Autenticação de EAP local no controlador do Wireless LAN com exemplo de configuração EAP-FAST e do servidor ldap

Introdução

Este documento explica como configurar o Extensible Authentication Protocol (EAP) - autenticação flexível através da autenticação de EAP local (RÁPIDA) segura do Tunelamento em um controlador do Wireless LAN (WLC). Este documento também explica como configurar o servidor de Lightweight Directory Access Protocol (LDAP) como um banco de dados de backend para EAP Local para retornar as credenciais de usuários e autenticar o usuário.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco 4400 Series WLC que executa o firmware 4.2

• Access point de pouco peso da série do Cisco Aironet 1232AG (REGAÇO)

• Server de Microsoft Windows 2003 configurado como o controlador de domínio, o server do servidor ldap assim como do Certificate Authority.

• Adaptador cliente do a/b/g do 802.11 do Cisco Aironet que executa a versão de firmware 4.2

• Utilitário de desktop do Cisco Aironet (ADU) essa versão de firmware 4.2 das corridas

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

A autenticação de EAP local em controladores do Wireless LAN foi introduzida com versão 4.1.171.0 do controlador do Wireless LAN.

O EAP local é um método de autenticação que permita os usuários e os clientes Wireless a ser autenticados localmente no controlador. É projetado para o uso nos escritórios remotos que querem manter a Conectividade aos clientes Wireless quando o sistema backend se torna interrompido ou o servidor de autenticação externa vai para baixo. Quando você permite o EAP local, o controlador serve como o Authentication Server e a base de dados de usuário local, assim que remove a dependência em um servidor de autenticação externa. O EAP local recupera credenciais do usuário da base de dados de usuário local ou do base de dados da parte posterior LDAP para autenticar usuários. Os apoios locais EAP autenticação PULAM, EAP-FAST, do EAP-TLS, P EAPv0/MSCHAPv2, e PEAPv1/GTC entre o controlador e os clientes Wireless.

O EAP local pode usar um servidor ldap como seu base de dados backend para recuperar credenciais do usuário.

Um base de dados da parte posterior LDAP permite que o controlador pergunte um servidor ldap para as credenciais (nome de usuário e senha) de um usuário particular. Estas credenciais são usadas então para autenticar o usuário.

Os apoios de base de dados da parte posterior LDAP estes métodos de EAP locais:

• EAP-FAST/GTC

• EAP-TLS

• PEAPv1/GTC.

O PULO, EAP-FAST/MSCHAPv2, e PEAPv0/MSCHAPv2 estão apoiados igualmente, mas somente se o servidor ldap se estabelece para retornar uma senha de texto sem formatação. Por exemplo, o microsoft ative directory não é apoiado porque não retorna uma senha de texto sem formatação. Se o servidor ldap não pode ser configurado para retornar uma senha de texto sem formatação, o PULO, EAP-FAST/MSCHAPv2, e PEAPv0/MSCHAPv2 não estão apoiados.

Nota: Se algum servidor Radius é configurado no controlador, o controlador tenta autenticar os clientes Wireless que usam os servidores Radius primeiramente. O EAP local é tentado somente se nenhum servidor Radius é encontrado, tampouco porque os servidores Radius cronometrados para fora ou nenhum servidor Radius foi configurado. Se quatro servidores Radius são configurados, o controlador tenta autenticar o cliente com o primeiro servidor Radius, então o segundo servidor Radius, e então EAP local. Se as tentativas do cliente de reauthenticate então manualmente, o controlador tentam o terceiro servidor Radius, então o quarto servidor Radius, e então o EAP local.

Este exemplo usa EAP-FAST como o método de EAP local no WLC, que é configurado por sua vez para perguntar o base de dados da parte posterior LDAP para credenciais do usuário de um cliente Wireless.

Configurar

Este documento usa EAP-FAST com os Certificados no cliente e no lado de servidor. Para isto, a instalação usa o server de Microsoft Certificate Authority (CA) para gerar os Certificados de cliente e servidor.

As credenciais do usuário são armazenadas no servidor ldap de modo que na validação certificada bem sucedida, o controlador pergunte o servidor ldap a fim recuperar as credenciais do usuário e autentique o cliente Wireless.

Este documento supõe que estas configurações são já no lugar:

• UM REGAÇO é registrado ao WLC. Refira o registro de pouco peso AP (REGAÇO) a um controlador do Wireless LAN (WLC) para obter mais informações sobre do processo de registro.

• Um servidor DHCP é configurado para atribuir um endereço IP de Um ou Mais Servidores Cisco ICM NT aos clientes Wireless.

• O server de Microsoft Windows 2003 é configurado como o controlador de domínio assim como o server de CA. Este exemplo usa wireless.com como o domínio.

  Refira configurar Windows 2003 como um controlador de domínio para obter mais informações sobre de configurar um server de Windows 2003 como um controlador de domínio.

  Consulte para instalar e configurar o server de Microsoft Windows 2003 como um server do Certificate Authority (CA) a fim configurar o server de Windows 2003 como o server de CA da empresa.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Configurações

Termine estas etapas a fim executar esta configuração:

• Configurar EAP-FAST como o método de autenticação de EAP local no WLC

• Configurar o servidor ldap

• Configurar o cliente Wireless

Configurar EAP-FAST como o método de autenticação de EAP local no WLC

Como mencionado mais cedo, este documento usa EAP-FAST com os Certificados no cliente e no lado de servidor como o método de autenticação de EAP local. A primeira etapa é transferir e instalar os seguintes Certificados ao server (WLC, neste caso) e ao cliente.

O WLC e o cliente cada necessidade estes Certificados de ser transferido do server de CA:

• Certificado do dispositivo (um para o WLC e um para o cliente)

• Certificado de raiz do Public Key Infrastructure (PKI) para o WLC, e certificado de CA para o cliente

Gerencia um certificado do dispositivo para o WLC

Execute estas etapas a fim gerar um certificado do dispositivo para o WLC do server de CA. Este certificado do dispositivo é usado pelo WLC para autenticar ao cliente.

1. Vá a http:// < ao endereço IP de Um ou Mais Servidores Cisco ICM NT de CA server>/certsrv de seu PC que tem uma conexão de rede ao server de CA. Entre como o administrador do server de CA.

   

2. Selecione o pedido um certificado.

   

3. No pedido uma página do certificado, clica pedido do certificado avançado.

   

4. Na página avançada do pedido do certificado, o clique cria e submete um pedido a este CA. Isto toma-o ao formulário de requisição de certificado avançado.

   

5. No formulário de requisição de certificado avançado, escolha o servidor de Web como o molde de certificado. Então, especifique um nome a este certificado do dispositivo.

   Este os exemplos usam o nome do certificado como ciscowlc123. Preencha a outra informação de identificação conforme sua exigência.

6. Sob as opções chaves secione, selecione as chaves de Mark como a Opção exportável. Às vezes, esta opção particular será desabilitada para fora e não pode ser permitida ou desabilitado se você escolhe um molde do servidor de Web. Nesses casos, clique para trás do menu do navegador para ir uma parte traseira da página e para vir outra vez para trás a esta página. Esta vez Mark fecha enquanto a Opção exportável deve estar disponível.

   

7. Configurar todos os campos necessários restantes e o clique submete-se.

   

8. Clique sim na próxima janela a fim permitir o processo do pedido do certificado.

   

9. O indicador emitido certificado aparece que indica um processo bem sucedido do pedido do certificado. A próxima etapa é instalar o certificado emitido à loja do certificado deste PC. Clique em Instalar este certificado.

   

10. O certificado novo é instalado com sucesso ao PC de onde o pedido é gerado ao server de CA.

    

11. A próxima etapa é exportar este certificado da loja do certificado para o disco rígido como um arquivo. Este arquivo certificado será usado mais tarde para transferir o certificado ao WLC.

    A fim exportar o certificado da loja do certificado, abra o navegador do internet Explorer, a seguir clique ferramentas > opções de internet.

    

12. Clique o índice > os Certificados a fim ir à loja do certificado onde os Certificados são instalados à revelia.

    

13. Os Certificados do dispositivo são instalados geralmente sob a lista do certificado pessoal. Aqui, você deve ver o certificado recentemente instalado. Selecione o certificado e clique a exportação.

    

14. Clique em seguida nos seguintes indicadores. Escolha o Yes, exporte a opção da chave privada no wizard do assistente da exportação do certificado. Clique em Next.

    

15. Escolha o formato do arquivo da exportação como o .PFX e escolha a opção de proteção forte da possibilidade. Clique em Next.

    

16. Na janela de senha, incorpore uma senha. Este exemplo usa Cisco como a senha.

    

17. Salvar o arquivo certificado (arquivo do .PFX) a seu disco rígido. Clique em seguida e termine o processo da exportação com sucesso.

    

    

Transferindo o certificado do dispositivo no WLC

Agora que o certificado do dispositivo WLC está disponível como um arquivo do .PFX, a próxima etapa é transferir o arquivo ao controlador. Cisco WLC aceita Certificados somente no formato do .PEM. Consequentemente, você precisa de converter primeiramente o erro de arquivo do .PFX ou do PKCS12 a um arquivo PEM usando o programa do OpenSSL.

Converta o certificado em PFX ao formato PEM usando o programa do OpenSSL

Você pode copiar o certificado a todo o PC onde você tem o OpenSSL instalado para o converter ao formato PEM. Incorpore estes comandos no arquivo Openssl.exe ao dobrador do escaninho do programa do OpenSSL:

Nota: Você pode transferir o OpenSSL do Web site do OpenSSL.

openssl>pkcs12 -in ciscowlc123.pfx  -out ciscowlc123.pem


!--- ciscowlc123 is the name used in this example for the exported file. !--- You can specify any name to your certificate file.
 
Enter Import Password : cisco

!--- This is the same password that is mentioned in step 16 of the previous section.

 MAC verified Ok
 Enter PEM Pass phrase   :  cisco

!--- Specify any passphrase here. This example uses the PEM passphrase as cisco.

 Verifying - PEM pass phrase : cisco

O arquivo certificado é convertido ao formato PEM. A próxima etapa é transferir o certificado do dispositivo de formatação PEM ao WLC.

Nota: Antes isso, você precisa um software do servidor de TFTP em seu PC de onde o arquivo PEM está indo ser transferido. Este PC deve ter a Conectividade ao WLC. O servidor TFTP deve ter seu diretório atual e baixo especificado com o lugar onde o arquivo PEM é armazenado.

Transfira o certificado convertido do dispositivo de formatação PEM ao WLC

Este exemplo explica o processo da transferência com o CLI do WLC.

1. Início de uma sessão ao controlador CLI.

2. Incorpore o comando do eapdevcert do datatype da transferência de transferência.

3. Incorpore o comando de 10.77.244.196 do serverip da transferência de transferência.

   10.77.244.196 é o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor TFTP.

4. Incorpore o comando do nome de arquivo ciscowlc.pem da transferência de transferência.

   ciscowlc123.pem é o nome de arquivo usado neste exemplo.

5. Incorpore o comando do certpassword da transferência de transferência ajustar a senha para o certificado.

6. Inscreva o comando transfer download start ver os ajustes actualizados.

   Então, resposta y quando alertado para confirmar as configurações atual e para começar o processo da transferência.

   Este exemplo mostra o comando download output:

   (Cisco Controller) >transfer download start
   
   Mode............................................. TFTP
   Data Type........................................ Vendor Dev Cert
   TFTP Server IP................................... 10.77.244.196
   TFTP Packet Timeout.............................. 6
   TFTP Max Retries................................. 10
   TFTP Path........................................
   TFTP Filename.................................... ciscowlc.pem
   
   This may take some time.
   Are you sure you want to start? (y/N) y
   TFTP EAP CA cert transfer starting.
   Certificate installed.
   Reboot the switch to use the new certificate.
   Enter the reset system command to reboot the controller. 
        The controller is now loaded with the device certificate.

7. Inscreva o comando reset system recarregar o controlador. O controlador é carregado agora com o certificado do dispositivo.

Instale o certificado de raiz do PKI no WLC

Agora que o certificado do dispositivo é instalado no WLC, a próxima etapa é instalar o certificado de raiz do PKI ao WLC do server de CA. Execute estas etapas:

1. Vá a http:// < ao endereço IP de Um ou Mais Servidores Cisco ICM NT de CA server>/certsrv de seu PC que tem uma conexão de rede ao server de CA. Entre como o administrador do server de CA.

   

2. Clique a transferência um certificado de CA, um certificate chain, ou um CRL.

   

3. Na página resultante, você pode ver os certificados de CA atuais disponíveis no server de CA sob a caixa do certificado de CA. Escolha o DER como o método de codificação e clique o certificado de CA da transferência.

   

4. Salvar o certificado como um arquivo de .cer. Este exemplo usa certnew.cer como o nome de arquivo.

5. A próxima etapa é converter o arquivo de .cer ao formato PEM e transferi-lo ao controlador. A fim executar estas etapas, repita o mesmo procedimento explicado no fazendo download o certificado do dispositivo à seção WLC com estas mudanças:

   • O OpenSSL “- em” e “- para fora” arquivos é certnew.cer e certnew.pem.

     Também, nenhuma frase de acesso PEM ou senha da importação são exigidas neste processo.

   • Também, o comando do OpenSSL converter o arquivo de .cer ao arquivo do .pem é:

     x509 - em certnew.cer - informam o DER - para fora certnew.pem - o outform PEM

   • Em etapa 2 da transferência o certificado convertido do dispositivo de formatação PEM à seção WLC, o comando transferir o certificado ao WLC é:

     (Eapcacert do datatype da transferência do >transfer do controlador de Cisco)

   • O arquivo a ser transferido ao WLC é certnew.pem.

Você pode verificar se os Certificados estão instalados no WLC do controlador GUI como segue:

• Do WLC GUI, Segurança do clique. Na página da Segurança, o clique avançou > IPsec Certs das tarefas que aparecem à esquerda. Certificado de CA do clique a fim ver o certificado de CA instalado. Está aqui o exemplo:

  

• A fim verificar se o certificado do dispositivo está instalado no WLC, do WLC GUI, Segurança do clique. Na página da Segurança, o clique avançou > IPsec Certs das tarefas que aparecem à esquerda. Certificado do clique ID a fim ver o certificado do dispositivo instalado. Está aqui o exemplo:

  

Gerencia um certificado do dispositivo para o cliente

Agora que o certificado do dispositivo e o certificado de CA são instalados no WLC, a próxima etapa é gerar estes Certificados para o cliente.

Execute estas etapas a fim gerar o certificado do dispositivo para o cliente. Este certificado será usado pelo cliente para autenticar ao WLC. Este documento explica as etapas envolvidas em gerar Certificados para o cliente profissional de Windows XP.

1. Vá a http:// < ao endereço IP de Um ou Mais Servidores Cisco ICM NT de CA server>/certsrv do cliente que exige o certificado ser instalado. Entre como o Domain Name \ username ao server de CA. O username deve ser o nome do usuário que está usando esta máquina XP, e o usuário deve já ser configurado como parte do mesmo domínio que o server de CA.

   

2. Selecione o pedido um certificado.

   

3. No pedido uma página do certificado, clica pedido do certificado avançado.

   

4. Na página avançada do pedido do certificado, o clique cria e submete um pedido a este CA. Isto toma-o ao formulário de requisição de certificado avançado.

   

5. No formulário de requisição de certificado avançado, escolha o usuário do menu suspenso do molde de certificado.

   Sob as opções chaves secione, escolha estes parâmetros:

   Entre no Sizein chave o campo do tamanho chave. Este exemplo usa 1024.

   Verifique as chaves de Mark como a Opção exportável.

   

6. Configurar todos os campos necessários restantes e o clique submete-se.

   

7. O certificado do dispositivo do cliente é gerado agora conforme o pedido. O clique instala o certificado a fim instalar o certificado à loja do certificado.

   

8. Você deve poder encontrar o certificado do dispositivo do cliente instalado sob a lista do certificado pessoal sob ferramentas > opções de internet > índice > Certificados no navegador IE do cliente.

   

   O certificado do dispositivo para o cliente é instalado no cliente.

Gerencia o certificado CA raiz para o cliente

A próxima etapa é gerar o certificado de CA para o cliente. Termine estas etapas do PC cliente:

1. Vá a http:// < ao endereço IP de Um ou Mais Servidores Cisco ICM NT de CA server>/certsrv do cliente que exige o certificado ser instalado. Entre como o Domain Name \ username ao server de CA. O username deve ser o nome do usuário que está usando esta máquina XP, e o usuário deve já ser configurado como parte do mesmo domínio que o server de CA.

   

2. Na página resultante, você pode ver os certificados de CA atuais disponíveis no server de CA sob a caixa do certificado de CA. Escolha Base64 como o método de codificação. Então, o certificado de CA da transferência do clique e salvar o arquivo ao PC do cliente como um arquivo de .cer. Este exemplo usa rootca.cer como o nome de arquivo.

   

3. Em seguida, instale o certificado de CA salvar no formato de .cer à loja do certificado de cliente. Fazer duplo clique no arquivo de rootca.cer e o clique instala o certificado.

   

4. Clique em seguida a fim importar o certificado do disco rígido do cliente à loja do certificado.

   

5. Escolha automaticamente seleto a loja do certificado baseada no tipo de certificado e clique-a em seguida.

   

6. Clique o revestimento a fim terminar o processo da importação.

   

7. À revelia, os certificados de CA são instalados sob a lista de Autoridades de certificação de raiz confiável no navegador IE do cliente sob ferramentas > opções de internet > índice > Certificados. Está aqui o exemplo:

   

Todos os Certificados exigidos são instalados no WLC assim como no cliente para a autenticação de EAP local EAP-FAST. A próxima etapa é configurar o WLC para a autenticação de EAP local.

Configurar o EAP local no WLC

Termine estas etapas do modo GUI WLC a fim configurar a autenticação de EAP local no WLC:

1. Clique a Segurança > EAP local.

   

2. Sob o EAP local, clique perfis a fim configurar o perfil local EAP.

   

3. Clique novo a fim criar um perfil novo do Local EAP.

4. Configurar um nome para este perfil e o clique aplica-se. Neste exemplo, o nome de perfil é ldap. Isto toma-o aos perfis locais EAP criados no WLC.

   

5. Clique o perfil do ldap que foi criado apenas, que aparece sob o campo de nome de perfil da página local dos perfis EAP. Isto toma-o aos perfis locais EAP > edita a página.

   

6. Configurar os parâmetros específicos a este perfil nos perfis locais EAP > editam a página.

   • Escolha EAP-FAST como o método de autenticação de EAP local.

   • Permita as caixas de seleção ao lado do certificado local exigido e do certificado de cliente exigido.

   • Escolha o vendedor como o expedidor do certificado porque este documento usa um server de CA da terceira parte.

   • Permita a caixa de verificação ao lado da verificação contra certificados de CA a fim permitir que o certificado entrante do cliente seja validado contra os certificados de CA no controlador.

   • Se você quer o Common Name (CN) no certificado entrante ser validado contra o CN dos certificados de CA no controlador, verifique a caixa de verificação da identidade do CN do certificado da verificação. A configuração padrão está desabilitada. A fim permitir que o controlador verifique que o certificado entrante do dispositivo está ainda válido e não expirou, verifique a caixa de verificação de validade da data do certificado da verificação.

     Nota: A validez da data do certificado é verificada contra o tempo atual UTC (GMT) que é configurado no controlador. O offset da zona de hora (fuso horário) é ignorado.

   Clique em Apply.

   

7. O perfil local EAP com autenticação EAP-FAST é criado agora no WLC.

   

8. A próxima etapa é configurar parâmetros específicos EAP-FAST no WLC. Na página da Segurança WLC, clique local EAP > parâmetros EAP-FAST a fim mover-se para a página EAP-FAST dos parâmetros do método.

   Desmarcar a caixa de verificação anônima da disposição porque este exemplo explica Certificados de utilização EAP-FAST. Deixe todos parâmetros restantes em seus padrões. Clique em Apply.

   

Configurar o WLC com detalhes de servidor ldap

Agora que o WLC é configurado com o perfil local e informação relacionada EAP, a próxima etapa é configurar o WLC com detalhes do servidor ldap. Termine estas etapas no WLC:

1. Na página da Segurança do WLC, selecione AAA > LDAP da placa da tarefa do lado esquerdo a fim mover-se para a página de configuração do servidor ldap. A fim adicionar um servidor ldap, clique novo. Os servidores ldap > página nova aparecem.

   

2. Nos servidores ldap edite a página, especificam os detalhes do servidor ldap tais como o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor ldap, número de porta, permitem o status de servidor e assim por diante.

   • Escolha um número da caixa suspensa do deslocamento predeterminado do server (prioridade) especificar a ordem da prioridade deste server com relação a todos os outros servidores ldap configurados. Você pode configurar até dezessete server. Se o controlador não pode alcançar o primeiro server, tenta segundo na lista e assim por diante.

   • Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor ldap ao campo de endereço IP do servidor.

   • Inscreva o número de porta de TCP do servidor ldap no campo de número de porta. O intervalo válido é 1 a 65535, e o valor padrão é 389.

   • No campo da base do usuário DN, dê entrada com o nome destacado (DN) do subtree no servidor ldap que contém uma lista de todos os usuários. Por exemplo, unidade do ou=organizational, unidade organizacional .ou=next, e o=corporation.com. Se a árvore que contém usuários é a base DN, entre no=corporation.com ou em dc=corporation, dc=com.

     Neste exemplo, o usuário é ficado situado sob o ldapuser da unidade organizacional (OU) que é criado por sua vez como parte do domínio de Wireless.com.

     A base do usuário DN deve apontar o caminho cheio onde a informação sobre o usuário (credenciais do usuário conforme o método de autenticação EAP-FAST) é encontrada. Neste exemplo, o usuário é ficado situado sob a base DN OU=ldapuser, DC=Wireless, dc=com.

     Mais detalhes no OU, assim como a configuração do usuário, são explicados nos usuários criadores na seção do controlador de domínio deste documento.

   • No campo do atributo de usuário, dê entrada com o nome do atributo no registro de usuário que contém o username.

     No tipo de objeto do usuário campo, incorpore o valor do atributo do objectType LDAP que identifica o registro como um usuário. Frequentemente, os registros de usuário têm diversos valores para o atributo do objectType, alguns de que são originais ao usuário e alguns de que são compartilhados com outros tipos de objeto.

     Nota:  Você pode obter o valor destes dois campos de seu servidor de diretório com a utilidade do navegador LDAP, que vem como parte de Windows 2003 ferramentas de suporte. Esta ferramenta do navegador de Microsoft LDAP é chamada LDP. Com a ajuda desta ferramenta, você pode conhecer a base do usuário DN, o atributo de usuário, e o tipo de objeto do usuário campos deste usuário particular. A informação detalhada sobre a utilização do LDP para conhecer estes atributos específicos do usuário é discutida no LDP de utilização para identificar a seção dos atributos de usuário deste documento.

   • Escolha seguro da caixa suspensa do modo de servidor se você quer todas as transações LDAP usar um túnel seguro TLS. Se não, não escolha nenhum, que é a configuração padrão.

   • No campo do timeout de servidor, incorpore o número de segundos entre retransmissões. O intervalo válido é 2 a 30 segundos, e o valor padrão é 2 segundos.

   • Verifique a caixa de verificação do status de servidor da possibilidade para permitir este servidor ldap, ou desmarcar-la para desabilitar. O valor padrão é desabilitado.

   • O clique aplica-se para comprometer suas mudanças.

     Está aqui um exemplo já configurado com esta informação:

   

   Agora que os detalhes sobre o servidor ldap são configurados no WLC, a próxima etapa é configurar o LDAP como o base de dados da parte posterior da prioridade de modo que o WLC olhe primeiramente ao base de dados LDAP para credenciais do usuário um pouco do que todos os outros bases de dados.

Configurar o LDAP como o base de dados da parte posterior da prioridade

Termine estas etapas no WLC a fim configurar o LDAP como o base de dados da parte posterior da prioridade:

1. Na página da Segurança, clique local EAP > prioridade da autenticação. Na página da ordem > do Local-AUTH da prioridade, você pode encontrar dois bases de dados (Local e LDAP) que podem armazenar as credenciais do usuário.

   A fim fazer o LDAP como o base de dados da prioridade, para escolher o LDAP das credenciais do usuário do lado esquerdo encaixota e clica > botão a fim mover o LDAP para a caixa da ordem da prioridade no lado direito.

   

2. Este exemplo ilustra claramente que o LDAP está escolhido na caixa do lado esquerdo e > o botão está selecionado. Como o resultado, o LDAP é movido para a caixa no lado direito que decide a prioridade. O base de dados LDAP é escolhido como o base de dados da Autenticação-prioridade.

   Clique em Apply.

   

   Nota: Se o LDAP e o LOCAL aparecem na caixa das credenciais do usuário correto com o LDAP na parte superior e no LOCAL na parte inferior, o EAP local tenta autenticar os clientes que usam o base de dados da parte posterior LDAP e falha sobre à base de dados de usuário local se os servidores ldap não são alcançáveis. Se o usuário não é encontrado, a tentativa de autenticação está rejeitada. Se o LOCAL está na parte superior, o EAP local tenta autenticar usando somente a base de dados de usuário local. Não falha sobre ao base de dados da parte posterior LDAP.

Configurar o WLAN no WLC com autenticação de EAP local

A última etapa no WLC é configurar um WLAN que use o EAP local como seu método de autenticação com o LDAP como seu base de dados backend. Execute estas etapas:

1. Do menu principal do controlador, clique WLAN a fim mover-se para a página de configuração WLAN. Nos WLAN pagine, clique novo a fim criar um WLAN novo. Este exemplo cria um ldap novo WLAN.

   O clique aplica a próxima etapa é configurar os parâmetros WLAN no WLAN > edita a página.

2. No WLAN edite a página, permitem o estado deste WLAN. Configurar todos os parâmetros necessários restantes.

   

3. Clique a Segurança a fim configurar os parâmetros relativos à segurança para este WLAN. Este exemplo usa a Segurança da camada 2 como o 802.1x com 104 bit WEP dinâmico.

   Nota: Este documento usa o 802.1x com WEP dinâmico como um exemplo. Recomenda-se usar uns métodos de autenticação mais seguros, tais como WPA/WPA2.

4. Na página de configuração da Segurança de WLAN, aba dos server do theAAA do clique. Nos servidores AAA pagine, permita o método de autenticação de EAP local e escolha o ldap da caixa suspensa que corresponde ao parâmetro do nome de perfil EAP. Este é o perfil local EAP criado neste exemplo.

   

5. Escolha o servidor ldap (de que foi configurado previamente no WLC) da caixa suspensa. Certifique-se de que o servidor ldap é alcançável do WLC.

   Clique em Apply.

   

6. Os ldaphas novos WLAN configurado no WLC. Este WLAN autentica clientes com a autenticação de EAP local (EAP-FAST neste caso) e pergunta um base de dados da parte posterior LDAP para a validação das credenciais do cliente.

   

Configurar o servidor ldap

Agora que o EAP local é configurado no WLC, a próxima etapa é configurar o servidor ldap que serve como um base de dados backend para autenticar os clientes Wireless em cima da validação certificada bem sucedida.

A primeira etapa em configurar o servidor ldap é criar uma base de dados de usuário no servidor ldap de modo que o WLC possa perguntar este base de dados para autenticar o usuário.

Criando usuários no controlador de domínio

Neste exemplo, um ldapuser novo OU é criado e o usuário user2 é criado sob este OU. Configurando este usuário para o acesso LDAP, o WLC pode perguntar este base de dados LDAP para a autenticação de usuário.

O domínio usado neste exemplo é wireless.com.

Crie uma base de dados de usuário sob um OU

Esta seção explica como criar um OU novo em seu domínio e criar um novo usuário neste OU.

1. No controlador de domínio, no Iniciar > Programas > Ferramentas Administrativas > Usuários e Computadores de Diretório Ativo do clique a fim lançar o console de gerenciamento dos usuários e dos computadores de diretório ativo.

2. Clicar com o botão direito em seu Domain Name (wireless.com, neste exemplo), a seguir selecione novo > unidade organizacional do menu do contexto a fim criar um OU novo.

   

3. Atribua um nome a este OU e clique a APROVAÇÃO.

   

Agora que o ldapuser novo OU é criado no servidor ldap, a próxima etapa é criar o usuário user2 sob este OU. A fim conseguir isto, termine estas etapas:

1. Clicar com o botão direito no OU novo criado. Selecione novo > usuário dos menus resultantes do contexto a fim criar um novo usuário.

   

2. Na página da instalação de usuário, preencha os campos requerido segundo as indicações deste exemplo. Este exemplo tem user2 como o nome de logon do usuário.

   Este é o username que será verificado no base de dados LDAP para autenticar o cliente. Este exemplo usa o abcd como o nome e o sobrenome. Clique em Next.

   

3. Incorpore uma senha e confirme a senha. Escolha a senha nunca expira opção e clicam em seguida.

   

4. Clique em Finish.

   Um novo usuário user2 é criado sob o ldapuser OU. As credenciais do usuário são:

   • nome de usuário: user2

   • senha: Laptop123

   

Agora que o usuário sob um OU é criado, a próxima etapa é configurar este usuário para o acesso LDAP.

Configurar o usuário para o acesso LDAP

Execute as etapas nesta seção a fim configurar um usuário para o acesso LDAP.

Permita a característica anônima do ligamento no server de Windows 2003

Para que todos os aplicativos de terceiros alcancem Windows 2003 AD no LDAP, a característica anônima do ligamento deve ser permitida em Windows 2003. À revelia, as operações de LDAP anônimas não são permitidas em Windows 2003 controladores de domínio.

Execute estas etapas a fim permitir a característica anônima do ligamento:

1. Lance o ADSI editam a ferramenta do Iniciar > Executar > do tipo do lugar: ADSI Edit.msc. Esta ferramenta é parte de Windows 2003 ferramentas de suporte.

2. No ADSI edite o indicador, expandem o domínio da raiz ([tsweb-lapt.Wireless.com] da configuração).

   Expanda CN=Services > Windows NT CN= > serviço de CN=Directory. Clicar com o botão direito o recipiente do serviço de CN=Directory e selecione propriedades do menu do contexto.

   

3. No CN=Directory preste serviços de manutenção à janela de propriedades, clique o atributo do dsHeuristics sob o campo do atributo e escolha-o editam. Na janela de editor do atributo da corda deste atributo, incorpore o valor 0000002 e o clique aplica-se e APROVA-SE. A característica anônima do ligamento é permitida no server de Windows 2003.

   Nota: O último (sétimo) caráter é esse que controla a maneira que você pode ligar ao serviço LDAP. "0" ou nenhuns sétimos caractere significam que as operações de LDAP anônimas estão desabilitadas. Ajustar o sétimo caractere a "2" permite a característica anônima do ligamento.

   

   Nota: Se este atributo já contém um valor, certifique-se que você está mudando somente o sétimo caractere da esquerda. Este é o único caráter que precisa de ser mudado a fim permitir ligamentos anônimos. Por exemplo, se o valor atual é "0010000", você precisará de mudá-lo a "0010002". Se o valor atual é menos de sete caráteres, você precisará de pôr dentro zero os lugares não usados: "001" transformar-se-á "0010002".

Concedendo a acesso ANÔNIMO do FAZER LOGON ao usuário "user2"

A próxima etapa é conceder o acesso ANÔNIMO do FAZER LOGON ao usuário user2. Termine estas etapas a fim conseguir isto:

1. Abra usuários e computadores de diretório ativo.

2. Certifique-se que recursos avançados da vista está verificada.

3. Navegue ao usuário user2 e clicar-la com o botão direito. Selecione propriedades do menu do contexto. Este usuário é identificado com o nome “abcd”.

   

4. Vá à Segurança na janela de propriedades do abcd.

   

5. O clique adiciona no indicador resultante.

6. Incorpore o FAZER LOGON ANÔNIMO sob a entrada os nomes de objeto para selecionar a caixa e reconhecer o diálogo.

   

7. No ACL, você observará que o FAZER LOGON ANÔNIMO tem o acesso a alguns grupos da propriedade do usuário. Clique em OK. O acesso ANÔNIMO do FAZER LOGON é concedido neste usuário.

   

Conceder a lista satisfaz a permissão no OU

A próxima etapa é conceder pelo menos a permissão dos índices da lista ao FAZER LOGON ANÔNIMO no OU que o usuário está encontrado. Neste exemplo, "user2" é ficado situado no OU “ldapuser”. Termine estas etapas a fim conseguir isto:

1. Em usuários e em computadores de diretório ativo, clicar com o botão direito o ldapuser OU e escolha propriedades.

   

2. Clique a Segurança e avançou-a então.

   

3. Clique em Add. No diálogo que abre, incorpore o FAZER LOGON ANÔNIMO.

   

4. Reconheça o diálogo. Isto abre uma janela de diálogo nova.

5. Na aplicação na caixa suspensa, escolha este objeto somente e permita os índices da lista permitem a caixa de verificação.

   

Usando o LDP para identificar os atributos de usuário

Esta ferramenta GUI é um cliente de LDAP que permita que os usuários executem operações (como conecte, ligue, procure, altere, adicionar, supressão) contra todo o diretório LDAP-compatível, tal como o diretório ativo. O LDP é usado aos objetos de vista armazenados no diretório ativo junto com seus metadata, tais como descritores de segurança e metadata da replicação.

A ferramenta LDP GUI é incluída quando você instala Windows Server 2003 ferramentas de suporte do CD do produto. Esta seção explica usando a utilidade LDP para identificar os atributos específicos associados ao usuário user2. Alguns destes atributos são usados para preencher os parâmetros de configuração do servidor ldap no WLC, tal como o tipo do atributo de usuário e o tipo de objeto do usuário.

1. No server de Windows 2003 (mesmo no mesmo servidor ldap), clique o Iniciar > Executar e incorpore o LDP a fim alcançar o navegador LDP.

2. Na janela principal LDP, a conexão do clique > conecta e conecta ao servidor ldap incorporando o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor ldap.

   

3. Conectado uma vez ao servidor ldap, à vista seleta do menu principal e à árvore do clique.

   

4. No indicador resultante da vista de árvore, entre no BaseDN do usuário. Neste exemplo, user2 é ficado situado sob o OU “ldapuser” sob o domínio Wireless.com. Consequentemente, o BaseDN para o usuário user2 é OU=ldapuser, dc=wireless, dc=com. Clique em OK.

   

5. O lado esquerdo do navegador LDP indica a árvore inteira que aparece sob o BaseDN especificado (OU=ldapuser, dc=wireless, dc=com). Expanda a árvore para encontrar o usuário user2. Este usuário pode ser identificado com o valor do CN que representa o nome do usuário. Neste exemplo, é CN=abcd. Clique duas vezes CN=abcd. Na placa do lado direito do navegador LDP, o LDP indicará todos os atributos associados com o user2. Este exemplo explica esta etapa:

   

   Neste exemplo, observe os campos cercados à direita.

6. Como mencionado configurar WLC com detalhes de seção do servidor ldap deste documento, no campo do atributo de usuário, dê entrada com o nome do atributo no registro de usuário que contém o username.

   Desta saída LDP, você pode ver que o sAMAccountName é um atributo que contém o username "user2". , Incorpore consequentemente o atributo do sAMAccountName que corresponde ao campo do atributo de usuário no WLC.

7. No tipo de objeto do usuário campo, incorpore o valor do atributo do objectType LDAP que identifica o registro como um usuário. Frequentemente, os registros de usuário têm diversos valores para o atributo do objectType, alguns de que são originais ao usuário e alguns de que são compartilhados com outros tipos de objeto.

   Na saída LDP, CN=Person é um valor que identifica o registro como um usuário. , Especifique consequentemente a pessoa como o tipo atributo do objeto do usuário no WLC.

Configurar o cliente Wireless

A última etapa é configurar o cliente Wireless para a autenticação EAP-FAST com Certificados de cliente e servidor. Termine estas etapas a fim conseguir isto:

1. Lance o utilitário de desktop do Cisco Aironet (ADU). Na janela principal ADU, clique o Gerenciamento do perfil > novo a fim criar um perfil novo do cliente Wireless.

   

2. Especifique um nome de perfil e atribua um nome SSID a este perfil. Este nome SSID deve ser o mesmo configurado no WLC. Neste exemplo, o nome SSID é ldap.

   

3. Clique a ABA de segurança e escolha 802.1x/EAP como a Segurança da camada 2. Escolha EAP-FAST como o método de EAP e o clique configura.

4. Na página de configuração EAP-FAST, escolha o certificado de cliente TLS da caixa suspensa EAP-FAST do método de autenticação e o clique configura.

   

5. Na janela de configuração do certificado de cliente TLS:

   • Permita a caixa de verificação da identidade do server da validação e selecione o certificado de CA instalado no cliente (explicado na geração o certificado CA raiz para a seção do cliente deste documento) como a Autoridade de certificação de raiz confiável.

   • Selecione o certificado do dispositivo instalado no cliente (explicado na geração um certificado do dispositivo para a seção do cliente deste documento) como o certificado de cliente.

   • Clique em OK.

     Este exemplo explica esta etapa:

   

O perfil do cliente Wireless é criado.

Verificar

Execute estas etapas a fim verificar se sua configuração trabalha corretamente.

1. Ative o ldap SSID no ADU.

2. Clique sim ou ESTÁ BEM como necessário nas próximas janelas. Você deve poder ver todas as etapas da authenticação do cliente assim como da associação para ser bem sucedidas no ADU.

Use esta seção para confirmar se a sua configuração funciona corretamente. Use o modo de CLI WLC.

• A fim verificar se o WLC pode se comunicar com o servidor ldap e encontrar o usuário, especifique o comando enable do ldap aaa debugar do WLC CLI. Este exemplo explica um processo de uma comunicação bem sucedida LDAP:

  Nota: Alguma da saída nesta seção foi segundas linhas movidas devido à consideração do espaço.

  (O ldap aaa do >debug do controlador de Cisco) permite

  Sun Jan 27 09:23:46 2008: AuthenticationRequest: 0xba96514
  Sun Jan 27 09:23:46 2008:       Callback.....................................0x8
  344900      
  Sun Jan 27 09:23:46 2008:       protocolType.................................0x0
  0100002
  Sun Jan 27 09:23:46 2008:       proxyState...................................00:
  40:96:AC:E6:57-00:00
  Sun Jan 27 09:23:46 2008:       Packet contains 2 AVPs (not shown)
  Sun Jan 27 09:23:46 2008: ldapTask [1] received msg 'REQUEST' (2) in state 'IDLE' (1)
  Sun Jan 27 09:23:46 2008: LDAP server 1 changed state to INIT
  Sun Jan 27 09:23:46 2008: ldapInitAndBind [1] called lcapi_init (rc = 0 - Success)
  Sun Jan 27 09:23:46 2008: ldapInitAndBind [1] called lcapi_bind (rc = 0 - Success)
  Sun Jan 27 09:23:46 2008: LDAP server 1 changed state to CONNECTED
  Sun Jan 27 09:23:46 2008: LDAP server 1 now active
  Sun Jan 27 09:23:46 2008: LDAP_CLIENT: UID Search (base=OU=ldapuser,DC=wireless,
  DC=com, pattern=(&(objectclass=Person)(sAMAccountName=user2)))
  Sun Jan 27 09:23:46 2008: LDAP_CLIENT: Returned msg type 0x64
  Sun Jan 27 09:23:46 2008: ldapAuthRequest [1] called lcapi_query base="OU=ldapus
  er,DC=wireless,DC=com" type="Person" attr="sAMAccountName" user="user2" (rc = 0
  - Success)
  Sun Jan 27 09:23:46 2008: LDAP ATTR> dn = CN=abcd,OU=ldapuser,DC=Wireless,DC=com
   (size 38)
  Sun Jan 27 09:23:46 2008: Handling LDAP response Success
  

  Da informação destacada neste resultado do debug, é claro que o servidor ldap está perguntado pelo WLC com os atributos de usuário especificados no WLC e o processo LDAP é bem sucedido.

• A fim verificar se a autenticação de EAP local é bem sucedida, especifique o comando enable dos eventos do método do eap do local-AUTH aaa debugar do WLC CLI. Aqui está um exemplo:

  (Os eventos do método do eap do local-AUTH aaa do >debug do controlador de Cisco) permitem

  Sun Jan 27 09:38:28 2008: eap_fast.c-EVENT: New context 
  (EAP handle = 0x1B000009)
  
  Sun Jan 27 09:38:28 2008: eap_fast.c-EVENT: Allocated new EAP-FAST context 
  (handle = 0x22000009)
  
  Sun Jan 27 09:38:28 2008: eap_fast_auth.c-AUTH-EVENT: Process Response 
  (EAP handle = 0x1B000009)
  
  Sun Jan 27 09:38:28 2008: eap_fast_auth.c-AUTH-EVENT: Received Identity
  
  Sun Jan 27 09:38:28 2008: eap_fast_tlv.c-AUTH-EVENT: Adding PAC A-ID TLV 
  (436973636f0000000000000000000000)
  
  Sun Jan 27 09:38:28 2008: eap_fast_auth.c-AUTH-EVENT: Sending Start
  
  Sun Jan 27 09:38:29 2008: eap_fast.c-AUTH-EVENT: Process Response, type: 0x2b
  
  Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Process Response 
  (EAP handle = 0x1B000009)
  
  Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: 
  Received TLS record type: Handshake in state: Start
  
  Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Local certificate found
  
  Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Reading Client Hello handshake
  
  Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: 
  TLS_DHE_RSA_AES_128_CBC_SHA proposed...
  
  Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT: Proposed ciphersuite(s):
  
  Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  
  Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_RSA_WITH_AES_128_CBC_SHA
  
  Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_RSA_WITH_RC4_128_SHA
  
  Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT: Selected ciphersuite:
  
  Sun Jan 27 09:38:29 2008: eap_fast.c-EVENT:     TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  
  Sun Jan 27 09:38:29 2008: eap_fast_auth.c-AUTH-EVENT: Building Provisioning Server Hello
  
  Sun Jan 27 09:38:29 2008: eap_fast_crypto.c-EVENT: 
  Starting Diffie Hellman phase 1 ...
  
  Sun Jan 27 09:38:30 2008: eap_fast_crypto.c-EVENT: 
  Diffie Hellman phase 1 complete
  
  Sun Jan 27 09:38:30 2008: eap_fast_auth.c-AUTH-EVENT: DH signature length = 128
  
  Sun Jan 27 09:38:30 2008: eap_fast_auth.c-AUTH-EVENT: Sending Provisioning Serving Hello
  
  Sun Jan 27 09:38:30 2008: eap_fast.c-EVENT: Tx packet fragmentation required
  
  Sun Jan 27 09:38:30 2008: eap_fast.c-AUTH-EVENT: eap_fast_rx_packet(): 
  EAP Fast NoData (0x2b)
  
  Sun Jan 27 09:38:30 2008: eap_fast.c-AUTH-EVENT: eap_fast_rx_packet(): 
  EAP Fast NoData (0x2b)
  
  Sun Jan 27 09:38:30 2008: eap_fast.c-AUTH-EVENT: eap_fast_rx_packet(): 
  EAP Fast NoData (0x2b)
  
  Sun Jan 27 09:38:32 2008: eap_fast.c-AUTH-EVENT: Process Response, type: 0x2b
  
  Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Reassembling TLS record
  
  Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Sending EAP-FAST Ack
  
  ............................................................................
  
  ..............................................................................
  
  ..............................................................................
  
  Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
  Received TLS record type: Handshake in state: Sent provisioning Server Hello
  
  Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
  Reading Client Certificate handshake
  
  Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Added certificate 1 to chain
  
  Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Added certificate 2 to chain
  
  Sun Jan 27 09:38:32 2008: eap_fast.c-EVENT: Successfully validated received certificate
  
  Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: Rx'd I-ID: 
  "EAP-FAST I-ID" from Peer Cert
  
  Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
  Reading Client Key Exchange handshake
  
  Sun Jan 27 09:38:32 2008: eap_fast_crypto.c-EVENT: 
  Starting Diffie Hellman phase 2 ...
  
  Sun Jan 27 09:38:32 2008: eap_fast_crypto.c-EVENT: 
  Diffie Hellman phase 2 complete.
  
  Sun Jan 27 09:38:32 2008: eap_fast_auth.c-AUTH-EVENT: 
  Reading Client Certificate Verify handshake
  
  Sun Jan 27 09:38:32 2008: eap_fast_crypto.c-EVENT: 
  Sign certificate verify succeeded (compare)
  
  ............................................................................................
  
  ............................................................................................
  
  ............................................................................................
  
  .............................................................................................

• O comando enable DB do local-AUTH aaa debugar é igualmente muito útil. Aqui está um exemplo:

  (O DB do local-AUTH aaa do >debug do controlador de Cisco) permite

  Sun Jan 27 09:35:32 2008: LOCAL_AUTH: EAP: Received an auth request
  
  Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Creating new context
  
  Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Local auth profile name for context 'ldapuser'
  
  Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Created new context eap session handle fb000007
  
  Sun Jan 27 09:35:32 2008: LOCAL_AUTH: (EAP:8) Sending the Rxd EAP packet 
  (id 2) to EAP subsys
  
  Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Found matching context for id - 8
  
  Sun Jan 27 09:35:32 2008: LOCAL_AUTH: (EAP) Sending user credential 
  request username 'user2' to LDAP
  
  Sun Jan 27 09:35:32 2008: LOCAL_AUTH: Found context matching MAC address - 8
  
  
  ........................................................................................
  
  ........................................................................................
  
  ........................................................................................
  
  ........................................................................................
  
  
  Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) Sending the Rxd EAP packet 
  (id 12) to EAP subsys
  
  Sun Jan 27 09:35:36 2008: LOCAL_AUTH: Found matching context for id - 8
  
  Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) ---> [KEY AVAIL] send_len 64, recv_len 0
  
  Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) received keys waiting for success
  
  Sun Jan 27 09:35:36 2008: LOCAL_AUTH: Found matching context for id - 8
  
  Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) Received success event
  
  Sun Jan 27 09:35:36 2008: LOCAL_AUTH: (EAP:8) Processing keys success
  

• A fim ver os Certificados instalados no WLC a ser usado para a autenticação local, emita os Certificados do local-AUTH da mostra comandam do WLC CLI. Aqui está um exemplo:

  (Certificados do local-AUTH do >show do controlador de Cisco)

  Certificates available for Local EAP authentication:
  
  
  
  Certificate issuer .............................. vendor
  
    CA certificate:
  
      Subject: DC=com, DC=Wireless, CN=wireless
  
       Issuer: DC=com, DC=Wireless, CN=wireless
  
        Valid: 2008 Jan 23rd, 15:50:27 GMT to 2013 Jan 23rd, 15:50:27 GMT
  
    Device certificate:
  
      Subject: O=cisco, CN=ciscowlc123
  
       Issuer: DC=com, DC=Wireless, CN=wireless
  
        Valid: 2008 Jan 24th, 12:18:31 GMT to 2010 Jan 23rd, 12:18:31 GMT
  
  
  
  Certificate issuer .............................. cisco
  
    CA certificate:
  
      Subject: O=Cisco Systems, CN=Cisco Manufacturing CA
  
       Issuer: O=Cisco Systems, CN=Cisco Root CA 2048
  
        Valid: 2005 Jun 10th, 22:16:01 GMT to 2029 May 14th, 20:25:42 GMT
  
     Device certificate:
  
               Not installed.

• A fim ver a configuração da autenticação local no WLC do modo de CLI, emita o comando config do local-AUTH da mostra. Aqui está um exemplo:

  (Configuração do local-AUTH do >show do controlador de Cisco)

  User credentials database search order:
  
      Primary ..................................... LDAP
  
  
  
  Timer:
  
      Active timeout .............................. 300
  
  
  
  Configured EAP profiles:
  
      Name ........................................ ldapuser
  
        Certificate issuer ........................ vendor
  
        Peer verification options:
  
          Check against CA certificates ........... Enabled
  
          Verify certificate CN identity .......... Disabled
  
          Check certificate date validity ......... Disabled
  
        EAP-FAST configuration:
  
          Local certificate required .............. Yes
  
          Client certificate required ............. Yes
  
        Enabled methods ........................... fast 
  
        Configured on WLANs ....................... 2 
  
  
  
  EAP Method configuration:
  
      EAP-FAST:
  
  --More-- or (q)uit
  
        Server key ................................ <hidden>
  
        TTL for the PAC ........................... 10
  
        Anonymous provision allowed ............... No
  
        .............................................
  
        .............................................
  
        Authority Information ..................... Cisco A-ID

Troubleshooting

Você pode usar estes comandos pesquisar defeitos sua configuração:

• debugar eventos do método do eap do local-AUTH aaa permitem

• debug aaa all enable

• debugar o pacote do dot1x permitem

Informações Relacionadas

• Autenticação EAP-FAST com exemplo de configuração dos controladores e do servidor de raio externo do Wireless LAN
• PEAP sob redes sem fio unificadas com o Internet Authentication Service da Microsoft (IAS)
• Atribuição do VLAN dinâmico com os WLC baseados no ACS ao exemplo de configuração do mapeamento do grupo do diretório ativo
• Manual de configuração do controlador de LAN do Cisco Wireless - Configurando soluções da Segurança
• Manual de configuração do controlador de LAN do Cisco Wireless - Controlando o software e as configurações do controlador
• Autenticação de EAP com exemplo de configuração dos controladores de WLAN (WLC)
• Projeto do controlador do Wireless LAN (WLC) e características FAQ
• Cisco Secure Services Client com autenticação EAP-FAST
• Controlador do Wireless LAN (WLC) FAQ
• Erro do controlador do Wireless LAN dos controladores (WLC) e mensagens de sistema FAQ
• Suporte Técnico e Documentação - Cisco Systems