Exemple de configuration de NPS, de contrôleurs de réseau local sans fil et de réseaux sans fil

Introduction

Ce document fournit un exemple de configuration pour le protocole PEAP (Protected Extensible Authentication Protocol) avec l'authentification MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) version 2 dans un réseau Cisco Unified Wireless avec le serveur NPS (Microsoft Network Policy Server) comme serveur RADIUS.

Conditions préalables

Conditions requises

Assurez-vous de connaître ces procédures avant de tenter cette configuration :

• Connaissance de l'installation de base de Windows 2008
• Connaissance de l'installation du contrôleur Cisco

Assurez-vous que ces conditions sont remplies avant de tenter cette configuration :

• Installez le système d'exploitation Microsoft Windows Server 2008 sur chacun des serveurs des travaux pratiques de test.
• Mettre à jour tous les Service Packs.
• Installez les contrôleurs et les points d'accès légers (LAP).
• Configurez les dernières mises à jour logicielles.

Pour obtenir des informations sur l'installation et la configuration initiales des contrôleurs sans fil de la gamme Cisco 5508, reportez-vous au Guide d'installation des contrôleurs sans fil de la gamme Cisco 5500.

Remarque : Ce document vise à donner aux lecteurs un exemple de configuration requise sur un serveur Microsoft pour l'authentification PEAP-MS-CHAP. La configuration du serveur Microsoft Windows présentée dans ce document a été testée dans les travaux pratiques et a fonctionné comme prévu. Si vous rencontrez des problèmes de configuration, contactez Microsoft pour obtenir de l'aide. Le centre d'assistance technique Cisco (TAC) ne prend pas en charge la configuration du serveur Microsoft Windows.

Les guides d'installation et de configuration de Microsoft Windows 2008 sont disponibles sur Microsoft Tech Net.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Contrôleur sans fil Cisco 5508 qui exécute le microprogramme version 7.4
• Point d'accès Cisco Aironet 3602 avec protocole LWAPP (Lightweight Access Point Protocol) 
• Windows 2008 Enterprise Server avec services NPS, Autorité de certification (CA), DHCP (Dynamic Host Control Protocol) et DNS (Domain Name System) installés
• PC client Microsoft Windows 7
• Commutateur de la gamme Cisco Catalyst 3560

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Présentation de PEAP

Le protocole PEAP utilise le protocole TLS (Transport Level Security) pour créer un canal chiffré entre un client PEAP authentifiant, tel qu'un ordinateur portable sans fil, et un authentificateur PEAP, tel que Microsoft NPS ou tout serveur RADIUS. PEAP ne spécifie pas de méthode d'authentification, mais fournit une sécurité supplémentaire pour d'autres protocoles EAP (Extensible Authentication Protocol), tels que EAP-MS-CHAP v2, qui peuvent fonctionner via le canal chiffré TLS fourni par PEAP. Le processus d'authentification PEAP consiste en deux phases principales .

Première phase PEAP : Canal crypté TLS

Le client sans fil s'associe avec l'AP. Une association basée sur la norme IEEE 802.11 fournit une authentification système ou clé partagée ouverte avant la création d'une association sécurisée entre le client et le point d'accès. Après que l'association basée sur IEEE 802.11 est établie avec succès entre le client de routage et le point d'accès, la session de TLS est négociée avec l'AP. Une fois l'authentification terminée entre le client sans fil et NPS, la session TLS est négociée entre le client et NPS. La clé qui dérive de cette négociation est utilisée pour crypter toute la communication ultérieure.

Deuxième phase PEAP : communication authentifiée d'EAP

La communication d'EAP, qui inclut la négociation d'EAP, se produit à l'intérieur du canal de TLS créé par PEAP dans la première phase du processus d'authentification de PEAP. Le NPS authentifie le client sans fil avec EAP-MS-CHAP v2. Le LAP et le contrôleur réachemine seulement les messages entre le client sans fil et le serveur RADIUS. Le contrôleur de réseau local sans fil (WLC) et le LAP ne peuvent pas déchiffrer ces messages, car il ne s'agit pas du point d'extrémité TLS.

La séquence de messages RADIUS pour une tentative d'authentification réussie (où l'utilisateur a fourni des informations d'identification valides basées sur un mot de passe avec PEAP-MS-CHAP v2) est la suivante :

1. Le NPS envoie un message de demande d'identité au client : Requête EAP/Identité.
2. Le client répond avec un message de réponse d'identité : Réponse EAP/Identité.
3. Le NPS envoie un message de demande de confirmation MS-CHAP v2 : Requête-EAP/Type-EAP=EAP MS-CHAP-V2 (défi).
4. Le client répond avec un défi et la réponse MS-CHAP v2 : Réponse-EAP/Type-EAP=EAP-MS-CHAP-V2 (réponse).
5. Le NPS renvoie un paquet de réussite MS-CHAP v2 lorsque le serveur a authentifié correctement le client : Requête-EAP/Type-EAP=EAP-MS-CHAP-V2 (réussite).
6. Le client de routage répond avec un paquet de réussite MS-CHAP v2 quand le client a authentifié le serveur avec succès : Réponse-EAP/Type-EAP=EAP-MS-CHAP-V2 (réussite).
7. Le NPS envoie un TLV (EAP-type-length-value) qui indique une authentification réussie.
8. Le client répond avec un message de réussite d'état EAP-TLV.
9. Le serveur termine l'authentification et envoie un message EAP-Success en texte clair. Si des VLAN sont déployés pour l'isolation du client, les attributs VLAN sont inclus dans ce message.

Configuration

Cette section présente les informations nécessaires à la configuration de PEAP-MS-CHAP v2.

Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Cette configuration utilise la configuration de réseau suivante :

Dans cette configuration, un serveur de Microsoft Windows 2008 effectue ces rôles :

• Contrôleur de domaine pour le domaine de routage wireless.com
• Serveur DHCP/DNS
• Serveur AC
• NPS ? Pour authentifier les utilisateurs sans fil
• Active Directory? Pour gérer la base de données utilisateur

Le serveur se connecte au réseau câblé via un commutateur de couche 2, comme indiqué. Le WLC et le LAP enregistré se connectent également au réseau via le commutateur de couche 2.

Les clients sans fil utilisent l'authentification Wi-Fi Protected Access 2 (WPA2) - PEAP-MS-CHAP v2 pour se connecter au réseau sans fil.

Configurations

L'objectif de cet exemple est de configurer le serveur Microsoft 2008, le contrôleur de réseau local sans fil et le point d'accès léger pour authentifier les clients sans fil avec l'authentification PEAP-MS-CHAP v2. Ce processus comporte trois étapes principales :

1. Configurez le serveur Microsoft Windows 2008.
2. Configurez le WLC et les points d'accès Light Weight.
3. Configurez les clients sans fil.

Configurez le serveur de Microsoft Windows 2008

Dans cet exemple, une configuration complète du serveur Microsoft Windows 2008 inclut les étapes suivantes :

1. Configurez le serveur en tant que contrôleur de domaine.
2. Installer et configurer les services DHCP.
3. installer et configurer le serveur en tant que serveur AC.
4. Connectez les clients au domaine.
5. Installez le NPS.
6. Installer un certificat.
7. Configurez le NPS pour l'authentification PEAP.
8. Ajoutez des utilisateurs à Active Directory.

Configurez le serveur de Microsoft Windows 2008 comme contrôleur de domaine

Complétez ces étapes afin de configurer le serveur Microsoft Windows 2008 en tant que contrôleur de domaine :

1. Cliquez sur Démarrer > Gestionnaire de serveur.
   
   
   
   
2. Cliquez sur Rôles > Ajouter des rôles.
   
   
   
   
3. Cliquez sur Next (Suivant).
   
   
   
   
4. Sélectionnez le service Services de domaine Active Directory, puis cliquez sur Suivant.
   
   
   
   
5. Passez en revue l'introduction aux services de domaine Active Directory, puis cliquez sur Suivant.
   
   
   
   
6. Cliquez sur Installer pour commencer le processus d'installation.
   
   
   
   L'installation se poursuit et se termine.
   
   
7. Cliquez sur Fermer cet Assistant et lancez l'Assistant Installation des services de domaine Active Directory (dcpromo.exe) pour continuer l'installation et la configuration d'Active Directory.
   
   
   
   
8. Cliquez sur Suivant pour exécuter l'Assistant Installation des services de domaine Active Directory.
   
   
   
   
9. Examinez les informations sur la compatibilité du système d'exploitation, puis cliquez sur Suivant.
   
   
   
   
10. Cliquez sur Créer un nouveau domaine dans une nouvelle forêt > Suivant afin de créer un nouveau domaine.
    
    
    
    
11. Entrez le nom DNS complet du nouveau domaine (wireless.com dans cet exemple), puis cliquez sur Suivant.
    
    
    
    
12. Sélectionnez le niveau fonctionnel de la forêt pour votre domaine, puis cliquez sur Suivant.
    
    
    
    
13. Sélectionnez le niveau fonctionnel du domaine pour votre domaine, puis cliquez sur Suivant.
    
    
    
    
14. Vérifiez que le serveur DNS est sélectionné, puis cliquez sur Suivant.
    
    
    
    
15. Cliquez sur Oui pour que l'assistant d'installation crée une nouvelle zone dans DNS pour le domaine.
    
    
    
    
16. Sélectionnez les dossiers qu'Active Directory doit utiliser pour ses fichiers, puis cliquez sur Suivant.
    
    
    
    
17. Saisissez le mot de passe administrateur, puis cliquez sur Suivant.
    
    
    
    
18. Vérifiez vos sélections, puis cliquez sur Suivant.
    
    
    
    L'installation se poursuit.
    
    
19. Cliquez sur Terminer pour fermer l'Assistant.
    
    
    
    
20. Redémarrez le serveur pour que les modifications prennent effet.
    
    

Installez et configurez les services DHCP sur le serveur de Microsoft Windows 2008

Le service DHCP sur le serveur de Microsoft 2008 est utilisé pour fournir des adresses IP aux clients sans fil. Complétez ces étapes afin d'installer et de configurer les services DHCP :

1. Cliquez sur Démarrer > Gestionnaire de serveur.
   
   
   
   
2. Cliquez sur Rôles > Ajouter des rôles.
   
   
   
   
3. Cliquez sur Next (Suivant).
   
   
   
   
4. Sélectionnez le serveur DHCP du service, puis cliquez sur Suivant.
   
   
   
   
5. Passez en revue l'introduction au serveur DHCP, puis cliquez sur Suivant.
   
   
   
   
6. Sélectionnez l'interface que le serveur DHCP doit surveiller pour les requêtes, puis cliquez sur Suivant.
   
   
   
   
7. Configurez les paramètres DNS par défaut que le serveur DHCP doit fournir aux clients, puis cliquez sur Suivant.
   
   
   
   
8. Configurez WINS si le réseau prend en charge WINS.
   
   
   
   
9. Cliquez sur Add pour utiliser l'Assistant pour créer une étendue DHCP ou cliquez sur Next pour créer une étendue DHCP ultérieurement. Cliquez sur Next pour continuer.
   
   
   
   
10. Activez ou désactivez la prise en charge DHCPv6 sur le serveur, puis cliquez sur Suivant.
    
    
    
    
11. Configurez les paramètres DNS IPv6 si DHCPv6 a été activé à l'étape précédente. Cliquez sur Next pour continuer.
    
    
    
    
12. Fournissez les informations d'identification de l'administrateur de domaine pour autoriser le serveur DHCP dans Active Directory, puis cliquez sur Suivant.
    
    
    
    
13. Vérifiez la configuration sur la page de confirmation, puis cliquez sur Installer pour terminer l'installation.
    
    
    
    L'installation se poursuit.
    
    
14. Cliquez sur Fermer pour fermer l'Assistant.
    
    
    
    Le serveur DHCP est maintenant installé.
    
    
15. Cliquez sur Start > Administrative Tools > DHCP pour configurer le service DHCP.
    
    
    
    
16. Développez le serveur DHCP (win-mvz9z2umms.wireless.com dans cet exemple), cliquez avec le bouton droit sur IPv4, puis sélectionnez Nouvelle étendue. pour créer une étendue DHCP.
    
    
    
    
17. Cliquez sur Suivant pour configurer la nouvelle étendue via l'Assistant Nouvelle étendue.
    
    
    
    
18. Indiquez un nom pour la nouvelle étendue (Clients sans fil dans cet exemple), puis cliquez sur Suivant.
    
    
    
    
19. Saisissez la plage d'adresses IP disponibles pouvant être utilisée pour les baux DHCP. Cliquez sur Next pour continuer.
    
    
    
    
20. Créez une liste facultative d'adresses exclues. Cliquez sur Next pour continuer.
    
    
    
    
21. Configurez la durée du bail, puis cliquez sur Suivant.
    
    
    
    
22. Cliquez sur Oui, je veux configurer ces options maintenant, puis cliquez sur Suivant.
    
    
    
    
23. Entrez l'adresse IP de la passerelle par défaut pour cette étendue, cliquez sur Add > Next.
    
    
    
    
24. Configurez le nom de domaine DNS et le serveur DNS à utiliser par les clients. Cliquez sur Next pour continuer.
    
    
    
    
25. Entrez les informations WINS pour cette étendue si le réseau prend en charge WINS. Cliquez sur Next pour continuer.
    
    
    
    
26. Pour activer cette étendue, cliquez sur Oui, je veux activer cette étendue maintenant > Suivant.
    
    
    
    
27. Cliquez sur Terminer pour terminer et fermer l'Assistant.
    
    

Installer et configurer Microsoft Windows 2008 Server en tant que serveur AC

PEAP avec EAP-MS-CHAP v2 valide le serveur RADIUS en fonction du certificat présent sur le serveur. En outre, le certificat de serveur doit être émis par une autorité de certification publique qui est approuvée par l'ordinateur client (c'est-à-dire que le certificat d'autorité de certification publique existe déjà dans le dossier Trusted Root Certification Authority du magasin de certificats de l'ordinateur client). 

Complétez ces étapes afin de configurer le serveur Microsoft Windows 2008 en tant que serveur AC qui émet le certificat au NPS :

1. Cliquez sur Démarrer > Gestionnaire de serveur.
   
   
   
   
2. Cliquez sur Rôles > Ajouter des rôles.
   
   
   
   
3. Cliquez sur Next (Suivant).
   
   
   
   
4. Sélectionnez le service Services de certificats Active Directory, puis cliquez sur Suivant.
   
   
   
   
5. Passez en revue l'introduction aux services de certificats Active Directory, puis cliquez sur Suivant.
   
   
   
   
6. Sélectionnez l'autorité de certification, puis cliquez sur Suivant.
   
   
   
   
7. Sélectionnez Entreprise, puis cliquez sur Suivant.
   
   
   
   
8. Sélectionnez Autorité de certification racine, puis cliquez sur Suivant.
   
   
   
   
9. Sélectionnez Créer une nouvelle clé privée, puis cliquez sur Suivant.
   
   
   
   
10. Cliquez sur Suivant sur Configuration de la cryptographie pour CA.
    
    
    
    
11. Cliquez sur Suivant pour accepter le nom commun par défaut de cette autorité de certification.
    
    
    
    
12. Sélectionnez la durée de validité de ce certificat d'autorité de certification, puis cliquez sur Suivant.
    
    
    
    
13. Cliquez sur Suivant pour accepter l'emplacement par défaut de la base de données de certificats.
    
    
    
    
14. Vérifiez la configuration, puis cliquez sur Installer pour démarrer les services de certificats Active Directory. 
    
    
    
    
    
15. Une fois l'installation terminée, cliquez sur Fermer.

Connectez les clients de routage au domaine de routage

Complétez ces étapes afin de connecter les clients au réseau câblé et de télécharger les informations spécifiques au domaine à partir du nouveau domaine :

1. Connectez les clients au réseau câblé avec une droite par un câble Ethernet.
2. Démarrez le client et connectez-vous avec le nom d'utilisateur et le mot de passe du client.
3. Cliquez sur Démarrer > Exécuter, entrez cmd, puis cliquez sur OK.
4. À l'invite de commandes, entrez ipconfig, puis cliquez sur Enter pour vérifier que DHCP fonctionne correctement et que le client a reçu une adresse IP du serveur DHCP.
5. Afin de joindre le client au domaine, cliquez sur Démarrer, cliquez avec le bouton droit sur Ordinateur, choisissez Propriétés, et choisissez Modifier les paramètres en bas à droite.
6. Cliquez sur Change.
7. Cliquez sur Domain, entrez wireless.com, puis cliquez sur OK.
   
   
   
   
8. Entrez le nom d'utilisateur administrateur et le mot de passe propres au domaine auquel le client se joint. Il s'agit du compte administrateur dans Active Directory sur le serveur.
   
   
   
   
9. Cliquez sur OK, puis sur OK à nouveau.
   
   
   
   
10. Cliquez sur Fermer > Redémarrer maintenant pour redémarrer l'ordinateur.
11. Une fois l'ordinateur redémarré, connectez-vous avec ces informations : Nom d'utilisateur = Administrateur ; Mot de passe = <mot de passedomaine>; Domaine = Sans fil.
12. Cliquez sur Démarrer, cliquez avec le bouton droit sur Ordinateur, choisissez Propriétés et choisissez Modifier les paramètres en bas à droite pour vérifier que vous êtes sur le domaine wireless.com.
13. L'étape suivante consiste à vérifier que le client a reçu le certificat d'authentification (de confiance) du serveur.
    
    
    
    
14. Cliquez sur Démarrer, entrez mmc, puis appuyez sur Entrée.
15. Cliquez sur File, puis cliquez sur le jeu d'outils Add/Remove.
16. Choisissez Certificates, puis cliquez sur Add.
    
    
    
    
17. Cliquez sur Compte ordinateur, puis sur Suivant.
    
    
    
    
18. Cliquez sur Ordinateur local, puis sur Suivant.
    
    
    
    
19. Click OK.
20. Développez les dossiers Certificates (Local Computer) et Trusted Root Certification Authority, puis cliquez sur Certificates. Recherchez le certificat d'autorité de certification du domaine sans fil dans la liste. Dans cet exemple, le certificat CA est appelé wireless-WIN-MVZ9Z2UMNMS-CA. 
    
    
    
    
21. Répétez cette procédure pour ajouter plus de clients au domaine.

Installation du serveur de stratégie réseau sur le serveur Microsoft Windows 2008

Dans cette configuration, le NPS est utilisé comme serveur RADIUS pour authentifier les clients sans fil avec l'authentification PEAP. Complétez ces étapes afin d'installer et de configurer NPS sur le serveur Microsoft WIndows 2008 :

1. Cliquez sur Démarrer > Gestionnaire de serveur.
   
   
   
   
2. Cliquez sur Rôles > Ajouter des rôles.
   
   
   
   
3. Cliquez sur Next (Suivant).
   
   
   
   
4. Sélectionnez le service Stratégie réseau et services d'accès, puis cliquez sur Suivant.
   
   
   
   
5. Examinez l'introduction aux services de stratégie et d'accès réseau, puis cliquez sur Suivant.
   
   
   
   
6. Sélectionnez Network Policy Server, puis cliquez sur Next.
   
   
   
   
7. Vérifiez la confirmation, puis cliquez sur Installer.
   
   
   
   Une fois l'installation terminée, un écran similaire à celui-ci s'affiche.
   
   
   
   
8. Cliquez sur Close.

Installer un certificat

Complétez ces étapes afin d'installer le certificat d'ordinateur pour le NPS :

1. Cliquez sur Démarrer, entrez mmc, puis appuyez sur Entrée.
2. Cliquez sur Fichier > Ajouter/Supprimer le composant logiciel enfichable.
3. Choisissez Certificates, puis cliquez sur Add.
   
   
   
   
4. Choisissez Computer Account, puis cliquez sur Next.
   
   
   
   
5. Sélectionnez Ordinateur local, puis cliquez sur Terminer.
   
   
   
   
6. Cliquez sur OK pour revenir à Microsoft Management Console (MMC).
   
   
   
   
7. Développez les dossiers Certificates (Ordinateur local) et Personal, puis cliquez sur Certificates.
   
   
   
   
8. Cliquez avec le bouton droit de la souris dans l'espace vide sous le certificat CA, puis sélectionnez Toutes les tâches > Demander un nouveau certificat.
   
   
   
   
9. Cliquez sur Next (Suivant).
   
   
   
   
10. Sélectionnez Contrôleur de domaine, puis cliquez sur S'inscrire.
    
    
    
    
11. Cliquez sur Terminer une fois le certificat installé.
    
    
    
    Le certificat NPS est maintenant installé. 
    
    
12. Assurez-vous que l'objet prévu du certificat indique Authentification du client, Authentification du serveur.
    
    

Configurer le service Network Policy Server pour l'authentification PEAP-MS-CHAP v2

Complétez ces étapes afin de configurer le NPS pour l'authentification :

1. Cliquez sur Démarrer > Outils d'administration > Serveur de stratégie réseau.
2. Cliquez avec le bouton droit de la souris sur NPS (Local), puis sélectionnez Enregistrer le serveur dans Active Directory.
   
   
   
   
3. Click OK.
   
   
   
   
4. Click OK.
   
   
   
   
5. Ajoutez le contrôleur de réseau local sans fil en tant que client AAA (Authentication, Authorization and Accounting) sur le NPS.
6. Développez Clients et serveurs RADIUS. Cliquez à droite sur RADIUS Clients, puis choisissez New RADIUS Client.
   
   
   
   
7. Entrez un nom convivial (WLC dans cet exemple), l'adresse IP de gestion du WLC (192.168.162.248 dans cet exemple) et un secret partagé. Le même secret partagé est utilisé pour configurer le WLC. 
   
   
   
   
8. Cliquez sur OK pour revenir à l'écran précédent.
   
   
   
   
9. Créez une nouvelle stratégie réseau pour les utilisateurs sans fil. Développez Stratégies, cliquez avec le bouton droit sur Stratégies réseau, puis choisissez Nouveau.
   
   
   
   
10. Entrez un nom de stratégie pour cette règle (PEAP sans fil dans cet exemple), puis cliquez sur Suivant.
    
    
    
    
11. Pour que cette stratégie autorise uniquement les utilisateurs de domaine sans fil, ajoutez ces trois conditions, puis cliquez sur Suivant :
    
    
• Groupes Windows - Utilisateurs de domaine
• Type de port NAS - Sans fil - IEEE 802.11
• Type d'authentification - EAP 
  
  
  
  
12. Cliquez sur Accès accordé pour accorder des tentatives de connexion correspondant à cette stratégie, puis cliquez sur Suivant.
    
    
    
    
13. Désactivez toutes les méthodes d'authentification sous Moins sécurisé.
    
    
    
    
14. Cliquez sur Add, sélectionnez PEAP, puis cliquez sur OK pour activer PEAP.
    
    
    
    
15. Sélectionnez Microsoft : Protected EAP (PEAP), puis cliquez sur Edit. Assurez-vous que le certificat de contrôleur de domaine précédemment créé est sélectionné dans la liste déroulante Certificat émis, puis cliquez sur OK.
    
    
    
    
16. Cliquez sur Next (Suivant).
    
    
    
    
17. Cliquez sur Next (Suivant).
    
    
    
    
18. Cliquez sur Next (Suivant).
    
    
    
    
19. Cliquez sur Finish.
    
    

Ajoutez les utilisateurs à l'Active Directory

Dans cet exemple, la base de données utilisateur est conservée dans Active Directory. Complétez ces étapes afin d'ajouter des utilisateurs à la base de données Active Directory :

1. Ouvrez Utilisateurs et ordinateurs Active Directory. Cliquez sur Démarrer > Outils d'administration > Utilisateurs et ordinateurs Active Directory.
2. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, développez le domaine, cliquez avec le bouton droit sur Utilisateurs > Nouveau, puis choisissez Utilisateur.
3. Dans le nouvel objet ? , saisissez le nom de l'utilisateur sans fil. Cet exemple utilise le nom Client1 dans le champ Prénom et Client1 dans le champ Nom de connexion utilisateur. Cliquez sur Next (Suivant).
   
   
   
   
4. Dans le nouvel objet ? Dans la boîte de dialogue Utilisateur, saisissez le mot de passe de votre choix dans les champs Mot de passe et Confirmer le mot de passe. Désactivez la case à cocher L'utilisateur doit changer de mot de passe lors de la prochaine ouverture de session, puis cliquez sur Suivant.
   
   
   
   
5. Dans le nouvel objet ? Boîte de dialogue Utilisateur, cliquez sur Terminer.
   
   
   
   
6. Répétez les étapes 2 à 4 afin de créer des comptes d'utilisateur supplémentaires.

Configuration du contrôleur de réseau local sans fil et des LAP

Configurez les périphériques sans fil (contrôleurs de réseau local sans fil et LAP) pour cette configuration.

Configurer le WLC pour l'authentification RADIUS

Configurez le WLC pour utiliser le NPS comme serveur d'authentification. Le WLC doit être configuré afin de transférer les informations d'identification de l'utilisateur à un serveur RADIUS externe. Le serveur RADIUS externe valide alors les identifiants de l'utilisateur et permet d'accéder aux clients sans fil.

Complétez ces étapes afin d'ajouter le serveur NPS en tant que serveur RADIUS dans la page Security >RADIUS Authentication :

1. Choisissez Security > RADIUS > Authentication dans l'interface du contrôleur pour afficher la page RADIUS Authentication Servers. Cliquez sur Nouveau afin de définir un serveur RADIUS.
   
   
   
   
2. Définissez les paramètres du serveur RADIUS. Ces paramètres incluent l'adresse IP du serveur RADIUS, secret partagé, numéro de port et état du serveur. Les cases à cocher Network User and Management déterminent si l'authentification RADIUS s'applique aux utilisateurs de gestion et de réseau (sans fil). Cet exemple utilise NPS comme serveur RADIUS avec l'adresse IP 192.168.162.12. Cliquez sur Apply.
   
   

Configurez un WLAN pour les clients de routage

Configurez le SSID (Service Set Identifier) (WLAN) auquel les clients sans fil se connectent. Dans cet exemple, créez le SSID, puis nommez-le PEAP.

Définissez l'authentification de couche 2 en tant que WPA2 de sorte que les clients effectuent l'authentification basée sur EAP (PEAP-MS-CHAP v2 dans cet exemple) et utilisent la norme de chiffrement avancée (AES) comme mécanisme de chiffrement. Laissez toutes autres valeurs à leurs paramètres par défaut.

Remarque : ce document lie le WLAN aux interfaces de gestion. Quand vous avez plusieurs VLAN dans votre réseau, vous pouvez créer un VLAN séparé et le relier au SSID. Pour les informations sur la façon de configurer des VLAN sur les WLC, reportez-vous aux VLAN sur l'exemple de configuration de contrôleurs LAN sans fil.

Complétez ces étapes afin de configurer un WLAN sur le WLC :

1. Cliquez sur WLAN à partir de l'interface du contrôleur afin d'afficher la page WLANs. Cette page énumère les WLAN qui existent sur le contrôleur.
2. Sélectionnez New afin de créer un nouveau WLAN. Saisissez l'ID WLAN et le SSID WLAN pour le WLAN, puis cliquez sur Apply.
   
   
   
   
3. Pour configurer le SSID pour 802.1x, procédez comme suit :
   1. Cliquez sur l'onglet Général et activez le WLAN.
      
      
      
      
   2. Cliquez sur les onglets Security > Layer 2, définissez la sécurité de couche 2 sur WPA + WPA2, cochez les cases WPA+WPA2 Parameters (par exemple, WPA2 AES) si nécessaire, puis cliquez sur 802.1x comme gestion des clés d'authentification.
      
      
      
      
   3. Cliquez sur les onglets Security > AAA Servers, choisissez l'adresse IP du NPS dans la liste déroulante Server 1, puis cliquez sur Apply.
      
      

Configurer les clients sans fil pour l'authentification PEAP-MS-CHAP v2

Complétez ces étapes pour configurer le client sans fil à l'aide de l'outil de configuration automatique de Windows pour la connexion au WLAN PEAP.

1. Cliquez sur l'icône Réseau dans la barre des tâches. Cliquez sur le SSID PEAP, puis sur Connect.
   
   
   
   
2. Le client doit maintenant être connecté au réseau. 
   
   
   
   
3. Si la connexion échoue, essayez de vous reconnecter au WLAN. Si le problème persiste, reportez-vous à la section Dépannage.

Vérification

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannage

Si votre client ne s'est pas connecté au WLAN, cette section fournit des informations que vous pouvez utiliser pour dépanner la configuration.

Deux outils peuvent être utilisés pour diagnostiquer les échecs d'authentification 802.1x : la commande debug client et l'Observateur d'événements dans Windows.

L'exécution d'un débogage client à partir du WLC n'exige pas beaucoup de ressources et n'affecte pas le service. Pour démarrer une session de débogage, ouvrez l'interface de ligne de commande (CLI) du WLC et entrez l'adresse mac du client de débogage, où l'adresse mac est l'adresse mac sans fil du client sans fil qui ne peut pas se connecter. Pendant l'exécution de ce débogage, essayez de connecter le client ; il doit y avoir une sortie sur la CLI du WLC qui ressemble à cet exemple :

 

Ceci est un exemple de problème qui pourrait se produire avec une mauvaise configuration. Ici, le débogage du WLC montre que le WLC est passé à l'état d'authentification, ce qui signifie que le WLC attend une réponse du NPS. Ceci est généralement dû à un secret partagé incorrect sur le WLC ou le NPS. Vous pouvez le confirmer via l'Observateur d'événements Windows Server. Si vous ne trouvez pas de journal, la demande n'est jamais parvenue au NPS.

Un autre exemple qui est trouvé dans le débogage du WLC est un access-rejet. Un rejet d'accès indique que le NPS a reçu et rejeté les informations d'identification du client. Voici un exemple d'un client recevant un refus d'accès :

Lorsque vous voyez un rejet d'accès, vérifiez les journaux des événements Windows Server pour déterminer pourquoi le NPS a répondu au client avec un rejet d'accès.

Une authentification réussie a un access-accept dans le débogage du client, comme indiqué dans cet exemple :

Le dépannage des refus d'accès et des délais d'attente de réponse nécessite un accès au serveur RADIUS. Le WLC agit en tant qu'authentificateur qui transmet les messages EAP entre le client et le serveur RADIUS. Le fabricant du service RADIUS doit examiner et diagnostiquer un serveur RADIUS qui répond avec un délai de refus d'accès ou de réponse.

Note: Le TAC ne fournit pas d'assistance technique pour les serveurs RADIUS tiers ; cependant, les journaux sur le serveur RADIUS expliquent généralement pourquoi une demande client a été rejetée ou ignorée.

Afin de dépanner les rejets d'accès et les délais de réponse à partir du NPS, examinez les journaux NPS dans l'Observateur d'événements Windows sur le serveur. 

1. Cliquez sur Start >Administrator Tools > Event Viewer pour démarrer l'Observateur d'événements et consulter les journaux NPS.
2. Développez Vues personnalisées > Rôles serveur > Stratégie et accès réseau.
   
   

Dans cette section de l'affichage des événements, il y a des journaux des authentifications passées et ayant échoué. Examinez ces journaux pour déterminer pourquoi un client ne réussit pas l'authentification. Les authentifications passées et échouées s'affichent sous forme d'informations. Faites défiler les journaux pour trouver le nom d'utilisateur qui a échoué à l'authentification et a reçu un rejet d'accès conformément aux débogages du WLC.

Voici un exemple de NPS refusant un accès utilisateur :

Lorsque vous consultez une instruction deny dans l'Observateur d'événements, examinez la section Authentication Details. Dans cet exemple, vous pouvez voir que le NPS a refusé l'accès de l'utilisateur en raison d'un nom d'utilisateur incorrect :

L'affichage des événements sur le NPS aide également au dépannage si le WLC ne reçoit pas de réponse de la part du NPS.  Ceci est généralement dû à un secret partagé incorrect entre le NPS et le WLC.

Dans cet exemple, le NPS rejette la requête du WLC en raison d'un secret partagé incorrect :

Informations connexes

• Support et documentation techniques - Cisco Systems

Historique de révision