PEAP bajo redes inalámbricas unificadas con ACS 5.1 y el servidor de Windows 2003

Introducción

Este documento describe cómo configurar el acceso inalámbrico seguro mediante controladores LAN inalámbricos, el software Microsoft Windows 2003 y Cisco Secure Access Control Server (ACS) 5.1 a través de Protected Extensible Authentication Protocol (PEAP) con Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) versión 2.

Nota: Para la información sobre el despliegue de asegure la Tecnología inalámbrica, refiera al modelo de la Tecnología inalámbrica del sitio web y del Cisco SAFE del Wi-Fi de Microsoft.

prerrequisitos

Requisitos

Hay una suposición que el instalador tiene conocimiento de la instalación básica de Windows 2003 y de la instalación del controlador inalámbrica LAN de Cisco mientras que este documento cubre solamente las configuraciones específicas para facilitar las pruebas.

Para la instalación inicial y la información de la configuración para los reguladores de las Cisco 5508 Series, refiera a la guía de instalación del controlador inalámbrica de las Cisco 5500 Series. Para la instalación inicial y la información de la configuración para los reguladores de las Cisco 2100 Series, refiera a la guía de inicio rápido: Regulador inalámbrico LAN de las Cisco 2100 Series.

Microsoft Windows 2003 guías de instalación y configuración se puede encontrar en instalar al Servidor Windows 2003 R2 .

Antes de que usted comience, instale el servidor 2003 de Microsoft Windows con el sistema operativo SP1 en cada uno de los servidores en el laboratorio de prueba y ponga al día todo el Service Packs. Instale los reguladores y los Puntos de acceso ligeros (revestimientos) y asegúrese de que las actualizaciones de último software están configuradas.

Utilizan al Servidor Windows 2003 con el SP1, Enterprise Edition, para poder configurar el Autoregistro de los Certificados del usuario y del puesto de trabajo para la autenticación PEAP. El Autoregistro del certificado y autorenewal hacen más fácil desplegar los Certificados y mejorar la Seguridad automáticamente la expiración y renovando los Certificados.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Regulador de las Cisco o Series que funcionamientos 7.0.98.0

• Protocolo ligero del Punto de acceso de Cisco 1142 (LWAPP) AP

• Empresa de Windows 2003 con el servidor de información sobre Internet (IIS), el Certificate Authority (CA), el DHCP, y el Domain Name System (DNS) instalado

• Dispositivo del sistema de control de acceso seguro de Cisco 1121 (ACS) 5.1

• Profesional de Windows XP con el SP (y Service Packs actualizado) y indicador luminoso LED amarillo de la placa muestra gravedad menor de interfaz de red inalámbrica (NIC) (con CCX la ayuda v3) o suplicante del otro vendedor.

• Cisco 3750 Switch

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta de búsqueda de comandos (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Cisco asegura la Topología de laboratorio inalámbrica

El propósito primario de este documento es proporcionarle al procedimiento paso a paso para ejecutar el PEAP bajo redes inalámbricas unificadas con ACS 5.1 y el Servidor de Enterprise de Windows 2003. El énfasis principal está en el Autoregistro del cliente de modo que el cliente auto-aliste y tome el certificado del servidor.

Nota: Para agregar el Wi-Fi protegió el acceso (WPA)/WPA2 con la norma de encripción del Temporal Key Integrity Protocol (TKIP) /Advanced (AES) al profesional de Windows XP con el SP, refieren a la actualización del elemento de información de los servicios del aprovisionamiento WPA2/Wireless (IE WPS) para Windows XP con el Service Pack 2.

Empresa 2003 de Windows puesta con el IIS, autoridad de certificación, DNS, DHCP (CA)

CA (democa)

El CA es un ordenador que funciona con al Servidor Windows 2003 con el SP2, Enterprise Edition, y realiza estos papeles:

• Un regulador del dominio para el dominio demo.local que ejecuta el IIS

• Un servidor DNS para el dominio DNS demo.local

• Un servidor del DHCP

• Empresa raíz CA para el dominio demo.local

Realice estos pasos para configurar el CA para estos servicios:

1. Realice una instalación básica y una configuración.

2. Configure el ordenador como regulador del dominio.

3. Aumente el nivel funcional del dominio.

4. Instale y configure el DHCP.

5. Instale los servicios del certificado.

6. Verifique los permisos del administrador para los Certificados.

7. Agregue los ordenadores al dominio.

8. Permita el acceso de red inalámbrica a los ordenadores.

9. Agregue a los usuarios al dominio.

10. Permita el acceso de red inalámbrica a los usuarios.

11. Agregue a los grupos al dominio.

12. Agregue a los usuarios al grupo de los wirelessusers.

13. Agregue las computadoras cliente al grupo de los wirelessusers.

Realice la instalación básica y la configuración

Siga estos pasos:

1. Instale al Servidor Windows 2003 con el SP2, Enterprise Edition, como servidor independiente.

2. Configure el protocolo TCP/IP con la dirección IP de 10.0.10.10 y la máscara de subred de 255.255.255.0.

Configure el ordenador como regulador del dominio

Siga estos pasos:

1. Para comenzar al Asisitente de instalación de Active Directory, elija el Start (Inicio) > Run (Ejecutar), pulse dcpromo.exe, y haga clic la AUTORIZACIÓN.

2. En la recepción a la página del Asisitente de instalación de Active Directory, haga clic después.

3. En la página de la compatibilidad del sistema operativo, haga clic después.

4. En el tipo página, regulador selecto del dominio para un nuevo dominio y tecleo del regulador del dominio después.

5. En la nueva página del dominio del crear, el dominio selecto en un nuevo bosque y el tecleo después.

6. En el instalar o configure la página DNS, seleccione ningún, apenas instale y configure el DNS en este ordenador y haga clic después.

7. En la nuevos página del Domain Name, tipo demo.local y tecleo después.

8. En la página del Domain Name de NetBIOS, ingrese el nombre de NETBIOS del dominio como versión parcial de programa y haga clic después.

9. En las carpetas de la base de datos y del registro que las ubicaciones paginan, que valide los directorios de las carpetas de la base de datos y del registro del valor por defecto y que haga clic después.

   

10. En System Volume (Volumen del sistema) la página compartida, verifique que la ubicación de la carpeta del valor por defecto está correcta y haga clic después.

    

11. En los permisos pagine, verifique que los permisos compatibles solamente con los sistemas operativos del Windows 2000 o del Servidor Windows 2003 están seleccionados y tecleo después.

    

12. En la página de la contraseña de la administración del modo del Restore de los servicios de directorio, deje el espacio en blanco de casillas de verificación de contraseña y haga clic después.

13. Revise la información sobre la página de resumen y haga clic después.

    

14. Cuando le hacen con la instalación de Active Directory, clic en Finalizar.

15. Cuando está incitado para recomenzar el ordenador, ahora haga clic el reinicio.

Aumente el nivel funcional del dominio

Siga estos pasos:

1. Abra los dominios de Active Directory y las confianzas broche-en de la carpeta administrativa de las herramientas (Start (Inicio) > Programs (Programas) > Administrative Tools (Herramientas administrativas) > dominios de Active Directory y confianzas), y después haga clic derecho la computadora dominio CA.demo.local.

2. Haga clic el nivel funcional del dominio del aumento, y después seleccione al Servidor Windows 2003 en la página del nivel funcional del dominio del aumento.

   

3. Haga clic el aumento, haga clic la AUTORIZACIÓN, y después haga clic la AUTORIZACIÓN otra vez.

Instale y configure el DHCP

Siga estos pasos:

1. Instale el Protocolo de configuración dinámica de host (DHCP) como componente de servicio de red usando agregan o quitan los programas en el panel de control.

2. Abra el DHCP broche-en de la carpeta administrativa de las herramientas (Start (Inicio) > Programs (Programas) > Administrative Tools (Herramientas administrativas) > DHCP), y después destaque el servidor del DHCP, CA.demo.local.

3. Haga clic la acción, y después haga clic autorizan para autorizar el servicio del DHCP.

4. En el árbol de la consola, haga clic derecho CA.demo.local, y después haga clic el nuevo alcance.

5. En la página de Bienvenida del nuevo asistente de alcance, haga clic después.

6. En la página del nombre del alcance, pulse CorpNet en el campo de nombre.

   

7. Haga clic después y complete estos parámetros:

   • Comience a la dirección IP 10.0.20.1

   • Termine a la dirección IP 10.0.20.200

   • Longitud - 24

   • Máscara de subred - 255.255.255.0

   

8. Haga clic después y ingrese 10.0.20.1 para el IP address del comienzo y 10.0.20.100 para que el IP address del final sea excluido. Luego haga clic en Next (Siguiente). Esto reserva los IP Addresses en el rango de 10.0.20.1 a 10.0.20.100. Éstos reservan los IP Addresses no son asignados por el servidor del DHCP.

   

9. En la página del tiempo de validez, haga clic después.

10. En la página opciones del DHCP del configurar, elija sí, quiero ahora configurar estas opciones y hacer clic después.

    

11. En la página del router (gateway de valor por defecto) agregue a la dirección del router del valor por defecto de 10.0.20.1 y haga clic después.

    

12. En la página del Domain Name y de los servidores DNS, pulse demo.local en el campo del dominio del padre, pulse 10.0.10.10 en el campo de la dirección IP, y después haga clic el tecleo de Addand después.

    

13. En los TRIUNFOS que los servidores paginan, que haga clic después.

14. En la página del alcance del activar, elija sí, quiero ahora activar este alcance y hacer clic después.

    

15. Cuando usted acaba con la nueva página del asistente de alcance, clic en Finalizar.

Instale los servicios del certificado

Siga estos pasos:

Nota: El IIS debe ser instalado antes de que usted instale los servicios del certificado y el usuario debe ser parte del OU Admin de la empresa.

1. En el panel de control, abierto agregue o quite los programas, y después haga clic agregan/quitan a los componentes de Windows.

2. En la página del Asistente de componentes de Windows, elija los servicios del certificado, y después haga clic después.

3. En el tipo página CA, elija la empresa raíz CA y haga clic después.

4. En el CA que identifica la página de información, pulse el democa en el nombre común para este cuadro CA. Usted puede también ingresar los otros detalles opcionales. Entonces haga clic después y valide los valores por defecto en la página de las configuraciones de la base de datos del certificado.

5. Haga clic en Next (Siguiente). Al completar la instalación, clic en Finalizar.

6. AUTORIZACIÓN del tecleo después de que usted leyera el mensaje de advertencia sobre instalar el IIS.

Verifique los permisos del administrador para los Certificados

Siga estos pasos:

1. Elija el Start (Inicio) > Administrative Tools (Herramientas administrativas) > las autoridades de certificación.

2. Haga clic derecho el democa CA y después haga clic las propiedades.

3. En la ficha de seguridad, haga clic a los administradores en la lista del grupo o de Nombres de usuario.

4. En los permisos para administradores enumere, verifique que estas opciones están fijadas para permitir:

   • Publique y maneje los Certificados

   • Maneje el CA

   • Pida los Certificados

   Si ninguno de estos se fijan para negar o no se seleccionan, fije los permisos para permitir.

   

5. Haga clic la AUTORIZACIÓN para cerrar el cuadro de diálogo Propiedades del democa CA, y después cierre las autoridades de certificación.

Agregue los ordenadores al dominio

Siga estos pasos:

Nota: Si el ordenador se agrega ya al dominio, proceda a agregar a los usuarios al dominio.

1. Abra a los usuarios de directorio activo y computadora broche-en.

2. En el árbol de la consola, amplíe demo.local.

3. Haga clic derecho los ordenadores, haga clic nuevo, y después haga clic el ordenador.

4. En el nuevo objeto – El cuadro de diálogo del ordenador, pulsa el nombre del ordenador en el campo de nombre de la computadora y hace clic después. Este ejemplo utiliza al cliente del nombre de computadora.

   

5. En el cuadro de diálogo manejado, haga clic después.

6. En el nuevo objeto – Cuadro de diálogo del ordenador, clic en Finalizar.

7. Relance los pasos 3 a 6 para crear las cuentas adicionales del ordenador.

Permita el acceso de red inalámbrica a los ordenadores

Siga estos pasos:

1. En el árbol de la consola de los usuarios de directorio activo y computadora, haga clic la carpeta de los ordenadores y haga clic derecho en el ordenador para el cual usted quiere asignar el acceso de red inalámbrica. Este ejemplo muestra el procedimiento con la computadora cliente cuál usted agregó en las propiedades del tecleo del paso 7., y después va al Dial-en cuadro.

2. En el Permiso de acceso remoto, elija permiten el acceso y hacen clic la AUTORIZACIÓN.

   

Agregue a los usuarios al dominio

Siga estos pasos:

1. En el árbol de la consola de los usuarios de directorio activo y computadora, haga clic derecho a los usuarios, haga clic nuevo, y después haga clic al usuario.

2. En el nuevo objeto – El cuadro de diálogo del usuario, pulsa el nombre del usuario de red inalámbrica. Este ejemplo utiliza el wirelessuser del nombre en el campo de primer nombre, y el wirelessuser en el campo de nombre de inicio de usuario. Haga clic en Next (Siguiente).

   

3. En el nuevo objeto – El cuadro de diálogo del usuario, pulsa una contraseña de su opción en la contraseña y confirma los campos de contraseña. Borre al usuario debe cambiar la contraseña en la casilla de verificación siguiente del inicio, y hace clic después.

   

4. En el nuevo objeto – Cuadro de diálogo del usuario, clic en Finalizar.

5. Relance los pasos 2 a 4 para crear las cuentas de usuario adicionales.

Permita el acceso de red inalámbrica a los usuarios

Siga estos pasos:

1. En el árbol de la consola de los usuarios de directorio activo y computadora, haga clic la carpeta del usuario, haga clic derecho el wirelessuser, haga clic las propiedades, y después vaya al Dial-en cuadro.

2. En el Permiso de acceso remoto, elija permiten el acceso y hacen clic la AUTORIZACIÓN.

   

Agregue a los grupos al dominio

Siga estos pasos:

1. En el árbol de la consola de los usuarios de directorio activo y computadora, haga clic derecho a los usuarios, haga clic nuevo, y después haga clic al grupo.

2. En el nuevo objeto – Agrupe el cuadro de diálogo, pulse el nombre del grupo en el campo de nombre del grupo y haga clic la AUTORIZACIÓN. Este documento utiliza los wirelessusers del nombre del grupo.

   

Agregue a los usuarios al grupo de los wirelessusers

Siga estos pasos:

1. En el panel de detalles de los usuarios de directorio activo y computadora, haga doble clic en el grupo WirelessUsers.

2. Vaya a la tabulación de los miembros y el tecleo agrega.

3. En los usuarios selectos, los contactos, cuadro de diálogo de los ordenadores, o de los grupos, pulsan el nombre de los usuarios que usted quiere agregar al grupo. Este ejemplo muestra cómo agregar el wirelessuser del usuario al grupo. Click OK.

   

4. En el múltiplo los nombres encontraron el cuadro de diálogo, AUTORIZACIÓN del tecleo. La cuenta de usuario del wirelessuser se agrega al grupo de los wirelessusers.

   

5. AUTORIZACIÓN del tecleo para salvar los cambios al grupo de los wirelessusers.

6. Relance este procedimiento para agregar a más usuarios al grupo.

Agregue las computadoras cliente al grupo de los wirelessusers

Siga estos pasos:

1. Relance los pasos 1 y 2 en los usuarios del agregar a la sección de grupo de los wirelessusers de este documento.

2. En los usuarios selectos, el cuadro de diálogo de los contactos, o de los ordenadores, pulsa el nombre del ordenador que usted quiere agregar al grupo. Este ejemplo muestra cómo agregar el ordenador nombrado cliente al grupo.

   

3. Haga clic los tipos de objeto, borre la casilla de verificación de los usuarios, y después controle los ordenadores.

   

4. Haga clic en OK dos veces. La cuenta de la computadora cliente se agrega al grupo de los wirelessusers.

   

5. Relance el procedimiento para agregar más ordenadores al grupo.

Cisco 1121 ACS seguros 5.1

Instalación usando el dispositivo de la serie CSACS-1121

El dispositivo CSACS-1121 se instala previamente con el software ACS 5.1. Esta sección le da una descripción del proceso de instalación y de las tareas que usted debe realizar antes de instalar ACS.

1. Conecte el CSACS-1121 con la consola de la red y del dispositivo. Vea el capítulo 4, “conexión de los cables.”

2. Accione para arriba el dispositivo CSACS-1121. Vea el capítulo 4, “accionando para arriba el dispositivo de la serie CSACS-1121.”

3. Funcione con el comando setup en el mensaje CLI de configurar las configuraciones iniciales para el servidor ACS. Vea funcionar con el programa de configuración.

Instale al servidor ACS

Esta sección describe el proceso de instalación para el servidor ACS en el dispositivo de la serie CSACS-1121.

• Funcione con el programa de configuración

• Verifique el proceso de instalación

• Tareas de la Poste-instalación

Para información detallada sobre la instalación de Cisco asegure al servidor ACS refieren a la instalación y al guía de actualización para el Cisco Secure Access Control System 5.1.

Configuración del regulador de Cisco WLC5508

Cree la configuración necesaria para WPAv2/WPA

Siga estos pasos:

Nota: La suposición es que el regulador tiene conectividad básica a la red y reachability IP a la interfaz de administración es acertado.

1. Hojee a https://10.0.1.10 para abrirse una sesión al regulador.

   

2. Haga clic la clave.

3. Ábrase una sesión con el administrador de usuario del valor por defecto y omita la contraseña admin.

4. Cree un nuevo interfaz para la asignación del VLA N bajo menú del regulador.

5. Haga clic los interfaces.

6. Haga clic en New.

7. En el campo de nombre del interfaz, ingrese al empleado. (Este campo puede ser cualquier valor que usted tenga gusto.)

8. En el campo identificación del VLA N, ingrese 20. (Este campo puede ser cualquier VLA N que se lleve adentro la red.)

9. Haga clic en Apply (Aplicar).

10. Configure la información como esto interconecta > corrige las demostraciones de la ventana:

    • Interconecte a la dirección IP 10.0.20.2

    • Máscara de red - 255.255.255.0

    • Gateway - 10.0.10.1

    • DHCP primario - 10.0.10.10

    

11. Haga clic en Apply (Aplicar).

12. Haga clic las redes inalámbricas (WLAN) cuadro.

13. Elija crean nuevo, y el tecleo va.

14. Ingrese un nombre del perfil, y, en el campo WLAN SSID, ingrese al empleado.

    

15. Elija una identificación para la red inalámbrica (WLAN), y el tecleo se aplica.

16. Configure la información para esta red inalámbrica (WLAN) cuando aparecen las redes inalámbricas (WLAN) > corrigen la ventana.

    Nota: WPAv2 es el método de encripción elegido de la capa 2 para este laboratorio. Para permitir que el WPA con los clientes TKIP-MIC se asocie a este SSID, usted puede también controlar al modo de compatibilidad WPA y no prohibir los clientes WPA2 TKIP los cuadros o a esos clientes que no utilizan el método de encripción AES 802.11i.

17. En las redes inalámbricas (WLAN) > corrija la pantalla, hacen clic la ficha general.

18. Asegúrese de que el cuadro del estatus esté controlado para saber si hay activado y el interfaz apropiado (empleado) se elige. También, asegúrese de controlar la casilla de verificación activada para saber si hay difusión SSID.

    

19. Haga clic en la ficha Security (Seguridad).

20. Conforme al submenú de la capa 2, controle WPA + WPA2 para saber si hay Seguridad de la capa 2. Para el cifrado WPA2, controle AES + TKIP para permitir a los clientes TKIP.

21. Elija el 802.1x como el método de autenticación.

    

22. Salte el submenú de la capa 3 pues no se requiere. Una vez que configuran al servidor de RADIUS, el servidor apropiado se puede elegir del menú de la autenticación.

23. El QoS y las fichas Avanzadas se pueden dejar en el valor por defecto a menos que se requiera cualquier configuración especial.

24. Haga clic el menú de seguridad para agregar al servidor de RADIUS.

25. Conforme al submenú RADIUS, haga clic la autenticación. Entonces, haga clic nuevo.

26. Agregue la dirección IP del servidor de RADIUS (10.0.10.20) que es el servidor ACS configurado anterior.

27. Asegúrese de que la clave compartida haga juego al cliente AAA configurado en el servidor ACS. Asegúrese de que el cuadro del usuario de la red esté controlado y tecleo se aplican.

    

28. La configuración básica es completa ahora y usted puede comenzar a probar el PEAP.

Autenticación PEAP

El PEAP con la versión MS-CHAP 2 requiere los Certificados en los servidores ACS pero no en los clientes de red inalámbrica. La inscripción auto de los Certificados del ordenador para los servidores ACS se puede utilizar para simplificar un despliegue.

Para configurar el servidor CA para proporcionar al Autoregistro para el ordenador y los Certificados de usuario, complete los procedimientos en esta sección.

Nota: Microsoft ha cambiado la plantilla del servidor Web con la versión de la empresa CA de Windows 2003 de modo que las claves sean no más exportables y la opción sea grayed hacia fuera. No hay otros Certificate Template plantilla de certificado suministrados los servicios del certificado que están para la autenticación de servidor y dan la capacidad de marcar las claves pues exportable que están disponibles en el descenso-abajo así que usted tiene que crear una nueva plantilla que lo haga tan.

Nota: El Windows 2000 permite las claves exportables y estos procedimientos no necesitan ser seguidos si usted utiliza el Windows 2000.

Instale los Certificate Template plantilla de certificado Broche-en

Siga estos pasos:

1. Elija el Start (Inicio) > Run (Ejecutar), ingrese el mmc, y haga clic la AUTORIZACIÓN.

2. En el menú de archivo, el tecleo agrega/quita Broche-en, y después hace clic agrega.

3. Bajo Broche-en, los Certificate Template plantilla de certificado del doble clic, cierre del tecleo, y entonces hacen clic la AUTORIZACIÓN.

4. En el árbol de la consola, Certificate Template plantilla de certificado del tecleo. Todos los Certificate Template plantilla de certificado aparecen en el panel de detalles.

5. Para desviar los pasos 2 a 4, ingrese certtmpl.msc broche-en el cual abra los Certificate Template plantilla de certificado.

   

Cree el Certificate Template plantilla de certificado para el servidor Web ACS

Siga estos pasos:

1. En el panel de detalles de los Certificate Template plantilla de certificado broche-en, haga clic la plantilla del servidor Web.

2. En el Menú Action (Acción), haga clic la plantilla duplicado.

   

3. En el campo de nombre de la visualización de la plantilla, ingrese ACS.

   

4. Vaya a la tabulación de la dirección de petición y el control permite que la clave privada sea exportada. También asegúrese de que la firma y el cifrado esté seleccionada del menú desplegable del propósito.

   

5. Elija las peticiones debe utilizar uno del CSPs siguiente y controlar Microsoft Base Cryptographic Provider v1.0. Uncheck cualquier otro CSPs se controla que, y haga clic la AUTORIZACIÓN.

   

6. Vaya a la tabulación del asunto, elija la fuente en la petición, y haga clic la AUTORIZACIÓN.

   

7. Vaya a la ficha de seguridad, destaque el grupo de Admins del dominio, y asegúrese de que la opción del alistar está controlada bajo permitido.

   Nota: Si usted elige construir de este control de la información del Active Directory solamente el nombre principal de usuario (UPN) y uncheck el nombre del email del incluido en el asunto y el email nombre porque un nombre del email no fue ingresado para la cuenta de usuario de red inalámbrica en los usuarios de directorio activo y computadora broche-en. Si usted no inhabilita estas dos opciones, el Autoregistro intenta utilizar el email, que da lugar a un error del Autoregistro.

8. Hay medidas de seguridad complementaria si es necesario para evitar que los Certificados sean eliminados automáticamente. Éstos se pueden encontrar bajo requisitos cuadro de la emisión. Esto no se discute más lejos en este documento.

   

9. Haga clic la AUTORIZACIÓN para salvar la plantilla y moverse sobre la publicación de esta plantilla desde la autoridad de certificación broche-en.

Active el nuevo Certificate Template plantilla de certificado del servidor Web ACS

Siga estos pasos:

1. Abra las autoridades de certificación broche-en. Realice los pasos 1 a 3 en el crear el Certificate Template plantilla de certificado para la sección del servidor Web ACS, elija la opción de la autoridad de certificación, elija la computadora local, y el clic en Finalizar.

2. En el árbol de la consola de la autoridad de certificación, amplíe ca.demo.local, y después haga clic derecho los Certificate Template plantilla de certificado.

3. Va a nuevo > el Certificate Template plantilla de certificado a publicar.

   

4. Haga clic el Certificate Template plantilla de certificado ACS.

   

5. Haga clic la AUTORIZACIÓN y abra a los usuarios de directorio activo y computadora broche-en.

6. En el árbol de la consola, haga doble clic a los usuarios de directorio activo y computadora, haga clic derecho demo.local, y después haga clic las propiedades.

   

7. En la tabulación de la directiva del grupo, la política de dominio del valor por defecto del tecleo, y entonces hace clic corrige. Esto abre el editor del objeto de la directiva del grupo broche-en.

   

8. En el árbol de la consola, amplíe el Computer Configuration (Configuración de la computadora) > Windows Settings (Configuración de Windows) > Security Settings (Configuración de seguridad) > las directivas de la clave pública, y después elija las configuraciones automáticas de la solicitud de certificado.

   

9. Haga clic derecho las configuraciones automáticas de la solicitud de certificado, y elija la nueva > automática solicitud de certificado.

10. En la recepción a la página automática del asistente para la configuración de la solicitud de certificado, haga clic después.

11. En la página del Certificate Template plantilla de certificado, haga clic el ordenador, y después haga clic después.

    

12. Cuando usted completa la página automática del asistente para la configuración de la solicitud de certificado, clic en Finalizar. El tipo de certificado del ordenador ahora aparece en el panel de detalles del editor del objeto de la directiva del grupo broche-en.

    

13. En el árbol de la consola, amplíe la configuración de usuario > las configuraciones del > Security (Seguridad) de las configuraciones de Windows > las directivas de la clave pública.

14. En el panel de detalles, haga doble clic las configuraciones del Autoregistro.

    

15. Elija alistan los Certificados automáticamente y el control renueva los certificados vencidos, se pone al día hasta que finalicen los Certificados y quita los Certificados revocados y los Certificados de la actualización que utilizan los Certificate Template plantilla de certificado.

    

16. Click OK.

Disposición del certificado ACS 5.1

Configure el certificado exportable para ACS

Nota: El servidor ACS debe obtener un certificado de servidor del servidor de la empresa raíz CA para autenticar a un cliente PEAP de la red inalámbrica (WLAN).

Nota: Asegúrese de que el Administrador IIS no esté abierto durante el proceso de configuración del certificado como problemas de las causas con la información ocultada.

1. Ábrase una sesión al servidor ACS con las derechas de una administración de cuenta.

2. Vaya a la administración del sistema > a la configuración > a los Certificados de servidor local. Haga clic en Add (Agregar).

   

3. Cuando usted elige un método de la creación del certificado de servidor, elija generan el pedido de firma de certificado. Haga clic en Next (Siguiente).

   

4. Ingrese un tema y una longitud de clave del certificado como el ejemplo, después haga clic el final:

   • Tema del certificado - CN=acs.demo.local

   • Longitud de clave - 1024

   

5. ACS incitará que se ha generado un pedido de firma de certificado. Click OK.

   

6. Bajo administración del sistema, van a la configuración > a los Certificados de servidor local > las solicitudes de firma excepcionales.

   Nota: La razón de este paso es que Windows 2003 no permite las claves exportables y usted necesita generar una solicitud de certificado basada en el certificado ACS que usted creó eso lo hace anterior.

   

7. Elija la entrada del pedido de firma de certificado, y haga clic la exportación.

   

8. Salve el fichero del certificado .pem ACS al escritorio.

   

Instale el certificado en el software ACS 5.1

Siga estos pasos:

1. Abra a un navegador y conecte con el servidor URL http://10.0.10.10/certsrv CA.

   

2. La ventana de los servicios del certificado de Microsoft aparece. Elija la petición un certificado.

   

3. Haga clic para presentar una solicitud de certificado avanzada.

   

4. En la petición avanzada, el tecleo presenta una solicitud de certificado usando un base-64-encoded…

   

5. En el campo del Saved Request, si los permisos de la Seguridad del navegador, hojean al fichero anterior de la solicitud de certificado ACS e insertan.

   

6. Los ajustes de seguridad del navegador pueden no permitir el tener acceso del fichero en un disco. Si es así AUTORIZACIÓN del tecleo para realizar una goma manual.

   

7. Localice el fichero ACS *.pem de la exportación anterior ACS. Abra el fichero usando un editor de textos (por ejemplo, libreta).

   

8. Destaque el contenido entero del fichero, y haga clic la copia.

   

9. Vuelva a la ventana de la solicitud de certificado de Microsoft. Pegue el contenido copiado en el campo del Saved Request.

   

10. Elija ACS como el Certificate Template plantilla de certificado, y el tecleo somete.

    

11. Una vez que se publica el certificado, elija el base 64 codificado, y haga clic el certificado de la transferencia directa.

    

12. Haga clic la salvaguardia para salvar el certificado al escritorio.

    

13. Van a ACS > la administración del sistema > la configuración > los Certificados de servidor local. Elija el certificado firmado del lazo CA, y haga clic después.

    

14. El tecleo hojea, y localiza el certificado guardado.

    

15. Elija el certificado ACS que fue publicado por el servidor CA, y haga clic abierto.

    

16. También, controle el cuadro del protocolo para saber si hay EAP, y el clic en Finalizar.

    

17. El certificado Ca-publicado ACS aparecerá en el certificado del local ACS.

    

Configure el almacén de la identidad ACS para el Active Directory

Siga estos pasos:

1. Conecte con ACS y la clave con la cuenta de administración.

2. Vaya a los usuarios y la identidad salva > identidad externa salva > Active Directory.

   

3. Ingrese el dominio demo.local del Active Directory, ingrese la contraseña del servidor, y haga clic TestConnection. Haga clic la orden OKIN para continuar.

   

4. Haga clic los cambios de la salvaguardia.

   

   Nota: Para más información sobre el procedimiento de la integración ACS 5.x refiera a ACS 5.x y más adelante: Integración con el ejemplo de la configuración del Microsoft Active Directory.

Agregue un regulador a ACS como cliente AAA

Siga estos pasos:

1. Conecte con ACS, y vaya a los recursos de red > a los dispositivos de red y a los clientes AAA. Haga clic en Crear.

   

2. Ingrese en estos campos:

   • Nombre - wlc

   • IP - 10.0.1.10

   • Checkbox RADIUS - Controlado

   • Secreto compartido - Cisco

   

3. El tecleo somete cuando está acabado. El regulador aparecerá pues una entrada en la lista de dispositivos de red ACS.

   

Configure las políticas de acceso ACS para la Tecnología inalámbrica

Siga estos pasos:

1. En ACS, vaya a las políticas de acceso > a los servicios del acceso.

   

2. En la ventana de los servicios del acceso, el tecleo crea.

   

3. Cree un servicio del acceso, y ingrese un nombre (por ejemplo WirelessAD). Elija basado en la plantilla del servicio, y haga clic selecto.

   

4. En el diálogo de la página web, elija el acceso a la red – simple. Click OK.

   

5. En el diálogo de la página web, elija el acceso a la red – simple. Click OK. Una vez que se selecciona la plantilla, haga clic después.

   

6. Bajo protocolos permitidos, controle los cuadros para saber si hay Allow MS-CHAPv2 y permita el PEAP. Haga clic en Finish (Finalizar).

   

7. Cuando ACS le incita activar el nuevo servicio, haga clic sí.

   

8. En el nuevo acceso mantenga acaba de activan que fue creado/, amplíe y elija la identidad. Para la fuente de la identidad, haga clic selecto.

   

9. Elija AD1 para el Active Directory que fue configurado en ACS, AUTORIZACIÓN del tecleo.

   

10. Confirme la fuente de la identidad está AD1, y la salvaguardia del tecleo cambia.

    

Cree la política de acceso ACS y la regla del servicio

Siga estos pasos:

1. Vaya a las políticas de acceso > a las reglas de selección del servicio.

   

2. El tecleo crea en la ventana de la política de la selección del servicio. Dé a nueva regla un nombre (por ejemplo, WirelessRule). Controle el cuadro para saber si hay protocolo para hacer juego el radio.

   

3. Elija el radio, y haga clic la AUTORIZACIÓN.

   

4. Bajo resultados, elija WirelessAD para el servicio (creado en el paso anterior).

   

5. Una vez que se crea la nueva regla inalámbrica, elija y mueva esta regla al top, que será la primera regla para identificar la autenticación de RADIUS inalámbrica usando el Active Directory.

   

Configuración del cliente para el PEAP usando Windows cero tacto

En nuestro ejemplo, el CLIENTE es un ordenador que funciona con al profesional de Windows XP con el SP que actúa como cliente de red inalámbrica y obtiene el acceso a los recursos del Intranet a través de la Tecnología inalámbrica AP. Complete los procedimientos en esta sección para configurar al CLIENTE como cliente de red inalámbrica.

Realice una instalación básica y una configuración

Siga estos pasos:

1. Conecte al CLIENTE con el segmento de red del Intranet usando un cable de Ethernetes conectado con el concentrador.

2. En el CLIENTE, instale al profesional de Windows XP con el SP2 como ordenador del miembro nombrado CLIENT del dominio demo.local.

3. Instale al profesional de Windows XP con el SP2. Esto se debe instalar para tener ayuda PEAP.

   Nota: Firewall de Windows se gira automáticamente en el profesional de Windows XP con el SP2. No apague el Firewall.

Instale el adaptador de red inalámbrica

Siga estos pasos:

1. Cierre la computadora cliente.

2. Desconecte la computadora cliente del segmento de red del Intranet.

3. Recomience la computadora cliente, y después abra una sesión usando la cuenta del administrador local.

4. Instale el adaptador de red inalámbrica.

   Nota: No instale el software de configuración del fabricante para el adaptador de red inalámbrica. Instale los drivers del adaptador de red inalámbrica que usan al asistente de hardware del agregar. También, cuando está incitado, provea del CD proporcionado por el fabricante o un disco los drivers actualizados para el uso del profesional de Windows XP el SP2.

Configure la conexión de red inalámbrica

Siga estos pasos:

1. Termine una sesión y después ábrase una sesión usando la cuenta de WirelessUser en el dominio demo.local.

2. Elija el comienzo > el panel de control, haga doble clic las conexiones de red, y después haga clic derecho la conexión de red inalámbrica.

3. Haga clic las propiedades, vaya a la tabulación de las redes inalámbricas, y asegúrese de que el uso Windows de configurar mis configuraciones de la red inalámbrica está controlado.

   

4. Haga clic en Add (Agregar).

5. Bajo tabulación de la asociación, ingrese al empleado en el campo del nombre de red (SSID).

6. Elija el WPA para la autenticación de red, y asegúrese de que la encripción de datos está fijada al TKIP.

   

7. Haga clic la autenticación cuadro.

8. Valide que el tipo EAP está configurado para utilizar EAP protegido (PEAP). Si no es, elíjalo del menú desplegable.

9. Si usted quisiera que la máquina fuera autenticada antes de la clave (que permite los scripts de la clave o directiva del grupo empuja para ser aplicado), el control autentica como ordenador cuando información acerca de la computadora está disponible.

   

10. Haga clic en Properties (Propiedades).

11. Como el PEAP implica la autenticación del servidor del cliente, asegúrese de que el certificado de servidor del validar esté controlado. También, asegúrese de que el CA que publicó el certificado ACS esté controlado bajo menú de los Trusted Root Certification Authority.

12. Elija la contraseña asegurada (EAP-MSCHAP v2) bajo método de autenticación como se utiliza para la autenticación interna.

    

13. Asegúrese de que el permiso rápidamente volver a conectar la casilla de verificación esté controlado. Entonces, AUTORIZACIÓN del tecleo tres veces.

14. Haga clic derecho el icono de la conexión de red inalámbrica en systray, y después haga clic las redes inalámbricas disponibles de la visión.

15. Haga clic la red inalámbrica del empleado, y después haga clic conectan. El cliente de red inalámbrica mostrará conectado si la conexión es acertada.

    

16. Después de que la autenticación sea acertada, controle la configuración TCP/IP para saber si hay el adaptador de red inalámbrica usando las conexiones de red. Debe tener un rango de direccionamiento de 10.0.20.100-10.0.20.200 del alcance del DHCP o del alcance creado para los clientes de red inalámbrica de CorpNet.

17. Para probar las funciones, abra a un navegador y hojee a http://10.0.10.10 (o a la dirección IP del servidor CA).

Resuelva problemas la autenticación inalámbrica con ACS

Siga estos pasos:

1. Van a ACS > la supervisión y los informes, y hacen clic la supervisión del lanzamiento y señalan el espectador.

   

2. Una ventana ACS separada se abrirá. Panel del tecleo.

   

3. En la mi sección de informes preferida, autenticaciones del tecleo – RADIUS – hoy.

   

4. Un registro mostrará todas las autenticaciones de RADIUS pues paso o fall. Dentro de una entrada registrada, haga clic en el icono de la lupa en la columna de los detalles.

   

5. El detalle de la autenticación de RADIUS proporcionará a mucha información sobre las tentativas registradas.

   

6. La cuenta del golpe del servicio ACS puede proporcionar a una descripción de las tentativas que corresponden con las reglas creadas en ACS. Van a ACS > las políticas de acceso > los servicios del acceso, y hacen clic las reglas de selección del servicio.

   

La autenticación PEAP falla con el servidor ACS

Cuando su cliente falla la autenticación PEAP con un servidor ACS, controle si usted encuentra el mensaje de error duplicado NAS del intento de autenticación en la opción de los intentos fallidos bajo menú del informe y de la actividad del ACS.

Usted puede ser que reciba este mensaje de error cuando el Microsoft Windows XP SP2 está instalado en la máquina del cliente y Windows XP SP2 autentica contra un servidor del otro vendedor con excepción de un servidor IAS de Microsoft. Particularmente, el servidor del RADIUS de Cisco (ACS) utiliza un método distinto para calcular el tipo de protocolo extensible authentication: Longitud: Identificación del formato del valor (EAP-TLV) que las aplicaciones de Windows XP del método. Microsoft ha identificado esto como defecto en el suplicante de XP SP2.

Para un Hotfix, el contacto Microsoft y refiere a la autenticación PEAP del artículo no es acertado cuando usted conecta con un servidor de RADIUS de tercera persona . El problema subyacente es ése en el lado del cliente, con la utilidad de Windows, el rápido vuelve a conectar la opción se inhabilita para el PEAP por abandono. Sin embargo, esta opción se activa por abandono en el lado del servidor (ACS). Para resolver este problema, uncheck el rápido vuelven a conectar la opción en el servidor ACS (bajo las opciones del sistema global). Alternativamente, usted puede activar el rápido vuelve a conectar la opción en el lado del cliente para resolver el problema.

Perorm estos pasos para activar rápidamente vuelve a conectar en el cliente que ejecuta Windows XP usando la utilidad de Windows:

1. Vaya al Start (Inicio)> Settings (Configuración) > Control panel (Panel de control).

2. Haga doble clic el icono de las conexiones de red.

3. Haga clic derecho el icono de la conexión de red inalámbrica, y después haga clic las propiedades.

4. Haga clic las redes inalámbricas cuadro.

5. Elija el uso Windows de configurar mi opción Settings de la red inalámbrica para permitir a las ventanas configurar el adaptador del cliente.

6. Si usted ha configurado ya un SSID, elija el SSID y haga clic las propiedades. Si no, haga clic nuevo para agregar una nueva red inalámbrica (WLAN).

7. Ingrese el SSID bajo asociación cuadro se aseguran de que la autenticación de red está abierta y la encripción de datos está fijada a WEP.

8. Haga clic la autenticación.

9. Elija la autenticación del 802.1x de IEEE del permiso para esta opción de red.

10. Elija el PEAP como el tipo EAP, y las propiedades del tecleo.

11. Elija el permiso rápidamente vuelven a conectar la opción en la parte inferior de la página.

Información Relacionada

• PEAP bajo redes inalámbricas unificadas con ACS 4.0 y Windows 2003
• Ejemplo inalámbrico del regulador LAN de Cisco (WLC) y de la configuración de Cisco ACS 5.x (TACACS+) para la autenticación Web
• Instalación y guía de actualización para el Cisco Secure Access Control System 5.1
• Soporte Técnico y Documentación - Cisco Systems