Este documento proporciona una configuración de ejemplo para la autenticación de protocolo de autenticación extensible ligero (LEAP) en un punto de acceso basado en IOS®, que sirve a los clientes inalámbricos, así como actúa como servidor RADIUS local. Esto se aplica a un punto de acceso IOS que ejecuta 12.2(11)JA o posterior.
Asegúrese de cumplir estos requisitos antes de intentar esta configuración:
Estar familiarizado con GUI o CLI de IOS
Familiaridad con los conceptos relacionados con la autenticación de LEAP
La información que contiene este documento se basa en estas versiones de software y hardware.
Punto de acceso Cisco Aironet serie 1240AG
Versión 12.3(8)JA2 del software del IOS de Cisco
Adaptador inalámbrico Cisco Aironet 802.11 a/b/g/ que ejecuta Aironet Desktop Utility 3.6.0.122
Se supone que hay sólo una VLAN en la red.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico.Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada).Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Normalmente, se utiliza un servidor RADIUS externo para autenticar a los usuarios. En algunos casos, esta no es una solución factible. En estas situaciones, se puede hacer que un punto de acceso actúe como servidor RADIUS. Aquí, los usuarios se autentican con la base de datos local configurada en el punto de acceso. Esto se denomina función de servidor RADIUS local. También puede hacer que otros puntos de acceso en la red utilicen la función de servidor RADIUS local en un punto de acceso. Para obtener más información sobre esto, consulte Configuración de Otros Puntos de Acceso para Utilizar el Autenticador Local.
La configuración describe cómo configurar LEAP y la función de servidor RADIUS local en un punto de acceso. La función de servidor RADIUS local se introdujo en la versión 12.2(11)JA del software del IOS de Cisco. Refiérase a Autenticación LEAP con Servidor RADIUS para obtener información de fondo sobre cómo configurar LEAP con un Servidor RADIUS externo.
Como ocurre con la mayoría de los algoritmos de autenticación basados en contraseñas, Cisco LEAP es vulnerable a los ataques del diccionario.Este no es un ataque o vulnerabilidad nueva del LEAP de Cisco. Debe crear una política de contraseña segura para mitigar los ataques de diccionario, que incluya contraseñas seguras y contraseñas nuevas frecuentes. Refiérase a Dictionary Attack on Cisco LEAP para obtener más información sobre los ataques de diccionario y cómo prevenirlos.
Este documento asume esta configuración para CLI y GUI:
La dirección IP del punto de acceso es 10.77.244.194.
El SSID utilizado es cisco, que está asignado a VLAN 1.
Los nombres de usuario son user1 y user2, que se asignan al grupo Testuser.
Punto de Acceso |
---|
ap#show running-config Building configuration... . . . aaa new-model !--- This command reinitializes the authentication, !--- authorization and accounting functions. ! ! aaa group server radius rad_eap server 10.77.244.194 auth-port 1812 acct-port 1813 !--- A server group for RADIUS is created called "rad_eap" !--- that uses the server at 10.77.244.194 on ports 1812 and 1813. . . . aaa authentication login eap_methods group rad_eap !--- Authentication [user validation] is to be done for !--- users in a group called "eap_methods" who use server group "rad_eap". . . . ! bridge irb ! interface Dot11Radio0 no ip address no ip route-cache ! encryption vlan 1 key 1 size 128bit 12345678901234567890123456 transmit-key !This step is optional----!--- This value seeds the initial key for use with !--- broadcast [255.255.255.255] traffic. If more than one VLAN is !--- used, then keys must be set for each VLAN. encryption vlan 1 mode wep mandatory !--- This defines the policy for the use of Wired Equivalent Privacy (WEP). !--- If more than one VLAN is used, !--- the policy must be set to mandatory for each VLAN. broadcast-key vlan 1 change 300 !--- You can also enable Broadcast Key Rotation for each vlan and Specify the time after which Brodacst key is changed. If it is disabled Broadcast Key is still used but not changed. ssid cisco vlan 1 !--- Create a SSID Assign a vlan to this SSID authentication open eap eap_methods authentication network-eap eap_methods !--- Expect that users who attach to SSID "cisco" !--- request authentication with the type 128 Open EAP and Network EAP authentication !--- bit set in the headers of those requests, and group those users into !--- a group called "eap_methods." ! speed basic-1.0 basic-2.0 basic-5.5 basic-11.0 rts threshold 2312 channel 2437 station-role root bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled . . . interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled ! interface BVI1 ip address 10.77.244.194 255.255.255.0 !--- The address of this unit. no ip route-cache ! ip default-gateway 10.77.244.194 ip http server ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag/ivory/1100 ip radius source-interface BVI1 snmp-server community cable RO snmp-server enable traps tty radius-server local !--- Engages the Local RADIUS Server feature. nas 10.77.244.194 key shared_secret !--- Identifies itself as a RADIUS server, reiterates !--- "localness" and defines the key between the server (itself) and the access point. ! group testuser !--- Groups are optional. ! user user1 nthash password1 group testuser !--- Individual user user user2 nthash password2 group testuser !--- Individual user !--- These individual users comprise the Local Database ! radius-server host 10.77.244.194 auth-port 1812 acct-port 1813 key shared_secret !--- Defines where the RADIUS server is and the key between !--- the access point (itself) and the server. radius-server retransmit 3 radius-server attribute 32 include-in-access-req format %h radius-server authorization permit missing Service-Type radius-server vsa send accounting bridge 1 route ip ! ! line con 0 line vty 5 15 ! end |
Complete estos pasos para configurar la función de servidor RADIUS local con la GUI:
En el menú de la izquierda , elija la ficha Administrador de servidores en el menú Seguridad.
Configure el servidor y mencione la dirección IP de este punto de acceso, que es 10.77.244.194 en este ejemplo.
Mencione los números de puerto 1812 y 1813 en los que escucha el servidor RADIUS local.
Especifique el secreto compartido que se utilizará con el servidor RADIUS local como se muestra en la figura.
En el menú de la izquierda, haga clic en la ficha Encryption Manager en el menú Security (Seguridad).
Especifique la VLAN que se aplicará.
Especifique que se usará el encripción WEP.
Especifique que su uso es OBLIGATORIO.
Inicialice cualquier clave WEP con un carácter hexadecimal de 26 dígitos. Esta clave se utiliza para cifrar paquetes de difusión y multidifusión.Este paso es opcional.
Establezca el tamaño de la clave en 128 bits. También puede elegir 40 bits. En este caso, el tamaño de la clave WEP en el paso anterior debe ser un carácter hexadecimal de 10 dígitos.Este paso es opcional.
También puede activar la rotación de la clave de difusión y especificar la hora después de la cual se cambia la clave de difusión. Si está desactivada, la clave de difusión se seguirá utilizando pero no se cambiará.Este paso es opcional.
Nota: Estos pasos se repiten para cada VLAN que utiliza autenticación LEAP
Haga clic en Apply (Aplicar).
En el menú Seguridad , en la ficha Administrador de SSID, realice estas acciones:
Nota: Puede agregar funciones adicionales y administración de claves más adelante, una vez que confirme que la configuración base funciona correctamente.
Defina un nuevo SSID y asócielo a una VLAN. En este ejemplo, el SSID está asociado con la VLAN 1.
Verifique Autenticación Abierta (Con EAP).
Verifique EAP de red (sin adición).
Desde Prioridades del Servidor > Servidores de Autenticación EAP, elija Personalizar; elija la dirección IP de este punto de acceso paraPriority 1.
Haga clic en Apply (Aplicar).
En Seguridad, haga clic en Servidor RADIUS local en la ficha Configuración general.
En Configuración de autenticación del servidor RADIUS local, verifique LEAP para asegurarse de que las solicitudes de autenticación LEAP sean aceptadas.
Defina la dirección IP y el secreto compartido del servidor RADIUS. Para el servidor RADIUS local, esta es la dirección IP de este AP (10.77.244.194).
Haga clic en Apply (Aplicar).
Desplácese hacia abajo desde el servidor RADIUS local bajo la ficha General Setup (Configuración general) y defina los usuarios individuales con sus nombres de usuario y contraseñas. Opcionalmente, los usuarios se pueden asociar a Grupos, que se define en el paso siguiente. Esto se asegura de que solamente ciertos usuarios inicien sesión en un SSID.
Nota: La base de datos RADIUS local se compone de estos nombres de usuario y contraseñas individuales.
Desplácese más abajo en la misma página, de nuevo desde el servidor RADIUS local en la subficha Configuración general hasta Grupos de usuarios; defina los grupos de usuarios y asócielos a una VLAN o SSID.
Nota: Los grupos son opcionales.Los atributos de grupo no se envían a Active Directory y son relevantes sólo a nivel local. Puede agregar grupos más tarde, una vez que confirme que la configuración base funciona correctamente.
Use esta sección para confirmar que su configuración funciona correctamente.
show radius local-server statistics—Este comando muestra las estadísticas recabadas por el autenticador local.
Successes : 27 Unknown usernames : 0 Client blocks : 0 Invalid passwords : 0 Unknown NAS : 0 Invalid packet from NAS: 0 NAS : 10.77.244.194 Successes : 27 Unknown usernames : 0 Client blocks : 0 Invalid passwords : 0 Corrupted packet : 0 Unknown RADIUS message : 0 No username attribute : 0 Missing auth attribute : 0 Shared key mismatch : 0 Invalid state attribute: 0 Unknown EAP message : 0 Unknown EAP auth type : 0 Auto provision success : 0 Auto provision failure : 0 PAC refresh : 0 Invalid PAC received : 0 Username Successes Failures Blocks user1 27 0 0
show radius server-group all—Este comando muestra una lista de todos los grupos de servidores RADIUS configurados en el punto de acceso.
Esta sección proporciona información de troubleshooting relevante para esta configuración.
Para eliminar la posibilidad de que los problemas de RF impidan una autenticación exitosa, configure el método en el SSID en Open para inhabilitar temporalmente la autenticación.
Desde la GUI: en la página SSID Manager, desmarque Network-EAP y marque Open.
Desde la línea de comandos: utilice los comandos authentication open y no authentication network-eap eap_method.
Si el cliente se asocia correctamente, RF no contribuye al problema de asociación.
Verifique que todas las contraseñas secretas compartidas estén sincronizadas. Las líneas radius-server host x.x.x.x auth-port x acct-port x key <shared_secret> y nas x.x.x.x key <shared_secret> deben contener la misma contraseña secreta compartida.
Elimine los grupos de usuarios y la configuración de los grupos de usuarios. A veces pueden producirse conflictos entre grupos de usuarios definidos por el punto de acceso y grupos de usuarios en el dominio.
Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.
debug dot11 aaa authenticator all: Esta depuración muestra las diversas negociaciones que atraviesa un cliente mientras el cliente asocia y autentica a través del proceso 802.1x o EAP desde la perspectiva de Authenticator (Punto de Acceso). Esta depuración se introdujo en la versión 12.2(15)JA del software del IOS de Cisco.Este comando toma obsoleto el comando debug dot11 aaa dot1x en esa versión y en las posteriores.
*Mar 1 00:26:03.097: dot11_auth_add_client_entry: Create new client 0040.96af.3e93 for application 0x1 *Mar 1 00:26:03.097: dot11_auth_initialize_client: 0040.96af.3e93 is added to the client list for application 0x1 ----------------------------------------------- Lines Omitted for simplicity ------------------ *Mar 1 00:26:03.098: dot11_auth_dot1x_start: in the dot11_auth_dot1x_start *Mar 1 00:26:03.132: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,EAP_START) for 0040.96af.3e93 *Mar 1 00:26:03.132: dot11_auth_dot1x_send_id_req_to_client: Sending identity request to 0040.96af.3e93(client) *Mar 1 00:26:03.133: *Mar 1 00:26:03.099: dot11_auth_dot1x_send_id_req_to_client: Client 0040.96af.3e93 timer started for 30 seconds *Mar 1 00:26:03.132: dot11_auth_parse_client_pak: Received EAPOL packet from 0040.96af.3e93 ------------------------------------------------ Lines Omitted----------------------------------- *Mar 1 00:26:03.138: EAP code: 0x2 id: 0x1 length: 0x000A type: 0x1 01805BF0: 0100000A 0201000A 01757365 7231 .........user1(User Name of the client) *Mar1 00:26:03.146: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,CLIENT_REPLY) for 0040.96af.3e93 *Mar1 00:26:03.147: dot11_auth_dot1x_send_response_to_server: Sending client 0040.96af.3e93 data to server *Mar1 00:26:03.147: dot11_auth_dot1x_send_response_to_server: Started timer server_timeout 60 seconds ------------------------------------------------- Lines Omitted------------------------------------ *Mar1 00:26:03.150: dot11_auth_dot1x_parse_aaa_resp: Received server response:GET_CHALLENGE_RESPONSE *Mar1 00:26:03.150: dot11_auth_dot1x_parse_aaa_resp: found session timeout 10 sec *Mar 1 00:26:03.150: dot11_auth_dot1x_run_rfsm: Executing Action(SERVER_WAIT,SERVER_REPLY) for 0040.96af.3e93 *Mar 1 00:26:03.150: dot11_auth_dot1x_send_response_to_client: Forwarding server message to client 0040.96af.3e93 ---------------------------------------------- Lines Omitted--------------------------------------- *Mar 1 00:26:03.151: dot11_auth_send_msg: Sending EAPOL to requestor *Mar 1 00:26:03.151: dot11_auth_dot1x_send_response_to_client: Started timer client_timeout 10 seconds *Mar 1 00:26:03.166: dot11_auth_parse_client_pak: Received EAPOL packet(User Credentials) from 0040.96af.3e93 *Mar 1 00:26:03.166: EAP code: 0x2 id: 0x11 length: 0x0025 type: 0x11 01805F90: 01000025 02110025...%...%01805FA0: 11010018 7B75E719 C5F3575E EFF64B27 ....{ug.EsW^ovK' Executing Action(CLIENT_WAIT,CLIENT_REPLY) for 0040.96af.3e93 *Mar 1 00:26:03.186: dot11_auth_dot1x_send_response_to_server: Sending client 0040.96af.3e93 data (User Credentials) to server *Mar 1 00:26:03.186: dot11_auth_dot1x_send_response_to_server: Started timer server_timeout 60 seconds ---------------------------------------------- Lines Omitted---------------------------------------- *Mar 1 00:26:03.196: dot11_auth_dot1x_parse_aaa_resp: Received server response: PASS *Mar 1 00:26:03.197: dot11_auth_dot1x_run_rfsm: Executing Action(SERVER_WAIT,SERVER_PASS) for 0040.96af.3e93 *Mar 1 00:26:03.197: dot11_auth_dot1x_send_response_to_client: Forwarding server message(Pass Message) to client ------------------------------------------------ Lines Omitted------------------------------------- *Mar 1 00:26:03.198: dot11_auth_send_msg: Sending EAPOL to requestor *Mar 1 00:26:03.199: dot11_auth_dot1x_send_response_to_client: Started timer client_timeout 30 second *Mar 1 00:26:03.199: dot11_auth_send_msg: client authenticated 0040.96af.3e93, node_type 64 for application 0x1 *Mar 1 00:26:03.199: dot11_auth_delete_client_entry: 0040.96af.3e93 is deleted for application 0x1 *Mar 1 00:26:03.200: %DOT11-6-ASSOC: Interface Dot11Radio0, Station Station Name 0040.96af.3e93 Associated KEY_MGMT[NONE]
debug radius authentication: Esta depuración muestra las negociaciones RADIUS entre el servidor y el cliente, que, en este caso, son el punto de acceso.
debug radius local-server client: Esta depuración muestra la autenticación del cliente desde la perspectiva del servidor RADIUS.
*Mar 1 00:30:00.742: RADIUS(0000001A): Send Access-Request(Client's User Name) to 10.77.244.194:1812(Local Radius Server) id 1645/65, len 128 *Mar 1 00:30:00.742: RADIUS: User-Name [1] 7 "user1" *Mar 1 00:30:00.742: RADIUS: Called-Station-Id [30] 16 "0019.a956.55c0" *Mar 1 00:30:00.743: RADIUS: Calling-Station-Id [31] 16 "0040.96af.3e93" (Client) *Mar 1 00:30:00.743: RADIUS: Service-Type [6] 6 Login [1] *Mar 1 00:30:00.743: RADIUS: Message-Authenticato[80] *Mar 1 00:30:00.743: RADIUS: 23 2E F4 42 A4 A3 72 4B 28 44 6E 7A 58 CA 8F 7B [#.?B??rK(DnzX??{] *Mar 1 00:30:00.743: RADIUS: EAP-Message [79] 12 *Mar 1 00:30:00.743: RADIUS: 02 02 00 0A 01 75 73 65 72 31 [?????user1] *Mar 1 00:30:00.744: RADIUS: NAS-Port-Type [61] 6 802.11 wireless -------------------------------- Lines Omitted For Simplicity--------------------- *Mar 1 00:30:00.744: RADIUS: NAS-IP-Address [4] 6 10.77.244.194(Access Point IP) *Mar 1 00:30:00.744: RADIUS: Nas-Identifier [32] 4 "ap" ---------------------------------- Lines Omitted--------------------------------- *Mar 1 00:30:00.745: RADIUS: Received from id 1645/65 10.77.244.194:1812, Access-Challenge, len 117 *Mar 1 00:30:00.746: RADIUS: 75 73 65 72 31 [user1] *Mar 1 00:30:00.746: RADIUS: Session-Timeout [27] 6 10 *Mar 1 00:30:00.747: RADIUS: State [24] 50 *Mar 1 00:30:00.747: RADIUS: BF 2A A0 7C 82 65 76 AA 00 00 00 00 00 00 00 00 [?*?|?ev?????????] --------------------------------------- Lines Omitted for simplicity ------------- *Mar 1 00:30:00.756: RADIUS/ENCODE(0000001A):Orig. component type = DOT11 *Mar 1 00:30:00.756: RADIUS: AAA Unsupported Attr: ssid [264] 5 *Mar 1 00:30:00.756: RADIUS: 63 69 73 [cis] *Mar 1 00:30:00.756: RADIUS: AAA Unsupported Attr: interface [157] 3 *Mar 1 00:30:00.756: RADIUS: 32 [2] *Mar 1 00:30:00.757: RADIUS(0000001A): Config NAS IP: 10.77.244.194 *Mar 1 00:30:00.757: RADIUS/ENCODE(0000001A): acct_session_id: 26 *Mar 1 00:30:00.757: RADIUS(0000001A): Config NAS IP: 10.77.244.194 *Mar 1 00:30:00.779: RADIUS(0000001A): Send Access-Request to 10.77.244.194:1812 id 1645/67, len 189 *Mar 1 00:30:00.779: RADIUS: authenticator B0 15 3C C1 BC F6 31 85 - 66 5D 41 F9 2E B4 48 7F *Mar 1 00:30:00.779: RADIUS: User-Name [1] 7 "user1" *Mar 1 00:30:00.780: RADIUS: Framed-MTU [12] 6 1400 *Mar 1 00:30:00.780: RADIUS: Called-Station-Id [30] 16"0019.a956.55c0" *Mar 1 00:30:00.780: RADIUS: Calling-Station-Id [31] 16"0040.96af.3e93" *Mar 1 00:30:00.758: RADIUS: 92 D4 24 49 04 C2 D2 0A C3 CE E9 00 6B F1 B2 AF [??$I????????k???] *Mar 1 00:30:00.759: RADIUS: EAP-Message [79] 39 *Mar 1 00:30:00.759: RADIUS: 02 17 00 25 11 01 00 18 05 98 8B BE 09 E9 45 E2 [??????????????E?] *Mar 1 00:30:00.759: RADIUS: 73 5D 33 1D F0 2F DB 09 50 AF 38 9F F9 3B BD D4 [s]3??/??P?8??;??] *Mar 1 00:30:00.759: RADIUS: 75 73 65 72 31 [user1] ---------------------------------------- Lines Omitted--------------------------- *Mar 1 00:30:00.781: RADIUS: State [24] 50 RADIUS: NAS-IP-Address [4] 6 10.77.244.194 *Mar 1 00:30:00.783: RADIUS: Nas-Identifier [32] 4 "ap" *Mar 1 00:30:00.822: RADIUS: Received from id 1645/67 10.77.244.194:1812, Access-Accept, len 214 *Mar 1 00:30:00.822: RADIUS: authenticator 10 0C B6 EE 7A 96 3A 46 - 36 49 FC D3 7A F4 42 2A --------------------------------------- Lines Omitted---------------------------- *Mar 1 00:30:00.823: RADIUS: 75 73 65 72 31 [user1] *Mar 1 00:30:00.823: RADIUS: Vendor, Cisco [26] 59 *Mar 1 00:30:00.823: RADIUS: Cisco AVpair [1] 53 "leap:session-key=?+*ve=];q,oi[d6|-z." *Mar 1 00:30:00.823: RADIUS: User-Name [1] 28 "user1 *Mar 1 00:30:00.824: RADIUS: Message-Authenticato[80] 18 *Mar 1 00:30:00.824: RADIUS: 06 2D BA 93 10 C0 91 F8 B4 B8 A4 00 82 0E 11 36 [?-?????????????6] *Mar 1 00:30:00.826: RADIUS/DECODE: EAP-Message fragments, 37, total 37 bytes *Mar 1 00:30:00.826: found leap session key *Mar 1 00:30:00.830: %DOT11-6-ASSOC: Interface Dot11Radio0, Station Station Name Associated KEY_MGMT[NONE]
debug radius local-server packets: Esta depuración muestra todos los procesos realizados por y desde la perspectiva del servidor RADIUS.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
23-Oct-2007 |
Versión inicial |