يصف هذا المستند كيفية تكوين Cisco Secure Services Client (CSSC) باستخدام وحدات التحكم في الشبكة المحلية (LAN) اللاسلكية وبرنامج Microsoft Windows 2000® وبرنامج Cisco Secure Access Control Server (ACS) 4.0 من خلال EAP-FAST. يقدم هذا المستند بنية EAP-FAST ويقدم أمثلة على النشر والتكوين. CSSC هو مكون برنامج العميل الذي يوفر اتصال بيانات اعتماد المستخدم بالبنية الأساسية لمصادقة مستخدم على الشبكة وتخصيص الوصول المناسب.
هذه بعض ميزات حل CSSC كما هو موضح في هذا المستند:
مصادقة كل مستخدم (أو جهاز) قبل الوصول إلى إذن الشبكة المحلية اللاسلكية (WLAN)/الشبكة المحلية اللاسلكية (LAN) مع بروتوكول المصادقة المتوسع (EAP)
حل أمان شامل لشبكة WLAN مع مكونات الخادم والمصادقة والعميل
حل مشترك للمصادقة السلكية واللاسلكية
مفاتيح تشفير ديناميكية لكل مستخدم مشتقة في عملية المصادقة
لا يتطلب وجود بنية أساسية للمفتاح العام (PKI) أو شهادات (التحقق من الشهادة إختياري)
الوصول إلى إطار عمل EAP الذي تم تمكينه ل NAC و/أو
ملاحظة: ارجع إلى مخطط Cisco Safe اللاسلكي للحصول على معلومات حول نشر الاتصال اللاسلكي الآمن.
تم دمج إطار مصادقة 802.1x كجزء من معيار 802.11i (أمان الشبكة المحلية اللاسلكية) لتمكين وظائف المصادقة والتفويض والمحاسبة المستندة إلى الطبقة 2 في شبكة شبكة محلية لاسلكية 802.11. توجد اليوم العديد من بروتوكولات EAP المتاحة للنشر في كل من الشبكات السلكية واللاسلكية. تتضمن بروتوكولات EAP المنشورة بشكل شائع LEAP و PEAP و EAP-TLS. وبالإضافة إلى هذه البروتوكولات، قامت Cisco بتعريف وتنفيذ مصادقة EAP المرنة من خلال بروتوكول النفق الآمن (EAP-FAST) كبروتوكول EAP قائم على المعايير متاح للنشر في شبكات LAN السلكية واللاسلكية على حد سواء. تتوافر مواصفات بروتوكول EAP-FAST للجمهور على موقع IETF على الويب .
كما هو الحال مع بعض بروتوكولات EAP الأخرى، فإن EAP-FAST هو بنية أمان العميل-الخادم التي تقوم بتشفير حركات EAP داخل نفق TLS. وعلى الرغم من التشابه مع PEAP أو EAP-TTLS في هذا الصدد، فإنه يختلف في أن إنشاء نفق EAP-FAST يقوم على مفاتيح سرية مشتركة قوية تكون فريدة لكل مستخدم في مقابل PEAP/EAP-TTLS (التي تستخدم شهادة خادم X.509 لحماية جلسة المصادقة). وتسمى هذه المفاتيح السرية المشتركة بيانات اعتماد الوصول المحمي (PACs) ويمكن توزيعها تلقائيا (الإمداد التلقائي أو داخل النطاق الترددي) أو يدويا (الإمداد اليدوي أو خارج النطاق الترددي) على أجهزة العميل. ولأن المصافحة التي تعتمد على الأسرار المشتركة أكثر فعالية من المصافحة التي تعتمد على البنية الأساسية PKI، فإن EAP-FAST هو أسرع أنواع EAP التي تعتمد على المعالج بشكل أقل والتي توفر عمليات تبادل للمصادقة المحمية. كما أن EAP-FAST مصمم لضمان بساطة النشر لأنه لا يتطلب شهادة على عميل الشبكة المحلية اللاسلكية أو على البنية الأساسية RADIUS ومع ذلك فإنه يتضمن آلية إمداد مدمجة.
وهذه بعض القدرات الرئيسية لبروتوكول EAP-FAST:
تسجيل دخول أحادي (SSO) باستخدام اسم مستخدم/كلمة مرور Windows
دعم تنفيذ البرنامج النصي لتسجيل الدخول
دعم وصول Wi-Fi المحمي (WPA) دون مطالبة من جهة خارجية (Windows 2000 و XP فقط)
عملية نشر بسيطة دون الحاجة لبنية PKI الأساسية
شيخوخة كلمة مرور Windows (أي دعم انتهاء صلاحية كلمة المرور المستندة إلى الخادم)
التكامل مع Cisco Trust Agent للتحكم في الدخول إلى الشبكة مع برامج العميل المناسبة
هناك افتراض بأن المثبت لديه معرفة بتثبيت Windows 2003 الأساسي وتثبيت Cisco WLC حيث أن هذا المستند يغطي فقط التكوينات المحددة لتسهيل الاختبارات.
للحصول على معلومات التثبيت الأولي ومعلومات التكوين لوحدات التحكم من السلسلة Cisco 4400 Series، ارجع إلى دليل البدء السريع: وحدات التحكم في الشبكة المحلية اللاسلكية من السلسلة Cisco 4400 Series. للحصول على معلومات التثبيت الأولي ومعلومات التكوين لوحدات التحكم من السلسلة Cisco 2000 Series، ارجع إلى دليل البدء السريع: سلسلة وحدات التحكم في الشبكة المحلية اللاسلكية Cisco 2000 Series.
قبل البدء، قم بتثبيت Microsoft Windows Server 2000 باستخدام أحدث برنامج لحزمة الخدمة. قم بتثبيت وحدات التحكم ونقاط الوصول في الوضع Lightweight (نقاط الوصول في الوضع Lightweight (LAPs) وتأكد من تكوين آخر تحديثات البرامج.
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
وحدة التحكم من السلسلة Cisco 2006 أو 4400 Series التي تشغل الإصدار 4.0.155.5
cisco 1242 LWAPP AP
Windows 2000 مع Active Directory
cisco مادة حفازة 3750G مفتاح
Windows XP مع بطاقة مهايئ CB21AG و Cisco Secure Services Client، الإصدار 4.05
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
عند نشر شبكة WLAN والسعي إلى بروتوكول مصادقة، من المرغوب بشكل عام إستخدام قاعدة بيانات حالية لمصادقة المستخدم/الجهاز. قواعد البيانات النموذجية التي يمكن إستخدامها هي Windows Active Directory أو LDAP أو قاعدة بيانات كلمة مرور المرة الواحدة (OTP) (أي RSA أو SecureID). جميع قواعد البيانات هذه متوافقة مع بروتوكول EAP-FAST، ولكن عندما تخطط للنشر، هناك بعض متطلبات التوافق التي يجب مراعاتها. يتم تحقيق النشر الأولي لملف مسوغات الوصول المحمي (PAC) إلى العملاء من خلال التوفير التلقائي المجهول أو الإمداد المصادق (من خلال شهادة العميل الحالي X.509) أو الإمداد اليدوي. لأغراض هذا المستند، يتم مراعاة التوفير التلقائي للمجهول والإمداد اليدوي.
يستخدم إمداد PAC التلقائي بروتوكول إتفاقية مفتاح Diffie-Hellman (ADHP) المصادق لإنشاء نفق آمن. يمكن إنشاء النفق الآمن إما بشكل مجهول أو من خلال آلية مصادقة الخادم. ضمن اتصال النفق المنشأ، يستخدم MS-CHAPv2 لمصادقة العميل، وعند المصادقة الناجحة، لتوزيع ملف مسوغ الوصول المحمي إلى العميل. بعد توفير مسوغ الوصول المحمي (PAC) بنجاح، يمكن إستخدام ملف مسوغات الوصول المحمي (PAC) لبدء جلسة مصادقة جديدة EAP-FAST للحصول على وصول آمن إلى الشبكة.
إن توفير مسوغ الوصول المحمي التلقائي مرتبط بقاعدة البيانات المستخدمة لأنه، نظرا لأن آلية الإمداد التلقائي تعتمد على MSCHAPv2، فإن قاعدة البيانات المستخدمة للمصادقة على المستخدمين يجب أن تكون متوافقة مع تنسيق كلمة المرور هذا. إذا كنت تستخدم EAP-FAST مع قاعدة بيانات لا تدعم تنسيق MSCHAPv2 (مثل OTP أو Novell أو LDAP)، فإنه يتطلب إستخدام آلية أخرى (أي الإمداد اليدوي أو الإمداد المصدق) لنشر ملفات مسوغات الوصول المحمي الخاصة بالمستخدم. يعطي هذا المستند مثالا للتوفير التلقائي باستخدام قاعدة بيانات مستخدم Windows.
لا تتطلب مصادقة EAP-FAST إستخدام نوع تشفير WLAN محدد . يتم تحديد نوع تشفير WLAN الذي سيتم إستخدامه بواسطة إمكانيات بطاقة واجهة الشبكة (NIC) الخاصة بالعميل. يوصى باستخدام تشفير WPA2 (AES-CCM) أو WPA(TKIP)، حسب إمكانات بطاقة واجهة الشبكة (NIC) في عملية نشر محددة. لاحظ أن حل Cisco WLAN يسمح بوجود كلا من WPA2 وأجهزة عميل WPA على SSID مشترك.
إذا كانت أجهزة العميل لا تدعم WPA2 أو WPA، فمن الممكن نشر مصادقة 802.1X باستخدام مفاتيح WEP الديناميكية، ولكن نظرا للمستكشفات المعروفة مقابل مفاتيح WEP، لا يوصى بآلية تشفير WLAN هذه. إذا كان من المطلوب دعم عملاء WEP فقط، يوصى باستخدام فاصل زمني بين جلسة ومهلة، مما يتطلب أن يستخرج العملاء مفتاح WEP جديد على فاصل زمني متكرر. ثلاثين دقيقة هي فترة جلسة العمل الموصى بها لمعدلات بيانات شبكة WLAN النموذجية.
يشير تسجيل الدخول الأحادي إلى قدرة تسجيل دخول مستخدم واحد أو إدخال بيانات اعتماد المصادقة المراد إستخدامها للوصول إلى تطبيقات متعددة أو أجهزة متعددة. لأغراض هذا المستند، يشير تسجيل الدخول الأحادي إلى إستخدام بيانات الاعتماد المستخدمة لتسجيل الدخول إلى جهاز كمبيوتر للمصادقة على شبكة WLAN.
باستخدام Cisco Secure Services Client، من الممكن إستخدام بيانات اعتماد تسجيل الدخول الخاصة بمستخدم للمصادقة أيضا على شبكة WLAN. في حالة الرغبة في مصادقة جهاز كمبيوتر إلى الشبكة قبل تسجيل دخول المستخدم إلى الكمبيوتر، يلزم إستخدام بيانات اعتماد المستخدم المخزنة أو بيانات الاعتماد المرتبطة بملف تعريف الجهاز. ويعد أي من هذه الأساليب مفيدا في الحالات التي يكون فيها تشغيل البرامج النصية لتسجيل الدخول أو تعيين محركات الأقراص عند تمهيد الكمبيوتر، وذلك على العكس من الحالات التي يقوم فيها المستخدم بتسجيل الدخول.
هذا هو الرسم التخطيطي للشبكة المستخدم في هذا المستند. في هذه الشبكة، هناك أربع شبكات فرعية مستخدمة. لاحظ أنه من غير الضروري تقسيم هذه الأجهزة إلى شبكات مختلفة، ولكن هذا يوفر أقصى قدر من المرونة للدمج مع الشبكات الفعلية. توفر وحدة التحكم في الشبكة المحلية اللاسلكية المدمجة Catalyst 3750G إمكانات محولات التزويد بالطاقة عبر شبكة إيثرنت (POE) والتحويل من المستوى الثالث ووحدة التحكم في الشبكة المحلية اللاسلكية (WLAN) على هيكل مشترك.
الشبكة 10.1.1.0 هي شبكة الخادم التي يتواجد فيها ACS.
الشبكة 10.10.80.0 هي شبكة الإدارة المستخدمة بواسطة وحدة التحكم في الشبكة المحلية اللاسلكية (WLAN).
الشبكة 10.10.81.0 هي الشبكة التي توجد بها نقاط الوصول.
يتم إستخدام الشبكة 10.10.82.0 لعملاء شبكة WLAN.
في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.
ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للعثور على مزيد من المعلومات حول الأوامر المستخدمة في هذا المستند.
يصف هذا القسم كيفية تكوين ACS ل EAP-FAST مع توفير PAC داخل النطاق مع Windows Active Directory كقاعدة بيانات خارجية.
قم بتسجيل الدخول إلى ACS > تكوين الشبكة وانقر فوق إضافة إدخال.
قم بتعبئة اسم وحدة التحكم في الشبكة المحلية اللاسلكية (WLAN) وعنوان IP والمفتاح السري المشترك وتحت "المصادقة باستخدام"، أختر RADIUS (Cisco Airespace)، والذي يتضمن أيضا سمات RADIUS IETF.
ملاحظة: في حالة تمكين مجموعات أجهزة الشبكة (NDG)، أختر أولا NDG المناسب وقم بإضافة وحدة التحكم في الشبكة المحلية اللاسلكية (WLAN) إليها. ارجع إلى دليل تكوين ACS للحصول على تفاصيل حول NDG.
انقر على إرسال+ إعادة تشغيل.
يصف هذا القسم كيفية تكوين ACS للاستعلام عن قاعدة البيانات الخارجية.
طقطقت خارجي مستعمل قاعدة معطيات>قاعدة معطيات تشكيل>Windows قاعدة معطيات>يشكل.
تحت تكوين قائمة المجالات، قم بنقل المجالات من المجالات المتاحة إلى قائمة المجالات.
ملاحظة: يجب أن يكون لدى الخادم الذي يشغل ACS معرفة بهذه المجالات من أجل تطبيق ACS للكشف عن هذه المجالات واستخدامها لأغراض المصادقة.
تحت إعدادات Windows EAP، قم بتكوين الخيار للسماح بتغيير كلمة المرور داخل PEAP أو EAP-FAST جلسة. ارجع إلى دليل التكوين ل Cisco Secure ACS 4.1 للحصول على مزيد من التفاصيل حول EAP-FAST وكلمة مرور Windows.
انقر على إرسال.
ملاحظة: يمكنك أيضا تمكين ميزة "إذن الطلب الهاتفي" ل EAP-FAST ضمن "تكوين قاعدة بيانات مستخدم Windows" للسماح لقاعدة بيانات Windows الخارجية بالتحكم في إذن الوصول. لا تنطبق إعدادات MS-CHAP لتغيير كلمة المرور في صفحة تكوين قاعدة بيانات Windows إلا على مصادقة MS-CHAP غير EAP. لتمكين تغيير كلمة المرور بالاقتران مع EAP-FAST، من الضروري تمكين تغيير كلمة المرور ضمن إعدادات Windows EAP.
انقر على قاعدة بيانات المستخدم الخارجي > سياسة مستخدم غير معروفة واختر زر التحقق من قواعد بيانات المستخدم الخارجية التالية.
نقل قاعدة بيانات Windows من قواعد البيانات الخارجية إلى قواعد البيانات المحددة.
انقر على إرسال.
ملاحظة: من هذه النقطة فصاعدا، يتحقق ACS من قاعدة بيانات Windows. إذا لم يتم العثور على المستخدم في قاعدة البيانات المحلية ل ACS، فإنه يضع المستخدم في مجموعة ACS الافتراضية. ارجع إلى وثائق ACS للحصول على مزيد من التفاصيل حول تعيينات مجموعة قواعد البيانات.
ملاحظة: مع استعلامات ACS لقاعدة بيانات Microsoft Active Directory للتحقق من بيانات اعتماد المستخدم، يلزم تكوين إعدادات إضافية لحقوق الوصول على Windows. ارجع إلى دليل التثبيت ل Cisco Secure ACS ل Windows Server للحصول على تفاصيل.
يوضح هذا القسم كيفية تمكين دعم EAP-FAST على ACS.
انتقل إلى تكوين النظام > إعداد المصادقة العامة > تكوين EAP-FAST.
أختر السماح ب EAP-FAST.
قم بتكوين هذه التوصيات: المفتاح الرئيسي TTL/ المفتاح الرئيسي المتقاعد TTL/ PAC TTL. يتم تكوين هذه الإعدادات بشكل افتراضي في ACS الآمن من Cisco:
مفتاح رئيسي TTL:1 شهر
مفتاح TTL المتقاعد: 3 أشهر
PAC TTL: أسبوع واحد
املأ حقل معلومات معرف السلطة. يظهر هذا النص في بعض برامج عميل EAP-FAST حيث يكون تحديد مرجع مسوغات الوصول المحمي هو وحدة التحكم.
ملاحظة: لا يستخدم عميل Cisco Secure Services هذا النص الوصفي لسلطة مسوغات الوصول المحمي (PAC).
أختر حقل السماح بإمداد مسوغ الوصول المحمي داخل النطاق. يتيح هذا الحقل إمداد مسوغات الوصول المحمي تلقائيا لعملاء EAP-FAST الذين تم تمكينهم بشكل صحيح. على سبيل المثال، يتم إستخدام الإمداد التلقائي.
أختر الأساليب الداخلية المسموح بها: EAP-GTC و EAP-MSCHAP2. وهذا يسمح بتشغيل كل من عملاء EAP-FAST v1 و EAP-FAST v1a. (يدعم Cisco Secure Services Client EAP-FAST v1a.) إذا لم يكن من الضروري دعم عملاء EAP-FAST v1، فلا يلزم إلا تمكين EAP-MSCHAPv2 كطريقة داخلية.
أختر خانة الاختيار EAP-FAST Master Server لتمكين خادم EAP-FAST هذا كخادم أساسي. وهذا يسمح لخوادم ACS الأخرى باستخدام هذا الخادم كمرجع PAC الرئيسي لتجنب توفير مفاتيح فريدة لكل ACS في الشبكة. ارجع إلى دليل تكوين ACS للحصول على التفاصيل.
انقر على إرسال+إعادة تشغيل.
لأغراض دليل النشر هذا، يتم إستخدام وحدة التحكم في الشبكة المحلية اللاسلكية المدمجة (WLC) من Cisco WS3750G مع نقاط الوصول في الوضع Lightweight (LAP) من Cisco AP1240 لتوفير البنية الأساسية للشبكة المحلية اللاسلكية (WLAN) لاختبارات CSSC. التشكيل مناسب لأي وحدة تحكم في الشبكة المحلية اللاسلكية (WLAN) من Cisco. إصدار البرنامج المستخدم هو 4.0.155.5.
أستخدم معالج تكوين بدء التشغيل على واجهة سطر الأوامر (CLI) لتكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) للعملية الأساسية. بدلا من ذلك، يمكنك إستخدام واجهة المستخدم الرسومية (GUI) لتكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). يشرح هذا المستند التكوين على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) باستخدام معالج تكوين بدء التشغيل على واجهة سطر الأوامر.
بعد تمهيد عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لأول مرة، يدخل في معالج تكوين بدء التشغيل. أستخدم معالج التكوين لتكوين الإعدادات الأساسية. يمكنك الوصول إلى المعالج من خلال واجهة سطر الأوامر (CLI) أو واجهة المستخدم الرسومية (GUI). يوضح هذا الإخراج مثالا لمعالج تكوين بدء التشغيل على CLI (واجهة سطر الأوامر):
Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup System Name [Cisco_33:84:a0]: ws-3750 Enter Administrative User Name (24 characters max): admin Enter Administrative Password (24 characters max): ***** Management Interface IP Address: 10.10.80.3 Management Interface Netmask: 255.255.255.0 Management Interface Default Router: 10.10.80.2 Management Interface VLAN Identifier (0 = untagged): Management Interface DHCP Server IP Address: 10.10.80.2 AP Manager Interface IP Address: 10.10.80.4 AP-Manager is on Management subnet, using same values AP Manager Interface DHCP Server (172.16.1.1): Virtual Gateway IP Address: 1.1.1.1 Mobility/RF Group Name: Security Network Name (SSID): Enterprise Allow Static IP Addresses [YES][no]: yes Configure a RADIUS Server now? [YES][no]: no Warning! The default WLAN security policy requires a RADIUS server. Please see documentation for more details. Enter Country Code (enter 'help' for a list of countries) [US]: Enable 802.11b Network [YES][no]: yes Enable 802.11a Network [YES][no]: yes Enable 802.11g Network [YES][no]: yes Enable Auto-RF [YES][no]: yes Configuration saved! Resetting system with new configuration.
تقوم هذه المعلمات بإعداد عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) للعملية الأساسية. في مثال التكوين هذا، يستخدم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) 10.10.80.3 كعنوان IP لواجهة الإدارة و10.10.80.4 كعنوان IP لواجهة AP-Manager.
قبل تكوين أي ميزات أخرى على قوائم التحكم في الشبكة المحلية اللاسلكية (WLCs)، يجب تسجيل نقاط الوصول في الوضع Lightweight (LAPs) مع عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). يفترض هذا المستند أن نقاط الوصول في الوضع Lightweight (LAP) مسجلة في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). ارجع إلى تسجيل نقطة الوصول في الوضع Lightweight إلى قسم قوائم التحكم في الشبكة المحلية اللاسلكية (WLCs) في تجاوز فشل وحدة التحكم في الشبكة المحلية اللاسلكية (WLAN) لمثال تكوين نقاط الوصول في الوضع Lightweight للحصول على معلومات حول كيفية تسجيل نقاط الوصول في الوضع Lightweight مع عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). للمرجع مع مثال التكوين هذا، يتم نشر نقطة الوصول (AP1240S) على شبكة فرعية منفصلة (10.10.81.0/24) من وحدة التحكم في الشبكة المحلية اللاسلكية (WLAN) (10.10.80.0/24)، ويتم إستخدام خيار DHCP رقم 43 لتوفير اكتشاف وحدة التحكم.
يلزم تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لإعادة توجيه بيانات اعتماد المستخدم إلى خادم ACS الآمن من Cisco. يتحقق خادم ACS بعد ذلك من مسوغات المستخدم (من خلال قاعدة بيانات Windows التي تم تكوينها) ويوفر الوصول إلى العملاء اللاسلكيين.
أتمت هذا steps أن يشكل ال WLC للاتصال إلى ال ACS نادل:
انقر على الأمان ومصادقة RADIUS من واجهة المستخدم الرسومية (GUI) لوحدة التحكم لعرض صفحة خوادم مصادقة RADIUS. ثم انقر فوق جديد لتحديد خادم ACS.
قم بتعريف معلمات خادم ACS في خوادم مصادقة RADIUS > صفحة جديدة. وتتضمن هذه المعلمات عنوان IP ل ACS والسر المشترك ورقم المنفذ وحالة الخادم.
ملاحظة: رقم المنفذ 1645 أو 1812 متوافق مع ACS لمصادقة RADIUS.
تحدد خانات الاختيار لمستخدم الشبكة وإدارتها ما إذا كانت المصادقة المستندة إلى RADIUS تنطبق على مستخدمي الشبكة (على سبيل المثال، عملاء WLAN) والإدارة (أي المستخدمين الإداريين). يستخدم مثال التكوين مصدر المحتوى الإضافي الآمن من Cisco كخادم RADIUS مع عنوان IP 10.1.1.12:
يصف هذا القسم تكوين عميل Cisco Secure Services. في هذا المثال، يتم إستخدام CSSC v4.0.5.4783 مع مهايئ عميل Cisco CB21AG. قبل تثبيت برنامج CSSC، تحقق من تثبيت برامج تشغيل CB21AG فقط، وليس أداة Aironet Desktop Utility (ADU).
بمجرد تثبيت البرنامج وتشغيله كخدمة، فإنه يقوم بفحص الشبكات المتاحة ويعرض الشبكات المتاحة.
ملاحظة: يقوم CSSC بتعطيل تكوين Windows Zero.
ملاحظة: لا يظهر سوى معرف SSID الذي تم تمكينه للبث.
ملاحظة: تقوم وحدة التحكم في الشبكة المحلية اللاسلكية (WLAN)، بشكل افتراضي، ببث SSID، لذلك يظهر في قائمة إنشاء شبكات من SSIDs الممسوحة ضوئيا. لإنشاء توصيف شبكة، يمكنك ببساطة النقر على SSID في القائمة (Enterprise) وزر إنشاء راديو الشبكة.
إذا تم تكوين البنية الأساسية للشبكة المحلية اللاسلكية (WLAN) مع تعطيل Broadcast SSID، يجب إضافة SSID يدويا، انقر فوق زر إضافة راديو تحت أجهزة الوصول وأدخل يدويا SSID المناسب (على سبيل المثال، Enterprise). قم بتكوين سلوك المسبار النشط للعميل، أي عندما يقوم العميل بالبحث بنشاط عن معرف SSID المكون الخاص به، حدد البحث النشط عن جهاز الوصول هذا بعد إدخال SSID في نافذة إضافة جهاز الوصول.
ملاحظة: لا تسمح إعدادات المنفذ بأوضاع المؤسسات (802.1X) إذا لم تكن إعدادات مصادقة EAP مكونة لأول مرة للتوصيف.
يطلق زر إنشاء راديو الشبكة إطار ملف تعريف الشبكة، والذي يسمح لك بإقران SSID المختار (أو المكون) بآلية مصادقة. قم بتعيين اسم وصفي لملف التعريف.
ملاحظة: يمكن إقران أنواع أمان متعددة لشبكة WLAN و/أو SSIDs ضمن ملف تعريف المصادقة هذا.
لكي يتمكن العميل من الاتصال بالشبكة تلقائيا عند وجوده في نطاق تغطية التردد اللاسلكي، أختر إنشاء اتصال المستخدم تلقائيا. إلغاء تحديد متاح لجميع المستخدمين إذا لم يكن من المرغوب إستخدام ملف التعريف هذا مع حسابات المستخدمين الأخرى على الجهاز. إذا لم يتم إختيار الإنشاء التلقائي، فمن الضروري للمستخدم فتح نافذة CSSC وبدء اتصال WLAN يدويا باستخدام زر توصيل الراديو.
إذا كان من المطلوب بدء اتصال WLAN قبل دخول المستخدم، أختر قبل حساب المستخدم. وهذا يسمح بعملية تسجيل الدخول الأحادي باستخدام مسوغات المستخدم المحفوظة (كلمة المرور أو الشهادة/البطاقة الذكية عند إستخدام TLS ضمن EAP-FAST).
ملاحظة: لتشغيل WPA/TKIP مع مهايئ عميل Cisco Aironet 350 Series Client Adapter، من الضروري تعطيل التحقق من صحة مصافحة WPA نظرا لوجود عدم توافق حاليا بين عميل CSSC و 350 محرك فيما يتعلق بالتحقق من صحة تجزئة مصافحة WPA. يتم تعطيل هذا تحت العميل > إعدادات متقدمة > التحقق من صحة تأكيد اتصال WPA/WPA2. لا يزال التحقق من صحة تأكيد الاتصال المعطل يسمح بميزات الأمان المتأصلة في WPA (TKIP لكل حزمة كبل وفحص تكامل الرسائل)، ولكنه يعطل مصادقة مفتاح WPA الأولي.
تحت ملخص تكوين الشبكة، انقر على تعديل لتكوين إعدادات EAP / بيانات الاعتماد. حدد تشغيل المصادقة، واختر FAST ضمن البروتوكول، واختر 'مجهول' كهوية (لاستخدام لا اسم مستخدم في طلب EAP الأولي). من الممكن إستخدام اسم المستخدم كمعرف لمعرف EAP الخارجي، ولكن لا يرغب العديد من العملاء في عرض معرفات المستخدم في طلب EAP الأولي غير المشفر. حدد إستخدام بيانات اعتماد تسجيل الدخول الأحادي لاستخدام بيانات اعتماد تسجيل الدخول لمصادقة الشبكة. انقر على تكوين لإعداد معلمات EAP-FAST.
تحت إعدادات FAST، من الممكن تحديد التحقق من شهادة الخادم، والتي تتيح للعميل التحقق من شهادة خادم EAP-FAST (ACS) قبل إنشاء جلسة EAP-FAST. وهذا يوفر الحماية لأجهزة العميل من الاتصال بخادم EAP-FAST مجهول أو دخيل وهمي غير مقصود لبيانات اعتماد المصادقة الخاصة بها إلى مصدر غير موثوق. وهذا يتطلب أن يكون لدى خادم ACS شهادة مثبتة وأن يكون لدى العميل أيضا شهادة المرجع المصدق الجذر الخاص بالمراسل مثبتة. في هذا المثال، لم يتم تمكين التحقق من شهادة الخادم.
تحت إعدادات FAST، من الممكن تحديد السماح باستئناف الجلسة السريعة، والذي يسمح باستئناف جلسة EAP-FAST بناء على معلومات النفق (TLS) بدلا من متطلبات إعادة مصادقة EAP-FAST كاملة. إذا كان لدى خادم EAP-FAST والعميل معرفة مشتركة بمعلومات جلسة TLS التي تم التفاوض عليها ضمن تبادل مصادقة EAP-FAST الأولي، يمكن أن يحدث إستئناف الجلسة.
ملاحظة: يجب تكوين كل من خادم EAP-FAST والعميل لاستئناف جلسة EAP-FAST.
تحت أسلوب النطاقات > إعدادات EAP-TLS، حدد أي طريقة للسماح بالتزويد التلقائي ل EAP-MSCHAPv2 ل PAC و EAP-GTC للمصادقة. إذا كنت تستخدم قاعدة بيانات بتنسيق Microsoft، مثل Active Directory، وإذا لم تكن تدعم أي عملاء EAP-FAST v1 على الشبكة، فيمكنك أيضا تحديد إستخدام MSCHAPv2 فقط كطريقة ذات قنوات.
ملاحظة: يتم تمكين التحقق من شهادة الخادم بشكل افتراضي ضمن إعدادات EAP-TLS في هذا الإطار. بما أن المثال لا يستخدم EAP-TLS كطريقة مصادقة داخلية، فإن هذا الحقل غير قابل للتطبيق. في حالة تمكين هذا الحقل، فإنه يمكن العميل من التحقق من شهادة الخادم بالإضافة إلى التحقق من صحة شهادة العميل داخل EAP-TLS.
انقر على موافق لحفظ إعدادات EAP-FAST. بما أن العميل تم تكوينه ل "الإنشاء التلقائي" تحت التوصيف، فإنه يقوم تلقائيا ببدء الاقتران/المصادقة مع الشبكة. من علامة التبويب إدارة الشبكات، تشير حقول الشبكة والحالة وأمان البيانات إلى حالة اتصال العميل. ومن هذا المثال، يتبين أن توصيف المؤسسة قيد الاستخدام وأداة الوصول إلى الشبكة هي مؤسسة SSID، والتي تشير إلى متصل:مصدق ويستخدم التوصيل التلقائي. يشير الحقل "أمان البيانات" إلى نوع تشفير 802.11 المستخدم، والذي، على سبيل المثال، هو WPA2.
بعد مصادقة العميل، أختر SSID ضمن ملف التعريف في علامة التبويب إدارة الشبكات وانقر فوق الحالة للاستعلام عن تفاصيل الاتصال. يوفر إطار تفاصيل الاتصال معلومات عن جهاز العميل وحالة الاتصال وإحصاءاته وطريقة المصادقة. توفر علامة تبويب تفاصيل WiFi تفاصيل عن حالة توصيل 802. 11 الذي يتضمن RSSI والقناة 802. 11 والمصادقة/التشفير.
بصفتك مسؤول نظام، يحق لك الحصول على الأداة المساعدة التشخيصية، وتقرير نظام Cisco Secure Services Client، المتوفر مع توزيع CSSC القياسي. تتوفر هذه الأداة المساعدة من القائمة "ابدأ" أو من دليل CSSC. للحصول على البيانات، انقر فوق تجميع البيانات > نسخ إلى الحافظة > تحديد موقع ملف التقرير. يقوم هذا بتوجيه نافذة Microsoft File Explorer إلى الدليل باستخدام ملف التقرير المضغوط. ضمن الملف المضغوط، تقع أكثر البيانات فائدة تحت السجل (log_current).
تقدم الأداة المساعدة الحالة الحالية لتفاصيل CSSC والواجهة وبرنامج التشغيل بالإضافة إلى معلومات الشبكة المحلية اللاسلكية (WLAN Information (SSID Detected وحالة الاقتران، وما إلى ذلك). يمكن أن يكون هذا مفيدا، خاصة لتشخيص مشاكل الاتصال بين CSSC ومهايئ الشبكة المحلية اللاسلكية (WLAN).
بعد تكوين خادم Cisco Secure ACS، ووحدة تحكم الشبكة المحلية اللاسلكية (WLAN)، وعميل CSSC، ونسخ تكوين قاعدة البيانات وتصحيحها المفترض، يتم تكوين شبكة WLAN لمصادقة EAP-FAST واتصال العميل الآمن. هناك نقاط عديدة يمكن مراقبتها للتحقق من التقدم / الأخطاء لجلسة عمل آمنة.
لاختبار التكوين، حاول إقران عميل لاسلكي بوحدة التحكم في الشبكة المحلية اللاسلكية بمصادقة EAP-FAST.
إذا تم تكوين CSSC للاتصال التلقائي، يحاول العميل هذا الاتصال تلقائيا. إذا لم يتم تكوينه للاتصال التلقائي وعملية تسجيل الدخول الأحادي، فيجب على المستخدم بدء اتصال WLAN من خلال زر توصيل الراديو. وهذا يؤدي إلى بدء عملية اقتران 802.11 التي تحدث من خلالها مصادقة EAP.
وفيما يلي مثال على هذا:
ثم يطلب من المستخدم توفير اسم المستخدم ثم كلمة المرور لمصادقة EAP-FAST (من مرجع EAP-FAST PAC أو ACS).
وفيما يلي مثال على هذا:
يقوم عميل CSSC، عن طريق عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، بعد ذلك بتمرير بيانات اعتماد المستخدم إلى خادم RADIUS (Cisco Secure ACS) للتحقق من بيانات الاعتماد. يتحقق ACS من مسوغات المستخدم عن طريق عقد مقارنة بين البيانات وقاعدة البيانات التي تم تكوينها (في مثال التكوين، تكون قاعدة البيانات الخارجية هي Windows Active Directory) ويوفر الوصول إلى العميل اللاسلكي كلما كانت مسوغات المستخدم صالحة. يظهر تقرير المصادقة الذي تم تمريره على خادم ACS أن العميل قد اجتاز مصادقة RADIUS/EAP.
وفيما يلي مثال على هذا:
على مصادقة RADIUS/EAP الناجحة، تتم مصادقة العميل اللاسلكي (00:40:96:ab:36:2f في هذا المثال) مع وحدة التحكم في نقطة الوصول/الشبكة المحلية اللاسلكية (WLAN).
بالإضافة إلى معلومات التشخيص والحالة، المتاحة في وحدة التحكم في ACS الآمنة من Cisco و Cisco WLAN، هناك نقاط إضافية يمكن إستخدامها لتشخيص مصادقة EAP-FAST. على الرغم من أنه يمكن تشخيص معظم مشاكل المصادقة دون إستخدام sniffer للشبكة المحلية اللاسلكية (WLAN) أو تصحيح أخطاء عمليات تبادل EAP في وحدة التحكم في الشبكة المحلية اللاسلكية (WLAN)، إلا أنه يتم تضمين هذه المواد المرجعية للمساعدة في أستكشاف الأخطاء وإصلاحها.
يبدي هذا 802.11 sniffer التقاط المصادقة تبادل.
تظهر هذه الحزمة إستجابة EAP-FAST EAP الأولية.
ملاحظة: حسب تكوين عميل CSSC، يستخدم مجهول الهوية كهوية EAP الخارجية في إستجابة EAP الأولية.
يمكن إستخدام أوامر تصحيح الأخطاء هذه في وحدة التحكم في الشبكة المحلية اللاسلكية (WLAN) لمراقبة تقدم تبادل المصادقة:
debug aaa events enable
enable debug aaa detail
debug dot1x حادث يمكن
debug dot1x الحالات enable
هذا مثال على بدء حركة مصادقة بين عميل CSSC و ACS كما هو مراقب في وحدة التحكم في الشبكة المحلية اللاسلكية (WLAN) مع تصحيح الأخطاء:
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Processing RSN IE type 48, length 20 for mobile 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received RSN IE with 0 PMKIDs from mobile 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f dot1x - moving mobile 00:40:96:a0:36:2f into Connecting state Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAP- Request/Identity to mobile 00:40:96:a0:36:2f (EAP Id 1) Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received Identity Response (count=1) from mobile 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f EAP State update from Connecting to Authenticating for mobile 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f dot1x - moving mobile 00:40:96:a0:36:2f into Authenticating state Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Entering Backend Auth Response state for mobile 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: AuthenticationRequest: 0x138dd764 Thu Aug 24 18:20:54 2006: Callback.......0x10372764 Thu Aug 24 18:20:54 2006: protocolType...0x00040001 Thu Aug 24 18:20:54 2006: proxyState.....00:40:96:A0:36:2F-11:00 Thu Aug 24 18:20:54 2006: Packet contains 15 AVPs (not shown) Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Successful transmission of Authentication Packet (id 84) to 10.1.1.12:1812, proxy state0 Thu Aug 24 18:20:54 2006: ****Enter processIncomingMessages: response code=11 Thu Aug 24 18:20:54 2006: ****Enter processRadiusResponse: response code=11 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Access-Challenge received from RADIUS server 10.1.1.12 for mobile 00:40:96:a0:36:2f rec7 Thu Aug 24 18:20:54 2006: AuthorizationResponse: 0x11c8a394 Thu Aug 24 18:20:54 2006: structureSize..147 Thu Aug 24 18:20:54 2006: resultCode.....255 Thu Aug 24 18:20:54 2006: protocolUsed...0x00000001 Thu Aug 24 18:20:54 2006: proxyState.....00:40:96:A0:36:2F-11:00 Thu Aug 24 18:20:54 2006: Packet contains 4 AVPs (not shown) Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Processing Access-Challenge for mobile 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Entering Backend Auth Req state (id=249) for mobile 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f WARNING: updated EAP-Identifer 1 ===> 249 for STA 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAP Request from AAA to mobile 00:40:96:a0:36:2f (EAP Id 249) Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAP Response from mobile 00:40:96:a0:36:2f (EAP Id 249, EAP Type 3)
هذا هو الإكمال الناجح لتبادل EAP من تصحيح أخطاء وحدة التحكم (مع مصادقة WPA2):
Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Processing Access- Accept for mobile 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Applying new AAA override for station 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Override values for station 00:40:96:a0:36:2f source: 4, valid bits: 0x0 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, r1' Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Unable to apply override policy for station 00:40:96:a0:36:2f - VapAllowRadiusOverride E Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Creating a new PMK Cache Entry for station 00:40:96:a0:36:2f (RSN 2) Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Adding BSSID 00:14:1b:5a:33:d0 to PMKID cache for station 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: New PMKID: (16) Thu Aug 24 18:20:54 2006: [0000] a6 c0 02 95 66 e8 ed 9b 1c 65 9b 72 1f 3f 5f 5b Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAP-Success to mobile 00:40:96:a0:36:2f (EAP Id 0) Thu Aug 24 18:20:54 2006: Including PMKID in M1 (16) Thu Aug 24 18:20:54 2006: [0000] a6 c0 02 95 66 e8 ed 9b 1c 65 9b 72 1f 3f 5f 5b Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAPOL-Key Message to mobile 00:40:96:a0:36:2f state INITPMK (message 1), repl0 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Entering Backend Auth Success state (id=0) for mobile 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received Auth Success while in Authenticating state for mobile 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f dot1x - moving mobile 00:40:96:a0:36:2f into Authenticated state Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAPOL- Key from mobile 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Invalid EAPOL version (1) in EAPOL-key message from mobile 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAPOL-key in PKT_START state (message 2) from mobile 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Stopping retransmission timer for mobile 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Sending EAPOL-Key Message to mobile 00:40:96:a0:36:2f state PTKINITNEGOTIATING (messa1 Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAPOL-Key from mobile 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Invalid EAPOL version (1) in EAPOL-key message from mobile 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Received EAPOL-key in PTKINITNEGOTIATING state (message 4) from mobile 00:40:96:a0:36:2f Thu Aug 24 18:20:54 2006: AccountingMessage Accounting Interim: 0x138dd764 Thu Aug 24 18:20:54 2006: Packet contains 20 AVPs: Thu Aug 24 18:20:54 2006: AVP[01] User-Name..................enterprise (10 bytes) Thu Aug 24 18:20:54 2006: AVP[02] Nas-Port...........................0x0000001d (29) (4 bytes) Thu Aug 24 18:20:54 2006: AVP[03] Nas-Ip-Address.....................0x0a0a5003 (168448003) (4 bytes) Thu Aug 24 18:20:54 2006: AVP[04] Class..............................CACS:0/28b5/a0a5003/29 (22 bytes) Thu Aug 24 18:20:54 2006: AVP[05] NAS-Identifier.....................ws-3750 (7 bytes) Thu Aug 24 18:20:54 2006: AVP[06] Airespace / WLAN-Identifier........0x00000001 (1) (4 bytes) Thu Aug 24 18:20:54 2006: AVP[07] Acct-Session-Id....................44ede3b0/00:40: 96:a0:36:2f/14 (29 bytes) Thu Aug 24 18:20:54 2006: AVP[08] Acct-Authentic.....................0x00000001 (1) (4 bytes) Thu Aug 24 18:20:54 2006: AVP[09] Tunnel-Type........................0x0000000d (13) (4 bytes) Thu Aug 24 18:20:54 2006: AVP[10] Tunnel-Medium-Type.................0x00000006 (6) (4 bytes) Thu Aug 24 18:20:54 2006: AVP[11] Tunnel-Group-Id....................0x3832 (14386) (2 bytes) Thu Aug 24 18:20:54 2006: AVP[12] Acct-Status-Type...................0x00000003 (3) (4 bytes) Thu Aug 24 18:20:54 2006: AVP[13] Acct-Input-Octets..................0x000b99a6 (760230) (4 bytes) Thu Aug 24 18:20:54 2006: AVP[14] Acct-Output-Octets.................0x00043a27 (277031) (4 bytes) Thu Aug 24 18:20:54 2006: AVP[15] Acct-Input-Packets.................0x0000444b (17483) (4 bytes) Thu Aug 24 18:20:54 2006: AVP[16] Acct-Output-Packets................0x0000099b (2459) (4 bytes) Thu Aug 24 18:20:54 2006: AVP[17] Acct-Session-Time..................0x00000a57 (2647) (4 bytes) Thu Aug 24 18:20:54 2006: AVP[18] Acct-Delay-Time....................0x00000000 (0) (4 bytes) Thu Aug 24 18:20:54 2006: AVP[19] Calling-Station-Id.................10.10.82.11 (11 bytes) Thu Aug 24 18:20:54 2006: AVP[20] Called-Station-Id..................10.10.80.3 (10 bytes) Thu Aug 24 18:20:54 2006: 00:40:96:a0:36:2f Stopping retransmission timer for mobile 00:40:96:a0:36:2f Thu Aug 24 18:20:57 2006: User admin authenticated
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
15-Feb-2014 |
الإصدار الأولي |