Exemplo de Configuração de Autenticação EAP com Controladoras de WLAN (WLC) Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções Configuração Diagrama de Rede Configuração da WLC para a Operação Básica e Registro dos APs Lightweight na Controladora Configuração da WLC para Autenticação RADIUS via Servidor RADIUS Externo Configuração dos Parâmetros de WLAN Configuração do Cisco Secure ACS como o Servidor RADIUS Externo e Criação de um Banco de Dados de Usuários para a Autenticação de Clientes Verificação Troubleshooting Dicas de Troubleshooting Extração do Arquivo de Pacote do Servidor RADIUS ACS para Troubleshooting Introdução Este documento explica como configurar a controladora de LAN sem fio (WLC) para a autenticação Extensible Authentication Protocol (EAP) com o uso de um servidor RADIUS externo. Este exemplo de configuração usa o Cisco Secure Access Control Server (ACS) como o servidor RADIUS externo para validação das credenciais do usuário. Pré-requisitos Requisitos Certifique-se de atender a estes requisitos antes de tentar esta configuração: Conhecimento básico da configuração de pontos de acesso (APs) lightweight e Cisco WLCs. Conhecimento básico do Lightweight AP Protocol (LWAPP) Consulte Compreendendo o Lightweight Access Point Protocol (LWAPP) para obter mais informações. Conhecimento de como configurar um servidor RADIUS externo, como o Cisco Secure ACS Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware: Cisco Aironet 1000 Series Lightweight AP Cisco 2000 Series WLC com firmware 3.2.78.0 Cisco Secure ACS versão 3.2 Cisco Aironet 802.11 a/b/g Client Adapter Cisco Aironet Desktop Utility (ADU) com firmware 2.5 As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando. Convenções Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos. Configuração Nesta seção, você encontrará informações para configurar os recursos descritos neste documento. Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados neste documento. Execute estes passos para configurar os dispositivos para a autenticação EAP: Configuração da WLC para a Operação Básica e Registro dos APs Lightweight na Controladora. Configuração da WLC para Autenticação RADIUS via Servidor RADIUS Externo. Configuração dos Parâmetros de WLAN. Configuração do Cisco Secure ACS como o Servidor RADIUS Externo e Criação de um Banco de Dados de Usuários para a Autenticação de Clientes. Diagrama de Rede Nesta configuração, uma Cisco 2006 WLC e um AP lightweight estão conectados por meio de um
hub. Um servidor RADIUS externo (Cisco Secure ACS) também está conectado ao mesmo hub. Todos os dispositivos estão na mesma sub-rede. O AP é inicialmente registrado na controladora. Você deve configurar a WLC e o AP para a autenticação Lightweight Extensible Authentication Protocol (LEAP). Os clientes que se conectam ao AP usam a autenticação LEAP para se associarem ao AP. O Cisco Secure ACS é utilizado para executar a autenticação RADIUS. Configuração da WLC para a Operação Básica e Registro dos APs Lightweight na Controladora Utilize o assistente de configuração de inicialização na interface de linha de comando (CLI) para configurar a WLC para operação básica. Como alternativa, você pode usar a GUI para configurar a WLC. Este documento explica a configuração na WLC com o assistente de configuração de inicialização na CLI. Após a inicialização da WLC pela primeira vez, ela é iniciada diretamente no assistente de configuração de inicialização. Utilize o assistente de configuração para definir as configurações básicas. Você pode executar o assistente através da CLI ou da GUI. Esta saída mostra um exemplo do assistente de configuração de inicialização na CLI: Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup System Name [Cisco_33:84:a0]: WLC-1 Enter Administrative User Name (24 characters max): admin Enter Administrative Password (24 characters max): ***** Management Interface IP Address: 172.16.1.30 Management Interface Netmask: 255.255.0.0 Management Interface Default Router: 172.16.1.75 Management Interface VLAN Identifier (0 = untagged): Management Interface Port Num [1 to 4]: 1 Management Interface DHCP Server IP Address: 172.16.1.1 AP Manager Interface IP Address: 172.16.1.31 AP-Manager is on Management subnet, using same values AP Manager Interface DHCP Server (172.16.1.1): Virtual Gateway IP Address: 1.1.1.1 Mobility/RF Group Name: Test Network Name (SSID): Cisco123 Allow Static IP Addresses [YES][no]: yes Configure a RADIUS Server now? [YES][no]: no
Warning! The default WLAN security policy requires a RADIUS server. Please see documentation for more details. Enter Country Code (enter 'help' for a list of countries) [US]: Enable 802.11b Network [YES][no]: yes Enable 802.11a Network [YES][no]: yes Enable 802.11g Network [YES][no]: yes Enable Auto-RF [YES][no]: yes Configuration saved! Resetting system with new configuration.. Esses parâmetros configuram a WLC para a operação básica. Nessa configuração de exemplo, a WLC usa 172.16.1.30 como o endereço IP da interface de gerenciamento e 172.16.1.31 como o endereço IP da interface do gerenciador do AP. Antes que qualquer recurso possa ser configurado nas WLCs, os APs lightweight precisam se registrar na WLC. Este documento assume que o AP lightweight já esteja registrado na WLC. Consulte a seção Registro de APs Lightweight nas WLCs de Exemplo de Configuração de Failover de Controladora de WLAN para Pontos de Acesso Lightweight para obter informações sobre o registro de APs lightweight em WLCs. Configuração da WLC para a Autenticação RADIUS via Servidor RADIUS Externo A WLC precisa ser configurada para encaminhar as credenciais do usuário para um servidor RADIUS externo. O servidor RADIUS externo valida então as credenciais do usuário e fornece acesso aos clientes de rede sem fio. Execute estes passos para configurar a WLC para um servidor RADIUS externo: Escolha Security e RADIUS Authentication na GUI da controladora para exibir a página RADIUS Authentication Servers. Em seguida, clique em New para definir um servidor RADIUS.
Defina os parâmetros do servidor RADIUS na página RADIUS Authentication Servers > New. Esses parâmetros incluem o endereço IP do servidor RADIUS, o segredo compartilhado, o número da porta e o status do servidor. As caixas de seleção Network User e Management determinam se a autenticação baseada em RADIUS se aplica aos usuários da rede e ao gerenciamento. Este exemplo utiliza o Cisco Secure ACS como o servidor RADIUS com o endereço IP 172.16.1.1:
Você também pode usar o recurso do servidor RADIUS local para autenticar os usuários. O servidor RADIUS local foi introduzido na versão 4.1.171.0 do código. As WLCs que executam versões anteriores não possuem o recurso de RADIUS local. O EAP local é um método de autenticação que permite aos usuários e clientes de rede sem fio serem autenticados localmente. Ele é projetado para uso em escritórios remotos que desejam manter a conectividade com os clientes de rede sem fio quando o sistema de backend sofre interrupções ou o servidor de autenticação externo é desativado. O EAP local recupera as credenciais do usuário do banco de dados de usuários locais ou do banco de dados LDAP de backend para autenticar os usuários. O EAP local oferece suporte à autenticação LEAP, EAP-FAST com PACs, EAP-FAST com certificados e EAP-TLS entre a controladora e os clientes de rede sem fio. Nota: O EAP local é projetado como um sistema de autenticação de backup. Se nenhum servidor RADIUS for configurado na controladora, ela tentará autenticar os clientes de rede sem fio com os servidores RADIUS primeiro. O EAP local é tentado somente caso nenhum servidor RADIUS seja localizado, seja porque o timeout dos servidores RADIUS expirou ou porque nenhum servidor RADIUS foi configurado. Nota: A RFC 3576 é compatível com o Cisco CNS Access Registrar (CAR) RADIUS Server, mas não com o Cisco Secure ACS Server versão 4.0 e anteriores. Configuração dos Parâmetros de WLAN Em seguida, configure a WLAN que os clientes utilizam para se conectar à rede sem fio. Ao configurar os parâmetros básicos da WLC, você também configurou o SSID para a WLAN. Você pode utilizar esse SSID para a WLAN ou criar um novo SSID.
Nota: Você pode configurar até dezesseis WLANs na controladora. A Cisco WLAN Solution pode controlar até dezesseis WLANs para APs lightweight. Cada WLAN possui um ID de WLAN separado (de 1 até 16), um SSID de WLAN separado (nome da WLAN) e pode receber políticas únicas de segurança. Os APs lightweight fazem broadcast de todos os SSIDs de WLAN da Cisco WLAN Solution e aplicam as políticas definidas para cada WLAN. Execute estes passos para configurar uma nova WLAN e seus parâmetros relacionados: Clique em WLANs na interface gráfica da controladora para exibir a página WLANs. Essa página lista as WLANs existentes na controladora. Selecione New para criar uma nova WLAN. Insira o ID da WLAN e o SSID da WLAN e clique em Apply. Uma vez criada uma nova WLAN, a página WLAN > Edit referente a essa WLAN será exibida. Nessa página, você poderá definir diversos parâmetros específicos dessa WLAN, incluindo políticas gerais, servidores RADIUS, políticas de segurança e parâmetros de 802.1x. Verifique Admin Status em General Policies para habilitar a WLAN. Se desejar que o AP faça o broadcast do SSID em seus frames de sinalização, marque a caixa de seleção Broadcast SSID. Escolha o servidor RADIUS apropriado no menu suspenso em RADIUS Servers. Os outros parâmetros podem ser modificados com base nas necessidades da rede WLAN. Clique em Apply. Nota: Quando você criar uma nova WLAN, o mecanismo de segurança padrão da Camada 2 será o 802.1x. Essa configuração força um cliente de rede sem fio a primeiro se autenticar com êxito por EAP antes de obter acesso à rede. Esta é a única definição que precisa ser configurada na controladora para a autenticação EAP. Todas as outras configurações precisam ser feitas no servidor RADIUS e nos clientes que precisam ser autenticados.
Configuração do Cisco Secure ACS como o Servidor RADIUS Externo e Criação de um Banco de Dados de Usuários para a Autenticação de Clientes Execute estes passos para criar o banco de dados de usuários e habilitar a autenticação EAP no Cisco Secure ACS: Selecione User Setup na GUI do ACS, insira o nome do usuário e clique em Add/Edit. Neste exemplo, o usuário é ABC.
Quando a página User Setup for exibida, defina todos os parâmetros específicos do usuário. Neste exemplo, o nome do usuário, a senha e as informações complementares do usuário são configuradas, pois você só precisa desses parâmetros para a autenticação EAP. Clique em Submit e repita o mesmo processo para adicionar mais usuários ao banco de dados. Por padrão, todos os usuários são agrupados no grupo padrão. Consulte a seção Gerenciamento de Grupos de Usuários de Guia do Usuário do Cisco Secure ACS for Windows Server 3.2 para obter mais informações caso você deseje atribuir usuários específicos a grupos diferentes.
Defina a controladora como um cliente AAA no servidor ACS. Clique em Network Configuration na interface gráfica do ACS. Quando a página Network Configuration for exibida, defina o nome da WLC, o endereço IP, o segredo compartilhado e o método de autenticação (RADIUS Cisco Aironet ou Radius Cisco IOS/PIX). Consulte a documentação do fabricante para obter informações sobre outros servidores de autenticação não ACS. Nota: A chave secreta compartilhada configurada na WLC deve coincidir com a do servidor ACS. O segredo compartilhado diferencia maiúsculas de minúsculas.
Clique em System Configuration e Global Authentication Setup para garantir que o servidor de autenticação seja configurado para executar o método de autenticação EAP desejado. Nas definições do EAP, escolha o método EAP apropriado. Este exemplo utiliza a autenticação LEAP. Clique em Submit quando terminar.
Verificação Use esta seção para verificar se a sua configuração funciona corretamente. Tente associar um cliente de rede sem fio ao AP lightweight com autenticação LEAP para verificar se a configuração funciona conforme o esperado. Nota: Este documento pressupõe que o perfil do cliente esteja configurado para autenticação LEAP. Consulte Utilizando a Autenticação EAP para obter mais informações sobre como configurar o 802.11 a/b/g Wireless Client Adapter para autenticação LEAP. Uma vez ativado o perfil do cliente wireless, o usuário será solicitado a fornecer o nome de usuário/senha para autenticação LEAP. Exemplo:
O AP lightweight e a WLC passam as credenciais do usuário para o servidor RADIUS externo (Cisco Secure ACS) a fim de validá-las. O servidor RADIUS compara os dados com o banco de dados de usuários e fornece acesso ao cliente de rede sem fio sempre que as credenciais do usuário forem válidas. O relatório Passed Authentications no servidor ACS mostra que o cliente teve êxito na autenticação RADIUS. Exemplo:
Após uma autenticação RADIUS com êxito, o cliente de rede sem fio se associa ao AP lightweight.
Troubleshooting Execute estes passos para fazer o troubleshooting das configurações: Use o comando debug lwapp events enable para verificar se o AP se registra na WLC. Esta saída mostra um exemplo de evento de registro com êxito: Thu Mar 30 17:54:37 2006: Received LWAPP DISCOVERY REQUEST from AP 00:0b:85:5b:fb:d0 to ff:ff:ff:ff:ff:ff on port '1' Thu Mar 30 17:54:37 2006: Successful transmission of LWAPP Discovery-Response to AP 00:0b:85:5b:fb:d0 on Port 1 Thu Mar 30 17:54:49 2006: Received LWAPP JOIN REQUEST from AP 00:0b:85:5b:fb:d0 to 00:0b:85:33:52:80 on port '1' Thu Mar 30 17:54:49 2006: LWAPP Join-Request MTU path from AP 00:0b:85:5b:fb:d0 is 1500, remote debug mode is 0 Thu Mar 30 17:54:49 2006: Successfully added NPU Entry for AP 00:0b:85:5b:fb:d0 (index 49) Switch IP: 172.16.1.51, Switch Port: 12223, intifnum 1, vlanid 0 AP IP: 172.16.1.42, AP Port: 49085, next hop MAC: 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:49 2006: Successfully transmission of LWAPP Join-Reply to AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:49 2006: Register LWAPP event for AP 00:0b:85:5b:fb:d0 slot 0 Thu Mar 30 17:54:49 2006: Register LWAPP event for AP 00:0b:85:5b:fb:d0 slot 1 Thu Mar 30 17:54:50 2006: Received LWAPP CONFIGURE REQUEST from AP 00:0b:85:5b:fb:d0 to 00:0b:85:33:52:80 Thu Mar 30 17:54:50 2006: Updating IP info for AP 00:0b:85:5b:fb:d0 -- static 1, 172.16.1.42/255.255.0.0, gtw 0.0.0.0 Thu Mar 30 17:54:50 2006: spamverifyregdomain RegDomain set for slot 0 code 0 regstring -A regdfromcb -A Thu Mar 30 17:54:50 2006: spamverifyregdomain RegDomain set for slot 1 code 0 regstring -A regdfromcb -A Thu Mar 30 17:54:50 2006: spamencodedomainsecretpayload:send domain secret TestCRET<da,c8,15,ab,44,ce,34,04,8d,91,45,e3,1b,a5,9f,1e,21,45,41,2c> to AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:50 2006: Successfully transmission of LWAPP Config-Message to AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:50 2006: Running spamencodecreatevappayload for SSID 'cisco123' Thu Mar 30 17:54:50 2006: Running spamencodecreatevappayload for SSID 'cisco123'
Thu Mar 30 17:54:50 2006: AP 00:0b:85:5b:fb:d0 associated. Last AP failure was due to Link Failure Thu Mar 30 17:54:50 2006: Received LWAPP CHANGE_STATE_EVENT from AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:50 2006: Successfully transmission of LWAPP Change-State-Event Response to AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:50 2006: Received LWAPP Up event for AP 00:0b:85:5b:fb:d0 slot0! Thu Mar 30 17:54:50 2006: Received LWAPP CONFIGURE COMMAND RES from AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:50 2006: Received LWAPP CHANGE_STATE_EVENT from AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:50 2006: Successfully transmission of LWAPP Change-State-Event Response to AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:50 2006: Received LWAPP Up event for AP 00:0b:85:5b:fb:d0 slot1! Thu Mar 30 17:54:50 2006: Received LWAPP CONFIGURE COMMAND RES from AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:50 2006: Received LWAPP CONFIGURE COMMAND RES from AP 00:0b:85:5b:fb:d0 Thu Mar 30 17:54:50 2006: Received LWAPP CONFIGURE COMMAND RES from AP 00:0b:85:5b:fb:d0 Verifique se o servidor RADIUS recebe e valida a solicitação de autenticação do cliente de rede sem fio. Verifique os relatórios Passed Authentications e Failed Attempts no servidor ACS para fazer isso. Esses relatórios estão disponíveis em Reports and Activities no servidor ACS. Aqui está um exemplo de quando a autenticação do servidor RADIUS falha:
Nota: Consulte Obtendo Informações de Versão de Depuração de AAA do Cisco Secure ACS for Windows para obter informações sobre como fazer o troubleshooting e obter informações de depuração no Cisco Secure ACS. Monitore os logs na WLC para verificar se o servidor RADIUS recebe as credenciais do usuário. Isso é muito importante, pois, em alguns casos, o servidor RADIUS jamais receberá as credenciais do usuário se a configuração do servidor RADIUS na WLC estiver incorreta. Essa é a forma que o log é exibido na WLC caso os parâmetros de RADIUS tenham sido configurados incorretamente: Você também pode usar estes comandos debug para fazer o troubleshooting da
autenticação AAA: debug aaa all enable Configura a depuração de todas as mensagens de AAA. debug dot1x packet enable Habilita a depuração de todos os pacotes de dot1x. Você pode utilizar uma combinação do comando show wlan summary para reconhecer qual das suas WLANs utiliza autenticação de servidor RADIUS. Em seguida, você poderá exibir a saída do comando show client summary para ver quais endereços MAC (clientes) são autenticados com êxito nas WLANs RADIUS.. Também é possível correlacionar essas informações aos logs de tentativas anteriores ou com falha do Cisco Secure ACS. Dicas de Troubleshooting Verifique na controladora se o servidor RADIUS está no estado active, e não em standby ou disabled. Verifique se o servidor RADIUS está selecionado no menu suspenso da WLAN (SSID). Se você utiliza WPA, será necessário instalar o hotfix do Microsft WPA mais recente para o Windows XP SP2. Além disso, você também deve atualizar o driver do cliente solicitante para a versão mais recente. A mensagem de erro [SECURITY] 1x_ptsm.c 391: MAX EAPOL-Key M3 retransmissions reached significa que a placa não respondeu à solicitação de sua identidade. Você pode estender os temporizadores de EAP nas controladoras para aguardar as informações 802.1x se você usa estes comandos na linha de comando da WLC: config advanced eap identity-request-timeout 120 config advanced eap identity-request-retries 20 config advanced eap request-timeout 120 config advanced eap request-retries 20 save config Se você utiliza Windows Zero Config/cliente solicitante, desabilite Enable Fast Reconnect. Você poderá fazer isso ao selecionar Wireless Network Connection Properties > Wireless Networks > Preferred networks. Em seguida, selecione SSID > Properties > Open > WEP > Authentication > EAP type > PEAP > Properties > Enable Fast Reconnect. Você poderá então localizar a opção para habilitar ou desabilitar no final da janela. Se você fizer PEAP, por exemplo, em certificados com XP SP2 onde as placas são gerenciadas pelo utilitário Microsoft Wireless-0, você precisará obter o patch KB885453 da Microsoft. Se você possuir placas Intel 2200 ou 2915, consulte as instruções no site da Web da Intel a
respeito dos problemas conhecidos com suas placas. Intel PRO/Wireless 2200BG Network Connection Intel PRO/Wireless 2200BG Network Connection Faça o download dos drivers mais atuais da Intel para evitar quaisquer problemas. Você pode baixar os drivers da Intel em http://downloadcenter.intel.com/ Se o recurso de failover agressivo estiver habilitado na WLC, a WLC se tornará muito agressiva ao marcar o servidor AAA como not responding. Isso não deve ser feito, pois o servidor AAA possivelmente não estará respondendo somente àquele cliente em particular se você estiver usando descarte silencioso. Isso pode ser uma resposta a outros clientes válidos com certificados válidos. Entretanto, a WLC ainda pode marcar o servidor AAA como not responding e not functional. Para evitar isso, desabilite o recurso de failover agressivo. Execute o comando config radius aggressive-failover disable na GUI da controladora para fazer isso. Se ele for desabilitado, a controladora efetuará o failover para o próximo servidor AAA somente se houver três clientes consecutivos falhando ao receber uma resposta do servidor RADIUS. Extração do Arquivo de Pacote do Servidor RADIUS ACS para Troubleshooting Se você usa o ACS como o servidor RADIUS externo, esta seção pode ser usada para fazer troubleshooting. O arquivo package.cab é um zip que contém todos os arquivos necessários fazer com eficiência o troubleshooting do ACS. Você pode usar o utilitário CSSupport.exe para criar o package.cab ou pode obter os arquivos manualmente. Consulte a seção Criação de um Arquivo package.cab de Obtendo as Informações de Depuração e de Versão do AAA para o Cisco Secure ACS for Windows para obter mais informações sobre como criar e extrair o arquivo de pacotes do sistema de controle wireless (WCS).