Ce document explique comment configurer le protocole PEAP (Protected Extensible Authentication Protocol) avec Cisco Secure ACS pour Windows version 3.2.
Pour plus d'informations sur la façon de configurer un accès sans fil sécurisé à l'aide des contrôleurs LAN sans fil, du logiciel Microsoft Windows 2003 et de Cisco Secure Access Control Server (ACS) 4.0, référez-vous à PEAP sous Unified Wireless Networks with ACS 4.0 and Windows 2003.
Aucune condition préalable spécifique n'est requise pour ce document.
Les informations dans ce document sont basées sur les versions de logiciel et de matériel ci-dessous.
Cisco Secure ACS pour Windows version 3.2
Services de certificats Microsoft (installés en tant qu'autorité de certification racine d'entreprise [CA])
Remarque : pour plus d'informations, reportez-vous au Guide détaillé de configuration d'une autorité de certification.
Service DNS avec Windows 2000 Server avec Service Pack 3
Remarque : si vous rencontrez des problèmes avec CA Server, installez le correctif 323172. Le client Windows 2000 SP3 nécessite le correctif 31364 pour activer l'authentification IEEE 802.1x.
Point d'accès sans fil 12.01T Cisco Aironet 1200
IBM ThinkPad T30 sous Windows XP Professionnel avec Service Pack 1
Les informations présentées dans ce document ont été créées à partir de périphériques dans un environnement de laboratoire spécifique. All of the devices used in this document started with a cleared (default) configuration. Si vous travaillez dans un réseau opérationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de l'utiliser.
Les protocoles PEAP et EAP-TLS créent et utilisent un tunnel TLS/SSL (Secure Socket Layer). Le protocole PEAP utilise uniquement l'authentification côté serveur ; seul le serveur possède un certificat et prouve son identité au client. EAP-TLS, cependant, utilise l'authentification mutuelle dans laquelle le serveur ACS (authentification, autorisation et comptabilité [AAA]) et les clients ont des certificats et prouvent leurs identités les uns aux autres.
Le protocole PEAP est pratique, car les clients n'ont pas besoin de certificats. EAP-TLS est utile pour authentifier les périphériques sans tête, car les certificats ne nécessitent aucune interaction de l’utilisateur.
Pour plus d'informations sur les conventions utilisées dans ce document, consultez Conventions relatives aux conseils techniques Cisco.
Ce document utilise la configuration réseau indiquée dans le diagramme suivant :
Procédez comme suit pour configurer ACS 3.2.
Configurez ACS pour utiliser un certificat à partir du stockage.
Spécifiez des autorités de certification supplémentaires auxquelles ACS doit faire confiance.
Redémarrez le service et configurez les paramètres PEAP sur ACS.
Spécifiez et configurez le point d'accès en tant que client AAA.
Procédez comme suit pour obtenir un certificat.
Sur le serveur ACS, ouvrez un navigateur Web et accédez au serveur AC en entrant http://CA-ip-address/certsrv dans la barre d'adresse. Connectez-vous au domaine en tant qu'administrateur.
Sélectionnez Demander un certificat, puis cliquez sur Suivant.
Sélectionnez Requête avancée, puis cliquez sur Suivant.
Sélectionnez Envoyer une demande de certificat à cette autorité de certification à l'aide d'un formulaire, puis cliquez sur Suivant.
Configurez les options de certificat.
Sélectionnez Web Server comme modèle de certificat. Saisissez le nom du serveur ACS.
Définissez la taille de clé sur 1024. Sélectionnez les options Marquer les clés comme exportables et Utiliser le magasin de machines locales. Configurez d'autres options si nécessaire, puis cliquez sur Submit.
Remarque : si une fenêtre d'avertissement s'affiche faisant référence à une violation de script (en fonction des paramètres de sécurité/confidentialité de votre navigateur), cliquez sur Oui pour continuer.
Cliquez sur Installer ce certificat.
Remarque : si une fenêtre d'avertissement s'affiche faisant référence à une violation de script (en fonction des paramètres de sécurité/confidentialité de votre navigateur), cliquez sur Oui pour continuer.
Si l'installation a réussi, un message de confirmation s'affiche.
Suivez ces étapes pour configurer ACS afin d'utiliser le certificat dans le stockage.
Ouvrez un navigateur Web et accédez au serveur ACS en entrant http://ACS-ip-address:2002/ dans la barre d'adresse. Cliquez sur System Configuration, puis sur ACS Certificate Setup.
Cliquez sur Installer le certificat ACS.
Sélectionnez Utiliser le certificat du stockage. Dans le champ Certificate CN, saisissez le nom du certificat que vous avez attribué à l'étape 5a de la section Obtain a Certificate for the ACS Server. Cliquez sur Submit.
Cette entrée doit correspondre au nom que vous avez entré dans le champ Nom lors de la demande de certificat avancée. Il s'agit du nom CN dans le champ d'objet du certificat de serveur ; vous pouvez modifier le certificat de serveur pour vérifier ce nom. Dans cet exemple, le nom est « OurACS ». N'entrez pas le nom CN de l'émetteur.
Une fois la configuration terminée, un message de confirmation s'affiche indiquant que la configuration du serveur ACS a été modifiée.
Remarque : il n'est pas nécessaire de redémarrer ACS pour le moment.
L'ACS fera automatiquement confiance à l'AC qui a émis son propre certificat. Si les certificats clients sont émis par des autorités de certification supplémentaires, vous devez effectuer les étapes suivantes.
Cliquez sur System Configuration, puis sur ACS Certificate Setup.
Cliquez sur Configuration de l'autorité de certification ACS pour ajouter des CA à la liste des certificats approuvés. Dans le champ du fichier de certificat CA, entrez l'emplacement du certificat, puis cliquez sur Envoyer.
Cliquez sur Modifier la liste de certificats de confiance. Vérifiez toutes les autorités de certification auxquelles l'ACS doit faire confiance, et décochez toutes les autorités de certification auxquelles l'ACS ne doit pas faire confiance. Cliquez sur Submit.
Procédez comme suit pour redémarrer le service et configurer les paramètres PEAP.
Cliquez sur System Configuration, puis sur Service Control.
Cliquez sur Redémarrer pour redémarrer le service.
Pour configurer les paramètres PEAP, cliquez sur System Configuration, puis sur Global Authentication Setup.
Vérifiez les deux paramètres affichés ci-dessous et conservez tous les autres paramètres par défaut. Si vous le souhaitez, vous pouvez spécifier des paramètres supplémentaires, tels que Activer la reconnexion rapide. Lorsque vous avez terminé, cliquez sur Submit.
Autoriser EAP-MSCHAPv2
Autoriser l'authentification MS-CHAP version 2
Remarque : pour plus d'informations sur Fast Connect, référez-vous à "Options de configuration d'authentification" dans Configuration système : Authentification et certificats.
Procédez comme suit pour configurer le point d'accès (AP) en tant que client AAA.
Cliquez sur Network Configuration. Sous Clients AAA, cliquez sur Ajouter une entrée.
Entrez le nom d'hôte de l'AP dans le champ AAA Client Hostname et son adresse IP dans le champ AAA Client IP Address. Entrez une clé secrète partagée pour l'ACS et l'AP dans le champ Key. Sélectionnez RADIUS (Cisco Aironet) comme méthode d'authentification. Lorsque vous avez terminé, cliquez sur Submit.
Procédez comme suit pour configurer les bases de données utilisateur externes.
Remarque : seul ACS 3.2 prend en charge PEAP-MS-CHAPv2 avec authentification de l'ordinateur vers une base de données Windows.
Cliquez sur Bases de données utilisateur externes, puis sur Configuration de base de données. Cliquez sur Base de données Windows.
Remarque : si aucune base de données Windows n'est déjà définie, cliquez sur Create New Configuration, puis sur Submit.
Cliquez sur Configure. Sous Configure Domain List, déplacez le domaine SEC-SYD de Available Domains vers Domain List.
Pour activer l'authentification de l'ordinateur, sous Paramètres EAP Windows, cochez l'option Autoriser l'authentification de l'ordinateur PEAP. Ne modifiez pas le préfixe du nom d'authentification de l'ordinateur. Microsoft utilise actuellement « /host » (la valeur par défaut) pour faire la distinction entre l'authentification de l'utilisateur et celle de l'ordinateur. Si vous le souhaitez, cochez l'option Permit password change inside PEAP. Lorsque vous avez terminé, cliquez sur Submit.
Cliquez sur Bases de données utilisateur externes, puis sur Stratégie utilisateur inconnue. Sélectionnez l'option Vérifier les bases de données utilisateur externes suivantes, puis utilisez la flèche vers la droite ( -> ) pour déplacer la base de données Windows des bases de données externes vers les bases de données sélectionnées. Lorsque vous avez terminé, cliquez sur Submit.
Lorsque vous avez terminé de configurer ACS, procédez comme suit pour redémarrer le service.
Cliquez sur System Configuration, puis sur Service Control.
Cliquez sur Restart.
Suivez ces étapes pour configurer l'AP pour utiliser l'ACS comme serveur d'authentification.
Ouvrez un navigateur Web et accédez à l'AP en entrant http://AP-ip-address/certsrv dans la barre d'adresse. Dans la barre d'outils, cliquez sur Configuration.
Sous Services, cliquez sur Security.
Cliquez sur Authentication Server.
Remarque : si vous avez configuré des comptes sur l'AP, vous devrez vous connecter.
Saisissez les paramètres de configuration de l'authentificateur.
Sélectionnez 802.1x-2001 pour la version de protocole 802.1x (pour l'authentification EAP).
Saisissez l'adresse IP du serveur ACS dans le champ Server Name/IP.
Sélectionnez RADIUS comme type de serveur.
Saisissez 1645 ou 1812 dans le champ Port.
Entrez la clé secrète partagée que vous avez spécifiée à l'étape 2 de Spécifier et configurer le point d'accès en tant que client AAA.
Cochez l'option d'authentification EAP pour spécifier comment le serveur doit être utilisé.
Lorsque vous avez terminé, cliquez sur OK.
Cliquez sur Radio Data Encryption (WEP).
Saisissez les paramètres de cryptage des données internes.
Sélectionnez Full Encryption pour définir le niveau de cryptage des données.
Entrez une clé de cryptage et définissez la taille de la clé sur 128 bits à utiliser comme clé de diffusion.
Lorsque vous avez terminé, cliquez sur OK.
Vérifiez que vous utilisez le SSID (Service Set Identifier) correct en accédant à Network > Service Sets > Select the SSID Index , et cliquez sur OK lorsque vous avez terminé.
L'exemple ci-dessous montre le SSID par défaut « tsunami ».
Procédez comme suit pour configurer ACS 3.2.
Configurez l'inscription automatique de la machine de certificats MS.
Installez manuellement le certificat racine sur le client Windows.
Suivez ces étapes pour configurer le domaine pour l'inscription automatique de certificat d'ordinateur sur le contrôleur de domaine Kant.
Accédez à Panneau de configuration > Outils d'administration > Ouvrir les utilisateurs et ordinateurs Active Directory.
Cliquez avec le bouton droit sur domain sec-syd et sélectionnez Properties dans le sous-menu.
Sélectionnez l'onglet Stratégie de groupe. Cliquez sur Stratégie de domaine par défaut, puis sur Modifier.
Accédez à Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de clé publique > Paramètres de demande automatique de certificat.
Dans la barre de menus, accédez à Action > Nouveau > Demande automatique de certificat et cliquez sur Suivant.
Sélectionnez Ordinateur et cliquez sur Suivant.
Vérifiez l'autorité de certification.
Dans cet exemple, l'autorité de certification est appelée « Notre autorité de certification TAC ».
Cliquez sur Next, puis sur Finish.
Procédez comme suit pour ajouter le client sans fil au domaine.
Remarque : pour effectuer ces étapes, le client sans fil doit être connecté à l'autorité de certification, soit via une connexion filaire, soit via la connexion sans fil avec la sécurité 802.1x désactivée.
Connectez-vous à Windows XP en tant qu'administrateur local.
Accédez à Panneau de configuration > Performances et maintenance > Système.
Sélectionnez l'onglet Nom de l'ordinateur, puis cliquez sur Modifier. Saisissez le nom d'hôte dans le champ correspondant au nom de l'ordinateur. Sélectionnez Domain, puis entrez le nom du domaine (SEC-SYD dans cet exemple). Click OK.
Lorsqu'une boîte de dialogue de connexion s'affiche, rejoignez le domaine en vous connectant avec un compte autorisé à rejoindre le domaine.
Une fois que l'ordinateur a rejoint le domaine, redémarrez-le. La machine sera membre du domaine ; puisque nous avons configuré l'inscription automatique de la machine, la machine aura un certificat pour l'autorité de certification installée ainsi qu'un certificat pour l'authentification de la machine.
Suivez ces étapes pour installer manuellement le certificat racine.
Remarque : si vous avez déjà configuré l'inscription automatique de l'ordinateur, vous n'avez pas besoin de cette étape. Accédez à Configurer la mise en réseau sans fil.
Sur l'ordinateur client Windows, ouvrez un navigateur Web et accédez au serveur AC Microsoft en entrant http://root-CA-ip-address/certsrv dans la barre d'adresse. Connectez-vous au site AC.
Dans cet exemple, l'adresse IP de l'autorité de certification est 10.66.79.241.
Sélectionnez Récupérer le certificat CA ou la liste de révocation de certification et cliquez sur Suivant.
Cliquez sur Download CA certificate pour enregistrer le certificat sur l'ordinateur local.
Ouvrez le certificat et cliquez sur Installer le certificat.
Remarque : dans l'exemple ci-dessous, l'icône située en haut à gauche indique que le certificat n'est pas encore approuvé (installé).
Installez le certificat dans Utilisateur actuel/Autorités de certification racine de confiance.
Cliquez sur Next (Suivant).
Sélectionnez Sélectionner automatiquement le magasin de certificats en fonction du type de certificat et cliquez sur Suivant.
Cliquez sur Finish pour placer automatiquement le certificat racine sous Current User/ Trusted Root Certificate Authorities.
Procédez comme suit pour définir les options de mise en réseau sans fil.
Connectez-vous au domaine en tant qu'utilisateur du domaine.
Accédez à Panneau de configuration > Connexions réseau et Internet > Connexions réseau. Cliquez avec le bouton droit sur Connexion sans fil et sélectionnez Propriétés dans le sous-menu qui s'affiche.
Sélectionnez l'onglet Réseaux sans fil. Sélectionnez le réseau sans fil (affiché en utilisant le nom SSID du point d'accès) dans la liste des réseaux disponibles, puis cliquez sur Configure.
Dans l'onglet Authentication de la fenêtre network properties, cochez l'option Enable IEEE 802.1x authentication for this network. Pour le type EAP, sélectionnez Protected EAP (PEAP) pour le type EAP, puis cliquez sur Properties.
Remarque : pour activer l'authentification de l'ordinateur, cochez l'option Authentifier en tant qu'ordinateur lorsque les informations de l'ordinateur sont disponibles.
Cochez Valider le certificat du serveur, puis vérifiez l'autorité de certification racine pour l'entreprise utilisée par les clients PEAP et les périphériques ACS. Sélectionnez Secure password (EAP-MSCHAP v2) pour la méthode d'authentification, puis cliquez sur Configure.
Dans cet exemple, l'autorité de certification racine est nommée « Notre autorité de certification TAC ».
Pour activer l'authentification unique, cochez l'option Utiliser automatiquement mon nom et mon mot de passe d'ouverture de session Windows (et le domaine, le cas échéant). Cliquez sur OK pour accepter ce paramètre, puis cliquez à nouveau sur OK pour revenir à la fenêtre des propriétés réseau.
Avec l'authentification unique pour PEAP, le client utilise le nom d'ouverture de session Windows pour l'authentification PEAP, de sorte que l'utilisateur n'a pas besoin d'entrer le mot de passe une seconde fois.
Dans l'onglet Association de la fenêtre des propriétés réseau, vérifiez les options Cryptage des données (WEP activé) et La clé m'est fournie automatiquement. Cliquez sur OK, puis cliquez à nouveau sur OK pour fermer la fenêtre de configuration du réseau.
Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.
Pour vérifier que le client sans fil a été authentifié, sur le client sans fil, accédez à Panneau de configuration > Connexions réseau et Internet > Connexions réseau. Dans la barre de menus, accédez à Affichage > Mosaïques. La connexion sans fil doit afficher le message « Authentication successful » (Authentification réussie).
Pour vérifier que les clients sans fil ont été authentifiés, sur l'interface Web ACS, allez à Rapports et activité > Authentifications passées > Authentifications passées active.csv.
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Vérifiez que les services de certificats MS ont été installés en tant qu'autorité de certification racine d'entreprise sur Windows 2000 Advanced Server avec Service Pack 3. Les correctifs 323172 et 313664 doivent être installés après l'installation des services de certificats MS. Si les services de certificats MS sont réinstallés, le correctif 323172 doit également être réinstallé.
Vérifiez que vous utilisez Cisco Secure ACS pour Windows version 3.2 avec Windows 2000 et Service Pack 3. Assurez-vous que les correctifs 323172 et 313664 ont été installés.
Si l'authentification de l'ordinateur échoue sur le client sans fil, il n'y aura aucune connectivité réseau sur la connexion sans fil. Seuls les comptes dont les profils sont mis en cache sur le client sans fil peuvent se connecter au domaine. L'ordinateur doit être connecté à un réseau câblé ou configuré pour une connexion sans fil sans sécurité 802.1x.
Si l'inscription automatique auprès de l'autorité de certification échoue lors de l'accès au domaine, consultez l'Observateur d'événements pour connaître les raisons possibles. Vérifiez les paramètres DNS de l'ordinateur portable.
Si le certificat ACS est rejeté par le client (qui dépend des dates « de » et « à » valides du certificat, des paramètres de date et d'heure du client et de l'approbation de l'autorité de certification), le client le rejette et l'authentification échoue. L'ACS consigne l'échec de l'authentification dans l'interface Web sous Rapports et activité > Tentatives échouées > Tentatives échouées XXX.csv avec le code d'échec d'authentification semblable à "EAP-TLS ou l'authentification PEAP a échoué pendant la connexion SSL." Le message d'erreur attendu dans le fichier CSAuth.log est similaire à ce qui suit.
AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: other side probably didn't accept our certificate
Dans les journaux de l'interface Web ACS, sous Rapports et activité > Authentifications réussies > Authentifications réussies XXX.csv et Rapports et activité > Tentatives échouées > Tentatives échouées XXX.csv, les authentifications PEAP sont affichées au format <DOMAINE>\<id-utilisateur>. Les authentifications EAP-TLS sont affichées au format <user-id>@<domaine>.
Pour utiliser la reconnexion rapide PEAP, vous devez activer cette fonctionnalité à la fois sur le serveur ACS et sur le client.
Si la modification du mot de passe PEAP a été activée, vous pouvez modifier le mot de passe uniquement lorsque le mot de passe d'un compte a expiré ou lorsque le compte est marqué pour que son mot de passe soit modifié lors de la prochaine connexion.
Vous pouvez vérifier le certificat et la confiance du serveur ACS en suivant les étapes ci-dessous.
Connectez-vous à Windows sur le serveur ACS avec un compte disposant de privilèges d'administrateur. Ouvrez Microsoft Management Console en accédant à Démarrer > Exécuter, en tapant mmc, puis en cliquant sur OK.
Dans la barre de menus, accédez à Console > Ajouter/Supprimer un composant logiciel enfichable, puis cliquez sur Ajouter.
Sélectionnez Certificates et cliquez sur Add.
Sélectionnez Compte d'ordinateur, cliquez sur Suivant, puis sélectionnez Ordinateur local (l'ordinateur sur lequel s'exécute cette console).
Cliquez sur Terminer, sur Fermer, puis sur OK.
Pour vérifier que le serveur ACS a un certificat côté serveur valide, accédez à Racine de la console > Certificats (Ordinateur local) > ACSCertStore > Certificats. Vérifiez qu'il existe un certificat pour le serveur ACS (nommé OurACS dans cet exemple). Ouvrez le certificat et vérifiez les éléments suivants.
Il n'y a pas d'avertissement au sujet du certificat qui n'est pas vérifié pour toutes ses fins prévues.
Il n'y a pas d'avertissement concernant le certificat non approuvé.
"Ce certificat est destiné à : garantit l'identité d'un ordinateur distant."
Le certificat n'a pas expiré et est devenu valide (vérifiez les dates « de » et « à » valides).
"Vous avez une clé privée qui correspond à ce certificat."
Dans l'onglet Détails, vérifiez que le champ Version a la valeur V3 et que le champ Enhanced Key Usage a Server Authentication (1.3.6.1.5.5.7.3.1).
Pour vérifier que le serveur ACS fait confiance au serveur AC, allez à Racine de la console > Certificats (Ordinateur local) > Autorités de certification racines de confiance > Certificats. Vérifiez qu'il existe un certificat pour le serveur AC (nommé Our TAC CA dans cet exemple). Ouvrez le certificat et vérifiez les éléments suivants.
Il n'y a pas d'avertissement au sujet du certificat qui n'est pas vérifié pour toutes ses fins prévues.
Il n'y a pas d'avertissement concernant le certificat non approuvé.
L'objectif du certificat est correct.
Le certificat n'a pas expiré et est devenu valide (vérifiez les dates « de » et « à » valides).
Si l'ACS et le client n'ont pas utilisé la même autorité de certification racine, vérifiez que toute la chaîne de certificats des serveurs de l'autorité de certification a été installée. Il en va de même si le certificat a été obtenu auprès d'une autorité de sous-certificat.
Vous pouvez vérifier la confiance du client en suivant les étapes ci-dessous.
Connectez-vous à Windows sur le client sans fil avec le compte du client. Ouvrez Microsoft Management Console en accédant à Démarrer > Exécuter, en tapant mmc, puis en cliquant sur OK.
Dans la barre de menus, accédez à Console > Ajouter/Supprimer un composant logiciel enfichable, puis cliquez sur Ajouter.
Sélectionnez Certificates et cliquez sur Add.
Cliquez sur Fermer, puis sur OK.
Pour vérifier que le profil du client fait confiance au serveur AC, accédez à Racine de la console > Certificats - Utilisateur actuel > Autorités de certification racines de confiance > Certificats. Vérifiez qu'il existe un certificat pour le serveur AC (nommé Our TAC CA dans cet exemple). Ouvrez le certificat et vérifiez les éléments suivants.
Il n'y a pas d'avertissement au sujet du certificat qui n'est pas vérifié pour toutes ses fins prévues.
Il n'y a pas d'avertissement concernant le certificat non approuvé.
L'objectif du certificat est correct.
Le certificat n'a pas expiré et est devenu valide (vérifiez les dates « de » et « à » valides).
Si l'ACS et le client n'ont pas utilisé la même autorité de certification racine, vérifiez que toute la chaîne de certificats des serveurs de l'autorité de certification a été installée. Il en va de même si le certificat a été obtenu auprès d'une autorité de sous-certificat.
Vérifiez les paramètres ACS comme décrit dans la section Configuration de Cisco Secure ACS pour Windows v3.2.
Vérifiez les paramètres AP comme décrit dans la section Configuration du point d'accès Cisco.
Vérifiez les paramètres du client sans fil comme décrit dans la section Configuration du client sans fil.
Vérifiez que le compte d'utilisateur existe dans la base de données interne du serveur AAA ou dans l'une des bases de données externes configurées. Vérifiez que le compte n'a pas été désactivé.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
18-Jun-2003 |
Première publication |