Konfigurieren von Cisco Secure ACS für Windows v3.2 mit PEAP-MS-CHAPv2 Machine Authentication

Einleitung

In diesem Dokument wird die Konfiguration des Protected Extensible Authentication Protocol (PEAP) mit Cisco Secure ACS für Windows Version 3.2 veranschaulicht.

Weitere Informationen zur Konfiguration eines sicheren Wireless-Zugriffs mit Wireless LAN-Controllern, Microsoft Windows 2003 Software und Cisco Secure Access Control Server (ACS) 4.0 finden Sie unter PEAP unter Unified Wireless Networks mit ACS 4.0 und Windows 2003.

Voraussetzungen

Anforderungen

Es sind keine besonderen Voraussetzungen erforderlich, um den Inhalt dieses Dokuments nachzuvollziehen.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf folgenden Software- und Hardware-Versionen:

• Cisco Secure ACS für Windows Version 3.2

• Microsoft Certificate Services (als Enterprise-Stammzertifizierungsstelle installiert)

  Hinweis: Weitere Informationen finden Sie im schrittweisen Leitfaden zur Einrichtung einer Zertifizierungsstelle.

• DNS-Dienst mit Windows 2000 Server mit Service Pack 3

  Hinweis: Wenn Probleme mit dem CA-Server auftreten, installieren Sie Hotfix 323172. Der Windows 2000 SP3 Client erfordert Hotfix 31364 , um die IEEE 802.1x-Authentifizierung zu aktivieren.

• Cisco Aironet Wireless Access Point der Serie 1200 12.01T

• IBM ThinkPad T30 mit Windows XP Professional mit Service Pack 1

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn sich Ihr Netzwerk in der Produktionsumgebung befindet, müssen Sie sich bei jedem Befehl zunächst dessen potenzielle Auswirkungen vor Augen führen.

Hintergrundtheorie

PEAP und EAP-TLS erstellen und verwenden einen TLS/SSL-Tunnel (Secure Socket Layer). PEAP verwendet nur die serverseitige Authentifizierung; nur der Server verfügt über ein Zertifikat und stellt seine Identität gegenüber dem Client unter Beweis. EAP-TLS verwendet jedoch die gegenseitige Authentifizierung, bei der sowohl der ACS-Server (Authentication, Authorization, Accounting [AAA]) als auch die Clients über Zertifikate verfügen und ihre Identität gegenseitig nachweisen.

PEAP ist praktisch, da Clients keine Zertifikate benötigen. EAP-TLS ist zur Authentifizierung von Headless-Geräten nützlich, da für Zertifikate keine Benutzerinteraktion erforderlich ist.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Netzwerkdiagramm

In diesem Dokument wird die in der folgenden Abbildung gezeigte Netzwerkeinrichtung verwendet.

Konfigurieren von Cisco Secure ACS für Windows v3.2

Führen Sie die folgenden Schritte aus, um ACS 3.2 zu konfigurieren.

1. Holen Sie sich ein Zertifikat für den ACS-Server.

2. Konfigurieren Sie ACS so, dass ein Zertifikat aus dem Speicher verwendet wird.

3. Geben Sie zusätzliche Zertifizierungsstellen an, denen der ACS vertrauen soll.

4. Starten Sie den Dienst neu, und konfigurieren Sie die PEAP-Einstellungen auf dem ACS.

5. Geben Sie den Access Point an, und konfigurieren Sie ihn als AAA-Client.

6. Konfigurieren Sie die externen Benutzerdatenbanken.

7. Starten Sie den Dienst neu.

Anfordern eines Zertifikats für den ACS Server

Führen Sie die folgenden Schritte aus, um ein Zertifikat zu erhalten.

1. Öffnen Sie auf dem ACS-Server einen Webbrowser, und navigieren Sie zum CA-Server, indem Sie http://CA-ip-address/certsrv in die Adressleiste eingeben. Melden Sie sich als Administrator bei der Domäne an.

   

2. Wählen Sie Zertifikat anfordern aus, und klicken Sie dann auf Weiter.

   

3. Wählen Sie Erweiterte Anforderung aus, und klicken Sie dann auf Weiter.

   

4. Wählen Sie Zertifikatsanforderung über ein Formular an diese Zertifizierungsstelle senden aus, und klicken Sie dann auf Weiter.

   

5. Konfigurieren Sie die Zertifikatoptionen.

   1. Wählen Sie Webserver als Zertifikatvorlage aus. Geben Sie den Namen des ACS-Servers ein.

      

   2. Legen Sie die Schlüssellänge auf 1024 fest. Wählen Sie die Optionen für Schlüssel als exportierbar markieren und Lokalen Computerspeicher verwenden aus. Konfigurieren Sie nach Bedarf weitere Optionen, und klicken Sie dann auf Senden.

      

      Hinweis: Wenn Sie ein Warnfenster sehen, das sich auf eine Skriptverletzung bezieht (abhängig von den Sicherheits-/Datenschutzeinstellungen Ihres Browsers), klicken Sie auf Ja, um fortzufahren.

      

6. Klicken Sie auf Dieses Zertifikat installieren.

   

   Hinweis: Wenn Sie ein Warnfenster sehen, das sich auf eine Skriptverletzung bezieht (abhängig von den Sicherheits-/Datenschutzeinstellungen Ihres Browsers), klicken Sie auf Ja, um fortzufahren.

   

7. Wenn die Installation erfolgreich war, wird eine Bestätigungsmeldung angezeigt.

   

Konfigurieren von ACS zur Verwendung eines Zertifikats vom Speicher

Führen Sie die folgenden Schritte aus, um ACS für die Verwendung des Zertifikats im Speicher zu konfigurieren.

1. Öffnen Sie einen Webbrowser, und navigieren Sie zum ACS-Server, indem Sie http://ACS-ip-address:2002/ in die Adressleiste eingeben. Klicken Sie auf Systemkonfiguration, und klicken Sie dann auf ACS Certificate Setup.

2. Klicken Sie auf ACS-Zertifikat installieren.

3. Wählen Sie Zertifikat vom Speicher verwenden aus. Geben Sie im Feld Certificate CN (Zertifikats-CN) den Namen des Zertifikats ein, das Sie in Schritt 5a des Abschnitts Holen Sie ein Zertifikat für den ACS Server zugewiesen haben. Klicken Sie auf Senden.

   Dieser Eintrag muss mit dem Namen übereinstimmen, den Sie während der erweiterten Zertifikatanforderung in das Feld Name eingegeben haben. Dies ist der CN-Name im Betrefffeld des Serverzertifikats. Sie können das Serverzertifikat bearbeiten, um diesen Namen zu überprüfen. In diesem Beispiel lautet der Name "OurACS". Geben Sie keinen KN-Namen des Ausstellers ein.

   

4. Nach Abschluss der Konfiguration wird eine Bestätigungsmeldung angezeigt, die bestätigt, dass die Konfiguration des ACS-Servers geändert wurde.

   Hinweis: Sie müssen den ACS zu diesem Zeitpunkt nicht neu starten.

   

Geben Sie zusätzliche Zertifizierungsstellen an, denen der ACS vertrauen soll.

Der ACS vertraut automatisch der Zertifizierungsstelle, die ihr eigenes Zertifikat ausgestellt hat. Wenn die Clientzertifikate von zusätzlichen Zertifizierungsstellen ausgestellt werden, müssen Sie die folgenden Schritte ausführen.

1. Klicken Sie auf Systemkonfiguration, und klicken Sie dann auf ACS Certificate Setup.

2. Klicken Sie auf ACS Certificate Authority Setup (ACS-Zertifizierungsstelleneinrichtung), um der Liste der vertrauenswürdigen Zertifikate Zertifizierungsstellen hinzuzufügen. Geben Sie im Feld für die CA-Zertifikatdatei den Speicherort des Zertifikats ein, und klicken Sie dann auf Senden.

   

3. Klicken Sie auf Zertifikatvertrauensliste bearbeiten. Markieren Sie alle CAs, denen der ACS vertrauen soll, und deaktivieren Sie alle CAs, denen der ACS nicht vertrauen soll. Klicken Sie auf Senden.

   

Starten Sie den Dienst neu, und konfigurieren Sie die PEAP-Einstellungen auf dem ACS.

Führen Sie die folgenden Schritte aus, um den Dienst neu zu starten und die PEAP-Einstellungen zu konfigurieren.

1. Klicken Sie auf Systemkonfiguration und dann auf Dienststeuerung.

2. Klicken Sie auf Neustart, um den Dienst neu zu starten.

3. Klicken Sie zum Konfigurieren der PEAP-Einstellungen auf Systemkonfiguration, und klicken Sie dann auf Einrichtung der globalen Authentifizierung.

4. Überprüfen Sie die beiden unten angezeigten Einstellungen, und belassen Sie alle anderen Einstellungen als Standard. Wenn Sie möchten, können Sie zusätzliche Einstellungen festlegen, z. B. "Schnelle Wiederverbindung aktivieren". Wenn Sie fertig sind, klicken Sie auf Senden.

   • EAP-MSCHAPv2 zulassen

   • Authentifizierung mit MS-CHAP Version 2 zulassen

   Hinweis: Weitere Informationen zu Fast Connect finden Sie unter "Authentication Configuration Options" in System Configuration: Authentication and Certificates.

   

Angeben und Konfigurieren des Access Points als AAA-Client

Führen Sie die folgenden Schritte aus, um den Access Point (AP) als AAA-Client zu konfigurieren.

1. Klicken Sie auf Netzwerkkonfiguration. Klicken Sie unter AAA Clients auf Add Entry (Eintrag hinzufügen).

   

2. Geben Sie den Hostnamen des Access Points in das Feld "AAA Client Hostname" und dessen IP-Adresse in das Feld "AAA Client IP Address" ein. Geben Sie im Feld Key (Schlüssel) einen gemeinsamen geheimen Schlüssel für den ACS und den AP ein. Wählen Sie RADIUS (Cisco Aironet) als Authentifizierungsmethode aus. Wenn Sie fertig sind, klicken Sie auf Senden.

   

Externe Benutzerdatenbanken konfigurieren

Führen Sie die folgenden Schritte aus, um die externen Benutzerdatenbanken zu konfigurieren.

Hinweis: Nur ACS 3.2 unterstützt PEAP-MS-CHAPv2 mit Maschinenauthentifizierung für eine Windows-Datenbank.

1. Klicken Sie auf Externe Benutzerdatenbanken, und klicken Sie dann auf Datenbankkonfiguration. Klicken Sie auf Windows-Datenbank.

   Hinweis: Wenn noch keine Windows-Datenbank definiert ist, klicken Sie auf Neue Konfiguration erstellen und dann auf Senden.

2. Klicken Sie auf Configure (Konfigurieren). Verschieben Sie unter Configure Domain List (Domänenliste konfigurieren) die SEC-SYD-Domäne von Available Domains (Verfügbare Domänen) in Domain List (Domänenliste).

   

3. Aktivieren Sie zum Aktivieren der Computerauthentifizierung unter Windows EAP Settings die Option Permit PEAP machine authentication. Ändern Sie nicht das Präfix für den Namen der Computerauthentifizierung. Microsoft verwendet derzeit "/host" (den Standardwert), um zwischen Benutzer- und Computerauthentifizierung zu unterscheiden. Wenn Sie möchten, aktivieren Sie die Option Kennwortänderung in PEAP zulassen. Wenn Sie fertig sind, klicken Sie auf Senden.

   

4. Klicken Sie auf Externe Benutzerdatenbanken, und klicken Sie dann auf Unbekannte Benutzerrichtlinie. Wählen Sie die Option Folgende externe Benutzerdatenbanken überprüfen, und verschieben Sie Windows-Datenbanken mithilfe der Nach-rechts-Taste ( -> ) von Externen Datenbanken in Ausgewählte Datenbanken. Wenn Sie fertig sind, klicken Sie auf Senden.

   

Dienst neu starten

Wenn Sie die Konfiguration des ACS abgeschlossen haben, führen Sie die folgenden Schritte aus, um den Dienst neu zu starten.

1. Klicken Sie auf Systemkonfiguration und dann auf Dienststeuerung.

2. Klicken Sie auf Neu starten.

Konfigurieren des Cisco Access Points

Führen Sie die folgenden Schritte aus, um den Access Point so zu konfigurieren, dass er den ACS als Authentifizierungsserver verwendet.

1. Öffnen Sie einen Webbrowser, und navigieren Sie zum Access Point. Geben Sie dazu http://AP-ip-address/certsrv in die Adressleiste ein. Klicken Sie in der Symbolleiste auf Setup.

2. Klicken Sie unter Dienste auf Sicherheit.

3. Klicken Sie auf Authentifizierungsserver.

   Hinweis: Wenn Sie Konten auf dem Access Point konfiguriert haben, müssen Sie sich anmelden.

4. Geben Sie die Konfigurationseinstellungen für die Authentifizierung ein.

   • Wählen Sie 802.1x-2001 als 802.1x-Protokollversion (für EAP-Authentifizierung) aus.

   • Geben Sie die IP-Adresse des ACS Servers in das Feld Servername/IP ein.

   • Wählen Sie RADIUS als Servertyp aus.

   • Geben Sie 1645 oder 1812 in das Feld Port ein.

   • Geben Sie den gemeinsamen geheimen Schlüssel ein, den Sie in Schritt 2 unter Festlegen und Konfigurieren des Access Points als AAA-Client angegeben haben.

   • Aktivieren Sie die Option für die EAP-Authentifizierung, um anzugeben, wie der Server verwendet werden soll.

   Wenn Sie fertig sind, klicken Sie auf OK.

   

5. Klicken Sie auf Radio Data Encryption (WEP).

6. Geben Sie die Einstellungen für die interne Datenverschlüsselung ein.

   • Wählen Sie Vollständige Verschlüsselung aus, um die Ebene der Datenverschlüsselung festzulegen.

   • Geben Sie einen Verschlüsselungsschlüssel ein, und legen Sie die Schlüssellänge auf 128 Bit fest, damit sie als Übertragungsschlüssel verwendet werden.

   Wenn Sie fertig sind, klicken Sie auf OK.

   

7. Vergewissern Sie sich, dass Sie die richtige Service Set Identifier (SSID) verwenden, indem Sie Network > Service Sets > Select the SSID Index (Netzwerk > Service-Sets > SSID-Index auswählen) aufrufen und auf OK klicken, wenn Sie fertig sind.

   Das nachfolgende Beispiel zeigt die Standard-SSID "Tsunami".

   

Konfigurieren des Wireless-Clients

Führen Sie die folgenden Schritte aus, um ACS 3.2 zu konfigurieren.

1. Konfigurieren der automatischen Registrierung des MS-Zertifikatcomputers.

2. Treten Sie der Domäne bei.

3. Installieren Sie das Root-Zertifikat manuell auf dem Windows-Client.

4. Konfigurieren Sie das Wireless-Netzwerk.

Konfigurieren der automatischen Registrierung von MS-Zertifikatsmaschinen

Führen Sie die folgenden Schritte aus, um die Domäne für die automatische Registrierung von Computerzertifikaten auf dem Domänencontroller Kant zu konfigurieren.

1. Gehen Sie zu Systemsteuerung > Verwaltung > Öffnen Sie Active Directory-Benutzer und -Computer.

2. Klicken Sie mit der rechten Maustaste auf domain sec-syd und wählen Sie Eigenschaften aus dem Untermenü.

3. Wählen Sie die Registerkarte Gruppenrichtlinie aus. Klicken Sie auf Standard-Domänenrichtlinie und dann auf Bearbeiten.

4. Gehen Sie zu Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Automatic Certificate Request Settings.

   

5. Wechseln Sie in der Menüleiste zu Aktion > Neu > Automatische Zertifikatanforderung, und klicken Sie auf Weiter.

6. Wählen Sie Computer aus, und klicken Sie auf Weiter.

7. Überprüfen Sie die Zertifizierungsstelle.

   In diesem Beispiel heißt die CA "Unsere TAC-CA".

8. Klicken Sie auf Weiter und dann auf Fertig stellen.

Der Domäne beitreten

Führen Sie die folgenden Schritte aus, um den Wireless-Client zur Domäne hinzuzufügen.

Hinweis: Um diese Schritte ausführen zu können, muss der Wireless-Client über eine Verbindung mit der CA verfügen, entweder über eine Kabelverbindung oder über die Wireless-Verbindung mit deaktivierter 802.1x-Sicherheit.

1. Melden Sie sich bei Windows XP als lokaler Administrator an.

2. Gehen Sie zu Systemsteuerung > Leistung und Wartung > System.

3. Wählen Sie die Registerkarte Computername aus, und klicken Sie dann auf Ändern. Geben Sie den Hostnamen in das Feld für den Computernamen ein. Wählen Sie Domain (Domäne) aus, und geben Sie dann den Namen der Domäne ein (in diesem Beispiel SEC-SYD). Klicken Sie auf OK.

   

4. Wenn ein Anmeldedialog angezeigt wird, treten Sie der Domäne bei, indem Sie sich mit einem Konto anmelden, das über die Berechtigung verfügt, der Domäne beizutreten.

5. Wenn der Computer der Domäne erfolgreich beigetreten ist, starten Sie den Computer neu. Der Computer ist Mitglied der Domäne. Da die automatische Registrierung des Computers eingerichtet wurde, verfügt der Computer über ein Zertifikat für die installierte Zertifizierungsstelle sowie ein Zertifikat für die Authentifizierung des Computers.

Manuelles Installieren des Stammzertifikats auf dem Windows-Client

Führen Sie die folgenden Schritte aus, um das Stammzertifikat manuell zu installieren.

Hinweis: Wenn Sie bereits die automatische Registrierung des Computers eingerichtet haben, benötigen Sie diesen Schritt nicht. Fahren Sie mit der Konfiguration des Wireless-Netzwerks fort.

1. Öffnen Sie auf dem Windows-Client-Computer einen Webbrowser, und navigieren Sie zum Microsoft CA-Server, indem Sie http://root-CA-ip-address/certsrv in die Adressleiste eingeben. Melden Sie sich am CA-Standort an.

   In diesem Beispiel ist die IP-Adresse der Zertifizierungsstelle 10.66.79.241.

   

2. Wählen Sie Zertifizierungsstellenzertifikat oder Zertifizierungswiderrufsliste abrufen aus, und klicken Sie auf Weiter.

   

3. Klicken Sie auf CA-Zertifikat herunterladen, um das Zertifikat auf dem lokalen Computer zu speichern.

   

4. Öffnen Sie das Zertifikat, und klicken Sie auf Zertifikat installieren.

   Hinweis: Im Beispiel unten zeigt das Symbol oben links an, dass das Zertifikat noch nicht vertrauenswürdig (installiert) ist.

   

5. Installieren Sie das Zertifikat unter "Aktueller Benutzer/Vertrauenswürdige Stammzertifizierungsstellen".

   1. Klicken Sie auf Next (Weiter).

   2. Wählen Sie den Zertifikatspeicher basierend auf dem Zertifikatstyp automatisch aus, und klicken Sie auf Weiter.

   3. Klicken Sie auf Fertig stellen, um das Stammzertifikat automatisch unter "Aktueller Benutzer/Vertrauenswürdige Stammzertifizierungsstellen" zu platzieren.

Konfigurieren des Wireless-Netzwerks

Führen Sie die folgenden Schritte aus, um die Optionen für Wireless-Netzwerke festzulegen.

1. Melden Sie sich bei der Domäne als Domänenbenutzer an.

2. Gehen Sie zu Systemsteuerung > Netzwerk- und Internetverbindungen > Netzwerkverbindungen. Klicken Sie mit der rechten Maustaste auf Drahtlose Verbindung, und wählen Sie Eigenschaften aus dem angezeigten Untermenü aus.

3. Wählen Sie die Registerkarte Wireless Networks (Wireless-Netzwerke). Wählen Sie das Wireless-Netzwerk (angezeigt unter Verwendung des SSID-Namens des Access Points) aus der Liste der verfügbaren Netzwerke aus, und klicken Sie dann auf Konfigurieren.

   

4. Aktivieren Sie auf der Registerkarte Authentifizierung des Fensters für die Netzwerkeigenschaften die Option IEEE 802.1x-Authentifizierung für dieses Netzwerk aktivieren. Wählen Sie für den EAP-Typ PEAP (Protected EAP) als EAP-Typ aus, und klicken Sie dann auf Eigenschaften.

   Hinweis: Um die Computerauthentifizierung zu aktivieren, aktivieren Sie die Option Als Computer authentifizieren, wenn Computerinformationen zur Verfügung stehen.

   

5. Aktivieren Sie Serverzertifikat validieren, und überprüfen Sie dann die Stammzertifizierungsstelle für das Unternehmen, das von PEAP-Clients und ACS-Geräten verwendet wird. Wählen Sie als Authentifizierungsmethode Sicheres Kennwort (EAP-MSCHAP v2) aus, und klicken Sie dann auf Konfigurieren.

   In diesem Beispiel heißt die Stamm-CA "Unsere TAC-CA".

   

6. Um die einmalige Anmeldung zu aktivieren, aktivieren Sie die Option Windows-Anmeldename und -Kennwort (und ggf. Domäne) automatisch verwenden. Klicken Sie auf OK, um diese Einstellung zu akzeptieren, und klicken Sie dann erneut auf OK, um zum Fenster mit den Netzwerkeigenschaften zurückzukehren.

   Bei einmaliger Anmeldung für PEAP verwendet der Client den Windows-Anmeldenamen für die PEAP-Authentifizierung, sodass der Benutzer das Kennwort nicht ein zweites Mal eingeben muss.

   

7. Aktivieren Sie auf der Registerkarte Zuordnung des Fensters für die Netzwerkeigenschaften die Optionen für Datenverschlüsselung (WEP aktiviert), und der Schlüssel wird automatisch bereitgestellt. Klicken Sie auf OK, und klicken Sie dann erneut auf OK, um das Fenster für die Netzwerkkonfiguration zu schließen.

   

Überprüfung

Diese Abschnitt enthält Informationen, mit denen Sie überprüfen können, ob Ihre Konfiguration ordnungsgemäß funktioniert.

• Um zu überprüfen, ob der Wireless-Client authentifiziert wurde, gehen Sie auf dem Wireless-Client zu Systemsteuerung > Netzwerk- und Internetverbindungen > Netzwerkverbindungen. Gehen Sie in der Menüleiste zu Ansicht > Kacheln. Die Wireless-Verbindung sollte die Meldung "Authentication successfully" (Authentifizierung erfolgreich) anzeigen.

• Um zu überprüfen, ob Wireless-Clients authentifiziert wurden, gehen Sie auf der ACS-Webschnittstelle zu Reports and Activity > Passed Authentications > Passed Authentications active.csv.

Fehlerbehebung

In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

• Stellen Sie sicher, dass MS Certificate Services als Enterprise-Stammzertifizierungsstelle auf einem Windows 2000 Advanced Server mit Service Pack 3 installiert wurde. Die Hotfixes 323172 und 313664 müssen nach der Installation der MS-Zertifikatdienste installiert werden. Wenn MS Certificate Services neu installiert werden, muss auch Hotfix 323172 neu installiert werden.

• Stellen Sie sicher, dass Sie Cisco Secure ACS für Windows Version 3.2 mit Windows 2000 und Service Pack 3 verwenden. Stellen Sie sicher, dass die Hotfixes 323172 und 313664 installiert wurden.

• Wenn die Computerauthentifizierung auf dem Wireless-Client fehlschlägt, besteht keine Netzwerkverbindung auf der Wireless-Verbindung. Nur Konten, deren Profile auf dem Wireless-Client zwischengespeichert sind, können sich bei der Domäne anmelden. Das System muss an ein kabelgebundenes Netzwerk angeschlossen oder für eine Wireless-Verbindung ohne 802.1x-Sicherheit konfiguriert werden.

• Wenn die automatische Registrierung bei der Zertifizierungsstelle beim Beitritt zur Domäne fehlschlägt, überprüfen Sie die Ereignisanzeige aus möglichen Gründen. Überprüfen Sie die DNS-Einstellungen auf dem Laptop.

• Wenn das Zertifikat des ACS vom Client abgelehnt wird (was vom gültigen Datum "von" und "bis", den Datums- und Zeiteinstellungen des Clients und der Zertifizierungsstellenvertrauensstellung abhängt), lehnt der Client es ab, und die Authentifizierung schlägt fehl. Der ACS protokolliert die fehlgeschlagene Authentifizierung in der Webschnittstelle unter Berichte und Aktivität > Fehlgeschlagene Versuche > Fehlgeschlagene Versuche XXX.csv mit dem Authentifizierungsfehlercode ähnlich wie "EAP-TLS- oder PEAP-Authentifizierung während SSL-Handshake fehlgeschlagen". Die erwartete Fehlermeldung in der Datei "CSAuth.log" entspricht in etwa der folgenden.

  AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
  other side probably didn't accept our certificate

• In den Protokollen auf der ACS-Webschnittstelle werden unter Berichte und Aktivität > Erfolgreiche Authentifizierungen > Erfolgreiche Authentifizierungen XXX.csv und Berichte und Aktivität > Fehlgeschlagene Versuche > Fehlgeschlagene Versuche XXX.csv PEAP-Authentifizierungen im Format <DOMÄNE>\<Benutzer-ID> angezeigt. EAP-TLS-Authentifizierungen werden im Format <Benutzer-ID>@<Domäne> angezeigt.

• Um PEAP Fast Reconnect zu verwenden, müssen Sie diese Funktion sowohl auf dem ACS-Server als auch auf dem Client aktivieren.

• Wenn die PEAP-Kennwortänderung aktiviert wurde, können Sie das Kennwort nur ändern, wenn das Kennwort eines Kontos veraltet ist oder wenn das Konto bei der nächsten Anmeldung mit einer Kennwortänderung markiert ist.

• Sie können das Zertifikat und die Vertrauenswürdigkeit des ACS-Servers wie folgt überprüfen.

  1. Melden Sie sich bei Windows auf dem ACS-Server mit einem Konto mit Administratorrechten an. Öffnen Sie Microsoft Management Console, indem Sie Start > Ausführen aufrufen, mmc eingeben und auf OK klicken.

  2. Gehen Sie in der Menüleiste zu Konsole > Snap-In hinzufügen/entfernen, und klicken Sie dann auf Hinzufügen.

  3. Wählen Sie Zertifikate aus, und klicken Sie auf Hinzufügen.

  4. Wählen Sie Computerkonto aus, klicken Sie auf Weiter, und wählen Sie dann Lokaler Computer aus (der Computer, auf dem diese Konsole ausgeführt wird).

  5. Klicken Sie auf Fertig stellen, klicken Sie auf Schließen, und klicken Sie dann auf OK.

  6. Um zu überprüfen, ob der ACS-Server über ein gültiges serverseitiges Zertifikat verfügt, gehen Sie zu Console Root > Certificates (Local Computer) > ACSCertStore > Certificates. Überprüfen Sie, ob ein Zertifikat für den ACS-Server (in diesem Beispiel OurACS) vorhanden ist. Öffnen Sie das Zertifikat, und überprüfen Sie die folgenden Elemente.

     • Es wird nicht darauf hingewiesen, dass das Zertifikat nicht für alle vorgesehenen Zwecke verifiziert wurde.

     • Es gibt keine Warnung, dass das Zertifikat nicht vertrauenswürdig ist.

     • "Dieses Zertifikat soll - die Identität eines Remotecomputers sicherstellen."

     • Das Zertifikat ist nicht abgelaufen und ist gültig geworden (prüfen Sie, ob ein gültiges "Von"- und "Bis"-Datum vorliegt).

     • "Sie haben einen privaten Schlüssel, der diesem Zertifikat entspricht."

  7. Überprüfen Sie auf der Registerkarte Details, ob das Feld Version den Wert V3 aufweist und das Feld Erweiterte Schlüsselverwendung über die Serverauthentifizierung (1.3.6.1.5.5.7.3.1) verfügt.

  8. Um zu überprüfen, ob der ACS-Server dem Zertifizierungsstellenserver vertraut, gehen Sie zu Konsolenstamm > Zertifikate (Lokaler Computer) > Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate. Überprüfen Sie, ob ein Zertifikat für den Zertifizierungsstellenserver vorhanden ist (in diesem Beispiel Unsere TAC-Zertifizierungsstelle). Öffnen Sie das Zertifikat, und überprüfen Sie die folgenden Elemente.

     • Es wird nicht darauf hingewiesen, dass das Zertifikat nicht für alle vorgesehenen Zwecke verifiziert wurde.

     • Es gibt keine Warnung, dass das Zertifikat nicht vertrauenswürdig ist.

     • Der beabsichtigte Zweck des Zertifikats ist richtig.

     • Das Zertifikat ist nicht abgelaufen und ist gültig geworden (prüfen Sie, ob ein gültiges "Von"- und "Bis"-Datum vorliegt).

     Wenn der ACS und der Client nicht dieselbe Stammzertifizierungsstelle verwendet haben, stellen Sie sicher, dass die gesamte Kette von Zertifikaten der Zertifizierungsstellenserver installiert wurde. Gleiches gilt, wenn das Zertifikat von einer Unterzertifizierungsstelle erworben wurde.

• Sie können die Vertrauenswürdigkeit des Clients überprüfen, indem Sie die folgenden Schritte ausführen.

  1. Melden Sie sich auf dem Wireless-Client mit dem Konto des Clients bei Windows an. Öffnen Sie Microsoft Management Console, indem Sie Start > Ausführen aufrufen, mmc eingeben und auf OK klicken.

  2. Gehen Sie in der Menüleiste zu Konsole > Snap-In hinzufügen/entfernen, und klicken Sie dann auf Hinzufügen.

  3. Wählen Sie Zertifikate aus, und klicken Sie auf Hinzufügen.

  4. Klicken Sie auf Schließen und dann auf OK.

  5. Um zu überprüfen, ob das Profil des Clients dem Zertifizierungsstellenserver vertraut, gehen Sie zu Konsolenstamm > Zertifikate - Aktueller Benutzer > Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate. Überprüfen Sie, ob ein Zertifikat für den Zertifizierungsstellenserver vorhanden ist (in diesem Beispiel Unsere TAC-Zertifizierungsstelle). Öffnen Sie das Zertifikat, und überprüfen Sie die folgenden Elemente.

     • Es wird nicht darauf hingewiesen, dass das Zertifikat nicht für alle vorgesehenen Zwecke verifiziert wurde.

     • Es gibt keine Warnung, dass das Zertifikat nicht vertrauenswürdig ist.

     • Der beabsichtigte Zweck des Zertifikats ist richtig.

     • Das Zertifikat ist nicht abgelaufen und ist gültig geworden (prüfen Sie, ob ein gültiges "Von"- und "Bis"-Datum vorliegt).

     Wenn der ACS und der Client nicht dieselbe Stammzertifizierungsstelle verwendet haben, stellen Sie sicher, dass die gesamte Kette von Zertifikaten der Zertifizierungsstellenserver installiert wurde. Gleiches gilt, wenn das Zertifikat von einer Unterzertifizierungsstelle erworben wurde.

• Überprüfen Sie die ACS-Einstellungen wie im Abschnitt Konfigurieren von Cisco Secure ACS für Windows v3.2 beschrieben.

• Überprüfen Sie die AP-Einstellungen wie im Abschnitt Konfigurieren des Cisco Access Points beschrieben.

• Überprüfen Sie die Einstellungen des Wireless-Clients, wie im Abschnitt Konfigurieren des Wireless-Clients beschrieben.

• Überprüfen Sie, ob das Benutzerkonto in der internen Datenbank des AAA-Servers oder in einer der konfigurierten externen Datenbanken vorhanden ist. Stellen Sie sicher, dass das Konto nicht deaktiviert wurde.

Zugehörige Informationen

• Support-Seite für Cisco Secure ACS für Windows
• EAP-TLS-Implementierungsleitfaden für Wireless LAN-Netzwerke
• Abrufen von Versions- und AAA-Debugging-Informationen für Cisco Secure ACS für Windows
• Technischer Support – Cisco Systems