EAP-verificatie met RADIUS-server

Downloadopties

PDF (446.5 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (295.3 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (659.7 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:19 oktober 2009

Document-id:44844

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Conventies

Configureren

EAP of Open-verificatie voor netwerken met EAP

Verificatieserver definiëren

Clientverificatiemethoden definiëren

Verifiëren

Problemen oplossen

Procedure voor troubleshooting

Opdrachten voor probleemoplossing

Gerelateerde informatie

Inleiding

Dit document biedt een voorbeeldconfiguratie van een Cisco IOS®-gebaseerd access point voor EAP-verificatie (Extensible Verification Protocol) van draadloze gebruikers tegen een database die toegankelijk is voor een RADIUS-server.

Vanwege de passieve rol die het access point speelt in EAP (overbrugt draadloze pakketten van de client naar bekabelde pakketten die bestemd zijn voor de verificatieserver, en vice versa), wordt deze configuratie gebruikt met vrijwel alle EAP-methoden. Deze methoden omvatten (maar zijn niet beperkt tot) LEAP, Protected EAP (PEAP)-MS-Challenge Handshake Verification Protocol (CHAP) versie 2, PEAP-Generic Token Card (GTC), EAP-Flexible Verification via Secure Tunneling (FAST), EAP-Transport Layer Security (TLS) en EAP-Tunnelling TLS (TTLS). U moet de verificatieserver voor elk van deze EAP-methoden naar behoren configureren.

Dit document beschrijft hoe u het access point (AP) en de RADIUS-server moet configureren: dit is Cisco Secure ACS in het configuratievoorbeeld in dit document.

Voorwaarden

Vereisten

Voordat u deze configuratie uitvoert, moet aan de volgende vereisten worden voldaan:

U bent bekend met de Cisco IOS GUI of CLI.
U kent de concepten achter EAP-verificatie.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

Cisco Aironet AP-producten waarop Cisco IOS wordt uitgevoerd.
Veronderstelling van slechts één Virtuele LAN (VLAN) in het netwerk.
Een RADIUS-verificatieserverproduct dat met succes in een gebruikersdatabase wordt geïntegreerd.
- Dit zijn de ondersteunde verificatieservers voor Cisco LEAP en EAP-FAST:
  - Cisco Secure Access Control Server (ACS)
  - Cisco Access Registrar (CAR)
  - Funk Steel Belted RADIUS
  - Verdienste van interlink
- Dit zijn de ondersteunde verificatieservers voor de Microsoft PEAP-MS-CHAP versie 2 en PEAP-GTC:
  - Microsoft Internet Authenticatieservice (IAS)
  - Cisco beveiligde ACS
  - Funk Steel Belted RADIUS
  - Verdienste van interlink
  - Elke extra verificatieserver die Microsoft kan autoriseren.
  Opmerking: voor GTC- of eenmalige wachtwoorden zijn extra services nodig die zowel aan de client- als de serverkant extra software vereisen, evenals hardware- of softwaretoken-generatoren.
- Vraag de fabrikant van de clientaanvrager om meer informatie over welke verificatieservers met hun producten worden ondersteund voor EAP-TLS, EAP-TTLS en andere EAP-methoden.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Configureren

Deze configuratie beschrijft hoe u EAP-verificatie kunt configureren op een IOS-gebaseerde AP. In het voorbeeld in dit document wordt LEAP gebruikt als een methode voor EAP-verificatie met RADIUS-server.

Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.

Zoals met de meeste op wachtwoorden gebaseerde verificatiealgoritmen is Cisco LEAP kwetsbaar voor woordenboekaanvallen. Dit is geen nieuwe aanval of nieuwe kwetsbaarheid van Cisco LEAP. De creatie van een sterk wachtwoordbeleid is de meest efficiënte manier om woordenboekaanvallen te verlichten. Dit omvat het gebruik van sterke wachtwoorden en het periodiek verlopen van wachtwoorden. Raadpleeg Dictionary Attack on Cisco LEAP voor meer informatie over woordenboekaanvallen en hoe deze te voorkomen.

Dit document gebruikt deze configuratie voor zowel GUI als CLI:

IP-adres van het toegangspunt is 10.0.0.106.
IP-adres van de RADIUS-server (ACS) is 10.0.0.3.

EAP of Open-verificatie voor netwerken met EAP

In elke op EAP/802.1x gebaseerde verificatiemethode kunt u vragen wat de verschillen zijn tussen Network EAP en Open verificatie met EAP. Deze items verwijzen naar de waarden in het veld Verificatiealgoritme in de kopregels van beheer- en associatiepakketten. De meeste fabrikanten van draadloze clients stellen dit veld in op waarde 0 (Open verificatie) en geven vervolgens aan dat EAP-verificatie later in het associatieproces moet worden uitgevoerd. Cisco stelt de waarde anders in vanaf het begin van de associatie met de Network EAP-vlag.

Als uw netwerk clients heeft die:

Cisco-clients: gebruik EAP-netwerk.
Clients van derden (waaronder CCX-conforme producten)—Gebruik Open met EAP.
Een combinatie van zowel Cisco- als externe clients: kies zowel Network-EAP als Open met EAP.

Verificatieserver definiëren

De eerste stap in de EAP-configuratie is de verificatieserver te definiëren en er een relatie mee aan te gaan.

Voltooi de volgende stappen op het tabblad Server Manager van het toegangspunt (onder de menuoptie Security > Server Manager):
1. Voer in het veld Server het IP-adres van de verificatieserver in.
2. Specificeer het gedeelde geheim en de poorten.
3. Klik op Toepassen om de definitie te maken en de vervolgkeuzelijsten te vullen.
4. Stel het veld Prioriteit 1 van het EAP-verificatietype in op het IP-adres van de server onder Standaardserverprioriteiten.
5. Klik op Apply (Toepassen).
U kunt deze opdrachten ook via de CLI uitgeven:
```
AP#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

AP(config)#aaa group server radius rad_eap

AP(config-sg-radius)#server 10.0.0.3 auth-port 1645 acct-port 1646

AP(config-sg-radius)#exit

AP(config)#aaa new-model

AP(config)#aaa authentication login eap_methods group rad_eap

AP(config)#radius-server host 10.0.0.3 auth-port 1645 
acct-port 1646 key labap1200ip102

AP(config)#end

AP#write memory
```
Het toegangspunt moet op de verificatieserver worden geconfigureerd als een AAA-client.

In Cisco Secure ACS gebeurt dit bijvoorbeeld op de pagina Netwerkconfiguratie waar de naam van het toegangspunt, IP-adres, gedeeld geheim en de verificatiemethode (RADIUS, Cisco Aironet of RADIUS, IOS/PIX) is gedefinieerd. Raadpleeg de documentatie van de fabrikant voor andere niet-ACS-verificatieservers.

Zorg ervoor dat de verificatieserver is geconfigureerd om de gewenste EAP-verificatiemethode uit te voeren. Voor een Cisco Secure ACS die LEAP niet uitvoert, configureert u bijvoorbeeld LEAP-verificatie op de pagina Systeemconfiguratie - Globale verificatie-instellingen. Klik op Systeemconfiguratie en klik vervolgens op Globale verificatie-instellingen. Raadpleeg de documentatie van de fabrikant voor andere niet-ACS-verificatieservers of andere EAP-methoden.

Deze afbeelding toont Cisco Secure ACS geconfigureerd voor PEAP, EAP-FAST, EAP-TLS, LEAP en EAP-MD5.

Clientverificatiemethoden definiëren

Zodra het toegangspunt weet waar de verzoeken om clientverificatie moeten worden verzonden, moet u het configureren om deze methoden te accepteren.

Opmerking: deze instructies zijn voor een op WEP gebaseerde installatie. Raadpleeg voor WPA (dat algoritmen gebruikt in plaats van WEP) WPA Configuration Overview.

Voer op het tabblad Encryption Manager van het toegangspunt (onder de menuoptie Security > Encryption Manager) de volgende stappen uit:
1. Geef op dat u WEP-codering wilt gebruiken.
2. Specificeer dat WEP verplicht is.
3. Controleer of de sleutelgrootte is ingesteld op 128-bits.
4. Klik op Apply (Toepassen).
U kunt deze opdrachten ook via de CLI uitgeven:
```
AP#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

AP(config)#interface dot11radio 0

AP(config-if)#encryption mode wep mandatory

AP(config-if)#end

AP#write memory
```
Voltooi deze stappen op het tabblad SID Manager van het toegangspunt (onder de menuoptie Security > SSID Manager):
1. Selecteer de gewenste SSID.
2. Selecteer onder "Verificatiemethoden aanvaard" het vakje Open aangevinkt en gebruik de vervolgkeuzelijst om Met EAP te kiezen.
3. Schakel het vakje Network-EAP in als u Cisco-clientkaarten hebt. Zie de discussie in het gedeelte EAP of Open verificatie met EAP.
4. Klik op Apply (Toepassen).

U kunt deze opdrachten ook via de CLI uitgeven:

AP#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

AP(config)#interface dot11radio 0

AP(config-if)#ssid labap1200

AP(config-if-ssid)#authentication open eap eap_methods

AP(config-if-ssid)#authentication network-eap eap_methods

AP(config-if-ssid)#end

AP#write memory

Zodra u basisfunctionaliteit met een basis EAP-configuratie bevestigt, kunt u op een later tijdstip extra functies en sleutelbeheer toevoegen. Layer complexere functies bovenop functionele fundamenten om probleemoplossing te vergemakkelijken.

Verifiëren

Deze sectie bevat informatie over de manier waarop u kunt controleren of de configuratie goed werkt.

Bepaalde opdrachten met show worden ondersteund door de tool Output Interpreter (alleen voor geregistreerde klanten). Hiermee kunt u een analyse van de output van opdrachten met show genereren.

toon straal server-groep allen-Toont een lijst van alle gevormde de server-groepen van de RADIUS op AP.

Problemen oplossen

Procedure voor troubleshooting

Voltooi deze stappen om problemen met uw configuratie op te lossen.

Maak in het hulpprogramma of de software aan de clientzijde een nieuw profiel of een verbinding met dezelfde of vergelijkbare parameters om er zeker van te zijn dat er niets is beschadigd in de configuratie van de client.
Om de mogelijkheid van RF-problemen te voorkomen die succesvolle verificatie verhinderen, schakelt u tijdelijk de verificatie uit zoals in deze stappen:
- Gebruik vanuit de CLI de opdrachten geen verificatie open eap_methods, geen verificatie netwerk-eap_methods en authenticatie open.
- Schakel vanuit de GUI op de pagina SSID Manager de optie Network-EAP uit, controleer Open en stel de vervolgkeuzelijst in op No Addition.
Als de client succesvol associeert, dan draagt RF niet bij aan het associatieprobleem.
Controleer of gedeelde geheime wachtwoorden gesynchroniseerd zijn tussen het toegangspunt en de verificatieserver. Anders kunt u deze foutmelding ontvangen:
```
Invalid message authenticator in EAP request
```
- Controleer vanuit de CLI de regelradius-serverhost x.x.x.x, auth-poorts x-poorts x-sleutel <shared_secret>.
- Voer vanuit de GUI op de pagina Server Manager het gedeelde geheim voor de juiste server opnieuw in in het vak "Gedeeld geheim".
De gedeelde geheime ingang voor het toegangspunt op de RADIUS-server moet hetzelfde gedeelde geheime wachtwoord bevatten als de eerder genoemde.
Verwijder eventuele gebruikersgroepen van de RADIUS-server. Soms kunnen er conflicten optreden tussen gebruikersgroepen die zijn gedefinieerd door de RADIUS-server en gebruikersgroepen in het onderliggende domein. Controleer de logbestanden van de RADIUS-server op mislukte pogingen en de redenen waarom die pogingen zijn mislukt.

Opdrachten voor probleemoplossing

Debugging Authentications biedt een aanzienlijke hoeveelheid detail over hoe de output van debugs met betrekking tot EAP te verzamelen en te interpreteren.

N.B.: Voordat u debug-opdrachten geeft, raadpleegt u de Belangrijke informatie over debug-opdrachten.

debug dot11 aaa authenticator state-machine—Hier worden belangrijke verdelingen (of toestanden) van de onderhandeling tussen de client en de verificatieserver weergegeven. Hier is een uitvoer van een succesvolle verificatie:

*Mar 1 02:37:46.846: dot11_auth_dot1x_send_id_req_to_client: Sending
		identity request to 0040.96ac.dd05
*Mar 1 02:37:46.846: dot11_auth_dot1x_send_id_req_to_client:
		0040.96ac.dd05 timer started for 30 seconds
*Mar 1 02:37:46.930: dot11_auth_dot1x_run_rfsm: Executing
		Action(CLIENT_WAIT,EAP_START) for 0040.96ac.dd05
*Mar 1 02:37:46.931: dot11_auth_dot1x_send_id_req_to_client:
		Sending identity request to 0040.96ac.dd05 (client)
*Mar 1 02:37:46.931: dot11_auth_dot1x_send_id_req_to_client: Client
		0040.96ac.dd05 timer started for 30 seconds 
*Mar 1 02:37:46.938: dot11_auth_dot1x_run_rfsm: Executing
		Action(CLIENT_WAIT,CLIENT_REPLY) for 0040.96ac.dd05
*Mar 1 02:37:46.938: dot11_auth_dot1x_send_response_to_server:
		Sending client 0040.96ac.dd05 data (User Name) to server
*Mar 1 02:37:46.938: dot11_auth_dot1x_send_response_to_server:
		Started timer server_timeout 60 seconds
*Mar 1 02:37:47.017: dot11_auth_dot1x_run_rfsm: Executing
		Action(SERVER_WAIT,SERVER_REPLY) for 0040.96ac.dd05
*Mar 1 02:37:47.017: dot11_auth_dot1x_send_response_to_client:
		Forwarding server message(Challenge) to client 0040.96ac.dd05
*Mar 1 02:37:47.018: dot11_auth_dot1x_send_response_to_client:
		Started timer client_timeout 20 seconds
*Mar 1 02:37:47.025: dot11_auth_dot1x_run_rfsm: Executing
		Action(CLIENT_WAIT,CL IENT_REPLY) for 0040.96ac.dd05
*Mar 1 02:37:47.025: dot11_auth_dot1x_send_response_to_server:
		Sending client 0040.96ac.dd05 data(User Credentials) to server
-------------------Lines Omitted for simplicity-------------------
*Mar 1 02:37:47.030: dot11_auth_dot1x_send_response_to_client:
		Started timer client_timeout 20 seconds
*Mar 1 02:37:47.041: dot11_auth_dot1x_run_rfsm: Executing Action
		(SERVER_WAIT,SE RVER_PASS) for 0040.96ac.dd05
*Mar 1 02:37:47.041: dot11_auth_dot1x_send_response_to_client:
		Forwarding server message(Pass Message) to client
		0040.96ac.dd05
*Mar 1 02:37:47.042: dot11_auth_dot1x_send_response_to_client:
		Started timer client_timeout 30 seconds
*Mar 1 02:37:47.043: %DOT11-6-ASSOC: Interface Dot11Radio0,
		Station TACWEB 0040 .96ac.dd05 Associated KEY_MGMT[NONE] (Client stays
		associated to the access point)

Opmerking: in Cisco IOS-softwarereleases voorafgaand aan 12.2(15)JA is de syntaxis van deze debug-opdracht debug dot11 aaa dot1x state-machine.

debug dot11 aaa authenticator proces—Hier worden de afzonderlijke dialoogvensters weergegeven van de onderhandeling tussen de client en de verificatieserver.

Opmerking: in Cisco IOS-softwarereleases voorafgaand aan 12.2(15)JA is de syntaxis van deze debug-opdracht debug dot11 aaa dot1x-proces.

debug radius verificatie-Hier worden de RADIUS-onderhandelingen tussen de server en de client weergegeven, die beide worden overbrugd door het toegangspunt. Dit is een uitvoer voor mislukte verificatie:

*Mar 1 02:34:55.086: RADIUS/ENCODE(00000031):Orig. component type = DOT11
*Mar 1 02:34:55.086: RADIUS: AAA Unsupported Attr: ssid [264] 5
*Mar 1 02:34:55.086: RADIUS: 73 73 69 [ssi] 
*Mar 1 02:34:55.086: RADIUS: AAA Unsupported Attr: interface [157] 3
*Mar 1 02:34:55.087: RADIUS: 32 [2]
*Mar 1 02:34:55.087: RADIUS(00000031): Config NAS IP: 10.0.0.106
*Mar 1 02:34:55.087: RADIUS/ENCODE(00000031): acct_session_id: 47
*Mar 1 02:34:55.087: RADIUS(00000031): Config NAS IP: 10.0.0.106 
*Mar 1 02:34:55.087: RADIUS(00000031): sending
*Mar 1 02:34:55.087: RADIUS(00000031): Send Access-Request
		to 10.0.0.3 :164 5 id 1645/61, len 130
*Mar 1 02:34:55.088: RADIUS: authenticator 0F 6D B9 57 4B A3 F2 0E -
		56 77 A4 7E D3 C2 26 EB
*Mar 1 02:34:55.088: RADIUS: User-Name [1] 8 "wirels"
*Mar 1 02:34:55.088: RADIUS: Framed-MTU [12] 6 1400 
*Mar 1 02:34:55.088: RADIUS: Called-Station-Id [30] 16 "0019.a956.55c0"
*Mar 1 02:34:55.088: RADIUS: Calling-Station-Id [31] 16 "0040.96ac.dd05"
*Mar 1 02:34:55.088: RADIUS: Service-Type [6] 6 Login [1] 
*Mar 1 02:34:55.088: RADIUS: Message-Authenticato[80] 18
*Mar 1 02:34:55.089: RADIUS: 73 8C 59 C4 98 51 53 9F 58 4D 1D EB A5
		4A AB 88 [s?Y??QS?XM???J??]
*Mar 1 02:34:55.089: RADIUS: EAP-Message [79] 13
*Mar 1 02:34:55.089: RADIUS: NAS-Port-Id [87] 5 "299"
*Mar 1 02:34:55.090: RADIUS: NAS-IP-Address [4] 6 10.0.0.106
*Mar 1 02:34:55.090: RADIUS: Nas-Identifier [32] 4 "ap"
*Mar 1 02:34:55.093: RADIUS: Received from id 1645/61
		10.0.0.3 :1645, Access-Challenge, len 79
*Mar 1 02:34:55.093: RADIUS: authenticator 72 FD C6 9F A1 53 8F D2 -
		84 87 49 9B B4 77 B8 973
---------------------------Lines Omitted-----------------------------------
*Mar 1 02:34:55.117: RADIUS(00000031): Config NAS IP: 10.0.0.106 
*Mar 1 02:34:55.118: RADIUS/ENCODE(00000031): acct_session_id: 47 
*Mar 1 02:34:55.118: RADIUS(00000031): Config NAS IP: 10.0.0.106
*Mar 1 02:34:55.118: RADIUS(00000031): sending
*Mar 1 02:34:55.118: RADIUS(00000031): Send Access-Request to
		10.0.0.3 :164 5 id 1645/62, len 168 
*Mar 1 02:34:55.118: RADIUS: authenticator 49 AE 42 83 C0 E9 9A A7 -
		07 0F 4E 7C F4 C7 1F 24
*Mar 1 02:34:55.118: RADIUS: User-Name [1] 8 "wirels"
*Mar 1 02:34:55.119: RADIUS: Framed-MTU [12] 6 1400
----------------------------------Lines Omitted-----------------------
*Mar 1 02:34:55.124: RADIUS: Received from id 1645/62
		10.0.0.3 :1645, Access-Reject, len 56
*Mar 1 02:34:55.124: RADIUS: authenticator A6 13 99 32 2A 9D A6 25 -
		AD 01 26 11 9A F6 01 37 
*Mar 1 02:34:55.125: RADIUS: EAP-Message [79] 6
*Mar 1 02:34:55.125: RADIUS: 04 15 00 04 [????]
*Mar 1 02:34:55.125: RADIUS: Reply-Message [18] 12
*Mar 1 02:34:55.125: RADIUS: 52 65 6A 65 63 74 65 64 0A 0D
		[Rejected??]
*Mar 1 02:34:55.125: RADIUS: Message-Authenticato[80] 18
*Mar 1 02:34:55.126: RADIUS(00000031): Received from id 1645/62 
*Mar 1 02:34:55.126: RADIUS/DECODE: EAP-Message fragments, 4, total 4 bytes
*Mar 1 02:34:55.126: RADIUS/DECODE: Reply-Message fragments, 10, total 10 bytes
*Mar 1 02:34:55.127: %DOT11-7-AUTH_FAILED: Station
		0040.96ac.dd05 Authentication failed