Exemplo de Autenticação EAP-FAST com Controladores de LAN Wireless e Servidores RADIUS Externos Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções Informações de Apoio PAC Modos de Provisionamento de PAC Diagrama e Configuração de Rede Configuração do WLC para a Autenticação EAP-FAST Configuração do WLC para a Autenticação RADIUS via Servidor RADIUS Externo Configuração da WLAN para a Autenticação EAP-FAST Configuração do Servidor RADIUS para a Autenticação EAP-FAST Criação de um Banco de Dados de Usuários para Autenticar os Clientes EAP-FAST Adição do WLC como Cliente AAA do Servidor RADIUS Configuração da Autenticação EAP-FAST no Servidor RADIUS com o Provisionamento de PAC In-Band Anônimo Configuração da Autenticação EAP-FAST no Servidor RADIUS com o Provisionamento de PAC In-Band Autenticado Configuração do Certificado do Servidor no ACS para o Provisionamento In-Band Autenticado Geração do Certificado Self-Signed no ACS Importação do Certificado Self-Signed para o Cliente Configuração do Cliente para a Autenticação EAP-FAST Configuração do Cliente para o Provisionamento In-Band Anônimo Configuração do Cliente para o Provisionamento In-Band Autenticado Verificação do Provisionamento In-Band Verificação Troubleshooting Dicas para Troubleshooting Extração do Arquivo de Pacote do Servidor RADIUS do ACS para Troubleshooting Introdução Este documento explica como configurar o controlador de LAN wireless (WLC) para a autenticação Extensible Authentication Protocol (EAP) - Flexible Authentication via Secure Tunneling (FAST) com o uso de um servidor RADIUS externo. Este exemplo de configuração usa o Cisco Secure Access Control Server (ACS) como o servidor RADIUS externo para autenticar o cliente wireless. Este documento explica como configurar o ACS para o provisionamento de Protected Access Credentials (PAC) In-Band (automático) anônimo e autenticado para os clientes wireless. Para saber como configurar o provisionamento de PAC manual/out-of-band, consulte Provisionamento Manual de PAC e Geração de Arquivo de PAC para o Provisionamento Manual para obter mais informações. Pré-requisitos Requisitos Certifique-se de atender aos seguintes requisitos antes de tentar esta configuração: Conhecimento básico da configuração de pontos de acesso leves (LAPs) e WLCs Cisco. Conhecimento básico do Lightweight Access Point Protocol (LWAPP). Consulte Compreendendo o Lightweight Access Point Protocol (LWAPP) para obter mais informações. Conhecimento de como configurar um servidor RADIUS externo, como o Cisco Secure ACS. Conhecimento funcional da estrutura geral do EAP. Conhecimento básico de protocolos de segurança, como MS-CHAPv2 e EAP-GTC, e conhecimento de certificados digitais.
Componentes Utilizados As informações neste documento são baseadas nestas versões de software e hardware: Cisco 2000 Series WLC com firmware 4.0.217.0 LAP Cisco Aironet 1000 Series Cisco Secure ACS versão 4.1 Cisco Aironet 802.11 a/b/g Client Adapter Cisco Aironet Desktop Utility (ADU) com firmware versão 3.6 As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando. Convenções Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos. Informações de Apoio O protocolo EAP-FAST é um novo tipo de EAP IEEE 802.1X acessível publicamente desenvolvido pela Cisco para oferecer suporte a clientes que não podem impor uma política de senhas fortes e desejam implantar um tipo de EAP 802.1X que não necessite de certificados digitais. O protocolo EAP-FAST é uma arquitetura de segurança cliente-servidor que criptografa as transações de EAP com um túnel Transport Level Security (TLS). O estabelecimento do túnel EAP-FAST baseia-se nos segredos fortes exclusivos dos usuários. Esses segredos fortes são chamados de PACs, as quais são geradas pelo ACS por meio de uma chave mestre conhecida somente por ele. O EAP-FAST ocorre em três fases: Fase zero (Fase de provisionamento de PAC automático) A fase zero do EAP-FAST, uma fase opcional, consiste em uma forma protegida por túnel de oferecer a um cliente de usuário final EAP-FAST uma PAC para o usuário que está solicitando acesso à rede. Oferecer uma PAC ao cliente de usuário final é o único objetivo da fase zero. Nota: A fase zero é opcional porque as PACs também podem ser provisionadas manualmente para os clientes. Consulte a seção Modos de Provisionamento de PAC deste documento para obter mais detalhes. Fase um Na fase um, o ACS e o cliente de usuário final estabelecem um túnel TLS com base na credencial PAC do usuário. Essa fase necessita que o cliente de usuário final tenha recebido uma PAC para o usuário que está tentando obter acesso à rede e que a PAC tenha sido criada por uma chave mestre que ainda não expirou. Nenhum serviço de rede é habilitado pela fase um do EAP-FAST. Fase dois Na fase dois, as credenciais de autenticação do usuário são passadas de forma segura por meio de um método EAP interno aceito pelo EAP-FAST no túnel TLS para o RADIUS criado usando-se a PAC entre o cliente e o servidor RADIUS. EAP-GTC, TLS e MS-CHAP são aceitos como métodos EAP internos. Não há suporte a outros tipos de EAP para o EAP-FAST. Consulte Como o EAP-FAST funciona para obter mais informações. PAC As PACs são segredos compartilhados fortes que permitem que o ACS e um cliente de usuário final EAP-FAST autentiquem um ao outro e estabeleçam o túnel TLS que é usado na fase dois do EAP-FAST. O ACS gera as PACs usando a chave mestre ativa e um nome de usuário. A PAC compreende: Chave da PAC Segredo compartilhado ligado a um cliente (e um dispositivo cliente) e à identidade do servidor. Opaco da PAC Campo opaco que o cliente coloca no cache e passa para o servidor. O servidor recupera a chave da PAC e a identidade do cliente para autenticar de forma mútua com o cliente. Informações da PAC No mínimo, inclui a identificação do servidor para permitir que o cliente coloque PACs diferentes no cache. Opcionalmente, outras informações, como a hora de expiração da PAC, são incluídas. Modos de Provisionamento de PAC Conforme mencionado anteriormente, a fase zero é opcional. O EAP-FAST oferece duas formas de provisionar um cliente com uma PAC: Provisionamento de PAC automático (Fase 0 do EAP-FAST, ou provisionamento de PAC In-Band) Provisionamento de PAC manual (Out-of-band) O Provisionamento de PAC In-band/automático envia um novo PAC para um cliente de usuário final via conexão de rede segura. O provisionamento de PAC automático não necessita de intervenção do usuário de rede ou de um administrador do ACS, desde que você tenha
configurado o ACS e o cliente de usuário final para oferecer suporte ao provisionamento automático. A versão mais recente do EAP-FAST oferece suporte a duas opções de configuração de provisionamento de PAC In-Band diferentes: Provisionamento de PAC In-Band anônimo Provisionamento de PAC In-Band autenticado Nota: Este documento discute estes métodos de provisionamento de PAC In-Band e como configurá-los. O Provisionamento de PAC Out-of-Band/manual necessita que um administrador do ACS gere arquivos de PAC, os quais poderão então ser distribuídos para os usuários de rede aplicáveis. Os usuários devem configurar os clientes de usuário final com seus arquivos de PAC. Diagrama e Configuração de Rede Nesta configuração, um WLC Cisco 2006 e um LAP estão conectados via hub. Um servidor RADIUS externo (Cisco Secure ACS) também está conectado ao mesmo hub. Todos os dispositivos estão na mesma sub-rede. O ponto de acesso (AP) é inicialmente registrado no controlador. Você deve configurar o WLC para a autenticação EAP-FAST. Os clientes que se conectam ao AP usam a autenticação EAP-FAST para se associarem ao AP. O Cisco Secure ACS é usado para executar a autenticação do RADIUS. Configuração do WLC para a Autenticação EAP-FAST Execute estes passos para configurar o WLC para a autenticação EAP-FAST: 1. 2. Configuração do WLC para a Autenticação RADIUS via Servidor RADIUS Externo Configuração da WLAN para a Autenticação EAP-FAST Configuração do WLC para a Autenticação RADIUS via Servidor RADIUS Externo O WLC precisa ser configurado para encaminhar as credenciais do usuário para um servidor RADIUS externo. O servidor RADIUS externo então valida as credenciais do usuário com o EAP-FAST e fornece acesso aos clientes wireless. Execute estes passos para configurar o WLC para um servidor RADIUS externo: 1. Escolha Security e RADIUS Authentication na GUI do controlador para exibir a página RADIUS Authentication Servers. Em seguida,
clique em New para definir um servidor RADIUS. 2. Defina os parâmetros do servidor RADIUS na página RADIUS Authentication Servers > New. Esses parâmetros incluem: Endereço IP do servidor RADIUS Segredo compartilhado Número da porta Status do servidor Este documento usa um servidor ACS com endereço IP igual a 10.77.244.196. 3. Clique em Apply. Configuração da WLAN para a Autenticação EAP-FAST Em seguida, configure a WLAN usada pelos clientes para se conectarem à rede wireless para a autenticação EAP-FAST e atribua-a a uma interface dinâmica. O nome de WLAN configurado neste exemplo é eap fast. Esse exemplo atribui esta WLAN à interface de gerenciamento. Execute estes passos para configurar a WLAN eap fast e seus parâmetros relacionados: 1. Clique em WLANs na interface gráfica do controlador para exibir a página WLANs. Essa página lista as WLANs existentes no controlador. 2. Clique em New para criar uma nova WLAN.
3. Configure o nome do SSID, o nome do perfil e a ID da WLAN eap fast na página WLANs > New. Em seguida, clique em Apply. 4. 5. 6. 7. Uma vez criada uma nova WLAN, a página WLAN > Edit referente a essa WLAN será exibida. Nessa página, é possível definir vários parâmetros específicos desta WLAN. Isso inclui políticas gerais, servidores RADIUS, políticas de segurança e parâmetros de 802.1x Marque a caixa de seleção Admin Status em General Policies para habilitar a WLAN. Se desejar que o AP faça o broadcast do SSID em seus quadros de sinalização, marque a caixa de seleção Broadcast SSID. Marque a caixa de seleção Allow AAA Override se desejar sobrescrever as configurações do WLC pelo servidor RADIUS. Escolha o servidor RADIUS apropriado no menu suspenso em RADIUS Servers. Em Security Policies, escolha 802.1x no menu suspenso Layer 2 Security. Você também pode usar qualquer outro método de autenticação (WPA/WPA2 com 802.1x) que envolva o servidor RADIUS na autenticação. Este exemplo usa o 802.1x com criptografia WEP dinâmica como segurança da Camada 2 para esta WLAN. Os outros parâmetros podem ser modificados com base nas necessidades da rede WLAN.
8. Clique em Apply. Nota: Esta é a única opção de EAP que precisa ser configurada no controlador para a autenticação EAP. Todas as outras configurações específicas do EAP-FAST devem ser feitas no servidor RADIUS e nos clientes que precisam ser autenticados. Configuração do Servidor RADIUS para a Autenticação EAP-FAST Execute estes passos para configurar o servidor RADIUS para a autenticação EAP-FAST: 1. 2. 3. 4. Criação de um Banco de Dados de Usuários para Autenticar os Clientes EAP-FAST Adição do WLC como Cliente AAA do Servidor RADIUS Configuração da Autenticação EAP-FAST no Servidor RADIUS com o Provisionamento de PAC In-Band Anônimo Configuração da Autenticação EAP-FAST no Servidor RADIUS com o Provisionamento de PAC In-Band Autenticado Criação de um Banco de Dados de Usuários para Autenticar os Clientes EAP-FAST Execute os passos a seguir para criar um banco de dados de usuário para os clientes EAP-FAST no ACS. Este exemplo configura o nome de usuário e a senha do cliente EAP-FAST como wireless e wireless, respectivamente. 1. Na interface gráfica do ACS na barra de navegação, selecione User Setup. Crie um novo usuário wireless e, em seguida, clique em Add/Edit para ir para a página de edição desse usuário.
2. Na página User Setup Edit, configure os valores de Real Name e Description, além da senha, conforme mostrado neste exemplo. Este documento usa a opção ACS Internal Database para a autenticação de senhas. 3. Escolha ACS Internal Database na caixa suspensa Password Authentication. 4. Configure todos os outros parâmetros obrigatórios e clique em Submit. Adição do WLC como Cliente AAA do Servidor RADIUS Execute estes passos para definir o controlador como um cliente AAA no servidor ACS: 1. Clique em Network Configuration na interface gráfica do ACS. Na seção Add AAA client da página Network Configuration, clique em Add Entry para adicionar o WLX como o cliente AAA ao servidor RADIUS.
2. Na página AAA Client, defina o nome do WLC, o endereço IP, o segredo compartilhado e o método de autenticação (RADIUS/Cisco Airespace). Consulte a documentação do fabricante para obter informações sobre outros servidores de autenticação não-acs. Nota: A chave secreta compartilhada configurada no WLC deve coincidir com a do servidor ACS. O segredo compartilhado diferencia maiúsculas de minúsculas. 3. Clique em Submit+Apply. Configuração da Autenticação EAP-FAST no Servidor RADIUS com o Provisionamento de PAC In-Band Anônimo Provisionamento de PAC In-Band anônimo Este é um dos dois métodos de provisionamento In-Band com os quais o ACS estabelece uma conexão segura com o cliente de usuário final com o objetivo de provisionar o cliente com uma nova PAC. Essa opção possibilita um handshake TLS anônimo entre o cliente de usuário final e o ACS. Esse método opera em um túnel Authenticated Diffie-HellmanKey Agreement Protocol (ADHP) antes que o peer seja autenticado no servidor ACS.
Em seguida, o ACS exige a autenticação EAP-MS-CHAPv2 do usuário. Mediante uma autenticação bem-sucedida do usuário, o ACS estabelece um túnel Diffie-Hellman com o cliente de usuário final. O ACS gera uma PAC para o usuário e a envia para o cliente de usuário final neste túnel, juntamente com informações sobre esse ACS. Este método de provisionamento usa EAP-MSCHAPv2 como o método de autenticação na fase zero e EAP-GTC na fase dois. Como um servidor não autenticado é provisionado, não é possível usar senhas de texto simples. Assim, somente as credenciais MS-CHAP podem ser usadas no túnel. O MS-CHAPv2 é usado para provar a identidade do peer e recebe uma PAC para sessões de autenticação adicionais (o EAP- MS-CHAP será usado somente como um método interno). Execute estes passos para configurar a autenticação EAP-FAST no servidor RADIUS para o provisionamento In-Band anônimo: 1. Clique em System Configuration na interface gráfica do servidor RADIUS. Na página System Configuration, escolha Global Authentication Setup. 2. Na página Global Authentication, clique em EAP-FAST Configuration para ir para a página de configurações do EAP-FAST. 3. 4. Na página EAP-FAST Settings, marque a caixa de seleção Allow EAP-FAST para habilitar o EAP-FAST no servidor RADIUS. Configure os valores de Active/Retired master key TTL (Time-to-Live) conforme o desejado ou defina-os para os valores padrão conforme mostrado neste exemplo. Consulte Chaves Mestres para obter informações sobre chaves mestres ativas e fora de uso. Consulte também TTLs de Chaves Mestres e PAC para obter mais informações.
O campo Authority ID Info representa a identidade textual deste servidor ACS, a qual pode ser usada por um usuário final para determinar em qual servidor ACS a autenticação será feita. O preenchimento desse campo é obrigatório. O campo Client initial display message especifica uma mensagem que será enviada para os usuários que autenticam em um cliente EAP- FAST. O tamanho máximo é 40 caracteres. Um usuário verá a mensagem inicial somente se o cliente de usuário final oferecer suporte à exibição. 5. Se desejar que o ACS execute o provisionamento de PAC In-Band anônimo, marque a caixa de seleção Allow anonymous in-band PAC provisioning. Allowed inner methods Esta opção determina quais métodos de EAP internos podem ser executados no túnel TLS EAP-FAST. Para o provisionamento In-Band anônimo, você deverá habilitar o EAP-GTC e o EAP-MS-CHAP por questões de compatibilidade com versões anteriores. Se selecionar Allow anonymous in-band PAC provisioning, você deverá selecionar EAP-MS-CHAP (fase zero) e EAP-GTC (fase dois). 6. Clique em Submit+Restart. Esta captura de tela mostra os passos desta seção: Configuração da Autenticação EAP-FAST no Servidor RADIUS com o Provisionamento de PAC In-Band Autenticado Provisionamento de PAC In-Band autenticado O EAP-FAST foi aprimorado para oferecer suporte a um túnel autenticado (usando o certificado do servidor), que é onde o provisionamento de PAC ocorre. Este modo provisiona um cliente de usuário final com uma PAC ao usar a fase zero do EAP-FAST com a autenticação no lado do servidor. Esta opção necessita que você instale um certificado de servidor e uma CA raiz confiável no ACS. Os novos conjuntos de criptografadores, os quais são aperfeiçoamentos do EAP FAST, e, especificamente, o certificado do servidor são usados. Como o servidor é autenticado como parte da implementação do túnel, métodos de EAP mais fracos como o EAP-GTC podem ser usados no túnel para proporcionar a autenticação dos solicitantes. Por padrão, o ACS oferece suporte à autenticação no lado do servidor TLS. No entanto, se o cliente enviar o certificado do usuário para o ACS, a autenticação mútua de TLS será executada e os métodos internos serão ignorados. 1. 2. Repita os passos de 1 a 4 da configuração do Provisionamento In-Band anônimo para configurar as demais opções de EAP-FAST no servidor RADIUS. Se desejar que o ACS execute o provisionamento de PAC In-Band autenticado, marque a caixa de seleção Allow authenticated in-band PAC provisioning. a. Accept client on authenticated provisioning Esta opção está disponível somente quando a opção de permitir o provisionamento de PAC In-Band autenticado está selecionada. O servidor sempre envia um Access-Reject no final da fase de provisionamento, o que força o cliente a autenticar novamente usando o PAC do túnel. Essa opção permite que o ACS envie um Access-Accept para o
cliente no final da fase de provisionamento. b. Desmarque a caixa de seleção Allow Stateless session resume option se não desejar que o ACS provisione PACs de autorização para clientes EAP-FAST e para sempre executar a fase dois do EAP-FAST. c. Allowed inner methods Se você selecionar Allow authenticated in-band PAC provisioning, o método interno na fase de autenticação será negóciavel (EAP-GTC é usado por padrão na fase zero). Selecione um ou mais destes métodos internos: EAP-GTC Para habilitar o EAP-GTC na autenticação EAP-FAST, marque esta caixa de seleção. EAP-MS-CHAPv2 Para habilitar o EAP-MS-CHAPv2 na autenticação EAP-FAST, marque esta caixa de seleção. EAP-TLS Para habilitar o EAP-TLS na autenticação EAP-FAST, marque esta caixa de seleção. Nota: O ACS sempre executa o primeiro método de EAP habilitado. Por exemplo, se você selecionar EAP-GTC e EAP-MS- CHAPv2, o primeiro método de EAP habilitado será o EAP-GTC. Todas estas configurações específicas do provisionamento de PAC In-Band autenticado são mencionadas neste exemplo: 3. Clique em Submit+Restart. Configuração do Certificado do Servidor no ACS para o Provisionamento In-Band Autenticado O EAP-FAST foi aprimorado para oferecer suporte a um túnel autenticado (usando o certificado do servidor), que é onde o provisionamento de PAC ocorre. Nota: Esta opção necessita da configuração de um certificado de servidor e uma CA raiz confiável no ACS. Há vários métodos disponíveis de configuração do certificado do servidor no ACS. Este documento explica como gerar um certificado selfsigned no ACS e importá-lo para a lista de autoridades de certificação confiáveis do cliente. Geração do Certificado Self-Signed no ACS O ACS oferece suporte a protocolos relacionados a TLS/SSL, o que inclui PEAP, EAP-FAST e HTTPS, que necessitam do uso de certificados digitais. O uso de certificados self-signed é uma forma dos administradores atenderem a este requisito sem precisar interagir com uma CA para obter e instalar o certificado para a ACS. Conclua estas etapas para gerar o certificado self-signed no ACS: 1. Clique em System Configuration na interface gráfica do servidor RADIUS. Na página System Configuration, escolha ACS Certificate Setup.
2. A ACS Certificate Setup lista várias opções de configuração do certificado no ACS. Neste exemplo, escolha Generate Self-Signed Certificate. A página Generate Self-Signed Certificate Edit será exibida. 3. Nessa página, execute estes passos: a. b. c. d. e. Na caixa Certificate subject, insira o objeto do certificado na forma cn=xxxx. Na caixa Certificate file, insira o caminho completo e o nome do arquivo do certificado. Na caixa Key length, selecione o comprimento da chave. Na caixa Private key file, insira o caminho completo e o nome do arquivo da chave privada. Na caixa Private key password, insira a senha da chave privada. Na caixa Retype private key password, digite a senha da chave privada novamente. Na caixa Digest to sign with, selecione o hash digest (SHA1 neste exemplo) a ser usado para criptografar a chave. f. Para instalar o certificado auto-assinado ao submeter a página, selecione a opção Install generated certificate.
Nota: Se você selecionar a opção Install generated certificate, será necessário reiniciar os serviços do ACS após o envio deste formulário para que as novas configurações entrem em vigor. Se você não selecionar a opção Install generated certificate option, o arquivo do certificado e o arquivo da chave privada serão gerados e salvos quando você clicar em Submit no próximo passo. No entanto, eles não são instalados no armazenamento do computador local. O exemplo a seguir mostra como editar uma página de certificado self-signed: Nota: Os valores de campo inseridos (ts-web) aqui são valores de exemplo. Você pode usar qualquer valor de campo ou nome para gerar um certificado self-signed no ACS. Todos os campos devem ser preenchidos. Importação do Certificado Self-Signed para o Cliente Você deve importar o certificado self-signed gerado no ACS para a lista de autoridades de certificação raiz do cliente para que o cliente se autentique no servidor usando um certificado válido. Conclua estas etapas no cliente: 1. 2. Copie o certificado de seu local no ACS para o cliente. Clique com o botão direito do mouse no arquivo.cer e clique em install certificate.
3. 4. Clique em Next. Escolha Place all certificates in the following store e clique em Browse. A janela Select Certificate Store será aberta. 5. 6. Na janela Select Certificate Store, marque a caixa de seleção Show physical stores. Expanda Trusted Root Certification Authorities na árvore de certificados, selecione Local Computer e clique em OK. 7. Clique em Next, em Finish e em OK. Um assistente importação de certificado é exibido para mostrar que a importação foi concluída com êxito.
Configuração do Cliente para a Autenticação EAP-FAST Execute estes passos para configurar o cliente para a autenticação EAP-FAST: 1. 2. Configuração do Cliente para o Provisionamento In-Band Anônimo Configuração do Cliente para o Provisionamento In-Band Autenticado Configuração do Cliente para o Provisionamento In-Band Anônimo Execute estes passos para configurar o cliente wireless para o provisionamento In-Band anônimo: 1. Na janela do Aironet Desktop Utility, clique em Profile Management > New para criar um perfil para o usuário do EAP-FAST. Conforme mencionado anteriormente, este documento usa o nome de WLAN/SSID eap fast para o cliente wireless. 2. Na janela Profile Management, clique na guia General e configure os nomes do perfil, do cliente e do SSID conforme mostrados neste exemplo. Em seguida, clique em OK.
3. Clique na guia Security e escolha 802.1x como Set Security Option e com o 802.1x EAP Type como EAP-FAST. Clique em Configure para configurar a opção de EAP-FAST. 4. Na janela Configure EAP-FAST, marque a caixa de seleção Allow Automatic PAC Provisioning. Se você desejar configurar o provisionamento de PAC anônimo, o EAP-MS-CHAP será usado como o único método interno na fase zero. 5. Escolha MSCHAPv2 User Name and Password como o método de autenticação na caixa suspensa EAP-FAST Authentication Method. Clique em Configuração.
6. Na janela Configure MSCHAPv2 User Name and Password, escolha as configurações de nome de usuário e senha apropriadas. Este exemplo usa a opção Manually Prompt for User Name and Password. Os mesmos nome de usuário e senha devem ser registrados no ACS. Conforme mencionado anteriormente, este exemplo usa wireless e wireless como nome de usuário e senha, respectivamente. Além disso, observe que este é um provisionamento In-Band anônimo. Assim, o cliente não poderá validar o certificado do servidor. Você deverá se certificar de que a caixa Validate Server Identity esteja desmarcada. 7. Clique em OK. Configuração do Cliente para o Provisionamento In-Band Autenticado
Execute estes passos para configurar o cliente wireless para o provisionamento In-Band autenticado: 1. 2. Repita os passos de 1 a 3 da seção Configuração do Cliente para o Provisionamento In-Band Anônimo deste documento. Na janela Configure EAP-FAST, marque a caixa de seleção Allow Automatic PAC Provisioning. Com o provisionamento de PAC In-Band autenticado, qualquer um dos métodos internos (EAP-GTC, EAP-MSCHAPv2, Certificado do Cliente TLS) permitidos no lado do ACS pode ser selecionado no cliente como o método de autenticação na caixa suspensa EAP-FAST Authentication Method. Este exemplo usa GTC Token/Password como o método de autenticação EAP-FAST. 3. Clique em Configure. 4. Na janela de configuração do GTC, você poderá usar uma senha estática ou um token para ser solicitado no momento da autenticação. 5. Este exemplo usa um nome de usuário e uma senha estáticos. Os mesmos nome de usuário e senha devem ser registrados no ACS. Conforme mencionado anteriormente, este exemplo usa wireless e wireless como nome de usuário e senha, respectivamente. Além disso, observe que esta é uma configuração de provisionamento In-Band autenticado. Assim, marque a caixa de seleção Validate Server Identity. Além disso, na caixa suspensa Trusted Root Certification Authorities, role para baixo para procurar o certificado selfsigned importado do ACS (ts-web neste exemplo). Escolha o certificado como a autoridade de certificação raiz confiável. Clique em OK.
Verificação do Provisionamento In-Band Execute estes passos para verificar se a sua configuração de EAP-FAST está funcionando corretamente: 1. Selecione o perfil eap fast e clique em Activate para ativar o perfil de cliente wireless. 2. Se você habilitou o MS-CHAP ver2 como o seu método de autenticação (com anônimo, este é o único método válido, conforme explicado anteriormente), o cliente solicitará o nome de usuário e a senha.
3. Durante o processamento EAP-FAST do usuário, você será avisado pelo cliente para solicitar a PAC do servidor RADIUS. Ao clicar em YES, o provisionamento de PAC é iniciado. Após o êxito do provisionamento de PAC na fase zero, as fase um e dois ocorrem e um procedimento de autenticação bem-sucedido ocorre. 4. Com o provisionamento In-Band autenticado, se você habilitou GTC/Token como o método de autenticação EAP-FAST, você será avisado para inserir o token. Conforme mencionado anteriormente, este exemplo usa wireless como credencial de usuário. Clique em OK. Você pode ver o arquivo de PAC recebido pelo cliente na página de configuração do EAP-FAST.
Este PAC pode ser usado em sessões de autenticação adicionais deste usuário de acordo com as configurações dos valores de TTL da PAC/chave mestre. 5. Clique em Manage para ver o conteúdo do arquivo de PAC ao navegar pela árvore de gerenciamento da PAC conforme mostrado aqui. Clique duas vezes no arquivo de PAC wireless para exibir seu conteúdo. Este é o conteúdo de um arquivo de PAC:
Verificação Você pode verificar se o servidor RADIUS recebe e valida o pedido de autenticação do cliente wireless. Examine os relatórios Passed Authentications and Failed Attempts no servidor ACS para fazer isso. Esses relatórios estão disponíveis em Reports and Activities no servidor ACS. Aqui está um exemplo de quando a autenticação do servidor RADIUS é de fato bem-sucedida. No entanto, como a fase zero do EAP-FAST não habilita um serviço de rede, mesmo uma transação EAP-FAST da fase zero é registrada no log de tentativas que falharam do ACS. Se a mensagem "EAP-FAST user was provisioned with new PAC" for exibida, isso indica que a PAC foi provisionada com êxito para o cliente. Estes comandos debug podem ser úteis para fins de troubleshooting: Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug. debug dot1x events enable Habilita a depuração de todos os eventos dot1x. Aqui está um exemplo de saída de depuração baseada em uma autenticação com êxito: (Cisco Controller)>debug dot1x events enable Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Sending EAP -Request/Identity to mobi (EAP Id 1) Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00: 40:96:af:3e:93 Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi (EAP Id 2) Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received EAP Response packet with mi smatching id (currentid=2, eapid=1) from mobi Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Received Identity Response (count=2) from mobi Mon Oct 22 20:34:57 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi............ Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00 :40:96:af:3e:93 (EAP Id 19, EAP Type 43) Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi Mon Oct 22 20:35:00 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi (EAP Id 20) Mon Oct 22 20:35:01 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00 :40:96:af:3e:93 (EAP Id 20, EAP Type 43) Mon Oct 22 20:35:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0-0 Mon Oct 22 20:35:29 2007: Resetting the group key timer for 3689 seconds on AP 0 0:0b:85:91:c3:c0 Mon Oct 22 20:35:29 2007: Creating dot1x interface with key 00:0b:85:91:c3:c0-1 Mon Oct 22 20:35:29 2007: Resetting the group key timer for 3696 seconds on AP 0 0:0b:85:91:c3:c0 Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAPOL START from mobile 00: 40:96:af:3e:93 Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP-Request/Identity to mobi (EAP Id 22) Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received Identity Response (count=3) from mobi Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 WARNING: updated EAP-Identifer 22 == => 19 for STA 00:40:96:af:3e:93 Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi (EAP Id 19) Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00 :40:96:af:3e:93 (EAP Id 19, EAP Type 3) Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Processing Access-Challenge for mobi Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Sending EAP Request from AAA to mobi (EAP Id 20) Mon Oct 22 20:35:30 2007: 00:40:96:af:3e:93 Received EAP Response from mobile 00