En el espacio de la educación K-12, ha habido una necesidad cada vez mayor de autenticar a los usuarios de red inalámbrica vía las cuentas creadas dentro de Novell eDirectory. Debido a la naturaleza distribuida del entorno K-12, las escuelas individuales no pudieron tener los recursos para colocar a un servidor de RADIUS en cada sitio ni hacen ellas desean los gastos indirectos adicionales de configurar a estos servidores de RADIUS. La única forma de lograr esto está usando el LDAP a comunicar entre el regulador LAN de la Tecnología inalámbrica (WLC) y un servidor LDAP. Los reguladores inalámbricos LAN de Cisco utilizan la autenticación local EAP contra las bases de datos de LDAP externas tales como Microsoft Active Directory. Este informe oficial ofrece información sobre un Cisco WLC que se haya configurado para la autenticación EAP local frente a un eDirectory de Novell habilitado como servidor LDAP con plenas funciones. Una advertencia a observar – los clientes probados utilizaban Cisco utilidad Aironet Desktop para realizar la autenticación del 802.1x. Novell no utiliza actualmente el 802.1x con su cliente en este tiempo. Como consecuencia, dependiendo del cliente, un proceso de ingreso de dos etapas podía ocurrir. Observe estas referencias:
Declaración del 802.1x de Novell
“Actualmente, deben abrirse una sesión dos veces. Cuando el cliente Novell está instalado, un usuario debe abrirse una sesión usando la casilla de verificación del puesto de trabajo solamente en el diálogo de la conexión con el sistema inicial para permitir la autenticación de usuario del 802.1x cuando se inicializa el escritorio, y entonces deben abrirse una sesión a la red Novell usando la utilidad de la clave “N roja”. Esto se refiere como clave de dos etapas.”
Una alternativa a la “clave del puesto de trabajo solamente” es configurar al cliente Novell para utilizar “Novell inicial Login=Off” en las configuraciones avanzadas de la clave (el valor por defecto es “Novell inicial Login=On”). Para más información, refiera a la autenticación del 802.1x y al cliente Novell para Windows .
Los clientes del otro vendedor tales como cliente de Meetinghouse Aeigs (Cisco Secure Services Client) un partner de tecnología de Novell pueden no requerir una clave doble. Para más información, refiera a la TUTELA SecureConnect .
Otra solución alternativa viable para el cliente Novell es tener la máquina (o el usuario) autentica (802.1x) a la red inalámbrica (WLAN) antes de Novell GINA que es ejecutada.
La prueba de una solución para la sola muestra encendido con el cliente Novell y el 802.1x está fuera del alcance de este Libro Blanco.
Regulador inalámbrico LAN de Cisco con el software de 6.0.188.0
Cisco Aironet LWAPP AP 1242AG
Windows XP con Cisco utilidad Aironet Desktop 4.4
Servidor Windows 2003 con Novell 8.8,5 eDirectory
Novell ConsoleOne 1.3.6h (utilidad de administración eDirectory)
Dispositivo | IP Address | Máscara de subred | Gateway de valor por defecto |
---|---|---|---|
Novell eDirectory | 192.168.3.3 | 255.255.255.0 | 192.168.3.254 |
Switch de la capa 3 | 192.168.3.254 | 255.255.255.0 | - |
AP | Asignado vía el DHCP del conmutador L3 | 255.255.255.0 | 192.168.3.254 |
Interfaz del encargado de la interfaz de administración WLC AP WLC | 192.168.3.253 192.168.3.252 | 255.255.255.0 | 192.168.3.254 |
La instalación y la configuración eDirectory completas de Novell está fuera del alcance de este Libro Blanco. Novell eDirectory debe ser instalado así como los componentes correspondientes LDAP.
Los parámetros dominantes de la configuración requeridos son que la contraseña sencilla se deba activar para las cuentas de usuario y el LDAP autenticado debe ser configurado. Usando TLS para el LDAP fue utilizado en las versiones anteriores del código WLC (4.2); sin embargo, el LDAP seguro se utiliza no más en el software del regulador de la red inalámbrica (WLAN) de Cisco.
Al configurar la porción del servidor LDAP de eDirectory, asegúrese de que los puertos No-cifrados LDAP (389) están activados. Véase el cuadro 2 de la aplicación del iManager de Novell.
Figure 2
Durante la instalación eDirectory, le pedirá la estructura de árbol o el Domain Name, etc. Si es eDirectory está instalado ya, ConsoleOne de Novell (el cuadro 3) es una herramienta fácil por la cual ver la estructura eDirectory. Es crítico encontrar cuáles son los esquemas apropiados al intentar establecer la comunicación al WLC. Usted debe también hacer una cuenta crear que permita que el WLC realice un lazo autenticado al servidor LDAP. Para la simplicidad, en este caso, la cuenta de administración eDirecotry de Novell se utiliza para el lazo autenticado.
Figure 3
Utilice ConsoleOne para verificar que el grupo LDAP permite las contraseñas de texto sin cifrar.
Figure 4
Verifique que bajo el OU, los ajustes de seguridad que la contraseña sencilla esté activada.
Figure 5
Otra herramienta útil por la cual ver la estructura eDirectory de Novell es el navegador incluyó con la instalación predeterminada.
‘Figura 6’
Refiera al cuadro 1 para la topología física de la red de prueba. El WLC usado en esta prueba fue configurado según la práctica estándar con el AP-encargado y las interfaces de administración en la misma subred y untagged de una perspectiva del VLA N.
Cuadro 7
Configure la autenticación local EAP: Seguridad > local EAP > general.
Los valores por defecto estándar no fueron cambiados.
Figura 8
Cree un nuevo perfil del Local EAP: Seguridad > local EAP > perfiles.
Para este caso de prueba, el nombre del perfil local EAP elegido era eDirectory. Los métodos de autenticación elegidos eran SALTO, EAP-FAST y PEAP; sin embargo, solamente el PEAP fue probado en este documento.
Figura 9
Cuando usted configura la autenticación local EAP para el PEAP, usted debe tener un certificado instalado en el WLC. En este caso, para comprobar, el certificado instalado en fábrica de Cisco fue utilizado; sin embargo, un certificado disposición cliente puede también ser instalado. Los certificados de lado del cliente no se requieren para el uso del PEAP-GTC, sino que pueden ser activados para el método interno PEAP si procede.
Figura 10
Establezca la prioridad de la autenticación para el LDAP: Seguridad > local EAP > prioridad de la autenticación.
Figura 11
Agregue al servidor LDAP al WLC: Seguridad >AAA > LDAP.
Figura 12
Configure el WLC para utilizar eDirecotry nuevo (véase el cuadro 13):
Elija autenticado para el método bind simple.
Ingrese el username del lazo. Ésta es la cuenta que fue creada dentro a eDirectory que será utilizada para que el WLC ate a eDirectory.
Nota: Asegúrese de que usted ingrese los atributos del directorio correcto para el username. Para este caso de prueba, el “cn=Admin, o=ZION” fue utilizado.
Ingrese la contraseña del lazo. Ésta es la contraseña para la cuenta de usuario del lazo.
Ingrese la Base del usuario DN. Éste es el Domain Name donde se localizan las cuentas de usuario de red inalámbrica. En el caso de prueba, los usuarios fueron situados en la raíz del DN (o=Zion). Si los jerarquizan dentro de otros grupos/organizaciones, encadénelas así como una coma (por ejemplo, “o=ZION, o=WLCUser”).
Ingrese el atributo de usuario. Éste es el nombre común (NC) (véase el cuadro 6).
Tipo de objeto de usuario – Esto se fija al usuario.
Cree la red inalámbrica (WLAN) que usted quisiera que los clientes eDirectory de Novell utilizaran. Para este caso de prueba, el nombre del perfil de la red inalámbrica (WLAN) es eDirectory y el SSID es Novell (véase el cuadro 14).
Figura 14
Active la red inalámbrica (WLAN) y aplique la directiva de radio apropiada e interconecte. Para este caso de prueba, Novell SSID fue activado solamente para la red del 802.11a y atado a la interfaz de administración.
Figura 15
Configure los ajustes de seguridad apropiados de la capa 2. Para este caso de prueba, la Seguridad WPA+WPA2, la directiva WPA2, la encripción AES, y el 802.1x para la administración de claves fueron seleccionados.
Figura 16
Para completar la configuración de autenticación local EAP, configure la red inalámbrica (WLAN) para la autenticación local EAP usando el servidor LDAP:
Elija la autenticación local EAP activada y aplique el perfil creado EAP (eDirectory).
Bajo los servidores LDAP, elija la dirección IP del servidor eDirectory configurado (192.168.3.3).
El PEAP-GTC es el requisito actual de la autenticación para la mayoría de las escuelas K-12. WLC no utiliza MSCHAPv2 para la autenticación local EAP. Como consecuencia, usted debe elegir el GTC para el tipo de la autenticación EAP en el cliente.
Las figuras siguientes son un recorrido de la configuración de Cisco utilidad Aironet Desktop para que el PEAP-GTC conecte con la red inalámbrica (WLAN) SSID Novell. Las configuraciones similares se alcanzan con el cliente Microsoft nativo con la ayuda PEAP-GTC.
Configure el nombre del perfil y el SSID (Novell) del cliente.
Figura 18
Elija WPA/WPA2/CCKM para la Seguridad y PEAP (EAP-GTC) para el tipo EAP.
Figura 19
Configure el PEAP-GTC:
Elija validan la identidad y la contraseña estática del servidor.
Ingrese el nombre de usuario y contraseña para la cuenta o el supplicant incitará para las credenciales en la conexión a la comunicación.
No ingrese en el Esquema del directorio <ANY> Novell, como esto no se requiere.
Una vez que se completa el perfil, actívelo y el proceso de autenticación debe comenzar.
Figura 21
El cuadro 22 representa una asociación y una autenticación acertadas vía el PEAP-GTC.
Figura 22
Para verificar que usted pueda realizar un LAZO autenticado así como la autenticación de usuario, activa estas opciones del rastro para eDirectory:
Autenticación
LDAP
NMAS
Tal y como se muestra en de la depuración, una respuesta de autenticación acertada LDAP se entrega al regulador LAN de la Tecnología inalámbrica en 192.168.3.253:
LDAP : (192.168.3.253:36802)(0x0020:0x63) DoSearch on connection 0x34367d0 LDAP : (192.168.3.253:36802)(0x0020:0x63) Search request: base: "o=ZION" scope:2 dereference:0 sizelimit:0 timelimit:5 attrsonly:0 filter: "(&(objectclass=user)(cn=sorr))" attribute: "dn" attribute: "userPassword" Auth : Starting SEV calculation for conn 23, entry .sorr.ZION.ZION.. Auth : 1 GlobalGetSEV. Auth : 4 GlobalGetSEV succeeded. Auth : SEV calculation complete for conn 23, (0:0 s:ms). LDAP : (192.168.3.253:36802)(0x0020:0x63) Sending search result entry "cn=sorr,o=ZION" to connection 0x34367d0 LDAP : (192.168.3.253:36802)(0x0020:0x63) Sending operation result 0:"":"" to connection 0x34367d0 LDAP : (192.168.3.253:36802)(0x0021:0x63) DoSearch on connection 0x34367d0 LDAP : (192.168.3.253:36802)(0x0021:0x63) Search request: base: "o=ZION" scope:2 dereference:0 sizelimit:0 timelimit:5 attrsonly:0 filter: "(&(objectclass=user)(cn=sorr))" attribute: "dn" attribute: "userPassword" LDAP : (192.168.3.253:36802)(0x0021:0x63) Sending search result entry "cn=sorr,o=ZION" to connection 0x34367d0 LDAP : (192.168.3.253:36802)(0x0021:0x63) Sending operation result 0:"":"" to connection 0x34367d0 LDAP : (192.168.3.253:36802)(0x0022:0x60) DoBind on connection 0x34367d0 LDAP : (192.168.3.253:36802)(0x0022:0x60) Bind name:cn=sorr,o=ZION, version:3, authentication:simple Auth : [0000804d] <.sorr.ZION.ZION.> LocalLoginRequest. Error success, conn: 22. LDAP : (192.168.3.253:36802)(0x0022:0x60) Sending operation result 0:"":"" to connection 0x34367d0 Auth : UpdateLoginAttributesThread page 1 processed 1 login in 0 milliseconds
Nota: Algunas de las líneas en la salida de la depuración han sido envuelto debido a los apremios del espacio.
Para asegurarse de que el WLC esté haciendo una petición de la autenticación satisfactoria al servidor eDirectory, publique estos comandos debug en el WLC:
debug aaa ldap enable
debug aaa local-auth eap method events enable
debug aaa local-auth db enable
Salida de muestra de una autenticación satisfactoria:
*Dec 23 16:57:04.267: LOCAL_AUTH: (EAP) Sending password verify request profile 'sorr' to LDAP *Dec 23 16:57:04.267: AuthenticationRequest: 0xcdb6d54 *Dec 23 16:57:04.267: Callback.....................................0x84cab60 *Dec 23 16:57:04.267: protocolType.................................0x00100002 *Dec 23 16:57:04.267: proxyState................................... 00:40:96:A6:D6:CB-00:00 *Dec 23 16:57:04.267: Packet contains 3 AVPs (not shown) *Dec 23 16:57:04.267: EAP-AUTH-EVENT: Waiting for asynchronous reply from LL *Dec 23 16:57:04.267: EAP-AUTH-EVENT: Waiting for asynchronous reply from LL *Dec 23 16:57:04.267: EAP-AUTH-EVENT: Waiting for asynchronous reply from method *Dec 23 16:57:04.267: ldapTask [1] received msg 'REQUEST' (2) in state 'CONNECTED' (3) *Dec 23 16:57:04.267: disabled LDAP_OPT_REFERRALS *Dec 23 16:57:04.267: LDAP_CLIENT: UID Search (base=o=ZION, pattern=(&(objectclass=user)(cn=sorr))) *Dec 23 16:57:04.269: LDAP_CLIENT: ldap_search_ext_s returns 0 85 *Dec 23 16:57:04.269: LDAP_CLIENT: Returned 2 msgs including 0 references *Dec 23 16:57:04.269: LDAP_CLIENT: Returned msg 1 type 0x64 *Dec 23 16:57:04.269: LDAP_CLIENT: Received 1 attributes in search entry msg *Dec 23 16:57:04.269: LDAP_CLIENT: Returned msg 2 type 0x65 *Dec 23 16:57:04.269: LDAP_CLIENT : No matched DN *Dec 23 16:57:04.269: LDAP_CLIENT : Check result error 0 rc 1013 *Dec 23 16:57:04.269: LDAP_CLIENT: Received no referrals in search result msg *Dec 23 16:57:04.269: ldapAuthRequest [1] called lcapi_query base="o=ZION" type="user" attr="cn" user="sorr" (rc = 0 - Success) *Dec 23 16:57:04.269: Attempting user bind with username cn=sorr,o=ZION *Dec 23 16:57:04.273: LDAP ATTR> dn = cn=sorr,o=ZION (size 14) *Dec 23 16:57:04.273: Handling LDAP response Success *Dec 23 16:57:04.274: LOCAL_AUTH: Found context matching MAC address - 448 *Dec 23 16:57:04.274: LOCAL_AUTH: (EAP:448) Password verify credential callback invoked *Dec 23 16:57:04.274: eap_gtc.c-TX-AUTH-PAK: *Dec 23 16:57:04.274: eap_core.c:1484: Code:SUCCESS ID:0x 8 Length:0x0004 Type:GTC *Dec 23 16:57:04.274: EAP-EVENT: Received event 'EAP_METHOD_REPLY' on handle 0xBB000075 *Dec 23 16:57:04.274: EAP-AUTH-EVENT: Handling asynchronous method response for context 0xBB000075 *Dec 23 16:57:04.274: EAP-AUTH-EVENT: EAP method state: Done *Dec 23 16:57:04.274: EAP-AUTH-EVENT: EAP method decision: Unconditional Success *Dec 23 16:57:04.274: EAP-EVENT: Sending method directive 'Free Context' on handle 0xBB000075 *Dec 23 16:57:04.274: eap_gtc.c-EVENT: Free context *Dec 23 16:57:04.274: id_manager.c-AUTH-SM: Entry deleted fine id 68000002 - id_delete *Dec 23 16:57:04.274: EAP-EVENT: Sending lower layer event 'EAP_SUCCESS' on handle 0xBB000075 *Dec 23 16:57:04.274: peap_inner_method.c-AUTH-EVENT: EAP_SUCCESS from inner method GTC *Dec 23 16:57:04.278: LOCAL_AUTH: EAP: Received an auth request *Dec 23 16:57:04.278: LOCAL_AUTH: Found context matching MAC address - 448 *Dec 23 16:57:04.278: LOCAL_AUTH: (EAP:448) Sending the Rxd EAP packet (id 9) to EAP subsys *Dec 23 16:57:04.280: LOCAL_AUTH: Found matching context for id - 448 *Dec 23 16:57:04.280: LOCAL_AUTH: (EAP:448) ---> [KEY AVAIL] send_len 64, recv_len 64 *Dec 23 16:57:04.280: LOCAL_AUTH: (EAP:448) received keys waiting for success *Dec 23 16:57:04.280: EAP-EVENT: Sending lower layer event 'EAP_SUCCESS' on handle 0xEE000074 *Dec 23 16:57:04.281: LOCAL_AUTH: Found matching context for id - 448 *Dec 23 16:57:04.281: LOCAL_AUTH: (EAP:448) Received success event *Dec 23 16:57:04.281: LOCAL_AUTH: (EAP:448) Processing keys success *Dec 23 16:57:04.281: 00:40:96:a6:d6:cb [BE-resp] AAA response 'Success' *Dec 23 16:57:04.281: 00:40:96:a6:d6:cb [BE-resp] Returning AAA response *Dec 23 16:57:04.281: 00:40:96:a6:d6:cb AAA Message 'Success' received for mobile 00:40:96:a6:d6:cb
Nota: Algunas de las líneas en la salida han sido envuelto debido a los apremios del espacio.
Pues más escuelas K-12 adoptan la arquitectura de WLAN de Cisco, habrá una necesidad cada vez mayor de utilizar la autenticación de usuario de red inalámbrica a Novell eDirectory. Este papel ha verificado que Cisco WLC puede autenticar a los usuarios contra la base de datos de LDAP eDirectory de Novell cuando está configurado para la autenticación local EAP. Una configuración similar se puede también hacer con los usuarios de autenticidad seguros de Cisco ACS a Novell eDirectory. La investigación adicional debe ser hecha para la sola muestra encendido con otros clientes de la red inalámbrica (WLAN) tales como configuración cero del Cisco Secure Services Client y de Microsoft Windows.