
No existe advertencia que indique que el certificado no ha sido verificado para todos los propósitos deseados
No existe advertencia que indique que el certificado no sea seguro
"Este certificado tiene como objetivo – Asegura la identidad de una computadora remota."
El certificado no ha caducado y ahora es válido (verifique las fechas de inicio y fin).
”Usted posee una clave privada que corresponde a este certificado.”
En la ficha Details (Detalles), verifique que el campo Version (Versión) tenga el valor V3 y que el campo Enhanced Key Usage (Uso mejorado de claves) tenga autenticación de servidor (1.3.6.1.5.5.7.3.1).
Para verificar que el servidor ACS confíe en el servidor CA, vaya a la Raíz de la consola > a los Certificados (computadora local) > los Trusted Root Certification Authority > los Certificados. Verifique que existe un certificado para el servidor CA (denominado Nuestro TAC CA en este ejemplo). Abra el certificado y verifique los siguientes elementos.
No existe advertencia que indique que el certificado no ha sido verificado para todos los propósitos deseados
No existe advertencia que indique que el certificado no sea seguro
El objetivo deseado del certificado es correcto.
El certificado no ha caducado y ahora es válido (verifique las fechas de inicio y fin).
Si ACS y el cliente no usaron la misma raíz CA, entonces verifique que se haya instalado la cadena completa de los certificados de los servidores CA. Se aplica lo mismo si el certificado se obtuvo de una autoridad certificada menor
Usted puede verificar la confianza del cliente siguiendo los pasos abajo.
Ábrase una sesión a Windows en el cliente de red inalámbrica con la cuenta del cliente. Abra Microsoft Management Console yendo al Start (Inicio) > Run (Ejecutar), al mmc que pulsa, y a la AUTORIZACIÓN que hace clic.
En la barra de menú, vaya al Console (Consola) > Add/Remove Snap-in (Agregar/Remover complemento), y después haga clic agregan.
Seleccione Certificates (Certificados) y haga clic en Add (Agregar)
El cierre del tecleo, y entonces hace clic la AUTORIZACIÓN.
Para verificar que el perfil del cliente confíe en el servidor CA, vaya al Console Root (Raíz de consola) > Certificates - Current User (Certificados - Usuario actual) > Trusted Root Certification Authorities (Autoridades de certificación raíz confiables) > Certificates (Certificados). Verifique que existe un certificado para el servidor CA (denominado Nuestro TAC CA en este ejemplo). Abra el certificado y verifique los siguientes elementos.
No existe advertencia que indique que el certificado no ha sido verificado para todos los propósitos deseados
No existe advertencia que indique que el certificado no sea seguro
El objetivo deseado del certificado es correcto.
El certificado no ha caducado y ahora es válido (verifique las fechas de inicio y fin).
Si ACS y el cliente no usaron la misma raíz CA, entonces verifique que se haya instalado la cadena completa de los certificados de los servidores CA. Se aplica lo mismo si el certificado se obtuvo de una autoridad certificada menor
Verifique la configuración de ACS tal como se describió en la sección sobre Configuración de Cisco Secure ACS para Windows v3.2.
Verifique la configuración AP según se describe en la sección sobre Configuración del punto de acceso de Cisco.
Verifique las configuraciones del cliente inalámbrico tal como se describen en la sección Configuración del cliente inalámbrico.
Verifique que la cuenta del usuario exista en la base de datos interna del servidor AAA o en una de las bases de datos externas configuradas. Asegúrese de que la cuenta no se haya inhabilitado.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
02-Feb-2006 |
Versión inicial |