PEAP onder UWN's met ACS 5.1 en Windows 2003-server

Inleiding

Dit document beschrijft hoe u beveiligde draadloze toegang kunt configureren met behulp van draadloze LAN-controllers, Microsoft Windows 2003-software en Cisco Secure Access Control Server (ACS) 5.1 via Protected Extensible Authentication Protocol (PEAP) met Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) versie 2.

Opmerking: Raadpleeg voor informatie over de implementatie van beveiligde draadloze verbindingen de Microsoft Wi-Fi-website en Cisco SAFE Wireless Blueprint.

Voorwaarden

Vereisten

Er wordt aangenomen dat de installateur kennis heeft van de basisinstallatie van Windows 2003 en de installatie van Cisco draadloze LAN-controllers, aangezien dit document alleen de specifieke configuraties bevat om de tests te vergemakkelijken.

Raadpleeg de Cisco 5500 Series controllers voor de eerste installatie en configuratie van de installatiehandleiding voor draadloze controllers voor de Cisco 5500 Series. Raadpleeg de Quick Start Guide voor informatie over de installatie en de configuratie van de Cisco 2100 Series controllers: Cisco 2100 Series draadloze LAN-controller.

De installatie- en configuratiehandleidingen van Microsoft Windows 2003 kunnen worden gevonden in Windows Server 2003 R2 installeren.

Voordat u begint, installeer de Microsoft Windows Server 2003 met het SP1-besturingssysteem op elk van de servers in het testlaboratorium en update alle servicepakketten. Installeer de controllers en lichtgewicht access points (LAP’s) en zorg ervoor dat de laatste softwareupdates worden geconfigureerd.

Windows Server 2003 met SP1, Enterprise Edition, wordt gebruikt zodat de automatische inschrijving van gebruikers- en werkstationcertificaten voor PEAP-verificatie kan worden geconfigureerd. Automatische inschrijving van het certificaat en autorennieuwbouw maken het gemakkelijker om certificaten in te voeren en de veiligheid te verbeteren door automatisch certificaten te beëindigen en te vernieuwen.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco 2106 of 5508 Series controller die 7.0.98.0 draait

• Cisco Aironet 1142 lichtgewicht access point Protocol (LWAPP) AP

• Windows 2003 Enterprise met geïnstalleerde Internet Information Server (IS), certificaatautoriteit (CA), DHCP en Domain Name System (DNS)

• Cisco 1121 Secure Access Control System-applicatie (ACS) 5.1

• Windows XP Professional met SP (en bijgewerkte servicepakketten) en draadloze netwerkinterfacekaart (NIC) (met CCX v3-ondersteuning) of hardware van derden.

• Cisco 3750 Switch

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik het Opname Gereedschap (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

Cisco beveiligde draadloze labourologie

Het belangrijkste doel van dit document is u de stap-voor-stap procedure te bieden om het PEAP onder Unified Wireless Networks met ACS 5.1 en de Windows 2003 Enterprise-server te implementeren. De belangrijkste nadruk is op het automatisch registreren van de client zodat de client automatisch inlogt en het certificaat van de server ontvangt.

Opmerking: Om Wi-Fi Protected Access (WAP)/WAP2 toe te voegen met Temperatuur Key Integrity Protocol (TKIP)/Advanced Encryption Standard (AES) aan Windows XP Professional met SP, raadpleeg WAP2/Wireless Provisioning Services Information Element (WPS IE)-update voor Windows XP met Service Pack 2 .

Windows Enterprise 2003 instellen met INSE, certificaatautoriteit, DNS, DHCP (CA)

CA (democratie)

CA is een computer die Windows Server 2003 met SP2, Enterprise Edition beheert en deze rollen uitvoert:

• Een domeincontroller voor het demo.local domein dat IS draait

• Een DNS-server voor het demo.lokale DNS-domein

• Een DHCP-server

• Enterprise root CA voor het demo.lokale domein

Voer deze stappen uit om CA voor deze services te configureren:

1. Voer een basisinstallatie en -configuratie uit.

2. Configuratie van de computer als een domeincontroller.

3. Verhoog het functionele niveau van het domein.

4. Installeer en configureer DHCP.

5. Installeer de certificatiediensten.

6. Controleer de Administrator-rechten voor certificaten.

7. Voeg computers toe aan het domein.

8. Draadloze toegang tot computers toestaan

9. Voeg gebruikers aan het domein toe.

10. Draadloze toegang voor gebruikers toestaan

11. Voeg groepen toe aan het domein.

12. Voeg gebruikers toe aan de draadloze gebruikersgroep.

13. Voeg clientcomputers toe aan de groep draadloze gebruikers.

Basis installatie en configuratie uitvoeren

Volg deze stappen:

1. Installeer Windows Server 2003 met SP2, Enterprise Edition, als een zelfstandige server.

2. Configureer het TCP/IP-protocol met het IP-adres van 10.0.10.10 en het subnetmasker van 255.255.255.0.

De computer configureren als een Domain Controller

Volg deze stappen:

1. Om de wizard Actieve map installeren te starten, kiest u Start > Uitvoeren, typt u dcpromo.exe en klikt u op OK.

2. Klik op Volgende op de pagina van de wizard Welkom bij de actieve map.

3. Klik op Volgende op de pagina Compatibiliteit met besturingssysteem.

4. Selecteer in de pagina Domain Controller Type de optie Domain Controller voor een nieuw domein en klik op Volgende.

5. Selecteer in de pagina Nieuw domein maken de optie Domain in een nieuw bos en klik op Volgende.

6. Selecteer in het gedeelte Installeer of Configureer de DNS-pagina door Nee te selecteren, gewoon DNS op deze computer te installeren en te configureren en op Volgende te klikken.

7. Typ demo.local op de nieuwe pagina van de Domeinnaam en klik op Volgende.

8. Voer in de Netbiose Domain Name-pagina de naam van Domain NetDomain-Netto-configuratiescherm in en klik op Next.

9. In de pagina Databasekopie en Meldinstellingen voor logbestanden accepteert u de standaardmap voor databases en Meldmappen en klikt u op Volgende.

   

10. Controleer in de pagina Gedeeld System Volume dat de standaardmap correct is en klik op Volgende.

    

11. Controleer of toegangsrechten die alleen compatibel zijn met Windows 2000 of Windows Server 2003-besturingssysteem zijn geselecteerd en klik op Volgende.

    

12. Laat de wachtwoordvakjes leeg op de pagina Terugzetten van adresservices en klik op Volgende.

13. Bekijk de informatie op de overzichtspagina en klik op Volgende.

    

14. Als u klaar bent met de installatie van de actieve map, klikt u op Voltooien.

15. Klik na het opstarten van de computer op Nu opnieuw starten.

Het functionele niveau van het domein verhogen

Volg deze stappen:

1. Open de optie Active Directory Domain en Trusts magnetisch uit de map Administrator Tools (Start > Programma's > Beheertools > Active Directory Domain and Trusts) en klik met de rechtermuisknop op de domeincomputer CA.demo.local.

2. Klik op Functioneel niveau verhogen en selecteer vervolgens Windows Server 2003 op de pagina Functioneel niveau vergroten.

   

3. Klik op Omhoog , klik op OK en klik vervolgens nogmaals op OK.

DHCP installeren en configureren

Volg deze stappen:

1. Installeer Dynamic Host Configuration Protocol (DHCP) als Netwerkservicescomponent met behulp van Software in het Control Panel.

2. Open de DHCP-invoegoplossing in de map Administratieve tools (Start > Programma's > Administratieve tools > DHCP) en licht vervolgens de DHCP-server CA.demo.local toe.

3. Klik op Action en vervolgens op Authorized om de DHCP-service te autoriseren.

4. In de console boom, klik CA.demo.local met de rechtermuisknop en klik vervolgens op Nieuw gebied.

5. Klik op Volgende op de welkomstpagina van de wizard Nieuw gebied.

6. Typ in het veld Naam in het veld Naam CorpNet het type CorpNet.

   

7. Klik op Volgende en vul deze parameters in:

   • Start IP-adres - 10.0.20.1

   • End-IP-adres - 10.0.20.200

   • Lengte - 24

   • Subnetmasker - 255.255.255.0

   

8. Klik op Next en voer 10.0.20.1 in voor het Start IP-adres en 10.0.20.100 voor het einde van IP-adres dat moet worden uitgesloten. Klik op Volgende. Deze IP-adressen worden niet toegewezen door de DHCP-server.

   

9. Klik op Volgende op de pagina Lease Duration.

10. Kies op de pagina DHCP-opties configureren ja, ik wil deze opties nu configureren en op Volgende klikken.

    

11. Voeg op de pagina Router (Standaard gateway) het standaardrouteradres van 10.0.20.1 toe en klik op Volgende.

    

12. Op de pagina Domain Name and DNS Server typt u demo.local in het veld Parent-domein, type 10.0.10.10 in het IP-adresveld en klikt u vervolgens op Add en klikt u op Next.

    

13. Klik op Volgende op de pagina WINS Server.

14. Kies op de pagina Toepassingsgebied activeren ja, ik wil deze werkingssfeer nu activeren en op Volgende klikken.

    

15. Wanneer u met de pagina Nieuwe wizard maakt, klikt u op Voltooien.

certificaatservices installeren

Volg deze stappen:

Opmerking: IS moet geïnstalleerd voordat u certificaatservices installeert en de gebruiker moet onderdeel uitmaken van de Enterprise Admin OU.

1. Open in het Configuratiescherm de programma's toevoegen of verwijderen en klik vervolgens op Windows-onderdelen toevoegen of verwijderen.

2. Selecteer in de Wizard Windows-onderdelen de optie certificaatservices en klik vervolgens op Volgende.

3. Selecteer in de CA Type pagina de optie Enterprise root CA en klik op Volgende.

4. Typ in de CA-pagina informatie een democratie in de Common name voor dit CA-vakje. U kunt ook de andere optionele gegevens invoeren. Klik vervolgens op Volgende en accepteer de standaardinstellingen op de pagina Databasinstellingen van certificaat.

5. Klik op Volgende. Klik na voltooiing van de installatie op Voltooien.

6. Klik op OK nadat u het waarschuwingsbericht over het installeren van IS hebt gelezen.

Controleer de Administrator-toegangsrechten voor certificaten

Volg deze stappen:

1. Kies Start > Administratieve hulpmiddelen > certificeringsinstantie.

2. Klik met de rechtermuisknop op democratie CA en klik vervolgens op Properties.

3. Klik in het tabblad Beveiliging op Beheerders in de lijst Groep of Gebruikersnaam.

4. Controleer in de lijst met toegangsrechten voor beheerders of deze opties zijn ingesteld op Sta:

   • Certificaten afgeven en beheren

   • CA beheren

   • Certificaten aanvragen

   Als een van deze instellingen op Deny is ingesteld of niet geselecteerd is, stelt u de rechten in om toestemming te geven.

   

5. Klik op OK om het dialoogvenster democratisch CA-eigenschappen te sluiten en vervolgens op certificeringsinstantie.

Computers aan het domein toevoegen

Volg deze stappen:

N.B.: Als de computer al aan het domein is toegevoegd, gaat u naar Gebruikers toevoegen aan het domein.

1. Open de optie Actieve gebruikers en computers.

2. In de console boom, demo.local uitvouwen.

3. Klik met de rechtermuisknop op Computers, klik op Nieuw en klik vervolgens op Computer.

4. Typ in het dialoogvenster Nieuwe object - Computer de naam van de computer in het veld Naam van de computer en klik op Volgende. In dit voorbeeld wordt de computernaam Client gebruikt.

   

5. Klik in het dialoogvenster Beheerd op Volgende.

6. Klik in het dialoogvenster Nieuwe object - Computer op Voltooien.

7. Herhaal stap 3 tot en met 6 om extra computerrekeningen te maken.

Draadloze toegang tot computers toestaan

Volg deze stappen:

1. In de console van Actieve Gebruikers en Computers van de Map van de Computers, klik de map Computers en klik met de rechtermuisknop op de computer waarvoor u draadloze toegang wilt toewijzen. Dit voorbeeld toont de procedure met computerclient die u in stap 7 hebt toegevoegd. Klik op Eigenschappen en ga vervolgens naar het tabblad Inbellen.

2. Kies in de afstandstoegangsvergunning Toestaan van toegang en klik op OK.

   

Gebruikers aan het domein toevoegen

Volg deze stappen:

1. In de console van Actieve Gebruikers en Computers van de Map, klikt u met de rechtermuisknop op Gebruikers, klikt u op Nieuw en vervolgens klikt u op Gebruiker.

2. Typ in het dialoogvenster Nieuw object - gebruiker de naam van de draadloze gebruiker. Dit voorbeeld gebruikt de naam draadloze gebruiker in het veld Voornaam en de draadloze gebruiker in het veld Gebruiker en de naam. Klik op Volgende.

   

3. In het dialoogvenster Nieuw object - Gebruiker typt u een wachtwoord in het veld Wachtwoord en bevestigt u het wachtwoord. Schakel het wachtwoord uit door de gebruiker bij de volgende optie voor aanmelding te wijzigen en klik op Volgende.

   

4. Klik in het dialoogvenster Nieuw object - gebruiker op Voltooien.

5. Herhaal stap 2 tot en met 4 om extra gebruikersrekeningen te maken.

Draadloze toegang voor gebruikers toestaan

Volg deze stappen:

1. In de boom van de Gebruikers en computers van de Actieve Map van de Gebruikers, klik met de rechtermuisknop op de map Gebruikers, klik met de rechtermuisknop op de draadloze gebruiker, klik op Eigenschappen en ga vervolgens naar het tabblad Inbellen.

2. Kies in de afstandstoegangsvergunning Toestaan van toegang en klik op OK.

   

Groepen aan het domein toevoegen

Volg deze stappen:

1. In de console van Actieve Gebruikers en Computers van de Map, klik met de rechtermuisknop op Gebruikers, klik op Nieuw en klik vervolgens op Groep.

2. Typ in het dialoogvenster Nieuwe object - groep de naam van de groep in het veld Naam van de groep en klik vervolgens op OK. Dit document gebruikt de groepsnaam draadloze gebruikers.

   

Gebruikers aan de draadloze gebruikersgroep toevoegen

Volg deze stappen:

1. In het detailvenster van Actieve Gebruikers en Computers van de Map dubbelklik op de groep Draadloze gebruikers.

2. Ga naar het tabblad Leden en klik op Toevoegen.

3. In het dialoogvenster Gebruikers, contactgegevens, computers of groepen selecteren, typt u de naam van de gebruikers die u aan de groep wilt toevoegen. Dit voorbeeld toont hoe u de draadloze gebruiker aan de groep kunt toevoegen. Klik op OK.

   

4. Klik in het dialoogvenster Meerdere namen vinden op OK. De draadloze gebruikersaccount wordt toegevoegd aan de groep draadloze gebruikers.

   

5. Klik op OK om wijzigingen in de draadloze gebruikersgroep op te slaan.

6. Herhaal deze procedure om meer gebruikers aan de groep toe te voegen.

Clientcomputers aan de groep draadloze gebruikers toevoegen

Volg deze stappen:

1. Herhaal stap 1 en 2 in het gedeelte Gebruikers toevoegen aan het gedeelte draadloze gebruikers van dit document.

2. Typ in het dialoogvenster Gebruikers, contactgegevens of computers selecteren de naam van de computer die u aan de groep wilt toevoegen. Dit voorbeeld toont hoe de computer genoemd client aan de groep moet worden toegevoegd.

   

3. Klik op Objecttypen, wis het vakje Gebruikers en controleer Computers.

   

4. Klik twee keer op OK. De CLIENT-computeraccount wordt toegevoegd aan de groep draadloze gebruikers.

   

5. Herhaal de procedure om meer computers aan de groep toe te voegen.

Cisco 1121 beveiligde ACS 5.1

Installatie met behulp van de CSACS-1121 Series applicatie

Het CSACS-1121-apparaat is vooraf geïnstalleerd met de ACS 5.1-software. Deze sectie geeft u een overzicht van het installatieproces en de taken die u moet uitvoeren voordat u ACS installeert.

1. Sluit de CSACS-1121 aan op de netwerk- en wasconsole. Zie Hoofdstuk 4, "Kabels aansluiten."

2. Schakel het CSACS-1121 apparaat uit. Zie Hoofdstuk 4, "Het apparaat CSACS-1121 Series inschakelen."

3. Start de setup-opdracht bij de CLI-melding om de oorspronkelijke instellingen voor de ACS-server te configureren. Zie Het setup-programma uitvoeren.

Installeer de ACS-server

In dit gedeelte wordt het installatieproces voor de ACS-server op het CSACS-1121 Series apparaat beschreven.

• Start het setup-programma.

• Controleer het installatieproces

• Post-installatie-taken

Raadpleeg voor gedetailleerde informatie over de installatie van de Cisco Secure ACS-server de installatie- en upgrade-gids voor het Cisco Secure Access Control System 5.1.

Cisco WLC5508 controllerkaart-configuratie

De gewenste configuratie voor WAPv2/WAP maken

Volg deze stappen:

Opmerking: De veronderstelling is dat de controller een basisverbinding heeft met het netwerk en IP bereikbaarheid op de beheerinterface.

1. Bladeren naar https://10.0.1.10 om in te loggen op de controller.

   

2. Klik op Aanmelden.

3. Meld u aan met de standaardinstelling van de gebruikershandleiding en de standaardwachtwoordbeheerder.

4. Maak een nieuwe interface voor VLAN-mapping onder het menu Controller.

5. Klik op Interfaces.

6. Klik op New (Nieuw).

7. Voer in het veld Interfacenaam Werknemer in. (Dit veld kan elke waarde zijn die u wilt.)

8. Voer in het veld VLAN-id 20 in. (Dit veld kan elk VLAN zijn dat in het netwerk wordt meegevoerd.)

9. Klik op Apply (Toepassen).

10. Configuratie van de informatie zoals deze interfaces > venster Bewerken toont:

    • Interface IP-adres - 10.0.20.2

    • Netmasker - 255.255.255.0

    • Gateway - 10.0.10.1

    • Primaire DHCP - 10.0.10.10

    

11. Klik op Apply (Toepassen).

12. Klik op het tabblad WLAN's.

13. Klik op Nieuw maken en klik op Ga.

14. Voer een profielnaam in en voer in het veld WLAN SSID een werknemer in.

    

15. Kies een id voor WLAN en klik op Toepassen.

16. Configureer de informatie voor deze WLAN’s wanneer het venster WLAN’s > Bewerken wordt weergegeven.

    Opmerking: WAPv2 is de gekozen Layer 2 coderingsmethode voor dit lab. Om WAP met TKIP-MIC klanten toe te staan om aan deze SSID te associëren, kunt u ook de modus voor de compatibiliteit van WAP controleren en de vensters WAP2 TKIP of de clients toestaan die de 802.11i AES encryptiemethode niet ondersteunen.

17. Klik in het scherm van WLAN’s > Bewerken op het tabblad Algemeen.

18. Zorg dat het vak Status is ingeschakeld voor Enabled en dat de juiste interface (werknemer) is geselecteerd. Controleer ook of het selectieteken voor Broadcast SSID ingeschakeld is.

    

19. Klik op het tabblad Beveiliging.

20. Controleer onder het submenu Layer 2 WAP + WAP2 voor Layer 2 security. Voor WAP2-encryptie, controleer AES + TKIP om TKIP-clients toe te staan.

21. Kies 802.1x als de authenticatiemethode.

    

22. Ga naar het submenu Layer 3 omdat dit niet vereist is. Zodra de RADIUS-server is geconfigureerd kan de juiste server in het verificatiemenu worden gekozen.

23. De tabbladen QoS en Advanced kunnen standaard worden bewaard, tenzij er speciale configuraties vereist zijn.

24. Klik op het menu Beveiliging om de RADIUS-server toe te voegen.

25. Klik onder het submenu RADIUS op Verificatie. Klik vervolgens op Nieuw.

26. Voeg het IP-adres van de RADIUS-server toe (10.0.10.20) dat de eerder geconfigureerde ACS-server is.

27. Zorg dat de gedeelde toets overeenkomt met de AAA-client die in de ACS-server is ingesteld. Zorg dat het vakje Netwerkgebruiker is ingeschakeld en klik op Toepassen.

    

28. De basisconfiguratie is nu voltooid en u kunt beginnen met het testen van PEAP.

PEAP-verificatie

PEAP met MS-CHAP versie 2 vereist certificaten op de ACS-servers maar niet op de draadloze klanten. Automatische inschrijving van computercertificaten voor de ACS-servers kan worden gebruikt om een toepassing te vereenvoudigen.

Om CA server te vormen om auto-inschrijving voor computer en gebruikerscertificaten te verstrekken, dient u de procedures in deze sectie te voltooien.

Opmerking: Microsoft heeft de sjabloon voor webservers gewijzigd met de release van Windows 2003 Enterprise CA, zodat de toetsen niet langer geëxporteerd kunnen worden en de optie uitgerijnd is. Er zijn geen andere certificatensjablonen die bij certificatiediensten worden geleverd en die bedoeld zijn voor serververificatie en de mogelijkheid bieden om sleutels als exportbaar te markeren die in de vervolgkeuzelijst beschikbaar zijn, zodat u een nieuwe sjabloon moet maken die dit wel doet.

Opmerking: Windows 2000 maakt het mogelijk om voor export geschikte toetsen in te schakelen en deze procedures hoeven niet te worden gevolgd als u Windows 2000 gebruikt.

Installeer de sjablonen van het certificaat magnetisch in

Volg deze stappen:

1. Kies Start > Start, voer mmc in en klik op OK.

2. Klik in het menu Bestand op Toevoegen/Verwijderen en klik op Toevoegen.

3. Dubbelklik onder Magnetisch in op certificaatsjablonen, klik op Sluiten en klik vervolgens op OK.

4. Klik in de console-boom op certificaatsjablonen. Alle certificaatsjablonen verschijnen in het deelvenster met details.

5. Om stap 2 tot en met 4 te omzeilen, voert u certtmpl.msc in dat de certificaatsjablonen magnetisch-in opent.

   

De certificaatsjabloon voor de ACS-webserver maken

Volg deze stappen:

1. Klik in het deelvenster Details van de sjablonen voor certificaten op de sjabloon van de webserver.

2. Klik in het menu Actie op Dubbele sjabloon.

   

3. Voer in het veld Sjabloonnaam ACS in.

   

4. Ga naar het tabblad Handling aanvragen en controleer of particuliere sleutel mag worden geëxporteerd. Zorg er ook voor dat Signature en Encryption zijn geselecteerd in het vervolgkeuzemenu Purpose.

   

5. Kies de aanvragen moeten een van de volgende CSP’s gebruiken en Microsoft Base Cryptographic Provider v1.0 controleren. Controleer alle andere CSP’s die zijn afgevinkt en klik op OK.

   

6. Ga naar het tabblad Onderwerp, kies Levering in het verzoek en klik op OK.

   

7. Ga naar het tabblad Security, markeer de groep Domain Admins, en zorg ervoor dat de optie Inschrijven is ingeschakeld.

   N.B.: Als u ervoor kiest om van deze Active Directory-informatie te maken, controleert u alleen de User main name (UPN) en verwijdert u de Inclusief e-mailnaam in onderwerpregel en e-mailnaam omdat er geen e-mailnaam is ingevoerd voor de Wireless User-account in de Active Directory-gebruikers en -computers. Als u deze twee opties niet uitschakelt, probeert u automatisch e-mail te gebruiken, wat leidt tot een fout in de automatische inschrijving.

8. Indien nodig zijn er aanvullende veiligheidsmaatregelen om te voorkomen dat certificaten automatisch worden uitgewezen. Deze zijn te vinden op het tabblad Uitgifte-vereisten. Dit wordt in dit document niet verder besproken.

   

9. Klik op OK om de sjabloon op te slaan en deze sjabloon uit te geven door de certificeringsinstantie.

De nieuwe ACS-webservercertificaatsjabloon inschakelen

Volg deze stappen:

1. Open de certificeringsinstantie. Voer stap 1 tot en met 3 uit in de sectie Certificaatsjabloon maken voor de sectie ACS-webserver, kies de optie certificaatinstantie, kies lokale computer en klik op Voltooien.

2. In de console van de certificaatinstantie, vergroot ca.demo.local, en klik vervolgens met de rechtermuisknop op certificaatsjablonen.

3. Ga naar Nieuw > certificaatsjabloon voor afgifte.

   

4. Klik op de ACS-certificaatsjabloon.

   

5. Klik op OK en open de optie Actieve gebruikers en computers in de map.

6. In de console boom, dubbelklik op Actieve Gebruikers en Computers van de Map, klik met de rechtermuisknop op Demo.local en klik vervolgens op Eigenschappen.

   

7. Klik in het tabblad Groepsbeleid op Standaardbeleid voor domein en vervolgens op Bewerken. Dit opent de editor voor groepsbeleid.

   

8. Vul in de console-boom de computer Configuration > Windows Settings > Security Settings > Public Key Policies uit en kies vervolgens Automatic certificaataanvraag-instellingen.

   

9. Klik met de rechtermuisknop op Instellingen automatische certificaataanvraag en kies Nieuw > Automatisch certificaataanvraag.

10. Klik op Volgende op de pagina Welkom bij de wizard Automatisch certificaataanvraag instellen.

11. Klik in de pagina certificaatsjabloon op Computer en klik vervolgens op Volgende.

    

12. Klik op Voltooien wanneer u de pagina met de wizard Automatisch aanvragen instellen hebt voltooid. Het type Computer-certificaat verschijnt nu in het detailvenster van de editor voor groepsbeleid.

    

13. Vul in de console-boom de gebruikersconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Publiek beleid.

14. Dubbelklik in het deelvenster met details op Instellingen voor automatische inschrijving.

    

15. Kies automatisch inlogcertificaten en controleer Verleng verlopen certificaten, update hangende certificaten en verwijder ingetrokken certificaten en update certificaten die certificaatsjablonen gebruiken.

    

16. Klik op OK.

ACS 5.1 certificaatinstelling

Exportcertificaat voor ACS configureren

Opmerking: De ACS-server moet een servercertificaat van de CA-server van de wortel verkrijgen om een WLAN PEAP-client te kunnen authenticeren.

Opmerking: Zorg ervoor dat de IIS Manager niet tijdens het setup-proces wordt geopend omdat er problemen met de gecacheerde informatie ontstaan.

1. Meld u aan bij de ACS-server met de rechten van de accountbeheerder.

2. Ga naar systeembeheer > Configuratie > Lokale servercertificaten. Klik op Add (Toevoegen).

   

3. Wanneer u een methode voor het maken van een servercertificaat kiest, kiest u Aanvraag voor certificaatsignalering genereren. Klik op Volgende.

   

4. Voer een certificaatonderwerp en de hoofdlengte in als voorbeeld en klik vervolgens op Voltooien:

   • Certificaat Onderwerp - CN=acs.demo.local

   • Sleutellengte - 1024

   

5. ACS zal erop wijzen dat een verzoek om ondertekening van een certificaat is ingediend. Klik op OK.

   

6. Ga onder Systeembeheer naar Configuratie > Lokale servercertificaten > Uitstaande aanvragen.

   Opmerking: De reden voor deze stap is dat Windows 2003 geen exportbare sleutels toestaat en u moet een certificaataanvraag genereren gebaseerd op het ACS-certificaat dat u eerder hebt gemaakt.

   

7. Kies de ingang van de certificaataanvraag en klik op Exporteren.

   

8. Sla het ACS certificaat .pem bestand op op het bureaublad.

   

Installeer het certificaat in de ACS 5.1-software

Volg deze stappen:

1. Open een browser en sluit aan op CA server URL http://10.0.10.10/certsrv.

   

2. Het venster Microsoft certificaatservices verschijnt. Kies een certificaat aanvragen.

   

3. Klik op om een geavanceerde certificaataanvraag in te dienen.

   

4. Klik in de geavanceerde aanvraag op Een certificaataanvraag indienen met een basiscode van 64...

   

5. In het veld Opgeslagen aanvraag bladert u, als uw beveiligingsinstellingen dit toestaan, naar het vorige ACS-bestand met certificaataanvraag en -invoeging.

   

6. De beveiligingsinstellingen van de browser bieden mogelijk geen toegang tot het bestand op een schijf. Als dit het geval is, klik op OK om een handmatige pasta uit te voeren.

   

7. Pak het ACS *.pem-bestand uit de vorige ACS-export. Open het bestand met een teksteditor (bijvoorbeeld Kladblok).

   

8. Markeer de gehele inhoud van het bestand en klik op Kopiëren.

   

9. Ga terug naar het venster voor Microsoft certificaataanvraag. Plakt de gekopieerde inhoud in het veld Opgeslagen aanvraag.

   

10. Kies ACS als de certificaatsjabloon en klik op Inzenden.

    

11. Kies Base 64 gecodeerd nadat het Certificaat is afgegeven en klik op Download certificaat.

    

12. Klik op Opslaan om het certificaat op het bureaublad op te slaan.

    

13. Ga naar ACS > Systeembeheer > Configuratie > Lokale servercertificaten. Kies Bind CA Ondertekend certificaat, en klik op Volgende.

    

14. Klik op Bladeren en plaats het opgeslagen certificaat.

    

15. Kies het ACS-certificaat dat is afgegeven door de CA-server en klik op Open.

    

16. Controleer ook het protocolvakje voor EAP en klik op Voltooien.

    

17. Het ACS-certificaat dat door CA is afgegeven, wordt in het ACS-plaatselijke certificaat vermeld.

    

ACS Identity Store voor actieve map configureren

Volg deze stappen:

1. Aansluiten op ACS en inloggen met Admin-account.

2. Ga naar gebruikers en identiteitsopslag > Externe identiteitsopslag > Actieve map.

   

3. Voer het lokale domein van de Actieve map in, voer het wachtwoord van de server in en klik op Test Connection. Klik op OK om verder te gaan.

   

4. Klik op Wijzigingen opslaan.

   

   Opmerking: Voor meer informatie over de ACS 5.x-integratieprocedure zie ACS 5.x en later: Integratie met Microsoft Active Directory Configuration Voorbeeld.

Een controller aan ACS als een AAA-client toevoegen

Volg deze stappen:

1. Sluit aan op ACS en ga naar Netwerkbronnen > Netwerkapparaten en AAA-clients. Klik op Maken.

   

2. Voer in deze velden in:

   • Naam - wlc

   • IP - 10.0.1.10

   • RADIUS-selectieteken - ingeschakeld

   • Gedeeld geheim - Cisco

   

3. Klik op Inzenden als dit klaar is. De controller verschijnt als een ingang in de lijst ACS-netwerkapparaten.

   

ACS-toegangsbeleid voor draadloos configureren

Volg deze stappen:

1. Ga bij ACS naar toegangsbeleid > Toegangsservices.

   

2. Klik in het venster Access Services op Maken.

   

3. Maak een toegangsservice en voer een naam in (bijvoorbeeld WirelessAD). Kies gebaseerd op de servicessjabloon en klik op Selecteren.

   

4. Kies in het dialoogvenster Webpagina de optie Toegang tot netwerk - eenvoudig. Klik op OK.

   

5. Kies in het dialoogvenster Webpagina de optie Toegang tot netwerk - eenvoudig. Klik op OK. Klik op Volgende zodra de sjabloon is geselecteerd.

   

6. Onder Toegestaan protocollen, controleer de vakjes voor Sta MS-CHAPv2 toe en sta PEAP toe. Klik op Voltooien.

   

7. Wanneer ACS u vraagt om de nieuwe service te activeren, klikt u op Ja.

   

8. In de nieuwe toegangsservice die zojuist is gemaakt/geactiveerd, vouwt u de identiteit uit en kiest u. Klik op Selecteren voor een identiteitsbron.

   

9. Kies AD1 voor Actieve Map die in ACS is ingesteld, klik op OK.

   

10. Bevestig dat de Bron van de Identity AD1 is en klik op Wijzigingen opslaan.

    

ACS-toegangsbeleid en -serviceregel maken

Volg deze stappen:

1. Ga naar Toegangsbeleid > Service Selection Regels.

   

2. Klik in het venster Service Selection Policy op maken. Geef de nieuwe regel een naam (bijvoorbeeld, WirelessRule). Schakel het vakje voor Protocol in op Radius.

   

3. Kies Straal en klik op OK.

   

4. Selecteer onder Resultaten de optie WirelessAD voor service (gemaakt in vorige stap).

   

5. Zodra de nieuwe draadloze regel wordt gecreëerd, kies en verplaats deze regel naar de bovenkant, wat de eerste regel zal zijn om draadloze Straalverificatie te identificeren met behulp van Actieve Map.

   

CLIENTconfiguratie voor PEAP met Windows Nul-Touch

In ons voorbeeld is CLIENT een computer die Windows XP Professional met SP runt die als draadloze client handelt en toegang tot Intranet middelen door de draadloze AP verkrijgt. Volg de procedures in dit gedeelte om CLIENT als draadloze client te configureren.

Een basisinstallatie en -configuratie uitvoeren

Volg deze stappen:

1. Sluit CLIENT aan op het intranetnetwerksegment met behulp van een Ethernet-kabel die is aangesloten op de hub.

2. Installeer op CLIENT Windows XP Professional met SP2 als een lid-computer die CLIENT van het lokale domein Demo.com heet.

3. Installeer Windows XP Professional met SP2. Dit moet worden geïnstalleerd om Goedkope ondersteuning te krijgen.

   Opmerking: Windows Firewall is automatisch ingeschakeld in Windows XP Professional met SP2. Schakel de firewall niet uit.

Installeer de draadloze netwerkadapter.

Volg deze stappen:

1. Sluit de CLIENT-computer af.

2. Koppel de CLIENT-computer los van het segment Intranet.

3. Start de CLIENT-computer opnieuw en log vervolgens in met de lokale beheeraccount.

4. Installeer de draadloze netwerkadapter.

   Opmerking: Installeer de configuratiesoftware van de fabrikant niet voor de draadloze adapter. Installeer de stuurprogramma's voor de draadloze netwerkadapter met behulp van de Add Hardware Wizard. Voer, wanneer dit wordt gevraagd, de CD in die door de fabrikant of een schijf wordt verstrekt met bijgewerkte stuurprogramma's voor gebruik met Windows XP Professional met SP2.

De draadloze netwerkverbinding configureren

Volg deze stappen:

1. Log uit en log vervolgens in met de WirelessUser account in het lokale domein demo..

2. Kies Start > Configuratiescherm, dubbelklik op Netwerkverbindingen en klik met de rechtermuisknop op Draadloze netwerkverbinding.

3. Klik op Eigenschappen, ga naar het tabblad Draadloze netwerken en zorg ervoor dat de optie Windows gebruiken om mijn draadloze netwerkinstellingen te configureren is ingeschakeld.

   

4. Klik op Add (Toevoegen).

5. Typ onder het tabblad Associatie Werknemer in het veld Netwerknaam (SSID).

6. Kies WAP voor de netwerkverificatie en zorg ervoor dat de gegevensencryptie is ingesteld op TKIP.

   

7. Klik op het tabblad Verificatie.

8. Bevestig dat EAP-type is ingesteld om beschermde EAP (PEAP) te gebruiken. Als dit niet het geval is, kiest u het menu in het vervolgkeuzemenu.

9. Als u wilt dat de machine voor de inlognaam wordt geauthentiseerd (dit maakt het mogelijk om inlogscripts of groepsbeleid toe te passen), controleer dan voor de computer of computerinformatie beschikbaar is een authenticatie als computer.

   

10. Klik op Eigenschappen.

11. Aangezien PEAP de verificatie van de server door de klant impliceert, moet u ervoor zorgen dat het geldigmakingscertificaat wordt gecontroleerd. Controleer ook of de CA die het ACS-certificaat heeft afgegeven, is ingeschakeld in het menu Trusted Root Certified Certified Autoriteiten.

12. Kies beveiligd wachtwoord (EAP-MSCHAP v2) onder Verificatiemethode omdat het gebruikt wordt voor interne verificatie.

    

13. Controleer of het vakje Snel opnieuw aansluiten inschakelen is ingeschakeld. Klik vervolgens drie keer op OK.

14. Klik met de rechtermuisknop op het pictogram voor draadloze netwerkverbinding in het systeem en klik vervolgens op Beschikbare draadloze netwerken bekijken.

15. Klik op het draadloze netwerk van de Werknemer, en dan op Connect. De draadloze client toont Connected als de verbinding succesvol is.

    

16. Nadat verificatie succesvol is, controleer de TCP/IP configuratie voor de draadloze adapter door netwerkverbindingen te gebruiken. Het moet een adresbereik hebben van 10.0.20.100-10.0.20.200 vanuit het DHCP-bereik of de reikwijdte die voor de CorpNet draadloze klanten wordt gecreëerd.

17. Om functionaliteit te testen, opent u een browser en bladert naar http://10.0.10.10 (of het IP adres van de CA server).

Probleemoplossing voor draadloze verificatie met ACS

Volg deze stappen:

1. Ga naar ACS > Monitoring and Reports en klik op Start Monitoring & Report Viewer.

   

2. Er wordt een afzonderlijk ACS-venster geopend. Klik op Dashboard.

   

3. In het gedeelte Mijn favoriete rapporten klikt u op Authenticaties - RADIUS - Vandaag de dag.

   

4. Een logbestand geeft alle RADIUS-authenticaties weer als Pass of Fail. Klik binnen een gelogde ingang op het pictogram Vergrootglas in de kolom Details.

   

5. De RADIUS-verificatiegegevens bieden veel informatie over de geregistreerde pogingen.

   

6. ACS Service Hit Count kan een overzicht bieden van pogingen die overeenkomen met de in ACS gecreëerde regel(en). Ga naar ACS > Toegangsbeleid > Toegangsservices en klik op Service Selection Regels.

   

PEAP-verificatie mislukt met ACS-server

Als uw client geen PEAP-verificatie met een ACS-server heeft, controleert u of u de NAS-gedupliceerde verificatiepoging vindt in de mislukte pogingen optie onder het Report and Action -menu van het ACS.

U kunt deze foutmelding ontvangen wanneer Microsoft Windows XP SP2 op de clientmachine is geïnstalleerd en Windows XP SP2 op een andere server dan een Microsoft IAS-server is geauthentificeerd. In het bijzonder gebruikt Cisco RADIUS-server (ACS) een andere methode om het type Extensible Authentication Protocol te berekenen:Length:Value Format (EAP-TLV)-id dan de methode die Windows XP gebruikt. Microsoft heeft dit als een defect in de XP SP2-aanvraag geïdentificeerd.

Voor een hotfix is het niet gelukt om contact op te nemen met Microsoft en te verwijzen naar het artikel PEAP-verificatie wanneer u verbinding maakt met een RADIUS-server van derden. Het onderliggende probleem is dat aan de kant van de cliënt, met het nut van vensters, de optie Fast Reconconnect standaard uitgeschakeld is voor PEAP. Deze optie is echter standaard ingeschakeld op de server side (ACS). Om deze kwestie op te lossen, dient u de optie Snel opnieuw aansluiten uit te schakelen op de ACS-server (onder Global System Opties). In plaats hiervan kunt u ook de optie Snel opnieuw verbinden aan de clientkant inschakelen om het probleem op te lossen.

Voer deze stappen uit om Fast Reconnect op de client mogelijk te maken die Windows XP met Windows XP-hulpprogramma uitvoert:

1. Kies Start > Instellingen > Configuratiescherm.

2. Dubbelklik op het pictogram Network Connections.

3. Klik met de rechtermuisknop op het pictogram Draadloze netwerkverbinding en klik vervolgens op Eigenschappen.

4. Klik op het tabblad Draadloze netwerken.

5. Kies de optie Gebruik Windows om mijn draadloze netwerkinstellingen te configureren zodat Windows de clientadapter kunnen configureren.

6. Als u al een SSID hebt ingesteld, kiest u SSID en klikt u op Eigenschappen. Als dit niet het geval is, klikt u op Nieuw om een nieuw WLAN toe te voegen.

7. Voer de SSID in onder het tabblad Associatie. Zorg ervoor dat de netwerkverificatie open is en dat de gegevensencryptie is ingesteld op EFN.

8. Klik op Verificatie.

9. Kies de optie IEEE 802.1x-verificatie voor deze netwerkoptie inschakelen.

10. Kies PPP als het EAP-type en klik op Properties.

11. Kies de optie Snel opnieuw aansluiten onder op de pagina.

Gerelateerde informatie

• PEAP onder Unified Wireless Networks met ACS 4.0 en Windows 2003
• Cisco draadloze LAN-controller (WLC) en Cisco ACS 5.x (TACACS+) configuratievoorbeeld voor webverificatie
• Installatie- en upgrade-handleiding voor Cisco Secure Access Control System 5.1
• Technische ondersteuning en documentatie – Cisco Systems

Revision History