Este documento descreve a configuração de um servidor local de Extensible Authentication Protocol (EAP) em um Controlador de LAN Wireless (WLC) da Cisco para a autenticação dos usuários sem fio.
O EAP local é um método de autenticação que permita os usuários e os clientes Wireless a ser autenticados localmente. É projetado para o uso nos escritórios remotos que querem manter a Conectividade aos clientes Wireless quando o sistema no final do processo se torna interrompido ou o servidor de autenticação externa vai para baixo. Quando você permite o EAP local, o controlador serve como o Authentication Server e a base de dados de usuário local, removendo desse modo a dependência em um servidor de autenticação externa. O EAP local recupera credenciais do usuário da base de dados de usuário local ou do base de dados no final do processo do Lightweight Directory Access Protocol (LDAP) para autenticar usuários. O EAP local apoia EAP de pouco peso (PULO), Autenticação Flexível de EAP através do Tunelamento seguro (EAP-FAST), e autenticação da Segurança da camada do EAP-transporte (EAP-TLS) entre o controlador e os clientes Wireless.
Note que o server local EAP não está disponível se há uma configuração de servidor de raio externo global no WLC. Todos os pedidos de autenticação estão enviados ao RAIO externo global até que o server local EAP esteja disponível. Se o WLC afrouxa a Conectividade ao servidor de raio externo, a seguir o server local EAP torna-se ativo. Se não há nenhuma configuração de servidor RADIUS global, o server local EAP torna-se imediatamente ativo. O server local EAP não pode ser usado para autenticar os clientes, que são conectados a outros WLC. Ou seja um WLC não pode enviar seu pedido EAP a um outro WLC para a autenticação. Cada WLC deve ter seus próprios server local EAP e base de dados individual.
Note: Use estes comandos a fim parar o WLC de enviar pedidos a um servidor de raio externo.
config wlan disable config wlan radius_server auth disable config wlan enable
Os suportes de servidor locais EAP estes protocolos no software release de 4.1.171.0 e mais tarde:
PULO
EAP-FAST (ambo username/senha, e Certificados)
EAP-TLS
A Cisco recomenda que você tenha conhecimento destes tópicos:
Conhecimento de como configurar WLC e Lightweight Access Points (regaços) para a operação básica
Conhecimento de métodos de pouco peso do protocolo (LWAPP) e da segurança Wireless do Access point
Conhecimento básico da autenticação de EAP local.
As informações neste documento são baseadas nestas versões de software e hardware:
Windows XP com placa de adaptadores CB21AG e versão 4.05 do Cisco Secure Services Client
Controlador 4.1.171.0 do Wireless LAN de Cisco 4400
Autoridade de certificação de Microsoft no servidor do Windows 2000
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Este documento supõe que a configuração básica do WLC está terminada já.
Termine estas etapas a fim configurar o EAP local:
Adicionar um usuário líquido local:
Do GUI. escolha a Segurança > usuários líquidos locais > novo, dê entrada com o nome de usuário, senha, usuário convidado, ID de WLAN, e a descrição e o clique aplicam-se.
Do CLI você pode usar o netuser da configuração adiciona o comando do <description> do id> do <password> <WLAN do <username>:
Note: Este comando foi derrubado a uma segunda linha devido às razões espaciais.
(Cisco Controller) >config netuser add eapuser2 cisco123 1 Employee user local database
Especifique a ordem de recuperação credencial do usuário.
Do GUI, escolha a Segurança > local EAP > prioridade da autenticação. Selecione então o LDAP, clicam “<” o botão e o clique aplica-se. Isto põe as credenciais do usuário no base de dados local primeiramente.
Do CLI:
(Cisco Controller) >config local-auth user-credentials local
Adicionar um perfil EAP:
A fim fazer isto do GUI, escolha a Segurança > local EAP > perfis e clique novo. Quando a nova janela aparece, datilografe o nome de perfil e o clique aplica-se.
Você pode igualmente fazer este que usa o comando CLI o EAP-perfil do local-AUTH que da configuração adiciona o <profile-name>. Em nosso exemplo, o nome de perfil é EAP-teste.
(Cisco Controller) >config local-auth eap-profile add EAP-test
Adicionar um método ao perfil EAP.
Do GUI escolha a Segurança > local EAP > perfis e clique sobre o nome de perfil para que você quer adicionar os métodos de autenticação. Este exemplo usa o PULO, EAP-FAST, e o EAP-TLS. O clique aplica-se a fim ajustar os métodos.
Você pode igualmente usar o comando CLI o método do EAP-perfil que do local-AUTH da configuração adiciona o <profile-name> do <method-name>. Em nosso exemplo de configuração nós adicionamos três métodos ao EAP-teste do perfil. Os métodos são o PULO, EAP-FAST, e o EAP-TLS cujos os nomes do método são pulo, rápido, e tls respectivamente. Esta saída mostra os comandos de configuração de CLI:
(Cisco Controller) >config local-auth eap-profile method add leap EAP-test (Cisco Controller) >config local-auth eap-profile method add fast EAP-test (Cisco Controller) >config local-auth eap-profile method add tls EAP-test
Configurar os parâmetros do método de EAP. Isto é usado somente para EAP-FAST. Os parâmetros a ser configurados são:
Chave de servidor (chave de servidor) — Cifrar da chave de servidor/credenciais protegidas decrypt do acesso (PAC) (no hexadecimal).
Time to Live para PAC (PAC-TTL) — Ajusta o Time to Live para o PAC.
Autoridade ID (autoridade-identificação) — Ajusta o identificador da autoridade.
Disposição de Annonymous (anon-provn) — Configura se a disposição anônima está permitida. Iss está habilitado por padrão.
Para a configuração com o GUI, escolha a Segurança > local EAP > parâmetros EAP-FAST e incorpore a chave de servidor, o Time to Live para o PAC, a autoridade ID (em encantar), e os valores de informação de ID da autoridade.
Estes são os comandos de configuração de CLI usar-se a fim ajustar estes parâmetros para EAP-FAST:
(Cisco Controller) >config local-auth method fast server-key 12345678 (Cisco Controller) >config local-auth method fast authority-id 43697369f1 CiscoA-ID (Cisco Controller) >config local-auth method fast pac-ttl 10
Permita a autenticação local pelo WLAN:
Do GUI escolha WLAN no menu superior e selecione o WLAN para que você quer configurar a autenticação local. Uma nova janela aparece. Clique a Segurança > abas AAA. Verifique a autenticação de EAP local e selecione o nome de perfil direito EAP do menu de destruição como este exemplo mostra:
Você pode igualmente emitir a configuração que CLI o local-AUTH wlan permite o comando configuration do <wlan-id> do <profile-name> como mostrado aqui:
(Cisco Controller) >config wlan local-auth enable EAP-test 1
Ajuste os parâmetros de segurança da camada 2.
Da interface GUI, no WLAN edite o indicador vão às abas da Segurança > da camada 2 e escolheu WPA+WPA2 do menu de destruição da Segurança da camada 2. Sob os parâmetros WPA+WPA2 secione, ajuste a criptografia WPA TKIP e WPA2 à criptografia AES. Clique então aplicam-se.
Do CLI, use estes comandos:
(Cisco Controller) >config wlan security wpa enable 1 (Cisco Controller) >config wlan security wpa wpa1 ciphers tkip enable 1 (Cisco Controller) >config wlan security wpa wpa2 ciphers aes enable 1
Verifique a configuração:
(Cisco Controller) >show local-auth config User credentials database search order: Primary ..................................... Local DB Timer: Active timeout .............................. Undefined Configured EAP profiles: Name ........................................ EAP-test Certificate issuer ........................ cisco Peer verification options: Check against CA certificates ........... Enabled Verify certificate CN identity .......... Disabled Check certificate date validity ......... Enabled EAP-FAST configuration: Local certificate required .............. No Client certificate required ............. No Enabled methods ........................... leap fast tls Configured on WLANs ....................... 1 EAP Method configuration: EAP-FAST: --More-- or (q)uit Server key ................................ <hidden> TTL for the PAC ........................... 10 Anonymous provision allowed ............... Yes Authority ID .............................. 43697369f10000000000000000000 Authority Information ..................... CiscoA-ID
Você pode ver parâmetros específicos de 1 wlan com o comando <wlan wlan do id> da mostra:
(Cisco Controller) >show wlan 1 WLAN Identifier.................................. 1 Profile Name..................................... austinlab Network Name (SSID).............................. austinlab Status........................................... Disabled MAC Filtering.................................... Disabled Broadcast SSID................................... Enabled AAA Policy Override.............................. Disabled Number of Active Clients......................... 0 Exclusionlist Timeout............................ 60 seconds Session Timeout.................................. 1800 seconds Interface........................................ management WLAN ACL......................................... unconfigured DHCP Server...................................... Default DHCP Address Assignment Required................. Disabled Quality of Service............................... Silver (best effort) WMM.............................................. Disabled CCX - AironetIe Support.......................... Enabled CCX - Gratuitous ProbeResponse (GPR)............. Disabled Dot11-Phone Mode (7920).......................... Disabled Wired Protocol................................... None --More-- or (q)uit IPv6 Support..................................... Disabled Radio Policy..................................... All Local EAP Authentication......................... Enabled (Profile 'EAP-test') Security 802.11 Authentication:........................ Open System Static WEP Keys............................... Disabled 802.1X........................................ Disabled Wi-Fi Protected Access (WPA/WPA2)............. Enabled WPA (SSN IE)............................... Enabled TKIP Cipher............................. Enabled AES Cipher.............................. Disabled WPA2 (RSN IE).............................. Enabled TKIP Cipher............................. Disabled AES Cipher.............................. Enabled Auth Key Management 802.1x.................................. Enabled PSK..................................... Disabled CCKM.................................... Disabled CKIP ......................................... Disabled IP Security................................... Disabled IP Security Passthru.......................... Disabled Web Based Authentication...................... Disabled --More-- or (q)uit Web-Passthrough............................... Disabled Conditional Web Redirect...................... Disabled Auto Anchor................................... Disabled Cranite Passthru.............................. Disabled Fortress Passthru............................. Disabled H-REAP Local Switching........................ Disabled Infrastructure MFP protection................. Enabled (Global Infrastructure MFP Disabled) Client MFP.................................... Optional Tkip MIC Countermeasure Hold-down Timer....... 60 Mobility Anchor List WLAN ID IP Address Status
Há outros parâmetros da autenticação local que podem ser configurados, em particular o temporizador ativo do intervalo. Este temporizador configura o período durante que o EAP local é afinal servidores Radius usados falhou.
Do GUI, escolha a Segurança > local EAP > geral e ajustado o valor do tempo. Clique então aplicam-se.
Do CLI, emita estes comandos:
(Cisco Controller) >config local-auth active-timeout ? <1 to 3600> Enter the timeout period for the Local EAP to remain active, in seconds. (Cisco Controller) >config local-auth active-timeout 60
Você pode verificar o valor a que este temporizador se estabelece quando você emite o comando config do local-AUTH da mostra.
(Cisco Controller) >show local-auth config User credentials database search order: Primary ..................................... Local DB Timer: Active timeout .............................. 60 Configured EAP profiles: Name ........................................ EAP-test ... Skip
Se você precisa de gerar e carregar o PAC manual, você pode usar o GUI ou o CLI.
Do GUI, os COMANDOS seletos do menu superior e escolheram o arquivo da transferência de arquivo pela rede da lista no lado direito. PAC seleto (credenciais protegidas do acesso) do menu de destruição do tipo de arquivo. Incorpore todos os parâmetros e clique sobre a transferência de arquivo pela rede.
Do CLI, incorpore estes comandos:
(Cisco Controller) >transfer upload datatype pac (Cisco Controller) >transfer upload pac ? username Enter the user (identity) of the PAC (Cisco Controller) >transfer upload pac test1 ? <validity> Enter the PAC validity period (days) (Cisco Controller) >transfer upload pac test1 60 ? <password> Enter a password to protect the PAC (Cisco Controller) >transfer upload pac test1 60 cisco123 (Cisco Controller) >transfer upload serverip 10.1.1.1 (Cisco Controller) >transfer upload filename manual.pac (Cisco Controller) >transfer upload start Mode............................................. TFTP TFTP Server IP................................... 10.1.1.1 TFTP Path........................................ / TFTP Filename.................................... manual.pac Data Type........................................ PAC PAC User......................................... test1 PAC Validity..................................... 60 days PAC Password..................................... cisco123 Are you sure you want to start? (y/N) y PAC transfer starting. File transfer operation completed successfully.
A fim usar a versão 2 EAP-FAST e a autenticação EAP-TLS, WLC e todos os dispositivos do cliente devem ter um certificado válido e devem igualmente conhecer o certificado público da autoridade de certificação.
Se o servidor do Windows 2000 já não tem serviços da autoridade de certificação instalado, você precisa de instalá-lo.
Termine estas etapas a fim ativar a autoridade de certificação de Microsoft em um servidor do Windows 2000:
Do Control Panel, escolha adicionar/removeres programar. :
Seleto adicionar/remova componentes do Windows no lado esquerdo.
Verifique serviços certificados.
Reveja este aviso antes que você continue:
Selecione que o tipo de autoridade de certificação você quer instalar. A fim criar uma autoridade autônoma simples, selecione a CA raiz autônoma.
Incorpore a informação necessária sobre a autoridade de certificação. Esta informação cria um certificado auto-assinado para sua autoridade de certificação. Recorde o nome de CA que você usa.
A autoridade de certificação armazena os Certificados em um base de dados. Este exemplo usa a instalação do padrão proposta por Microsoft:
Os serviços da autoridade de certificação de Microsoft usam o servidor de Web IIS Microsoft a fim criar e controlar Certificados de cliente e servidor. Precisa de reiniciar o serviço IIS para este:
O Servidor do Microsoft Windows 2000 instala agora o serviço novo. Você precisa de ter seu CD de instalação do servidor do Windows 2000 a fim instalar componentes das novas janelas.
A autoridade de certificação é instalada agora.
A fim usar a versão 2 EAP-FAST e o EAP-TLS no server local EAP de um controlador de LAN do Cisco Wireless, siga estas três etapas:
Instale o certificado do dispositivo no controlador do Wireless LAN.
Transfira um certificado de CA do vendedor ao controlador do Wireless LAN.
Configurar o controlador do Wireless LAN para usar o EAP-TLS.
Note que no exemplo mostrado neste documento, o Access Control Server (ACS) está instalado no mesmo host que o microsoft ative directory e na autoridade de certificação de Microsoft, mas a configuração deve ser a mesma se o servidor ACS está em um server diferente.
Conclua estes passos:
. Termine estas etapas a fim gerar o certificado para importar ao WLC:
Vá a http:// <serverIpAddr>/certsrv.
Escolha o pedido um certificado e clique-o em seguida.
Escolha o pedido avançado e clique-o em seguida.
Escolha submetem um pedido de certificado para este CA usando um formulário e clicam-no em seguida.
Escolha o servidor de Web para o molde de certificado e incorpore a informação relevante. Marque então as chaves como exportable.
Você recebe agora um certificado que você precise de instalar em sua máquina.
Termine estas etapas a fim recuperar o certificado do PC:
Abra um navegador do internet Explorer e escolha ferramentas > opções de internet > índice.
Clique Certificados.
Selecione o certificado recentemente instalado do menu de destruição.
Clique a exportação.
Clique em seguida duas vezes e escolha sim a exportação a chave privada. Este formato é o PKCS-12 (formato do .PFX).
Escolha permitem a proteção forte.
Datilografe uma senha.
Salvar a em um arquivo <tme2.pfx>.
Copie o certificado no formato do PKCS-12 a todo o computador onde você tem o OpenSSL instalado a fim o converter ao formato PEM.
openssl pkcs12 -in tme2.pfx -out tme2.pem !--- The command to be given, -in <inputfilename>. Enter Import Password: !--- Enter the password given previously, from step 2g. MAC verified OK Enter PEM pass phrase: !--- Enter a phrase. Verifying - Enter PEM pass phrase:
Transfira o certificado convertido do dispositivo de formatação PEM no WLC.
(Cisco Controller) >transfer download datatype eapdevcert (Cisco Controller) >transfer download certpassword password !--- From step 3. Setting password to <cisco123> (Cisco Controller) >transfer download filename tme2.pem (Cisco Controller) >transfer download start Mode............................................. TFTP Data Type........................................ Vendor Dev Cert TFTP Server IP................................... 10.1.1.12 TFTP Packet Timeout.............................. 6 TFTP Max Retries................................. 10 TFTP Path........................................ / TFTP Filename.................................... tme2.pem This may take some time. Are you sure you want to start? (y/N) y TFTP EAP Dev cert transfer starting. Certificate installed. Reboot the switch to use new certificate.
Uma vez que recarregado, verifique o certificado.
(Cisco Controller) >show local-auth certificates Certificates available for Local EAP authentication: Certificate issuer .............................. vendor CA certificate: Subject: C=US, ST=ca, L=san jose, O=cisco, OU=wnbu, CN=tme Issuer: C=US, ST=ca, L=san jose, O=cisco, OU=wnbu, CN=tme Valid: 2007 Feb 28th, 19:35:21 GMT to 2012 Feb 28th, 19:44:44 GMT Device certificate: Subject: C=US, ST=ca, L=san jose, O=cisco, OU=wnbu, CN=tme2 Issuer: C=US, ST=ca, L=san jose, O=cisco, OU=wnbu, CN=tme Valid: 2007 Mar 28th, 23:08:39 GMT to 2009 Mar 27th, 23:08:39 GMT
Conclua estes passos:
Termine estas etapas a fim recuperar o certificado de CA do vendedor:
Vá a http:// <serverIpAddr>/certsrv.
Escolha recuperam o certificado de CA e clicam-no em seguida.
Escolha o certificado de CA.
Clique o DER codificado.
Clique sobre o certificado de CA da transferência e salvar o certificado como rootca.cer.
Converta o vendedor que CA do formato DER no formato PEM com o OpenSSL x509 - em rootca.cer - informa o DER - para fora rootca.pem - comando do outform PEM.
O arquivo de saída é rootca.pem no formato PEM.
Transfira o certificado de CA do vendedor:
(Cisco Controller) >transfer download datatype eapcacert (Cisco Controller) >transfer download filename ? <filename> Enter filename up to 16 alphanumeric characters. (Cisco Controller) >transfer download filename rootca.pem (Cisco Controller) >transfer download start ? (Cisco Controller) >transfer download start Mode............................................. TFTP Data Type........................................ Vendor CA Cert TFTP Server IP................................... 10.1.1.12 TFTP Packet Timeout.............................. 6 TFTP Max Retries................................. 10 TFTP Path........................................ / TFTP Filename.................................... rootca.pem This may take some time. Are you sure you want to start? (y/N) y TFTP EAP CA cert transfer starting. Certificate installed. Reboot the switch to use new certificate.
Conclua estes passos:
Do GUI, escolha a Segurança > local EAP > perfis, escolha o perfil e verifique-o para ver se há estes ajustes:
O certificado local exigido é permitido.
O certificado de cliente exigido é permitido.
O expedidor do certificado é vendedor.
A verificação contra certificados de CA é permitida.
O cliente deve obter um certificado CA raiz de um server da autoridade de certificação. Há diversos métodos que você pode se usar para obter um certificado de cliente e para o instalar na máquina de Windows XP. A fim adquirir um certificado válido, o usuário de Windows XP tem que ser entrado usando seu usuário - identificação e deve ter uma conexão de rede.
Um navegador da Web no cliente de Windows XP e uma conexão ligada com fio à rede foram usados para obter um certificado de cliente do server privado da autoridade de certificação da raiz. Este procedimento é usado para obter o certificado de cliente de um server da autoridade de certificação de Microsoft:
Use um navegador da Web no cliente e aponte o navegador ao server da autoridade de certificação. A fim fazer isto, entre em http://IP-address-of-Root-CA/certsrv.
Entre usando Domain_Name \ user_name. Você deve entrar usando o username do indivíduo que é usar o cliente XP.
No indicador bem-vindo, escolha recuperam um certificado de CA e clicam-no em seguida.
Selecione Base64 que codifica e transfira o certificado de CA.
No indicador emitido certificado, o clique instala este certificado e clica-o em seguida.
Escolha automaticamente seleto a loja do certificado e clique-a em seguida, para a mensagem bem sucedida da importação.
Conecte à autoridade de certificação para recuperar o certificado do Certificate Authority:
Clique o certificado de CA da transferência.
A fim certificar-se do certificado de autorização de certificação esteja instalado corretamente, internet explorer aberto e escolher ferramentas > opções de internet > índice > Certificados.
Na Autoridade de certificação de raiz confiável, você deve ver sua autoridade de certificação recentemente instalada:
O cliente deve obter um certificado de um server da autoridade de certificação para que o WLC autentique um cliente do EAP-TLS WLAN. Há diversos métodos que você pode usar a fim obter um certificado de cliente e o instalar na máquina de Windows XP. A fim adquirir um certificado válido, o usuário de Windows XP tem que ser entrado usando seu usuário - identificação e deve ter uma conexão de rede (uma conexão ligada com fio ou uma conexão WLAN com a Segurança do 802.1x desabilitada).
Um navegador da Web no cliente de Windows XP e uma conexão ligada com fio à rede são usados para obter um certificado de cliente do server privado da autoridade de certificação da raiz. Este procedimento é usado para obter o certificado de cliente de um server da autoridade de certificação de Microsoft:
Use um navegador da Web no cliente e aponte o navegador ao server da autoridade de certificação. A fim fazer isto, entre em http://IP-address-of-Root-CA/certsrv.
Entre usando Domain_Name \ user_name. Você deve entrar usando o username do indivíduo que usa o cliente XP. (O username obtém encaixado no certificado de cliente.)
No indicador bem-vindo, escolha o pedido um certificado e clique-o em seguida.
Escolha o pedido avançado e clique-o em seguida.
Escolha submetem um pedido de certificado para este CA usando um formulário e clicam-no em seguida.
No formulário de requisição de certificado avançado, escolha o molde de certificado como o usuário, especificam o tamanho chave como 1024 e o clique submete-se.
No indicador emitido certificado, o clique instala este certificado. Isto conduz à instalação bem-sucedida de um certificado de cliente no cliente de Windows XP.
Selecione o certificado de autenticação de cliente.
O certificado de cliente é criado agora.
A fim certificar-se do certificado esteja instalado, vá ao internet explorer e escolha ferramentas > opções de internet > índice > Certificados. Na aba pessoal, você deve ver o certificado.
Conclua estes passos:
O WLC, à revelia, transmite o SSID, assim que mostra-se na lista das redes da criação de SSID feitos a varredura. A fim criar um perfil da rede, você pode clicar o SSID na lista (empresa) e o clique cria a rede.
Se o infra-estruturo WLAN é configurado com a transmissão SSID desabilitada, você deve manualmente adicionar o SSID. A fim fazer isto, o clique adiciona sob dispositivos de acesso e incorpora manualmente o SSID apropriado (por exemplo, empresa). Configurar o comportamento ativo da ponta de prova para o cliente. Isto é, onde o cliente sonda ativamente para seu SSID configurado. Especifique ativamente a busca para este dispositivo de acesso depois que você incorpora o SSID no indicador do dispositivo de acesso adicionar.
Note: As configurações de porta não permitem modos de empreendimento (802.1X) se os ajustes da autenticação de EAP não são primeiros configurados para o perfil.
O clique cria a rede a fim lançar o indicador do perfil da rede, que o permite associar (ou configurado) o SSID escolhido com um mecanismo da autenticação. Atribua um nome descritivo para o perfil.
Note: Os tipos múltiplos da Segurança de WLAN e/ou os SSID podem ser associados sob este perfil da autenticação.
Gire sobre a autenticação e verifique o método do EAP-TLS. Clique então configuram a fim configurar propriedades do EAP-TLS.
Sob o sumário da configuração de rede, o clique altera a fim configurar o EAP/ajustes das credenciais.
Especifique gerenciem sobre a autenticação, escolhem o EAP-TLS sob o protocolo, e escolhem o username como a identidade.
Especifique o único sinal do uso em credenciais usar credenciais de logon para a autenticação de rede. O clique configura para estabelecer parâmetros do EAP-TLS.
A fim ter uma configuração que fixada do EAP-TLS você precisa de verificar o certificado de servidor Radius. A fim fazer isto, a verificação valida o certificado de servidor.
A fim validar o certificado de servidor Radius, você precisa de dar a informação do Cisco Secure Services Client a fim aceitar somente o certificado direito. Escolha o cliente > confiou que os server > controlam usuário atual server confiados.
Dê um nome para a regra e verifique o nome do certificado de servidor.
A configuração do EAP-TLS é terminada.
Conecte ao perfil da rede Wireless. O Cisco Secure Services Client pede o login de usuário:
O Cisco Secure Services Client recebe o certificado de servidor e verifica-o (com a regra configurada e a autoridade de certificação instalada). Pede então o certificado usar-se para o usuário.
Depois que o cliente autentica, escolha o SSID sob o perfil na aba das redes do controlo e clique o estado para perguntar detalhes da conexão.
O indicador dos detalhes da conexão fornece a informação no dispositivo do cliente, o status de conexão e as estatísticas, e o método de autenticação. A aba dos detalhes de WiFi fornece detalhes no status de conexão do 802.11, que inclui o RSSI, o canal do 802.11, e a autenticação/criptografia.
A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.
Note: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.
Estes comandos debug podem ser empregados no WLC para monitorar o progresso da troca da autenticação:
debugar eventos aaa permitem
debugar o detalhe aaa permitem
debugar eventos do dot1x permitem
debugar estados do dot1x permitem
debugar eventos do eap do local-AUTH aaa permitem
OU
debug aaa all enable