配置用於Windows v3.2的Cisco Secure ACS與PEAP-MS-CHAPv2電腦身份驗證

下載選項

  • PDF     (854.3 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (602.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (1.9 MB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2006 年 2 月 2 日
文件 ID:43486

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔演示如何使用Cisco Secure ACS for Windows 3.2版配置受保護的可擴展身份驗證協定(PEAP)。

有關如何使用無線LAN控制器、Microsoft Windows 2003軟體和Cisco安全訪問控制伺服器(ACS) 4.0配置安全的無線訪問的詳細資訊,請參閱ACS 4.0和Windows 2003中統一無線網路下的PEAP

必要條件

需求

本文件沒有特定先決條件。

採用元件

本檔案中的資訊是根據以下軟體和硬體版本而定。

  • 適用於Windows的Cisco Secure ACS 3.2版

  • Microsoft證書服務(作為企業根證書頒發機構[CA]安裝)

    備註:如需詳細資訊,請參閱設定憑證授權單位的分步指南leavingcisco.com

  • 使用Windows 2000 Server (含Service Pack 3)的DNS服務

    注意:如果遇到CA伺服器問題,請安裝修補程式323172 leavingcisco.com。Windows 2000 SP3客戶端需要修補程式313664 leavingcisco.com,才能啟用IEEE 802.1x身份驗證。

  • Cisco Aironet 1200系列無線存取點12.01T

  • 執行Windows XP Professional (含Service Pack 1)的IBM ThinkPad T30

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您在即時網路中工作,請確保在使用任何命令之前瞭解其潛在影響。

背景理論

PEAP和EAP-TLS都會建立並使用TLS/安全通訊端層(SSL)通道。PEAP僅使用伺服器端驗證;只有伺服器有憑證並向使用者端證明其身分。但是,EAP-TLS使用相互身份驗證,其中ACS(身份驗證、授權和記帳[AAA])伺服器和客戶端都有證書並向彼此證明其身份。

PEAP非常方便,因為使用者端不需要憑證。EAP-TLS對於驗證無外設裝置很有用,因為憑證不需要使用者互動。

慣例

如需文件慣例的詳細資訊,請參閱思科技術提示慣例

網路圖表

本文檔使用下圖所示的網路設定。

acs-peap-01.gif

配置Cisco Secure ACS for Windows v3.2

按照以下步驟配置ACS 3.2。

  1. 獲取ACS伺服器證書

  2. 配置ACS以使用儲存中的證書

  3. 指定ACS應信任的其他證書頒發機構

  4. 重新啟動服務並在ACS上配置PEAP設定

  5. 將存取點指定並配置為AAA客戶端

  6. 配置外部使用者資料庫

  7. 重新啟動服務

獲取ACS伺服器證書

請依照以下步驟操作,取得憑證。

  1. 在ACS伺服器上打開Web瀏覽器,並在位址列輸入http://CA-ip-address/certsrv瀏覽到CA伺服器。以系統管理員身分登入網域。

    acs-peap-02.gif

  2. 選擇Request a certificate,然後按一下Next

    acs-peap-03.gif

  3. 選擇高級請求,然後按一下下一步

    acs-peap-04.gif

  4. 選擇Submit a certificate request to this CA using a form,然後按一下Next

    acs-peap-05.gif

  5. 配置證書選項。

    1. 選擇Web Server作為證書模板。輸入ACS伺服器的名稱。

      acs-peap-06a.gif

    2. 將金鑰大小設定為1024。選中Mark keys as exportableUse local machine store選項。根據需要配置其他選項,然後按一下Submit

      acs-peap-06b.gif

      注意:如果您看到一個警告視窗,指出指令碼違規(視瀏覽器的安全性/隱私權設定而定),請按一下繼續。

      acs-peap-07.gif

  6. 按一下Install this certificate

    acs-peap-08.gif

    注意:如果您看到一個警告視窗,指出指令碼違規(視瀏覽器的安全性/隱私權設定而定),請按一下繼續。

    acs-peap-09.gif

  7. 如果安裝成功,您將會看到確認訊息。

    acs-peap-10.gif

配置ACS以使用儲存中的證書

按照以下步驟配置ACS以使用儲存中的證書。

  1. 打開Web瀏覽器,並透過在位址列中輸入http://ACS-ip-address:2002/瀏覽到ACS伺服器。按一下System Configuration,然後按一下ACS Certificate Setup

  2. 按一下Install ACS Certificate

  3. 選擇Use certificate from storage。在Certificate CN欄位中,輸入您在獲取ACS伺服器證書部分的步驟5a中指定的證書名稱。按一下Submit

    此專案必須與您在進階憑證要求期間在「名稱」欄位中輸入的名稱相符。它是伺服器證書的subject欄位中的CN名稱;您可以編輯伺服器證書以檢查此名稱。在本例中,名稱是「OurACS」。請輸入頒發者的CN名稱。

    acs-peap-11.gif

  4. 配置完成後,您將看到一條確認消息,指示ACS伺服器的配置已更改。

    注意:此時不需要重新啟動ACS。

    acs-peap-12.gif

指定ACS應信任的其他證書頒發機構

ACS將自動信任頒發自己證書的CA。如果使用者端憑證是由其他的CA所核發,則需要完成以下步驟。

  1. 按一下System Configuration,然後按一下ACS Certificate Setup

  2. 按一下ACS Certificate Authority Setup以向受信任的證書清單增加CA。在CA證書檔案的欄位中,輸入證書的位置,然後按一下Submit

    acs-peap-13.gif

  3. 按一下Edit Certificate Trust List。選中ACS應信任的所有CA,並取消選中ACS不應信任的所有CA。按一下Submit

    acs-peap-14.gif

重新啟動服務並在ACS上配置PEAP設定

按照以下步驟重新啟動服務並配置PEAP設定。

  1. 按一下System Configuration,然後按一下Service Control

  2. 按一下Restart重新啟動服務。

  3. 要配置PEAP設定,請按一下System Configuration,然後按一下Global Authentication Setup

  4. 檢查下面顯示的兩個設定,並將所有其他設定保留為預設設定。如有需要,您可以指定其他設定,例如「啟用快速重新連線」。請在完成後按一下Submit

    • 允許EAP-MSCHAPv2

    • 允許MS-CHAP版本2驗證

    註:有關快速連線的詳細資訊,請參閱系統配置:身份驗證和證書中的「身份驗證配置選項」。

    acs-peap-15.gif

將存取點指定並配置為AAA客戶端

按照以下步驟將存取點(AP)配置為AAA客戶端。

  1. 按一下Network Configuration。在AAA Clients下,按一下Add Entry

    acs-peap-16.gif

  2. 在AAA Client Hostname欄位中輸入AP的主機名,並在AAA Client IP Address欄位中輸入AP的IP地址。在Key欄位中輸入ACS和AP的共用金鑰。選擇RADIUS (Cisco Aironet)作為身份驗證方法。請在完成後按一下Submit

    acs-peap-17.gif

配置外部使用者資料庫

按照以下步驟配置外部使用者資料庫。

注意:只有ACS 3.2支援對Windows資料庫進行電腦身份驗證的PEAP-MS-CHAPv2。

  1. 按一下External User Databases,然後按一下Database Configuration。按一下Windows Database

    注意:如果尚未定義Windows資料庫,請按一下Create New Configuration,然後按一下Submit

  2. 按一下Configure。在Configure Domain List下,將SEC-SYD域從Available Domains移到Domain List。

    acs-peap-18.gif

  3. 要啟用電腦身份驗證,請在Windows EAP設定下選中Permit PEAP machine authentication選項。請勿更改電腦身份驗證名稱字首。Microsoft當前使用「/host」(預設值)來區分使用者和電腦身份驗證。如果您願意,請選中Permit password change inside PEAP選項。請在完成後按一下Submit

    acs-peap-19.gif

  4. 按一下External User Databases,然後按一下Unknown User Policy。選中Check the following external user databases選項,然後使用右箭頭按鈕(-> )將Windows資料庫從外部資料庫移動到選定資料庫。請在完成後按一下Submit

    acs-peap-19a.gif

重新啟動服務

完成配置ACS後,請按照以下步驟重新啟動服務。

  1. 按一下System Configuration,然後按一下Service Control

  2. 按一下Restart

配置思科存取點

按照以下步驟配置AP以使用ACS作為身份驗證伺服器。

  1. 打開Web瀏覽器,並透過在位址列中輸入http://AP-ip-address/certsrv瀏覽到AP。在工具欄上,按一下Setup

  2. 在Services下,按一下Security

  3. 按一下Authentication Server

    注意:如果您在AP上配置了帳戶,則需要登入。

  4. 輸入身份驗證器配置設定。

    • 在802.1x Protocol Version(用於EAP身份驗證)中,選擇802.1x-2001

    • 在Server Name/IP欄位中輸入ACS伺服器的IP地址。

    • 選擇RADIUS作為伺服器型別。

    • 在Port欄位中輸入16451812

    • 輸入您在將存取點指定並配置為AAA客戶端的第2步中指定的共用金鑰。

    • 選中EAP Authentication選項以指定伺服器的使用方式。

    請在完成後按一下OK

    acs-peap-20.gif

  5. 按一下「Radio Data Encryption (WEP)」。

  6. 輸入內部資料加密設定。

    • 選擇Full Encryption以設定資料加密的級別。

    • 輸入加密金鑰並將金鑰大小設定為128位,以用作廣播金鑰。

    請在完成後按一下OK

    acs-peap-21.gif

  7. 轉至Network > Service Sets > Select the SSID Idx,確認您使用的是正確的服務集識別符號(SSID),並在完成後按一下OK

    以下示例顯示了預設SSID「tsunami」。

    acs-peap-21a.gif

配置無線客戶端

按照以下步驟配置ACS 3.2。

  1. 配置MS證書電腦自動註冊

  2. 加入域

  3. 在Windows客戶端上手動安裝根證書

  4. 配置無線網路

配置MS證書電腦自動註冊

按照以下步驟配置域,以便在域控制器Kant上自動註冊電腦證書。

  1. 轉至Control Panel > Administrative Tools > Open Active Directory Users and Computers

  2. 按一下右鍵domain sec-syd,並從子選單中選擇Properties

  3. 選擇Group Policy頁籤。按一下Default Domain Policy,然後按一下Edit

  4. 轉至Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Automatic Certificate Request Settings

    acs-peap-21b.gif

  5. 在選單欄上轉至Action > New > Automatic Certificate Request,並按一下Next

  6. 選擇Computer,並按一下Next

  7. 檢查CA。

    在本例中,CA命名為「我們的TAC CA」。

  8. 按一下Next,然後按一下Finish

加入網域

按照以下步驟將無線客戶端增加到域中。

注意:要完成這些步驟,無線客戶端必須能夠透過有線連線或透過停用802.1x安全性的無線連線連線到CA。

  1. 以本機系統管理員身分登入Windows XP。

  2. 轉至Control Panel > Performance and Maintenance > System

  3. 選擇Computer Name頁籤,然後按一下Change。在電腦名欄位中輸入主機名。選擇Domain,然後輸入域名(在本示例中為SEC-SYD)。按一下「OK」(確定)。

    acs-peap-22.gif

  4. 顯示登入通話方塊時,請使用有權加入網域的帳戶登入以加入網域。

  5. 當電腦成功加入網域時,請重新啟動電腦。電腦將是域的成員;由於我們已設定電腦自動註冊,因此電腦將安裝有CA頒發的證書和電腦身份驗證證書。

在Windows客戶端上手動安裝根證書

請按照以下步驟手動安裝根證書。

註:如果您已設定電腦自動註冊,則不需要執行此步驟。請跳過配置無線網路

  1. 在Windows客戶端機器上,打開Web瀏覽器,並透過在位址列中輸入http://root-CA-ip-address/certsrv,訪問Microsoft CA伺服器。登入到CA站點。

    在本例中,CA的IP地址是10.66.79.241。

    acs-peap-28.gif

  2. 選擇Retrieve the CA certificate or certification revocation list,然後按一下Next

    acs-peap-29.gif

  3. 按一下Download CA certificate以在本地電腦上儲存該證書。

    acs-peap-30.gif

  4. 打開證書並按一下Install Certificate

    附註:在下面的範例中,左上方的圖示表示憑證尚未受信任(已安裝)。

    acs-peap-31.gif

  5. 在目前使用者/受信任的根憑證授權單位中安裝憑證。

    1. 按「Next」(下一步)。

    2. 選擇Automatically select the certificate store based on the type of the certificate,然後按一下Next

    3. 按一下Finish以將根證書自動放置在Current User/Trusted Root Certificate Authorities下。

配置無線網路

按照以下步驟設定無線網路的選項。

  1. 以網域使用者的身份登入網域。

  2. 轉至Control Panel > Network and Internet Connections > Network Connections。按一下右鍵Wireless Connection,並從顯示的子選單中選擇Properties

  3. 選擇Wireless Networks頁籤。從可用網路清單中選擇無線網路(使用AP的SSID名稱顯示),然後按一下Configure

    acs-peap-23.gif

  4. 在網路屬性窗口的Authentication頁籤上,選中Enable IEEE 802.1x authentication for this network選項。對於EAP型別,請為EAP型別選擇Protected EAP (PEAP),然後按一下Properties

    注意:要啟用電腦身份驗證,請選中當電腦資訊可用時身份驗證為電腦選項。

    acs-peap-24.gif

  5. 選中Validate server certificate,然後選中PEAP客戶端和ACS裝置所使用的企業根CA。為身份驗證方法選擇Secure password (EAP-MSCHAP v2),然後按一下Configure

    在本例中,根CA命名為「我們的TAC CA」。

    acs-peap-25.gif

  6. 要啟用單一登入,請選中Automatically use my Windows logon name and password(and domain if any)選項。按一下OK接受此設定,然後再次按一下OK返回網路屬性窗口。

    使用PEAP的單一登入,使用者端會使用Windows登入名稱進行PEAP驗證,因此使用者不需要再次輸入密碼。

    acs-peap-26.gif

  7. 在網路屬性窗口的Association頁籤上,選中Data encryption (WEP enabled)The key is provided for me automatically選項。按一下OK,然後再次按一下OK關閉網路配置窗口。

    acs-peap-27.gif

驗證

本節提供的資訊可用於確認組態是否正常運作。

  • 要驗證無線客戶端是否已透過驗證,請在無線客戶端上轉至Control Panel > Network and Internet Connections > Network Connections。在選單欄上轉至View > Tiles。無線連線應顯示消息「身份驗證成功」。

  • 要驗證無線客戶端已透過身份驗證,請在ACS Web介面中轉到Reports and Activity > Passed Authentications > Passed Authentications active.csv

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

  • 驗證MS證書服務是否已作為企業根CA安裝在裝有Service Pack 3的Windows 2000 Advanced Server上。安裝MS證書服務,必須安裝Hotfix 323172和313664。如果重新安裝MS憑證服務,也必須重新安裝Hotfix 323172。

  • 驗證您使用的是Cisco Secure ACS for Windows 3.2版本以及Windows 2000和Service Pack 3。確保已安裝323172和313664修補程式。

  • 如果無線客戶端上的電腦身份驗證失敗,則無線連線上將沒有網路連線。只有在無線使用者端上快取其設定檔的帳號才能登入網域。電腦需要插入有線網路,或設定為沒有802.1x保全性的無線連線。

  • 如果在加入域時與CA的自動註冊失敗,請檢查事件檢視器以瞭解可能的原因。嘗試檢查筆記型電腦上的DNS設定。

  • 如果ACS的證書被客戶端拒絕(這取決於證書的有效「起始」和「終止」日期、客戶端的日期和時間設定以及CA信任),則客戶端將拒絕該證書,並且身份驗證將失敗。ACS將在Web介面中的Reports and Activity > Failed Attempts > Failed Attempts XXX.csv下記錄失敗的身份驗證,其中含有與「EAP-TLS or PEAP authentication failed during SSL handshake.」類似的身份驗證失敗代碼。 CSAuth.log檔案中預期的錯誤消息類似於以下內容。

    AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
other side probably didn't accept our certificate

  • 在ACS Web介面上日誌中的Reports and Activity > Passed Authentications > Passed Authentications XXX.csvReports and Activity > Failed Attempts > Failed Attempts XXX.csv下都以<DOMAIN>\<user-id>格式顯示PEAP身份驗證。EAP-TLS身份驗證以<user-id>@<domain>格式顯示。

  • 要使用PEAP快速重新連線,必須在ACS伺服器和客戶端上啟用此功能。

  • 如果已啟用「變更PEAP密碼」,則僅當帳號的密碼已過期,或在下次登入時將帳號標籤為已變更密碼時,才可以變更密碼。

  • 您可以按照以下步驟驗證ACS伺服器的證書和信任。

    1. 使用具有管理員許可權的帳戶登入到ACS伺服器上的Windows。打開Microsoft管理控制檯,方法是:轉至「開始」>「運行」,鍵入mmc,然後按一下確定

    2. 在選單欄上,轉至「控制檯」>「增加/刪除管理單元」,然後按一下增加

    3. 選擇證書並按一下增加

    4. 選擇電腦帳戶,按一下下一步,然後選擇本地電腦(運行此控制檯的電腦)

    5. 依次按一下「完成」「關閉」「確定」

    6. 要驗證ACS伺服器是否具有有效的伺服器端證書,請轉至Console Root > Certificates (Local Computer) > ACSCertStore > Certificates。驗證ACS伺服器(在本示例中命名為OurACS)是否具有證書。打開證書並驗證以下專案。

      • 沒有警告說明未驗證證書的所有預期目的。

      • 沒有關於憑證不受信任的警告。

      • 此證書用於-確保遠端電腦的身份。

      • 證書尚未過期且已生效(請檢查有效的「起始」和「終止」日期)。

      • 「您有與此證書對應的私鑰。」

    7. 在Details頁籤上,驗證Version欄位的值V3,以及Enhanced Key Usage欄位是否具有Server Authentication (1.3.6.1.5.5.7.3.1)。

    8. 要驗證ACS伺服器是否信任CA伺服器,請轉到Console Root > Certificates (Local Computer) > Trusted Root Certification Authorities > Certificates。驗證CA伺服器(在本範例中命名為Our TAC CA)是否有憑證。打開證書並驗證以下專案。

      • 沒有警告說明未驗證證書的所有預期目的。

      • 沒有關於憑證不受信任的警告。

      • 證書的目標用途正確。

      • 證書尚未過期且已生效(請檢查有效的「起始」和「終止」日期)。

      如果ACS和客戶端未使用相同的根CA,則驗證是否已安裝整個CA伺服器證書鏈。如果憑證是從子憑證授權單位取得,也會發生同樣的情況。

  • 您可以按照以下步驟驗證客戶的信任。

    1. 使用客戶端的帳戶登入到無線客戶端上的Windows。打開Microsoft管理控制檯,方法是:轉至「開始」>「運行」,鍵入mmc,然後按一下確定

    2. 在選單欄上,轉至「控制檯」>「增加/刪除管理單元」,然後按一下增加

    3. 選擇證書並按一下增加

    4. 按一下Close,然後按一下OK

    5. 要確認客戶端的配置檔案信任CA伺服器,請轉到Console Root > Certificates - Current User > Trusted Root Certification Authorities > Certificates。驗證CA伺服器(在本範例中命名為Our TAC CA)是否有憑證。打開證書並驗證以下專案。

      • 沒有警告說明未驗證證書的所有預期目的。

      • 沒有關於憑證不受信任的警告。

      • 證書的目標用途正確。

      • 證書尚未過期且已生效(請檢查有效的「起始」和「終止」日期)。

      如果ACS和客戶端未使用相同的根CA,則驗證是否已安裝整個CA伺服器證書鏈。如果憑證是從子憑證授權單位取得,也會發生同樣的情況。

  • 按照配置Cisco Secure ACS for Windows v3.2部分中的說明驗證ACS設定。

  • 按照配置Cisco存取點部分中的說明驗證AP設定。

  • 按照配置無線客戶端部分中的說明驗證無線客戶端設定。

  • 驗證使用者帳戶存在於AAA伺服器的內部資料庫或其中一個配置的外部資料庫中。請確定該帳戶尚未停用。

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
18-Jun-2003
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您