Autenticación EAP con el servidor de RADIUS

Introducción

Este documento proporciona a una configuración de muestra de un Punto de acceso basado IOS® de Cisco para la autenticación del Protocolo de Autenticación Extensible (EAP) de los usuarios de red inalámbrica contra una base de datos alcanzada por un servidor de RADIUS.

Debido al rol pasivo que el Punto de acceso juega en EAP (paquetes inalámbricos de los puentes del cliente en los paquetes atados con alambre destinados al servidor de la autenticación, y vice versa), esta configuración se utiliza con virtualmente todos los métodos EAP. Estos métodos incluyen (pero no se limitan a) el SALTO, EAP protegido (PEAP) - versión 2 del protocolo de autenticación de entrada en contacto del Ms-desafío (GRIETA), la placa Token PEAP-genérica (GTC), autenticación adaptable de EAP vía el Tunelización seguro (RÁPIDO), Seguridad de la capa del EAP-transporte (TLS), y TLS EAP-hecho un túnel (TTL). Usted debe configurar apropiadamente el servidor de la autenticación para cada uno de estos métodos EAP.

Este documentos abarca cómo configurar el punto de acceso y al servidor de RADIUS, que es Cisco ACS seguro en el ejemplo de la configuración en este documento.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

• Usted es familiar con el GUI o el CLI del Cisco IOS.

• Usted es familiar con los conceptos detrás de la autenticación EAP.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Productos de Cisco Aironet AP que funcionan con el Cisco IOS.

• Suposición de solamente un Virtual LAN (VLAN) en la red.

• Un producto del servidor de autenticación de RADIUS que integra con éxito en una base de datos de usuarios.

  • Éstos son los servidores utilizados de la autenticación para el SALTO y el EAP-FAST de Cisco:

    • Cisco Secure Access Control Server (ACS)

    • Cisco Access Registrar (COCHE)

    • Funk Steel Belted RADIUS

    • Ligue el Merit

  • Éstos son los servidores utilizados de la autenticación para la versión 2 de Microsoft PEAP-MS-CHAP y el PEAP-GTC:

    • Servicio de autenticación por Internet de Microsoft (IAS)

    • Cisco ACS seguro

    • Funk Steel Belted RADIUS

    • Ligue el Merit

    • Cualquier servidor adicional Microsoft de la autenticación puede autorizar.

    Nota: El GTC o las contraseñas de USO único requiere los servicios adicionales que requieren el software adicional en ambos el lado del cliente y servidor, así como dotación física o los generadores de ficha de software.

  • Consulte el fabricante del suplicante del cliente para los detalles sobre los cuales los servidores de la autenticación se utilizan con sus Productos para el EAP-TLS, el EAP-TTLS y otros métodos EAP.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

Esta configuración describe cómo configurar la autenticación EAP en un AP basado IOS. En el ejemplo en este documento, el SALTO se utiliza como método de autenticación EAP con el servidor de RADIUS.

Nota: Utilice la herramienta de búsqueda de comandos (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Como ocurre con la mayoría de los algoritmos de autenticación basados en contraseñas, Cisco LEAP es vulnerable a los ataques del diccionario. Este no es un ataque o vulnerabilidad nueva del LEAP de Cisco. La creación de una política de contraseña fuerte es la mayoría del modo eficaz de atenuar los ataques de diccionario. Esto incluye el uso de las contraseñas fuertes y la expiración periódica de las contraseñas. Refiera al ataque de diccionario en el SALTO de Cisco para conseguir más información sobre los ataques de diccionario y cómo prevenirlos.

Este documento utiliza esta configuración para el GUI y el CLI:

• La dirección IP del AP es 10.0.0.106.

• La dirección IP del servidor de RADIUS (ACS) es 10.0.0.3.

Red EAP (Protocolo de autenticación extensible) o autenticación abierta con EAP.

En cualquier EAP/802.1x basado método de autenticación, usted puede preguntar cuáles están las diferencias entre la red EAP y la autenticación abierta con EAP. Estos items refieren a los valores en el campo del algoritmo de la autenticación en los encabezamientos de administración y los paquetes de asociación. La mayoría de los fabricantes de conjunto de los clientes de red inalámbrica este campo en el valor 0 (autenticación abierta), entonces señalan un deseo de hacer la autenticación EAP más adelante en el proceso de asociación. Cisco fija el valor diferentemente, desde el principio de la asociación con el indicador de la red EAP.

Si su red posee clientes que son:

• Clientes de Cisco — Utilice la red-EAP.

• Clientes del otro vendedor (incluya los Productos obedientes CCX) — uso abierto con EAP.

• Una combinación de ambo Cisco y los clientes del otro vendedor — elija la red-EAP y ábrase con EAP.

Defina el servidor de la autenticación

El primer paso en la configuración EAP es definir el servidor de la autenticación y establecer una relación con él.

1. En la tabulación del administrador de servidor del Punto de acceso (conforme al elemento de menú de la Seguridad > del administrador de servidor), complete estos pasos:

   1. Ingrese el IP address del servidor de la autenticación en el campo del servidor.

   2. Especifique el secreto compartido y los puertos.

   3. El tecleo se aplica para crear la definición y poblar las listas desplegables.

   4. Fije el tipo campo de la autenticación EAP de la prioridad 1 a la dirección IP del servidor bajo prioridades del servidor del valor por defecto.

   5. Haga clic en Apply (Aplicar).

   

   Usted puede también publicar estos comandos del CLI:

   AP#configure terminal
   
   Enter configuration commands, one per line.  End with CNTL/Z.
   
   AP(config)#aaa group server radius rad_eap
   
   AP(config-sg-radius)#server 10.0.0.3 auth-port 1645 acct-port 1646
   
   AP(config-sg-radius)#exit
   
   AP(config)#aaa new-model
   
   AP(config)#aaa authentication login eap_methods group rad_eap
   
   AP(config)#radius-server host 10.0.0.3 auth-port 1645 
   acct-port 1646 key labap1200ip102
   
   AP(config)#end
   
   AP#write memory
   

2. El Punto de acceso se debe configurar en el servidor de la autenticación como cliente AAA.

   Por ejemplo, en Cisco ACS seguro, esto sucede en la página de la configuración de red donde el nombre del Punto de acceso, la dirección IP, el secreto compartido y el método de autenticación (RADIUS Cisco Aironet o RADIUS Cisco IOS/PIX) se definen. Refiera a la documentación del fabricante para otros servidores no--ACS de la autenticación.

   

   Asegúrese de que el servidor de la autenticación esté configurado para realizar el método de autenticación deseado EAP. Por ejemplo, para Cisco ACS seguro que SALTE, configure la autenticación LEAP en la configuración del sistema - página de configuración global de la autenticación. Haga clic la configuración del sistema, después haga clic la disposición global de la autenticación. Refiera a la documentación del fabricante para otros servidores no--ACS de la autenticación u otros métodos EAP.

   

   Esta imagen muestra a Cisco ACS seguro configurado para el PEAP, el EAP-FAST, el EAP-TLS, el SALTO y el EAP-MD5.

   

Defina los métodos de autenticación de cliente

Una vez que el Punto de acceso sabe dónde enviar las peticiones de la autenticación de cliente, la configura para validar esos métodos.

Nota: Estas instrucciones están para una instalación basada en el WEP. Para el WPA (que utiliza las cifras en vez del WEP), refiera a la introducción a la configuración de WPA.

1. En la ficha Manager del cifrado del Punto de acceso (conforme a la Seguridad > al elemento de menú del encargado del cifrado), complete estos pasos:

   1. Especifique que usted quiere utilizar la encripción WEP.

   2. Especifique que el WEP es obligatorio.

   3. Verifique que el tamaño de clave esté fijado al 128-bits.

   4. Haga clic en Apply (Aplicar).

   

   Usted puede también publicar estos comandos del CLI:

   AP#configure terminal
   
   Enter configuration commands, one per line.  End with CNTL/Z.
   
   AP(config)#interface dot11radio 0
   
   AP(config-if)#encryption mode wep mandatory
   
   AP(config-if)#end
   
   AP#write memory
   

2. Complete estos pasos en la tabulación del administrador SSID del Punto de acceso (conforme al elemento de menú de la Seguridad > del administrador SSID):

   1. Seleccione el SSID deseado.

   2. Bajo “métodos de autenticación validados,” controle el cuadro etiquetado abierto y utilice la lista desplegable para elegir con EAP.

   3. Controle el cuadro etiquetado red-EAP si usted tiene indicadores luminosos LED amarillo de la placa muestra gravedad menor del cliente de Cisco. Vea la discusión en la red EAP o la autenticación abierta con la sección EAP.

   4. Haga clic en Apply (Aplicar).

Usted puede también publicar estos comandos del CLI:

AP#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

AP(config)#interface dot11radio 0

AP(config-if)#ssid labap1200

AP(config-if-ssid)#authentication open eap eap_methods

AP(config-if-ssid)#authentication network-eap eap_methods

AP(config-if-ssid)#end

AP#write memory

Una vez que usted confirma la funcionalidad básica con una configuración de EAP básica, usted puede agregar las características y la administración de claves adicionales en otro momento. Acode funciones más complejas encima de las fundaciones funcionales para hacer resolver problemas más fácil.

Verificación

Esta sección proporciona a la información que usted puede utilizar para confirmar sus trabajos de la configuración correctamente.

La herramienta intérprete de la salida apoyan a los ciertos comandos show (clientes registrados solamente), que permite que usted vea un análisis de la salida del comando show.

• muestre el grupo de servidores todo del radio — Visualiza una lista de todos los grupos de servidores configurados RADIUS en el AP.

Troubleshooting

Procedimiento de resolución de problemas

Complete estos pasos para resolver problemas su configuración.

1. En la utilidad o el software del cliente-lado, cree un nuevo perfil o conexión con el mismo o los parámetros similares para asegurarse de que nada se ha corrompido en la configuración del cliente.

2. Para eliminar la posibilidad de los problemas RF que previenen la autenticación satisfactoria, temporalmente autenticación de la neutralización tal y como se muestra en de estos pasos:

   • Del CLI, utilice los comandos no authentication open eap eap_methods, no authentication network-eap eap_methods y authentication open.

   • Del GUI, en la página del administrador SSID, la red-EAP del O.N.U-control, controla abierto, y fijó la lista desplegable de nuevo a ninguna adición.

   Si el cliente se asocia con éxito, después el RF no contribuye al problema de asociación.

3. Verifique que las contraseñas del secreto compartido estén sincronizadas entre el Punto de acceso y el servidor de la autenticación. Si no, usted puede recibir este mensaje de error:

   Invalid message authenticator in EAP request

   • Del CLI, controle la línea clave del acct-puerto x del auténtico-puerto x del host de servidor RADIUS x.x.x.x <shared_secret>.

   • Del GUI, en la página del administrador de servidor, entre el secreto compartido de nuevo para el servidor apropiado en el cuadro etiquetado “secreto compartido.”

   La entrada del secreto compartido para el Punto de acceso en el servidor de RADIUS debe contener la misma contraseña del secreto compartido que ésas mencionaron previamente.

4. Quite cualquier grupo de usuarios del servidor de RADIUS. Los conflictos pueden ocurrir a veces entre los grupos de usuarios definidos por el servidor de RADIUS, y los grupos de usuarios en el dominio subyacente. Controle los registros del servidor de RADIUS para saber si hay intentos fallidos, y las razones que esas tentativas fallaron.

Comandos del Troubleshooting

La herramienta intérprete de la salida apoyan a los ciertos comandos show (clientes registrados solamente), que permite que usted vea un análisis de la salida del comando show.

Las autenticaciones el poner a punto proporcionan a una cantidad significativa de detalle sobre cómo recolectar e interpretar la salida de las depuraciones relacionadas con EAP.

Nota: Antes de que usted publique los comandos debug, refiera a la información importante en los comandos Debug.

• ponga a punto la estado-máquina del authenticator dot11 aaa — Las visualizaciones major las divisiones (o los estados) de la negociación entre el cliente y el servidor de la autenticación. Aquí está una salida de una autenticación satisfactoria:

  *Mar 1 02:37:46.846: dot11_auth_dot1x_send_id_req_to_client: Sending
  		identity request to 0040.96ac.dd05
  *Mar 1 02:37:46.846: dot11_auth_dot1x_send_id_req_to_client:
  		0040.96ac.dd05 timer started for 30 seconds
  *Mar 1 02:37:46.930: dot11_auth_dot1x_run_rfsm: Executing
  		Action(CLIENT_WAIT,EAP_START) for 0040.96ac.dd05
  *Mar 1 02:37:46.931: dot11_auth_dot1x_send_id_req_to_client:
  		Sending identity request to 0040.96ac.dd05 (client)
  *Mar 1 02:37:46.931: dot11_auth_dot1x_send_id_req_to_client: Client
  		0040.96ac.dd05 timer started for 30 seconds 
  *Mar 1 02:37:46.938: dot11_auth_dot1x_run_rfsm: Executing
  		Action(CLIENT_WAIT,CLIENT_REPLY) for 0040.96ac.dd05
  *Mar 1 02:37:46.938: dot11_auth_dot1x_send_response_to_server:
  		Sending client 0040.96ac.dd05 data (User Name) to server
  *Mar 1 02:37:46.938: dot11_auth_dot1x_send_response_to_server:
  		Started timer server_timeout 60 seconds
  *Mar 1 02:37:47.017: dot11_auth_dot1x_run_rfsm: Executing
  		Action(SERVER_WAIT,SERVER_REPLY) for 0040.96ac.dd05
  *Mar 1 02:37:47.017: dot11_auth_dot1x_send_response_to_client:
  		Forwarding server message(Challenge) to client 0040.96ac.dd05
  *Mar 1 02:37:47.018: dot11_auth_dot1x_send_response_to_client:
  		Started timer client_timeout 20 seconds
  *Mar 1 02:37:47.025: dot11_auth_dot1x_run_rfsm: Executing
  		Action(CLIENT_WAIT,CL IENT_REPLY) for 0040.96ac.dd05
  *Mar 1 02:37:47.025: dot11_auth_dot1x_send_response_to_server:
  		Sending client 0040.96ac.dd05 data(User Credentials) to server
  -------------------Lines Omitted for simplicity-------------------
  *Mar 1 02:37:47.030: dot11_auth_dot1x_send_response_to_client:
  		Started timer client_timeout 20 seconds
  *Mar 1 02:37:47.041: dot11_auth_dot1x_run_rfsm: Executing Action
  		(SERVER_WAIT,SE RVER_PASS) for 0040.96ac.dd05
  *Mar 1 02:37:47.041: dot11_auth_dot1x_send_response_to_client:
  		Forwarding server message(Pass Message) to client
  		0040.96ac.dd05
  *Mar 1 02:37:47.042: dot11_auth_dot1x_send_response_to_client:
  		Started timer client_timeout 30 seconds
  *Mar 1 02:37:47.043: %DOT11-6-ASSOC: Interface Dot11Radio0,
  		Station TACWEB 0040 .96ac.dd05 Associated KEY_MGMT[NONE] (Client stays
  		associated to the access point)
  

  Nota: En las versiones de software del Cisco IOS antes de 12.2(15)JA, el sintaxis de este comando debug es estado-máquina de la depuración dot11 aaa dot1x.

• proceso del authenticator de la depuración dot11 aaa — Visualiza las entradas de diálogo individual de la negociación entre el cliente y el servidor de la autenticación.

  Nota: En las versiones de software del Cisco IOS antes de 12.2(15)JA, el sintaxis de este comando debug es proceso de la depuración dot11 aaa dot1x.

• autenticación de RADIUS de la depuración — Visualiza las negociaciones RADIUS entre el servidor y el cliente, que, es puenteado por el AP. Esto es una salida para la autenticación fallada:

  *Mar 1 02:34:55.086: RADIUS/ENCODE(00000031):Orig. component type = DOT11
  *Mar 1 02:34:55.086: RADIUS: AAA Unsupported Attr: ssid [264] 5
  *Mar 1 02:34:55.086: RADIUS: 73 73 69 [ssi] 
  *Mar 1 02:34:55.086: RADIUS: AAA Unsupported Attr: interface [157] 3
  *Mar 1 02:34:55.087: RADIUS: 32 [2]
  *Mar 1 02:34:55.087: RADIUS(00000031): Config NAS IP: 10.0.0.106
  *Mar 1 02:34:55.087: RADIUS/ENCODE(00000031): acct_session_id: 47
  *Mar 1 02:34:55.087: RADIUS(00000031): Config NAS IP: 10.0.0.106 
  *Mar 1 02:34:55.087: RADIUS(00000031): sending
  *Mar 1 02:34:55.087: RADIUS(00000031): Send Access-Request
  		to 10.0.0.3 :164 5 id 1645/61, len 130
  *Mar 1 02:34:55.088: RADIUS: authenticator 0F 6D B9 57 4B A3 F2 0E -
  		56 77 A4 7E D3 C2 26 EB
  *Mar 1 02:34:55.088: RADIUS: User-Name [1] 8 "wirels"
  *Mar 1 02:34:55.088: RADIUS: Framed-MTU [12] 6 1400 
  *Mar 1 02:34:55.088: RADIUS: Called-Station-Id [30] 16 "0019.a956.55c0"
  *Mar 1 02:34:55.088: RADIUS: Calling-Station-Id [31] 16 "0040.96ac.dd05"
  *Mar 1 02:34:55.088: RADIUS: Service-Type [6] 6 Login [1] 
  *Mar 1 02:34:55.088: RADIUS: Message-Authenticato[80] 18
  *Mar 1 02:34:55.089: RADIUS: 73 8C 59 C4 98 51 53 9F 58 4D 1D EB A5
  		4A AB 88 [s?Y??QS?XM???J??]
  *Mar 1 02:34:55.089: RADIUS: EAP-Message [79] 13
  *Mar 1 02:34:55.089: RADIUS: NAS-Port-Id [87] 5 "299"
  *Mar 1 02:34:55.090: RADIUS: NAS-IP-Address [4] 6 10.0.0.106
  *Mar 1 02:34:55.090: RADIUS: Nas-Identifier [32] 4 "ap"
  *Mar 1 02:34:55.093: RADIUS: Received from id 1645/61
  		10.0.0.3 :1645, Access-Challenge, len 79
  *Mar 1 02:34:55.093: RADIUS: authenticator 72 FD C6 9F A1 53 8F D2 -
  		84 87 49 9B B4 77 B8 973
  ---------------------------Lines Omitted-----------------------------------
  *Mar 1 02:34:55.117: RADIUS(00000031): Config NAS IP: 10.0.0.106 
  *Mar 1 02:34:55.118: RADIUS/ENCODE(00000031): acct_session_id: 47 
  *Mar 1 02:34:55.118: RADIUS(00000031): Config NAS IP: 10.0.0.106
  *Mar 1 02:34:55.118: RADIUS(00000031): sending
  *Mar 1 02:34:55.118: RADIUS(00000031): Send Access-Request to
  		10.0.0.3 :164 5 id 1645/62, len 168 
  *Mar 1 02:34:55.118: RADIUS: authenticator 49 AE 42 83 C0 E9 9A A7 -
  		07 0F 4E 7C F4 C7 1F 24
  *Mar 1 02:34:55.118: RADIUS: User-Name [1] 8 "wirels"
  *Mar 1 02:34:55.119: RADIUS: Framed-MTU [12] 6 1400
  ----------------------------------Lines Omitted-----------------------
  *Mar 1 02:34:55.124: RADIUS: Received from id 1645/62
  		10.0.0.3 :1645, Access-Reject, len 56
  *Mar 1 02:34:55.124: RADIUS: authenticator A6 13 99 32 2A 9D A6 25 -
  		AD 01 26 11 9A F6 01 37 
  *Mar 1 02:34:55.125: RADIUS: EAP-Message [79] 6
  *Mar 1 02:34:55.125: RADIUS: 04 15 00 04 [????]
  *Mar 1 02:34:55.125: RADIUS: Reply-Message [18] 12
  *Mar 1 02:34:55.125: RADIUS: 52 65 6A 65 63 74 65 64 0A 0D
  		[Rejected??]
  *Mar 1 02:34:55.125: RADIUS: Message-Authenticato[80] 18
  *Mar 1 02:34:55.126: RADIUS(00000031): Received from id 1645/62 
  *Mar 1 02:34:55.126: RADIUS/DECODE: EAP-Message fragments, 4, total 4 bytes
  *Mar 1 02:34:55.126: RADIUS/DECODE: Reply-Message fragments, 10, total 10 bytes
  *Mar 1 02:34:55.127: %DOT11-7-AUTH_FAILED: Station
  		0040.96ac.dd05 Authentication failed
  

• autenticación aaa de la depuración — Visualiza las Negociaciones AAA para autenticación entre el dispositivo cliente y el servidor de la autenticación.

Información Relacionada

• Autenticaciones de la depuración
• Configuración de los tipos de autenticación
• Autenticación LEAP en un servidor de RADIUS local
• Configurar los servidores RADIUS y TACACS+
• Configurando Cisco asegure ACS para Windows v3.2 con la autenticación de la máquina PEAP-MS-CHAPv2
• Cisco ACS seguro para Windows v3.2 con la autenticación de la máquina del EAP-TLS
• Configurar el PEAP/EAP en Microsoft IAS
• Resolver problemas Microsoft IAS como servidor de RADIUS
• Autenticación de clientes del 802.1x de Microsoft
• Soporte Técnico y Documentación - Cisco Systems