이 문서에서는 EAP-TLS(Extensible Authentication Protocol-Transport Layer Security)를 통해 WLC(Wireless LAN Controller), Microsoft Windows 2003 소프트웨어 및 Cisco ACS(Secure Access Control Server) 4.0을 사용하여 보안 무선 액세스를 구성하는 방법에 대해 설명합니다.
참고: 보안 무선 구축에 대한 자세한 내용은 Microsoft Wi-Fi 웹 사이트 및 Cisco SAFE Wireless Blueprint를 참조하십시오.
이 문서에서는 테스트를 쉽게 수행할 수 있도록 특정 구성만 다루므로 설치 관리자가 기본 Windows 2003 설치 및 Cisco 컨트롤러 설치에 대해 알고 있다고 가정합니다.
Cisco 4400 Series 컨트롤러의 초기 설치 및 구성 정보는 빠른 시작 가이드를 참조하십시오.Cisco 4400 Series Wireless LAN Controller.Cisco 2000 Series 컨트롤러의 초기 설치 및 구성 정보는 빠른 시작 가이드를 참조하십시오.Cisco 2000 Series Wireless LAN Controller.
시작하기 전에 테스트 실습의 각 서버에 Windows Server 2003 SP(서비스 팩)1 운영 체제를 설치하고 모든 서비스 팩을 업데이트합니다.컨트롤러 및 AP를 설치하고 최신 소프트웨어 업데이트가 구성되었는지 확인합니다.
중요:이 문서가 작성되었을 때 SP1은 최신 Windows Server 2003 업데이트이고 업데이트 패치가 있는 SP2는 Windows XP Professional용 최신 소프트웨어입니다.
EAP-TLS 인증을 위한 사용자 및 워크스테이션 인증서의 자동 등록을 구성할 수 있도록 Windows Server 2003 SP1, Enterprise Edition이 사용됩니다.이 내용은 이 문서의 EAP-TLS 인증 섹션에서 설명합니다.인증서 자동 등록 및 자동 갱신을 통해 인증서를 더 쉽게 구축하고 인증서를 자동으로 만료하고 갱신하여 보안을 강화할 수 있습니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
3.2.116.21을 실행하는 Cisco 2006 또는 4400 Series 컨트롤러
Cisco 1131 LWAPP(Lightweight Access Point Protocol) AP
Windows 2003 Enterprise(IIS), CA(Certificate Authority), DHCP 및 DNS(Domain Name System)가 설치되어 있음
Windows 2003 Standard with Access Control Server(ACS) 4.0
Windows XP Professional with SP(및 업데이트된 서비스 팩) 및 NIC(무선 네트워크 인터페이스 카드)(CCX v3 지원) 또는 서드파티 신청자
Cisco 3560 스위치
이 문서에서는 다음 네트워크 설정을 사용합니다.
Cisco Secure Wireless Lab 토폴로지
이 문서의 주요 목적은 ACS 4.0 및 Windows 2003 Enterprise 서버가 있는 Unified Wireless Networks에서 EAP-TLS를 구현하는 단계별 절차를 제공하는 것입니다.주로 클라이언트의 자동 등록이 클라이언트 자동 등록을 통해 서버에서 인증서를 자동 등록 및 가져오도록 합니다.
참고: SP를 사용하는 Windows XP Professional에 TKIP(Temporal Key Integrity Protocol)/AES(Advanced Encryption Standard)가 포함된 Wi-Fi 보호 액세스(WPA)/WPA2를 추가하려면 SP2 를 사용하는 Windows XP용 WPS2/무선 프로비저닝 서비스 정보 요소(WPA) 업데이트를 참조하십시오.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.
DC_CA는 Windows Server 2003 SP1, Enterprise Edition을 실행하고 다음 역할을 수행하는 컴퓨터입니다.
IIS를 실행하는 wirelessdemo.local 도메인의 도메인 컨트롤러
wireless demo.local DNS 도메인용 DNS 서버
DHCP 서버
무선 데모.로컬 도메인용 엔터프라이즈 루트 CA
다음 서비스에 대해 DC_CA를 구성하려면 다음 단계를 완료하십시오.
다음 단계를 완료하십시오.
Windows Server 2003 SP1, Enterprise Edition을 독립형 서버로 설치합니다.
IP 주소가 172.16.100.26이고 서브넷 마스크가 255.255.255.0인 TCP/IP 프로토콜을 구성합니다.
다음 단계를 완료하십시오.
Active Directory 설치 마법사를 시작하려면 시작 > 실행을 선택하고 dcpromo.exe를 입력한 다음 확인 을 클릭합니다.
Welcome to the Active Directory Installation Wizard(Active Directory 설치 마법사 시작) 페이지에서 Next(다음)를 클릭합니다.
운영 체제 호환성 페이지에서 다음을 클릭합니다.
Domain Controller Type(도메인 컨트롤러 유형) 페이지에서 새 도메인에 대해 Domain controller(도메인 컨트롤러)를 선택하고 Next(다음)를 클릭합니다.
Create New Domain(새 도메인 생성) 페이지에서 새 포리스트에 있는 도메인을 선택하고 다음을 클릭합니다.
Install or Configure DNS(DNS 설치 또는 구성) 페이지에서 No(아니요), Just install and configure DNS on this computer(이 컴퓨터에 DNS를 설치 및 구성만)를 선택하고 Next(다음)를 클릭합니다.
New Domain Name(새 도메인 이름) 페이지에서 wirelessdemo.local을 입력하고 Next(다음)를 클릭합니다.
NetBIOS Domain Name(NetBIOS 도메인 이름) 페이지에서 Domain NetBIOS name as wireless demo(도메인 NetBIOS 이름)를 무선 데모로 입력하고 Next(다음)를 클릭합니다.
데이터베이스 및 로그 폴더 위치 페이지에서 기본 데이터베이스 및 로그 폴더 디렉토리를 적용하고 다음을 누릅니다.
공유 시스템 볼륨 대화 상자에서 기본 폴더 위치가 올바른지 확인하고 다음을 클릭합니다.
사용 권한 페이지에서 Windows 2000 또는 Windows Server 2003 운영 체제와만 호환되는 사용 권한이 선택되었는지 확인하고 다음을 클릭합니다.
디렉터리 서비스 복원 모드 관리 암호 페이지에서 암호 상자를 비워 두고 다음을 클릭합니다.
Summary(요약) 페이지의 정보를 검토하고 Next(다음)를 클릭합니다.
Active Directory 설치 마법사 완료 페이지에서 마침을 클릭합니다.
컴퓨터를 다시 시작하라는 메시지가 나타나면 지금 다시 시작을 클릭합니다.
다음 단계를 완료하십시오.
관리 도구 폴더(시작 > 관리 도구 > Active Directory 도메인 및 트러스트)에서 Active Directory 도메인 및 트러스트 스냅인을 연 다음 도메인 컴퓨터 DC_CA.wirelessdemo.local을 마우스 오른쪽 단추로 클릭합니다.
도메인 기능 수준 올리기를 클릭한 다음 도메인 기능 수준 올리기 페이지에서 Windows Server 2003을 선택합니다.
Raise를 클릭하고 OK를 클릭한 다음 OK를 다시 클릭합니다.
다음 단계를 완료하십시오.
제어판에서 프로그램 추가/제거를 사용하여 DHCP(Dynamic Host Configuration Protocol)를 네트워킹 서비스 구성 요소로 설치합니다.
Administrative Tools 폴더(Start > Programs > Administrative Tools > DHCP)에서 DHCP 스냅인을 연 다음 DHCP 서버, DC_CA.wirelessdemo.local을 선택합니다.
Action(작업)을 클릭한 다음 Authorize(권한 부여)를 클릭하여 DHCP 서비스를 인증합니다.
콘솔 트리에서 마우스 오른쪽 버튼으로 DC_CA.wirelessdemo.local을 클릭하고 New Scope(새 범위)를 클릭합니다.
새 범위 마법사의 시작 페이지에서 다음을 클릭합니다.
Scope Name(범위 이름) 페이지의 Name(이름) 필드에 CorpNet을 입력합니다.
Next(다음)를 클릭하고 다음 매개변수를 입력합니다.
시작 IP 주소—172.16.100.1
끝 IP 주소 - 172.16.100.254
길이 - 24
서브넷 마스크 - 255.255.255.0
Next(다음)를 클릭하고 172.16.100.1을 Start IP(시작 IP) 주소에 입력하고 End IP 주소를 제외할 172.16.100.100에 입력합니다.그런 다음 Next(다음)를 클릭합니다.이렇게 하면 172.16.100.1~172.16.100.100 범위의 IP 주소가 예약됩니다. 이러한 예약된 IP 주소는 DHCP 서버에서 할당되지 않습니다.
Lease Duration(리스 기간) 페이지에서 Next(다음)를 클릭합니다.
Configure DHCP Options(DHCP 옵션 구성) 페이지에서 Yes, I want to configure these options now(예, 지금 이 옵션을 구성하겠습니다)를 선택하고 Next(다음)를 클릭합니다.
Router (Default Gateway) 페이지에서 기본 라우터 주소 172.16.100.1을 추가하고 Next를 클릭합니다.
Domain Name and DNS Servers(도메인 이름 및 DNS 서버) 페이지에서 Parent domain(상위 도메인) 필드에 wirelessdemo.local을 입력하고 IP 주소 필드에 172.16.100.26을 입력한 다음 Add(추가)를 클릭하고 Next(다음)를 클릭합니다.
WINS Servers(WINS 서버) 페이지에서 Next(다음)를 클릭합니다.
Activate Scope(범위 활성화) 페이지에서 Yes, I want to activate this scope now(예, 지금 이 범위를 활성화하겠습니다)를 선택하고 Next(다음)를 클릭합니다.
Completing the New Scope Wizard(새 범위 마법사 완료) 페이지에서 Finish(마침)를 클릭합니다.
다음 단계를 완료하십시오.
참고: 인증서 서비스를 설치하기 전에 IIS를 설치해야 하며 사용자가 엔터프라이즈 관리자 OU의 일부여야 합니다.
제어판에서 프로그램 추가/제거를 연 다음 Windows 구성 요소 추가/제거를 클릭합니다.
Windows 구성 요소 마법사 페이지에서 인증서 서비스를 선택하고 다음을 클릭합니다.
CA Type(CA 유형) 페이지에서 Enterprise root CA(엔터프라이즈 루트 CA)를 선택하고 Next(다음)를 클릭합니다.
CA Identifying information(CA 식별 정보) 페이지의 Common name for this CA(이 CA의 공통 이름) 상자에 wirelessdemoca를 입력합니다.다른 선택적 세부 정보를 입력한 다음 Next를 클릭할 수 있습니다.Certificate Database Settings 페이지에서 기본값을 적용합니다.
Next(다음)를 클릭합니다.설치가 완료되면 마침을 클릭합니다.
IIS 설치 경고를 읽은 후 확인을 클릭합니다.
다음 단계를 완료하십시오.
시작 > 관리 도구 > 인증 기관을 선택합니다.
무선Democa CA를 마우스 오른쪽 버튼으로 클릭한 다음 속성을 클릭합니다.
Security(보안) 탭의 Group(그룹) 또는 User names(사용자 이름) 목록에서 Administrators(관리자)를 클릭합니다.
Permissions or Administrators(권한 또는 관리자) 목록에서 다음 옵션이 Allow(허용)로 설정되어 있는지 확인합니다.
인증서 발급 및 관리
CA 관리
인증서 요청
이 중 하나라도 Deny로 설정되거나 선택되지 않은 경우 사용 권한을 Allow로 설정합니다.
OK(확인)를 클릭하여 WirelessDemoca CA Properties(무선 상태 CA 속성) 대화 상자를 닫고 Certification Authority(인증 기관)를 닫습니다.
다음 단계를 완료하십시오.
참고: 컴퓨터가 이미 도메인에 추가된 경우 도메인에 사용자 추가를 진행합니다.
Active Directory 사용자 및 컴퓨터 스냅인을 엽니다.
콘솔 트리에서 wirelessdemo.local을 확장합니다.
사용자를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭한 다음 컴퓨터를 클릭합니다.
새 개체 - 컴퓨터 대화 상자의 컴퓨터 이름 필드에 컴퓨터 이름을 입력하고 다음을 클릭합니다.이 예에서는 컴퓨터 이름 Client를 사용합니다.
Managed(관리) 대화 상자에서 Next(다음)를 클릭합니다.
새 개체 컴퓨터 대화 상자에서 마침을 클릭합니다.
추가 컴퓨터 계정을 만들려면 3~6단계를 반복합니다.
다음 단계를 완료하십시오.
Active Directory 사용자 및 컴퓨터 콘솔 트리에서 컴퓨터 폴더를 클릭하고 무선 액세스를 할당할 컴퓨터를 마우스 오른쪽 단추로 클릭합니다.이 예에서는 7단계에서 추가한 컴퓨터 CLIENT의 절차를 보여 줍니다.
속성을 클릭한 다음 전화 접속 탭으로 이동합니다.
Allow access(액세스 허용)를 선택하고 OK(확인)를 클릭합니다.
다음 단계를 완료하십시오.
Active Directory 사용자 및 컴퓨터 콘솔 트리에서 마우스 오른쪽 단추로 사용자를 클릭하고 새로 만들기를 클릭한 다음 사용자를 클릭합니다.
새 개체 - 사용자 대화 상자의 이름 필드에 WirelessUser를 입력하고 사용자 로그온 이름 필드에 WirelessUser를 입력하고 다음을 클릭합니다.
새 개체 - 사용자 대화 상자의 암호 및 암호 확인 필드에 원하는 암호를 입력합니다.User must change password at next logon(다음 로그온 시 사용자가 암호를 변경해야 함) 확인란의 선택을 취소하고 Next(다음)를 클릭합니다.
새 개체 - 사용자 대화 상자에서 마침을 클릭합니다.
추가 사용자 계정을 생성하려면 2~4단계를 반복합니다.
다음 단계를 완료하십시오.
Active Directory 사용자 및 컴퓨터 콘솔 트리에서 사용자 폴더를 클릭하고 무선 사용자를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭한 다음 전화 접속 탭으로 이동합니다.
Allow access(액세스 허용)를 선택하고 OK(확인)를 클릭합니다.
다음 단계를 완료하십시오.
Active Directory 사용자 및 컴퓨터 콘솔 트리에서 마우스 오른쪽 단추로 사용자를 클릭하고 새로 만들기를 클릭한 다음 그룹을 클릭합니다.
새 개체 - 그룹 대화 상자의 그룹 이름 필드에 그룹 이름을 입력하고 확인을 클릭합니다.이 문서에서는 그룹 이름 WirelessUsers를 사용합니다.
다음 단계를 완료하십시오.
Active Directory Users and Computers(Active Directory 사용자 및 컴퓨터)의 세부 정보 창에서 Group WirelessUsers(그룹 무선 사용자)를 두 번 클릭합니다.
Members(멤버) 탭으로 이동하여 Add(추가)를 클릭합니다.
사용자, 연락처, 컴퓨터 또는 그룹 선택 대화 상자에서 그룹에 추가할 사용자의 이름을 입력합니다.이 예에서는 사용자 무선 사용자를 그룹에 추가하는 방법을 보여줍니다.확인을 클릭합니다.
Multiple Names Found 대화 상자에서 OK를 클릭합니다.WirelessUser 사용자 계정이 WirelessUsers 그룹에 추가됩니다.
확인을 클릭하여 WirelessUsers 그룹에 변경 사항을 저장합니다.
그룹에 사용자를 더 추가하려면 이 절차를 반복합니다.
다음 단계를 완료하십시오.
이 문서의 WirelessUsers Group(무선 사용자 그룹에 사용자 추가) 섹션에서 1단계와 2단계를 반복합니다.
사용자, 연락처 또는 컴퓨터 선택 대화 상자에서 그룹에 추가할 컴퓨터의 이름을 입력합니다.이 예에서는 client라는 컴퓨터를 그룹에 추가하는 방법을 보여 줍니다.
개체 유형을 클릭하고 사용자 확인란을 지운 다음 컴퓨터를 선택합니다.
OK(확인)를 두 번 클릭합니다.CLIENT 컴퓨터 계정이 WirelessUsers 그룹에 추가됩니다.
그룹에 컴퓨터를 더 추가하려면 절차를 반복합니다.
Cisco Secure ACS는 Windows Server 2003 SP1, Standard Edition을 실행하는 컴퓨터로서 컨트롤러에 대한 RADIUS 인증 및 권한 부여를 제공합니다.ACS를 RADIUS 서버로 구성하려면 이 섹션의 절차를 완료합니다.
다음 단계를 완료하십시오.
Windows Server 2003 SP1, Standard Edition을 wirelessdemo.local 도메인에 ACS라는 구성원 서버로 설치합니다.
참고: 나머지 컨피그레이션에서는 ACS 서버 이름이 cisco_w2003으로 나타납니다.나머지 Lab 설정에서 ACS 또는 cisco_w2003을 대체합니다.
로컬 영역 연결의 경우 IP 주소 172.16.100.26, 서브넷 마스크 255.255.0 및 DNS 서버 IP 주소 127.0.0.1으로 TCP/IP 프로토콜을 구성합니다.
참고: Windows용 Cisco Secure ACS 4.0을 구성하는 방법에 대한 자세한 내용은 Windows용 Cisco Secure ACS 4.0 설치 설명서를 참조하십시오.
다음 단계를 완료하십시오.
도메인 관리자 계정을 사용하여 Cisco Secure ACS에 ACS라는 컴퓨터에 로그인합니다.
참고: Cisco Secure ACS를 설치한 컴퓨터에서 수행되는 설치만 지원됩니다.Windows 터미널 서비스 또는 VNC(Virtual Network Computing) 같은 제품을 사용하여 수행되는 원격 설치는 테스트되지 않으며 지원되지 않습니다.
Cisco Secure ACS CD를 컴퓨터의 CD-ROM 드라이브에 넣습니다.
CD-ROM 드라이브가 Windows 자동 실행 기능을 지원하는 경우 Cisco Secure ACS for Windows Server 대화 상자가 나타납니다.
참고: 컴퓨터에 필수 서비스 팩이 설치되어 있지 않으면 대화 상자가 나타납니다.Cisco Secure ACS를 설치하기 전이나 후에 Windows 서비스 팩을 적용할 수 있습니다.설치를 계속할 수 있지만 설치가 완료된 후 필요한 서비스 팩을 적용해야 합니다.그렇지 않으면 Cisco Secure ACS가 안정적으로 작동하지 않을 수 있습니다.
다음 작업 중 하나를 수행합니다.
Windows 서버용 Cisco Secure ACS 대화 상자가 나타나면 설치를 클릭합니다.
Cisco Secure ACS for Windows Server 대화 상자가 나타나지 않으면 Cisco Secure ACS CD의 루트 디렉토리에 있는 setup.exe를 실행합니다.
Cisco Secure ACS Setup 대화 상자에 소프트웨어 라이센스 계약이 표시됩니다.
소프트웨어 라이센스 계약서를 읽습니다.소프트웨어 라이센스 계약에 동의하면 Accept(동의)를 클릭합니다.
시작 대화 상자에는 설정 프로그램에 대한 기본 정보가 표시됩니다.
시작 대화 상자에서 정보를 읽은 후 다음을 클릭합니다.
시작하기 전에 대화 상자에는 설치를 계속하기 전에 완료해야 하는 항목이 나열됩니다.시작하기 전에 대화 상자에 나열된 모든 항목을 완료한 경우 각 항목의 해당 상자를 선택하고 다음을 클릭합니다.
참고: 시작하기 전에 상자에 나열된 모든 항목을 완료하지 않은 경우 취소를 클릭한 다음 설치 끝내기를 클릭합니다.시작하기 전에 대화 상자에 나열된 모든 항목을 완료한 후 설치를 다시 시작합니다.
Choose Destination Location 대화 상자가 나타납니다.대상 폴더 아래에 설치 위치가 나타납니다.설치 프로그램이 Cisco Secure ACS를 설치하는 드라이브 및 경로입니다.
설치 위치를 변경하려면 다음 단계를 완료하십시오.
Browse를 클릭합니다.폴더 선택 대화 상자가 나타납니다.경로 상자에는 설치 위치가 포함되어 있습니다.
설치 위치를 변경합니다.경로 상자에 새 위치를 입력하거나 드라이브 및 디렉터리 목록을 사용하여 새 드라이브 및 디렉터리를 선택할 수 있습니다.설치 위치는 컴퓨터의 로컬 드라이브에 있어야 합니다.
참고: 백분율 문자 "%"를 포함하는 경로를 지정하지 마십시오. 이렇게 하면 설치가 올바르게 진행되는 것처럼 보일 수 있지만 완료되기 전에 실패합니다.
확인을 클릭합니다.
참고: 존재하지 않는 폴더를 지정한 경우 폴더 생성을 확인하는 대화 상자가 표시됩니다.계속하려면 예를 클릭합니다.
대상 위치 선택 대화 상자의 대상 폴더 아래에 새 설치 위치가 나타납니다.
Next(다음)를 클릭합니다.
Authentication Database Configuration(인증 데이터베이스 컨피그레이션) 대화 상자에는 사용자 인증을 위한 옵션이 나열됩니다.Cisco Secure 사용자 데이터베이스로만 또는 Windows 사용자 데이터베이스로도 인증할 수 있습니다.
참고: Cisco Secure ACS를 설치한 후 Windows 사용자 데이터베이스 외에도 모든 외부 사용자 데이터베이스 유형에 대한 인증 지원을 구성할 수 있습니다.
Cisco Secure 사용자 데이터베이스로만 사용자를 인증하려면 Check the Cisco Secure ACS database only 옵션을 선택합니다.
Cisco Secure 사용자 데이터베이스 외에 Windows SAM(Security Access Manager) 사용자 데이터베이스 또는 Active Directory 사용자 데이터베이스를 사용하여 사용자를 인증하려면 다음 단계를 완료하십시오.
Windows 사용자 데이터베이스 옵션도 선택합니다.
예, "사용자에게 전화 접속 권한 부여" 설정 확인란을 사용할 수 있게 됩니다.
참고: 예를 참조하려면 "사용자에게 전화 접속 권한 부여" 설정 확인란은 전화 접속 액세스뿐 아니라 Cisco Secure ACS에서 제어하는 모든 액세스 형식에 적용됩니다.예를 들어 VPN 터널을 통해 네트워크에 액세스하는 사용자는 네트워크 액세스 서버로 다이얼하지 않습니다.그러나 예, "사용자에게 전화 접속 권한 부여" 설정 상자를 참조하면 Cisco Secure ACS는 Windows 사용자 전화 접속 권한을 적용하여 사용자 네트워크 액세스 권한 부여 여부를 결정합니다.
Windows 도메인 사용자 데이터베이스에 의해 인증된 사용자가 Windows 계정에 다이얼 인 권한이 있는 경우에만 사용자에게 액세스를 허용하려면 예, "사용자에게 전화 접속 권한 부여" 설정 상자를 참조하십시오.
Next(다음)를 클릭합니다.
설치 프로그램은 Cisco Secure ACS를 설치하고 Windows 레지스트리를 업데이트합니다.
Advance Options 대화 상자에는 기본적으로 활성화되지 않은 Cisco Secure ACS의 여러 기능이 나열됩니다.이러한 기능에 대한 자세한 내용은 Windows Server용 Cisco Secure ACS 버전 4.0 사용 설명서를 참조하십시오.
참고: 나열된 기능은 Cisco Secure ACS HTML 인터페이스에 활성화한 경우에만 나타납니다.설치 후 Interface Configuration 섹션의 Advanced Options 페이지에서 활성화하거나 비활성화할 수 있습니다.
활성화할 각 기능에 대해 해당 확인란을 선택합니다.
Next(다음)를 클릭합니다.
Active Service Monitoring 대화 상자가 나타납니다.
참고: 설치 후 시스템 구성 섹션의 Active Service Management 페이지에서 활성 서비스 모니터링 기능을 구성할 수 있습니다.
Cisco Secure ACS에서 사용자 인증 서비스를 모니터링하도록 하려면 Enable Login Monitoring(로그인 모니터링 활성화) 상자를 선택합니다.Script to Execute(실행할 스크립트) 목록에서 인증 서비스 실패 시 적용할 옵션을 선택합니다.
No Remediate Action(교정 작업 없음) - Cisco Secure ACS는 스크립트를 실행하지 않습니다.
참고: 이 옵션은 이벤트 메일 알림을 활성화하는 경우에 유용합니다.
재부팅—Cisco Secure ACS는 Cisco Secure ACS를 실행하는 컴퓨터를 재부팅하는 스크립트를 실행합니다.
Restart All(모두 재시작) - Cisco Secure ACS가 모든 Cisco Secure ACS 서비스를 재시작합니다.
Restart RADIUS/TACACS+—Cisco Secure ACS는 RADIUS 및 TACACS+ 서비스만 재시작합니다.
서비스 모니터링이 이벤트를 탐지할 때 Cisco Secure ACS에서 이메일 메시지를 전송하도록 하려면 Mail Notification 상자를 선택합니다.
Next(다음)를 클릭합니다.
Database Encryption Password 대화 상자가 나타납니다.
참고: 데이터베이스 암호화 암호는 암호화되어 ACS 레지스트리에 저장됩니다.중요한 문제가 발생하여 데이터베이스에 수동으로 액세스해야 할 경우 이 비밀번호를 재사용해야 할 수 있습니다.기술 지원 팀에서 데이터베이스에 액세스할 수 있도록 이 암호를 즉시 보관하십시오.비밀번호는 각 만료 기간마다 변경할 수 있습니다.
데이터베이스 암호화를 위한 비밀번호를 입력합니다.암호는 8자 이상이어야 하며 문자와 숫자를 모두 포함해야 합니다.잘못된 문자가 없습니다.Next(다음)를 클릭합니다.
설정 프로그램이 완료되고 Cisco Secure ACS Service Initiation 대화 상자가 나타납니다.
원하는 각 Cisco Secure ACS Services Initiation 옵션에 대해 해당 확인란을 선택합니다.옵션과 관련된 작업은 설정 프로그램이 완료된 후에 발생합니다.
예, 지금 Cisco Secure ACS Service를 시작하겠습니다—Cisco Secure ACS를 구성하는 Windows 서비스를 시작합니다.이 옵션을 선택하지 않으면 컴퓨터를 재부팅하거나 CSAdmin 서비스를 시작하지 않으면 Cisco Secure ACS HTML 인터페이스를 사용할 수 없습니다.
예, 설치 후 브라우저에서 Cisco Secure ACS Administrator를 시작하겠습니다—현재 Windows 사용자 계정의 기본 웹 브라우저에서 Cisco Secure ACS HTML 인터페이스를 엽니다.
예, Readme File(Readme 파일)을 보고 싶습니다. Windows Notepad에서 README.TXT 파일을 엽니다.
Next(다음)를 클릭합니다.
옵션을 선택한 경우 Cisco Secure ACS 서비스가 시작됩니다.Setup Complete(설정 완료) 대화 상자에는 Cisco Secure ACS HTML 인터페이스에 대한 정보가 표시됩니다.
마침을 클릭합니다.
참고: 컨피그레이션의 나머지 부분은 구성된 EAP 유형에 대한 섹션에 설명되어 있습니다.
다음 단계를 완료하십시오.
참고: 컨트롤러는 네트워크에 대한 기본 연결을 가지며 관리 인터페이스에 대한 IP 연결이 성공적으로 이루어졌다고 가정합니다.
https://172.16.101.252으로 이동하여 컨트롤러에 로그인합니다.
Login(로그인)을 클릭합니다.
기본 사용자 admin 및 기본 비밀번호 admin으로 로그인합니다.
Controller(컨트롤러) 메뉴 아래에 인터페이스 VLAN 매핑을 생성합니다.
Interfaces를 클릭합니다.
New(새로 만들기)를 클릭합니다.
Interface name 필드에 Employee를 입력합니다.(이 필드는 원하는 값일 수 있습니다.)
VLAN ID 필드에 20을 입력합니다. 이 필드는 네트워크에서 전송되는 모든 VLAN일 수 있습니다.
Apply를 클릭합니다.
이 Interfaces(인터페이스) > Edit(수정) 창이 표시되는 대로 정보를 구성합니다.
Apply를 클릭합니다.
WLAN을 클릭합니다.
New(새로 만들기)를 클릭합니다.
WLAN SSID 필드에 Employee를 입력합니다.
Apply를 클릭합니다.
이 WLANs(WLAN) > Edit(수정) 창이 표시되는 대로 정보를 구성합니다.
참고: WPA2는 이 실습에서 선택한 레이어 2 암호화 방법입니다.TKIP-MIC 클라이언트가 있는 WPA를 이 SSID에 연결하도록 허용하려면 WPA 호환성 모드 및 WPA2 TKIP 클라이언트 허용 또는 802.11i AES 암호화 방법을 지원하지 않는 클라이언트를 선택할 수도 있습니다.
Apply를 클릭합니다.
Security(보안) 메뉴를 클릭하고 RADIUS 서버를 추가합니다.
New(새로 만들기)를 클릭합니다.
이전에 구성된 ACS 서버인 RADIUS 서버 IP 주소(172.16.100.25)을 추가합니다.
공유 키가 ACS 서버에 구성된 AAA 클라이언트와 일치하는지 확인합니다.
Apply를 클릭합니다.
기본 컨피그레이션이 이제 완료되었으며 EAP-TLS를 테스트할 수 있습니다.
EAP-TLS 인증에는 무선 클라이언트의 컴퓨터 및 사용자 인증서, 무선 액세스를 위한 원격 액세스 정책에 EAP 유형으로 EAP-TLS 추가 및 무선 네트워크 연결 재구성 등이 필요합니다.
컴퓨터 및 사용자 인증서에 대한 자동 등록을 제공하도록 DC_CA를 구성하려면 이 섹션의 절차를 완료합니다.
참고: Microsoft에서 Windows 2003 Enterprise CA 릴리스로 웹 서버 템플릿을 변경했으므로 키를 더 이상 내보낼 수 없으며 옵션이 회색으로 표시됩니다.서버 인증을 위한 인증서 서비스와 함께 제공된 다른 인증서 템플릿은 없으며, 드롭다운에서 사용 가능한 키를 내보낼 수 있는 것으로 표시할 수 있으므로 새 템플릿을 생성해야 합니다.
참고: Windows 2000에서는 내보낼 수 있는 키를 사용할 수 있으며 Windows 2000을 사용하는 경우 이러한 절차를 따를 필요가 없습니다.
다음 단계를 완료하십시오.
[시작] > [실행]을 선택하고 mmc를 입력한 다음 [확인]을 클릭합니다.
파일 메뉴에서 스냅인 추가/제거를 클릭한 다음 추가를 클릭합니다.
스냅인에서 인증서 템플릿을 두 번 클릭하고 닫기를 클릭한 다음 확인을 클릭합니다.
콘솔 트리에서 Certificate Templates(인증서 템플릿)를 클릭합니다.모든 인증서 템플릿이 Details(세부사항) 창에 나타납니다.
2단계부터 4단계까지 건너뛰려면 인증서 템플릿 스냅인을 여는 certtmpl.msc를 입력합니다.
다음 단계를 완료하십시오.
인증서 템플릿 스냅인의 세부 정보 창에서 웹 서버 템플릿을 클릭합니다.
작업 메뉴에서 템플릿 복제를 클릭합니다.
Template display name(템플릿 표시 이름) 필드에 ACS를 입력합니다.
Request Handling(요청 처리) 탭으로 이동하여 Allow private key to be exported(개인 키를 내보낼 수 있음)를 선택합니다.
다음 CSP 중 하나를 사용해야 합니다.Microsoft Base Cryptographic Provider v1.0을 선택합니다. 선택한 다른 CSP의 선택을 취소한 다음 확인을 클릭합니다.
Subject Name(주체 이름) 탭으로 이동하여 요청에서 Supply(공급)를 선택하고 OK(확인)를 클릭합니다.
Security(보안) 탭으로 이동하여 Domain Admins Group(도메인 관리자 그룹)을 강조 표시하고 Allowed(허용) 아래에서 Enroll(등록) 옵션이 선택되어 있는지 확인합니다.
중요:이 Active Directory 정보에서만 빌드하도록 선택한 경우 Active Directory 사용자 및 컴퓨터 스냅인의 WirelessUser 계정에 대한 전자 메일 이름이 입력되지 않았으므로 UPN(사용자 계정 이름)을 선택하고 Include email name in Subject name and E-mail name(주체 이름 및 전자 메일 이름에 전자 메일 이름 포함)을 선택 취소합니다.이 두 옵션을 비활성화하지 않으면 자동 등록은 전자 메일을 사용하려고 시도하므로 자동 등록 오류가 발생합니다.
인증서가 자동으로 푸시되지 않도록 하려면 추가 보안 조치가 필요합니다.이러한 정보는 Issuance Requirements(발급 요건) 탭에서 확인할 수 있습니다.이 문서에서는 이에 대해 더 이상 다루지 않습니다.
OK(확인)를 클릭하여 템플릿을 저장하고 Certificate Authority 스냅인에서 이 템플릿을 발급합니다.
다음 단계를 완료하십시오.
인증 기관 스냅인을 엽니다.Create the Certificate Template for the ACS Web Server(ACS 웹 서버에 대한 인증서 템플릿 생성) 섹션의 1-3단계를 따라 Certificate Authority(인증 기관) 옵션을 선택하고 Local Computer(로컬 컴퓨터)를 선택한 다음 Finish(마침)를 클릭합니다.
콘솔 트리에서 wirelessdemoca를 확장한 다음 마우스 오른쪽 버튼으로 Certificate Templates(인증서 템플릿)를 클릭합니다.
New > Certificate Template to Issue를 선택합니다.
ACS Certificate Template(ACS 인증서 템플릿)을 클릭합니다.
확인을 클릭하고 Active Directory 사용자 및 컴퓨터 스냅인을 엽니다.
콘솔 트리에서 Active Directory Users and Computers(Active Directory 사용자 및 컴퓨터)를 두 번 클릭하고 wirelessdemo.local domain을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
Group Policy(그룹 정책) 탭에서 Default Domain Policy(기본 도메인 정책)를 클릭한 다음 Edit(수정)를 클릭합니다.그러면 그룹 정책 개체 편집기 스냅인이 열립니다.
콘솔 트리에서 Computer Configuration(컴퓨터 구성) > Windows Settings(Windows 설정) > Security Settings(보안 설정) > Public Key Policies(공개 키 정책)를 확장한 다음 Automatic Certificate Request Settings(자동 인증서 요청 설정)를 선택합니다.
Automatic Certificate Request Settings(자동 인증서 요청 설정)를 마우스 오른쪽 버튼으로 클릭하고 New(새로 만들기) > Automatic Certificate Request(자동 인증서 요청)를 선택합니다.
Welcome to the Automatic Certificate Request Setup Wizard(자동 인증서 요청 설정 마법사 시작) 페이지에서 Next(다음)를 클릭합니다.
Certificate Template(인증서 템플릿) 페이지에서 Computer(컴퓨터)를 클릭하고 Next(다음)를 클릭합니다.
Completing the Automatic Certificate Request Setup Wizard(자동 인증서 요청 설정 마법사 완료) 페이지에서 Finish(마침)를 클릭합니다.
이제 컴퓨터 인증서 유형이 그룹 정책 개체 편집기 스냅인의 세부 정보 창에 나타납니다.
콘솔 트리에서 User Configuration(사용자 컨피그레이션) > Windows Settings(Windows 설정) > Security Settings(보안 설정) > Public Key Policies(공개 키 정책)를 확장합니다.
세부 정보 창에서 자동 등록 설정을 두 번 클릭합니다.
Enroll certificates automatically(인증서 자동 등록)를 선택하고 Renew expired certificates(만료된 인증서 갱신)를 선택하고, 보류 중인 인증서를 업데이트하고, 해지된 인증서를 제거하고, 인증서 템플릿을 사용하는 인증서 업데이트를 선택합니다.
확인을 클릭합니다.
중요:WLAN EAP-TLS 클라이언트를 인증하려면 ACS 서버가 엔터프라이즈 루트 CA 서버에서 서버 인증서를 가져와야 합니다.
중요:캐시된 정보에 문제가 발생하므로 인증서 설정 프로세스 중에 IIS 관리자가 열려 있지 않은지 확인하십시오.
엔터프라이즈 관리자 권한이 있는 계정으로 ACS 서버에 로그인합니다.
로컬 ACS 컴퓨터에서 Microsoft 인증 기관 서버(http://IP-address-of-Root-CA/certsrv)의 브라우저를 가리킵니다.이 경우 IP 주소는 172.16.100.26입니다.
관리자로 로그인합니다.
Request a Certificate(인증서 요청)를 선택하고 Next(다음)를 클릭합니다.
Advanced Request(고급 요청)를 선택하고 Next(다음)를 클릭합니다.
Create and submit a request to this CA(이 CA에 요청 생성 및 제출)를 선택하고 Next(다음)를 클릭합니다.
중요:이 단계의 이유는 Windows 2003에서 내보내기 가능한 키를 허용하지 않으며 이전에 생성한 ACS 인증서를 기반으로 인증서 요청을 생성해야 하기 때문입니다.
Certificate Templates(인증서 템플릿)에서 이전에 명명된 ACS에서 생성한 인증서 템플릿을 선택합니다.템플릿을 선택하면 옵션이 변경됩니다.
이름을 ACS 서버의 정규화된 도메인 이름으로 구성합니다.이 경우 ACS 서버 이름은 cisco_w2003.wirelessdemo.local입니다.로컬 컴퓨터 인증서 저장소에 인증서 저장이 선택되어 있는지 확인하고 제출을 클릭합니다.
잠재적인 스크립팅 위반에 대해 경고하는 팝업 창이 나타납니다.예를 클릭합니다.
이 인증서 설치를 클릭합니다.
팝업 창이 다시 나타나고 잠재적인 스크립팅 위반에 대해 경고합니다.예를 클릭합니다.
예를 클릭하면 인증서가 설치됩니다.
이때 인증서가 Certificates 폴더에 설치됩니다.이 폴더에 액세스하려면 시작 > 실행을 선택하고 mmc를 입력한 다음 Enter 키를 누르고 개인 > 인증서를 선택합니다.
인증서가 로컬 컴퓨터(이 예에서는 ACS 또는 cisco_w2003)에 설치되었으므로 ACS 4.0 인증서 파일 구성에 대한 인증서 파일(.cer)을 생성해야 합니다.
ACS 서버(이 예에서는 cisco_w2003)에서 Microsoft 인증 기관 서버의 브라우저를 http://172.16.100.26 /certsrv로 가리킵니다.
다음 단계를 완료하십시오.
ACS 서버(이 예에서는 cisco_w2003)에서 Microsoft CA 서버의 브라우저를 http://172.16.100.26 /certsrv로 이동합니다.
Select a Task(작업 선택) 옵션에서 Download a CA certificate, certificate chain or CRL(CA 인증서, 인증서 체인 또는 CRL 다운로드)을 선택합니다.
Base 64 라디오 인코딩 방법을 선택하고 Download CA Certificate(CA 인증서 다운로드)를 클릭합니다.
파일 다운로드 보안 경고 창이 나타납니다.저장을 클릭합니다.
ACS.cer와 같은 이름이나 원하는 이름으로 파일을 저장합니다.ACS 4.0에서 ACS 인증 기관 설정 중에 이 이름을 사용하기 때문에 이 이름을 기억하십시오.
설치 중에 생성된 바탕 화면 바로 가기에서 ACS 관리자를 엽니다.
System Configuration을 클릭합니다.
ACS Certificate Setup을 클릭합니다.
Install ACS Certificate(ACS 인증서 설치)를 클릭합니다.
Use certificate from storage를 선택하고 cisco_w2003.wirelessdemo.local의 정규화된 도메인 이름을 입력합니다(또는 ACS를 이름으로 사용한 경우 ACS.wirelessdemo.local을 입력합니다.).
Submit(제출)을 클릭합니다.
System Configuration을 클릭합니다.
Service Control(서비스 제어)을 클릭한 다음 Restart(재시작)를 클릭합니다.
System Configuration을 클릭합니다.
Global Authentication Setup을 클릭합니다.
Allow EAP-TLS(EAP-TLS 허용) 및 그 아래의 모든 상자를 선택합니다.
Submit +Restart를 클릭합니다.
System Configuration을 클릭합니다.
ACS 인증 기관 설정을 클릭합니다.
ACS Certification Authority Setup(ACS 인증 기관 설정) 창에서 이전에 생성한 *.cer 파일의 이름과 위치를 입력합니다.이 예에서 생성된 *.cer 파일은 루트 디렉토리 c:\에 있는 ACS.cer입니다.
CA 인증서 파일 필드에 c:\acs.cer을 입력하고 Submit(제출)을 클릭합니다.
ACS 서비스를 다시 시작합니다.
CLIENT는 무선 클라이언트 역할을 하고 무선 AP를 통해 인트라넷 리소스에 대한 액세스를 얻는 Windows XP Professional with SP2를 실행하는 컴퓨터입니다.CLIENT를 무선 클라이언트로 구성하려면 이 섹션의 절차를 완료합니다.
다음 단계를 완료하십시오.
스위치에 연결된 이더넷 케이블을 사용하여 CLIENT를 인트라넷 네트워크 세그먼트에 연결합니다.
CLIENT에서 Windows XP Professional SP2를 wirelessdemo.local 도메인에 CLIENT라는 멤버 컴퓨터로 설치합니다.
SP2와 함께 Windows XP Professional을 설치합니다. EAP-TLS 및 PEAP를 지원하려면 이 프로그램을 설치해야 합니다.
참고: Windows 방화벽은 Windows XP Professional SP2에서 자동으로 켜집니다. 방화벽을 끄지 마십시오.
다음 단계를 완료하십시오.
wireless demo.local 도메인에서 WirelessUser 계정을 사용하여 로그오프한 다음 로그온합니다.
참고: 컴퓨터 및 사용자 구성 그룹 정책 설정을 업데이트하고 즉시 무선 클라이언트 컴퓨터에 대한 컴퓨터 및 사용자 인증서를 얻으십시오. 명령 프롬프트에서 gpupdate를 입력합니다.그렇지 않으면 로그오프한 다음 로그온하면 gpupdate와 동일한 기능을 수행합니다.유선 연결을 통해 도메인에 로그온해야 합니다.
참고: 인증서가 클라이언트에 자동으로 설치되어 있는지 확인하려면 인증서 MMC를 열고 Personal Certificates 폴더에서 WirelessUser 인증서를 사용할 수 있는지 확인하십시오.
시작 > 제어판을 선택하고 네트워크 연결을 두 번 클릭한 다음 무선 네트워크 연결을 마우스 오른쪽 단추로 클릭합니다.
속성을 클릭하고 무선 네트워크 탭으로 이동한 다음 사용자 창에서 무선 네트워크 설정을 구성하는지 확인합니다.
Add(추가)를 클릭합니다.
Association(연결) 탭으로 이동한 후 Employee(네트워크 이름(SSID)) 필드에 Employee를 입력합니다.
데이터 암호화가 WEP로 설정되어 있고 키가 자동으로 제공되는지 확인합니다.
인증 탭으로 이동합니다.
EAP 유형이 스마트 카드 또는 다른 인증서를 사용하도록 구성되었는지 확인합니다.그렇지 않은 경우 드롭다운 메뉴에서 선택합니다.
로그인 전에 시스템을 인증하려면(로그인 스크립트 또는 그룹 정책 푸시를 적용할 수 있음) 컴퓨터 정보를 사용할 수 있을 때 컴퓨터로 인증 옵션을 선택합니다.
속성을 클릭합니다.
이 창의 상자가 선택되어 있는지 확인합니다.
OK(확인)를 세 번 클릭합니다.
systray에서 무선 네트워크 연결 아이콘을 마우스 오른쪽 단추로 클릭한 다음 사용 가능한 무선 네트워크 보기를 클릭합니다.
직원 무선 네트워크를 클릭하고 연결을 클릭합니다.
이 스크린 샷은 연결이 성공적으로 완료되었는지 여부를 나타냅니다.
인증이 성공하면 Network Connections(네트워크 연결)를 사용하여 무선 어댑터에 대한 TCP/IP 컨피그레이션을 확인합니다.DHCP 범위 또는 무선 클라이언트에 대해 생성된 범위에서 172.16.100.100-172.16.100.254 주소 범위가 있어야 합니다.
기능을 테스트하려면 브라우저를 열고 http://wirelessdemoca(또는 Enterprise CA 서버의 IP 주소)로 이동합니다.