Autenticação EAP com Servidor RADIUS



Documentos relacionados
Autenticação de EAP com servidor RADIUS

Matriz de Compatibilidade de Segurança da Camada 2 e Camada 3 do Controller de LAN Wireless

O domínio Wireless presta serviços de manutenção ao AP como um exemplo da configuração do servidor AAA

Exemplo de Configuração de Wi-Fi Protected Access 2 (WPA 2)

Exemplo de Configuração de BGP com Dois Provedores de Serviço Diferentes (Hospedagem Múltipla)

Redistribua redes conectadas no OSPF com palavras-chave de subrede

Exemplo de configuração do link de ponto a ponto dos bridges Wireless

Pontos de acesso Aironet autônomos e SSID múltiplos no exemplo da configuração do IOS da Cisco

Configurando replicação no Cisco Secure ACS para Windows

Automatizando o mapeamento de unidade da parte DESKTOP_CFG no Cisco Agent Desktop para o IPCC expresso

Exemplo de Configuração de Wi-Fi Protected Access 2 (WPA 2)

Exemplo de Configuração Básica de Conexão de LAN sem Fio

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

Conexão de BRI com PRI usando dados sobre voz

Gateway de voz SPA8800 adicionado a um exemplo de configuração da solução da edição 3000 do negócio de Cisco

Exemplo de configuração para remoção de números AS privados em BGP

Exemplo de Configuração de Ponto de Acesso como Ponte de Grupo de Trabalho

Senhas Telnet, Console e de Portas AUX no Exemplo de Configuração de Roteadores da Cisco

Autenticação de servidor Radius de usuários do Gerenciamento no exemplo de configuração do controlador do Wireless LAN (WLC)

Configurar o Access point de pouco peso como um suplicante do 802.1x

Pesquise defeitos o erro incapaz de conectar ao server da Voz em um servidor de unidade

Este documento fornece um exemplo de configuração para restringir o acesso por usuário a uma WLAN com base no Service Set Identifier (SSID).

Cisco IOS Router: Local, TACACS+ e autenticação RADIUS do exemplo de configuração da conexão de HTTP

Restaure os 500 Series Switch expressos do catalizador às configurações padrão de fábrica

Edições da característica do CallerID do CallManager

Exemplo de configuração do cabo do console ASR5000

Cisco recomenda que você tem o conhecimento do CUCM e dos pontos de acesso da Cisco.

Configurando IPSec Router para Router com Sobrecarga NAT e Cisco Secure VPN Client

Access point como um exemplo de configuração do bridge de grupo de trabalho

Atualizações de Software Guia do Usuário

Configurando o Network Address Translation: Introdução

Configurando o Cisco Secure ACS for Windows v3.2 com autenticação da máquina PEAP-MS-CHAPv2

Gerenciamento de dispositivos móveis

Configurando a autenticação radius por meio de Cisco cache engine

Procedimentos para configuração do DWL-2100AP em modo Access Point

Cisco IPS seguros - Alarmes de falso positivo

Para ser usado com aplicativos ativados para scanner/leitor de Código QR

Exemplo de Configuração de Conexão de LAN Wireless Básica

Qualificação de placas Ethernet para monitoração do Cisco Agent Desktop

Manual de configuração móvel do IPv6 do proxy do Cisco Wireless

Roteador Cisco como um servidor de VPN remoto usando o exemplo da configuração de SDM

Configurar o apoio do vlan múltiplo do bridge de grupo de trabalho (WGB)

Atualização de Software Guia do Usuário

Configuração do IPv6 da amostra para o BGP com os dois provedores de serviços diferentes (hospedagem múltipla)

Configuração do Wireless Domain Services

Configurando IPSec entre três roteadores usando endereços privados

Servidores de impressão HP Jetdirect

Figura 1 - Acesso às propriedades da placa de rede sem fios

Autenticação do web externa usando um servidor Radius

ASDM 6.4: Túnel do VPN de Site-para-Site com exemplo de configuração IKEv2

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

A integração da versão de ACS 5.4 com Motorola voa (AP) o exemplo de configuração 5.X

Use o NAT para esconder o endereço IP real do ONS15454 para estabelecer uma sessão CTC

Scripts de Windows GPO e Interoperabilidade de Cisco NAC

Como configurar o Cisco VPN 3000 Concentrator para apoiar a autenticação TACACS+ para contas de gerenciamento

Configurar para fixar um Switchport de Flexconnect AP com dot1x

Como Atribuir Níveis de Privilégios com TACACS+ e RADIUS

Transcrição:

Autenticação EAP com Servidor RADIUS Consulte Páginas de Suporte do Downloads Sem Fio para obter os drivers Cisco Aironet, firmware e software utilitário. Índice Introdução Pré-requisitos Requisitos Componentes Usados Convenções Configurar EAP de Rede ou Autenticação Aberta com EAP Definir o Servidor de Autenticação Definir Métodos de Autenticação de Cliente Verificação Solução de Problemas Procedimento de Solução de Problemas Comandos de Solução de Problemas Informações Relacionadas Introdução Este documento fornece uma configuração de exemplo de um ponto de acesso baseado em Cisco IOS para autenticação EAP (Extensible Authentication Protocol) de usuários sem fio em relação a um banco de dados acessado por um servidor RADIUS. Devido à função passiva que o ponto de acesso possui no EAP (cria uma ponte de pacotes sem fio do cliente para pacotes com fio do servidor de autenticação e vice-versa), esta configuração é utilizada com praticamente todos os métodos EAP. Esses métodos incluem (mas não se limitam a) LEAP, Protected EAP (PEAP)-MS-Challenge Handshake Authentication Protocol (CHAP) versão 2, PEAP-Generic Token Card (GTC), EAP- Flexible Authentication via Secure Tunneling (FAST), EAP-Transport Layer Security (TLS) e EAP-Tunneled TLS (TTLS). Você deve configurar adequadamente o servidor de autenticação para cada um desses métodos EAP. Este documento explica apenas como configurar o ponto de acesso. Pré-requisitos Requisitos Verifique se estes requisitos são atendidos antes de tentar esta configuração: Você está familiarizado com a GUI Cisco IOS ou CLI. Você possui familiaridade com os conceitos por trás de uma autenticação de EAP. Componentes Usados As informações neste documento são baseadas nestas versões de hardware e software: Produtos de ponto de acesso (AP) Cisco Aironet executando Cisco IOS. Hipótese de haver apenas um LAN virtual VLAN na rede. Um produto de servidor de autenticação RADIUS que se integre em uma banco de dados de usuário com êxito. Esses são os servidores de autenticação suportados para Cisco LEAP e EAP-FAST:

Cisco Secure Access Control Server (ACS) Cisco Access Registrar (CAR) Funk Steel Belted RADIUS Interlink Merit Esses são os servidores de autenticação suportados para Microsoft PEAP-MS-CHAP versão 2 e PEAP-GTC: Microsoft Internet Access Service (IAS) Cisco Secure ACS Funk Steel Belted RADIUS Interlink Merit Qualquer servidor de autenticação adicional Microsoft por efetuar autorizações. Observação: Senhas de uma vez ou GTC exigem serviços adicionar que precisam de software adicional no cliente e no servidor, assim como geradores de tokens de hardware ou software. Consulte o fabricante do suplicante do cliente para obter detalhes sobre os servidores de autenticação com suporte aos produtos para EAP-TLS, EAP-TTLS e outros métodos EAP. As informações apresentadas neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento foram iniciados com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos. Convenções Para obter mais informações sobre convenções de documentos, consulte Convenções e Dicas Técnicas da Cisco. Configurar Esta configuração descreve como configurar a autenticação EAP em um ponto de acesso baseado em IOS. Observação: Use a Ferramenta de Consulta de Comando (clientes registrados somente) para obter informações adicionais sobre os comandos utilizados nesta seção. Como ocorre com a maior parte dos algoritmos baseados em senha, o Cisco LEAP está vulnerável a ataques de dicionário. Esse não é um novo tipo de ataque ou uma nova vulnerabilidade do Cisco LEAP. A criação de uma diretriz de senha forte é a maneira mais eficaz de reduzir os ataques de dicionários Isso inclui o uso de senhas fortes e o vencimento periódico de senhas. Consulte Ataque de Dicionário em Cisco LEAP para obter mais informações sobre ataques de dicionário e sobre como evitá-los. EAP de Rede ou Autenticação Aberta com EAP Em qualquer método de autenticação baseado em EAP/802.1x, você pode questionar quais são as diferenças entre EAP de Rede e Autenticação Aberta com EAP. Estes itens se referem a valores no campo de algoritmo de autenticação nos cabeçalhos de pacotes de associação e gerenciamento. A maior parte dos fabricantes de clientes sem fio definem estes campos como o valor 0 (autenticação aberta) e então sinalizam um desejo de efetuar a autenticação EAP posteriormente no processo de autenticação. A Cisco define o valor de forma diferente, do início da associação com o indicador de EAP de Rede. Se a sua rede tiver clientes que sejam: Clientes Cisco Usar EAP de Rede. Clientes terceirizados (incluindo os produtos em conformidade com CCX) Usar Aberta com EAP Uma combinação de clientes Cisco e de terceiros Escolher EAP de Rede e Aberta com EAP. Definir o Servidor de Autenticação A primeira etapa da configuração do EAP é definir o servidor de autenticação e estabelecer um relacionamento com ele.

1. Na guia Server Manager do ponto de acesso (no item de menu Security > Server Manager), siga estas etapas: a. b. c. d. e. Insira o endereço IP do servidor de autenticação no campo Server. Especifique o Shared Secret e as portas. Clique em Apply para criar a definição e preencher as listas suspensas. Defina o campo EAP Authentication type Priority 1 para o endereço IP do servidor em Default Server Priorities. Clique em Apply. Você também pode emitir estes comandos a partir do CLI: AP#configure terminal Enter configuration commands, one per line. End with CNTL/Z. AP(config)#aaa group server radius rad_eap AP(config-sg-radius)#server 10.0.0.3 auth-port 1645 acct-port 1646 AP(config-sg-radius)#exit AP(config)#aaa new-model AP(config)#aaa authentication login eap_methods group rad_eap AP(config)#radius-server host 10.0.0.3 auth-port 1645 acct-port 1646 key labap1200ip102

AP(config)#end AP#write memory 2. O ponto de acesso deve estar configurado no servidor de autenticação como um cliente AAA. Por exemplo, no Cisco Secure ACS, isto ocorre na página Network Configuration em que o nome do ponto de acesso, endereço IP, segredo compartilhado e método de autenticação (RADIUS Cisco Aironet ou RADIUS Cisco IOS/PIX) são definidos. Consulte a documentação do fabricante para obter outros servidores de autenticação não-acs. Certifique-se de que o servidor de autenticação esteja configurado para executar o método de autenticação EAP desejado. Por exemplo, para um Cisco Secure ACS que execute LEAP, configure a autenticação LEAP na página System Configuration - Global Authentication Setup. Clique em System Configuration e então em Global Authentication Setup. Consulte a documentação do fabricante para obter outros servidores de autenticação não-acs ou métodos de EAP. Esta imagem mostra o Cisco Secure ACS configurado para PEAP, EAP-FAST, EAP-TLS, LEAP e EAP-MD5.

Definir Métodos de Autenticação de Cliente Depois que o ponto de acesso souber onde enviar as solicitações de autenticação do cliente, configure-o para aceitar estes métodos. Observação: Essas instruções são para uma instalação baseada em WEP. Para WPA (que usa cifras em vez de WEP), consulte Visão Geral da Configuração de WPA. 1. Na guia Encryption Manager do ponto de acesso (sob o item de menu Security > Encryption Manager), conclua estas etapas: a. b. c. d. Especifique que você deseja usar a codificação WEP. Especifique que WEP é Mandatory (Obrigatório). Verifique se o tamanho da chave está definido como 128-bits. Clique em Apply.

Você também pode emitir estes comandos a partir do CLI: AP#configure terminal Enter configuration commands, one per line. End with CNTL/Z. AP(config)#interface dot11radio 0 AP(config-if)#encryption mode wep mandatory AP(config-if)#end AP#write memory 2. Conclua estas etapas na guia SSID Manager do ponto de acesso (sob o item de menu Security > SSID Manager): a. b. Selecione o SSID desejado. Em "Authentication Methods Accepted," marque a caixa de verificação denominada Open e utilize as listas suspensas para escolher With EAP. c. Marque a caixa denominada Network-EAP se você tiver placas de cliente Cisco. Consulte a análise na seção EAP de Rede ou Autenticação Aberta com EAP. d. Clique em Apply.

Você também pode emitir estes comandos a partir do CLI: AP#configure terminal Enter configuration commands, one per line. End with CNTL/Z. AP(config)#interface dot11radio 0 AP(config-if)#ssid ssid labap1200 AP(config-if-ssid)#authentication open eap eap_methods AP(config-if-ssid)#authentication network-eap eap_methods AP(config-if-ssid)#end AP#write memory Depois de confirmar a funcionalidade básica com uma configuração básica de EAP, você pode adicionar outros recursos e o gerenciamento de chaves posteriormente. Coloque funções mais complexas sobre funções fundamentais para facilitar a solução de problemas. Verificação Esta seção fornece informações que você pode usar para confirmar se a configuração está funcionando corretamente. Alguns comandos show recebem suporte da Ferramenta Output Interpreter (clientes registrados somente), o que permite visualizar uma análise da saída do comandoshow.

show radius server-group all Esse comando exibe uma lista de todos os grupos de servidores RADIUS configurados no AP. Solução de Problemas Procedimento de Solução de Problemas Conclua estas etapas para solucionar problemas de configuração. 1. 2. No utilitário ou no software do cliente, crie um novo perfil ou conexão com os mesmos parâmetros ou parâmetros semelhantes para garantir que nada seja corrompido na configuração do cliente. Para eliminar a possibilidade de problemas de RF que evitam a autenticação bem-sucedida, desabilite temporariamente a autenticação conforme mostrado a seguir: A partir do CLI, utilize os comandos no authentication open eap eap_methods, no authentication network-eap eap_methods e authentication open. A partir da GUI, na página SSID Manager, desmarque Network-EAP, marque Open e defina a lista suspensa de volta para No Addition. Se o cliente se associar com êxito, o RF não está contribuindo para o problema de associação. 3. Verifique se as senhas secretas compartilhadas estão sincronizadas entre o ponto de acesso e o servidor de autenticação. A partir do CLI, marque a linha radius-server host x.x.x.x auth-port x acct-port x key <segredo_compartilhado>. A partir da GUI, na página Server Manager, insira novamente o segredo compartilhado do servidor adequado na caixa denominada "Shared Secret." A entrada de segredo compartilhado para o ponto de acesso no servidor RADIUS deve conter a mesma senha de segredo compartilhado dos mencionados anteriormente. 4. Remova todos os grupos de usuário do servidor RADIUS. Às vezes, pode haver conflitos entre grupos de usuários definidos pelo servidor RADIUS e os grupos de usuários no domínio subjacente. Verifique os logs do servidor RADIUS de tentativas frustradas e dos motivos das falhas das tentativas. Comandos de Solução de Problemas Alguns comandos show recebem suporte da Ferramenta Output Interpreter (clientes registrados somente), o que permite visualizar uma análise da saída do comandoshow. Autenticações de Depuração fornece uma quantidade significativa de detalhes sobre como obter e interpretar a saída das depurações relacionadas a EAP. Observação: Antes de emitir comandos debug, consulte Informações Importantes sobre Comandos de Depuração. debug dot11 aaa authenticator state-machine Exibe as principais divisões (ou status) da negociação entre o cliente e o servidor de autenticação. Observação: No Cisco IOS Software versões anteriores a 12.2(15)JA, a sintaxe deste comando debug é debug dot11 aaa dot1x statemachine. debug dot11 aaa authenticator process Exibe as entradas de diálogos individuais da negociação entre o cliente e o servidor de autenticação. Observação: No Cisco IOS Software versões anteriores a 12.2(15)JA, a sintaxe deste comando de depuração é debug dot11 aaa dot1x process. debug radius authentication Mostra as negociações RADIUS entre o servidor e o cliente, que, neste caso, são conectadas pelo AP. debug aaa authentication Exibe as negociações AAA de autenticação entre o dispositivo do cliente e o servidor de autenticação. Informações Relacionadas

Autenticações de Depuração Configurando os Tipos de Autenticação Configurando Servidores RADIUS e TACACS+ Cisco Secure ACS para PEAP-MS-CHAPv2 Cisco Secure ACS para EAP-TLS Configurando PEAP/EAP no Microsoft IAS Solucionando Problemas no Microsoft IAS como um servidor RADIUS Cliente de Autenticação Microsoft 802.1X Suporte Técnico e Documentação - Cisco Systems 1992-2014 Cisco Systems Inc. Todos os direitos reservados. Data da Geração do PDF: 2 Abril 2008 http://www.cisco.com/cisco/web/support/br/8/86/86210_leapserver.html

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback