本文档提供在Cisco统一无线网络中,以Microsoft网络策略服务器(NPS)作为RADIUS服务器,使用Microsoft质询握手身份验证协议(MS-CHAP)第2版身份验证的受保护可扩展身份验证协议(PEAP)的示例配置。
在尝试此配置之前,请确保您熟悉以下步骤:
在尝试此配置之前,请确保满足以下要求:
有关Cisco 5508系列无线控制器的初始安装和配置信息,请参阅Cisco 5500系列无线控制器安装指南。
注意:本文档旨在向读者提供Microsoft服务器上PEAP-MS-CHAP身份验证所需配置的示例。本文档中介绍的Microsoft Windows服务器配置已在实验室中测试,并发现可以按预期工作。如果配置有问题,请联系Microsoft获取帮助。思科技术支持中心(TAC)不支持Microsoft Windows服务器配置。
Microsoft Windows 2008安装和配置指南可在Microsoft技术网上找到。
本文档中的信息基于以下软件和硬件版本:
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文档约定的更多信息,请参考 Cisco 技术提示约定。
PEAP使用传输级安全(TLS)在身份验证PEAP客户端(如无线笔记本电脑)和PEAP身份验证器(如Microsoft NPS或任何RADIUS服务器)之间创建加密通道。PEAP不指定身份验证方法,但为其他可扩展身份验证协议(EAP)(如EAP-MS-CHAP v2)提供额外的安全性,这些协议可通过PEAP提供的TLS加密通道运行。PEAP身份验证过程包括两个主要阶段。
无线客户端将与 AP 相关联。基于IEEE 802.11的关联在客户端和接入点之间创建安全关联之前提供开放系统或共享密钥身份验证。在客户端与接入点之间成功建立基于 IEEE 802.11 的关联之后,TLS 会话就会与 AP 进行协商。在无线客户端和NPS之间成功完成身份验证后,客户端和NPS之间将协商TLS会话。在此协商中派生的密钥将用来加密随后的所有通信。
EAP 通信(包括 EAP 协商)发生在由 PEAP 在 PEAP 认证过程的第一阶段中创建的 TLS 通道内。NPS使用EAP-MS-CHAP v2对无线客户端进行身份验证。LAP和控制器仅在无线客户端和RADIUS服务器之间转发消息。无线LAN控制器(WLC)和LAP无法解密这些消息,因为它不是TLS端点。
成功身份验证尝试的RADIUS消息序列(其中用户已为PEAP-MS-CHAP v2提供基于密码的有效凭证)为:
在本节中,您将获得配置PEAP-MS-CHAP v2的信息。
注意:使用命令查找工具(仅限注册客户)可获取有关本节中使用的命令的详细信息。
此配置使用以下网络设置:
在此设置中,Microsoft Windows 2008 Server 担当以下角色:
服务器通过第2层交换机连接到有线网络,WLC和注册的LAP也通过第2层交换机连接到网络。
无线客户端使用Wi-Fi保护访问2(WPA2)- PEAP-MS-CHAP v2身份验证连接到无线网络。
本示例的目标是配置Microsoft 2008服务器、无线LAN控制器和轻量AP,以使用PEAP-MS-CHAP v2身份验证对无线客户端进行身份验证。此过程有三个主要步骤:
在本示例中,Microsoft Windows 2008服务器的完整配置包括以下步骤:
要将Microsoft Windows 2008服务器配置为域控制器,请完成以下步骤:
Microsoft 2008 Server 上的 DHCP 服务用于向无线客户端提供 IP 地址。要安装和配置DHCP服务,请完成以下步骤:
使用EAP-MS-CHAP v2的PEAP根据服务器上存在的证书验证RADIUS服务器。此外,服务器证书必须由客户端计算机信任的公有CA颁发(即,客户端计算机证书存储区的受信任根证书颁发机构文件夹中已存在公有CA证书)。
要将Microsoft Windows 2008服务器配置为向NPS颁发证书的CA服务器,请完成以下步骤:
要将客户端连接到有线网络并从新域下载域特定信息,请完成以下步骤:
在此设置中,NPS用作RADIUS服务器,通过PEAP身份验证对无线客户端进行身份验证。请完成以下步骤以在Microsoft WIndows 2008服务器上安装和配置NPS:
要安装NPS的计算机证书,请完成以下步骤:
要配置NPS进行身份验证,请完成以下步骤:
在本示例中,用户数据库在Active Directory上维护。请完成以下步骤,以便将用户添加到Active Directory数据库:
为此设置配置无线设备(无线LAN控制器和LAP)。
将WLC配置为将NPS用作身份验证服务器。必须配置WLC才能将用户凭证转发到外部RADIUS服务器。然后,外部 RADIUS 服务器验证用户凭证,并向无线客户端提供访问权限。
要在“安全”>“RADIUS身份验证”页中将NPS添加为RADIUS服务器,请完成以下步骤:
配置无线客户端连接的服务集标识符(SSID)(WLAN)。本示例中将创建 SSID,并将其命名为 PEAP。
将第2层身份验证定义为WPA2,以便客户端执行基于EAP的身份验证(本例中为PEAP-MS-CHAP v2)并使用高级加密标准(AES)作为加密机制。将其他所有值均保留默认值。
注意:本文档将WLAN与管理接口绑定。当您的网络中有多个 VLAN 时,可以创建一个单独的 VLAN 并将其绑定到 SSID。有关如何在 WLC 上配置 VLAN 的信息,请参阅无线局域网控制器上的 VLAN 配置示例。
要在WLC上配置WLAN,请完成以下步骤:
完成以下步骤,使用Windows零配置工具配置无线客户端以连接到PEAP WLAN。
当前没有可用于此配置的验证过程。
如果您的客户端未连接到WLAN,本部分提供可用于排除配置故障的信息。
有两种工具可用于诊断802.1x身份验证故障:debug client命令和Windows中的事件查看器。
从WLC执行客户端调试不占用资源,也不影响服务。要启动调试会话,请打开WLC的命令行界面(CLI),然后输入debug client mac address,其中mac地址是无法连接的无线客户端的无线mac地址。运行此调试时,尝试连接客户端;WLC的CLI上应有类似本例的输出:
这是配置错误时可能出现的问题的示例。此处,WLC调试显示WLC已进入身份验证状态,这意味着WLC正在等待NPS的响应。这通常是由于WLC或NPS上的共享密钥不正确所致。您可以通过Windows Server事件查看器确认这一点。如果找不到日志,请求从未到达NPS。
从WLC调试中找到的另一个示例是access-reject。访问拒绝显示NPS已接收并拒绝客户端凭证。以下是客户端接收access-reject的示例:
当您看到访问拒绝时,请检查Windows Server事件日志中的日志,以确定NPS为什么用访问拒绝响应客户端。
成功的身份验证在客户端调试中具有access-accept,如以下示例所示:
排除访问拒绝和响应超时故障需要访问RADIUS服务器。WLC充当在客户端和RADIUS服务器之间传递EAP消息的验证器。RADIUS服务的制造商应检查并诊断以访问拒绝或响应超时响应的RADIUS服务器。
注意:TAC不为第三方RADIUS服务器提供技术支持;但是,RADIUS服务器上的日志通常解释客户端请求被拒绝或被忽略的原因。
要排除NPS的访问拒绝和响应超时故障,请检查服务器上Windows事件查看器中的NPS日志。
在“事件视图”的此部分,有已通过和失败的身份验证的日志。检查这些日志以排除客户端未通过身份验证的故障。通过的身份验证和失败的身份验证都显示为“信息”。滚动日志以查找身份验证失败并根据WLC调试收到访问拒绝的用户名。
以下是NPS拒绝用户访问的示例:
在事件查看器中查看deny语句时,请检查Authentication Details部分。在本例中,您可以看到NPS由于用户名不正确而拒绝了用户访问:
如果WLC未收到来自NPS的响应,NPS上的事件视图也有助于进行故障排除。 这通常是由NPS和WLC之间的共享密钥不正确引起的。
在本例中,NPS由于共享密钥不正确而丢弃来自WLC的请求:
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
02-Apr-2013 |
初始版本 |