Configurar PEAP e EAP-FAST com ACS 5.2 e WLC

Introduction

Este documento explica como configurar o Controller de LAN Wireless (WLC) da autenticação Extensible Authentication Protocol (EAP) com o uso de um servidor RADIUS externo, como o Access Control Server (ACS) 5,2.

Prerequisites

Requirements

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

• Ter um conhecimento básico da WLC e dos LAPs (Lightweight Access Points, pontos de acesso leves)

• Ter um conhecimento funcional do servidor AAA

• Ter um conhecimento completo das redes sem fio e dos problemas de segurança sem fio

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• WLC Cisco 5508 com firmware versão 7.0.220.0

• LAP Cisco 3502 Series

• Microsoft Windows 7 Native Supplicant com driver Intel 6300-N versão 14.3

• Cisco Secure ACS que executa a versão 5.2

• Switch Cisco Série 3560

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Estes são os detalhes de configuração dos componentes usados neste diagrama:

• O endereço IP do servidor ACS (RADIUS) é 192.168.150.24.

• O endereço da interface de gerenciamento e gerenciador de AP da WLC é 192.168.75.44.

• Os servidores DHCP endereço 192.168.150.25.

• A VLAN 253 é usada em toda esta configuração. Ambos os usuários se conectam ao mesmo SSID "goa". No entanto, o usuário1 está configurado para autenticar usando PEAP-MSCHAPv2 e user2 usando EAP-FAST.

• Os usuários serão atribuídos na VLAN 253:

  • VLAN 253: 192.168.153.x/24. Gateway: 192.168.153.1

  • VLAN 75: 192.168.75.x/24. Gateway: 192.168.75.1

Hipóteses

• Os switches são configurados para todas as VLANs de Camada 3.

• O servidor DHCP recebe um escopo DHCP.

• A conectividade da camada 3 existe entre todos os dispositivos na rede.

• O LAP já está associado à WLC.

• Cada VLAN tem máscara /24.

• O ACS 5.2 tem um certificado autoassinado instalado.

Configuration Steps

Essa configuração é separada em três etapas de alto nível:

1. Configure o servidor RADIUS.

2. Configurar o WLC.

3. Configure o Wireless Client Utility.

Configurar o servidor RADIUS

A configuração do servidor RADIUS é dividida em quatro etapas:

1. Configurar recursos de rede.

2. Configurar usuários.

3. Definir elementos de política.

4. Aplicar políticas de acesso.

O ACS 5.x é um sistema de controle de acesso baseado em políticas. Ou seja, o ACS 5.x usa um modelo de política baseado em regras em vez do modelo baseado em grupo usado nas versões 4.x.

O modelo de política baseado em regras do ACS 5.x oferece um controle de acesso mais eficiente e flexível em comparação com a abordagem baseada em grupo mais antiga.

No modelo baseado em grupo mais antigo, um grupo define a política porque ela contém e une três tipos de informações:

• Informações de identidade - Essas informações podem ser baseadas na associação em grupos AD ou LDAP ou em uma atribuição estática para usuários ACS internos.

• Outras restrições ou condições - restrições de tempo, restrições de dispositivos, etc.

• Permissões - VLANs ou níveis de privilégio do Cisco IOS^®.

O modelo de política do ACS 5.x é baseado em regras do formato:

• Se condição, o resultado

Por exemplo, usamos as informações descritas para o modelo baseado em grupo:

• Se condição de identidade, condição de restrição então perfil de autorização.

Como resultado, isso nos dá a flexibilidade de limitar em que condições o usuário pode acessar a rede, bem como qual nível de autorização é permitido quando condições específicas são atendidas.

Configurar recursos de rede

Nesta seção, configuramos o cliente AAA para a WLC no servidor RADIUS.

Este procedimento explica como adicionar o WLC como um cliente de AAA no servidor RADIUS para que o WLC possa passar as credenciais do usuário ao servidor RADIUS.

Conclua estes passos:

1. Na GUI do ACS, vá para Network Resources > Network Device Groups > Location e clique em Create (Recursos de rede > Network Device Groups > Location) e clique em Create (Criar) (na parte inferior).

   

2. Adicione os campos obrigatórios e clique em Enviar.

   

   Agora você verá esta tela:

   

3. Clique em Tipo de dispositivo > Criar.

   

4. Clique em Submit. Agora você verá esta tela:

   

5. Vá para Network Resources > Network Devices and AAA Clients.

6. Clique em Criar e preencha os detalhes conforme mostrado aqui:

   

7. Clique em Submit. Agora você verá esta tela:

   

Configurar usuários

Nesta seção, criaremos usuários locais no ACS. Ambos os usuários (usuário1 e usuário2) são atribuídos no grupo chamado "Usuários sem fio".

1. Vá para Usuários e Repositórios de identidades > Grupos de identidades > Criar.

   

2. Depois de clicar em Enviar, a página será semelhante a esta:

   

3. Crie usuários user1 e user2, e atribua-os ao grupo "Usuários sem fio".

   1. Clique em Users and Identity Stores > Identity Groups > Users > Create.

      

   2. Da mesma forma, crie user2.

      

   A tela será semelhante a esta:

   

Definir elementos de política

Verifique se Permit Access está definido.

Aplicar políticas de acesso

Nesta seção, selecionaremos os métodos de autenticação a serem usados e como as regras devem ser configuradas. Criaremos regras com base nas etapas anteriores.

Conclua estes passos:

1. Vá para Access Policies > Access Services > Default Network Access > Edit: "Default Network Access".

   

2. Selecione o método EAP que deseja que os clientes sem fio autentiquem. Neste exemplo, usamos PEAP-MSCHAPv2 e EAP-FAST.

   

   

3. Clique em Submit.

4. Verifique o grupo de identidades selecionado. Neste exemplo, usamos Usuários internos, que criamos no ACS. Salve as alterações.

   

5. Para verificar o Perfil de autorização, vá para Access Policies > Access Services > Default Network Access > Authorization.

   Você pode personalizar sob que condições permitirá que o usuário acesse a rede e qual perfil de autorização (atributos) você passará depois de autenticado. Essa granularidade só está disponível no ACS 5.x. Neste exemplo, selecionamos Local, Tipo de Dispositivo, Protocolo, Grupo de Identidade e Método de Autenticação EAP.

   

6. Clique em OK e em Salvar alterações.

7. A próxima etapa é criar uma regra. Se nenhuma regra for definida, o cliente poderá acessar sem nenhuma condição.

   Clique em Create > Rule-1. Esta regra é para usuários do grupo "Usuários sem fio".

   

8. Salve as alterações. A tela será semelhante a esta:

   

   Se desejar que os usuários não correspondam às condições a serem negados, edite a regra padrão para dizer "negar acesso".

9. Agora definiremos as regras de seleção de serviços. Use esta página para configurar uma política simples ou baseada em regras para determinar qual serviço deve ser aplicado às solicitações de entrada. Neste exemplo, uma política baseada em regras é usada.

   

Configurar o WLC

Essa configuração requer estes passos:

1. Configurar o WLC com os detalhes do Servidor de Autenticação.

2. Configure as interfaces dinâmicas (VLANs).

3. Configure as WLANs (SSID).

Configurar o WLC com os detalhes do Servidor de Autenticação

É necessário configurar a WLC para que ela possa se comunicar com o servidor RADIUS para autenticar os clientes e também para quaisquer outras transações.

Conclua estes passos:

1. No controller GUI, clique em Security.

2. Digite o endereço IP do servidor RADIUS e a chave secreta compartilhada usados entre o servidor RADIUS e o WLC.

   Esta chave Shared Secret deve ser a mesma configurada no servidor RADIUS.

   

Configurar as interfaces dinâmicas (VLANs)

Este procedimento descreve como configurar interfaces dinâmicas na WLC.

Conclua estes passos:

1. A interface dinâmica é configurada na GUI do controlador, na janela Controller > Interfaces.

   

2. Clique em Apply.

   Isto abre a janela Edit desta interface dinâmica (VLAN 253 aqui).

3. Digite o endereço IP e o gateway padrão desta interface dinâmica.

   

4. Clique em Apply.

5. As interfaces configuradas terão esta aparência:

   

Configurar as WLANs (SSID)

Este procedimento explica como configurar as WLANs no WLC.

Conclua estes passos:

1. Na GUI do controlador, vá para WLANs > Create New para criar uma nova WLAN. A janela New WLANs é exibida.

2. Digite a ID da WLAN e a SSID da WLAN.

   Você pode digitar qualquer nome como SSID da WLAN. Este exemplo usa goa como SSID da WLAN.

   

3. Clique em Apply para ir para a janela Edit da meta de WLAN.

   

   

   

   

Configurar o utilitário cliente sem fio

PEAP-MSCHAPv2 (usuário1)

Em nosso cliente de teste, estamos usando o suplicante nativo do Windows 7 com uma placa Intel 6300-N executando a versão de driver 14.3. É recomendável testar usando os drivers mais recentes dos fornecedores.

Conclua estes passos para criar um perfil no Windows Zero Config (WZC):

1. Vá para Painel de Controle > Rede e Internet > Gerenciar Redes Sem Fio.

2. Clique na guia Adicionar.

3. Clique em Criar manualmente um perfil de rede.

   

4. Adicione os detalhes conforme configurado na WLC.

   Observação: o SSID diferencia maiúsculas de minúsculas.

5. Clique em Next.

   

6. Clique em Alterar configurações de conexão para verificar duas vezes as configurações.

   

7. Verifique se o PEAP está ativado.

   

   

8. Neste exemplo, não estamos validando o certificado do servidor. Se você marcar esta caixa e não conseguir se conectar, tente desabilitar o recurso e teste novamente.

   

9. Como alternativa, você pode usar suas credenciais do Windows para fazer login. No entanto, neste exemplo, não vamos utilizá-lo. Click OK.

   

10. Clique em Configurações avançadas para configurar Nome de usuário e Senha.

    

    

    

O utilitário Cliente está agora pronto para ligar.

EAP-FAST (usuário2)

Em nosso cliente de teste, estamos usando o suplicante nativo do Windows 7 com uma placa Intel 6300-N executando a versão de driver 14.3. É recomendável testar usando os drivers mais recentes dos fornecedores.

Conclua estes passos para criar um perfil no WZC:

1. Vá para Painel de Controle > Rede e Internet > Gerenciar Redes Sem Fio.

2. Clique na guia Adicionar.

3. Clique em Criar manualmente um perfil de rede.

   

4. Adicione os detalhes conforme configurado na WLC.

   Observação: o SSID diferencia maiúsculas de minúsculas.

5. Clique em Next.

   

6. Clique em Alterar configurações de conexão para verificar duas vezes as configurações.

   

7. Verifique se o EAP-FAST está ativado.

   Observação: por padrão, o WZC não tem EAP-FAST como um método de autenticação. Você precisa fazer o download do utilitário de um fornecedor terceirizado. Neste exemplo, como se trata de uma placa Intel, temos o Intel PROSet instalado no sistema.

   

   

8. Habilitar Permitir provisionamento automático de PAC e verificar se Validar certificado do servidor está desmarcada.

   

9. Clique na guia User Credentials e insira as credenciais do usuário2. Como alternativa, você pode usar suas credenciais do Windows para fazer login. No entanto, neste exemplo, não vamos utilizá-lo.

   

10. Click OK.

    

O utilitário Cliente agora está pronto para se conectar ao usuário2.

Observação: quando o usuário2 está tentando autenticar, o servidor RADIUS enviará uma PAC. Aceite a PAC para concluir a autenticação.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Verificar usuário1 (PEAP-MSCHAPv2)

Na GUI da WLC, vá para Monitor > Clients e selecione o endereço MAC.

Estatísticas de RADIUS da WLC:

(Cisco Controller) >show radius auth statistics
Authentication Servers:
Server Index..................................... 1
Server Address................................... 192.168.150.24
Msg Round Trip Time.............................. 1 (msec)
First Requests................................... 8
Retry Requests................................... 0
Accept Responses................................. 1
Reject Responses................................. 0
Challenge Responses.............................. 7
Malformed Msgs................................... 0
Bad Authenticator Msgs........................... 0
Pending Requests................................. 0
Timeout Requests................................. 0
Unknowntype Msgs................................. 0
Other Drops...................................... 0

Logs ACS:

1. Conclua estes passos para visualizar as contagens de Acertos:

   1. Se você verificar os registros dentro de 15 minutos da autenticação, certifique-se de atualizar a contagem de ocorrências.

      

   2. Você tem uma guia para Contagem de Acertos na parte inferior da mesma página.

      

2. Clique em Monitoring and Reports (Monitoramento e relatórios) e uma nova janela pop-up será exibida. Vá para Authentications -Radius -Today. Você também pode clicar em Details para verificar qual regra de seleção de serviço foi aplicada.

   

Verificar usuário2 (EAP-FAST)

Na GUI da WLC, vá para Monitor > Clients e selecione o endereço MAC.

Logs ACS:

1. Conclua estes passos para visualizar as contagens de Acertos:

   1. Se você verificar os registros dentro de 15 minutos da autenticação, certifique-se de atualizar a contagem de HIT.

      

   2. Você tem uma guia para Contagem de Acertos na parte inferior da mesma página.

      

2. Clique em Monitoring and Reports (Monitoramento e relatórios) e uma nova janela pop-up será exibida. Vá para Authentications -Radius -Today. Você também pode clicar em Details para verificar qual regra de seleção de serviço foi aplicada.

   

Troubleshoot

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Comandos para Troubleshooting

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota:Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

1. Se você tiver problemas, emita estes comandos na WLC:

   • debug client <mac add of the client>

   • debug aaa all enable

   • show client detail <mac addr> - Verifique o estado do gerenciador de políticas.

   • show radius auth statistics - Verifique o motivo da falha.

   • debug disable-all - Desative as depurações.

   • clear stats radius auth all - Limpe as estatísticas de raio na WLC.

2. Verifique os registros no ACS e observe o motivo da falha.

Informações Relacionadas

• Suporte Técnico e Documentação - Cisco Systems

Histórico de revisões