Inleiding
In dit document wordt beschreven hoe u de PEAP met MS-CHAP-verificatie kunt configureren met de Microsoft NPS als RADIUS-server.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Kennis van de basisinstallatie van Windows 2008
- Kennis van de installatie van Cisco-controllers
Zorg ervoor dat aan deze vereisten is voldaan voordat u deze configuratie probeert:
- Installeer de Microsoft Windows Server 2008 op elk van de servers in het testlaboratorium.
- Werk alle servicepacks bij.
- Installeer de controllers en lichtgewicht access points.
- Configureer de nieuwste software-updates.
Raadpleeg voor installatie- en configuratieinformatie voor de Cisco 5508 Series draadloze controllers de installatiehandleiding voor de Cisco 5500 Series draadloze controller.
Opmerking: dit document is bedoeld om de lezers een voorbeeld te geven van de configuratie die op een Microsoft-server vereist is voor PEAP-MS-CHAP-verificatie. De Microsoft Windows-serverconfiguratie die in dit document wordt weergegeven, is getest in het lab en gebleken dat deze werkt zoals verwacht. Als u problemen hebt met de configuratie, neemt u contact op met Microsoft voor hulp. Het Cisco Technical Assistance Center (TAC) ondersteunt Microsoft Windows-serverconfiguratie niet.
U vindt de installatie- en configuratiehandleidingen voor Microsoft Windows 2008 op Microsoft Tech Net.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco 5508 draadloze controller op de firmware versie 7.4
- Cisco Aironet 3602 access point (AP) met lichtgewicht access point protocol (LWAP)
- Windows 2008 Enterprise Server met NPS, Certificate Authority (CA), Dynamic Host Control Protocol (DHCP) en Domain Name System (DNS)-services geïnstalleerd
- Microsoft Windows 7-client-pc
- Cisco Catalyst 3560 Series Switch
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Conventies
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Achtergrondinformatie
Dit document biedt een voorbeeldconfiguratie voor de PEAP (Protected Extensible Verification Protocol) met Microsoft Challenge Handshake Verification Protocol (MS-CHAP), versie 2-verificatie in een Cisco Unified Wireless-netwerk met de Microsoft Network Policy Server (NPS) als RADIUS-server.
PEAP - Overzicht
PEAP maakt gebruik van Transport Level Security (TLS) om een versleuteld kanaal te maken tussen een geverifieerde PEAP-client, zoals een draadloze laptop, en een PEAP-verificator, zoals Microsoft NPS of een RADIUS-server. PEAP specificeert geen verificatiemethode, maar biedt aanvullende beveiliging voor andere Extensible Verification Protocols (EAP's), zoals EAP-MS-CHAP v2, die kunnen werken via het met TLS versleutelde kanaal dat door PEAP wordt geboden. Het PEAP-verificatieproces bestaat uit twee hoofdfasen.
PEAP fase één: TLS-versleuteld kanaal
De draadloze client is gekoppeld aan het toegangspunt. Een op IEEE 802.11 gebaseerde koppeling biedt een open systeem of gedeelde sleutelverificatie voordat een beveiligde koppeling wordt gemaakt tussen de client en het toegangspunt. Nadat de op IEEE 802.11 gebaseerde associatie tussen de client en het toegangspunt met succes is ingesteld, wordt de TLS-sessie met het toegangspunt overeengekomen. Nadat de verificatie tussen de draadloze client en NPS met succes is voltooid, wordt de TLS-sessie tussen de client en NPS overeengekomen. De sleutel die binnen deze onderhandeling wordt afgeleid wordt gebruikt om alle verdere communicatie te versleutelen.
PEAP fase twee: EAP-geverifieerde communicatie
EAP-communicatie, met inbegrip van EAP-onderhandeling, vindt plaats binnen het TLS-kanaal dat door PEAP in de eerste fase van het PEAP-verificatieproces is gecreëerd. De NPS verifieert de draadloze client met EAP-MS-CHAP v2. De LAP en de controller sturen alleen berichten door tussen de draadloze client en de RADIUS-server. De Wireless LAN Controller (WLC) en de LAP kunnen deze berichten niet decoderen, omdat dit niet het TLS-eindpunt is.
De RADIUS-berichtreeks voor een succesvolle verificatiepoging (waarbij de gebruiker geldige op een wachtwoord gebaseerde referenties heeft geleverd bij PEAP-MS-CHAP v2) is:
- De NPS stuurt een identiteitsverzoekbericht naar de client: EAP-Verzoek/Identity.
- De client reageert met een identiteitsresponsbericht: EAP-Response/Identity.
- De NPS verstuurt een MS-CHAP v2-provocatiebericht: EAP-request/EAP-Type=EAP MS-CHAP-V2 (Challenge).
- De client reageert met een uitdaging en antwoord van MS-CHAP v2: EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Response).
- De NPS stuurt een MS-CHAP v2 succespakket terug wanneer de server de client met succes heeft geverifieerd: EAP-request/EAP-Type=EAP-MS-CHAP-V2 (Success).
- De client reageert met een succespakket van MS-CHAP v2 wanneer de client de server met succes heeft geverifieerd: EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Success).
- De NPS stuurt een EAP-type-lengte-waarde (TLV) die een succesvolle verificatie aangeeft.
- De client reageert met een EAP-TLV-statusbericht.
- De server voltooit de verificatie en verstuurt een EAP-Success-bericht in onbewerkte tekst. Als VLAN’s worden geïmplementeerd voor client-isolatie, zijn de VLAN-kenmerken in dit bericht opgenomen.
Configureren
In dit gedeelte wordt de informatie getoond over het configureren van PEAP-MS-CHAP v2.
Opmerking: gebruik de Opdrachtzoekfunctie om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt. Alleen geregistreerde Cisco-gebruikers kunnen toegang krijgen tot interne Cisco-tools en -informatie.
Netwerkdiagram
Deze configuratie gebruikt de volgende netwerkinstellingen:
Netwerkdiagram
In deze installatie voert een Microsoft Windows 2008-server de volgende rollen uit:
- Domeincontroller voor het domein
- DHCP-/DNS-server
- CA-server
- NPS - voor het verifiëren van draadloze gebruikers
- Active Directory - voor het onderhouden van de gebruikersdatabase
De server verbindt met het bekabelde netwerk via een Layer 2 switch zoals getoond. De WLC en de geregistreerde LAP maken ook verbinding met het netwerk via de Layer 2 switch.
De draadloze clients gebruiken Wi-Fi Protected Access 2 (WPA2) - PEAP-MS-CHAP v2-verificatie om verbinding te maken met het draadloze netwerk.
Configuraties
Het doel van dit voorbeeld is om de Microsoft 2008-server, draadloze LAN-controller en Light Weight AP te configureren om de draadloze clients te verifiëren met PEAP-MS-CHAP v2-verificatie. Er zijn drie belangrijke stappen in dit proces:
- De Microsoft Windows 2008-server configureren.
- Configureer de WLC en de lichtgewicht AP's.
- Configureer de draadloze clients.
De Microsoft Windows 2008-server configureren
In dit voorbeeld bevat een volledige configuratie van de Microsoft Windows 2008-server de volgende stappen:
- Configureer de server als een domeincontroller.
- Installeer en configureer DHCP-services.
- de server installeren en configureren als een CA-server.
- Verbind clients met het domein.
- Installeer de NPS.
- Installeer een certificaat.
- Configureer de NPS voor PEAP-verificatie.
- Voeg gebruikers toe aan de Active Directory.
De Microsoft Windows 2008-server configureren als domeincontroller
Voltooi deze stappen om de Microsoft Windows 2008-server als domeincontroller te configureren:
- Klik op Start > Server Manager.
- Klik op Rollen > Rollen toevoegen.
- Klik op Next (Volgende).
- Selecteer de service Active Directory Domain Services en klik op Volgende.
- Herzie de Inleiding tot Active Directory Domain Services en klik op Volgende.
- Klik op Installeren om het installatieproces te starten.
De installatie gaat verder en wordt voltooid.
- Klik op Sluit deze wizard en start de Active Directory Domain Services Installatiewizard (dcpromo.exe) om de installatie en configuratie van de Active Directory voort te zetten.
- Klik op Next om de installatiewizard voor Active Directory Domain Services uit te voeren.
- Bekijk de informatie over Besturingssysteemcompatibiliteit en klik op Volgende.
- Klik op Een nieuw domein maken in een nieuw bos > Volgende om een nieuw domein te maken.
- Voer de volledige DNS-naam in voor het nieuwe domein en klik op Volgende.
- Selecteer het functionele niveau van het bos voor uw domein en klik op Volgende.
- Selecteer het functionele niveau van het domein voor uw domein en klik op Volgende.
- Controleer of DNS-server is geselecteerd en klik op Volgende.
- Klik op Ja voor de installatiewizard om een nieuwe zone in DNS voor het domein te maken.
- Selecteer de mappen die Active Directory moet gebruiken voor de bestanden en klik op Volgende.
- Voer het beheerderswachtwoord in en klik op Volgende.
- Bekijk uw selecties en klik op Volgende.
De installatie gaat verder.
- Klik op Voltooien om de wizard te sluiten.
- Start de server opnieuw om de wijzigingen door te voeren.
DHCP-services installeren en configureren op de Microsoft Windows 2008-server
De DHCP-service op de Microsoft 2008-server wordt gebruikt om IP-adressen aan de draadloze clients te leveren. Voltooi deze stappen om de diensten van DHCP te installeren en te vormen:
- Klik op Start > Server Manager.
- Klik op Rollen > Rollen toevoegen.
- Klik op Next (Volgende).
- Selecteer de service-DHCP-server en klik op Volgende.
- Herzie de Inleiding aan DHCP-server en klik op Volgende.
- Selecteer de interface die de DHCP-server moet bewaken voor verzoeken en klik op Volgende.
- Configureer de standaard DNS-instellingen die de DHCP-server aan clients moet leveren en klik op Volgende.
- Configureer WINS als het netwerk WINS ondersteunt.
- Klik op Add om de wizard te gebruiken om een DHCP-bereik te maken of klik op Next om later een DHCP-scope te maken. Klik op Volgende om verder te gaan.
- Schakel DHCPv6-ondersteuning in of uit op de server en klik op Volgende.
- Configureer IPv6-DNS-instellingen als DHCPv6 in de vorige stap is ingeschakeld. Klik op Volgende om verder te gaan.
- Verstrek de referenties van de domeinbeheerder om de DHCP-server in Active Directory te autoriseren en klik op Volgende.
- Controleer de configuratie op de bevestigingspagina en klik op Installeren om de installatie te voltooien.
De installatie gaat verder.
- Klik op Sluiten om de wizard te sluiten.
De DHCP-server is nu geïnstalleerd.
- Klik op Start >Systeembeheer> DHCP om de DHCP-service te configureren.
- Breid de DHCP-server uit (in de vorige afbeelding, bijvoorbeeld), klik met de rechtermuisknop op IPv4 en kies Nieuw bereik om een DHCP-bereik te maken.
- Klik op Volgende om het nieuwe bereik te configureren via de wizard Nieuw bereik.
- Geef een naam op voor de nieuwe scope (Wireless Clients in dit voorbeeld) en klik op Volgende.
- Geef het bereik van beschikbare IP-adressen op die kunnen worden gebruikt voor DHCP-leases. Klik op Volgende om verder te gaan.
- Maak een optionele lijst van uitgesloten adressen. Klik op Volgende om verder te gaan.
- Configureer de leasetijd en klik op Volgende.
- Klik op Ja, ik wil deze opties nu configureren en klik op Volgende.
- Voer het IP-adres van de standaardgateway voor deze scope in. Klik op Toevoegen > Volgende.
- Configureer de DNS-domeinnaam en DNS-server die door de clients moeten worden gebruikt. Klik op Volgende om verder te gaan.
- Voer de WINS-informatie voor deze scope in als het netwerk WINS ondersteunt. Klik op Volgende om verder te gaan.
- Om deze scope te activeren, klik op Ja, ik wil deze scope nu activeren > Volgende.
- Klik op Voltooien om de wizard te voltooien en te sluiten.
De Microsoft Windows 2008-server installeren en configureren als CA-server
PEAP met EAP-MS-CHAP v2 valideert de RADIUS-server op basis van het certificaat dat op de server aanwezig is. Bovendien moet het servercertificaat worden afgegeven door een openbare CA die wordt vertrouwd door de clientcomputer (het openbare CA-certificaat bestaat dus al in de map Trusted Root Certification Authority in het certificaatarchief van de clientcomputer).
Voltooi deze stappen om de Microsoft Windows 2008-server te configureren als een CA-server die het certificaat afgeeft aan de NPS:
- Klik op Start > Server Manager.
- Klik op Rollen > Rollen toevoegen.
- Klik op Next (Volgende).
- Selecteer de service Active Directory Certificate Services en klik op Volgende.
- Herzie de Inleiding aan de Actieve Diensten van het Indexcertificaat, en klik Volgende.
- Selecteer de certificeringsinstantie en klik op Volgende.
- Selecteer Enterprise en klik op Volgende.
- Selecteer root-CA en klik op Volgende.
- Selecteer Een nieuwe privé-sleutel maken en klik op Volgende.
- Klik op Volgende om Cryptografie voor SCM te configureren.
- Klik op Volgende om de standaard algemene naam voor deze CA te aanvaarden.
- Selecteer de tijdsduur van de geldigheid van dit CA-certificaat en klik op Volgende.
- Klik op Volgende om de standaardlocatie van de certificaatdatabase te aanvaarden.
- Controleer de configuratie en klik op Installeren om de Active Directory-certificaatservices te starten.
- Klik op Sluiten als de installatie is voltooid.
Clients met domein verbinden
Voltooi deze stappen om de clients te verbinden met het bekabelde netwerk en de domeinspecifieke informatie van het nieuwe domein te downloaden:
- Sluit de clients aan op het bekabelde netwerk met een rechtstreekse Ethernet-kabel.
- Start de client op en log in met de gebruikersnaam en het wachtwoord van de client.
- Klik op Start > Uitvoeren, voer cmd in en klik op OK.
- Voer bij de opdrachtprompt ipconfig in en klik op Enter om te verifiëren dat DHCP correct werkt en dat de client een IP-adres van de DHCP-server heeft ontvangen.
- Om zich bij de cliënt aan het domein aan te sluiten, klik Begin, klik Computer met de rechtermuisknop aan, kies Eigenschappen, en kies Instellingen wijzigen rechtsonder.
- Klik op Wijzigen.
- Klik op Domein, voer de domeinnaam, draadloos, in dit voorbeeld, en klik op OK.
- Voer de gebruikersnaam beheerder en het wachtwoord in dat specifiek is voor het domein waartoe de client toetreedt. Dit is de Administrator-account in de Active Directory op de server.
- Klik op OK en klik nogmaals op OK.
- Klik op Sluiten > Nu opnieuw starten om de computer opnieuw te starten.
- Als de computer opnieuw is opgestart, logt u in met: Gebruikersnaam = beheerder; Wachtwoord = <domeinwachtwoord>; Domein = draadloos.
- Klik op Start, klik met de rechtermuisknop op Computer, kies Eigenschappen en kies Instellingen wijzigen rechtsonder om te controleren of u zich op het draadloze domein bevindt.
- De volgende stap is te verifiëren dat de client het CA-certificaat (vertrouwen) van de server heeft ontvangen.
- Klik op Start, voer mmc in en druk op ENTER.
- Klik op Bestand en klik op Onverwacht-in toevoegen/verwijderen.
- Kies Certificaten en klik op Toevoegen.
- Klik op Computer-account en klik op Volgende.
- Klik op Lokale computer en klik op Volgende.
- Klik op OK.
- Vouw de mappen Certificaten (Local Computer) en Trusted Root Certification Authorities uit en klik op Certificaten. Zoek de draadloze domein CA cert in de lijst. In dit voorbeeld, wordt de cert van CA genoemd draadloos-WIN-MVZ9Z2UMNMS-CA.
- Herhaal deze procedure om meer clients aan het domein toe te voegen.
De Network Policy Server installeren op de Microsoft Windows 2008-server
In deze setup wordt de NPS gebruikt als een RADIUS-server voor het verifiëren van draadloze clients met PEAP-verificatie. Voltooi deze stappen om NPS op de server van Microsoft Windows 2008 te installeren en te vormen:
- Klik op Start > Server Manager.
- Klik op Rollen > Rollen toevoegen.
- Klik op Next (Volgende).
- Selecteer het servicenetwerkbeleid en de toegangsservices en klik op Volgende.
- Herzie de Inleiding tot de Diensten van het Netwerkbeleid en van de Toegang, en klik Volgende.
- Selecteer Network Policy Server en klik op Volgende.
- Controleer de bevestiging en klik op Installeren.
Wanneer de installatie is voltooid, wordt een scherm weergegeven dat lijkt op dit scherm.
- Klik op Close (Sluiten).
Een certificaat installeren
Voltooi deze stappen om het computercertificaat voor NPS te installeren:
- Klik op Start, voer mmc in en druk op ENTER.
- Klik op Bestand > Magnetisch-in toevoegen/verwijderen.
- Kies Certificaten en klik op Toevoegen.
- Kies Computer-account en klik op Volgende.
- Selecteer Local Computer en klik op Finish.
- Klik op OK om terug te keren naar de Microsoft Management Console (MMC).
- Breid de Certificaten (Lokale Computer) en Persoonlijke mappen uit en klik op Certificaten.
- Klik met de rechtermuisknop in de witte ruimte onder het CA-certificaat en kies Alle taken > Nieuw certificaat aanvragen.
- Klik op Next (Volgende).
- Selecteer Domain Controller en klik op Inschrijven.
- Klik op Voltooien zodra het certificaat is geïnstalleerd.
Het NPS certificaat is nu geïnstalleerd.
- Zorg ervoor dat het beoogde doel van het certificaat clientverificatie, serververificatie leest.
De Network Policy Server-service voor PEAP-MS-CHAP v2-verificatie configureren
Voltooi de volgende stappen om de NPS voor verificatie te configureren:
- Klik op Start > Systeembeheer > Netwerkbeleidsserver.
- Klik met de rechtermuisknop op NPS (lokaal) en kies Server registreren in Active Directory.
- Klik op OK.
- Klik op OK.
- Voeg de draadloze LAN-controller toe als een verificatie-, autorisatie- en accounting (AAA) client op de NPS.
- Breid RADIUS-clients en -servers uit. Klik met de rechtermuisknop op RADIUS-clients en kies Nieuwe RADIUS-client.
- Voer een Vriendelijke naam (WLC in dit voorbeeld), het IP-adres van de WLC (192.168.162.248 in dit voorbeeld) en een gedeeld geheim in. Het zelfde gedeelde geheim wordt gebruikt om WLC te vormen.
- Klik op OK om terug te keren naar het vorige scherm.
- Maak een nieuw netwerkbeleid voor draadloze gebruikers. Breid Beleid uit, klik met de rechtermuisknop op Netwerkbeleid en kies Nieuw.
- Voer een beleidsnaam in voor deze regel (in dit voorbeeld draadloze PEAP) en klik op Volgende.
- Om dit beleid alleen draadloze domeingebruikers toe te staan, voegt u deze drie voorwaarden toe en klikt u op Volgende:
- Windows-groepen - Domeingebruikers
- NAS-poorttype - draadloos - IEEE 802.11
- Verificatietype - EAP
- Klik op Toegang verleend om verbindingspogingen te verlenen die overeenkomen met dit beleid en klik op Volgende.
- Schakel alle verificatiemethoden uit onder Minder beveiligde verificatiemethoden.
- Klik op Add, selecteer PEAP en klik op OK om PEAP in te schakelen.
- Selecteer Microsoft: Protected EAP (PEAP) en klik op Bewerken. Zorg ervoor dat het eerder gemaakte domeincontrollercertificaat is geselecteerd in de vervolgkeuzelijst Certificaat afgegeven en klik op OK.
- Klik op Next (Volgende).
- Klik op Next (Volgende).
- Klik op Next (Volgende).
- Klik op Finish (Voltooien).
Gebruikers toevoegen aan de actieve map
In dit voorbeeld wordt de gebruikersdatabase onderhouden op de Active Directory. Voltooi deze stappen om gebruikers aan de Active Directory-database toe te voegen:
- Open Active Directory-gebruikers en -computers. Klik op Start > Administratieve tools > Active Directory-gebruikers en -computers.
- In de Active Directory Gebruikers en Computers consoleboom, breid het domein uit, klik met de rechtermuisknop op Gebruikers > Nieuw, en kies Gebruiker.
- Typ in het dialoogvenster Nieuw object - gebruiker de naam van de draadloze gebruiker. Dit voorbeeld gebruikt de naam Client1 in het veld Voornaam en Client1 in het veld Gebruikersnaam. Klik op Next (Volgende).
- Typ in het dialoogvenster Nieuw object - gebruiker een wachtwoord van uw keuze in de velden Wachtwoord bevestigen en wachtwoord bevestigen. Zorg ervoor dat de gebruiker het wachtwoord bij de volgende aanmelding niet aangevinkt is en klik op Volgende.
- Klik in het dialoogvenster Nieuw object - gebruiker op Voltooien.
- Herhaal stap 2 tot en met 4 om extra gebruikersaccounts te maken.
De draadloze LAN-controller en LAN’s configureren
Configureer de draadloze apparaten (de draadloze LAN-controllers en LAN’s) voor deze installatie.
Configureer de WLC voor RADIUS-verificatie
Configureer de WLC om de NPS als verificatieserver te gebruiken. De WLC moet worden geconfigureerd om de gebruikersreferenties te kunnen doorsturen naar een externe RADIUS-server. De externe RADIUS-server valideert vervolgens de gebruikersreferenties en biedt toegang tot de draadloze clients.
Voltooi de volgende stappen om de NPS als een RADIUS-server toe te voegen op de pagina Security > RADIUS-verificatie:
- Kies Beveiliging > RADIUS >Verificatie in de controller-interface om de pagina RADIUS-verificatieservers weer te geven. Klik op Nieuw om een RADIUS-server te definiëren.
- Definieer de RADIUS-serverparameters. Deze parameters omvatten het IP-adres van de RADIUS-server, gedeeld geheim, poortnummer en serverstatus. Met de selectievakjes Netwerkgebruiker en Netwerkbeheer wordt bepaald of op RADIUS gebaseerde verificatie van toepassing is op beheer- en (draadloze) gebruikers. In dit voorbeeld wordt de NPS gebruikt als de RADIUS-server met een IP-adres van 192.168.162.12. Klik op Apply (Toepassen).
WLAN’s voor de clients configureren
Configureer de serviceset-id (SSID) (WLAN) waarmee de draadloze clients verbinding maken. In dit voorbeeld maakt u de SSID en noemt u deze PEAP.
Definieer Layer 2-verificatie als WPA2, zodat de clients EAP-gebaseerde verificatie (PEAP-MS-CHAP v2 in dit voorbeeld) uitvoeren en de geavanceerde coderingsstandaard (AES) als coderingsmechanisme gebruiken. Laat alle andere waarden op hun defaults staan.
Opmerking: dit document bindt het WLAN aan de beheerinterfaces. Wanneer u meerdere VLAN’s in uw netwerk hebt, kunt u een afzonderlijk VLAN maken en het aan de SSID binden. Raadpleeg VLAN’s op draadloze LAN-controllers en configuratievoorbeeld voor informatie over het configureren van VLAN’s op WLC’s.
Voltooi deze stappen om een WLAN op de WLC te configureren:
- Klik op WLAN’s vanuit de controller-interface om de WLAN-pagina weer te geven. Deze pagina maakt een lijst van de WLAN’s die op de controller bestaan.
- Kies Nieuw om een nieuw WLAN te maken. Voer de WLAN-id en de WLAN-SSID voor het WLAN in en klik op Toepassen.
- Voltooi de volgende stappen om de SSID voor 802.1x te configureren:
- Klik op het tabblad Algemeen en schakel het WLAN in.
- Klik op de tabbladen Beveiliging > Layer 2, stel Layer 2-beveiliging in op WPA + WPA2, controleer de gewenste selectievakjes voor WPA+WPA2 Parameters (bijvoorbeeld WPA2 AES) en klik op 802.1x als verificatiesleutelbeheer.
- Klik op de tabbladen Beveiliging > AAA-servers, kies het IP-adres van de NPS uit de vervolgkeuzelijst Server 1 en klik op Toepassen.
De draadloze clients voor PEAP-MS-CHAP v2-verificatie configureren
Voltooi deze stappen om de draadloze client te configureren met de Windows Zero Config Tool om verbinding te maken met het PEAP WLAN.
- Klik op het pictogram Netwerk op de taakbalk. Klik op de PEAP-SSID en klik op Verbinden.
- De client moet nu worden verbonden met het netwerk.
- Als de verbinding mislukt, probeert u opnieuw verbinding te maken met het WLAN. Als het probleem zich blijft voordoen, raadpleegt u de sectie Probleemoplossing.
Verifiëren
Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.
Problemen oplossen
Als uw client geen verbinding heeft gemaakt met het WLAN, bevat deze sectie informatie die u kunt gebruiken om problemen met de configuratie op te lossen.
Er zijn twee hulpmiddelen die kunnen worden gebruikt om 802.1x-verificatiefouten te diagnosticeren: de debug client opdracht en de Event Viewer in Windows.
Als u een client debug van de WLC uitvoert, is het niet arbeidsintensief en heeft het geen invloed op de service. Om een debug sessie te starten, open de opdrachtregel interface (CLI) van de WLC en voer debug client mac address in, waar het mac address het draadloze mac address is van de draadloze client die geen verbinding kan maken. Terwijl dit debug looppas, probeert om de cliënt te verbinden; er moet output op CLI van WLC zijn die aan dit voorbeeld gelijkaardig kijkt:
Dit is een voorbeeld van een probleem dat kan optreden bij een verkeerde configuratie. Hier, de WLC debug toont de WLC is verplaatst naar de authenticatie status, wat betekent dat de WLC wacht op een reactie van de NPS. Dit is meestal te wijten aan een onjuist gedeeld geheim op de WLC of de NPS. U kunt dit bevestigen via de Windows Server Event Viewer. Als u geen logbestand vindt, heeft de aanvraag nooit bij de NPS ingediend.
Een ander voorbeeld dat van WLC wordt gevonden zuiveren is een toegang-afwijzing. Een toegangsweigering toont aan dat de NPS de clientreferenties heeft ontvangen en geweigerd. Dit is een voorbeeld van een client die een toegangsweigering ontvangt:
Wanneer u een toegangsweigering ziet, controleert u de logbestanden op de Windows Server Event-logbestanden om te bepalen waarom de NPS op de client reageerde met een toegangsweigering.
Een succesvolle verificatie heeft een toegang-accepteren in de client debug, zoals in dit voorbeeld:
Als u wilt problemen oplossen met toegangsweigeringen en reactietijden, vereist het toegang tot de RADIUS-server. De WLC fungeert als een verificator die EAP-berichten doorgeeft tussen de client en de RADIUS-server. Een RADIUS-server die reageert met een toegangs-, afwijs- of responstijd, moet worden onderzocht en gediagnosticeerd door de fabrikant van de RADIUS-service.
Opmerking: TAC biedt geen technische ondersteuning voor RADIUS-servers van derden. De logbestanden op de RADIUS-server verklaren echter over het algemeen waarom een clientverzoek is afgewezen of genegeerd.
Om problemen op te lossen met toegangsweigeringen en reactieonderbrekingen van de NPS, onderzoek de NPS-logbestanden in de Windows Event Viewer op de server.
- Klik op Start >Beheerdertools >Event Viewer om de Event Viewer te starten en de NPS-logbestanden te bekijken.
- Breid Aangepaste weergaven uit > Serverrollen > Netwerkbeleid en toegang.
In deze sectie van de weergave Gebeurtenis zijn er logboeken met doorgegeven en mislukte verificaties. Bekijk deze logbestanden om op te lossen waarom een client geen verificatie doorgeeft. Zowel doorgegeven als mislukte authenticaties verschijnen als Informationeel. Blader door de logbestanden om de gebruikersnaam te vinden die niet is geauthenticeerd en die een toegangsweigering heeft ontvangen op basis van de WLC-debugs.
Dit is een voorbeeld van NPS wanneer het een gebruiker toegang ontzegt:
Wanneer u een deny verklaring in de Event Viewer herziet, onderzoek dan de sectie Verificatiedetails. In dit voorbeeld kunt u zien dat de NPS de gebruiker toegang ontzegde vanwege een onjuiste gebruikersnaam:
De Event View op de NPS helpt ook wanneer u problemen moet oplossen als de WLC geen respons terug ontvangt van de NPS. Dit wordt meestal veroorzaakt door een onjuist gedeeld geheim tussen de NPS en de WLC.
In dit voorbeeld, de NPS verwerpt het verzoek van WLC toe te schrijven aan een onjuist gedeeld geheim:
Gerelateerde informatie