فهم EAP-TLS وتكوينه باستخدام WLC و ISE

تم التحديث:٦ نوفمبر ٢٠٢٣
معرّف المستند:213543

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية إعداد شبكة محلية لاسلكية (WLAN) باستخدام بروتوكول المصادقة المتوسع EAP-TLS و 802.1X.

      

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • عملية مصادقة وفقا لمعيار 802.1X
    • الشهادات

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • WLC 3504، الإصدار 8.10
    • Identity Services Engine (ISE)، الإصدار 2.7

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    تدفق EAP-TLS

    Topology - EAP-TLS Flow

    خطوات في تدفق EAP-TLS

    1. يرتبط العميل اللاسلكي بنقطة الوصول (AP). لا تسمح نقطة الوصول للعميل بإرسال أي بيانات عند هذه النقطة وترسل طلب مصادقة. ثم يستجيب مقدم الطلب بهوية EAP-Response. يقوم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بعد ذلك بتوصيل معلومات معرف المستخدم إلى خادم المصادقة. يستجيب خادم RADIUS للعميل مرة أخرى باستخدام حزمة بدء EAP-TLS. تبدأ محادثة EAP-TLS عند هذه النقطة.
    2. يرسل النظير EAP-Response مرة أخرى إلى خادم المصادقة الذي يحتوي على رسالة تأكيد اتصال client_hello، وهو تشفير تم تعيينه ل NULL
    3. يستجيب خادم المصادقة باستخدام حزمة Access-challenge التي تحتوي على:
    TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done.

    4. يستجيب العميل برسالة EAP-Response التي تحتوي على:

    Certificate ¬ Server can validate to verify that it is trusted.

client_key_exchange

certificate_verify ¬ Verifies the server is trusted

change_cipher_spec

TLS finished

    5. بعد مصادقة العميل بنجاح، يستجيب خادم RADIUS لتحدي الوصول، والذي يحتوي على الرسالة CHANGE_CIPHER_SPEC وانتهاء عملية المصافحة.

    6. عندما يستلم ذلك، يتحقق العميل من التجزئة لمصادقة خادم RADIUS.

    7. يتم اشتقاق مفتاح تشفير جديد ديناميكيا من السر أثناء مصافحة TLS.

    8/9. وأخيرا يتم إرسال EAP-SUCCESS من الخادم إلى المصدق ثم يتم إلحاقه بالمطالب.

    في هذه المرحلة يستطيع العميل اللاسلكي الذي يدعم EAP-TLS الوصول إلى الشبكة اللاسلكية.

    التكوين

    وحدة التحكم في شبكة LAN اللاسلكية من Cisco

    الخطوة 1. الخطوة الأولى هي تكوين خادم RADIUS على Cisco WLC. لإضافة خادم RADIUS، انتقل إلى الأمان > RADIUS > المصادقة. انقر جديد كما هو موضح في الصورة.

    Wireless LAN Controller - Configure RADIUS Server

    الخطوة 2. هنا، يحتاج أنت أن يدخل العنوان والسر المشترك <password> أن يكون استعملت in order to دققت ال WLC على ال ISE. انقر فوق تطبيق للمتابعة كما هو موضح في الصورة.

    Wireless LAN Controller - Enter Shared IP Address and Shared Password

    الخطوة 3. إنشاء شبكة WLAN لمصادقة RADIUS.

    الآن، يمكنك إنشاء شبكة WLAN جديدة وتكوينها لاستخدام وضع WPA-مؤسسي، حتى يمكنها إستخدام RADIUS للمصادقة.

    الخطوة 4. حدد شبكات WLAN من القائمة الرئيسية، أختر إنشاء جديد وانقر انتقال كما هو موضح في الصورة.

    Wireless LAN Controller - Select WLANs from Main Menu and Create New

    الخطوة 5. قم بتسمية EAP-TLS الجديد لشبكة WLAN. انقر فوق تطبيق للمتابعة كما هو موضح في الصورة.

    Wireless LAN Controller - Name the New WLAN EAP-TLS

    الخطوة 6. انقر على عام وتأكد من أن الحالة ممكنة. سياسات التأمين الافتراضية هي مصادقة 802.1X و WPA2 كما هو موضح في الصورة.

    Wireless LAN Controller - Ensure the Status is Enabled

    الخطوة 7. والآن، انتقل إلى علامة التبويب Security>خوادم AAA، حدد خادم RADIUS الذي قمت بتكوينه كما هو موضح في الصورة.

    Wireless LAN Controller - Select the RADIUS Server You Configured

    note-icon

    ملاحظة: من الأفضل التحقق من إمكانية الوصول إلى خادم RADIUS من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) قبل المتابعة. يستخدم RADIUS منفذ UDP 1812 (للمصادقة)، لذلك تحتاج إلى التأكد من عدم حظر حركة المرور هذه في أي مكان في الشبكة.

    ISE مع Cisco WLC

    إعدادات EAP-TLS

      

    لإنشاء النهج، تحتاج إلى إنشاء قائمة البروتوكولات المسموح باستخدامها في سياستنا. بما أن سياسة dot1x تمت كتابتها، حدد نوع EAP المسموح به بناء على كيفية تكوين السياسة.

    إذا كنت تستخدم الإعداد الافتراضي، فإنك تسمح بمعظم أنواع EAP للمصادقة غير المفضلة إذا كنت بحاجة إلى تأمين الوصول إلى نوع EAP معين.

    الخطوة 1. انتقل إلى Policy > عناصر النهج > النتائج > المصادقة > البروتوكولات المسموح بها انقر على إضافة كما هو موضح في الصورة.

    Define Allowed Protocols Lists on ISE

      

    الخطوة 2. في قائمة البروتوكولات المسموح بها، يمكنك إدخال اسم القائمة. في هذه الحالة، يتم تحديد السماح لمربع EAP-TLS ويتم إلغاء تحديد مربعات أخرى كما هو موضح في الصورة. 

    Enter the Name for the List

    إعدادات WLC على ISE

    الخطوة 1. افتح وحدة تحكم ISE وانتقل إلى الإدارة > موارد الشبكة > أجهزة الشبكة > إضافة كما هو موضح في الصورة.

    ISE Network Devices Page

    الخطوة 2. قم بإدخال القيم كما هو موضح في الصورة.

    ISE - Shared Secret Password

      

    إنشاء مستخدم جديد على ISE

    الخطوة 1. انتقل إلى إدارة > إدارة الهوية > هويات > مستخدمين > إضافة كما هو موضح في الصورة.

    Network Access Users

    الخطوة 2. قم بإدخال المعلومات كما هو موضح في الصورة.

    Create a New Network User

    شهادة الثقة على ISE

    الخطوة 1. انتقل إلى إدارة > نظام > شهادات > إدارة الشهادات > شهادات موثوق بها.

    انقر على إستيراد لاستيراد شهادة إلى ISE. بمجرد إضافة عنصر تحكم في الشبكة المحلية اللاسلكية (WLC) وإنشاء مستخدم على ISE، يلزمك القيام بالجزء الأكثر أهمية من EAP-TLS وهو الثقة في الشهادة على ISE. لذلك نحن بحاجة إلى توليد CSR.

    الخطوة 2. انتقل إلى الإدارة > الشهادات > طلبات توقيع الشهادة > إنشاء طلبات توقيع الشهادة (CSR) كما هو موضح في الصورة.

    Enter Information

    الخطوة 3. لإنشاء CSR، انتقل إلى الاستخدام ومن الشهادة (الشهادات) يتم إستخدامها للخيارات المنسدلة حدد مصادقة EAP كما هو موضح في الصورة.

    Certificate Signing Requests

    الخطوة 4. يمكن عرض CSR الذي تم إنشاؤه على ISE. انقر فوق عرض كما هو موضح في الصورة.

    Generated CSR on ISE

    الخطوة 5. بمجرد إنشاء CSR، تصفح إلى خادم CA وانقر فوق طلب شهادة كما هو موضح في الصورة:

    Windows Server CA Homepage

    الخطوة 6. بمجرد أن تطلب شهادة، تحصل على خيارات لشهادة المستخدم وطلب شهادة متقدم، انقر على طلب شهادة متقدم كما هو موضح في الصورة.

    Submit a CSR Request in Windows Server

    الخطوة 7. الصق CSR الذي تم إنشاؤه في طلب الشهادة المرمزة ل Base-64. من قالب الشهادة: خيار القائمة المنسدلة، أختر خادم الويب وانقر فوق إرسال كما هو موضح في الصورة.

    Chose the CSR Details on Windows Server

    الخطوة 8. بمجرد النقر فوق إرسال، تحصل على الخيار لتحديد نوع الشهادة، حدد Base-64 المشفر وانقر فوق سلسلة تنزيل الشهادة كما هو موضح في الصورة.

    Windows Server Listing Certificates Issued

    الخطوة 9. اكتمل تنزيل الشهادة لخادم ISE. يمكنك إستخراج الشهادة، وتحتوي الشهادة على شهادتين، شهادة جذر واحدة وأخرى وسيطة. يمكن إستيراد الشهادة الجذر تحت إدارة > شهادات > شهادات > شهادات موثوق بها > إستيراد كما هو موضح في الصور.

    Import Trusted Certificates on ISE

    Import a New Certificate on ISE

    الخطوة 10. بمجرد النقر فوق إرسال، تتم إضافة الشهادة إلى قائمة الشهادات الموثوق بها. أيضا، يلزم الشهادة الوسيطة للربط مع CSR كما هو موضح في الصورة.

    Bind Certificate on ISE

    الخطوة 11. بمجرد النقر على ربط الترخيص، هناك خيار لاختيار ملف الترخيص المحفوظ على سطح مكتبك. تصفح إلى الشهادة الوسيطة وانقر تسليم كما هو موضح في الصورة.

    Bind CA Signed Certificate on ISE

    الخطوة 12. لعرض الشهادة، انتقل إلى إدارة > شهادات > شهادات النظام كما هو موضح في الصورة.

    System Certificates on ISE

    عميل EAP-TLS

    تنزيل شهادة المستخدم على جهاز العميل (سطح مكتب Windows)

    الخطوة 1. لمصادقة مستخدم لاسلكي من خلال EAP-TLS، يجب عليك إنشاء شهادة عميل. قم بتوصيل كمبيوتر Windows بالشبكة حتى تتمكن من الوصول إلى الخادم. افتح مستعرض ويب وأدخل هذا العنوان: https://sever ip addr/certsrv—

    الخطوة 2. لاحظ أنه يجب أن يكون المرجع المصدق هو نفسه الذي تم به تنزيل الشهادة ل ISE.

    لهذا السبب تحتاج لاستعراض نفس خادم CA الذي أستخدمته لتنزيل الشهادة للخادم. على نفس المرجع المصدق، انقر فوق طلب شهادة كما تم مسبقا، ومع ذلك، هذه المرة تحتاج إلى تحديد مستخدم كقالب شهادة كما هو موضح في الصورة.

    Submit the CSR

    الخطوة 3. بعد ذلك، انقر فوق تنزيل سلسلة الشهادات كما تم سابقا للخادم.

    بمجرد الحصول على الشهادات، أستخدم الخطوات التالية لاستيراد الشهادة من كمبيوتر محمول يعمل بنظام التشغيل Windows:

    الخطوة 4. لاستيراد الشهادة، تحتاج إلى الوصول إليها من وحدة تحكم الإدارة (MMC) ل Microsoft.

    1. لفتح حركة MMC إلى ابدأ > تشغيل > MMC.
    2. انتقل إلى ملف > إضافة / إزالة انجذاب
    3. انقر نقرا مزدوجا على شهادات.
    4. حساب SelectComputer.
    5. حدد الكمبيوتر المحلي > إنهاء
    6. طقطقة ok in order to خرجت الأداة الإضافية نافذة.
    7. انقر فوق [+] بجوار الشهادات > شخصي > الشهادات.
    8. انقر بزر الماوس الأيمن فوق الشهادات وحدد جميع المهام> إستيراد.
    9. انقر فوق Next (التالي).
    10. انقر على إستعراض.
    11. حدد .cer، .crt، أو .pfx الذي تريد إستيراده. 
    12. انقر فوق فتح.
    13. انقر فوق Next (التالي).
    14. حدد تحديد مخزن الشهادات تلقائيا بناء على نوع الشهادة.
    15. طقطقة إنجاز و ok

    ما إن يتم إستيراد الشهادة، يلزمك تكوين عميلك اللاسلكي (سطح مكتب Windows، في هذا المثال) من أجل EAP-TLS.

    توصيف لاسلكي ل EAP-TLS

    الخطوة 1. قم بتغيير التوصيف اللاسلكي الذي تم إنشاؤه سابقا لبروتوكول المصادقة المتوسع المحمي (PEAP) لاستخدام EAP-TLS بدلا من ذلك. انقر على توصيف EAP اللاسلكي.

      

    الخطوة 2. حدد Microsoft: البطاقة الذكية أو أي شهادة أخرى وانقر على موافق معروض في الصورة.

    Chose EAP-TLS Type of Authentication

    الخطوة 3. انقر على الإعدادات وحدد الشهادة الجذر الصادرة من خادم المرجع المصدق كما هو موضح في الصورة.

    Enable Trusted CAs

    الخطوة 4. انقر فوق إعدادات متقدمة وحدد مصادقة المستخدم أو الكمبيوتر من علامة التبويب إعدادات 802.1x كما هو موضح في الصورة.

    Choose User or Computer Authentication

    الخطوة 5. الآن حاول التوصيل مرة أخرى بالشبكة اللاسلكية ثم حدد التوصيف الصحيح (EAP في هذا المثال) ثم توصيل. أنت موصل بالشبكة اللاسلكية كما هو موضح في الصورة.

    List of SSIDs

    التحقق من الصحة

    استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

    الخطوة 1. يجب أن تظهر حالة مدير نهج العميل على أنها RUN. هذا يعني أن العميل قد أكمل المصادقة وحصل على عنوان IP وهو جاهز لتمرير حركة المرور الموضحة في الصورة.

    Client Details : Policy Manager

    الخطوة 2. تحقق أيضا من صحة أسلوب EAP على WLC في صفحة تفاصيل العميل كما هو موضح في الصورة.

    EAP Type Mentioned in the Client Details

    الخطوة 3. فيما يلي تفاصيل العميل من واجهة سطر الأوامر (CLI) لوحدة التحكم (تم قص الإخراج):

    (Cisco Controller-Standby) >show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... 00:d7:8f:52:db:a0
AP Name.......................................... Alpha2802_3rdfloor 
AP radio slot Id................................. 0 
Client State..................................... Associated 
Wireless LAN Id.................................. 5 
Wireless LAN Network Name (SSID)................. EAP
Wireless LAN Profile Name........................ EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ 00:d7:8f:52:db:a4 
Connected For ................................... 48 secs
Channel.......................................... 1 
IP Address....................................... 10.106.32.239
Gateway Address.................................. 10.106.32.1
Netmask.......................................... 255.255.255.0
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS

    الخطوة 4. على ISE، انتقل إلى إمكانية رؤية السياق > نقاط النهاية > السمات كما هو موضح في الصور.

    Rule MatchedCertificate Issuer Details

    Identity Store is Displayed in the Live Logs Details

    استكشاف الأخطاء وإصلاحها

    هناك حاليا ما من معلومة محددة يتوفر أن يتحرى ل هذا تشكيل.

      

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    3.0
    06-Nov-2023
    الترجمة الآلية المحدثة، وصف المقالة، النص البديل، والتنسيق.
    1.0
    01-Aug-2018
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Bharti Khatri
      Cisco TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات