本文檔演示如何使用Cisco Secure ACS for Windows 3.2版配置受保護的可擴展身份驗證協定(PEAP)。
有關如何使用無線LAN控制器、Microsoft Windows 2003軟體和Cisco安全訪問控制伺服器(ACS) 4.0配置安全的無線訪問的詳細資訊,請參閱ACS 4.0和Windows 2003中統一無線網路下的PEAP。
本文件沒有特定先決條件。
本檔案中的資訊是根據以下軟體和硬體版本而定。
適用於Windows的Cisco Secure ACS 3.2版
Microsoft證書服務(作為企業根證書頒發機構[CA]安裝)
備註:如需詳細資訊,請參閱設定憑證授權單位的分步指南。
使用Windows 2000 Server (含Service Pack 3)的DNS服務
注意:如果遇到CA伺服器問題,請安裝修補程式323172 。Windows 2000 SP3客戶端需要修補程式313664 ,才能啟用IEEE 802.1x身份驗證。
Cisco Aironet 1200系列無線存取點12.01T
執行Windows XP Professional (含Service Pack 1)的IBM ThinkPad T30
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您在即時網路中工作,請確保在使用任何命令之前瞭解其潛在影響。
PEAP和EAP-TLS都會建立並使用TLS/安全通訊端層(SSL)通道。PEAP僅使用伺服器端驗證;只有伺服器有憑證並向使用者端證明其身分。但是,EAP-TLS使用相互身份驗證,其中ACS(身份驗證、授權和記帳[AAA])伺服器和客戶端都有證書並向彼此證明其身份。
PEAP非常方便,因為使用者端不需要憑證。EAP-TLS對於驗證無外設裝置很有用,因為憑證不需要使用者互動。
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
本文檔使用下圖所示的網路設定。
按照以下步驟配置ACS 3.2。
請依照以下步驟操作,取得憑證。
在ACS伺服器上打開Web瀏覽器,並在位址列輸入http://CA-ip-address/certsrv瀏覽到CA伺服器。以系統管理員身分登入網域。
選擇Request a certificate,然後按一下Next。
選擇高級請求,然後按一下下一步。
選擇Submit a certificate request to this CA using a form,然後按一下Next。
配置證書選項。
選擇Web Server作為證書模板。輸入ACS伺服器的名稱。
將金鑰大小設定為1024。選中Mark keys as exportable和Use local machine store選項。根據需要配置其他選項,然後按一下Submit。
注意:如果您看到一個警告視窗,指出指令碼違規(視瀏覽器的安全性/隱私權設定而定),請按一下是繼續。
按一下Install this certificate。
注意:如果您看到一個警告視窗,指出指令碼違規(視瀏覽器的安全性/隱私權設定而定),請按一下是繼續。
如果安裝成功,您將會看到確認訊息。
按照以下步驟配置ACS以使用儲存中的證書。
打開Web瀏覽器,並透過在位址列中輸入http://ACS-ip-address:2002/瀏覽到ACS伺服器。按一下System Configuration,然後按一下ACS Certificate Setup。
按一下Install ACS Certificate。
選擇Use certificate from storage。在Certificate CN欄位中,輸入您在獲取ACS伺服器證書部分的步驟5a中指定的證書名稱。按一下Submit。
此專案必須與您在進階憑證要求期間在「名稱」欄位中輸入的名稱相符。它是伺服器證書的subject欄位中的CN名稱;您可以編輯伺服器證書以檢查此名稱。在本例中,名稱是「OurACS」。請勿輸入頒發者的CN名稱。
配置完成後,您將看到一條確認消息,指示ACS伺服器的配置已更改。
注意:此時不需要重新啟動ACS。
ACS將自動信任頒發自己證書的CA。如果使用者端憑證是由其他的CA所核發,則需要完成以下步驟。
按一下System Configuration,然後按一下ACS Certificate Setup。
按一下ACS Certificate Authority Setup以向受信任的證書清單增加CA。在CA證書檔案的欄位中,輸入證書的位置,然後按一下Submit。
按一下Edit Certificate Trust List。選中ACS應信任的所有CA,並取消選中ACS不應信任的所有CA。按一下Submit。
按照以下步驟重新啟動服務並配置PEAP設定。
按一下System Configuration,然後按一下Service Control。
按一下Restart重新啟動服務。
要配置PEAP設定,請按一下System Configuration,然後按一下Global Authentication Setup。
檢查下面顯示的兩個設定,並將所有其他設定保留為預設設定。如有需要,您可以指定其他設定,例如「啟用快速重新連線」。請在完成後按一下Submit。
允許EAP-MSCHAPv2
允許MS-CHAP版本2驗證
註:有關快速連線的詳細資訊,請參閱系統配置:身份驗證和證書中的「身份驗證配置選項」。
按照以下步驟將存取點(AP)配置為AAA客戶端。
按一下Network Configuration。在AAA Clients下,按一下Add Entry。
在AAA Client Hostname欄位中輸入AP的主機名,並在AAA Client IP Address欄位中輸入AP的IP地址。在Key欄位中輸入ACS和AP的共用金鑰。選擇RADIUS (Cisco Aironet)作為身份驗證方法。請在完成後按一下Submit。
按照以下步驟配置外部使用者資料庫。
注意:只有ACS 3.2支援對Windows資料庫進行電腦身份驗證的PEAP-MS-CHAPv2。
按一下External User Databases,然後按一下Database Configuration。按一下Windows Database。
注意:如果尚未定義Windows資料庫,請按一下Create New Configuration,然後按一下Submit。
按一下Configure。在Configure Domain List下,將SEC-SYD域從Available Domains移到Domain List。
要啟用電腦身份驗證,請在Windows EAP設定下選中Permit PEAP machine authentication選項。請勿更改電腦身份驗證名稱字首。Microsoft當前使用「/host」(預設值)來區分使用者和電腦身份驗證。如果您願意,請選中Permit password change inside PEAP選項。請在完成後按一下Submit。
按一下External User Databases,然後按一下Unknown User Policy。選中Check the following external user databases選項,然後使用右箭頭按鈕(-> )將Windows資料庫從外部資料庫移動到選定資料庫。請在完成後按一下Submit。
完成配置ACS後,請按照以下步驟重新啟動服務。
按一下System Configuration,然後按一下Service Control。
按一下Restart。
按照以下步驟配置AP以使用ACS作為身份驗證伺服器。
打開Web瀏覽器,並透過在位址列中輸入http://AP-ip-address/certsrv瀏覽到AP。在工具欄上,按一下Setup。
在Services下,按一下Security。
按一下Authentication Server。
注意:如果您在AP上配置了帳戶,則需要登入。
輸入身份驗證器配置設定。
在802.1x Protocol Version(用於EAP身份驗證)中,選擇802.1x-2001。
在Server Name/IP欄位中輸入ACS伺服器的IP地址。
選擇RADIUS作為伺服器型別。
在Port欄位中輸入1645或1812。
輸入您在將存取點指定並配置為AAA客戶端的第2步中指定的共用金鑰。
選中EAP Authentication選項以指定伺服器的使用方式。
請在完成後按一下OK。
按一下「Radio Data Encryption (WEP)」。
輸入內部資料加密設定。
選擇Full Encryption以設定資料加密的級別。
輸入加密金鑰並將金鑰大小設定為128位,以用作廣播金鑰。
請在完成後按一下OK。
轉至Network > Service Sets > Select the SSID Idx,確認您使用的是正確的服務集識別符號(SSID),並在完成後按一下OK。
以下示例顯示了預設SSID「tsunami」。
按照以下步驟配置ACS 3.2。
按照以下步驟配置域,以便在域控制器Kant上自動註冊電腦證書。
轉至Control Panel > Administrative Tools > Open Active Directory Users and Computers。
按一下右鍵domain sec-syd,並從子選單中選擇Properties。
選擇Group Policy頁籤。按一下Default Domain Policy,然後按一下Edit。
轉至Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Automatic Certificate Request Settings。
在選單欄上轉至Action > New > Automatic Certificate Request,並按一下Next。
選擇Computer,並按一下Next。
檢查CA。
在本例中,CA命名為「我們的TAC CA」。
按一下Next,然後按一下Finish。
按照以下步驟將無線客戶端增加到域中。
注意:要完成這些步驟,無線客戶端必須能夠透過有線連線或透過停用802.1x安全性的無線連線連線到CA。
以本機系統管理員身分登入Windows XP。
轉至Control Panel > Performance and Maintenance > System。
選擇Computer Name頁籤,然後按一下Change。在電腦名欄位中輸入主機名。選擇Domain,然後輸入域名(在本示例中為SEC-SYD)。按一下「OK」(確定)。
顯示登入通話方塊時,請使用有權加入網域的帳戶登入以加入網域。
當電腦成功加入網域時,請重新啟動電腦。電腦將是域的成員;由於我們已設定電腦自動註冊,因此電腦將安裝有CA頒發的證書和電腦身份驗證證書。
請按照以下步驟手動安裝根證書。
註:如果您已設定電腦自動註冊,則不需要執行此步驟。請跳過配置無線網路。
在Windows客戶端機器上,打開Web瀏覽器,並透過在位址列中輸入http://root-CA-ip-address/certsrv,訪問Microsoft CA伺服器。登入到CA站點。
在本例中,CA的IP地址是10.66.79.241。
選擇Retrieve the CA certificate or certification revocation list,然後按一下Next。
按一下Download CA certificate以在本地電腦上儲存該證書。
打開證書並按一下Install Certificate。
附註:在下面的範例中,左上方的圖示表示憑證尚未受信任(已安裝)。
在目前使用者/受信任的根憑證授權單位中安裝憑證。
按「Next」(下一步)。
選擇Automatically select the certificate store based on the type of the certificate,然後按一下Next。
按一下Finish以將根證書自動放置在Current User/Trusted Root Certificate Authorities下。
按照以下步驟設定無線網路的選項。
以網域使用者的身份登入網域。
轉至Control Panel > Network and Internet Connections > Network Connections。按一下右鍵Wireless Connection,並從顯示的子選單中選擇Properties。
選擇Wireless Networks頁籤。從可用網路清單中選擇無線網路(使用AP的SSID名稱顯示),然後按一下Configure。
在網路屬性窗口的Authentication頁籤上,選中Enable IEEE 802.1x authentication for this network選項。對於EAP型別,請為EAP型別選擇Protected EAP (PEAP),然後按一下Properties。
注意:要啟用電腦身份驗證,請選中當電腦資訊可用時身份驗證為電腦選項。
選中Validate server certificate,然後選中PEAP客戶端和ACS裝置所使用的企業根CA。為身份驗證方法選擇Secure password (EAP-MSCHAP v2),然後按一下Configure。
在本例中,根CA命名為「我們的TAC CA」。
要啟用單一登入,請選中Automatically use my Windows logon name and password(and domain if any)選項。按一下OK接受此設定,然後再次按一下OK返回網路屬性窗口。
使用PEAP的單一登入,使用者端會使用Windows登入名稱進行PEAP驗證,因此使用者不需要再次輸入密碼。
在網路屬性窗口的Association頁籤上,選中Data encryption (WEP enabled)和The key is provided for me automatically選項。按一下OK,然後再次按一下OK關閉網路配置窗口。
本節提供的資訊可用於確認組態是否正常運作。
要驗證無線客戶端是否已透過驗證,請在無線客戶端上轉至Control Panel > Network and Internet Connections > Network Connections。在選單欄上轉至View > Tiles。無線連線應顯示消息「身份驗證成功」。
要驗證無線客戶端已透過身份驗證,請在ACS Web介面中轉到Reports and Activity > Passed Authentications > Passed Authentications active.csv。
本節提供的資訊可用於對組態進行疑難排解。
驗證MS證書服務是否已作為企業根CA安裝在裝有Service Pack 3的Windows 2000 Advanced Server上。安裝MS證書服務後,必須安裝Hotfix 323172和313664。如果重新安裝MS憑證服務,也必須重新安裝Hotfix 323172。
驗證您使用的是Cisco Secure ACS for Windows 3.2版本以及Windows 2000和Service Pack 3。確保已安裝323172和313664修補程式。
如果無線客戶端上的電腦身份驗證失敗,則無線連線上將沒有網路連線。只有在無線使用者端上快取其設定檔的帳號才能登入網域。電腦需要插入有線網路,或設定為沒有802.1x保全性的無線連線。
如果在加入域時與CA的自動註冊失敗,請檢查事件檢視器以瞭解可能的原因。嘗試檢查筆記型電腦上的DNS設定。
如果ACS的證書被客戶端拒絕(這取決於證書的有效「起始」和「終止」日期、客戶端的日期和時間設定以及CA信任),則客戶端將拒絕該證書,並且身份驗證將失敗。ACS將在Web介面中的Reports and Activity > Failed Attempts > Failed Attempts XXX.csv下記錄失敗的身份驗證,其中含有與「EAP-TLS or PEAP authentication failed during SSL handshake.」類似的身份驗證失敗代碼。 CSAuth.log檔案中預期的錯誤消息類似於以下內容。
AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: other side probably didn't accept our certificate
在ACS Web介面上日誌中的Reports and Activity > Passed Authentications > Passed Authentications XXX.csv和Reports and Activity > Failed Attempts > Failed Attempts XXX.csv下都以<DOMAIN>\<user-id>格式顯示PEAP身份驗證。EAP-TLS身份驗證以<user-id>@<domain>格式顯示。
要使用PEAP快速重新連線,必須在ACS伺服器和客戶端上啟用此功能。
如果已啟用「變更PEAP密碼」,則僅當帳號的密碼已過期,或在下次登入時將帳號標籤為已變更密碼時,才可以變更密碼。
您可以按照以下步驟驗證ACS伺服器的證書和信任。
使用具有管理員許可權的帳戶登入到ACS伺服器上的Windows。打開Microsoft管理控制檯,方法是:轉至「開始」>「運行」,鍵入mmc,然後按一下確定。
在選單欄上,轉至「控制檯」>「增加/刪除管理單元」,然後按一下增加。
選擇證書並按一下增加。
選擇電腦帳戶,按一下下一步,然後選擇本地電腦(運行此控制檯的電腦)。
依次按一下「完成」、 「關閉」和「確定」。
要驗證ACS伺服器是否具有有效的伺服器端證書,請轉至Console Root > Certificates (Local Computer) > ACSCertStore > Certificates。驗證ACS伺服器(在本示例中命名為OurACS)是否具有證書。打開證書並驗證以下專案。
沒有警告說明未驗證證書的所有預期目的。
沒有關於憑證不受信任的警告。
此證書用於-確保遠端電腦的身份。
證書尚未過期且已生效(請檢查有效的「起始」和「終止」日期)。
「您有與此證書對應的私鑰。」
在Details頁籤上,驗證Version欄位的值V3,以及Enhanced Key Usage欄位是否具有Server Authentication (1.3.6.1.5.5.7.3.1)。
要驗證ACS伺服器是否信任CA伺服器,請轉到Console Root > Certificates (Local Computer) > Trusted Root Certification Authorities > Certificates。驗證CA伺服器(在本範例中命名為Our TAC CA)是否有憑證。打開證書並驗證以下專案。
沒有警告說明未驗證證書的所有預期目的。
沒有關於憑證不受信任的警告。
證書的目標用途正確。
證書尚未過期且已生效(請檢查有效的「起始」和「終止」日期)。
如果ACS和客戶端未使用相同的根CA,則驗證是否已安裝整個CA伺服器證書鏈。如果憑證是從子憑證授權單位取得,也會發生同樣的情況。
您可以按照以下步驟驗證客戶的信任。
使用客戶端的帳戶登入到無線客戶端上的Windows。打開Microsoft管理控制檯,方法是:轉至「開始」>「運行」,鍵入mmc,然後按一下確定。
在選單欄上,轉至「控制檯」>「增加/刪除管理單元」,然後按一下增加。
選擇證書並按一下增加。
按一下Close,然後按一下OK。
要確認客戶端的配置檔案信任CA伺服器,請轉到Console Root > Certificates - Current User > Trusted Root Certification Authorities > Certificates。驗證CA伺服器(在本範例中命名為Our TAC CA)是否有憑證。打開證書並驗證以下專案。
沒有警告說明未驗證證書的所有預期目的。
沒有關於憑證不受信任的警告。
證書的目標用途正確。
證書尚未過期且已生效(請檢查有效的「起始」和「終止」日期)。
如果ACS和客戶端未使用相同的根CA,則驗證是否已安裝整個CA伺服器證書鏈。如果憑證是從子憑證授權單位取得,也會發生同樣的情況。
按照配置Cisco Secure ACS for Windows v3.2部分中的說明驗證ACS設定。
按照配置Cisco存取點部分中的說明驗證AP設定。
按照配置無線客戶端部分中的說明驗證無線客戶端設定。
驗證使用者帳戶存在於AAA伺服器的內部資料庫或其中一個配置的外部資料庫中。請確定該帳戶尚未停用。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
18-Jun-2003 |
初始版本 |