Configurando o Cisco Secure ACS for Windows v3.2 com autenticação da máquina PEAP-MS-CHAPv2

Introdução

Este documento demonstra como configurar Protocolo de autenticação extensível protegida (PEAP) com Cisco Secure ACS for Windows versão 3.2.

Para obter mais informações sobre de como configurar o acesso Wireless seguro usando controladores do Wireless LAN, o software de Microsoft Windows 2003, e o Serviço de controle de acesso Cisco Secure (ACS) 4.0, referem o PEAP sob redes Wireless unificadas com ACS 4.0 e Windows 2003.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nas versões de software e hardware abaixo.

• Cisco Secure ACS para Windows versão 3.2

• Microsoft Certificate Services (instalado como Enterprise root certificate authority [CA])

  Nota: Para obter mais informações, consulte o Manual passo a passo para configurar uma autoridade de certificação.

• Serviço DNS com Windows 2000 Server com Service Pack 3

  Nota: Se tiver problemas com o servidor CA, instale a correção dinâmica 323172. O cliente do Windows 2000 SP3 exige o hotfix 313664 permitir a autenticação do IEEE 802.1X.

• Cisco Aironet 1200 Series Wireless Access Point 12.01T

• IBM ThinkPad T30 executando Windows XP Professional com Service Pack 1

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se você está trabalhando em uma rede viva, assegure-se de que você compreenda o impacto potencial do comando any antes do usar.

Material de Suporte

o PEAP e o EAP-TLS constroem e usam um túnel da camada de soquete TLS/Secure (SSL). O PEAP usa somente a autenticação do lado de servidor; somente o server tem um certificado e prova sua identidade ao cliente. O EAP-TLS, contudo, usa a autenticação mútua em que o server e os clientes ACS ([AAA] do autenticação, autorização e relatório) têm Certificados e provam suas identidades entre si.

O PEAP é conveniente porque os clientes não exigem certificados. O EAP-TLS é útil para autenticar dispositivos decapitado, porque os Certificados não exigem nenhuma interação do usuário.

Convenções

Para obter mais informações sobre das convenções de documento, veja as convenções dos dicas técnicas da Cisco.

Diagrama de Rede

Este documento utiliza a instalação de rede mostrada no diagrama abaixo.

Configurar o Cisco Secure ACS for Windows v3.2

Siga estas etapas para configurar ACS 3.2.

1. Obtenha um certificado para o servidor de ACS.

2. Configure o ACS para utilizar um certificado do armazenamento.

3. Especifique autoridades de certificação adicionais nas quais o ACS deve confiar.

4. Reinicie o serviço e configure as definições PEAP no ACS.

5. Especifique e configure o ponto de acesso como um cliente AAA.

6. Configure os bancos de dados de usuário externo.

7. Reinicie o serviço.

Obtenha um certificado para o servidor ACS

Siga estes passos para obter um certificado.

1. No servidor ACS, abra um navegador da Web e navegue até o servidor CA, digitando http://CA-ip-address/certsrv na barra de endereços. Efetuar logon no domínio como Administrador.

   

2. Selecione o pedido um certificado, e clique-o então em seguida.

   

3. Selecione a solicitação Avançado e clique em Avançar.

   

4. Selecione Enviar uma solicitação de certificado para este CA, utilizando um formulário e, em seguida, clique em Avançar.

   

5. Configure as opções de certificado.

   1. Selecione o servidor da Web como modelo de certificado. Digite o nome do servidor de ACS.

      

   2. Defina o tamanho da chave como 1024. Selecione as opções para Mark keys as exportable e Use local machine store. Configure outras opções, conforme necessário e, em seguida, clique em Enviar.

      

      Nota: Se você visualizar uma janela de advertência relacionada à violação de script (dependendo de suas configurações de segurança/privacidade do navegador), clique em Yes para continuar.

      

6. Clique em Instalar este certificado.

   

   Nota: Se você visualizar uma janela de advertência relacionada à violação de script (dependendo de suas configurações de segurança/privacidade do navegador), clique em Yes para continuar.

   

7. Se a instalação foi concluída com sucesso, você verá uma mensagem de confirmação.

   

Configurar o ACS para utilizar um certificado do armazenamento

Siga estas etapas para configurar o ACS a fim de utilizar o certificado em armazenamento.

1. Abra um navegador da Web e vá até o servidor ACS digitando http://ACS-ip-address:2002/ na barra de endereços. Clique em System Configuration e, em seguida, em ACS Certificate Setup.

2. Clique em Install ACS Certificate (Instalar certificado ACS).

3. Selecione Use certificate from storage. No campo NC do certificado, dê entrada com o nome do certificado que você atribuiu na etapa 5a da seção obtém um certificado para o servidor ACS. Clique em Submit.

   Esta entrada deve combinar o nome que você datilografou no campo de nome durante o pedido do certificado avançado. É o nome NC no campo de assunto do certificado de servidor; você pode editar o certificado de servidor para verificar para ver se há este nome. Neste exemplo, o nome é “OurACS”. Não digite o nome CN do emissor.

   

4. Quando a configuração estiver concluída, você verá uma mensagem de confirmação indicando que a configuração do servidor ACS foi alterada.

   Nota: Você não precisa reiniciar o ACS desta vez.

   

Especifique as autoridades de certificado adicionais em que o ACS deve confiar

O ACS confiará automaticamente no CA que emitiu seu próprio certificado. Se os certificados do cliente forem emitidos por CAs adicionais, será necessário concluir os seguintes passos.

1. Clique em System Configuration e, em seguida, em ACS Certificate Setup.

2. Clique em ACS Certificate Authority Setup para adicionar CAs à lista de certificados confiáveis. No campo para o arquivo do certificado de CA, digite a localização do certificado e, em seguida, clique em Submit.

   

3. Clique em Edit Certificate Trust List. Selecione todas as CAs nas quais o ACS deve confiar e desmarque todas as CAs nas quais o ACS não deve confiar. Clique em Submit.

   

Reinicie o serviço e configure as opções de PEAP no ACS

Siga estas etapas para reiniciar o serviço e para configurar ajustes PEAP.

1. Clique em System Configuration e, depois, em Service Control.

2. Clique em Restart (Reiniciar) para reiniciar o serviço.

3. Para configurar ajustes PEAP, clique a configuração de sistema, e clique então a instalação global da autenticação.

4. Verifique as duas configurações indicadas abaixo e deixe as demais como padrão. Se desejar, poderá especificar configurações adicionais, por exemplo, Enable Fast Reconnect. Quando terminar, clique em Enviar.

   • Permitir o EAP-MSCHAPv2

   • Permitir a autenticação do MS-CHAP versão 2

   Nota: Para obter mais informações sobre Fast Connect, consulte "Opções de configuração de autenticação" na configuração de sistema: Autenticação e certificados.

   

Especifique e configure o ponto de acesso como um cliente AAA

Execute essas etapas para configurar o ponto de acesso (AP) como um cliente AAA.

1. Clique em Network Configuration. Em AAA Clients, clique em Add Entry.

   

2. Inscreva o hostname do AP no campo do hostname do cliente de AAA e em seu IP address no campo do IP address do cliente de AAA. Incorpore uma chave secreta compartilhada para o ACS e o AP ao campo chave. Selecione RADIUS (Cisco Aironet) como o método de autenticação. Quando terminar, clique em Enviar.

   

Configure o banco de dados de usuário externo

Siga estes passos para configurar os bancos de dados externos do usuário.

Nota: Apenas o ACS 3.2 oferece suporte para PEAP-MS-CHAPv2 com autenticação de máquina em um banco de dados Windows.

1. Clique em Bancos de dados do usuário externo e, em seguida, em Configuração do banco de dados. Clique em Windows Database.

   Nota: Se não houver um banco de dados do Windows já definido, clique em Create New Configuration e, em seguida, clique em Submit.

2. Clique em Configurar. Em Configure Domain List, mova o domínio SEC-SYD de Available Domains para Domain List.

   

3. Para permitir a autenticação da máquina, sob ajustes de Windows EAP verifique a opção para permitir a autenticação da máquina PEAP. Não altere o prefixo do nome de autenticação da máquina. A Microsoft usa atualmente "/host" (o valor padrão) para distinguir entre autenticação de usuário e de máquina. Se você deseja, verifique a opção para ver se há a mudança de senha da licença dentro do PEAP. Quando terminar, clique em Enviar.

   

4. Clique em External User Databases e, em seguida, clique em Unknown User Policy (Política de usuário desconhecida). Selecione a opção para a verificação as seguintes bases de dados de usuário externo, a seguir use o botão da seta direita (- >) para mover o base de dados do Windows dos bases de dados externos para bases de dados selecionado. Quando terminar, clique em Enviar.

   

Reinicie o serviço

Ao concluir a configuração do ACS, execute as seguintes etapas para reiniciar o serviço.

1. Clique em System Configuration e, depois, em Service Control.

2. Clique em Reiniciar.

Configurar o ponto de acesso da Cisco

Execute as seguintes etapas para configurar o AP para utilizar o ACS como o servidor de autenticação.

1. Abra um navegador da Web e vá até o AP digitando http://AP-ip-address/certsrv na barra de endereços. Na barra de ferramentas, clique em Setup.

2. Em Services, clique em Security.

3. Clique no servidor de autenticação.

   Nota: Caso tenha configurado contas no AP, será necessário fazer logon.

4. Digite as configurações do autenticador.

   • Selecione 802.1x-2001 para a versão de protocolo 802.1x (para autenticação EAP).

   • Digite o endereço IP do servidor ACS no campo Server Name/IP.

   • Selecione RADIUS como tipo de servidor.

   • Digite 1645 ou 1812 no campo Porta.

   • Insira uma chave de segredo compartilhado especificada no passo 2 da seção Especifique e configure o ponto de acesso como um cliente AAA.

   • Verificar a opção de Autenticação de EAP para especificar como o servidor deve ser usado.

   Quando terminar, clique em OK.

   

5. Clique em Radio Data Encryption (WEP).

6. Introduza as configurações internas de criptografia de dados.

   • Selecione Full Encryption para definir o nível de criptografia de dados.

   • Incorpore uma chave de criptografia e ajuste o tamanho chave ao bit 128 a ser usado como uma chave da transmissão.

   Quando terminar, clique em OK.

   

7. Confirme que você está usando o Service Set Identifier (SSID) correto indo à rede > aos conjuntos de serviço > seleciona o SSID Idx, e clica a APROVAÇÃO quando você for terminado.

   O exemplo abaixo mostra o "tsunami" de SSID padrão.

   

Configuram o cliente Wireless

Siga estas etapas para configurar ACS 3.2.

1. Configurando a inscrição automática no MS Certificate Machine.

2. Junte-se ao domínio.

3. Instale manualmente o certificado de raiz no cliente do Windows.

4. Configure a rede Wireless.

Configurar o registro automático de máquina do certificado MS

Siga estas etapas para configurar o domínio para o registro automático do certificado da máquina no controlador de domínio Kant.

1. Vão ao Control Panel > as ferramentas administrativas > usuários e computadores abertos de diretório ativo.

2. Clique com o botão direito em domain sec-syd e selecione Properties no submenu.

3. Selecione a guia Política de grupo. Clique em Política de domínio padrão e em Editar.

4. Vão à configuração de computador > aos ajustes do > segurança dos ajustes de Windows > às políticas da chave pública > os ajustes automáticos do pedido do certificado.

   

5. Na barra de menus, vai à ação > o pedido do certificado novo > automático e clica em seguida.

6. Selecione o computador e clique em Avançar.

7. Verifique o CA.

   Neste exemplo, o CA é nomeado “nosso TAC CA”

8. Clique em Avançar e, em seguida, clique em Concluir.

Unir ao domínio

Siga estas etapas para adicionar o cliente Wireless ao domínio.

Nota: Para completar esses passos, o cliente sem fio deve ter uma conectividade com o CA, por meio de uma conexão com fio ou por uma conexão sem fio com segurança 802.1x desativada.

1. Inicie sessão no Windows XP como administrador local.

2. Vá ao Control Panel > ao desempenho e à manutenção > ao sistema.

3. Selecione a guia Computer Name e clique em Change. Insira o nome do host no campo de nome do computador. Selecione Domínio e, em seguida, insira o nome do domínio (neste exemplo, SEC-SYD). Clique em OK.

   

4. Quando um diálogo de login for exibido, junte o domínio fazendo login com uma conta que tenha permissão para juntar o domínio.

5. Quando o computador tiver se unido com êxito ao domínio, reinicie-o. A máquina será um membro do domínio; desde que nós estabelecemos o registro automático de máquina, a máquina terá um certificado para o CA instalado assim como um certificado para a autenticação da máquina.

Instalar manualmente o certificado de raiz no Windows Client

Siga esses passos para instalar manualmente o certificado de raiz.

Nota:  Se já tiver configurado a inscrição automática da máquina, esta etapa não será necessária. Salte por favor para configurar a rede de comunicação Wireless.

1. Na máquina de cliente do Windows, abra um web browser e consulte ao Microsoft CA server inscrevendo http:// root-CA-ip-address/certsrv na barra de endereços. Entre ao local CA.

   Neste exemplo, o endereço IP do CA é 10.66.79.241.

   

2. Selecione Recuperar o certificado de CA ou a lista de revogação de certificado e clique em Avançar.

   

3. Clique em Download CA certificate para salvar o certificado na máquina local.

   

4. Abra o certificado e o clique instala o certificado.

   Nota: No exemplo abaixo, o ícone na parte superior indica que o certificado ainda não é confiável (instalado).

   

5. Instale o certificado em Current User/Trusted Root Certificate Authorities.

   1. Clique em Next.

   2. Selecione automaticamente seleto a loja do certificado baseada no tipo do certificado e clique-a em seguida.

   3. Clique o revestimento para colocar automaticamente o certificado de raiz sob autoridades de certificação atuais do root confiável do usuário.

Configure a rede Wireless

Siga estes passos para configurar as opções para redes wireless.

1. Inicie a sessão no domínio como usuário de domínio.

2. Vá ao Control Panel > à rede e às conexões com o Internet > às conexões de rede. Clique com o botão direito do mouse em Wireless Connection e selecione Properties no submenu apresentado.

3. Selecione a guia Rede Wireless Selecione a rede Wireless (exibida com uso do nome SSID do AP) na lista de redes disponíveis e, depois, clique em Configure.

   

4. Na guia Authentication da janela de propriedades da rede, marque a opção Enable IEEE 802.1x authentication for this network.. Para o tipo EAP, selecione EAP protegido (PEAP) para o tipo EAP, e clique então propriedades.

   Nota: Para ativar a autenticação de máquinas, marque a opção Authenticate as computer when computer information is available.

   

5. A verificação valida o certificado de servidor, e verifica então a CA raiz para ver se há a empresa usada por clientes PEAP e por dispositivos ACS. Selecione Secure password (EAP-MSCHAP v2) para o método de autenticação e, em seguida, clique em Configure.

   Neste exemplo, o CA raiz é chamado "Our TAC CA",

   

6. Para permitir o início de sessão única, marque a opção Automatically use my Windows logon name and password (e domínio se houver). Clique a APROVAÇÃO para aceitar este ajuste, e clique então a APROVAÇÃO outra vez para retornar ao indicador das propriedades de rede.

   Com o início de sessão único no PEAP, o cliente usa o nome de usuário do Windows para obter autenticação no PEAP; portanto, o usuário não precisa digitar a senha novamente.

   

7. Na guia Association da janela de propriedades de rede, marque as opções Data encryption (WEP enabled) e The key is provided for me automatically. Clique em OK e, em seguida, em OK novamente para fechar a janela de configuração de rede.

   

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.

• Para verificar que o cliente Wireless esteve autenticado, no cliente Wireless vai ao Control Panel > à rede e às conexões com o Internet > às conexões de rede. Na barra de menus, vá à vista > às telhas. A conexão Wireless deve exibir a mensagem "Authentication succeeded" (Autenticação bem-sucedida).

• Para verificar que os clientes Wireless estiveram autenticados, na interface da WEB ACS vai aos relatórios e à atividade > autenticações passadas > active.csv passado das autenticações.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

• Verifique que o MS que os serviços certificados foram instalados como uma CA raiz da empresa em Windows 2000 Advanced Server com pacote de serviços 3. Hotfixes 323172 e 313664 deve ser instalado depois que os serviços certificados MS são instalados. Se o MS Certificate Services for instalado novamente, a correção dinâmica 323172 também deve ser instalada novamente.

• Verifique se você está usando o Cisco Secure ACS for Windows versão 3.2 com Windows 2000 e Service Pack 3. Verifique se os hotfixes 323172 e 313664 foram instalados.

• Se a autenticação da máquina falhar no cliente wireless, não haverá conectividade de rede na conexão sem fio. Somente as contas com perfis em cache no cliente wireless serão capazes de iniciar uma sessão no domínio. A máquina precisará estar conectada a uma rede com fio ou configurada para conexão sem fio sem segurança 802.1x.

• Se a inscrição automática com o CA falhar ao unir o domínio, verifique o Event Viewer para obter as possíveis razões. Tente verificar os ajustes DNS no portátil.

• Se o certificado do ACS está rejeitado pelo cliente (de que depende do certificado válido “” e “” às datas, aos ajustes da data e hora do cliente, e à confiança CA), a seguir o cliente rejeitá-la-á e a autenticação falhará. O ACS registrará a autenticação falha na interface da WEB sob relatórios e atividade > falhas de tentativa > XXX.csv das falhas de tentativa com o Código de falha da autenticação similar ao “EAP-TLS ou a autenticação de PEAP falhada durante o aperto de mão SSL.” A mensagem de erro esperada no arquivo CSAuth.log é semelhante à mensagem a seguir.

  AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
  other side probably didn't accept our certificate

• No entra a interface da WEB ACS, sob ambos os relatórios e a atividade > autenticações passadas > XXX.csv das autenticações e atividade de Reportsand > falhas de tentativa > XXX.csv passados das falhas de tentativa, autenticações de PEAP é mostrada no formato <DOMAIN> \ <user-id>. As autenticações EAP-TLS são mostradas no <user-id>@<domain> do formato.

• Para usar o PEAP rápido reconecte, você deve permitir esta característica no servidor ACS e no cliente.

• Se a alteração de senha de PEAP estiver ativada, você pode alterar a senha somente quando uma senha de conta tiver espirado ou quando a conta for marcada para ter sua senha alterada no próximo logon.

• Você pode verificar o certificado e a confiança do servidor ACS seguindo as etapas descritas abaixo.

  1. Inicie a sessão no Windows no servidor ACS com uma conta que tenha privilégios de administrador. Abra o Microsoft Management Console indo começar > mmc executado, de datilografia, e APROVAÇÃO de clique.

  2. Na barra de menus, vá ao > Add do console/remova Pressão-em, e clique então adicionam.

  3. Selecione Certificates e clique em Add.

  4. Selecione Conta do computador, clique em Avançar e selecione Computador local (o computador em que este console está executando).

  5. Clique em Finish, em Close e, em seguida, em OK.

  6. Para verificar que o servidor ACS tem um certificado do lado de servidor válido, vá ao fundamento de console > aos Certificados (computador local) > ACSCertStore > Certificados. Verifique se há um certificado para o servidor ACS (denominado OurACS neste exemplo). Abra o certificado e verifique os seguintes itens.

     • Não há advertência quanto ao certificado não estar sendo verificado para todos os seus propósitos pretendidos.

     • Não há advertência sobre o certificado não ser confiável.

     • Este certificado tem como objetivo garantir a identidade de um computador remoto.

     • O certificado não expirou e se tornou válido (verificar datas válidas “de” e “para”).

     • “Você tem uma chave privada que corresponde a esse certificado.”

  7. Na guia Detalhes, verifique se o campo Versão tem o valor V3 e se o campo Enhanced Key Usage tem autenticação de servidor (1.3.6.1.5.5.7.3.1).

  8. Para verificar que o servidor ACS confia o server CA, vá ao fundamento de console > aos Certificados (computador local) > Autoridades de certificação de raiz confiável > Certificados. Verifique se há um certificado para o servidor de CA (nomeado “Our TAC CA” neste exemplo). Abra o certificado e verifique os seguintes itens.

     • Não há advertência quanto ao certificado não estar sendo verificado para todos os seus propósitos pretendidos.

     • Não há advertência sobre o certificado não ser confiável.

     • O propósito pretendido do certificado está correto.

     • O certificado não expirou e se tornou válido (verificar datas válidas “de” e “para”).

     Se o ACS e o cliente não utilizaram o mesmo CA raiz, verifique se toda a cadeia de certificados de servidores de CA foi instalada. O mesmo se aplica se o certificado for obtido a partir de uma autoridade subcertificada.

• Você pode verificar a confiança do cliente seguindo as etapas abaixo.

  1. Entre a Windows no cliente Wireless com a conta do cliente. Abra o Microsoft Management Console indo começar > mmc executado, de datilografia, e APROVAÇÃO de clique.

  2. Na barra de menus, vá ao > Add do console/remova Pressão-em, e clique então adicionam.

  3. Selecione Certificates e clique em Add.

  4. O fim do clique, e clica então a APROVAÇÃO.

  5. Para verificar que o perfil do cliente confia o server CA, vá ao fundamento de console > aos Certificados - usuário > Autoridades de certificação de raiz confiável > Certificados atuais. Verifique se há um certificado para o servidor de CA (nomeado “Our TAC CA” neste exemplo). Abra o certificado e verifique os seguintes itens.

     • Não há advertência quanto ao certificado não estar sendo verificado para todos os seus propósitos pretendidos.

     • Não há advertência sobre o certificado não ser confiável.

     • O propósito pretendido do certificado está correto.

     • O certificado não expirou e se tornou válido (verificar datas válidas “de” e “para”).

     Se o ACS e o cliente não utilizaram o mesmo CA raiz, verifique se toda a cadeia de certificados de servidores de CA foi instalada. O mesmo se aplica se o certificado for obtido a partir de uma autoridade subcertificada.

• Verifique as configurações ACS conforme descrito na seção Configurando o Cisco Secure ACS for Windows v3.2.

• Verifique as configurações de AP conforme descrito na seção Configurando o ponto de acesso da Cisco.

• Verifique as configurações do cliente sem fio como descrito na respectiva seção (Configuring the Wireless Client).

• Verifique se a conta de usuário existe no banco de dados interno do servidor de AAA ou em um dos bancos de dados externos configurados. Assegure que a conta não tenha sido desativada.

Informações Relacionadas

• Cisco Secure ACS para página de suporte do Windows
• Guia de distribuição EAP-TLS para redes de Wireless LAN
• Obtendo a versão e informações sobre a depuração AAA para o Cisco Secure ACS para Windows
• Suporte Técnico - Cisco Systems