Introducción
Este documento proporciona una configuración de ejemplo para el protocolo de autenticación extensible protegido (PEAP) con autenticación Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) versión 2 en una red Cisco Unified Wireless con Microsoft Network Policy Server (NPS) como servidor RADIUS.
Prerequisites
Requirements
Asegúrese de estar familiarizado con estos procedimientos antes de intentar esta configuración:
- Conocimiento de la instalación básica de Windows 2008
- Conocimiento de la instalación del controlador de Cisco
Asegúrese de que se han cumplido estos requisitos antes de realizar esta configuración:
- Instale el sistema operativo Microsoft Windows Server 2008 en cada uno de los servidores del laboratorio de pruebas.
- Actualice todos los Service Pack.
- Instale los controladores y los puntos de acceso ligeros (LAP).
- Configure las últimas actualizaciones de software.
Para obtener información de configuración e instalación inicial para los Cisco 5508 Series Wireless Controllers, refiérase a la Guía de Instalación del Cisco 5500 Series Wireless Controller.
Nota: Este documento está diseñado para dar a los lectores un ejemplo sobre la configuración requerida en un servidor Microsoft para la autenticación PEAP-MS-CHAP. La configuración del servidor de Microsoft Windows que se presenta en este documento se ha probado en el laboratorio y funciona según lo esperado. Si tiene problemas con la configuración, póngase en contacto con Microsoft para obtener ayuda. Cisco Technical Assistance Center (TAC) no admite la configuración del servidor de Microsoft Windows.
Las guías de instalación y configuración de Microsoft Windows 2008 se pueden encontrar en Microsoft Tech Net.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Controlador inalámbrico Cisco 5508 que ejecuta la versión 7.4 del firmware
- Punto de acceso (AP) Cisco Aironet 3602 con protocolo de punto de acceso ligero (LWAPP)
- Windows 2008 Enterprise Server con NPS, autoridad certificadora (CA), protocolo de control de host dinámico (DHCP) y servicios de sistema de nombres de dominio (DNS) instalados
- PC cliente de Microsoft Windows 7
- Switch Cisco Catalyst serie 3560
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Convenciones
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
Descripción general de PEAP
PEAP utiliza Transport Level Security (TLS) para crear un canal cifrado entre un cliente PEAP de autenticación, como un portátil inalámbrico, y un autenticador PEAP, como Microsoft NPS o cualquier servidor RADIUS. PEAP no especifica un método de autenticación, pero proporciona seguridad adicional para otros protocolos de autenticación extensible (EAP), como EAP-MS-CHAP v2, que pueden funcionar a través del canal cifrado TLS proporcionado por PEAP. El proceso de autenticación PEAP consta de dos fases principales.
Fase uno del PEAP: Canal cifrado TLS
El cliente inalámbrico se asocia con el AP. Una asociación basada en IEEE 802.11 proporciona un sistema abierto o autenticación de clave compartida antes de crear una asociación segura entre el cliente y el punto de acceso. Después de que la asociación basada en IEEE 802.11 se establezca correctamente entre el cliente y el punto de acceso, la sesión TLS se negocia con el AP. Después de que la autenticación se complete correctamente entre el cliente inalámbrico y NPS, la sesión TLS se negocia entre el cliente y NPS. La clave derivada de esta negociación se utiliza para cifrar todas las comunicaciones subsiguientes.
Fase dos del PEAP: Comunicación autenticada por EAP
La comunicación EAP, que incluye la negociación EAP, se produce dentro del canal TLS creado por PEAP en la primera etapa del proceso de autenticación PEAP. El NPS autentica el cliente inalámbrico con EAP-MS-CHAP v2. El LAP y el controlador sólo reenvían mensajes entre el cliente inalámbrico y el servidor RADIUS. El controlador de LAN inalámbrica (WLC) y el LAP no pueden descifrar estos mensajes porque no es el punto final de TLS.
La secuencia de mensajes RADIUS para un intento de autenticación exitoso (donde el usuario ha proporcionado credenciales válidas basadas en contraseña con PEAP-MS-CHAP v2) es:
- El NPS envía un mensaje de solicitud de identidad al cliente: EAP-Request/Identity.
- El cliente responde con un mensaje de respuesta de identidad: EAP-Respuesta/Identidad.
- El NPS envía un mensaje de desafío MS-CHAP v2: EAP-Request/EAP-Type=EAP MS-CHAP-V2 (Reto).
- El cliente responde con un desafío y respuesta MS-CHAP v2: EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Response).
- El NPS devuelve un paquete MS-CHAP v2 exitoso cuando el servidor ha autenticado correctamente al cliente: EAP-Request/EAP-Type=EAP-MS-CHAP-V2 (Éxito).
- El cliente responde con un paquete de éxito MS-CHAP v2 cuando el cliente ha autenticado correctamente el servidor: EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Éxito).
- NPS envía un valor de longitud de tipo EAP (TLV) que indica una autenticación correcta.
- El cliente responde con un mensaje de error de estado EAP-TLV.
- El servidor completa la autenticación y envía un mensaje EAP-Success en texto sin formato. Si las VLAN se implementan para el aislamiento del cliente, los atributos de VLAN se incluyen en este mensaje.
Configurar
En esta sección, se le presenta la información para configurar PEAP-MS-CHAP v2.
Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.
Diagrama de la red
Esta configuración utiliza esta configuración de red:

En esta configuración, un servidor de Microsoft Windows 2008 realiza estas funciones:
- Controlador de dominio para el dominio wireless.com
- servidor DHCP/DNS
- servidor CA
- NPS ? para autenticar a los usuarios inalámbricos
- Active Directory ? para mantener la base de datos de usuarios
El servidor se conecta a la red con cables a través de un switch de Capa 2 como se muestra. El WLC y el LAP registrado también se conectan a la red a través del switch de Capa 2.
Los clientes inalámbricos utilizan la autenticación Wi-Fi Protected Access 2 (WPA2) - PEAP-MS-CHAP v2 para conectarse a la red inalámbrica.
Configuraciones
El objetivo de este ejemplo es configurar el servidor Microsoft 2008, el controlador de LAN inalámbrica y el AP de peso ligero para autenticar los clientes inalámbricos con autenticación PEAP-MS-CHAP v2. Hay tres pasos importantes en este proceso:
- Configure Microsoft Windows 2008 Server.
- Configure el WLC y los AP de peso ligero.
- Configure los clientes inalámbricos.
Configuración de Microsoft Windows 2008 Server
En este ejemplo, una configuración completa del servidor de Microsoft Windows 2008 incluye estos pasos:
- Configure el servidor como controlador de dominio.
- Instale y configure los servicios DHCP.
- instale y configure el servidor como un servidor CA.
- Conecte los clientes al dominio.
- Instale el NPS.
- Instale un certificado.
- Configure el NPS para la autenticación PEAP.
- Agregue usuarios a Active Directory.
Configuración de Microsoft Windows 2008 Server como controlador de dominio
Complete estos pasos para configurar el servidor Microsoft Windows 2008 como controlador de dominio:
- Haga clic en Inicio > Administrador de servidores.

- Haga clic en Roles > Agregar roles.

- Haga clic en Next (Siguiente).

- Seleccione el servicio Servicios de dominio de Active Directory y haga clic en Siguiente.

- Revise la Introducción a los Servicios de dominio de Active Directory y haga clic en Siguiente.

- Haga clic en Install para comenzar el proceso de instalación.

La instalación continúa y se completa.
- Haga clic en Cerrar este asistente e inicie el Asistente de instalación de los servicios de dominio de Active Directory (dcpromo.exe) para continuar con la instalación y configuración de Active Directory.

- Haga clic en Next para ejecutar el Asistente de Instalación de Servicios de Dominio de Active Directory.

- Revise la información sobre la compatibilidad del sistema operativo y haga clic en Siguiente.

- Haga clic en Crear un nuevo dominio en un nuevo bosque > Siguiente para crear un nuevo dominio.

- Introduzca el nombre DNS completo del nuevo dominio (wireless.com en este ejemplo) y haga clic en Siguiente.

- Seleccione el nivel funcional del bosque para su dominio y haga clic en Siguiente.

- Seleccione el nivel funcional del dominio y haga clic en Siguiente.

- Asegúrese de que el servidor DNS esté seleccionado y haga clic en Siguiente.

- Haga clic en Yes para que el asistente de instalación cree una nueva zona en DNS para el dominio.

- Seleccione las carpetas que Active Directory debe utilizar para sus archivos y haga clic en Siguiente.

- Introduzca la contraseña del administrador y haga clic en Next.

- Revise sus selecciones y haga clic en Siguiente.

La instalación continúa.
- Haga clic en Finalizar para cerrar el asistente.

- Reinicie el servidor para que los cambios surtan efecto.

Instalación y configuración de servicios DHCP en el servidor Microsoft Windows 2008
El servicio DHCP del servidor Microsoft 2008 se utiliza para proporcionar direcciones IP a los clientes inalámbricos. Complete estos pasos para instalar y configurar los servicios DHCP:
- Haga clic en Inicio > Administrador de servidores.
- Haga clic en Roles > Agregar roles.

- Haga clic en Next (Siguiente).

- Seleccione el servicio DHCP Server y haga clic en Next.

- Revise la Introducción al servidor DHCP y haga clic en Siguiente.

- Seleccione la interfaz que el servidor DHCP debería monitorear para las solicitudes y haga clic en Next.

- Configure los parámetros de DNS predeterminados que el servidor DHCP debe proporcionar a los clientes y haga clic en Siguiente.

- Configure WINS si la red admite WINS.

- Haga clic en Agregar para utilizar el asistente para crear un alcance DHCP o haga clic en Siguiente para crear un alcance DHCP más adelante. Para continuar, haga clic en Next (Siguiente).

- Habilite o inhabilite el soporte DHCPv6 en el servidor y haga clic en Next.

- Configure los parámetros de DNS IPv6 si se ha activado DHCPv6 en el paso anterior. Para continuar, haga clic en Next (Siguiente).

- Proporcione las credenciales del administrador de dominio para autorizar el servidor DHCP en Active Directory y haga clic en Next.

- Revise la configuración en la página de confirmación y haga clic en Install para completar la instalación.

La instalación continúa.
- Haga clic en Cerrar para cerrar el asistente.

El servidor DHCP está instalado.
- Haga clic en Inicio > Herramientas administrativas > DHCP para configurar el servicio DHCP.

- Expanda el servidor DHCP (win-mvz9z2umms.wireless.com en este ejemplo), haga clic con el botón derecho en IPv4 y elija Nuevo alcance. para crear un alcance DHCP.

- Haga clic en Next para configurar el nuevo ámbito a través del Asistente para nuevo alcance.

- Proporcione un nombre para el nuevo ámbito (Clientes inalámbricos en este ejemplo) y haga clic en Siguiente.

- Introduzca el intervalo de direcciones IP disponibles que se pueden utilizar para las concesiones DHCP. Para continuar, haga clic en Next (Siguiente).

- Cree una lista opcional de direcciones excluidas. Para continuar, haga clic en Next (Siguiente).

- Configure el tiempo de arrendamiento y haga clic en Next.

- Haga clic en Sí, deseo configurar estas opciones ahora y haga clic en Siguiente.

- Ingrese la dirección IP del gateway predeterminado para este alcance, haga clic en Agregar > Siguiente.

- Configure el nombre de dominio DNS y el servidor DNS que utilizarán los clientes. Para continuar, haga clic en Next (Siguiente).

- Introduzca la información WINS para este ámbito si la red admite WINS. Para continuar, haga clic en Next (Siguiente).

- Para activar este ámbito, haga clic en Sí, deseo activar este ámbito ahora > Siguiente.

- Haga clic en Finalizar para finalizar y cerrar el asistente.

Instalación y configuración del servidor Microsoft Windows 2008 como servidor de la CA
PEAP con EAP-MS-CHAP v2 valida el servidor RADIUS basándose en el certificado presente en el servidor. Además, el certificado del servidor debe ser emitido por una CA pública de confianza para el equipo cliente (es decir, el certificado público de CA ya existe en la carpeta Autoridad de certificación raíz de confianza en el almacén de certificados del equipo cliente).
Complete estos pasos para configurar el servidor Microsoft Windows 2008 como servidor CA que emite el certificado al NPS:
- Haga clic en Inicio > Administrador de servidores.

- Haga clic en Roles > Agregar roles.

- Haga clic en Next (Siguiente).

- Seleccione el servicio Servicios de certificados de Active Directory y haga clic en Siguiente.

- Revise la Introducción a los servicios de certificados de Active Directory y haga clic en Siguiente.

- Seleccione la Autoridad de Certificación y haga clic en Siguiente.

- Seleccione Enterprise y haga clic en Next.

- Seleccione CA raíz y haga clic en Siguiente.

- Seleccione Create a new private key, y haga clic en Next.

- Haga clic en Next en Configuración de la Criptografía para CA.

- Haga clic en Next para aceptar el nombre común predeterminado para esta CA.

- Seleccione el tiempo que este certificado de CA es válido y haga clic en Siguiente.

- Haga clic en Next para aceptar la ubicación predeterminada de la base de datos de certificados.

- Revise la configuración y haga clic en Install para iniciar los Servicios de certificados de Active Directory.

- Una vez finalizada la instalación, haga clic en Cerrar.
Conectar clientes al dominio
Complete estos pasos para conectar los clientes a la red por cable y descargar la información específica del dominio del nuevo dominio:
- Conecte los clientes a la red con cables con un cable Ethernet de conexión directa.
- Inicie sesión en el cliente e inicie sesión con el nombre de usuario y la contraseña del cliente.
- Haga clic en Inicio > Ejecutar, ingrese cmd y haga clic en Aceptar.
- En el símbolo del sistema, ingrese ipconfig y haga clic en Enter para verificar que DHCP funcione correctamente y que el cliente haya recibido una dirección IP del servidor DHCP.
- Para unirse al cliente al dominio, haga clic en Inicio, haga clic con el botón derecho del ratón en Equipo, elija Propiedades y elija Cambiar configuración en la parte inferior derecha.
- Haga clic en Cambiar.
- Haga clic en Dominio, ingrese wireless.com y haga clic en Aceptar.

- Introduzca el nombre de usuario administrator y la contraseña específica del dominio al que se une el cliente. Esta es la cuenta de administrador en Active Directory en el servidor.

- Haga clic en Aceptar y haga clic Aceptar nuevamente.

- Haga clic en Cerrar > Reiniciar ahora para reiniciar el equipo.
- Una vez que el equipo se reinicie, inicie sesión con esta información: Nombre de usuario = Administrador; Contraseña = <domain password>; Dominio = inalámbrico.
- Haga clic en Inicio, haga clic con el botón derecho del ratón en Equipo, elija Propiedades y elija Cambiar configuración en la parte inferior derecha para verificar que está en el dominio wireless.com.
- El siguiente paso es verificar que el cliente recibió el certificado de CA (confianza) del servidor.

- Haga clic en Start, ingrese mmc y presione Enter.
- Haga clic en Archivo y haga clic en el complemento Agregar/quitar.
- Elija Certificates y haga clic en Add.

- Haga clic en Computer account y haga clic en Next.

- Haga clic en Local computer, y haga clic en Next.

- Click OK.
- Expanda las carpetas Certificados (equipo local) y Autoridades de certificación raíz de confianza, y haga clic en Certificados. Busque certificado de CA del dominio inalámbrico en la lista. En este ejemplo, el certificado de CA se denomina wireless-WIN-MVZ9Z2UMNMS-CA.

- Repita este procedimiento para agregar más clientes al dominio.
Instalación del servidor de directivas de red en Microsoft Windows 2008 Server
En esta configuración, NPS se utiliza como servidor RADIUS para autenticar clientes inalámbricos con autenticación PEAP. Complete estos pasos para instalar y configurar NPS en el servidor Microsoft Windows 2008:
- Haga clic en Inicio > Administrador de servidores.

- Haga clic en Roles > Agregar roles.

- Haga clic en Next (Siguiente).

- Seleccione el servicio Network Policy and Access Services y haga clic en Next.

- Revise la Introducción a la Política de Red y Servicios de Acceso y haga clic en Siguiente.

- Seleccione Network Policy Server, y haga clic en Next.

- Revise la confirmación y haga clic en Install.

Una vez finalizada la instalación, se muestra una pantalla similar a esta.

- Haga clic en Close (Cerrar).
Instalación de un Certificado
Complete estos pasos para instalar el certificado del equipo para el NPS:
- Haga clic en Start, ingrese mmc y presione Enter.
- Haga clic en Archivo > Agregar/Eliminar complemento.
- Elija Certificates y haga clic en Add.

- Elija Computer account, y haga clic en Next.

- Seleccione Local Computer, y haga clic en Finish.

- Haga clic en Aceptar para volver a Microsoft Management Console (MMC).

- Expanda las carpetas Certificados (equipo local) y Personal, y haga clic en Certificados.

- Haga clic con el botón derecho en el espacio en blanco debajo del certificado de CA y elija Todas las tareas > Solicitar certificado nuevo.

- Haga clic en Next (Siguiente).

- Seleccione Domain Controller y haga clic en Enroll.

- Haga clic en Finalizar una vez instalado el certificado.

El certificado NPS está instalado.
- Asegúrese de que el propósito esperado del certificado sea Autenticación de cliente, Autenticación de servidor.

Configuración del Servicio de Servidor de Políticas de Red para la Autenticación PEAP-MS-CHAP v2
Complete estos pasos para configurar el NPS para la autenticación:
- Haga clic en Inicio > Herramientas administrativas > Servidor de políticas de red.
- Haga clic con el botón derecho del ratón en NPS (Local), y elija Registrar servidor en Active Directory.

- Click OK.

- Click OK.

- Agregue el controlador de LAN inalámbrica como cliente de autenticación, autorización y contabilidad (AAA) en el NPS.
- Expanda Clientes RADIUS y Servidores. Haga clic con el botón derecho del mouse en Clientes RADIUS y elija Nuevo Cliente RADIUS.

- Introduzca un nombre descriptivo (WLC en este ejemplo), la dirección IP de administración del WLC (192.168.162.248 en este ejemplo) y un secreto compartido. El mismo secreto compartido se utiliza para configurar el WLC.

- Haga clic en Aceptar para volver a la pantalla anterior.

- Cree una nueva política de red para los usuarios inalámbricos. Expanda Políticas, haga clic con el botón derecho del ratón en Políticas de red, y elija Nuevo.

- Introduzca un nombre de política para esta regla (PEAP inalámbrico en este ejemplo) y haga clic en Siguiente.

- Para que esta política permita solamente usuarios de dominio inalámbrico, agregue estas tres condiciones y haga clic en Siguiente:
- Grupos de Windows - Usuarios de dominio
- Tipo de puerto NAS - Inalámbrico - IEEE 802.11
- Tipo de autenticación - EAP

- Haga clic en Acceso concedido para conceder intentos de conexión que coincidan con esta política y haga clic en Siguiente.

- Inhabilite todos los métodos de autenticación en Métodos de autenticación menos seguros.

- Haga clic en Agregar, seleccione PEAP y haga clic en Aceptar para habilitar PEAP.

- Seleccione Microsoft: EAP protegido (PEAP) y haga clic en Editar. Asegúrese de que el certificado de controlador de dominio creado anteriormente esté seleccionado en la lista desplegable Certificado emitido y haga clic en Aceptar.

- Haga clic en Next (Siguiente).

- Haga clic en Next (Siguiente).

- Haga clic en Next (Siguiente).

- Haga clic en Finish (Finalizar).

Agregar usuarios a Active Directory
En este ejemplo, la base de datos de usuario se mantiene en Active Directory. Complete estos pasos para agregar usuarios a la base de datos de Active Directory:
- Abra Usuarios y equipos de Active Directory. Haga clic en Inicio > Herramientas administrativas > Usuarios y equipos de Active Directory.
- En el árbol de la consola Usuarios y equipos de Active Directory, expanda el dominio, haga clic con el botón derecho en Usuarios > Nuevo y elija Usuario.
- En el objeto nuevo ? Cuadro de diálogo Usuario, introduzca el nombre del usuario inalámbrico. Este ejemplo utiliza el nombre Client1 en el campo First name y Client1 en el campo User Login Name. Haga clic en Next (Siguiente).

- En el objeto nuevo ? Cuadro de diálogo Usuario, introduzca la contraseña que desee en los campos Contraseña y Confirmar contraseña. Desmarque la casilla de verificación User Must change password at next login y haga clic en Next.

- En el objeto nuevo ? Cuadro de diálogo Usuario, haga clic en Finalizar.

- Repita los pasos 2 a 4 para crear cuentas de usuario adicionales.
Configure el controlador de LAN inalámbrica y los LAP
Configure los dispositivos inalámbricos (los controladores de LAN inalámbrica y los LAP) para esta configuración.
Configuración del WLC para la Autenticación RADIUS
Configure el WLC para utilizar el NPS como servidor de autenticación. El WLC se debe configurar para reenviar las credenciales del usuario a un servidor RADIUS externo. A continuación, el servidor RADIUS externo valida las credenciales del usuario y proporciona acceso a los clientes inalámbricos.
Complete estos pasos para agregar el NPS como servidor RADIUS en la página Seguridad > Autenticación RADIUS:
- Elija Security > RADIUS > Authentication de la interfaz del controlador para mostrar la página RADIUS Authentication Servers . Haga clic en Nuevo para definir un servidor RADIUS.

- Defina los parámetros del servidor RADIUS. Estos parámetros incluyen la dirección IP del servidor RADIUS, el secreto compartido, el número de puerto y el estado del servidor. Las casillas de verificación Network User and Management determinan si la autenticación basada en RADIUS se aplica a los usuarios de red y gestión (inalámbrica). Este ejemplo utiliza el NPS como servidor RADIUS con una dirección IP de 192.168.162.12. Haga clic en Apply (Aplicar).

Configuración de una WLAN para los Clientes
Configure el identificador del conjunto de servicios (SSID) (WLAN) al que se conectan los clientes inalámbricos. En este ejemplo, cree el SSID y denomínelo PEAP.
Defina la autenticación de capa 2 como WPA2 para que los clientes realicen la autenticación basada en EAP (PEAP-MS-CHAP v2 en este ejemplo) y utilicen el estándar de cifrado avanzado (AES) como mecanismo de cifrado. Deje todos los demás valores en sus valores predeterminados.
Nota: Este documento vincula la WLAN con las interfaces de administración. Cuando tiene varias VLAN en su red, puede crear una VLAN separada y enlazarla al SSID. Para obtener información sobre cómo configurar las VLAN en los WLC, refiérase a Ejemplo de Configuración de VLAN en Controladores de LAN Inalámbricos.
Complete estos pasos para configurar una WLAN en el WLC:
- Haga clic en WLANs desde la interfaz del controlador para mostrar la página de WLANs. Esta página enumera las WLANs que existen en el controlador.
- Elija New para crear una nueva WLAN. Ingrese el ID de WLAN y el SSID de WLAN para el WLAN, y haga clic en Aplicar.

- Para configurar el SSID para 802.1x, complete estos pasos:
- Haga clic en la pestaña General y habilite la WLAN.

- Haga clic en las fichas Security > Layer 2, establezca Layer 2 security a WPA + WPA2, active las casillas de verificación WPA+WPA2 Parameters (por ejemplo, WPA2 AES) según sea necesario y haga clic en 802.1x como Authentication Key Management.

- Haga clic en las fichas Seguridad > Servidores AAA, elija la dirección IP de NPS en la lista desplegable Servidor 1 y haga clic en Aplicar.

Configuración de Clientes Inalámbricos para la Autenticación PEAP-MS-CHAP v2
Complete estos pasos para configurar el cliente inalámbrico con la herramienta de configuración rápida de Windows para conectarse a la WLAN PEAP.
- Haga clic en el icono Red en la barra de tareas. Haga clic en el SSID PEAP y haga clic en Connect.

- El cliente debe estar conectado a la red.

- Si la conexión falla, intente volver a conectarse a la WLAN. Si el problema persiste, consulte la sección Solución de problemas.
Verificación
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Troubleshoot
Si su cliente no se conectó a la WLAN, esta sección proporciona información que puede utilizar para resolver problemas de configuración.
Hay dos herramientas que se pueden utilizar para diagnosticar fallas de autenticación 802.1x: el comando debug client y el Visor de eventos en Windows.
Realizar una depuración de cliente desde el WLC no requiere muchos recursos y no afecta al servicio. Para iniciar una sesión de depuración, abra la interfaz de línea de comandos (CLI) del WLC e introduzca debug client mac address, donde la dirección mac es la dirección mac inalámbrica del cliente inalámbrico que no puede conectarse. Mientras se ejecuta esta depuración, intente conectar al cliente; debería haber un resultado en la CLI del WLC que se parezca a este ejemplo:

Este es un ejemplo de un problema que podría ocurrir con una configuración incorrecta. Aquí, el debug del WLC muestra que el WLC se ha movido al estado de autenticación, lo que significa que el WLC está esperando una respuesta del NPS. Esto se debe normalmente a un secreto compartido incorrecto en el WLC o en el NPS. Puede confirmarlo mediante el Visor de eventos de Windows Server. Si no encuentra un registro, la solicitud nunca llegó al NPS.
Otro ejemplo que se encuentra en la depuración del WLC es access-reject. Un access-reject muestra que NPS recibió y rechazó las credenciales del cliente. Este es un ejemplo de un cliente que recibe un access-reject:

Cuando vea access-reject, verifique los registros en los registros de eventos de Windows Server para determinar por qué NPS respondió al cliente con access-reject.
Una autenticación exitosa tiene un access-accept en la depuración del cliente, como se ve en este ejemplo:

La resolución de problemas de rechazos de acceso y tiempos de espera de respuesta requiere acceso al servidor RADIUS. El WLC actúa como un autenticador que pasa mensajes EAP entre el cliente y el servidor RADIUS. El fabricante del servicio RADIUS debe examinar y diagnosticar un servidor RADIUS que responda con un tiempo de espera de respuesta o rechazo de acceso.
Nota: TAC no proporciona soporte técnico para servidores RADIUS de terceros; sin embargo, los registros en el servidor RADIUS generalmente explican por qué una solicitud de cliente fue rechazada o ignorada.
Para resolver los problemas de los rechazos de acceso y los tiempos de espera de respuesta de NPS, examine los registros de NPS en el Visor de eventos de Windows en el servidor.
- Haga clic en Inicio > Herramientas de administrador > Visor de eventos para iniciar el Visor de eventos y revisar los registros de NPS.
- Expanda Vistas personalizadas > Funciones de servidor > Política de red y acceso.

En esta sección de la vista de eventos, hay registros de autenticaciones pasadas y fallidas. Examine estos registros para resolver problemas por los que un cliente no está pasando la autenticación. Tanto las autenticaciones pasadas como las fallidas aparecen como informativas. Desplácese por los registros para encontrar el nombre de usuario que ha fallado en la autenticación y ha recibido un access-reject según las depuraciones del WLC.
Este es un ejemplo de la negación de NPS a un usuario de acceso:

Al revisar una instrucción deny en el Visor de eventos, examine la sección Detalles de autenticación. En este ejemplo, puede ver que NPS denegó el acceso del usuario debido a un nombre de usuario incorrecto:

La vista de eventos en el NPS también ayuda con la resolución de problemas si el WLC no recibe una respuesta del NPS. Esto suele deberse a un secreto compartido incorrecto entre el NPS y el WLC.
En este ejemplo, el NPS descarta la solicitud del WLC debido a un secreto compartido incorrecto:

Información Relacionada