PEAP en UWN con ACS 5.1 y Windows 2003 Server

Introducción

Este documento describe cómo configurar el acceso inalámbrico seguro mediante controladores LAN inalámbricos, el software Microsoft Windows 2003 y Cisco Secure Access Control Server (ACS) 5.1 a través de Protected Extensible Authentication Protocol (PEAP) con Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) versión 2.

Nota: Para obtener información sobre la implementación de tecnología inalámbrica segura, refiérase al sitio web de Microsoft Wi-Fi y Cisco SAFE Wireless Blueprint.

Prerequisites

Requisitos

Se supone que el instalador tiene conocimiento de la instalación básica de Windows 2003 y de la instalación del controlador de LAN inalámbrica de Cisco, ya que este documento sólo cubre las configuraciones específicas para facilitar las pruebas.

Para obtener información de configuración e instalación inicial para los Cisco 5508 Series Controllers, refiérase a la Guía de Instalación del Controlador Inalámbrico Cisco 5500 Series. Para obtener información de configuración e instalación inicial para los Cisco 2100 Series Controllers, refiérase a la Guía de Inicio Rápido: Controlador de LAN inalámbrica de la serie 2100 de Cisco.

Las guías de instalación y configuración de Microsoft Windows 2003 se pueden encontrar en Instalación de Windows Server 2003 R2 .

Antes de comenzar, instale Microsoft Windows Server 2003 con el sistema operativo SP1 en cada uno de los servidores del laboratorio de pruebas y actualice todos los Service Packs. Instale los controladores y los puntos de acceso ligeros (LAP) y asegúrese de que se configuran las últimas actualizaciones de software.

Windows Server 2003 con SP1, Enterprise Edition se utiliza para que se pueda configurar la inscripción automática de certificados de usuario y estación de trabajo para la autenticación PEAP. La inscripción automática de certificados y la renovación automática facilitan la implementación de certificados y mejoran la seguridad al vencer y renovar certificados automáticamente.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Controlador de la serie 2106 o 5508 de Cisco que ejecuta 7.0.98.0

• Punto de acceso ligero (LWAPP) Cisco 1142

• Windows 2003 Enterprise con Internet Information Server (IIS), Certificate Authority (CA), DHCP y sistema de nombres de dominio (DNS) instalado

• Cisco 1121 Secure Access Control System Appliance (ACS) 5.1

• Windows XP Professional con SP (y Service Packs actualizados) y tarjeta de interfaz de red inalámbrica (NIC) (compatible con CCX v3) o suplicante de terceros.

• Switch Cisco 3750

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Topología del laboratorio Cisco Secure Wireless

El propósito principal de este documento es proporcionarle el procedimiento paso a paso para implementar el PEAP en Redes Inalámbricas Unificadas con ACS 5.1 y el servidor Windows 2003 Enterprise. El énfasis principal se centra en la inscripción automática del cliente de modo que el cliente se inscriba automáticamente y tome el certificado del servidor.

Nota: Para agregar acceso Wi-Fi protegido (WPA)/WPA2 con protocolo de integridad de clave temporal (TKIP)/estándar de cifrado avanzado (AES) a Windows XP Professional con SP, consulte la actualización de WPA2/Elemento de información de servicios de aprovisionamiento inalámbrico (WPS IE) para Windows XP con Service Pack 2 .

Configuración de Windows Enterprise 2003 con IIS, Autoridad de Certificación, DNS, DHCP (CA)

CA (democa)

CA es un equipo que ejecuta Windows Server 2003 con SP2, Enterprise Edition y realiza estas funciones:

• Controlador de dominio para el dominio demo.local que ejecuta IIS

• Un servidor DNS para el dominio DNS demo.local

• Un servidor DHCP

• CA raíz empresarial para el dominio demo.local

Realice estos pasos para configurar CA para estos servicios:

1. Realice una instalación y configuración básica.

2. Configure el equipo como controlador de dominio.

3. Aumente el nivel funcional del dominio.

4. Instale y configure DHCP.

5. Instale los servicios de certificados.

6. Verifique los permisos de administrador para los certificados.

7. Agregue ordenadores al dominio.

8. Permitir el acceso inalámbrico a los ordenadores.

9. Agregue usuarios al dominio.

10. Permitir el acceso inalámbrico a los usuarios.

11. Agregue grupos al dominio.

12. Agregue usuarios al grupo de usuarios inalámbricos.

13. Agregue ordenadores cliente al grupo de usuarios inalámbricos.

Instalación y configuración básicas

Siga estos pasos:

1. Instale Windows Server 2003 con SP2, Enterprise Edition como servidor independiente.

2. Configure el protocolo TCP/IP con la dirección IP de 10.0.10.10 y la máscara de subred de 255.255.255.0.

Configuración del equipo como controlador de dominio

Siga estos pasos:

1. Para iniciar el asistente de instalación de Active Directory, elija Start > Run, type dcpromo.exe y haga clic en OK.

2. En la página Welcome to the Active Directory Installation Wizard (Bienvenido al Asistente de instalación de Active Directory), haga clic en Next.

3. En la página Compatibilidad del sistema operativo, haga clic en Siguiente.

4. En la página Domain Controller Type (Tipo de controlador de dominio), seleccione Domain Controller for a new Domain y haga clic en Next.

5. En la página Crear nuevo dominio, seleccione Dominio en un nuevo bosque y haga clic en Siguiente.

6. En la página Install or Configure DNS (Instalar o configurar DNS), seleccione No, simplemente instale y configure DNS en este equipo y haga clic en Next (Siguiente).

7. En la página Nuevo nombre de dominio, escriba demo.local y haga clic en Siguiente.

8. En la página NetBIOS Domain Name (Nombre de dominio de NetBIOS), ingrese el nombre de NetBIOS de dominio como demo y haga clic en Next.

9. En la página Ubicaciones de la Base de Datos y las Carpetas de Registro, acepte los directorios predeterminados Database y Log Folders y haga clic en Next.

   

10. En la página Volumen del sistema compartido, verifique que la ubicación predeterminada de la carpeta sea correcta y haga clic en Siguiente.

    

11. En la página Permisos, verifique que Permisos compatibles sólo con sistemas operativos Windows 2000 o Windows Server 2003 esté seleccionado y haga clic en Siguiente.

    

12. En la página Directory Services Restore Mode Administration Password, deje los cuadros de contraseña en blanco y haga clic en Next.

13. Revise la información de la página Resumen y haga clic en Siguiente.

    

14. Cuando haya terminado la instalación de Active Directory, haga clic en Finalizar.

15. Cuando se le solicite reiniciar el equipo, haga clic en Reiniciar ahora.

Elevar el nivel funcional del dominio

Siga estos pasos:

1. Abra el complemento Dominios y confianza de Active Directory de la carpeta Herramientas administrativas (Inicio > Programas > Herramientas administrativas > Dominios y confianzas de Active Directory) y, a continuación, haga clic con el botón derecho en el equipo de dominio CA.demo.local.

2. Haga clic en Elevar el nivel funcional del dominio y, a continuación, seleccione Windows Server 2003 en la página Aumentar el nivel funcional del dominio.

   

3. Haga clic en Levantar, haga clic en Aceptar y, a continuación, haga clic en Aceptar de nuevo.

Instalación y configuración de DHCP

Siga estos pasos:

1. Instale el protocolo de configuración dinámica de host (DHCP) como un componente de servicio de red mediante Agregar o quitar programas en el Panel de control.

2. Abra el complemento DHCP de la carpeta Administrative Tools (Inicio > Programas > Herramientas administrativas > DHCP) y, a continuación, resalte el servidor DHCP, CA.demo.local.

3. Haga clic en Acción y luego haga clic en Autorizar para autorizar el servicio DHCP.

4. En el árbol de la consola, haga clic con el botón derecho del mouse en CA.demo.local y, a continuación, haga clic en Nuevo alcance.

5. En la página de bienvenida del asistente Nuevo alcance, haga clic en Siguiente.

6. En la página Nombre del ámbito, escriba CorpNet en el campo Nombre.

   

7. Haga clic en Next y rellene estos parámetros:

   • Dirección IP inicial - 10.0.20.1

   • Dirección IP final - 10.0.20.200

   • Longitud - 24

   • Máscara de subred - 255.255.255.0

   

8. Haga clic en Next e ingrese 10.0.20.1 para la dirección IP inicial y 10.0.20.100 para la dirección IP final que se excluirá. Luego haga clic en Next (Siguiente). Esto reserva las direcciones IP en el rango de 10.0.20.1 a 10.0.20.100. El servidor DHCP no asigna estas direcciones IP de reserva.

   

9. En la página Duración del arrendamiento, haga clic en Siguiente.

10. En la página Configure DHCP Options (Configurar opciones DHCP), elija Yes (Sí), I want to configure this options now y haga clic en Next.

    

11. En la página Router (Default Gateway), agregue la dirección predeterminada del router 10.0.20.1 y haga clic en Next.

    

12. En la página Nombre de dominio y Servidores DNS, escriba demo.local en el campo Dominio principal, escriba 10.0.10.10 en el campo Dirección IP y, a continuación, haga clic en Agregar y haga clic en Siguiente.

    

13. En la página Servidores WINS, haga clic en Siguiente.

14. En la página Activate Scope (Activar alcance), elija Yes (Sí). Deseo activar este ámbito ahora y haga clic en Next (Siguiente).

    

15. Cuando termine con la página Asistente para nuevo alcance, haga clic en Finalizar.

Instalar servicios de certificados

Siga estos pasos:

Nota: IIS debe estar instalado antes de instalar Servicios de Certificate Server y el usuario debe formar parte de la OU de Enterprise Admin.

1. En Panel de control, abra Agregar o quitar programas y, a continuación, haga clic en Agregar o quitar componentes de Windows.

2. En la página Asistente para componentes de Windows, elija Servicios de certificados y, a continuación, haga clic en Siguiente.

3. En la página CA Type (Tipo de CA), elija Enterprise root CA y haga clic en Next (Siguiente).

4. En la página CA Identificación de información, escriba democa en el nombre común de este cuadro CA. También puede introducir los demás detalles opcionales. A continuación, haga clic en Next y acepte los valores predeterminados en la página Certificate Database Settings (Parámetros de la base de datos de certificados).

5. Haga clic en Next (Siguiente). Una vez finalizada la instalación, haga clic en Finalizar.

6. Haga clic en Aceptar después de leer el mensaje de advertencia sobre la instalación de IIS.

Verificar permisos de administrador para certificados

Siga estos pasos:

1. Elija Inicio > Herramientas Administrativas > Autoridad de Certificación.

2. Haga clic con el botón derecho en democa CA y luego haga clic en Propiedades.

3. En la ficha Seguridad, haga clic en Administradores en la lista Grupos o Nombres de usuario.

4. En la lista Permisos para Administradores, verifique que estas opciones estén configuradas en Permitir:

   • Ejecutar y administrar certificados

   • Administrar CA

   • Solicitar certificados

   Si alguno de ellos está configurado en Deny o no está seleccionado, establezca los permisos en Allow.

   

5. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de la CA de democa y, a continuación, cierre Autoridad de certificación.

Agregar ordenadores al dominio

Siga estos pasos:

Nota: Si el equipo ya se ha agregado al dominio, vaya a Agregar usuarios al dominio.

1. Abra el complemento Usuarios y equipos de Active Directory.

2. En el árbol de la consola, expanda demo.local.

3. Haga clic con el botón derecho del ratón en Computers, haga clic en New y, a continuación, haga clic en Computer.

4. En el cuadro de diálogo Nuevo objeto - Equipo, escriba el nombre del equipo en el campo Nombre del equipo y haga clic en Siguiente. Este ejemplo utiliza el nombre de equipo Client.

   

5. En el cuadro de diálogo Administrado, haga clic en Siguiente.

6. En el cuadro de diálogo Nuevo objeto - Equipo, haga clic en Finalizar.

7. Repita los pasos 3 a 6 para crear cuentas de equipo adicionales.

Permitir el acceso inalámbrico a los ordenadores

Siga estos pasos:

1. En el árbol de la consola Usuarios y equipos de Active Directory, haga clic en la carpeta Equipos y haga clic con el botón derecho del ratón en el equipo para el que desea asignar acceso inalámbrico. Este ejemplo muestra el procedimiento con el Cliente de equipo que agregó en el paso 7. Haga clic en Propiedades y, a continuación, vaya a la ficha Marcar.

2. En Remote Access Permission , elija Allow access y haga clic en OK.

   

Agregar usuarios al dominio

Siga estos pasos:

1. En el árbol de la consola Usuarios y equipos de Active Directory, haga clic con el botón derecho en Usuarios, haga clic en Nuevo y, a continuación, haga clic en Usuario.

2. En el cuadro de diálogo Nuevo objeto - Usuario, escriba el nombre del usuario inalámbrico. Este ejemplo utiliza el nombre wirelessuser en el campo Nombre y usuario inalámbrico en el campo Nombre de inicio de sesión de usuario. Haga clic en Next (Siguiente).

   

3. En el cuadro de diálogo Nuevo objeto - Usuario, escriba la contraseña que desee en los campos Contraseña y Confirmar contraseña. Desactive la casilla de verificación El usuario debe cambiar la contraseña en el siguiente inicio de sesión y haga clic en Siguiente.

   

4. En el cuadro de diálogo Nuevo objeto - usuario, haga clic en Finalizar.

5. Repita los pasos 2 a 4 para crear cuentas de usuario adicionales.

Permitir el acceso inalámbrico a los usuarios

Siga estos pasos:

1. En el árbol de la consola Usuarios y equipos de Active Directory, haga clic en la carpeta Usuarios, haga clic con el botón derecho del mouse en usuario inalámbrico, haga clic en Propiedades y, a continuación, vaya a la ficha Marcado de entrada.

2. En Remote Access Permission , elija Allow access y haga clic en OK.

   

Agregar grupos al dominio

Siga estos pasos:

1. En el árbol de la consola Usuarios y equipos de Active Directory, haga clic con el botón derecho del mouse en Usuarios, haga clic en Nuevo y, a continuación, haga clic en Grupo.

2. En el cuadro de diálogo Nuevo objeto - grupo, escriba el nombre del grupo en el campo Nombre del grupo y haga clic en Aceptar. Este documento utiliza el nombre del grupo usuarios inalámbricos.

   

Agregar usuarios al grupo de usuarios inalámbricos

Siga estos pasos:

1. En el panel de detalles de Active Directory Users and Computers, haga doble clic en el grupo WirelessUsers.

2. Vaya a la ficha Miembros y haga clic en Agregar.

3. En el cuadro de diálogo Seleccionar usuarios, contactos, equipos o grupos, escriba el nombre de los usuarios que desea agregar al grupo. Este ejemplo muestra cómo agregar el usuario wireless al grupo. Click OK.

   

4. En el cuadro de diálogo Varios nombres encontrados, haga clic en Aceptar. La cuenta de usuario del usuario del teléfono inalámbrico se agrega al grupo de usuarios del teléfono inalámbrico.

   

5. Haga clic en Aceptar para guardar los cambios en el grupo de usuarios inalámbricos.

6. Repita este procedimiento para agregar más usuarios al grupo.

Agregar equipos cliente al grupo de usuarios inalámbricos

Siga estos pasos:

1. Repita los pasos 1 y 2 en la sección Agregar usuarios al grupo de usuarios inalámbricos de este documento.

2. En el cuadro de diálogo Seleccionar usuarios, contactos o equipos, escriba el nombre del equipo que desea agregar al grupo. Este ejemplo muestra cómo agregar el equipo denominado client al grupo.

   

3. Haga clic en Tipos de objetos, desactive la casilla de verificación Usuarios y, a continuación, active Equipos.

   

4. Haga clic en OK dos veces. La cuenta del equipo CLIENTE se agrega al grupo de usuarios inalámbricos.

   

5. Repita el procedimiento para agregar más ordenadores al grupo.

Cisco 1121 Secure ACS 5.1

Instalación mediante el dispositivo de la serie CSACS-1121

El dispositivo CSACS-1121 se preinstala con el software ACS 5.1. Esta sección le ofrece una descripción general del proceso de instalación y las tareas que debe realizar antes de instalar ACS.

1. Conecte el CSACS-1121 a la consola de red y de dispositivos. Consulte el Capítulo 4, "Conexión de cables".

2. Encienda el dispositivo CSACS-1121. Consulte el capítulo 4, "Alimentación del dispositivo de la serie CSACS-1121".

3. Ejecute el comando setup en la indicación CLI para configurar los parámetros iniciales para el servidor ACS. Consulte Ejecución del programa de instalación.

Instalación del Servidor ACS

Esta sección describe el proceso de instalación para el servidor ACS en el dispositivo de la serie CSACS-1121.

• Ejecutar el programa de instalación

• Verificar el proceso de instalación

• Tareas posteriores a la instalación

Para obtener información detallada sobre la instalación de Cisco Secure ACS Server, consulte la Guía de Instalación y Actualización para Cisco Secure Access Control System 5.1.

Configuración del controlador Cisco WLC5508

Cree la configuración necesaria para WPAv2/WPA

Siga estos pasos:

Nota: Se supone que el controlador tiene conectividad básica a la red y que el alcance de IP a la interfaz de administración es exitoso.

1. Vaya a https://10.0.1.10 para iniciar sesión en el controlador.

   

2. Haga clic en Login (Conexión).

3. Inicie sesión con el usuario predeterminado admin y la contraseña predeterminada admin.

4. Cree una nueva interfaz para la asignación de VLAN bajo el menú Controlador.

5. Haga clic en Interfaces.

6. Haga clic en New.

7. En el campo Interface name (Nombre de la interfaz), ingrese Employee. (Este campo puede ser cualquier valor que desee.)

8. En el campo VLAN ID, ingrese 20. (Este campo puede ser cualquier VLAN que se transporta en la red.)

9. Haga clic en Apply (Aplicar).

10. Configure la información como muestra esta ventana Interfaces > Edit:

    • Dirección IP de la interfaz: 10.0.20.2

    • Máscara de red - 255.255.255.0

    • Gateway - 10.0.10.1

    • DHCP primario - 10.0.10.10

    

11. Haga clic en Apply (Aplicar).

12. Haga clic en la pestaña WLANs.

13. Elija Create New y haga clic en Go.

14. Introduzca un nombre de perfil y, en el campo WLAN SSID, introduzca Empleado.

    

15. Elija un ID para la WLAN y haga clic en Aplicar.

16. Configure la información para esta WLAN cuando aparezca la ventana WLANs > Edit .

    Nota: WPAv2 es el método de encriptación de capa 2 elegido para este laboratorio. Para permitir que WPA con clientes TKIP-MIC se asocien a este SSID, también puede marcar las casillas Modo de compatibilidad WPA y Permitir clientes TKIP WPA2 o aquellos clientes que no soportan el método de encriptación AES 802.11i.

17. En la pantalla WLANs > Edit , haga clic en la pestaña General.

18. Asegúrese de que la casilla Status esté activada para Enabled y que se elija la interfaz (empleado) adecuada. Además, asegúrese de marcar la casilla de verificación Enabled para Broadcast SSID.

    

19. Haga clic en la ficha Security (Seguridad).

20. En el submenú Capa 2, verifique WPA + WPA2 para la Seguridad de Capa 2. Para la encriptación WPA2, verifique AES + TKIP para permitir clientes TKIP.

21. Elija 802.1x como método de autenticación.

    

22. Omita el submenú Capa 3 porque no es necesario. Una vez que se configura el servidor RADIUS, se puede elegir el servidor adecuado en el menú Authentication (Autenticación).

23. Las fichas QoS y Advanced se pueden dejar de forma predeterminada a menos que se requiera alguna configuración especial.

24. Haga clic en el menú Seguridad para agregar el servidor RADIUS.

25. En el submenú RADIUS, haga clic en Authentication. A continuación, haga clic en Nuevo.

26. Agregue la dirección IP del servidor RADIUS (10.0.10.20) que es el servidor ACS configurado anteriormente.

27. Asegúrese de que la clave compartida coincida con el cliente AAA configurado en el servidor ACS. Asegúrese de que la casilla Network User esté marcada y haga clic en Apply.

    

28. La configuración básica se ha completado y puede comenzar a probar PEAP.

Autenticación PEAP

PEAP con MS-CHAP versión 2 requiere certificados en los servidores ACS pero no en los clientes inalámbricos. La inscripción automática de certificados informáticos para los servidores ACS se puede utilizar para simplificar una implementación.

Para configurar el servidor de la CA para proporcionar la inscripción automática para los certificados de equipo y usuario, complete los procedimientos de esta sección.

Nota: Microsoft ha cambiado la plantilla de servidor Web con la versión de la CA empresarial de Windows 2003, de modo que las claves ya no se pueden exportar y la opción está atenuada. No hay otras plantillas de certificados suministradas con servicios de certificados para la autenticación del servidor y ofrecen la capacidad de marcar claves como exportables disponibles en la lista desplegable, por lo que debe crear una nueva plantilla que lo haga.

Nota: Windows 2000 permite exportar claves y no es necesario seguir estos procedimientos si utiliza Windows 2000.

Instalación del complemento Plantillas de certificado

Siga estos pasos:

1. Elija Inicio > Ejecutar, ingrese mmc y haga clic en Aceptar.

2. En el menú Archivo, haga clic en Agregar o quitar complemento y, a continuación, haga clic en Agregar.

3. En Complemento, haga doble clic en Plantillas de certificado, haga clic en Cerrar y, a continuación, haga clic en Aceptar.

4. En el árbol de la consola, haga clic en Plantillas de certificado. Todas las plantillas de certificados aparecen en el panel Detalles.

5. Para omitir los pasos 2 a 4, ingrese certtmpl.msc que abre el complemento Plantillas de certificado.

   

Creación de la Plantilla de Certificado para el Servidor Web ACS

Siga estos pasos:

1. En el panel Detalles del complemento Plantillas de certificado, haga clic en la plantilla Servidor Web.

2. En el menú Acción, haga clic en Duplicar plantilla.

   

3. En el campo Template display name, ingrese ACS.

   

4. Vaya a la ficha Gestión de solicitudes y marque Permitir exportación de la clave privada. Asegúrese también de que Signature and Encryption esté seleccionado en el menú desplegable Purpose (Propósito).

   

5. Elija Solicitudes debe utilizar uno de los siguientes CSP y verificar Proveedor criptográfico de Microsoft Base v1.0. Desactive cualquier otro CSP que esté marcado y haga clic en Aceptar.

   

6. Vaya a la pestaña Nombre del asunto, elija Suministro en la solicitud y haga clic en Aceptar.

   

7. Vaya a la ficha Seguridad, resalte el grupo de administradores de dominio y asegúrese de que la opción Inscripción esté marcada en Permitida.

   Nota: Si elige generar de esta información de Active Directory, sólo verifique el nombre principal de usuario (UPN) y desmarque Incluir nombre de correo electrónico en el nombre del asunto y el nombre de correo electrónico porque no se introdujo un nombre de correo electrónico para la cuenta de usuario inalámbrico en el complemento Usuarios y equipos de Active Directory. Si no desactiva estas dos opciones, la inscripción automática intenta utilizar el correo electrónico, lo que da lugar a un error de inscripción automática.

8. Existen medidas de seguridad adicionales si es necesario para evitar que los certificados se eliminen automáticamente. Estos se pueden encontrar en la pestaña Requisitos de emisión. Esto no se analiza más a fondo en este documento.

   

9. Haga clic en Aceptar para guardar la plantilla y pasar a emitir esta plantilla desde el complemento Autoridad de certificados.

Habilitación de la Nueva Plantilla de Certificado de Servidor Web ACS

Siga estos pasos:

1. Abra el complemento Entidad de certificación. Realice los pasos del 1 al 3 en la sección Creación de la Plantilla de Certificado para el Servidor Web ACS, elija la opción Autoridad de Certificación, elija Equipo Local y haga clic en Finalizar.

2. En el árbol de la consola Autoridad de certificados, expanda ca.demo.local y, a continuación, haga clic con el botón derecho en Plantillas de certificados.

3. Vaya a New > Certificate Template para emitir.

   

4. Haga clic en la plantilla de certificado ACS.

   

5. Haga clic en Aceptar y abra el complemento Usuarios y equipos de Active Directory.

6. En el árbol de la consola, haga doble clic en Active Directory Users and Computers, haga clic con el botón derecho en demo.local y, a continuación, haga clic en Properties.

   

7. En la ficha Directiva de grupo, haga clic en Política de dominio predeterminada y, a continuación, haga clic en Editar. Se abre el complemento Editor de objetos de directiva de grupo.

   

8. En el árbol de la consola, expanda Computer Configuration > Windows Settings > Security Settings > Public Key Policies , y luego elija Automatic Certificate Request Settings.

   

9. Haga clic con el botón derecho del mouse en Configuración automática de solicitud de certificado y elija Nuevo > Solicitud automática de certificado.

10. En la página Welcome to the Automatic Certificate Request Setup Wizard (Bienvenido al Asistente de configuración automática de solicitudes de certificado), haga clic en Next.

11. En la página Plantilla de certificado, haga clic en Equipo y, a continuación, haga clic en Siguiente.

    

12. Cuando complete la página Asistente para la configuración automática de solicitudes de certificados, haga clic en Finalizar. El tipo de certificado de equipo ahora aparece en el panel de detalles del complemento Editor de objetos de directiva de grupo.

    

13. En el árbol de la consola, expanda User Configuration > Windows Settings > Security Settings > Public Key Policies.

14. En el panel de detalles, haga doble clic en Configuración de inscripción automática.

    

15. Elija Inscribir certificados automáticamente y marque Renovar certificados caducados, actualizar certificados pendientes y eliminar certificados revocados y Actualizar certificados que utilicen plantillas de certificados.

    

16. Click OK.

Configuración de certificados ACS 5.1

Configuración del Certificado Exportable para ACS

Nota: El servidor ACS debe obtener un certificado de servidor del servidor CA raíz de la empresa para autenticar un cliente PEAP de WLAN.

Nota: Asegúrese de que el Administrador de IIS no esté abierto durante el proceso de configuración del certificado, ya que causa problemas con la información almacenada en caché.

1. Inicie sesión en el servidor ACS con derechos de administrador de cuenta.

2. Vaya a Administración del sistema > Configuración > Certificados de servidor local. Haga clic en Add (Agregar).

   

3. Cuando elija un método de creación de certificado de servidor, elija Generar solicitud de firma de certificado. Haga clic en Next (Siguiente).

   

4. Introduzca un asunto de certificado y una longitud de clave como ejemplo y, a continuación, haga clic en Finalizar:

   • Asunto del certificado - CN=acs.demo.local

   • Longitud de la clave: 1024

   

5. ACS solicitará que se haya generado una solicitud de firma de certificado. Click OK.

   

6. En Administración del sistema, vaya a Configuración > Certificados de servidor local > Solicitudes pendientes de firma.

   Nota: El motivo de este paso es que Windows 2003 no permite las claves exportables y necesita generar una solicitud de certificado basada en el certificado ACS que creó anteriormente que sí.

   

7. Elija la entrada Solicitud de firma de certificado y haga clic en Exportar.

   

8. Guarde el archivo ACS certificate .pem en el escritorio.

   

Instalación del certificado en el software ACS 5.1

Siga estos pasos:

1. Abra un navegador y conéctese a la URL del servidor de la CA http://10.0.10.10/certsrv.

   

2. Aparecerá la ventana Servicios de certificados de Microsoft. Elija Solicitar un certificado.

   

3. Haga clic para enviar una solicitud de certificado avanzada.

   

4. En la solicitud avanzada, haga clic en Enviar una solicitud de certificado utilizando un codificado base 64...

   

5. En el campo Solicitud guardada, si la seguridad del navegador lo permite, busque el archivo de solicitud de certificado ACS anterior e insértelo.

   

6. Es posible que los parámetros de seguridad del explorador no permitan acceder al archivo en un disco. Si es así, haga clic en Aceptar para realizar una pasta manual.

   

7. Busque el archivo ACS *.pem de la exportación ACS anterior. Abra el archivo con un editor de texto (por ejemplo, Bloc de notas).

   

8. Resalte todo el contenido del archivo y haga clic en Copiar.

   

9. Vuelva a la ventana de solicitud de certificado de Microsoft. Pegue el contenido copiado en el campo Solicitud guardada.

   

10. Elija ACS como la plantilla de certificado y haga clic en Enviar.

    

11. Una vez emitido el certificado, elija Base 64 codificado y haga clic en Descargar certificado.

    

12. Haga clic en Guardar para guardar el certificado en el escritorio.

    

13. Vaya a ACS > Administración del sistema > Configuración > Certificados de servidor local. Elija Bind CA Signed Certificate y haga clic en Next.

    

14. Haga clic en Examinar y busque el certificado guardado.

    

15. Elija el certificado ACS que fue emitido por el servidor CA y haga clic en Abrir.

    

16. Además, marque la casilla Protocol para EAP y haga clic en Finish.

    

17. El certificado ACS emitido por CA aparecerá en el certificado local ACS.

    

Configuración de ACS Identity Store para Active Directory

Siga estos pasos:

1. Conéctese a ACS e inicie sesión con la cuenta Admin.

2. Vaya a Usuarios y Almacenes de Identidad > Almacenes de Identidad Externa > Active Directory.

   

3. Ingrese la demostración de dominio de Active Directory.local, ingrese la contraseña del servidor y haga clic en Probar conexión. Haga clic en Aceptar para continuar.

   

4. Haga clic en Guardar cambios.

   

   Nota: Para obtener más información sobre el procedimiento de integración ACS 5.x, consulte ACS 5.x y posteriores: Ejemplo de Configuración de Integración con Microsoft Active Directory.

Agregar un Controlador a ACS como Cliente AAA

Siga estos pasos:

1. Conéctese a ACS y vaya a Recursos de Red > Dispositivos de Red y Clientes AAA. Haga clic en Crear.

   

2. Escriba en estos campos:

   • Nombre - wlc

   • IP - 10.0.1.10

   • casilla de verificación RADIUS - Activada

   • Secreto compartido - cisco

   

3. Haga clic en Enviar cuando haya terminado. El controlador aparecerá como una entrada en la lista de dispositivos de red ACS.

   

Configuración de Políticas de Acceso ACS para Tecnología Inalámbrica

Siga estos pasos:

1. En ACS, vaya a Access Policies > Access Services.

   

2. En la ventana Access Services, haga clic en Create.

   

3. Cree un servicio de acceso e introduzca un nombre (por ejemplo, WirelessAD). Elija Basado en la plantilla de servicio y haga clic en Seleccionar.

   

4. En el diálogo de la página web, elija Network Access - Simple. Click OK.

   

5. En el diálogo de la página web, elija Network Access - Simple. Click OK. Una vez seleccionada la plantilla, haga clic en Siguiente.

   

6. En Allowed Protocols (Protocolos permitidos), active las casillas Allow MS-CHAPv2 and Allow PEAP. Haga clic en Finish (Finalizar).

   

7. Cuando ACS le pida que active el nuevo servicio, haga clic en Yes.

   

8. En el nuevo servicio de acceso que se acaba de crear/activar, expanda y elija Identidad. Para el origen de identidad, haga clic en Seleccionar.

   

9. Elija AD1 para Active Directory que se configuró en ACS, haga clic en Aceptar.

   

10. Confirme que el Origen de la Identidad sea AD1 y haga clic en Guardar cambios.

    

Creación de una Política de Acceso ACS y una Regla de Servicio

Siga estos pasos:

1. Vaya a Políticas de acceso > Reglas de selección de servicio.

   

2. Haga clic en Crear en la ventana Directiva de selección de servicio. Asigne un nombre a la nueva regla (por ejemplo, WirelessRule). Marque la casilla Protocol para que coincida con Radius.

   

3. Elija Radius y haga clic en OK.

   

4. En Resultados, elija WirelessAD para Servicio (creado en el paso anterior).

   

5. Una vez creada la nueva regla inalámbrica, elija y Mueva esta regla a la parte superior, que será la primera regla para identificar la autenticación de radio inalámbrica mediante Active Directory.

   

Configuración del CLIENTE para PEAP con Windows Zero Touch

En nuestro ejemplo, CLIENT es un equipo que ejecuta Windows XP Professional con SP que actúa como cliente inalámbrico y obtiene acceso a los recursos de Intranet a través del AP inalámbrico. Complete los procedimientos de esta sección para configurar CLIENT como cliente inalámbrico.

Realizar una instalación y configuración básicas

Siga estos pasos:

1. Conecte el CLIENTE al segmento de red de la Intranet mediante un cable Ethernet conectado al hub.

2. En CLIENT, instale Windows XP Professional con SP2 como equipo miembro denominado CLIENTE del dominio demo.local.

3. Instale Windows XP Professional con SP2. Esto se debe instalar para tener soporte PEAP.

   Nota: Firewall de Windows se activa automáticamente en Windows XP Professional con SP2. No apague el firewall.

Instalación del adaptador de red inalámbrico

Siga estos pasos:

1. Apague el equipo CLIENTE.

2. Desconecte el equipo CLIENTE del segmento de red de la Intranet.

3. Reinicie el equipo CLIENT y, a continuación, inicie sesión con la cuenta de administrador local.

4. Instale el adaptador de red inalámbrico.

   Nota: No instale el software de configuración del fabricante para el adaptador inalámbrico. Instale los controladores del adaptador de red inalámbrica mediante el Asistente para agregar hardware. Además, cuando se le solicite, proporcione el CD proporcionado por el fabricante o un disco con controladores actualizados para su uso con Windows XP Professional con SP2.

Configuración de la conexión de red inalámbrica

Siga estos pasos:

1. Cierre la sesión y, a continuación, inicie sesión con la cuenta WirelessUser en el dominio demo.local.

2. Elija Inicio > Panel de Control, haga doble clic en Conexiones de Red y luego haga clic con el botón derecho en Conexión de Red Inalámbrica.

3. Haga clic en Properties, vaya a la pestaña Wireless Networks y asegúrese de que Use Windows para configurar mis parámetros de red inalámbrica esté marcado.

   

4. Haga clic en Add (Agregar).

5. En la ficha Asociación, introduzca Empleado en el campo Nombre de red (SSID).

6. Elija WPA para la autenticación de red y asegúrese de que el cifrado de datos esté configurado en TKIP.

   

7. Haga clic en la pestaña Autenticación.

8. Valide que el tipo EAP esté configurado para utilizar EAP protegido (PEAP). Si no es así, selecciónelo en el menú desplegable.

9. Si desea que la máquina se autentique antes del inicio de sesión (lo que permite aplicar secuencias de comandos de inicio de sesión o directivas de grupo), active Autenticar como equipo cuando la información del equipo esté disponible.

   

10. Haga clic en Properties (Propiedades).

11. Dado que PEAP implica la autenticación del servidor por parte del cliente, asegúrese de que el certificado de servidor Validar esté verificado. Además, asegúrese de que la CA que emitió el certificado ACS esté marcada en el menú Autoridades de certificación raíz de confianza.

12. Elija Contraseña segura (EAP-MSCHAP v2) en Método de autenticación, ya que se utiliza para la autenticación interna.

    

13. Asegúrese de que la casilla de verificación Enable Fast Reconnect esté marcada. A continuación, haga clic en Aceptar tres veces.

14. Haga clic con el botón derecho del ratón en el icono de conexión de red inalámbrica del sistema y, a continuación, haga clic en Ver redes inalámbricas disponibles.

15. Haga clic en la red inalámbrica de Empleado y, a continuación, haga clic en Conectar. El cliente inalámbrico mostrará Connected si la conexión es correcta.

    

16. Después de que la autenticación se realice correctamente, compruebe la configuración TCP/IP del adaptador inalámbrico mediante Conexiones de red. Debe tener un rango de direcciones de 10.0.20.100-10.0.20.200 del alcance DHCP o el alcance creado para los clientes inalámbricos CorpNet.

17. Para probar la funcionalidad, abra un explorador y navegue hasta http://10.0.10.10 (o la dirección IP del servidor de la CA).

Resolución de Problemas de Autenticación Inalámbrica con ACS

Siga estos pasos:

1. Vaya a ACS > Monitoring and Reports, y haga clic en Launch Monitoring & Report Viewer.

   

2. Se abrirá una ventana ACS independiente. Haga clic en Panel.

   

3. En la sección Mis informes favoritos, haga clic en Autenticaciones - RADIUS - Hoy.

   

4. Un registro mostrará todas las autenticaciones RADIUS como Pass o Fail. Dentro de una entrada registrada, haga clic en el icono de lupa en la columna Detalles.

   

5. El detalle de autenticación RADIUS proporcionará mucha información sobre los intentos registrados.

   

6. ACS Service Hit Count puede proporcionar una descripción general de los intentos que coinciden con las reglas creadas en ACS. Vaya a ACS > Políticas de Acceso > Servicios de Acceso y haga clic en Reglas de Selección de Servicio.

   

La autenticación PEAP falla con el servidor ACS

Cuando su cliente falla la autenticación PEAP con un servidor ACS, verifique si encuentra el mensaje de error intento de autenticación duplicada de NAS en la opción Intentos fallidos bajo el menú Informe y Actividad del ACS.

Puede recibir este mensaje de error cuando Microsoft Windows XP SP2 esté instalado en el equipo cliente y Windows XP SP2 se autentique en un servidor de terceros que no sea un servidor Microsoft IAS. En particular, el servidor RADIUS de Cisco (ACS) utiliza un método diferente para calcular la ID de formato EAP-TLV (Extensible Authentication Protocol Type:Length:Value) que el método que utiliza Windows XP. Microsoft ha identificado esto como un defecto en el suplicante XP SP2.

Para una revisión, comuníquese con Microsoft y consulte el artículo La autenticación PEAP no es exitosa cuando se conecta a un servidor RADIUS de terceros. El problema subyacente es que en el lado del cliente, con la utilidad de windows, la opción Fast Reconnect está inhabilitada para PEAP de forma predeterminada. Sin embargo, esta opción está activada de forma predeterminada en el lado del servidor (ACS). Para resolver este problema, desmarque la opción Fast Reconnect en el servidor ACS (en Opciones del sistema global). Alternativamente, puede habilitar la opción Fast Reconnect en el lado del cliente para resolver el problema.

Realice estos pasos para habilitar Fast Reconnect en el cliente que ejecuta Windows XP mediante Windows Utility:

1. Vaya a Inicio > Configuración > Panel de control.

2. Haga doble clic en el icono Conexiones de red.

3. Haga clic con el botón derecho del ratón en el icono Conexión de red inalámbrica y, a continuación, haga clic en Propiedades.

4. Haga clic en la pestaña Redes inalámbricas.

5. Elija la opción Usar Windows para configurar los parámetros de mi red inalámbrica para habilitar windows para configurar el adaptador del cliente.

6. Si ya ha configurado un SSID, elija el SSID y haga clic en Propiedades. Si no, haga clic en Nuevo para agregar una nueva WLAN.

7. Introduzca el SSID en la ficha Association (Asociación). Asegúrese de que la Autenticación de Red esté Abierta y que el Cifrado de Datos esté configurado en WEP.

8. Haga clic en Authentication.

9. Elija la opción Habilitar autenticación IEEE 802.1x para esta red.

10. Elija PEAP como tipo EAP y haga clic en Propiedades.

11. Elija la opción Enable Fast Reconnect en la parte inferior de la página.

Información Relacionada

• PEAP en redes inalámbricas unificadas con ACS 4.0 y Windows 2003
• Ejemplo de Configuración de Cisco Wireless LAN Controller (WLC) y Cisco ACS 5.x (TACACS+) para la Autenticación Web
• Guía de instalación y actualización de Cisco Secure Access Control System 5.1
• Soporte Técnico y Documentación - Cisco Systems

Revision History