Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit l'authentification EAP-TLS à l'aide de l'autorité de certification du moteur Identity Services Engine pour authentifier les utilisateurs.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
La plupart des entreprises disposent de leur propre autorité de certification qui délivre des certificats aux utilisateurs finaux pour l'authentification EAP-TLS. ISE inclut une autorité de certification intégrée qui peut être utilisée pour générer des certificats pour les utilisateurs à utiliser dans l'authentification EAP-TLS. Dans les cas où il n'est pas possible d'utiliser une autorité de certification complète, l'utilisation de l'autorité de certification ISE pour l'authentification des utilisateurs devient avantageuse.
Ce document décrit les étapes de configuration requises pour utiliser efficacement l'autorité de certification ISE pour authentifier les utilisateurs sans fil. Flux d'authentification EAP-TLS
Flux d'authentification EAP-TLS
TLS server_hello
Handshake message
Certificate
Server_key_exchange
Certificate request
Server_hello_done
9. Le client répond par un message de réponse EAP qui inclut :
Certificate (for server validation)
Client_key_exchange
Certificate_verify (to verify server trust)
Change_cipher_spec
TLS finished
10. Une fois l’authentification du client réussie, le serveur RADIUS envoie une demande d’accès contenant :
Change_cipher_spec
Handshake finished message
11. Le client vérifie le hachage pour authentifier le serveur RADIUS.
12. Une nouvelle clé de chiffrement est dérivée dynamiquement du secret lors de la connexion TLS.
13. Un message EAP-Success est envoyé du serveur à l’authentificateur, puis au demandeur.
14. Le client sans fil compatible EAP-TLS peut désormais accéder au réseau sans fil.
Topologie des travaux pratiques
Dans cette section, nous configurons deux composants : ISE et WLC 9800.
Voici les étapes de configuration du serveur ISE. Chaque étape est accompagnée de captures d'écran dans cette section pour fournir une assistance visuelle.
Étapes de configuration du serveur ISE
Pour ajouter le contrôleur LAN sans fil (WLC) en tant que périphérique réseau, procédez comme suit :
Ajout d'un périphérique réseau
Pour vérifier les paramètres de l'autorité de certification interne, procédez comme suit :
Vérifier la CA interne
Accédez à Administration > Identity Management > Identity Source Sequences. Ajoutez une séquence d'identité personnalisée pour contrôler la source de connexion au portail.
Méthode d'authentification
Pour spécifier un modèle de certificat, procédez comme suit :
Étape 1. Accédez à Administration > System > Certificates > Certificate Authority > Certificate Templates.
Étape 2. Cliquez sur l’icône +Add pour créer un nouveau modèle de certificat :
2.1 Attribuez un nom unique local au serveur ISE pour le modèle.
2.2 Assurez-vous que le nom commun (CN) est défini sur $UserName$.
2.3 Vérifiez que le nom alternatif du sujet (SAN) est mappé à l'adresse MAC.
2.4 Définissez le profil d'autorité de certification SCEP sur CA interne ISE.
2.5 Dans la section d'utilisation de clé étendue, activez l'authentification client.
Modèle de certificat
Pour créer un portail de certificats pour la génération de certificats client, procédez comme suit :
Étape 1. Accédez à Administration > Device Portal Management > Certificate Provisioning.
Étape 2. Cliquez sur Créer pour configurer une nouvelle page de portail.
Étape 3. Attribuez un nom unique au portail pour faciliter son identification.
3.1. Choisissez le numéro de port sur lequel le portail doit fonctionner ; définissez cette valeur sur 8443.
3.2. Spécifiez les interfaces sur lesquelles ISE écoute ce portail.
3.3. Sélectionnez la balise de groupe de certificats comme groupe de certificats du portail par défaut.
3.4. Sélectionnez la méthode d'authentification, qui indique la séquence de stockage d'identité utilisée pour authentifier la connexion à ce portail.
3.5. Inclure les groupes autorisés dont les membres peuvent accéder au portail. Par exemple, sélectionnez le groupe d'utilisateurs Employé si vos utilisateurs appartiennent à ce groupe.
3.6. Définissez les modèles de certificat qui sont autorisés dans les paramètres de mise en service de certificat.
Configuration du portail de certificats
Une fois la configuration terminée, vous pouvez tester le portail en cliquant sur l'URL de test du portail. Cette action ouvre la page du portail.
URL de la page Test Portal
Page du portail
Pour créer un utilisateur pour l'authentification via le portail de certificats, procédez comme suit :
Ajout d'un utilisateur interne
La section précédente traitait de la configuration du portail de mise en service des certificats ISE. À présent, nous configurons les ensembles de stratégies ISE RADIUS pour autoriser l'authentification des utilisateurs.
Dans cet exemple, configurez un jeu de stratégies simple conçu pour authentifier les utilisateurs à l'aide de leurs certificats.
Ensemble de stratégies
Ensemble de stratégies affichant les stratégies d'authentification et d'autorisation
Voici les étapes de configuration pour le WLC 9800. Chaque étape est accompagnée de captures d'écran dans cette section pour fournir une orientation visuelle.
Étapes de configuration WLC
Ajout d'un serveur ISE dans le WLC
Une fois le serveur ajouté, il apparaît dans la liste des serveurs.
Affichage des serveurs Radius
Pour ajouter un groupe de serveurs sur le contrôleur LAN sans fil 9800, procédez comme suit :
Mappage de serveurs ISE à un groupe de serveurs Radius
Après avoir créé le groupe de serveurs, configurez la liste des méthodes d'authentification en procédant comme suit :
Création de listes de méthodes d'authentification
Pour configurer la liste des méthodes d'autorisation, procédez comme suit :
Ajout de la liste des méthodes d'autorisation
Une fois la configuration du groupe RADIUS terminée, créez un profil de stratégie :
Configuration du profil de stratégie
Mappage VLAN à stratégie
Lors de la configuration de l'autorisation RADIUS, assurez-vous que l'option AAA Override est activée dans l'onglet avancé des paramètres de profil de stratégie. Ce paramètre permet au contrôleur de réseau local sans fil d'appliquer des stratégies d'autorisation basées sur RADIUS aux utilisateurs et aux périphériques.
Remplacement AAA
Pour configurer un nouveau WLAN avec l'authentification 802.1x, procédez comme suit :
Configuration du profil WLAN
Profil WLAN vers carte de liste de méthodes
Pour associer votre WLAN à un profil de stratégie, procédez comme suit :
Configuration des balises des politiques
Pour attribuer la balise de stratégie à un point d'accès (AP), procédez comme suit :
Attribution de balise AP
aaa group server radius ISE
server name ISE3
ip radius source-interface Vlan2124
aaa authentication dot1x CERT_AUTH group ISE
aaa authorization network CERT_AUTH group ISE
aaa server radius dynamic-author
client 10.106.32.31 server-key Cisco!123
!
wireless profile policy CERT-AUTH
aaa-override
ipv4 dhcp required
vlan 2124
no shutdown
wlan CERT-AUTH policy CERT-AUTH
wlan CERT-AUTH 17 CERT-AUTH
security dot1x authentication-list CERT_AUTH
no shutdown
!
wireless tag policy CERT_POLICY_TAG
wlan CERT-AUTH policy CERT-AUTH
Pour créer et télécharger un certificat pour un utilisateur, procédez comme suit :
1. Demandez à l'utilisateur de se connecter au portail de certificats qui a été configuré précédemment.
Accès au portail de certificats
2. Acceptez la politique d'utilisation acceptable (AUP). L'ISE présente ensuite une page pour la génération de certificats.
3. Sélectionnez Générer un certificat unique (sans demande de signature de certificat).
Génération du certificat
Pour générer un certificat via le portail d'approvisionnement de certificats, assurez-vous que les champs obligatoires suivants sont remplis :
Une fois que tous les champs sont remplis, sélectionnez Generate pour créer et télécharger le certificat.
Pour installer un certificat sur un ordinateur Windows 10, ouvrez la console MMC (Microsoft Management Console) en procédant comme suit :
Remarque : Ces instructions peuvent varier en fonction de votre installation de Windows. Nous vous recommandons donc de consulter la documentation Microsoft pour obtenir des détails spécifiques.
Ces étapes vous permettent de gérer les certificats sur votre ordinateur local.
Console MMC Windows
Étape 1. Importez le certificat :
1.1. Cliquez sur Action dans le menu.
1.2. Accédez à Toutes les tâches, puis sélectionnez Importer.
1.3. Passez en revue les invites pour localiser et sélectionner le fichier de certificat stocké sur votre ordinateur.
Importation du certificat
Au cours du processus d'importation de certificat, vous êtes invité à entrer le mot de passe que vous avez créé lors de la génération du certificat sur le portail. Assurez-vous que vous entrez ce mot de passe correctement pour importer et installer le certificat sur votre ordinateur.
Saisie du mot de passe du certificat
Étape 2. Déplacer les certificats vers les dossiers appropriés :
2.1. Ouvrez Microsoft Management Console (MMC) et accédez au dossier Certificats (Ordinateur local) > Personal.
2.2. Examinez les certificats et déterminez leur type (par exemple, Autorité de certification racine, Autorité de certification intermédiaire ou Personnel).
2.3. Déplacer chaque certificat vers le magasin approprié :
2.4. Certificats d’autorité de certification racine : Passer aux autorités de certification racine de confiance.
2.5. Certificats d’autorité de certification intermédiaires : Passer aux autorités de certification intermédiaires.
2.6. Certificats personnels : Laissez dans le dossier Personnel.
Stockage des certificats dans le dossier personnel
Déplacement de certificats dans leurs magasins
Connexion de l'ordinateur Windows
Une fois les certificats déplacés vers les magasins appropriés, procédez comme suit pour vous connecter au WLAN :
Connexion au réseau sans fil
Lorsque vous y êtes invité pendant le processus de connexion au WLAN, sélectionnez l'option Connect using a certificate.
Utilisation du certificat comme informations d'identification
Cela vous permet de vous connecter au réseau sans fil à l'aide du certificat.
Vérification du profil sans fil
Vérifiez que le WLAN est diffusé par le WLC :
POD6_9800#show wlan summ
Number of WLANs: 2
ID Profile Name SSID Status Security
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
17 CERT-AUTH CERT-AUTH UP [WPA2][802.1x][AES]
Vérifiez que le point d'accès est actif sur le WLC :
POD6_9800#show ap summ
Number of APs: 1
CC = Country Code
RD = Regulatory Domain
AP Name Slots AP Model Ethernet MAC Radio MAC CC RD IP Address State Location
----------------------------------------------------------------------------------------------------------------------------------------------------------
AP1 3 C9130AXI-D cc7f.75ae.1fc0 a488.739e.8da0 IN -D 10.78.8.78 Registered default location
Assurez-vous que le point d'accès diffuse le WLAN :
POD6_9800#show ap name AP1 wlan dot11 24ghz
Slot id : 0
WLAN ID BSSID
-------------------------
17 a488.739e.8da0
POD6_9800#show ap name AP1 wlan dot11 5ghz
Slot id : 1
WLAN ID BSSID
-------------------------
17 a488.739e.8daf
Client connecté via EAP-TLS :
POD6_9800#show wire cli summ
Number of Clients: 1
MAC Address AP Name Type ID State Protocol Method Role
-----------------------------------------------------------------------------------------------------------
242f.d0da.a563 AP1 WLAN 17 IP Learn 11ac Dot1x Local
POD6_9800#sho wireless client mac-address 242f.d0da.a563 detail | in username|SSID|EAP|AAA|VLAN
Wireless LAN Network Name (SSID): CERT-AUTH
BSSID : a488.739e.8daf
EAP Type : EAP-TLS
VLAN : 2124
Multicast VLAN : 0
VLAN : 2124
Journaux en direct Cisco Radius ISE :
Journaux en direct ISE Radius
Type d'authentification détaillé :
Journaux détaillés ISE
Capture EPC WLC montrant les paquets EAP-TLS :
Capture WLC montrant la transaction EAP
Suivi Radio Active (RA) montrant la connexion client : Cette trace RA est filtrée pour afficher quelques-unes des lignes pertinentes de la transaction d'authentification.
2025/01/08 11 58 20.816875191 {wncd_x_R0-2}{1} [ewlc-capwapmsg-sess] [15655] (debug) Envoi d'un message DTLS chiffré. Adresse IP dest 10.78.8.78[5256], longueur 499
2025/01/08 11 58 20.851392112 {wncd_x_R0-2}{1} [radius] [15655] (info) RADIUS Envoyer une demande d'accès à 10.106.33.23 1812 id 0/25, len 390
2025/01/08 11 58 20.871842938 {wncd_x_R0-2}{1} [radius] [15655] (info) RADIUS Reçu de l'id 1812/25 10.106.33.23 0, Access-Challenge, len 123
2025/01/08 11.58 20.872246323 {wncd_x_R0-2}{1} [dot1x] [15655] (info) [242f.d0da.a563 capwap_90800005] Paquet EAPOL envoyé - Version 3,EAPOL Type EAP, Payload Length 6, EAP-Type = EAP-TLS
2025/01/08 11.58 20.881960763 {wncd_x_R0-2}{1} [dot1x] [15655] (info) [242f.d0da.a563 capwap_90800005] Paquet EAPOL reçu - Version 1,EAPOL Type EAP, Payload Length 204, EAP-Type = EAP-TLS
2025/01/08 11 58 20.882292551 {wncd_x_R0-2}{1} [radius] [15655] (info) RADIUS Envoyer une demande d'accès à 10.106.33.23 1812 id 0/26, len 663
2025/01/08 11 58 20.926204990 {wncd_x_R0-2}{1} [radius] [15655] (info) RADIUS Reçu de l'id 1812/26 10.106.33.23 0, Access-Challenge, len 1135
2025/01/08 11.58 20.927390754 {wncd_x_R0-2}{1} [dot1x] [15655] (info) [242f.d0da.a563 capwap_90800005] Paquet EAPOL envoyé - Version 3,EAPOL Type EAP, Payload Length 1012, EAP-Type = EAP-TLS
2025/01/08 11.58 20.935081108 {wncd_x_R0-2}{1} [dot1x] [15655] (info) [242f.d0da.a563 capwap_90800005] Paquet EAPOL reçu - Version 1,EAPOL Type EAP, Payload Length 6, EAP-Type = EAP-TLS
2025/01/08 11 58 20.935405770 {wncd_x_R0-2}{1} [radius] [15655] (info) RADIUS Envoyer une demande d'accès à 10.106.33.23 1812 id 0/27, len 465
2025/01/08 11 58 20.938485635 {wncd_x_R0-2}{1} [radius] [15655] (info) RADIUS Reçu de l'id 1812/27 10.106.33.23 0, Access-Challenge, len 1131
2025/01/08 11.58 20.939630108 {wncd_x_R0-2}{1} [dot1x] [15655] (info) [242f.d0da.a563 capwap_90800005] Paquet EAPOL envoyé - Version 3,EAPOL Type EAP, Payload Length 1008, EAP-Type = EAP-TLS
2025/01/08 11.58 20.947417061 {wncd_x_R0-2}{1} [dot1x] [15655] (info) [242f.d0da.a563 capwap_90800005] Paquet EAPOL reçu - Version 1,EAPOL Type EAP, Payload Length 6, EAP-Type = EAP-TLS
2025/01/08 11 58 20.947722851 {wncd_x_R0-2}{1} [radius] [15655] (info) RADIUS Envoyer une demande d'accès à 10.106.33.23 1812 id 0/28, len 465
2025/01/08 11 58 20.949913199 {wncd_x_R0-2}{1} [radius] [15655] (info) RADIUS Reçu de l'id 1812/28 10.106.33.23 0, Access-Challenge, len 275
2025/01/08 11.58 20.950432303 {wncd_x_R0-2}{1} [dot1x] [15655] (info) [242f.d0da.a563 capwap_90800005] Paquet EAPOL envoyé - Version 3,EAPOL Type EAP, Payload Length 158, EAP-Type = EAP-TLS
2025/01/08 11.58 20.966862562 {wncd_x_R0-2}{1} [dot1x] [15655] (info) [242f.d0da.a563 capwap_90800005] Paquet EAPOL reçu - Version 1,EAPOL Type EAP, Payload Length 1492, EAP-Type = EAP-TLS
2025/01/08 11 58 20.967209224 {wncd_x_R0-2}{1} [radius] [15655] (info) RADIUS Envoyer une demande d'accès à 10.106.33.23 1812 id 0/29, len 1961
2025/01/08 11 58 20.971337739 {wncd_x_R0-2}{1} [radius] [15655] (info) RADIUS Reçu de l'id 1812/29 10.106.33.23 0, Access-Challenge, len 123
2025/01/08 11.58 20.971708100 {wncd_x_R0-2}{1} [dot1x] [15655] (info) [242f.d0da.a563 capwap_90800005] Paquet EAPOL envoyé - Version 3,EAPOL Type EAP, Payload Length 6, EAP-Type = EAP-TLS
2025/01/08 11.58 20.978742828 {wncd_x_R0-2}{1} [dot1x] [15655] (info) [242f.d0da.a563 capwap_90800005] Paquet EAPOL reçu - Version 1,EAPOL Type EAP, Payload Length 1492, EAP-Type = EAP-TLS
2025/01/08 11 58 20.979081544 {wncd_x_R0-2}{1} [radius] [15655] (info) RADIUS Envoyer une demande d'accès à 10.106.33.23 1812 id 0/30, len 1961
2025/01/08 11 58 20.982535977 {wncd_x_R0-2}{1} [radius] [15655] (info) RADIUS Reçu de l'id 1812/30 10.106.33.23 0, Access-Challenge, len 123
2025/01/08 11.58 20.982907200 {wncd_x_R0-2}{1} [dot1x] [15655] (info) [242f.d0da.a563 capwap_90800005] Paquet EAPOL envoyé - Version 3,EAPOL Type EAP, Payload Length 6, EAP-Type = EAP-TLS
2025/01/08 11.58 20.990141062 {wncd_x_R0-2}{1} [dot1x] [15655] (info) [242f.d0da.a563 capwap_90800005] Paquet EAPOL reçu - Version 1,EAPOL Type EAP, Payload Length 1492, EAP-Type = EAP-TLS
2025/01/08 11 58 20.990472026 {wncd_x_R0-2}{1} [radius] [15655] (info) RADIUS Envoyer une demande d'accès à 10.106.33.23 1812 id 0/31, len 1961
2025/01/08 11 58 20.994358525 {wncd_x_R0-2}{1} [radius] [15655] (info) RADIUS Reçu de l'id 1812/31 10.106.33.23 0, Access-Challenge, len 123
2025/01/08 11.58 20.994722151 {wncd_x_R0-2}{1} [dot1x] [15655] (info) [242f.d0da.a563 capwap_90800005] Paquet EAPOL envoyé - Version 3,EAPOL Type EAP, Payload Length 6, EAP-Type = EAP-TLS
2025/01/08 11.58 21.001735553 {wncd_x_R0-2}{1} [dot1x] [15655] (info) [242f.d0da.a563 capwap_90800005] Paquet EAPOL reçu - Version 1,EAPOL Type EAP, Payload Length 247, EAP-Type = EAP-TLS
2025/01/08 11 58 21.002076369 {wncd_x_R0-2}{1} [radius] [15655] (info) RADIUS Envoyer une demande d'accès à 10.106.33.23 1812 id 0/32, len 706
2025/01/08 11 58 21.013571608 {wncd_x_R0-2}{1} [radius] [15655] (info) RADIUS Reçu de l'id 1812/32 10.106.33.23 0, Access-Challenge, len 174
2025/01/08 11.58 21.013987785 {wncd_x_R0-2}{1} [dot1x] [15655] (info) [242f.d0da.a563 capwap_90800005] Paquet EAPOL envoyé - Version 3,EAPOL Type EAP, Payload Length 57, EAP-Type = EAP-TLS
2025/01/08 11.58 21.024429150 {wncd_x_R0-2}{1} [dot1x] [15655] (info) [242f.d0da.a563 capwap_90800005] Paquet EAPOL reçu - Version 1,EAPOL Type EAP, Payload Length 6, EAP-Type = EAP-TLS
2025/01/08 11 58 21.024737996 {wncd_x_R0-2}{1} [radius] [15655] (info) RADIUS Envoyer une demande d'accès à 10.106.33.23 1812 id 0/33, len 465
2025/01/08 11 58 21.057794929 {wncd_x_R0-2}{1} [radius] [15655] (info) RADIUS Reçu de l'id 1812/33 10.106.33.23 0, Access-Accept, len 324
2025/01/08 11.58 21.058149893 {wncd_x_R0-2}{1} [dot1x] [15655] (info) [242f.d0da.a563 capwap_90800005] Événement de mise à jour d'identité déclenché pour la méthode EAP EAP-TLS
Il n'existe pas d'étapes de dépannage spécifiques pour ce problème en dehors des procédures de dépannage sans fil 802.1x standard :
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
23-Jan-2025
|
Première publication |