Este documento explica como configurar o Extensible Authentication Protocol (EAP) - Flexible Authentication via Secure Tunneling (FAST) Local EAP authentication em um Wireless LAN Controller (WLC). Este documento também explica como configurar o servidor de Lightweight Directory Access Protocol (LDAP) como um banco de dados de backend para EAP Local para retornar as credenciais de usuários e autenticar o usuário.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas nestas versões de software e hardware:
Cisco 4400 Series WLC que executa o firmware 4.2
Access Point (LAP) Lightweight Cisco Aironet 1232AG Series
Servidor Microsoft Windows 2003 configurado como controlador de domínio, servidor LDAP e servidor de Autoridade de Certificação.
Adaptador do cliente do Cisco Aironet 802.11 a/b/g que executa o firmware versão 4.2
Cisco Aironet Desktop Utility (ADU) que executa o firmware versão 4.2
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
A autenticação EAP local em Wireless LAN Controllers foi introduzida com o Wireless LAN Controller versão 4.1.171.0.
O EAP local é um método de autenticação que permite que usuários e clientes sem fio sejam autenticados localmente no controlador. Ele foi projetado para uso em escritórios remotos que desejam manter a conectividade com clientes sem fio quando o sistema de backend for interrompido ou o servidor de autenticação externo cair. Quando você habilita o EAP local, o controlador serve como o servidor de autenticação e o banco de dados de usuário local, de modo que ele remove a dependência de um servidor de autenticação externo. O EAP local recupera as credenciais do usuário do banco de dados de usuário local ou do banco de dados de back-end LDAP para autenticar usuários. O EAP local suporta autenticação LEAP, EAP-FAST, EAP-TLS, P EAPv0/MSCHAPv2 e PEAPv1/GTC entre o controlador e os clientes sem fios.
O EAP local pode usar um servidor LDAP como seu banco de dados de back-end para recuperar credenciais de usuário.
Um banco de dados back-end LDAP permite que o controlador solicite as credenciais (nome de usuário e senha) de um usuário específico a um servidor LDAP. Essas credenciais são, então, usadas para autenticar o usuário.
O banco de dados de back-end LDAP suporta estes métodos EAP locais:
EAP-FAST/GTC
EAP-TLS
PEAPv1/GTC.
LEAP, EAP-FAST/MSCHAPv2 e PEAPv0/MSCHAPv2 também são suportados, mas somente se o servidor LDAP estiver configurado para retornar uma senha de texto claro. Por exemplo, o Microsoft Ative Diretory não é suportado porque não devolve uma senha de texto claro. Se o servidor LDAP não puder ser configurado para retornar uma senha de texto claro, não há suporte para LEAP, EAP-FAST/MSCHAPv2 e PEAPv0/MSCHAPv2.
Observação: se algum servidor RADIUS estiver configurado no controlador, o controlador tentará autenticar os clientes sem fio usando primeiro os servidores RADIUS. O EAP local é tentado somente se nenhum servidor RADIUS for encontrado, porque os servidores RADIUS excederam o tempo limite ou nenhum servidor RADIUS foi configurado. Se quatro servidores RADIUS estiverem configurados, o controlador tentará autenticar o cliente com o primeiro servidor RADIUS, depois com o segundo servidor RADIUS e depois com EAP local. Se o cliente tentar reautenticar manualmente, o controlador tentará o terceiro servidor RADIUS, depois o quarto servidor RADIUS e depois o EAP local.
Este exemplo usa EAP-FAST como o método EAP local na WLC, que por sua vez é configurado para consultar o banco de dados de back-end LDAP quanto às credenciais de usuário de um cliente sem fio.
Este documento usa EAP-FAST com certificados no lado do cliente e do servidor. Para isso, a instalação usa o servidor Autoridade de Certificação (CA) da Microsoft para gerar os certificados de cliente e servidor.
As credenciais de usuário são armazenadas no servidor LDAP de modo que, na validação de certificado bem-sucedida, o controlador consulta o servidor LDAP para recuperar as credenciais de usuário e autentica o cliente sem fio.
Este documento pressupõe que essas configurações já estão em vigor:
Um LAP está registrado na WLC. Consulte Registro de AP Leve (LAP - Lightweight AP) em um Controlador de LAN Wireless (WLC - Wireless LAN Controller) para obter mais informações sobre o processo de registro.
Um servidor DHCP é configurado para atribuir um endereço IP aos clientes sem fio.
O servidor Microsoft Windows 2003 está configurado como controlador de domínio e como servidor de CA. Este exemplo usa wireless.com como domínio.
Consulte Configurando o Windows 2003 como um Controlador de Domínio para obter mais informações sobre como configurar um servidor Windows 2003 como um controlador de domínio.
Consulte Instalar e Configurar o Microsoft Windows 2003 Server como um Servidor de Autoridade de Certificação (CA) para configurar o Windows 2003 Server como servidor de AC Corporativa.
Este documento utiliza a seguinte configuração de rede:
Conclua estes passos para implementar esta configuração:
Como mencionado anteriormente, este documento usa EAP-FAST com certificados no lado do cliente e do servidor como o método de autenticação EAP local. A primeira etapa é baixar e instalar os seguintes certificados no servidor (WLC, neste caso) e no cliente.
A WLC e o cliente precisam cada um desses certificados para serem baixados do servidor CA:
Certificado do dispositivo (um para a WLC e um para o cliente)
Certificado raiz da infraestrutura de chave pública (PKI) para a WLC e certificado CA para o cliente
Execute estas etapas para gerar um certificado de dispositivo para a WLC a partir do servidor de CA. Este certificado de dispositivo é usado pela WLC para autenticar o cliente.
Vá para http://<endereço IP do servidor CA>/certsrv do seu PC que tem uma conexão de rede com o servidor CA. Efetue login como administrador do servidor CA.
Selecione Solicitar um certificado.
Na página Solicitar um certificado, clique em solicitação de certificado avançado.
Na página Solicitação de certificado avançado, clique em Criar e envie uma solicitação para esta CA. Isso o leva ao formulário de solicitação de certificado Avançado.
No formulário de solicitação de certificado avançado, escolha Servidor Web como Modelo de certificado. Em seguida, especifique um nome para este certificado de dispositivo.
Este exemplo usa o nome do certificado como ciscowlc123. Preencha as outras informações de identificação de acordo com o seu requisito.
Na seção Opções-chave, selecione a opção Marcar Chaves como Exportáveis. Às vezes, essa opção específica ficará esmaecida e não poderá ser ativada ou desativada se você escolher um modelo de servidor Web. Nesses casos, clique em Voltar no menu do navegador para voltar uma página e voltar a esta página. Desta vez, a opção Marcar Chaves como Exportáveis deve estar disponível.
Configure todos os outros campos necessários e clique em Enviar.
Clique em Sim na janela seguinte para permitir o processo de solicitação de certificado.
A janela Certificado emitido é exibida, indicando um processo de solicitação de certificado bem-sucedido. A próxima etapa é instalar o certificado emitido no repositório de certificados deste computador. Clique em Instalar este certificado.
O novo certificado é instalado com êxito no PC de onde a solicitação é gerada para o servidor de CA.
A próxima etapa é exportar esse certificado do repositório de certificados para o disco rígido como um arquivo. Esse arquivo de certificado será usado posteriormente para fazer o download do certificado para a WLC.
Para exportar o certificado do repositório de certificados, abra o navegador Internet Explorer e clique em Ferramentas > Opções da Internet.
Clique em Conteúdo > Certificados para ir para o repositório de certificados onde os certificados são instalados por padrão.
Os certificados do dispositivo são normalmente instalados na lista de certificados pessoais. Aqui, você deve ver o certificado instalado recentemente. Selecione o certificado e clique em Exportar.
Clique em Avançar nas janelas a seguir. Escolha a opção Sim, exportar a chave privada na janela Assistente para exportação de certificado. Clique em Next.
Escolha o formato do arquivo de exportação como .PFX e escolha a opção Ativar proteção forte. Clique em Next.
Na janela Senha, digite uma senha. Este exemplo usa cisco como senha.
Salve o arquivo de certificado (arquivo .PFX) no disco rígido. Clique em Avançar e conclua o processo de exportação com êxito.
Agora que o certificado do dispositivo WLC está disponível como um arquivo .PFX, a próxima etapa é baixar o arquivo para a controladora. As WLCs da Cisco aceitam certificados somente no formato .PEM. Portanto, é necessário primeiro converter o arquivo de formato .PFX ou PKCS12 em um arquivo PEM usando o programa openSSL.
Você pode copiar o certificado para qualquer computador em que o openSSL esteja instalado para convertê-lo no formato PEM. Insira estes comandos no arquivo Openssl.exe na pasta bin do programa openSSL:
Observação: você pode fazer o download do openSSL no site OpenSSL.
openssl>pkcs12 -in ciscowlc123.pfx -out ciscowlc123.pem !--- ciscowlc123 is the name used in this example for the exported file. !--- You can specify any name to your certificate file. Enter Import Password : cisco !--- This is the same password that is mentioned in step 16 of the previous section. MAC verified Ok Enter PEM Pass phrase : cisco !--- Specify any passphrase here. This example uses the PEM passphrase as cisco. Verifying - PEM pass phrase : cisco
O arquivo de certificado é convertido no formato PEM. A próxima etapa é baixar o certificado do dispositivo de formato PEM para a WLC.
Observação: antes disso, você precisa de um software de servidor TFTP no PC de onde o arquivo PEM será baixado. Este PC deve ter conectividade com a WLC. O servidor TFTP deve ter seu diretório atual e base especificado com o local onde o arquivo PEM está armazenado.
Este exemplo explica o processo de download através da CLI da WLC.
Faça login na CLI do controlador.
Insira o comando transfer download datatype eapdevcert.
Digite o comando transfer download serverip 10.77.244.196.
10.77.244.196 é o endereço IP do servidor TFTP.
Insira o comando transfer download filename ciscowlc.pem.
ciscowlc123.pem é o nome do arquivo usado neste exemplo.
Insira o comando transfer download certpassword para definir a senha do certificado.
Insira o comando transfer download start para exibir as configurações atualizadas.
Em seguida, responda y quando solicitado para confirmar as configurações atuais e iniciar o processo de download.
Este exemplo mostra a saída do comando download:
(Cisco Controller) >transfer download start Mode............................................. TFTP Data Type........................................ Vendor Dev Cert TFTP Server IP................................... 10.77.244.196 TFTP Packet Timeout.............................. 6 TFTP Max Retries................................. 10 TFTP Path........................................ TFTP Filename.................................... ciscowlc.pem This may take some time. Are you sure you want to start? (y/N) y TFTP EAP CA cert transfer starting. Certificate installed. Reboot the switch to use the new certificate. Enter the reset system command to reboot the controller. The controller is now loaded with the device certificate.
Digite o comando reset system para reinicializar o controlador. O controlador agora está carregado com o certificado do dispositivo.
Agora que o certificado do dispositivo está instalado na WLC, a próxima etapa é instalar o certificado raiz do PKI na WLC a partir do servidor de CA. Execute estas etapas:
Vá para http://<endereço IP do servidor CA>/certsrv do seu PC que tem uma conexão de rede com o servidor CA. Efetue login como administrador do servidor CA.
Clique em Baixar um certificado CA, uma cadeia de certificados ou uma CRL.
Na página resultante, você pode ver os certificados CA atuais disponíveis no servidor CA na caixa certificado CA. Escolha DER como o método de Codificação e clique em Baixar certificado CA.
Salve o certificado como um arquivo .cer. Este exemplo usa certnew.cer como o nome do arquivo.
A próxima etapa é converter o arquivo .cer no formato PEM e baixá-lo para o controlador. Para executar estas etapas, repita o mesmo procedimento explicado na seção Download do certificado do dispositivo para a WLC com estas alterações:
Os arquivos "-in" e "-out" do openSSL são certnew.cer e certnew.pem.
Além disso, nenhuma senha PEM ou senha de importação é necessária neste processo.
Além disso, o comando openSSL para converter o arquivo .cer para o arquivo .pem é:
x509 -in certnew.cer -informar DER -out certnew.pem -transformar PEM
Na etapa 2 da seção Download the Converted PEM Format Device Certificate to the WLC, o comando para baixar o certificado para a WLC é:
(Controlador Cisco)>transferir transferência tipo de dados eapcacert
O arquivo a ser baixado para a WLC é certnew.pem.
Você pode verificar se os certificados estão instalados na WLC a partir da GUI do controlador da seguinte maneira:
Na GUI da WLC, clique em Security. Na página Segurança, clique em Avançado > Certificados IPSec nas tarefas que aparecem à esquerda. Clique em Certificado CA para ver o certificado CA instalado. Aqui está o exemplo:
Para verificar se o certificado do dispositivo está instalado na WLC, na GUI da WLC, clique em Security. Na página Segurança, clique em Avançado > Certificados IPSec nas tarefas que aparecem à esquerda. Clique em ID Certificate para ver o certificado do dispositivo instalado. Aqui está o exemplo:
Agora que o certificado do dispositivo e o certificado CA estão instalados na WLC, a próxima etapa é gerar esses certificados para o cliente.
Execute estas etapas para gerar o certificado do dispositivo para o cliente. Este certificado será usado pelo cliente para autenticar na WLC. Este documento explica as etapas envolvidas na geração de certificados para o cliente profissional Windows XP.
Vá para http://<IP address of CA server>/certsrv do cliente que requer que o certificado seja instalado. Faça login como nome de domínio\nome de usuário no servidor CA. O nome de usuário deve ser o nome do usuário que está usando esta máquina XP e o usuário já deve estar configurado como parte do mesmo domínio do servidor CA.
Selecione Solicitar um certificado.
Na página Solicitar um certificado, clique em solicitação de certificado avançado.
Na página Solicitação de certificado avançado, clique em Criar e envie uma solicitação para esta CA. Isso o leva ao formulário de solicitação de certificado avançado.
No formulário de solicitação de certificado avançado, escolha Usuário no menu suspenso Modelo de certificado.
Na seção Opções principais, escolha estes parâmetros:
Insira o tamanho da chave no campo Tamanho da chave. Este exemplo usa 1024.
Marque a opção Mark Keys as Exportable (Marcar chaves como exportáveis).
Configure todos os outros campos necessários e clique em Enviar.
O certificado do dispositivo do cliente agora é gerado de acordo com a solicitação. Clique em Instalar o certificado para instalar o certificado no arquivo de certificados.
Você deve conseguir encontrar o certificado do dispositivo do cliente instalado na lista de certificados pessoais em Ferramentas > Opções da Internet > Conteúdo > Certificados no navegador IE do cliente.
O certificado do dispositivo para o cliente está instalado no cliente.
A próxima etapa é gerar o certificado CA para o cliente. Conclua estes passos do PC cliente:
Vá para http://<IP address of CA server>/certsrv do cliente que requer que o certificado seja instalado. Faça login como nome de domínio\nome de usuário no servidor CA. O nome de usuário deve ser o nome do usuário que está usando esta máquina XP e o usuário já deve estar configurado como parte do mesmo domínio do servidor CA.
Na página resultante, você pode ver os certificados CA atuais disponíveis no servidor CA na caixa certificado CA. Escolha Base 64 como o método de codificação. Em seguida, clique em Baixar certificado CA e salve o arquivo no PC do cliente como um arquivo .cer. Este exemplo usa rootca.cer como o nome do arquivo.
Em seguida, instale o certificado CA salvo no formato .cer no repositório de certificados do cliente. Clique duas vezes no arquivo rootca.cer e clique em Instalar certificado.
Clique em Avançar para importar o certificado do disco rígido do cliente para o repositório de certificados.
Escolha Selecionar automaticamente o arquivo de certificados com base no tipo de certificado e clique em Avançar.
Clique em Finish para concluir o processo de importação.
Por padrão, os certificados CA são instalados na lista Autoridades de Certificação de Raiz Confiáveis no navegador IE do cliente em Ferramentas > Opções da Internet > Conteúdo > Certificados. Aqui está o exemplo:
Todos os certificados necessários estão instalados na WLC, bem como no cliente para autenticação EAP-FAST Local EAP. A próxima etapa é configurar a WLC para autenticação EAP local.
Conclua estes passos a partir do modo GUI da WLC para configurar a autenticação EAP local na WLC:
Clique em Security > Local EAP.
Em Local EAP, clique em Profiles para configurar o perfil Local EAP.
Clique em Novo para criar um novo perfil EAP local.
Configure um nome para este perfil e clique em Aplicar. Neste exemplo, o nome do perfil é ldap. Isso leva você até os Perfis EAP locais criados na WLC.
Clique no perfil ldap recém-criado, que aparece no campo Nome do perfil da página Perfis EAP locais. Isso o leva à página Perfis EAP locais > Editar.
Configure os parâmetros específicos para este perfil na página Perfis EAP locais > Editar.
Escolha EAP-FAST como o método de autenticação EAP local.
Ative as caixas de seleção ao lado de Certificado local obrigatório e Certificado do cliente obrigatório.
Escolha Fornecedor como o Emissor de certificado porque este documento usa um servidor de CA de terceiros.
Ative a caixa de seleção ao lado de Verificar certificados CA para permitir que o certificado recebido do cliente seja validado em relação aos certificados CA no controlador.
Se você quiser que o nome comum (CN) no certificado de entrada seja validado em relação ao CN dos certificados CA no controlador, marque a caixa de seleção Verificar identidade do certificado CN. A configuração padrão está desabilitada. Para permitir que o controlador verifique se o certificado do dispositivo de entrada ainda é válido e não expirou, marque a caixa de seleção Verificar validade da data do certificado.
Observação: a validade da data do certificado é verificada em relação à hora UTC (GMT) atual configurada no controlador. O deslocamento de fuso horário é ignorado.
Clique em Apply.
O perfil EAP local com autenticação EAP-FAST é agora criado na WLC.
A próxima etapa é configurar parâmetros específicos EAP-FAST na WLC. Na página WLC Security, clique em Local EAP > EAP-FAST Parameters para ir para a página EAP-FAST Method Parameters.
Desmarque a caixa de seleção Provisionamento anônimo porque este exemplo explica o EAP-FAST usando certificados. Deixe todos os outros parâmetros em seus padrões. Clique em Apply.
Agora que a WLC está configurada com o perfil EAP local e informações relacionadas, a próxima etapa é configurar a WLC com detalhes do servidor LDAP. Conclua estes passos na WLC:
Na página Segurança da WLC, selecione AAA > LDAP no painel de tarefas do lado esquerdo para ir para a página de configuração do servidor LDAP. Para adicionar um servidor LDAP, clique em Novo. A página LDAP Servers (Servidores LDAP) > New (Novo) é exibida.
Na página LDAP Servers Edit, especifique os detalhes do servidor LDAP, como endereço IP do servidor LDAP, número de porta, status Enable Server e assim por diante.
Selecione um número na caixa suspensa Índice do servidor (prioridade) para especificar a ordem de prioridade deste servidor em relação a qualquer outro servidor LDAP configurado. É possível configurar até dezessete servidores. Se o controlador não puder acessar o primeiro servidor, ele tentará o segundo da lista e assim por diante.
Digite o endereço IP do servidor LDAP no campo Endereço IP do servidor.
Digite o número da porta TCP do servidor LDAP no campo Número da porta. O intervalo válido é de 1 a 65535, e o valor padrão é 389.
No campo User Base DN (Nome diferenciado da base de usuários), digite o nome diferenciado (DN) da subárvore do servidor LDAP que contém uma lista de todos os usuários. Por exemplo, ou=organizational unit, .ou=next organizational unit e o=corporation.com. Se a árvore contendo usuários for o DN base, insira o=corporation.com ou dc=corporation, dc=com.
Neste exemplo, o usuário está localizado no ldapuser da unidade organizacional (OU) que, por sua vez, é criado como parte do domínio Wireless.com.
O DN base do usuário deve apontar o caminho completo onde as informações do usuário (credencial do usuário de acordo com o método de autenticação EAP-FAST) estão localizadas. Neste exemplo, o usuário está localizado na base DN OU=ldapuser, DC=Wireless, DC=com.
Mais detalhes sobre o OU, bem como a configuração do usuário, são explicados na seção Criando usuários no Controlador de Domínio deste documento.
No campo User Attribute (Atributo de usuário), digite o nome do atributo no registro do usuário que contém o nome de usuário.
No campo User Object Type (Tipo de objeto de usuário), insira o valor do atributo objectType do LDAP que identifica o registro como um usuário. Frequentemente, os registros de usuário têm diversos valores para o atributo objectType, sendo que alguns são exclusivos e outros são compartilhados com diversos tipos de objeto.
Observação: você pode obter o valor desses dois campos do servidor de diretório com o utilitário de navegador LDAP, que faz parte das ferramentas de suporte do Windows 2003. Essa ferramenta do navegador LDAP da Microsoft denomina-se LDP. Com a ajuda dessa ferramenta, você pode conhecer os campos DN base do usuário, Atributo do usuário e Tipo de objeto do usuário desse usuário específico. Informações detalhadas sobre como usar o LDP para conhecer esses atributos específicos do usuário são discutidas na seção Uso do LDP para identificar os atributos do usuário deste documento.
Escolha Secure na caixa suspensa Server Mode (Modo de servidor) se quiser que todas as transações LDAP usem um túnel TLS seguro. Caso contrário, escolha Nenhum, que é a configuração padrão.
No campo Limite de tempo do servidor, digite o número de segundos entre as retransmissões. O intervalo válido é de 2 a 30 segundos, e o valor padrão é de 2 segundos.
Marque a caixa de seleção Enable Server Status (Habilitar status do servidor) para habilitar este servidor LDAP ou desmarque-a para desabilitá-lo. O valor padrão é desativado.
Clique em Apply (Aplicar) para confirmar as alterações.
Aqui está um exemplo já configurado com estas informações:
Agora que os detalhes sobre o servidor LDAP estão configurados na WLC, a próxima etapa é configurar o LDAP como o banco de dados de backend de prioridade para que a WLC procure primeiro no banco de dados LDAP as credenciais do usuário em vez de qualquer outro banco de dados.
Conclua estes passos na WLC para configurar o LDAP como o banco de dados de backend de prioridade:
Na página Segurança, clique em Local EAP > Authentication Priority (EAP local > Prioridade de autenticação). Na página Ordem de prioridade > Autenticação local, você pode encontrar dois bancos de dados (Local e LDAP) que podem armazenar as credenciais do usuário.
Para tornar LDAP o banco de dados de prioridade, escolha LDAP na caixa de credenciais de usuário do lado esquerdo e clique no > para mover LDAP para a caixa de ordem de prioridade no lado direito.
Este exemplo ilustra claramente que o LDAP é escolhido na caixa do lado esquerdo e o botão > é selecionado. Como resultado, o LDAP é movido para a caixa no lado direito que decide a prioridade. O banco de dados LDAP é escolhido como o banco de dados de prioridade de autenticação.
Clique em Apply.
Observação: se o LDAP e o LOCAL aparecerem na caixa Credenciais do usuário correto com o LDAP na parte superior e o LOCAL na parte inferior, o EAP local tentará autenticar clientes usando o banco de dados de backend LDAP e fará failover para o banco de dados de usuário local se os servidores LDAP não puderem ser alcançados. Se o usuário não for encontrado, a tentativa de autenticação será rejeitada. Se LOCAL estiver no topo, o EAP local tentará autenticar usando apenas o banco de dados de usuário local. Ele não faz failover para o banco de dados de back-end LDAP.
A última etapa na WLC é configurar uma WLAN que use o EAP local como seu método de autenticação com o LDAP como seu banco de dados de back-end. Execute estas etapas:
No menu principal do controlador, clique em WLANs para ir para a página de configuração de WLANs. Na página WLANs, clique em New para criar uma nova WLAN. Este exemplo cria um novo ldap WLAN.
Clique em Apply A próxima etapa é configurar os parâmetros da WLAN na página WLANs > Edit .
Na página de edição de WLAN, ative o status desta WLAN. Configure todos os outros parâmetros necessários.
Clique em Segurança para configurar os parâmetros relacionados à segurança para esta WLAN. Este exemplo usa a segurança da camada 2 como 802.1x com WEP dinâmica de 104 bits.
Observação: este documento usa 802.1x com WEP dinâmico como exemplo. É recomendável usar métodos de autenticação mais seguros, como WPA/ WPA2.
Na página de configuração de segurança de WLAN, clique na guia servidores AAA. Na página de servidores AAA, ative o método Local EAP Authentication e escolha ldap na caixa suspensa que corresponde ao parâmetro EAP Profile Name. Este é o perfil EAP local criado neste exemplo.
Escolha o servidor LDAP (que foi configurado anteriormente na WLC) na caixa suspensa . Certifique-se de que o servidor LDAP esteja acessível na WLC.
Clique em Apply.
O novo ldaphas da WLAN foi configurado na WLC. Essa WLAN autentica clientes com Autenticação EAP Local (EAP-FAST neste caso) e consulta um banco de dados back-end LDAP para validação de credencial de cliente.
Agora que o EAP local está configurado na WLC, a próxima etapa é configurar o servidor LDAP que serve como um banco de dados de back-end para autenticar os clientes sem fio após a validação de certificado bem-sucedida.
A primeira etapa na configuração do servidor LDAP é criar um banco de dados de usuário no servidor LDAP para que a WLC possa consultar esse banco de dados para autenticar o usuário.
Neste exemplo, um novo ldapuser de OU é criado e o usuário user2 é criado sob esta OU. Ao configurar esse usuário para acesso LDAP, a WLC pode consultar esse banco de dados LDAP para autenticação de usuário.
O domínio usado neste exemplo é wireless.com.
Esta seção explica como criar uma nova UO no domínio e criar um novo usuário nessa UO.
No controlador de domínio, clique em Iniciar > Programas > Ferramentas Administrativas > Usuários e Computadores do Ative Diretory para iniciar o console de gerenciamento Usuários e Computadores do Ative Diretory.
Clique com o botão direito do mouse no seu nome de domínio (wireless.com, neste exemplo) e selecione New > Organizational Unit no menu de contexto para criar uma nova OU.
Atribua um nome a esta OU e clique em OK.
Agora que o novo ldapuser de OU é criado no servidor LDAP, a próxima etapa é criar o usuário user2 nesta OU. Para isso, siga estas etapas:
Clique com o botão direito do mouse na nova OU criada. Selecione Novo > Usuário nos menus de contexto resultantes para criar um novo usuário.
Na página Configuração do usuário, preencha os campos obrigatórios conforme mostrado neste exemplo. Este exemplo tem user2 como o nome de logon do usuário.
Esse é o nome de usuário que será verificado no banco de dados LDAP para autenticar o cliente. Este exemplo usa abcd como Nome e Sobrenome. Clique em Next.
Digite uma senha e confirme-a. Selecione a opção A senha nunca expira e clique em Avançar.
Clique em Finish.
Um novo usuário user2 é criado no ldapuser OU. As credenciais do usuário são:
nome de usuário: usuário2
senha: Laptop123
Agora que o usuário sob uma OU é criado, a próxima etapa é configurar esse usuário para acesso LDAP.
Execute as etapas nesta seção para configurar um usuário para acesso LDAP.
Para que qualquer aplicativo de terceiros acesse o Windows 2003 AD no LDAP, o recurso Anonymous Bind (Vinculação anônima) deve ser ativado no Windows 2003. Por padrão, operações anônimas LDAP não são permitidas nos controladores de domínio do Windows 2003.
Execute estas etapas para ativar o recurso Anonymous Bind:
Inicie a ferramenta ADSI Edit no local Start > Run > Type: ADSI Edit.msc. Esta ferramenta faz parte das ferramentas de suporte do Windows 2003.
Na janela ADSI Edit, expanda o domínio de raiz (Configuration [tsweb-lapt.Wireless.com]).
Expanda CN=Services > CN=Windows NT > CN=Diretory Service. Clique com o botão direito do mouse no contêiner CN=Diretory Service e selecione propriedades no menu de contexto.
Na janela CN=Diretory Service Properties, clique no atributo dsHeuristics no campo Attribute e escolha Edit. Na janela Editor de atributos de string deste atributo, insira o valor 000002 e clique em Aplicar e OK. O recurso Anonymous Bind (Vinculação anônima) está ativado no servidor Windows 2003.
Observação: o último (sétimo) caractere é aquele que controla a maneira como você pode se vincular ao serviço LDAP. "0" ou nenhum sétimo caractere significa que as operações LDAP anônimas estão desabilitadas. A definição do sétimo caractere para "2" habilita o recurso Anonymous Bind.
Nota: se este atributo já contiver um valor, certifique-se de que está alterando apenas o sétimo caractere da esquerda. Este é o único caractere que precisa ser alterado para ativar os enlaces anônimos. Por exemplo, se o valor atual for "0010000", será necessário alterá-lo para "0010002". Se o valor atual for inferior a sete caracteres, será necessário colocar zeros nos locais não usados: "001" será "0010002".
A próxima etapa é conceder acesso LOGON ANÔNIMO ao usuário2. Siga estas etapas para realizar essa ação:
Abra Usuários e computadores do Active Directory.
Verifique se View Advanced Features está marcada.
Navegue até o usuário user2 e clique com o botão direito do mouse nele. Selecione Propriedades no menu de contexto. Esse usuário é identificado com o nome "abcd".
Vá para Segurança na janela Propriedades do abcd.
Clique em Adicionar na janela resultante.
Insira LOGON ANÔNIMO na caixa Inserir os nomes dos objetos a serem selecionados e confirmar a caixa de diálogo.
Na ACL, você observará que LOGON ANONYMOUS tem acesso a alguns conjuntos de propriedades do usuário. Click OK. O acesso ANONYMOUS LOGON é concedido a este usuário.
A próxima etapa é conceder ao menos Listar Conteúdo permissão para o LOGON ANONYMOUS na OU em que o usuário está localizado. Neste exemplo, "user2" está localizado no "ldapuser" da OU. Siga estas etapas para realizar essa ação:
Em Usuários e Computadores do Ative Diretory, clique com o botão direito do mouse no usuário do OU ldapuser e escolha Propriedades.
Clique em Segurança e em Avançado.
Clique em Add. Na caixa de diálogo que é aberta, digite LOGON ANÔNIMO.
Reconheça o diálogo. Isso abre uma nova janela de diálogo.
Na caixa suspensa Aplicar em, selecione Este objeto somente e ative a caixa de seleção Listar Conteúdo Permitir.
Essa ferramenta GUI é um cliente LDAP que permite que os usuários executem operações (como conectar, vincular, pesquisar, modificar, adicionar, excluir) em qualquer diretório compatível com LDAP, como o Ative Diretory. O LDP é usado para exibir objetos armazenados no Ative Diretory junto com seus metadados, como descritores de segurança e metadados de replicação.
A ferramenta GUI do LDP é incluída quando você instala as Ferramentas de Suporte do Windows Server 2003 no CD do produto. Esta seção explica o uso do utilitário LDP para identificar os atributos específicos associados ao usuário user2. Alguns desses atributos são usados para preencher os parâmetros de configuração do servidor LDAP no WLC, como tipo de atributo de usuário e tipo de objeto de usuário.
No servidor Windows 2003 (mesmo no mesmo servidor LDAP), clique em Iniciar > Executar e digite LDP para acessar o navegador LDP.
Na janela principal do LDP, clique em Conexão > Conectar e conecte-se ao servidor LDAP inserindo o endereço IP do servidor LDAP.
Depois de conectado ao servidor LDAP, selecione View no menu principal e clique em Tree.
Na janela resultante Visualização em árvore, insira o BaseDN do usuário. Neste exemplo, user2 está localizado sob o "ldapuser" da OU no domínio Wireless.com. Portanto, o BaseDN para o usuário user2 é OU=ldapuser, dc=wireless, dc=com. Click OK.
O lado esquerdo do navegador LDP exibe a árvore inteira que aparece em BaseDN (OU=ldapuser, dc=wireless, dc=com). Expanda a árvore para localizar o usuário user2. Esse usuário pode ser identificado com o valor de CN que representa o nome do usuário. Neste exemplo, é CN=abcd. Clique duas vezes em CN=abcd. No painel do lado direito do navegador LDP, o LDP exibirá todos os atributos associados ao usuário2. Este exemplo explica esta etapa:
Neste exemplo, observe os campos cercados à direita.
Conforme mencionado na seção Configurar WLC com Detalhes do Servidor LDAP deste documento, no campo Atributo do usuário, insira o nome do atributo no registro do usuário que contém o nome do usuário.
A partir desta saída LDP, você pode ver que sAMAccountName é um atributo que contém o nome de usuário "user2". Portanto, insira o atributo sAMAccountName que corresponde ao campo User Attribute no WLC.
No campo User Object Type (Tipo de objeto de usuário), insira o valor do atributo objectType do LDAP que identifica o registro como um usuário. Frequentemente, os registros de usuário têm diversos valores para o atributo objectType, sendo que alguns são exclusivos e outros são compartilhados com diversos tipos de objeto.
Na saída do LDP, CN=Pessoa é um valor que identifica o registro como um usuário. Portanto, especifique Pessoa como o atributo Tipo de Objeto do Usuário na WLC.
A última etapa é configurar o cliente sem fio para autenticação EAP-FAST com certificados de cliente e servidor. Siga estas etapas para realizar essa ação:
Inicie o Cisco Aironet Desktop Utility (ADU). Na janela principal do ADU, clique em Profile Management > New para criar um novo perfil de cliente sem fio.
Especifique um nome de perfil e atribua um nome SSID a este perfil. Esse nome SSID deve ser o mesmo configurado na WLC. Neste exemplo, o nome SSID é ldap.
Clique na guia Segurança e escolha 802.1x/EAP como a Segurança de Camada 2. Escolha EAP-FAST como o método EAP e clique em Configurar.
Na página de configuração EAP-FAST, escolha TLS Client Certificate na caixa suspensa EAP-FAST Authentication Method e clique em Configure.
Na janela de configuração do certificado do cliente TLS:
Ative a caixa de seleção Validate Server Identity e selecione o certificado CA instalado no cliente (explicado na seção Generate the Root CA certificate for the Client deste documento) como a Trusted Root Certification Authority.
Selecione o certificado do dispositivo instalado no cliente (explicado na seção Gerar um certificado do dispositivo para o cliente deste documento) como o certificado do cliente.
Click OK.
Este exemplo explica esta etapa:
O perfil do cliente sem fio é criado.
Execute estas etapas para verificar se sua configuração funciona corretamente.
Ative o SSID ldap no ADU.
Clique em Sim ou OK conforme necessário nas próximas janelas. Você deve ser capaz de ver todas as etapas da autenticação do cliente, bem como a associação, para ser bem-sucedido no ADU.
Use esta seção para confirmar se a sua configuração funciona corretamente. Use o modo CLI da WLC.
Para verificar se a WLC pode se comunicar com o servidor LDAP e localizar o usuário, especifique o comando debug aaa ldap enable na CLI da WLC. Este exemplo explica um processo LDAP de comunicação bem-sucedido:
Observação: parte da saída desta seção foi movida para as segunda linhas devido à consideração de espaço.
(Controlador Cisco) >debug aaa ldap enable
Sun Jan 27 09:23:46 2008: AuthenticationRequest: 0xba96514 Sun Jan 27 09:23:46 2008: Callback.....................................0x8 344900 Sun Jan 27 09:23:46 2008: protocolType.................................0x0 0100002 Sun Jan 27 09:23:46 2008: proxyState...................................00: 40:96:AC:E6:57-00:00 Sun Jan 27 09:23:46 2008: Packet contains 2 AVPs (not shown) Sun Jan 27 09:23:46 2008: ldapTask [1] received msg 'REQUEST' (2) in state 'IDLE' (1) Sun Jan 27 09:23:46 2008: LDAP server 1 changed state to INIT Sun Jan 27 09:23:46 2008: ldapInitAndBind [1] called lcapi_init (rc = 0 - Success) Sun Jan 27 09:23:46 2008: ldapInitAndBind [1] called lcapi_bind (rc = 0 - Success) Sun Jan 27 09:23:46 2008: LDAP server 1 changed state to CONNECTED Sun Jan 27 09:23:46 2008: LDAP server 1 now active Sun Jan 27 09:23:46 2008: LDAP_CLIENT: UID Search (base=OU=ldapuser,DC=wireless, DC=com, pattern=(&(objectclass=Person)(sAMAccountName=user2))) Sun Jan 27 09:23:46 2008: LDAP_CLIENT: Returned msg type 0x64 Sun Jan 27 09:23:46 2008: ldapAuthRequest [1] called lcapi_query base="OU=ldapus er,DC=wireless,DC=com" type="Person" attr="sAMAccountName" user="user2" (rc = 0 - Success) Sun Jan 27 09:23:46 2008: LDAP ATTR> dn = CN=abcd,OU=ldapuser,DC=Wireless,DC=com (size 38) Sun Jan 27 09:23:46 2008: Handling LDAP response Success
A partir das informações destacadas nesta saída de depuração, fica claro que o servidor LDAP é consultado pela WLC com os atributos de usuário especificados na WLC e que o processo LDAP é bem-sucedido.
Para verificar se a autenticação EAP local foi bem-sucedida, especifique o comando debug aaa local-auth eap method events enable na CLI da WLC. Aqui está um exemplo:
(Controlador Cisco) > debug aaa local-auth method events enable
Sun Jan 27 09:38:28 2008: eap_fast.c-EVENT: New context (EAP handle = 0x1B000009) Sun Jan 27 09:38:28 2008: eap_fast.c-EVENT: Allocated new EAP-FAST context (handle = 0x22000009) Sun Jan 27 09:38:28 2008: eap_fast_auth.c-AUTH-EVENT: Process Response (EAP handle = 0x1B000009) Sun Jan 27 09:38:28 2008: eap_fast_auth.c-AUTH-EVENT: Received Identity Sun Jan 27 09:38:28 2008: eap_fast_tlv.c-AUTH-EVENT: Adding PAC A-ID TLV (436973636f0000000000000000000000) Sun Jan 27 09:38:28 2008: eap_fast_auth.c-AUTH-EVENT: Sending Start Sun Jan 27 09:38:29 2008: eap_fast.c-AUTH-EVENT: Process Response, type: 0x2b Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Process Response (EAP handle = 0x1B000009) Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Received TLS record type: Handshake in state: Start Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Local certificate found Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Reading Client Hello handshake Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: TLS_DHE_RSA_AES_128_CBC_SHA proposed... Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT: Proposed ciphersuite(s): Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT: TLS_DHE_RSA_WITH_AES_128_CBC_SHA Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT: TLS_RSA_WITH_AES_128_CBC_SHA Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT: TLS_RSA_WITH_RC4_128_SHA Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT: Selected ciphersuite: Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT: TLS_DHE_RSA_WITH_AES_128_CBC_SHA Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Building Provisioning Server Hello Sun Jan 27 09:38:29 2008: eap_fast_crypto.c-EVENT: Starting Diffie Hellman phase 1 ... Sun Jan 27 09:38:30 2008: eap_fast_crypto.c-EVENT: Diffie Hellman phase 1 complete Sun Jan 27 09:38:30 2008: eap_fast_auth.c-AUTH-EVENT: DH signature length = 128 Sun Jan 27 09:38:30 2008: eap_fast_auth.c-AUTH-EVENT: Sending Provisioning Serving Hello Sun Jan 27 09:38:30 2008: eap_fast.c-EVENT: Tx packet fragmentation required Sun Jan 27 09:38:30 2008: eap_fast.c-AUTH-EVENT: eap_fast_rx_packet(): EAP Fast NoData (0x2b) Sun Jan 27 09:38:30 2008: eap_fast.c-AUTH-EVENT: eap_fast_rx_packet(): EAP Fast NoData (0x2b) Sun Jan 27 09:38:30 2008: eap_fast.c-AUTH-EVENT: eap_fast_rx_packet(): EAP Fast NoData (0x2b) Sun Jan 27 09:38:32 2008: eap_fast.c-AUTH-EVENT: Process Response, type: 0x2b Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Reassembling TLS record Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Sending EAP-FAST Ack ............................................................................ .............................................................................. .............................................................................. Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: Received TLS record type: Handshake in state: Sent provisioning Server Hello Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: Reading Client Certificate handshake Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Added certificate 1 to chain Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Added certificate 2 to chain Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Successfully validated received certificate Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: Rx'd I-ID: "EAP-FAST I-ID" from Peer Cert Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: Reading Client Key Exchange handshake Sun Jan 27 09:38:32 2008: eap_fast_crypto.c-EVENT: Starting Diffie Hellman phase 2 ... Sun Jan 27 09:38:32 2008: eap_fast_crypto.c-EVENT: Diffie Hellman phase 2 complete. Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: Reading Client Certificate Verify handshake Sun Jan 27 09:38:32 2008: eap_fast_crypto.c-EVENT: Sign certificate verify succeeded (compare) ............................................................................................ ............................................................................................ ............................................................................................ .............................................................................................
O comando debug aaa local-auth db enable também é muito útil. Aqui está um exemplo:
(Controlador Cisco) > debug aaa local-auth db enable
Sun Jan 27 09:35:32 2008: LOCAL_AUTH: EAP: Received an auth request Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Creating new context Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Local auth profile name for context 'ldapuser' Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Created new context eap session handle fb000007 Sun Jan 27 09:35:32 2008: LOCAL_AUTH: (EAP:8) Sending the Rxd EAP packet (id 2) to EAP subsys Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Found matching context for id - 8 Sun Jan 27 09:35:32 2008: LOCAL_AUTH: (EAP) Sending user credential request username 'user2' to LDAP Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Found context matching MAC address - 8 ........................................................................................ ........................................................................................ ........................................................................................ ........................................................................................ Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) Sending the Rxd EAP packet (id 12) to EAP subsys Sun Jan 27 09:35:36 2008: LOCAL_AUTH: Found matching context for id - 8 Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) ---> [KEY AVAIL] send_len 64, recv_len 0 Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) received keys waiting for success Sun Jan 27 09:35:36 2008: LOCAL_AUTH: Found matching context for id - 8 Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) Received success event Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) Processing keys success
Para visualizar os certificados instalados na WLC a serem usados para autenticação local, emita o comando show local-auth certificate na CLI da WLC. Aqui está um exemplo:
(Controlador Cisco) >show local-auth certificate
Certificates available for Local EAP authentication: Certificate issuer .............................. vendor CA certificate: Subject: DC=com, DC=Wireless, CN=wireless Issuer: DC=com, DC=Wireless, CN=wireless Valid: 2008 Jan 23rd, 15:50:27 GMT to 2013 Jan 23rd, 15:50:27 GMT Device certificate: Subject: O=cisco, CN=ciscowlc123 Issuer: DC=com, DC=Wireless, CN=wireless Valid: 2008 Jan 24th, 12:18:31 GMT to 2010 Jan 23rd, 12:18:31 GMT Certificate issuer .............................. cisco CA certificate: Subject: O=Cisco Systems, CN=Cisco Manufacturing CA Issuer: O=Cisco Systems, CN=Cisco Root CA 2048 Valid: 2005 Jun 10th, 22:16:01 GMT to 2029 May 14th, 20:25:42 GMT Device certificate: Not installed.
Para visualizar a configuração de autenticação local na WLC a partir do modo CLI, execute o comando show local-auth config. Aqui está um exemplo:
(Controlador Cisco) >show local-auth config
User credentials database search order: Primary ..................................... LDAP Timer: Active timeout .............................. 300 Configured EAP profiles: Name ........................................ ldapuser Certificate issuer ........................ vendor Peer verification options: Check against CA certificates ........... Enabled Verify certificate CN identity .......... Disabled Check certificate date validity ......... Disabled EAP-FAST configuration: Local certificate required .............. Yes Client certificate required ............. Yes Enabled methods ........................... fast Configured on WLANs ....................... 2 EAP Method configuration: EAP-FAST: --More-- or (q)uit Server key ................................ <hidden> TTL for the PAC ........................... 10 Anonymous provision allowed ............... No ............................................. ............................................. Authority Information ..................... Cisco A-ID
Você pode usar estes comandos para solucionar problemas de sua configuração:
debug aaa local-auth eap method events enable
debug aaa all enable
debug dot1x packet enable