Avez-vous un compte?
ID de document : 117684
Mis à jour : Mai 05, 2014
Contribué par Surendra BG, ingénieur TAC Cisco.
Ce document décrit comment configurer le Protected Extensible Authentication Protocol (PEAP) avec l'authentification de la version 2 (MS-CHAP v2) de Microsoft Challenge Handshake Authentication Protocol sur un déploiement Sans fil du RÉSEAU LOCAL d'Access convergé par Cisco (WLAN) avec le policy server de réseau Microsoft (NPS) en tant que serveur de RAYON.
Cisco recommande que vous ayez la connaissance de ces thèmes avant que vous tentiez la configuration décrite dans ce document :
Assurez-vous que ces exigences sont répondues avant que vous tentiez cette configuration :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Les utilisations PEAP transportent la Sécurité de niveau (TLS) afin de créer un canal chiffré entre un client authentifiant PEAP, tel qu'un ordinateur portable sans fil, et un authentificateur PEAP, tel que Microsoft NPS ou n'importe quel serveur de RAYON. Le PEAP ne spécifie pas une méthode d'authentification mais fournit la Sécurité supplémentaire pour d'autres protocoles d'authentification extensible (eap), comme EAP-MS-CHAP v2, qui peut fonctionner par le canal Tls-chiffré qui est fourni par PEAP. La procédure d'authentification PEAP se compose de deux phases principales.
Les associés de client sans fil avec le Point d'accès (AP). Une association d'IEEE 802.11-based fournit un système ouvert ou une authentification principale partagée avant qu'une association sécurisée soit créée entre le client et l'AP. Après que l'association d'IEEE 802.11-based soit avec succès établie entre le client et l'AP, la session de TLS est étée en pourparlers avec AP.
Après l'authentification est avec succès terminée entre le client sans fil et le NPS, la session de TLS est négociée entre le client et le NPS. La clé qui est dérivée dans cette négociation est utilisée afin de chiffrer toute la transmission ultérieure.
La transmission d'EAP, qui inclut la négociation d'EAP, se produit à l'intérieur de du canal de TLS qui est créé par PEAP dans la première phase de la procédure d'authentification PEAP. Le NPS authentifie le client sans fil avec EAP-MS-CHAP v2. Le RECOUVREMENT et les messages en avant de contrôleur seulement entre le client sans fil et le serveur de RAYON. Le contrôleur WLAN (WLC) et le RECOUVREMENT ne peuvent pas déchiffrer les messages parce que le WLC n'est pas le point final de TLS.
Voici l'ordre de message de RAYON pour une tentative réussie d'authentification, où l'utilisateur fournit les qualifications basées sur mot de passe valides avec PEAP-MS-CHAP v2 :
EAP-Request/Identity
EAP-Response/Identity
EAP-Request/EAP-Type=EAP MS-CHAP-V2 (Challenge)
EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Response)
EAP-Request/EAP-Type=EAP-MS-CHAP-V2 (Success)
EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Success)
Employez cette section afin de configurer le PEAP avec l'authentification MS-CHAP v2 sur un déploiement d'Access convergé par Cisco WLC avec Microsoft NPS en tant que serveur de RAYON.
Dans cet exemple, le serveur de version 2008 de Microsoft Windows exécute ces rôles :
Le serveur se connecte au réseau câblé par un commutateur de la couche 2 (L2), comme affiché. Les WLC et le RECOUVREMENT enregistré se connectent également au réseau par le commutateur L2.
Les clients sans fil emploient l'accès protégé par Wi-Fi 2 (WPA2) - authentification PEAP-MS-CHAP v2 afin de se connecter au réseau Sans fil.
La configuration qui est décrite dans cette section est terminée dans deux étapes :
Terminez-vous ces étapes afin de configurer le WLAN pour le client requis VLAN et le tracer à la liste de méthode d'authentification avec le CLI :
aaa new-model
!
!
aaa group server radius Microsoft_NPS
server name Microsoft_NPS
!
aaa authentication dot1x Microsoft_NPS group Microsoft_NPS
aaa authorization network Microsoft_NPS group Microsoft_NPS
radius server Microsoft_NPS
address ipv4 10.104.208.96 auth-port 1645 acct-port 1646
timeout 10
retransmit 10
key Cisco123
wlan Microsoft_NPS 8 Microsoft_NPS
client vlan VLAN0020
no exclusionlist
security dot1x authentication-list Microsoft_NPS
session-timeout 1800
no shutdown
Terminez-vous ces étapes afin de configurer Access convergé WLCs avec le GUI :
Cette section décrit une configuration complète du serveur de version 2008 de Microsoft Windows. La configuration est terminée dans six étapes :
Configurez le serveur de Microsoft Windows 2008 comme contrôleur de domaine
Terminez-vous ces étapes afin de configurer le serveur de version 2008 de Microsoft Windows comme contrôleur de domaine :
Installez et configurez le serveur de version 2008 de Microsoft Windows en tant que serveur CA
Le PEAP avec EAP-MS-CHAP v2 valide le serveur de RAYON basé sur le certificat qui est présent sur le serveur. Supplémentaire, le certificat de serveur doit être délivré par un public CA qui est de confiance par l'ordinateur client. C'est-à-dire, le certificat de CA public existe déjà dans le répertoire d'Autorité de certification racine approuvée sur la mémoire de certificat d'ordinateur client.
Terminez-vous ces étapes afin de configurer le serveur de version 2008 de Microsoft Windows en tant que serveur CA qui fournit le certificat au NPS :
Installez le NPS sur le serveur de version 2008 de Microsoft Windows
Terminez-vous ces étapes afin d'installer et configurer le NPS sur le serveur de version 2008 de Microsoft Windows :
Installez un certificat
Terminez-vous ces étapes afin d'installer le certificat d'ordinateur pour le NPS :
Configurez le service de serveur de politique réseau pour l'authentification PEAP-MS-CHAP v2
Terminez-vous ces étapes afin de configurer le NPS pour l'authentification :
Condition | Valeur |
Groupes de Windows | Utilisateurs de RADIO \ domaine |
Type de port de NAS | Radio - IEEE 802.11 |
Type d'authentification | EAP |
Ajoutez les utilisateurs à l'Active Directory
Terminez-vous ces étapes afin d'ajouter des utilisateurs à la base de données d'AD :
Terminez-vous ces étapes afin de vérifier votre configuration :
Permettez à ces suivis afin d'obtenir les logs L2 authentiques :
Permettez à ces suivis afin d'obtenir les événements d'AAA de dot1x :
Permettez à ces suivis afin de recevoir les événements DHCP :
Permettez à ces suivis afin de désactiver les suivis et effacer la mémoire tampon :
Écrivez les système-filtrer-suivis de show trace commandent afin de visualiser les suivis :
[04/23/14 21:27:51.963 IST 1 8151] 0017.7c2f.b69a Adding mobile on LWAPP AP
1caa.076f.9e10 (0)
[04/23/14 21:27:51.963 IST 2 8151] 0017.7c2f.b69a Local Policy: Created MSCB
Just AccessVLAN = 0 and SessionTimeout is 0 and apfMsTimeout is 0
[04/23/14 21:27:51.963 IST 8 8151] 0017.7c2f.b69a Local Policy:Setting local
bridging VLAN name VLAN0020 and VLAN ID 20
[04/23/14 21:27:51.963 IST 9 8151] 0017.7c2f.b69a Applying WLAN ACL policies
to client
[04/23/14 21:27:51.963 IST a 8151] 0017.7c2f.b69a No Interface ACL used for
Wireless client in WCM(NGWC)
[04/23/14 21:27:51.963 IST b 8151] 0017.7c2f.b69a Applying site-specific IPv6
override for station 0017.7c2f.b69a - vapId 8, site 'test',
interface 'VLAN0020'
[04/23/14 21:27:51.963 IST c 8151] 0017.7c2f.b69a Applying local bridging
Interface Policy for station 0017.7c2f.b69a - vlan 20,
interface 'VLAN0020'
[04/23/14 21:27:51.963 IST d 8151] 0017.7c2f.b69a
**** Inside applyLocalProfilingPolicyAction ****
04/23/14 21:27:51.963 IST f 8151] 0017.7c2f.b69a Local Profiling Values :
isValidVlan = 0, vlan = 0, isVlanRecdInDelete = 0, isValidSessionTimeout = 0,
sessionTimeout=0, isSessionTORecdInDelete = 0 ProtocolMap = 0 ,
applyPolicyAtRun= 0
[04/23/14 21:27:51.963 IST 10 8151] 0017.7c2f.b69a ipv4ACL = [],
ipv6ACL = [], inQoS = [unknown], outQoS = [unknown]
[04/23/14 21:27:51.963 IST 11 8151] 0017.7c2f.b69a STA - rates (4):
130 132 139 150 0 0 0 0 0 0 0 0 0 0 0 0
[04/23/14 21:27:51.963 IST 12 8151] 0017.7c2f.b69a STA - rates (12):
130 132 139 150 12 18 24 36 48 72 96 108 0 0 0 0
[04/23/14 21:27:51.963 IST 13 8151] 0017.7c2f.b69a Processing RSN IE type 48,
length 20 for mobile 0017.7c2f.b69a
[04/23/14 21:27:51.963 IST 14 8151] 0017.7c2f.b69a Received RSN IE with 0
PMKIDsfrom mobile 0017.7c2f.b69a
[04/23/14 21:27:51.964 IST 1b 8151] 0017.7c2f.b69a Change state to AUTHCHECK
(2) last state START (0)
[04/23/14 21:27:51.964 IST 1c 8151] 0017.7c2f.b69a Change state to 8021X_REQD
(3) last state AUTHCHECK (2)
[04/23/14 21:27:51.964 IST 25 8151] 0017.7c2f.b69a apfProcessAssocReq
(apf_80211.c:6272) Changing state for mobile 0017.7c2f.b69a on AP
1caa.076f.9e10 from Associated to Associated
[04/23/14 21:27:51.971 IST 26 8151] 0017.7c2f.b69a 1XA: Initiating
authentication
[04/23/14 21:27:51.971 IST 27 8151] 0017.7c2f.b69a 1XA: Setting reauth
timeout to 1800 seconds
[04/23/14 21:27:51.971 IST 28 8151] 0017.7c2f.b69a 1XK: Set Link Secure: 0
[04/23/14 21:27:51.971 IST 29 8151] 0017.7c2f.b69a 1XA: Allocated uid 40
[04/23/14 21:27:51.971 IST 2a 8151] 0017.7c2f.b69a 1XA: Calling Auth Mgr
to authenticate client 4975000000003e uid 40
[04/23/14 21:27:51.971 IST 2b 8151] 0017.7c2f.b69a 1XA: Session Start from
wireless client
[04/23/14 21:27:51.971 IST 2c 8151] 0017.7c2f.b69a Session Manager Call Client
4975000000003e, uid 40, capwap id 7ae8c000000013,Flag 0, Audit-Session ID
0a6987b25357e2ff00000028, method list Microsoft_NPS, policy name (null)
[04/23/14 21:27:51.971 IST 2d 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
[0017.7c2f.b69a, Ca3] Session start request from Client[1] for 0017.7c2f.b69a
(method: Dot1X, method list: Microsoft_NPS, aaa id: 0x00000028), policy
[04/23/14 21:27:51.971 IST 2e 22] ACCESS-CORE-SM-CLIENT-SPI-NOTF:
[0017.7c2f.b69a, Ca3] - client iif_id: 4975000000003E, session ID:
0a6987b25357e2ff00000028 for 0017.7c2f.b69a
[04/23/14 21:27:51.972 IST 43 284] ACCESS-METHOD-DOT1X-DEB:
[0017.7c2f.b69a, Ca3] Posting !EAP_RESTART on Client 0x22000025
[04/23/14 21:27:51.972 IST 44 284] ACCESS-METHOD-DOT1X-DEB:
[0017.7c2f.b69a, Ca3] 0x22000025:enter connecting state
[04/23/14 21:27:51.972 IST 45 284] ACCESS-METHOD-DOT1X-DEB:
[0017.7c2f.b69a, Ca3] 0x22000025: restart connecting
[04/23/14 21:27:51.972 IST 46 284] ACCESS-METHOD-DOT1X-DEB:
[0017.7c2f.b69a, Ca3] Posting RX_REQ on Client 0x22000025
[04/23/14 21:27:51.972 IST 47 284] ACCESS-METHOD-DOT1X-DEB:
[0017.7c2f.b69a, Ca3] 0x22000025: authenticating state entered
[04/23/14 21:27:51.972 IST 48 284] ACCESS-METHOD-DOT1X-DEB:
[0017.7c2f.b69a, Ca3] 0x22000025:connecting authenticating action
[04/23/14 21:27:51.972 IST 49 291] ACCESS-METHOD-DOT1X-DEB:
[0017.7c2f.b69a, Ca3] Posting AUTH_START for 0x22000025
[04/23/14 21:27:51.972 IST 4a 291] ACCESS-METHOD-DOT1X-DEB:
[0017.7c2f.b69a, Ca3] 0x22000025:entering request state
[04/23/14 21:27:51.972 IST 4b 291] ACCESS-METHOD-DOT1X-NOTF:
[0017.7c2f.b69a, Ca3] Sending EAPOL packet
[04/23/14 21:27:51.972 IST 4c 291] ACCESS-METHOD-DOT1X-INFO:
[0017.7c2f.b69a, Ca3] Platform changed src mac of EAPOL packet
[04/23/14 21:27:51.972 IST 4d 291] ACCESS-METHOD-DOT1X-NOTF:
[0017.7c2f.b69a, Ca3] Sending out EAPOL packet
[04/23/14 21:27:51.972 IST 4e 291] ACCESS-METHOD-DOT1X-INFO:
[0017.7c2f.b69a, Ca3] EAPOL packet sent to client 0x22000025
[04/23/14 21:27:52.112 IST 7d 211] Parsed CLID MAC Address = 0:23:124:47:182:154
[04/23/14 21:27:52.112 IST 7e 211] AAA SRV(00000000): process authen req
[04/23/14 21:27:52.112 IST 7f 211] AAA SRV(00000000): Authen method=SERVER_GROUP
Microsoft_NPS
[04/23/14 21:27:52.112 IST 80 211] AAA SRV(00000000): Selecting SG = DIAMETER
[04/23/14 21:27:52.113 IST 81 186] ACCESS-METHOD-DOT1X-INFO:
[0017.7c2f.b69a, Ca3] Queuing an EAPOL pkt on Authenticator Q
[04/23/14 21:27:52.113 IST 82 291] ACCESS-METHOD-DOT1X-DEB:
[0017.7c2f.b69a, Ca3] Posting EAPOL_EAP for 0x22000025
[04/23/14 21:27:52.278 IST 83 220] AAA SRV(00000000): protocol reply
GET_CHALLENGE_RESPONSE for Authentication
[04/23/14 21:27:52.278 IST 84 220] AAA SRV(00000000): Return Authentication
status=GET_CHALLENGE_RESPONSE
[04/23/14 21:27:52.278 IST 85 291] ACCESS-METHOD-DOT1X-DEB:[0017.7c2f.b69a,Ca3]
Posting EAP_REQ for 0x22000025
Voici le reste de l'EAP sorti :
[04/23/14 21:27:54.690 IST 12b 211] AAA SRV(00000000): process authen req
[04/23/14 21:27:54.690 IST 12c 211] AAA SRV(00000000): Authen
method=SERVER_GROUP Microsoft_NPS
[04/23/14 21:27:54.690 IST 12d 211] AAA SRV(00000000): Selecting SG =
DIAMETER
[04/23/14 21:27:54.694 IST 12e 220] AAA SRV(00000000): protocol reply PASS
for Authentication
[04/23/14 21:27:54.694 IST 12f 220] AAA SRV(00000000): Return Authentication
status=PASS
[04/23/14 21:27:54.694 IST 130 189] ACCESS-METHOD-DOT1X-INFO:
[0017.7c2f.b69a, Ca3] Received an EAP Success
[04/23/14 21:27:54.695 IST 186 8151] 0017.7c2f.b69a Starting key exchange with
mobile - data forwarding is disabled
[04/23/14 21:27:54.695 IST 187 8151] 0017.7c2f.b69a 1XA: Sending EAPOL message
to mobile, WLAN=8 AP WLAN=8
[04/23/14 21:27:54.706 IST 188 8151] 0017.7c2f.b69a 1XA: Received 802.11 EAPOL
message (len 121) from mobile
[04/23/14 21:27:54.706 IST 189 8151] 0017.7c2f.b69a 1XA: Received EAPOL-Key
from mobile
[04/23/14 21:27:54.706 IST 18a 8151] 0017.7c2f.b69a 1XK: Received EAPOL-key in
PTK_START state (msg 2) from mobile
[04/23/14 21:27:54.706 IST 18b 8151] 0017.7c2f.b69a 1XK: Stopping retransmission
timer
[04/23/14 21:27:54.706 IST 18c 8151] 0017.7c2f.b69a 1XA: Sending EAPOL message
to mobile, WLAN=8 AP WLAN=8
[04/23/14 21:27:54.717 IST 18d 8151] 0017.7c2f.b69a 1XA: Received 802.11 EAPOL
message (len 99) from mobile
[04/23/14 21:27:54.717 IST 18e 8151] 0017.7c2f.b69a 1XA: Received EAPOL-Key
from mobile
[04/23/14 21:27:54.717 IST 18f 8151] 0017.7c2f.b69a 1XK: Received EAPOL-key in
PTKINITNEGOTIATING state (msg 4) from mobile
[04/23/14 21:27:54.717 IST 190 8151] 0017.7c2f.b69a 1XK: Set Link Secure: 1
[04/23/14 21:27:54.717 IST 191 8151] 0017.7c2f.b69a 1XK: Key exchange complete
- updating PEM
[04/23/14 21:27:54.717 IST 192 8151] 0017.7c2f.b69a apfMs1xStateInc
[04/23/14 21:27:54.717 IST 193 8151] 0017.7c2f.b69a Change state to
L2AUTHCOMPLETE (4) last state 8021X_REQD (3)
[04/23/14 21:27:58.277 IST 1df 269] DHCPD: Sending notification of DISCOVER:
[04/23/14 21:27:58.277 IST 1e0 269] DHCPD: Sending notification of DISCOVER:
[04/23/14 21:28:05.279 IST 1e1 269] DHCPD: Adding binding to hash tree
[04/23/14 21:28:05.279 IST 1e2 269] DHCPD: DHCPOFFER notify setup address
20.20.20.5 mask 255.255.255.0
[04/23/14 21:28:05.306 IST 1f4 8151] 0017.7c2f.b69a Change state to RUN (20)
last state DHCP_REQD (7)
Ce document était-il utile ? Oui aucun
Merci de votre feedback.
Ouvrez une valise de support (exige un contrat de service Cisco.)
Cisco prennent en charge la Communauté est un forum pour que vous posiez et pour répondez à des questions, des suggestions de partage, et collabore avec vos pairs.
Référez-vous au Conventions relatives aux conseils techniques Cisco pour les informations sur des conventions utilisées dans ce document.