Dit document biedt een voorbeeldconfiguratie van een Cisco IOS®-gebaseerd access point voor EAP-verificatie (Extensible Verification Protocol) van draadloze gebruikers tegen een database die toegankelijk is voor een RADIUS-server.
Vanwege de passieve rol die het access point speelt in EAP (overbrugt draadloze pakketten van de client naar bekabelde pakketten die bestemd zijn voor de verificatieserver, en vice versa), wordt deze configuratie gebruikt met vrijwel alle EAP-methoden. Deze methoden omvatten (maar zijn niet beperkt tot) LEAP, Protected EAP (PEAP)-MS-Challenge Handshake Verification Protocol (CHAP) versie 2, PEAP-Generic Token Card (GTC), EAP-Flexible Verification via Secure Tunneling (FAST), EAP-Transport Layer Security (TLS) en EAP-Tunnelling TLS (TTLS). U moet de verificatieserver voor elk van deze EAP-methoden naar behoren configureren.
Dit document beschrijft hoe u het access point (AP) en de RADIUS-server moet configureren: dit is Cisco Secure ACS in het configuratievoorbeeld in dit document.
Voordat u deze configuratie uitvoert, moet aan de volgende vereisten worden voldaan:
U bent bekend met de Cisco IOS GUI of CLI.
U kent de concepten achter EAP-verificatie.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco Aironet AP-producten waarop Cisco IOS wordt uitgevoerd.
Veronderstelling van slechts één Virtuele LAN (VLAN) in het netwerk.
Een RADIUS-verificatieserverproduct dat met succes in een gebruikersdatabase wordt geïntegreerd.
Dit zijn de ondersteunde verificatieservers voor Cisco LEAP en EAP-FAST:
Cisco Secure Access Control Server (ACS)
Cisco Access Registrar (CAR)
Funk Steel Belted RADIUS
Verdienste van interlink
Dit zijn de ondersteunde verificatieservers voor de Microsoft PEAP-MS-CHAP versie 2 en PEAP-GTC:
Microsoft Internet Authenticatieservice (IAS)
Cisco beveiligde ACS
Funk Steel Belted RADIUS
Verdienste van interlink
Elke extra verificatieserver die Microsoft kan autoriseren.
Opmerking: voor GTC- of eenmalige wachtwoorden zijn extra services nodig die zowel aan de client- als de serverkant extra software vereisen, evenals hardware- of softwaretoken-generatoren.
Vraag de fabrikant van de clientaanvrager om meer informatie over welke verificatieservers met hun producten worden ondersteund voor EAP-TLS, EAP-TTLS en andere EAP-methoden.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Deze configuratie beschrijft hoe u EAP-verificatie kunt configureren op een IOS-gebaseerde AP. In het voorbeeld in dit document wordt LEAP gebruikt als een methode voor EAP-verificatie met RADIUS-server.
Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in deze sectie worden gebruikt.
Zoals met de meeste op wachtwoorden gebaseerde verificatiealgoritmen is Cisco LEAP kwetsbaar voor woordenboekaanvallen. Dit is geen nieuwe aanval of nieuwe kwetsbaarheid van Cisco LEAP. De creatie van een sterk wachtwoordbeleid is de meest efficiënte manier om woordenboekaanvallen te verlichten. Dit omvat het gebruik van sterke wachtwoorden en het periodiek verlopen van wachtwoorden. Raadpleeg Dictionary Attack on Cisco LEAP voor meer informatie over woordenboekaanvallen en hoe deze te voorkomen.
Dit document gebruikt deze configuratie voor zowel GUI als CLI:
IP-adres van het toegangspunt is 10.0.0.106.
IP-adres van de RADIUS-server (ACS) is 10.0.0.3.
In elke op EAP/802.1x gebaseerde verificatiemethode kunt u vragen wat de verschillen zijn tussen Network EAP en Open verificatie met EAP. Deze items verwijzen naar de waarden in het veld Verificatiealgoritme in de kopregels van beheer- en associatiepakketten. De meeste fabrikanten van draadloze clients stellen dit veld in op waarde 0 (Open verificatie) en geven vervolgens aan dat EAP-verificatie later in het associatieproces moet worden uitgevoerd. Cisco stelt de waarde anders in vanaf het begin van de associatie met de Network EAP-vlag.
Als uw netwerk clients heeft die:
Cisco-clients: gebruik EAP-netwerk.
Clients van derden (waaronder CCX-conforme producten)—Gebruik Open met EAP.
Een combinatie van zowel Cisco- als externe clients: kies zowel Network-EAP als Open met EAP.
De eerste stap in de EAP-configuratie is de verificatieserver te definiëren en er een relatie mee aan te gaan.
Voltooi de volgende stappen op het tabblad Server Manager van het toegangspunt (onder de menuoptie Security > Server Manager):
Voer in het veld Server het IP-adres van de verificatieserver in.
Specificeer het gedeelde geheim en de poorten.
Klik op Toepassen om de definitie te maken en de vervolgkeuzelijsten te vullen.
Stel het veld Prioriteit 1 van het EAP-verificatietype in op het IP-adres van de server onder Standaardserverprioriteiten.
Klik op Apply (Toepassen).
U kunt deze opdrachten ook via de CLI uitgeven:
AP#configure terminal Enter configuration commands, one per line. End with CNTL/Z. AP(config)#aaa group server radius rad_eap AP(config-sg-radius)#server 10.0.0.3 auth-port 1645 acct-port 1646 AP(config-sg-radius)#exit AP(config)#aaa new-model AP(config)#aaa authentication login eap_methods group rad_eap AP(config)#radius-server host 10.0.0.3 auth-port 1645 acct-port 1646 key labap1200ip102 AP(config)#end AP#write memory
Het toegangspunt moet op de verificatieserver worden geconfigureerd als een AAA-client.
In Cisco Secure ACS gebeurt dit bijvoorbeeld op de pagina Netwerkconfiguratie waar de naam van het toegangspunt, IP-adres, gedeeld geheim en de verificatiemethode (RADIUS, Cisco Aironet of RADIUS, IOS/PIX) is gedefinieerd. Raadpleeg de documentatie van de fabrikant voor andere niet-ACS-verificatieservers.
Zorg ervoor dat de verificatieserver is geconfigureerd om de gewenste EAP-verificatiemethode uit te voeren. Voor een Cisco Secure ACS die LEAP niet uitvoert, configureert u bijvoorbeeld LEAP-verificatie op de pagina Systeemconfiguratie - Globale verificatie-instellingen. Klik op Systeemconfiguratie en klik vervolgens op Globale verificatie-instellingen. Raadpleeg de documentatie van de fabrikant voor andere niet-ACS-verificatieservers of andere EAP-methoden.
Deze afbeelding toont Cisco Secure ACS geconfigureerd voor PEAP, EAP-FAST, EAP-TLS, LEAP en EAP-MD5.
Zodra het toegangspunt weet waar de verzoeken om clientverificatie moeten worden verzonden, moet u het configureren om deze methoden te accepteren.
Opmerking: deze instructies zijn voor een op WEP gebaseerde installatie. Raadpleeg voor WPA (dat algoritmen gebruikt in plaats van WEP) WPA Configuration Overview.
Voer op het tabblad Encryption Manager van het toegangspunt (onder de menuoptie Security > Encryption Manager) de volgende stappen uit:
Geef op dat u WEP-codering wilt gebruiken.
Specificeer dat WEP verplicht is.
Controleer of de sleutelgrootte is ingesteld op 128-bits.
Klik op Apply (Toepassen).
U kunt deze opdrachten ook via de CLI uitgeven:
AP#configure terminal Enter configuration commands, one per line. End with CNTL/Z. AP(config)#interface dot11radio 0 AP(config-if)#encryption mode wep mandatory AP(config-if)#end AP#write memory
Voltooi deze stappen op het tabblad SID Manager van het toegangspunt (onder de menuoptie Security > SSID Manager):
Selecteer de gewenste SSID.
Selecteer onder "Verificatiemethoden aanvaard" het vakje Open aangevinkt en gebruik de vervolgkeuzelijst om Met EAP te kiezen.
Schakel het vakje Network-EAP in als u Cisco-clientkaarten hebt. Zie de discussie in het gedeelte EAP of Open verificatie met EAP.
Klik op Apply (Toepassen).
U kunt deze opdrachten ook via de CLI uitgeven:
AP#configure terminal Enter configuration commands, one per line. End with CNTL/Z. AP(config)#interface dot11radio 0 AP(config-if)#ssid labap1200 AP(config-if-ssid)#authentication open eap eap_methods AP(config-if-ssid)#authentication network-eap eap_methods AP(config-if-ssid)#end AP#write memory
Zodra u basisfunctionaliteit met een basis EAP-configuratie bevestigt, kunt u op een later tijdstip extra functies en sleutelbeheer toevoegen. Layer complexere functies bovenop functionele fundamenten om probleemoplossing te vergemakkelijken.
Deze sectie bevat informatie over de manier waarop u kunt controleren of de configuratie goed werkt.
Bepaalde opdrachten met show worden ondersteund door de tool Output Interpreter (alleen voor geregistreerde klanten). Hiermee kunt u een analyse van de output van opdrachten met show genereren.
toon straal server-groep allen-Toont een lijst van alle gevormde de server-groepen van de RADIUS op AP.
Voltooi deze stappen om problemen met uw configuratie op te lossen.
Maak in het hulpprogramma of de software aan de clientzijde een nieuw profiel of een verbinding met dezelfde of vergelijkbare parameters om er zeker van te zijn dat er niets is beschadigd in de configuratie van de client.
Om de mogelijkheid van RF-problemen te voorkomen die succesvolle verificatie verhinderen, schakelt u tijdelijk de verificatie uit zoals in deze stappen:
Gebruik vanuit de CLI de opdrachten geen verificatie open eap_methods, geen verificatie netwerk-eap_methods en authenticatie open.
Schakel vanuit de GUI op de pagina SSID Manager de optie Network-EAP uit, controleer Open en stel de vervolgkeuzelijst in op No Addition.
Als de client succesvol associeert, dan draagt RF niet bij aan het associatieprobleem.
Controleer of gedeelde geheime wachtwoorden gesynchroniseerd zijn tussen het toegangspunt en de verificatieserver. Anders kunt u deze foutmelding ontvangen:
Invalid message authenticator in EAP request
Controleer vanuit de CLI de regelradius-serverhost x.x.x.x, auth-poorts x-poorts x-sleutel <shared_secret>.
Voer vanuit de GUI op de pagina Server Manager het gedeelde geheim voor de juiste server opnieuw in in het vak "Gedeeld geheim".
De gedeelde geheime ingang voor het toegangspunt op de RADIUS-server moet hetzelfde gedeelde geheime wachtwoord bevatten als de eerder genoemde.
Verwijder eventuele gebruikersgroepen van de RADIUS-server. Soms kunnen er conflicten optreden tussen gebruikersgroepen die zijn gedefinieerd door de RADIUS-server en gebruikersgroepen in het onderliggende domein. Controleer de logbestanden van de RADIUS-server op mislukte pogingen en de redenen waarom die pogingen zijn mislukt.
Bepaalde opdrachten met show worden ondersteund door de tool Output Interpreter (alleen voor geregistreerde klanten). Hiermee kunt u een analyse van de output van opdrachten met show genereren.
Debugging Authentications biedt een aanzienlijke hoeveelheid detail over hoe de output van debugs met betrekking tot EAP te verzamelen en te interpreteren.
N.B.: Voordat u debug-opdrachten geeft, raadpleegt u de Belangrijke informatie over debug-opdrachten.
debug dot11 aaa authenticator state-machine—Hier worden belangrijke verdelingen (of toestanden) van de onderhandeling tussen de client en de verificatieserver weergegeven. Hier is een uitvoer van een succesvolle verificatie:
*Mar 1 02:37:46.846: dot11_auth_dot1x_send_id_req_to_client: Sending identity request to 0040.96ac.dd05 *Mar 1 02:37:46.846: dot11_auth_dot1x_send_id_req_to_client: 0040.96ac.dd05 timer started for 30 seconds *Mar 1 02:37:46.930: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,EAP_START) for 0040.96ac.dd05 *Mar 1 02:37:46.931: dot11_auth_dot1x_send_id_req_to_client: Sending identity request to 0040.96ac.dd05 (client) *Mar 1 02:37:46.931: dot11_auth_dot1x_send_id_req_to_client: Client 0040.96ac.dd05 timer started for 30 seconds *Mar 1 02:37:46.938: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,CLIENT_REPLY) for 0040.96ac.dd05 *Mar 1 02:37:46.938: dot11_auth_dot1x_send_response_to_server: Sending client 0040.96ac.dd05 data (User Name) to server *Mar 1 02:37:46.938: dot11_auth_dot1x_send_response_to_server: Started timer server_timeout 60 seconds *Mar 1 02:37:47.017: dot11_auth_dot1x_run_rfsm: Executing Action(SERVER_WAIT,SERVER_REPLY) for 0040.96ac.dd05 *Mar 1 02:37:47.017: dot11_auth_dot1x_send_response_to_client: Forwarding server message(Challenge) to client 0040.96ac.dd05 *Mar 1 02:37:47.018: dot11_auth_dot1x_send_response_to_client: Started timer client_timeout 20 seconds *Mar 1 02:37:47.025: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,CL IENT_REPLY) for 0040.96ac.dd05 *Mar 1 02:37:47.025: dot11_auth_dot1x_send_response_to_server: Sending client 0040.96ac.dd05 data(User Credentials) to server -------------------Lines Omitted for simplicity------------------- *Mar 1 02:37:47.030: dot11_auth_dot1x_send_response_to_client: Started timer client_timeout 20 seconds *Mar 1 02:37:47.041: dot11_auth_dot1x_run_rfsm: Executing Action (SERVER_WAIT,SE RVER_PASS) for 0040.96ac.dd05 *Mar 1 02:37:47.041: dot11_auth_dot1x_send_response_to_client: Forwarding server message(Pass Message) to client 0040.96ac.dd05 *Mar 1 02:37:47.042: dot11_auth_dot1x_send_response_to_client: Started timer client_timeout 30 seconds *Mar 1 02:37:47.043: %DOT11-6-ASSOC: Interface Dot11Radio0, Station TACWEB 0040 .96ac.dd05 Associated KEY_MGMT[NONE] (Client stays associated to the access point)
Opmerking: in Cisco IOS-softwarereleases voorafgaand aan 12.2(15)JA is de syntaxis van deze debug-opdracht debug dot11 aaa dot1x state-machine.
debug dot11 aaa authenticator proces—Hier worden de afzonderlijke dialoogvensters weergegeven van de onderhandeling tussen de client en de verificatieserver.
Opmerking: in Cisco IOS-softwarereleases voorafgaand aan 12.2(15)JA is de syntaxis van deze debug-opdracht debug dot11 aaa dot1x-proces.
debug radius verificatie-Hier worden de RADIUS-onderhandelingen tussen de server en de client weergegeven, die beide worden overbrugd door het toegangspunt. Dit is een uitvoer voor mislukte verificatie:
*Mar 1 02:34:55.086: RADIUS/ENCODE(00000031):Orig. component type = DOT11 *Mar 1 02:34:55.086: RADIUS: AAA Unsupported Attr: ssid [264] 5 *Mar 1 02:34:55.086: RADIUS: 73 73 69 [ssi] *Mar 1 02:34:55.086: RADIUS: AAA Unsupported Attr: interface [157] 3 *Mar 1 02:34:55.087: RADIUS: 32 [2] *Mar 1 02:34:55.087: RADIUS(00000031): Config NAS IP: 10.0.0.106 *Mar 1 02:34:55.087: RADIUS/ENCODE(00000031): acct_session_id: 47 *Mar 1 02:34:55.087: RADIUS(00000031): Config NAS IP: 10.0.0.106 *Mar 1 02:34:55.087: RADIUS(00000031): sending *Mar 1 02:34:55.087: RADIUS(00000031): Send Access-Request to 10.0.0.3 :164 5 id 1645/61, len 130 *Mar 1 02:34:55.088: RADIUS: authenticator 0F 6D B9 57 4B A3 F2 0E - 56 77 A4 7E D3 C2 26 EB *Mar 1 02:34:55.088: RADIUS: User-Name [1] 8 "wirels" *Mar 1 02:34:55.088: RADIUS: Framed-MTU [12] 6 1400 *Mar 1 02:34:55.088: RADIUS: Called-Station-Id [30] 16 "0019.a956.55c0" *Mar 1 02:34:55.088: RADIUS: Calling-Station-Id [31] 16 "0040.96ac.dd05" *Mar 1 02:34:55.088: RADIUS: Service-Type [6] 6 Login [1] *Mar 1 02:34:55.088: RADIUS: Message-Authenticato[80] 18 *Mar 1 02:34:55.089: RADIUS: 73 8C 59 C4 98 51 53 9F 58 4D 1D EB A5 4A AB 88 [s?Y??QS?XM???J??] *Mar 1 02:34:55.089: RADIUS: EAP-Message [79] 13 *Mar 1 02:34:55.089: RADIUS: NAS-Port-Id [87] 5 "299" *Mar 1 02:34:55.090: RADIUS: NAS-IP-Address [4] 6 10.0.0.106 *Mar 1 02:34:55.090: RADIUS: Nas-Identifier [32] 4 "ap" *Mar 1 02:34:55.093: RADIUS: Received from id 1645/61 10.0.0.3 :1645, Access-Challenge, len 79 *Mar 1 02:34:55.093: RADIUS: authenticator 72 FD C6 9F A1 53 8F D2 - 84 87 49 9B B4 77 B8 973 ---------------------------Lines Omitted----------------------------------- *Mar 1 02:34:55.117: RADIUS(00000031): Config NAS IP: 10.0.0.106 *Mar 1 02:34:55.118: RADIUS/ENCODE(00000031): acct_session_id: 47 *Mar 1 02:34:55.118: RADIUS(00000031): Config NAS IP: 10.0.0.106 *Mar 1 02:34:55.118: RADIUS(00000031): sending *Mar 1 02:34:55.118: RADIUS(00000031): Send Access-Request to 10.0.0.3 :164 5 id 1645/62, len 168 *Mar 1 02:34:55.118: RADIUS: authenticator 49 AE 42 83 C0 E9 9A A7 - 07 0F 4E 7C F4 C7 1F 24 *Mar 1 02:34:55.118: RADIUS: User-Name [1] 8 "wirels" *Mar 1 02:34:55.119: RADIUS: Framed-MTU [12] 6 1400 ----------------------------------Lines Omitted----------------------- *Mar 1 02:34:55.124: RADIUS: Received from id 1645/62 10.0.0.3 :1645, Access-Reject, len 56 *Mar 1 02:34:55.124: RADIUS: authenticator A6 13 99 32 2A 9D A6 25 - AD 01 26 11 9A F6 01 37 *Mar 1 02:34:55.125: RADIUS: EAP-Message [79] 6 *Mar 1 02:34:55.125: RADIUS: 04 15 00 04 [????] *Mar 1 02:34:55.125: RADIUS: Reply-Message [18] 12 *Mar 1 02:34:55.125: RADIUS: 52 65 6A 65 63 74 65 64 0A 0D [Rejected??] *Mar 1 02:34:55.125: RADIUS: Message-Authenticato[80] 18 *Mar 1 02:34:55.126: RADIUS(00000031): Received from id 1645/62 *Mar 1 02:34:55.126: RADIUS/DECODE: EAP-Message fragments, 4, total 4 bytes *Mar 1 02:34:55.126: RADIUS/DECODE: Reply-Message fragments, 10, total 10 bytes *Mar 1 02:34:55.127: %DOT11-7-AUTH_FAILED: Station 0040.96ac.dd05 Authentication failed
debug aaa verificatie—Hier worden de AAA-onderhandelingen voor verificatie tussen het clientapparaat en de verificatieserver weergegeven.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
19-Oct-2009 |
Eerste vrijgave |