ACS sécurisé pour Windows v3.2 avec authentification de la machine EAP-TLS

Options de téléchargement

  • PDF     (673.6 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (565.2 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.8 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:28 avril 2009
ID du document:43722

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment configurer le protocole EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) avec Cisco Secure Access Control System (ACS) pour Windows version 3.2.

Remarque : l'authentification de l'ordinateur n'est pas prise en charge avec Novell Certificate Authority (CA). ACS peut utiliser EAP-TLS pour prendre en charge l'authentification de l'ordinateur à Microsoft Windows Active Directory. Le client de l'utilisateur final peut limiter le protocole d'authentification de l'utilisateur au même protocole que celui utilisé pour l'authentification de l'ordinateur. En d'autres termes, l'utilisation d'EAP-TLS pour l'authentification des ordinateurs peut nécessiter l'utilisation d'EAP-TLS pour l'authentification des utilisateurs. Pour plus d'informations sur l'authentification de la machine, référez-vous à la section Authentification de la machine du Guide de l'utilisateur pour Cisco Secure Access Control Server 4.1.

Remarque : lors de la configuration d'ACS pour authentifier les ordinateurs via EAP-TLS et lorsque l'ACS a été configuré pour l'authentification des ordinateurs, le client doit être configuré pour effectuer l'authentification des ordinateurs uniquement. Pour plus d'informations, consultez Comment activer l'authentification de l'ordinateur uniquement pour un réseau 802.1X sous Windows Vista, Windows Server 2008 et Windows XP Service Pack 3.

Conditions préalables

Exigences

Aucune condition préalable spécifique n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur les versions de logiciel et de matériel ci-dessous.

  • Cisco Secure ACS pour Windows version 3.2

  • Services de certificats Microsoft (installés en tant qu'autorité de certification racine d'entreprise [CA])

    Remarque : pour plus d'informations, reportez-vous au Guide détaillé de configuration d'une autorité de certificationleavingcisco.com.

  • Service DNS avec Windows 2000 Server avec Service Pack 3 et correctif 323172 leavingcisco.com

    Remarque : si vous rencontrez des problèmes avec CA Server, installez le correctif 323172leavingcisco.com. Le client Windows 2000 SP3 nécessite le correctif 31364leavingcisco.com pour activer l'authentification IEEE 802.1x.

  • Point d'accès sans fil 12.01T Cisco Aironet 1200

  • IBM ThinkPad T30 sous Windows XP Professionnel avec Service Pack 1

Les informations présentées dans ce document ont été créées à partir de périphériques dans un environnement de laboratoire spécifique. All of the devices used in this document started with a cleared (default) configuration. Si vous travaillez dans un réseau opérationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de l'utiliser.

Théorie générale

EAP-TLS et PEAP (Protected Extensible Authentication Protocol) créent et utilisent un tunnel TLS/SSL (Secure Socket Layer). EAP-TLS utilise l'authentification mutuelle dans laquelle le serveur et les clients ACS (authentification, autorisation et comptabilité [AAA]) possèdent des certificats et prouvent mutuellement leurs identités. Toutefois, le protocole PEAP utilise uniquement l'authentification côté serveur ; seul le serveur possède un certificat et prouve son identité au client.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, consultez Conventions relatives aux conseils techniques Cisco.

Diagramme du réseau

Ce document utilise la configuration réseau indiquée dans le diagramme suivant :

acs-eap-01.gif

Configuration de Cisco Secure ACS pour Windows v3.2

Suivez les étapes ci-dessous pour configurer ACS 3.2.

  1. Obtenez un certificat pour le serveur ACS.

  2. Configurez ACS pour utiliser un certificat à partir du stockage.

  3. Spécifiez des autorités de certification supplémentaires auxquelles ACS doit faire confiance.

  4. Redémarrez le service et configurez les paramètres PEAP sur ACS.

  5. Spécifiez et configurez le point d'accès en tant que client AAA.

  6. Configurez les bases de données utilisateur externes.

  7. Redémarrez le service.

Obtenir un certificat pour le serveur ACS

Procédez comme suit pour obtenir un certificat.

  1. Sur le serveur ACS, ouvrez un navigateur Web et entrez http://CA-ip-address/certsrv afin d'accéder au serveur AC.

  2. Connectez-vous au domaine en tant qu'administrateur.

    acs-eap-02.gif

  3. Sélectionnez Demander un certificat, puis cliquez sur Suivant.

    acs-eap-03.gif

  4. Sélectionnez Requête avancée, puis cliquez sur Suivant.

    acs-eap-04.gif

  5. Sélectionnez Envoyer une demande de certificat à cette autorité de certification à l'aide d'un formulaire, puis cliquez sur Suivant.

    acs-eap-05.gif

  6. Configurez les options de certificat :

    1. Sélectionnez Web Server comme modèle de certificat et entrez le nom du serveur ACS.

      acs-eap-06a.gif

    2. Saisissez 1024 dans le champ Key Size (Taille de clé) et cochez les cases Mark keys as exportable (Marquer les clés comme exportables) et Use local machine store (Utiliser le magasin de machines locales).

    3. Configurez d'autres options si nécessaire, puis cliquez sur Submit.

      acs-eap-06b.gif

      Remarque : si la boîte de dialogue Violation potentielle des scripts s'affiche, cliquez sur Oui pour continuer.

      acs-eap-07.gif

  7. Cliquez sur Installer ce certificat.

    acs-eap-08.gif

    Remarque : si la boîte de dialogue Violation potentielle des scripts s'affiche, cliquez sur Oui pour continuer.

    acs-eap-09.gif

  8. Si l'installation réussit, le message Certificate Installed s'affiche.

    acs-eap-10.gif

Configurer ACS pour utiliser un certificat à partir du stockage

Complétez ces étapes afin de configurer ACS pour utiliser le certificat dans le stockage.

  1. Ouvrez un navigateur Web et entrez http://ACS-ip-address:2002/2002 afin d'accéder au serveur ACS.

  2. Cliquez sur System Configuration, puis sur ACS Certificate Setup.

  3. Cliquez sur Installer le certificat ACS.

  4. Activez la case d'option Utiliser le certificat à partir du stockage.

  5. Dans le champ Certificate CN, entrez le nom du certificat que vous avez attribué à l'étape 5a de la section Obtenir un certificat à partir du serveur ACS de ce document.

  6. Cliquez sur Submit.

    acs-eap-11.gif

    Une fois la configuration terminée, un message de confirmation apparaît indiquant que la configuration du serveur ACS a été modifiée.

    Remarque : il n'est pas nécessaire de redémarrer ACS pour le moment.

    acs-eap-12.gif

Spécifier les autorités de certification supplémentaires auxquelles ACS doit faire confiance

L'ACS approuve automatiquement l'autorité de certification qui a émis son propre certificat. Si les certificats clients sont émis par des autorités de certification supplémentaires, vous devez effectuer les étapes suivantes :

  1. Cliquez sur System Configuration, puis sur ACS Certificate Setup.

  2. Cliquez sur Configuration de l'autorité de certification ACS pour ajouter des CA à la liste des certificats approuvés.

  3. Dans le champ du fichier de certificat CA, entrez l'emplacement du certificat, puis cliquez sur Envoyer.

    acs-eap-13.gif

  4. Cliquez sur Modifier la liste de certificats de confiance.

  5. Vérifiez toutes les autorités de certification auxquelles l'ACS doit faire confiance, et décochez toutes les autorités de certification auxquelles l'ACS ne doit pas faire confiance.

  6. Cliquez sur Submit.

    acs-eap-14.gif

Redémarrez le service et configurez les paramètres EAP-TLS sur ACS

Complétez ces étapes afin de redémarrer le service et de configurer les paramètres EAP-TLS :

  1. Cliquez sur System Configuration, puis sur Service Control.

  2. Cliquez sur Restart afin de redémarrer le service.

  3. Afin de configurer les paramètres EAP-TLS, cliquez sur System Configuration, puis cliquez sur Global Authentication Setup.

  4. Cochez Allow EAP-TLS, puis vérifiez une ou plusieurs comparaisons de certificats.

  5. Cliquez sur Submit.

    acs-eap-15.gif

Spécification et configuration du point d'accès en tant que client AAA

Complétez ces étapes afin de configurer le point d'accès (AP) en tant que client AAA :

  1. Cliquez sur Network Configuration.

  2. Sous Clients AAA, cliquez sur Ajouter une entrée.

    acs-eap-16.gif

  3. Saisissez le nom d'hôte du point d'accès dans le champ AAA Client Hostname et l'adresse IP dans le champ AAA Client IP Address.

  4. Entrez une clé secrète partagée pour l'ACS et le point d'accès dans le champ Key.

  5. Choisissez RADIUS (Cisco Aironet) comme méthode d'authentification, puis cliquez sur Submit.

    acs-eap-17.gif

Configuration des bases de données utilisateur externes

Complétez ces étapes afin de configurer les bases de données utilisateur externes.

  1. Cliquez sur Bases de données utilisateur externes, puis sur Configuration de base de données.

  2. Cliquez sur Base de données Windows.

    Remarque : si aucune base de données Windows n'est déjà définie, cliquez sur Create New Configuration, puis sur Submit.

  3. Cliquez sur Configure.

  4. Sous Configure Domain List, déplacez le domaine SEC-SYD de Available Domains vers Domain List.

    acs-eap-18.gif

  5. Dans la zone Paramètres EAP de Windows, cliquez sur la case à cocher Autoriser l'authentification de la machine EAP-TLS afin d'activer l'authentification de la machine.

    Remarque : ne modifiez pas le préfixe du nom d'authentification de l'ordinateur. Microsoft utilise actuellement « /host » (la valeur par défaut) pour faire la distinction entre l'authentification de l'utilisateur et celle de l'ordinateur.

  6. Vous pouvez éventuellement cocher la case EAP-TLS Strip Domain Name afin d'activer l'annulation de domaine.

  7. Cliquez sur Submit.

    acs-eap-19.gif

  8. Cliquez sur Bases de données utilisateur externes, puis sur Stratégie utilisateur inconnue.

  9. Activez la case d'option Vérifier les bases de données utilisateur externes suivantes.

  10. Déplacez Windows Database de la liste External Databases vers la liste Selected Databases.

  11. Cliquez sur Submit.

    acs-eap-19a.gif

Redémarrez le service

Lorsque vous avez terminé la configuration de l'ACS, procédez comme suit afin de redémarrer le service :

  1. Cliquez sur System Configuration, puis sur Service Control.

  2. Cliquez sur Restart.

Configuration de l'inscription automatique des ordinateurs de certificats MS

Complétez ces étapes afin de configurer le domaine pour l'inscription automatique de certificat d'ordinateur :

  1. Accédez à Panneau de configuration > Outils d'administration > Ouvrir les utilisateurs et ordinateurs Active Directory.

  2. Cliquez avec le bouton droit sur domain sec-syd, puis sélectionnez Properties.

  3. Cliquez sur l'onglet Stratégie de groupe.

  4. Cliquez sur Stratégie de domaine par défaut, puis sur Modifier.

  5. Accédez à Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de clé publique > Paramètres de demande automatique de certificat.

    acs-eap-20.gif

  6. Dans la barre de menus, allez à Action > New > Automatic Certificate Request, et cliquez sur Next.

  7. Choisissez Ordinateur, puis cliquez sur Suivant.

  8. Dans cet exemple, vérifiez l'autorité de certification « Our TAC CA ».

  9. Cliquez sur Next, puis sur Finish.

Configuration du point d'accès Cisco

Complétez ces étapes afin de configurer l'AP pour utiliser l'ACS comme serveur d'authentification :

  1. Ouvrez un navigateur Web et entrez http://AP-ip-address/certsrv afin d'accéder à AP.

  2. Dans la barre d'outils, cliquez sur Configuration.

  3. Sous Services, cliquez sur Security, puis sur Authentication Server.

    Remarque : si vous avez configuré des comptes sur l'AP, vous devez vous connecter.

  4. Entrez les paramètres de configuration de l'authentificateur :

    • Choisissez 802.1x-2001 pour la version de protocole 802.1x (pour l'authentification EAP).

    • Saisissez l'adresse IP du serveur ACS dans le champ Server Name/IP.

    • Sélectionnez RADIUS comme type de serveur.

    • Saisissez 1645 ou 1812 dans le champ Port.

    • Entrez la clé secrète partagée que vous avez spécifiée dans Spécifier et configurer le point d'accès en tant que client AAA.

    • Cochez l'option pour l'authentification EAP afin de spécifier comment le serveur doit être utilisé.

  5. Lorsque vous avez terminé, cliquez sur OK.

    acs-eap-21.gif

  6. Cliquez sur Radio Data Encryption (WEP).

  7. Saisissez les paramètres de cryptage des données internes.

    • Choisissez Full Encryption dans la liste déroulante Use of Data Encryption by Stations is afin de définir le niveau de cryptage des données.

    • Pour Accept Authentication Type, cochez la case Open afin de définir le type d'authentification accepté, et cochez la case Network-EAP afin d'activer LEAP.

    • Pour Require EAP, cochez la case Open afin de requérir EAP.

    • Saisissez une clé de cryptage dans le champ Encription Key (Clé de cryptage), puis choisissez 128 bits dans la liste déroulante Key Size (Taille de clé).

  8. Lorsque vous avez terminé, cliquez sur OK.

    acs-eap-22.gif

  9. Accédez à Network > Service Sets > Select the SSID Index afin de confirmer que le SSID (Service Set Identifier) correct est utilisé.

  10. Click OK.

    acs-eap-22a.gif

Configuration du client sans fil

Complétez ces étapes afin de configurer ACS 3.2 :

  1. Rejoignez le domaine.

  2. Obtenir un certificat pour l'utilisateur.

  3. Configurez le réseau sans fil.

Rejoindre le domaine

Complétez ces étapes afin d'ajouter le client sans fil au domaine.

Remarque : pour effectuer ces étapes, le client sans fil doit être connecté à l'autorité de certification, soit via une connexion filaire, soit via la connexion sans fil avec la sécurité 802.1x désactivée.

  1. Connectez-vous à Windows XP en tant qu'administrateur local.

  2. Accédez à Panneau de configuration > Performances et maintenance > Système.

  3. Cliquez sur l'onglet Nom de l'ordinateur, puis sur Modifier.

  4. Saisissez le nom d'hôte dans le champ Nom de l'ordinateur.

  5. Choisissez Domain, puis entrez le nom du domaine (SEC-SYD dans cet exemple).

  6. Click OK.

    acs-eap-23.gif

  7. Lorsque la boîte de dialogue Connexion s'affiche, connectez-vous avec un compte disposant des autorisations appropriées pour rejoindre le domaine.

  8. Une fois que l'ordinateur a rejoint le domaine, redémarrez-le.

    La machine devient membre du domaine. L'inscription automatique de l'ordinateur étant configurée, l'ordinateur dispose d'un certificat pour l'autorité de certification installée ainsi que d'un certificat pour l'authentification de l'ordinateur.

Obtenir un certificat pour l'utilisateur

Complétez ces étapes afin d'obtenir un certificat pour l'utilisateur.

  1. Connectez-vous à Windows XP et au domaine (SEC-SYD) du client sans fil (ordinateur portable) en tant que compte nécessitant un certificat.

  2. Ouvrez un navigateur Web et entrez http://CA-ip-address/certsrv afin d'accéder au serveur CA.

  3. Connectez-vous au serveur AC sous le même compte.

    Remarque : le certificat est stocké sur le client sans fil sous le profil de l'utilisateur actuel ; par conséquent, vous devez utiliser le même compte pour vous connecter à Windows et à l'autorité de certification.

    acs-eap-24.gif

  4. Activez la case d'option Demander un certificat, puis cliquez sur Suivant.

    acs-eap-03.gif

  5. Cliquez sur la case d'option Advanced request, puis cliquez sur Next.

    acs-eap-04.gif

  6. Cliquez sur la case d'option Submit a certificate request to this CA using a form, puis cliquez sur Next.

    acs-eap-05.gif

  7. Choisissez User dans le modèle de certificat et saisissez 1024 dans le champ Key Size.

  8. Configurez d'autres options si nécessaire, puis cliquez sur Submit.

    acs-eap-25.gif

    Remarque : si la boîte de dialogue Violation potentielle des scripts s'affiche, cliquez sur Oui pour continuer.

    acs-eap-07.gif

  9. Cliquez sur Installer ce certificat.

    acs-eap-08.gif

    Remarque : si la boîte de dialogue Violation potentielle des scripts s'affiche, cliquez sur Oui pour continuer.

    acs-eap-09.gif

    Remarque : le magasin de certificats racine peut apparaître si le certificat de l'autorité de certification n'est pas déjà enregistré sur le client sans fil. Cliquez sur Yes afin d'enregistrer le certificat dans le stockage local.

    acs-eap-26.gif

    Si l'installation réussit, un message de confirmation s'affiche.

    acs-eap-10.gif

Configuration du réseau sans fil

Complétez ces étapes afin de définir les options de mise en réseau sans fil :

  1. Connectez-vous au domaine en tant qu'utilisateur du domaine.

  2. Accédez à Panneau de configuration > Connexions réseau et Internet > Connexions réseau.

  3. Cliquez avec le bouton droit sur Connexion sans fil, puis sélectionnez Propriétés.

  4. Cliquez sur l'onglet Wireless Networks.

  5. Choisissez le réseau sans fil dans la liste des réseaux disponibles, puis cliquez sur Configure.

    acs-eap-23.gif

  6. Sous l'onglet Authentification, activez la case à cocher Activer l'authentification IEEE 802.1x pour ce réseau.

  7. Choisissez Carte à puce ou autre certificat dans la liste déroulante Type EAP, puis cliquez sur Propriétés.

    Remarque : afin d'activer l'authentification de l'ordinateur, cochez la case Authentifier en tant qu'ordinateur lorsque les informations de l'ordinateur sont disponibles.

    acs-eap-27.gif

  8. Activez la case d'option Utiliser un certificat sur cet ordinateur, puis activez la case à cocher Utiliser la sélection de certificat simple.

  9. Cochez la case Valider le certificat du serveur, puis cliquez sur OK.

    Remarque : lorsque le client rejoint le domaine, le certificat de l'autorité de certification est installé automatiquement en tant qu'autorité de certification racine de confiance. Le client fait automatiquement confiance implicitement à l'autorité de certification qui a signé le certificat du client. Il est possible de faire confiance à d'autres AC en les cochant dans la liste Autorités de certification racines de confiance.

    acs-eap-28.gif

  10. Dans l'onglet Association de la fenêtre des propriétés réseau, cochez les cases Cryptage des données (WEP activé) et La clé m'est fournie automatiquement.

  11. Cliquez sur OK, puis cliquez à nouveau sur OK afin de fermer la fenêtre de configuration du réseau.

    acs-eap-29.gif

Vérifier

Cette section fournit des informations que vous pouvez utiliser afin de confirmer que votre configuration fonctionne correctement.

  • Afin de vérifier que le client sans fil a été authentifié, complétez ces étapes :

    1. Sur le client sans fil, accédez à Panneau de configuration > Connexions réseau et Internet > Connexions réseau.

    2. Dans la barre de menus, accédez à Affichage > Mosaïques.

    La connexion sans fil doit afficher le message « Authentication successful » (Authentification réussie).

  • Afin de vérifier que les clients sans fil ont été authentifiés, allez à Rapports et activité > Authentifications passées > Authentifications passées active.csv sur l'interface Web ACS.

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

  • Vérifiez que les services de certificats MS ont été installés en tant qu'autorité de certification racine d'entreprise sur un serveur Windows 2000 Advanced Server avec Service Pack 3.

  • Vérifiez que vous utilisez Cisco Secure ACS pour Windows version 3.2 avec Windows 2000 et Service Pack 3.

  • Si l'authentification de l'ordinateur échoue sur le client sans fil, il n'y aura aucune connectivité réseau sur la connexion sans fil. Seuls les comptes dont les profils sont mis en cache sur le client sans fil peuvent se connecter au domaine. L'ordinateur doit être connecté à un réseau câblé ou configuré pour une connexion sans fil sans sécurité 802.1x.

  • Si l'inscription automatique auprès de l'autorité de certification échoue lorsqu'elle rejoint le domaine, vérifiez l'Observateur d'événements pour d'éventuelles raisons.

  • Si le profil utilisateur du client sans fil n'a pas de certificat valide, vous pouvez toujours vous connecter à l'ordinateur et au domaine si le mot de passe est correct, mais notez que la connexion sans fil n'aura pas de connectivité.

  • Si le certificat ACS sur le client sans fil n'est pas valide (ce qui dépend des dates de début et de fin valides du certificat, des paramètres de date et d'heure du client et de l'approbation de l'autorité de certification), le client le rejette et l'authentification échoue. L'ACS consigne l'échec de l'authentification dans l'interface Web sous Rapports et activité > Tentatives échouées > Tentatives échouées XXX.csv avec le code d'échec d'authentification semblable à "EAP-TLS ou l'authentification PEAP a échoué pendant la connexion SSL." Le message d'erreur attendu dans le fichier CSAuth.log est similaire à celui-ci :

    AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
other side probably didn't accept our certificate

  • Si le certificat du client sur l'ACS n'est pas valide (ce qui dépend des dates de début et de fin valides du certificat, des paramètres de date et d'heure du serveur et de l'approbation de l'autorité de certification), le serveur le rejette et l'authentification échoue. L'ACS consigne l'échec de l'authentification dans l'interface Web sous Rapports et activité > Tentatives échouées > Tentatives échouées XXX.csv avec le code d'échec d'authentification semblable à "EAP-TLS ou l'authentification PEAP a échoué pendant la connexion SSL." Si l'ACS rejette le certificat du client parce que l'ACS n'approuve pas l'AC, le message d'erreur attendu dans le fichier CSAuth.log est similaire à ce message :

    AUTH 06/04/2003 15:47:43 E 0345 1696 EAP: ProcessResponse:
SSL handshake failed, status = 3 (SSL alert fatal:unknown CA certificate)

    Si l'ACS rejette le certificat du client parce que le certificat a expiré, le message d'erreur attendu dans le fichier CSAuth.log est similaire à ce message :

    AUTH 06/04/2005 15:02:08 E 0345 1692 EAP: ProcessResponse:
SSL handshake failed, status = 3 (SSL alert fatal:certificate expired)

  • Dans les journaux de l'interface Web ACS, sous Rapports et activité > Authentifications réussies > Authentifications réussies XXX.csv et Rapports et activité > Tentatives échouées > Tentatives échouées XXX.csv, les authentifications EAP-TLS sont affichées au format <user-id>@<domaine>. Les authentifications PEAP sont affichées au format <DOMAINE>\<ID-utilisateur>.

  • Vous pouvez vérifier le certificat et la confiance du serveur ACS en suivant les étapes ci-dessous.

    1. Connectez-vous à Windows sur le serveur ACS avec un compte disposant de privilèges d'administrateur.

    2. Accédez à Démarrer > Exécuter, tapez mmc, et cliquez sur OK afin d'ouvrir la console de gestion Microsoft.

    3. Dans la barre de menus, accédez à Console > Ajouter/Supprimer un composant logiciel enfichable, puis cliquez sur Ajouter.

    4. Choisissez Certificates, puis cliquez sur Add.

    5. Choisissez Compte d'ordinateur, cliquez sur Suivant, puis choisissez Ordinateur local (l'ordinateur sur lequel cette console s'exécute).

    6. Cliquez sur Terminer, sur Fermer, puis sur OK.

    7. Afin de vérifier que le serveur ACS a un certificat côté serveur valide, allez à Racine de la console > Certificats (Ordinateur local) > Personnel > Certificats, et vérifiez qu'il y a un certificat pour le serveur ACS (nommé OurACS dans cet exemple).

    8. Ouvrez le certificat et vérifiez les éléments suivants :

      • Il n'y a pas d'avertissement au sujet du certificat qui n'est pas vérifié pour toutes ses fins prévues.

      • Il n'y a pas d'avertissement concernant le certificat non approuvé.

      • "Ce certificat est destiné à : garantit l'identité d'un ordinateur distant."

      • Le certificat n'a pas expiré et est devenu valide (vérifiez les dates « de » et « à » valides).

      • "Vous avez une clé privée qui correspond à ce certificat."

    9. Dans l'onglet Détails, vérifiez que le champ Version a la valeur V3 et que le champ Enhanced Key Usage a Server Authentication (1.3.6.1.5.5.7.3.1).

    10. Afin de vérifier que le serveur ACS fait confiance au serveur AC, allez à Racine de la console > Certificats (Ordinateur local) > Autorités de certification racines de confiance > Certificats, et vérifiez qu'il y a un certificat pour le serveur AC (nommé Notre Autorité de certification TAC dans cet exemple).

    11. Ouvrez le certificat et vérifiez les éléments suivants :

      • Il n'y a pas d'avertissement au sujet du certificat qui n'est pas vérifié pour toutes ses fins prévues.

      • Il n'y a pas d'avertissement concernant le certificat non approuvé.

      • L'objectif du certificat est correct.

      • Le certificat n'a pas expiré et est devenu valide (vérifiez les dates « de » et « à » valides).

      Si l'ACS et le client n'ont pas utilisé la même autorité de certification racine, vérifiez que toute la chaîne de certificats des serveurs de l'autorité de certification a été installée. Il en va de même si le certificat a été obtenu auprès d'une autorité de sous-certificat.

  • Vous pouvez vérifier le certificat de machine et la confiance du client sans fil en suivant les étapes ci-dessous.

    1. Connectez-vous à Windows sur le serveur ACS avec un compte disposant de privilèges d'administrateur. Ouvrez Microsoft Management Console en accédant à Démarrer > Exécuter, en tapant mmc, puis en cliquant sur OK.

    2. Dans la barre de menus, accédez à Console > Ajouter/Supprimer un composant logiciel enfichable, puis cliquez sur Ajouter.

    3. Sélectionnez Certificates et cliquez sur Add.

    4. Sélectionnez Compte d'ordinateur, cliquez sur Suivant, puis sélectionnez Ordinateur local (l'ordinateur sur lequel s'exécute cette console).

    5. Cliquez sur Terminer, sur Fermer, puis sur OK.

    6. Vérifiez que l'ordinateur dispose d'un certificat côté client valide. Si le certificat n'est pas valide, l'authentification de l'ordinateur échouera. Pour vérifier le certificat, accédez à Racine de la console > Certificats (Ordinateur local) > Personnel > Certificats. Vérifiez qu'il existe un certificat pour l'ordinateur ; le nom sera au format <nom-hôte>.<domaine>. Ouvrez le certificat et vérifiez les éléments suivants.

      • Il n'y a pas d'avertissement au sujet du certificat qui n'est pas vérifié pour toutes ses fins prévues.

      • Il n'y a pas d'avertissement concernant le certificat non approuvé.

      • "Ce certificat est destiné à : prouve votre identité à un ordinateur distant."

      • Le certificat n'a pas expiré et est devenu valide (vérifiez les dates « de » et « à » valides).

      • "Vous avez une clé privée qui correspond à ce certificat."

  • Dans l'onglet Détails, vérifiez que le champ Version a la valeur V3 et que le champ Enhanced Key Usage contient au moins la valeur Client Authentication (1.3.6.1.5.5.7.3.2) ; d'autres objectifs peuvent être répertoriés. Assurez-vous que le champ Subject contient la valeur CN = <host-name>.<domain>; des valeurs supplémentaires peuvent être répertoriées. Vérifiez que le nom d'hôte et le domaine correspondent à ceux spécifiés dans le certificat.

  • Pour vérifier que le profil du client fait confiance au serveur AC, accédez à Racine de la console > Certificats (Utilisateur actuel) > Autorités de certification racines de confiance > Certificats. Vérifiez qu'il existe un certificat pour le serveur AC (nommé Our TAC CA dans cet exemple). Ouvrez le certificat et vérifiez les éléments suivants.

    • Il n'y a pas d'avertissement au sujet du certificat qui n'est pas vérifié pour toutes ses fins prévues.

    • Il n'y a pas d'avertissement concernant le certificat non approuvé.

    • L'objectif du certificat est correct.

    • Le certificat n'a pas expiré et est devenu valide (vérifiez les dates « de » et « à » valides).

    Si l'ACS et le client n'ont pas utilisé la même autorité de certification racine, vérifiez que toute la chaîne de certificats des serveurs de l'autorité de certification a été installée. Il en va de même si le certificat a été obtenu auprès d'une autorité de sous-certificat.

  • Vérifiez les paramètres ACS comme décrit dans Configuration de Cisco Secure ACS pour Windows v3.2.

  • Vérifiez les paramètres de l'autorité de certification comme décrit dans Configuration des services de certificats MS.

  • Vérifiez les paramètres AP comme décrit dans Configuration du point d'accès Cisco.

  • Vérifiez les paramètres du client sans fil comme décrit dans Configuration du client sans fil.

  • Vérifiez que le compte d'utilisateur existe dans la base de données interne du serveur AAA ou dans l'une des bases de données externes configurées, et assurez-vous que le compte n'a pas été désactivé.

  • Les certificats émis par l'autorité de certification reposant sur l'algorithme SHA-2 (Secure Hash Algorithm 2) ne sont pas compatibles avec Cisco Secure ACS, car ils sont développés avec Java, qui ne prend pas en charge SHA-2 à l'heure actuelle. Afin de résoudre ce problème, réinstallez l'autorité de certification et configurez-la pour émettre des certificats avec SHA-1.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
30-Jun-2003
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco