تكوين مصدر المحتوى الإضافي الآمن من Cisco لنظام التشغيل Windows v3.2 باستخدام مصادقة جهاز PEAP-MS-CHAPv2

المقدمة

يوضح هذا المستند كيفية تكوين بروتوكول المصادقة المتوسع المحمي (PEAP) مع Cisco ACS الآمن ل Windows الإصدار 3.2.

لمزيد من المعلومات حول كيفية تكوين الوصول اللاسلكي الآمن باستخدام وحدات التحكم في الشبكة المحلية اللاسلكية، راجع برنامج Microsoft Windows 2003 و Cisco Secure Access Control Server (ACS) 4.0 PEAP تحت Unified Wireless Networks مع ACS 4.0 و Windows 2003.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات أساسية خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية أدناه.

• Cisco Secure ACS ل Windows الإصدار 3.2

• خدمات شهادات Microsoft (مثبتة كمرجع للشهادات الجذر للمؤسسة [CA])

  ملاحظة: للحصول على مزيد من المعلومات، يرجى الرجوع إلى الدليل المتدرج لإنشاء هيئة تصديق.

• خدمة DNS مع Windows 2000 Server مع Service Pack 3

  ملاحظة: إذا واجهت مشاكل في خادم CA، فقم بتثبيت الإصلاح العاجل 323172. يتطلب عميل Windows 2000 SP3 الإصلاح العاجل 313664 لتمكين مصادقة IEEE 802.1x.

• سلسلة نقاط الوصول اللاسلكية 12.01T من Cisco Aironet 1200

• الطراز ThinkPad T30 من IBM الذي يعمل بنظام التشغيل Windows XP Professional مع حزمة الخدمة Service Pack 1

تم إنشاء المعلومات المُقدمة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كنت تعمل في شبكة مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر قبل استخدامه.

النظرية الأساسية

يقوم كل من PEAP و EAP-TLS ببناء واستخدام نفق طبقة مأخذ التوصيل الآمنة (SSL) TLS. لا يستخدم PEAP إلا المصادقة من جانب الخادم، والخادم فقط لديه شهادة ويثبت هويته للعميل. ومع ذلك يستخدم EAP-TLS المصادقة المتبادلة حيث يمتلك كل من خادم ACS (المصادقة والتخويل والمحاسبة [AAA]) والعملاء شهادات ويثبتون هوياتهم لبعضهم البعض.

إن PEAP مناسب لأن العملاء لا يطلبون شهادات. يفيد EAP-TLS لمصادقة الأجهزة التي ليس لها رأس، لأن الشهادات تتطلب عدم تفاعل المستخدم.

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، راجع اصطلاحات تلميحات Cisco التقنية.

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة الموضح في الرسم التخطيطي أدناه.

تكوين مصدر المحتوى الإضافي الآمن من Cisco ل Windows v3.2

اتبع الخطوات التالية لتكوين ACS 3.2.

1. احصل على شهادة لخادم ACS.

2. قم بتكوين ACS لاستخدام شهادة من التخزين.

3. حدد مراجع الشهادات الإضافية التي يجب أن يثق بها ACS.

4. أعد تشغيل الخدمة وشكلت إعدادات PEAP على ACS.

5. حدد نقطة الوصول وتكوينها كعميل AAA.

6. قم بتكوين قواعد بيانات المستخدم الخارجي.

7. قم بإعادة تشغيل الخدمة.

الحصول على شهادة لخادم ACS

اتبع الخطوات التالية للحصول على الشهادة.

1. على خادم ACS، افتح مستعرض ويب واستعرض إلى خادم CA بإدخال http://CA-ip-address/certsrv في شريط العناوين. قم بتسجيل الدخول إلى المجال كمسؤول.

   

2. حدد طلب شهادة، ثم انقر التالي.

   

3. حدد طلب متقدم، ثم انقر التالي.

   

4. حدد إرسال طلب شهادة إلى المرجع المصدق هذا باستخدام نموذج، ثم انقر على التالي.

   

5. قم بتكوين خيارات الشهادة.

   1. حدد خادم ويب كقالب الشهادة. أدخل اسم خادم ACS.

      

   2. قم بتعيين حجم المفتاح على 1024. حدد خيارات وضع علامة على المفاتيح كقابلة للتصدير وإستخدام مخزن الجهاز المحلي. قم بتكوين خيارات أخرى حسب الحاجة، ثم انقر فوق إرسال.

      

      ملاحظة: إذا رأيت نافذة تحذير تشير إلى انتهاك للبرمجة النصية (حسب إعدادات الأمان/الخصوصية في المستعرض)، انقر فوق نعم للمتابعة.

      

6. انقر على تثبيت هذه الشهادة.

   

   ملاحظة: إذا رأيت نافذة تحذير تشير إلى انتهاك للبرمجة النصية (حسب إعدادات الأمان/الخصوصية في المستعرض)، انقر فوق نعم للمتابعة.

   

7. في حالة نجاح التثبيت، سترى رسالة تأكيد.

   

تكوين ACS لاستخدام شهادة من التخزين

اتبع هذه الخطوات لتكوين ACS لاستخدام الشهادة في التخزين.

1. افتح مستعرض ويب واستعرض إلى خادم ACS بإدخال http://ACS-ip-address:2002/ في شريط العناوين. انقر على تكوين النظام، ثم انقر على إعداد شهادة ACS.

2. انقر على تثبيت شهادة ACS.

3. حدد إستخدام شهادة من التخزين. في حقل شهادة CN، أدخل اسم الشهادة التي قمت بتعيينها في الخطوة 5 أ من القسم احصل على شهادة لخادم ACS. انقر على إرسال.

   يجب أن يتطابق هذا الإدخال مع الاسم الذي كتبته في حقل الاسم أثناء طلب الشهادة المتقدمة. هو اسم CN في حقل الموضوع من شهادة الخادم؛ يمكنك تحرير شهادة الخادم للتحقق من هذا الاسم. في هذا المثال، الاسم هو "OurACS". لا تدخل اسم CN الخاص بالمصدر.

   

4. عند اكتمال التكوين، سترى رسالة تأكيد تشير إلى تغيير تكوين خادم ACS.

   ملاحظة: لا تحتاج إلى إعادة تشغيل ACS في هذا الوقت.

   

تحديد مراجع الشهادات الإضافية التي يجب أن يثق بها ACS

وسيثق ACS تلقائيا في المرجع المصدق الذي أصدر شهادته الخاصة. إذا تم إصدار شهادات العميل من قبل CAs إضافية، فيجب عليك إكمال الخطوات التالية.

1. انقر على تكوين النظام، ثم انقر على إعداد شهادة ACS.

2. انقر على إعداد مرجع شهادة ACS لإضافة CAs إلى قائمة الشهادات الموثوق بها. في الحقل الخاص بملف شهادة CA، أدخل موقع الشهادة، ثم انقر على إرسال.

   

3. انقر على تحرير قائمة الشهادات الموثوق بها. تحقق من كافة الشهادات المصدقة التي يجب على ACS الوثوق بها، وقم بإلغاء تحديد كافة الشهادات المصدقة التي يجب على ACS عدم الثقة بها. انقر على إرسال.

   

أعد تشغيل الخدمة وشكلت إعدادات PEAP على ACS

اتبع الخطوات التالية لإعادة تشغيل الخدمة وتشكيل إعدادات PEAP.

1. انقر فوق تكوين النظام، ثم انقر فوق التحكم في الخدمة.

2. انقر فوق إعادة التشغيل لإعادة تشغيل الخدمة.

3. لتكوين إعدادات PEAP، انقر على تكوين النظام، ثم انقر على إعداد المصادقة العامة.

4. تحقق من الإعدادين الموضحين أدناه، واترك كافة الإعدادات الأخرى كإعدادات افتراضية. إن يريد أنت، أنت يستطيع عينت عملية إعداد إضافي، مثل يمكن إعادة توصيل سريع. عند الانتهاء، انقر فوق إرسال.

   • السماح بالإصدار الثاني من بروتوكول EAP-MSCHAPv2

   • السماح بمصادقة MS-CHAP الإصدار 2

   ملاحظة: للحصول على مزيد من المعلومات حول الاتصال السريع، ارجع إلى "خيارات تكوين المصادقة" في تكوين النظام: المصادقة والشهادات.

   

تحديد نقطة الوصول وتكوينها كعميل AAA

اتبع هذه الخطوات لتكوين نقطة الوصول (AP) كعميل AAA.

1. طقطقة شبكة تشكيل. تحت عملاء AAA، انقر فوق إضافة إدخال.

   

2. أدخل اسم المضيف لنقطة الوصول في حقل اسم مضيف عميل AAA وعنوان IP الخاص بها في حقل عنوان IP لعميل AAA. أدخل مفتاح سر مشترك ل ACS و AP في حقل المفتاح. حدد RADIUS (Cisco Aironet) كطريقة مصادقة. عند الانتهاء، انقر فوق إرسال.

   

تكوين قواعد بيانات المستخدمين الخارجيين

اتبع هذه الخطوات لتكوين قواعد بيانات المستخدم الخارجي.

ملاحظة: يدعم ACS 3.2 فقط PEAP-MS-CHAPv2 مع مصادقة الجهاز لقاعدة بيانات Windows.

1. انقر فوق قواعد بيانات المستخدم الخارجي، ثم انقر فوق تكوين قاعدة البيانات. انقر فوق قاعدة بيانات Windows.

   ملاحظة: إذا لم تكن قاعدة بيانات Windows معرفة بالفعل، انقر فوق إنشاء تكوين جديد، ثم انقر فوق إرسال.

2. طقطقة يشكل. تحت تكوين قائمة المجالات، قم بنقل مجال SEC-SYD من المجالات المتاحة إلى قائمة المجالات.

   

3. لتمكين مصادقة الجهاز، ضمن إعدادات Windows EAP تحقق من خيار السماح بمصادقة جهاز PEAP. لا تقم بتغيير بادئة اسم مصادقة الجهاز. تستخدم Microsoft حاليا "/host" (القيمة الافتراضية) للتمييز بين مصادقة المستخدم ومصادقة الجهاز. تحقق من خيار السماح بتغيير كلمة المرور داخل PEAP إذا كنت ترغب في ذلك. عند الانتهاء، انقر فوق إرسال.

   

4. انقر فوق قواعد بيانات المستخدم الخارجي، ثم انقر فوق نهج مستخدم غير معروف. حدد الخيار للتحقق من قواعد بيانات المستخدمين الخارجيين التالية، ثم أستخدم زر السهم الأيمن ( -> ) لنقل قاعدة بيانات Windows من قواعد البيانات الخارجية إلى قواعد البيانات المحددة. عند الانتهاء، انقر فوق إرسال.

   

إعادة تشغيل الخدمة

عند الانتهاء من تكوين ACS، اتبع الخطوات التالية لإعادة تشغيل الخدمة.

1. انقر فوق تكوين النظام، ثم انقر فوق التحكم في الخدمة.

2. انقر على إعادة التشغيل.

تكوين نقطة وصول Cisco

اتبع هذه الخطوات لتكوين نقطة الوصول لاستخدام ACS كخادم مصادقة.

1. افتح مستعرض ويب واستعرض إلى نقطة الوصول بإدخال http://AP-IP-ADDRESS/certsrv في شريط العناوين. على شريط الأدوات، انقر فوق إعداد.

2. تحت الخدمات، انقر فوق الأمان.

3. انقر على خادم المصادقة.

   ملاحظة: إذا كنت قد انتهيت من تكوين حسابات على نقطة الوصول، فستحتاج إلى تسجيل الدخول.

4. أدخل إعدادات تكوين المصدق.

   • حدد 802. 1x-2001 لإصدار بروتوكول 802. 1x (لمصادقة EAP).

   • أدخل عنوان IP الخاص بخادم ACS في حقل اسم الخادم/IP.

   • حدد RADIUS كنوع الخادم.

   • دخلت 1645 أو 1812 في الميناء مجال.

   • أدخل المفتاح السري المشترك الذي حددته في الخطوة 2 من تحديد نقطة الوصول وتكوينها كعميل AAA.

   • حدد الخيار لمصادقة EAP لتحديد كيفية إستخدام الخادم.

   عندما تنتهي، انقر فوق موافق.

   

5. انقر على تشفير البيانات اللاسلكية (WEP).

6. أدخل إعدادات تشفير البيانات الداخلي.

   • حدد التشفير الكامل لتعيين مستوى تشفير البيانات.

   • أدخل مفتاح تشفير وقم بتعيين حجم المفتاح على 128 بت ليتم إستخدامه كمفتاح بث.

   عندما تنتهي، انقر فوق موافق.

   

7. تأكد من أنك تستخدم معرف مجموعة الخدمة (SSID) الصحيح عن طريق الانتقال إلى الشبكة > مجموعات الخدمات > تحديد SSID IDX ، وانقر موافق عند الانتهاء.

   يوضح المثال التالي "تسونامي" SSID الافتراضي.

   

تكوين العميل اللاسلكي

اتبع الخطوات التالية لتكوين ACS 3.2.

1. تكوين التسجيل التلقائي لجهاز شهادة MS.

2. انضم إلى المجال.

3. قم بتثبيت الشهادة الجذر يدويا على عميل Windows.

4. قم بتكوين الشبكة اللاسلكية.

تكوين التسجيل التلقائي لجهاز شهادة MS

اتبع هذه الخطوات لتكوين المجال للتسجيل التلقائي لشهادة الجهاز في وحدة التحكم بالمجال Kant.

1. انتقل إلى لوحة التحكم > أدوات إدارية > فتح مستخدمي Active Directory وأجهزة الكمبيوتر.

2. انقر بزر الماوس الأيمن فوق نظام ثانية للمجال وحدد خصائص من القائمة الفرعية.

3. حدد علامة التبويب نهج المجموعة. انقر فوق نهج المجال الافتراضي، ثم انقر فوق تحرير.

4. انتقل إلى إعدادات الكمبيوتر > إعدادات Windows > إعدادات التأمين > سياسات المفتاح العام > إعدادات طلب الترخيص الآلي.

   

5. في شريط القائمة، انتقل إلى عملية > جديد > طلب الترخيص الآلي وانقر التالي.

6. حدد جهاز كمبيوتر وانقر فوق التالي.

7. تحقق من المرجع المصدق.

   في هذا المثال، المرجع المصدق يسمى "لدينا TAC CA."

8. طقطقت بعد ذلك، وبعد ذلك طقطقت إنجاز.

الانضمام إلى المجال

اتبع هذه الخطوات لإضافة العميل اللاسلكي إلى المجال.

ملاحظة: لإكمال هذه الخطوات، يجب أن يكون للعميل اللاسلكي اتصال ب CA، إما من خلال توصيل سلكي أو من خلال اتصال لاسلكي مع تعطيل أمان 802.1x.

1. قم بتسجيل الدخول إلى Windows XP كمسؤول محلي.

2. انتقل إلى لوحة التحكم > الأداء والصيانة > النظام.

3. حدد علامة التبويب اسم الكمبيوتر، ثم انقر فوق تغيير. أدخل اسم المضيف في الحقل لاسم الكمبيوتر. حدد المجال، ثم أدخل اسم المجال (SEC-SYD في هذا المثال). وانقر فوق OK.

   

4. عند عرض مربع حوار تسجيل دخول، انضم إلى المجال عن طريق تسجيل الدخول باستخدام حساب لديه إذن للانضمام إلى المجال.

5. عند انضمام الكمبيوتر إلى المجال بنجاح، قم بإعادة تشغيل الكمبيوتر. سيكون الجهاز عضوا في المجال، وبما أننا أعددنا التسجيل التلقائي، فسيكون للجهاز شهادة ل CA مثبتة بالإضافة إلى شهادة لمصادقة الجهاز.

تثبيت الشهادة الجذر يدويا على عميل Windows

اتبع هذه الخطوات لتثبيت الشهادة الجذر يدويا.

ملاحظة: إذا قمت بالفعل بإعداد التسجيل التلقائي، فلن تكون بحاجة إلى هذه الخطوة. يرجى التخطي لتكوين الشبكة اللاسلكية.

1. على جهاز عميل Windows، افتح مستعرض ويب واستعرض إلى خادم Microsoft CA بإدخال http://root-CA-ip-address/certsrv في شريط العناوين. سجل الدخول إلى موقع المرجع المصدق.

   في هذا المثال، عنوان IP ل CA هو 10.66.79.241.

   

2. حدد إسترداد شهادة المرجع المصدق أو قائمة إلغاء الشهادة وانقر فوق التالي.

   

3. انقر على تنزيل شهادة المرجع المصدق لحفظ الشهادة على الجهاز المحلي.

   

4. افتح الشهادة وانقر على تثبيت الشهادة.

   ملاحظة: في المثال التالي، تشير الأيقونة في أعلى اليسار إلى أن الشهادة غير موثوق بها بعد (مثبتة).

   

5. قم بتثبيت الشهادة في مراجع الشهادات الجذر الحالية للمستخدم/ الموثوق بها.

   1. انقر فوق Next (التالي).

   2. حدد تحديد مخزن الشهادات تلقائيا بناء على نوع الشهادة وانقر التالي.

   3. انقر على إنهاء لوضع الشهادة الجذر تلقائيا تحت مراجع الشهادات الجذر الموثوق بها/المستخدم الحالي.

تكوين الشبكة اللاسلكية

اتبع الخطوات التالية لضبط خيارات التوصيل الشبكي اللاسلكي.

1. قم بتسجيل الدخول إلى المجال كمستخدم مجال.

2. انتقل إلى لوحة التحكم > إتصالات الشبكة والإنترنت > إتصالات الشبكة. انقر بزر الماوس الأيمن على التوصيل اللاسلكي وحدد خصائص من القائمة الفرعية التي تعرض.

3. حدد علامة تبويب الشبكات اللاسلكية. حدد الشبكة اللاسلكية (معروض باستخدام اسم SSID لنقطة الوصول) من لائحة الشبكات المتاحة، ثم انقر على تكوين.

   

4. في علامة تبويب المصادقة الخاصة بنافذة خصائص الشبكة، تحقق من خيار تمكين مصادقة IEEE 802.1x لهذه الشبكة. بالنسبة لنوع EAP، حدد EAP محمي (PEAP) لنوع EAP، ثم انقر على خصائص.

   ملاحظة: لتمكين مصادقة الجهاز، حدد الخيار للمصادقة ككمبيوتر عند توفر معلومات الكمبيوتر.

   

5. تحقق من شهادة الخادم، ثم تحقق من المرجع المصدق الجذر للمؤسسة المستخدمة من قبل عملاء PEAP وأجهزة ACS. حدد كلمة مرور آمنة (EAP-MSCHAP v2) لأسلوب المصادقة، ثم انقر تكوين.

   في هذا المثال، المرجع المصدق الجذري يسمى "لدينا TAC CA."

   

6. لتمكين تسجيل الدخول الأحادي، حدد الخيار لاستخدام اسم وكلمة مرور تسجيل الدخول إلى Windows الخاص بي تلقائيا (والمجال إن وجد). انقر فوق موافق لقبول هذا الإعداد، ثم انقر فوق موافق مرة أخرى للعودة إلى إطار خصائص الشبكة.

   مع تسجيل الدخول الأحادي ل PEAP، يستخدم العميل اسم تسجيل الدخول إلى Windows لمصادقة PEAP، بحيث لا يحتاج المستخدم إلى إدخال كلمة المرور مرة ثانية.

   

7. في علامة تبويب الاقتران في إطار خصائص الشبكة، تحقق من خيارات تشفير البيانات (تمكين WEP) ويتم توفير المفتاح لي تلقائيا. انقر فوق موافق، ثم انقر فوق موافق مرة أخرى لإغلاق نافذة تكوين الشبكة.

   

التحقق من الصحة

يوفر هذا القسم معلومات يمكنك إستخدامها للتأكد من أن التكوين يعمل بشكل صحيح.

• للتحقق من مصادقة العميل اللاسلكي، انتقل على العميل اللاسلكي إلى لوحة التحكم > إتصالات الشبكة والإنترنت > إتصالات الشبكة. في شريط القائمة، انتقل إلى عرض > تجانبات. يجب أن يعرض التوصيل اللاسلكي الرسالة "نجحت المصادقة".

• للتحقق من مصادقة الأجهزة العميلة اللاسلكية، انتقل على واجهة ويب ل ACS إلى التقارير والنشاط > المصادقات التي تم تمريرها > المصادقات التي تم تمريرها نشطة.csv.

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.

• تحقق من تثبيت خدمات شهادات MS كمرجع مصدق رئيسي للمؤسسة على Windows 2000 Advanced Server مع Service Pack 3. يجب تثبيت الإصلاحات العاجلة 323172 و 313664 بعد تثبيت خدمات شهادات MS. في حالة إعادة تثبيت MS Certificate Services، يجب أيضا إعادة تثبيت الإصلاح العاجل 323172.

• تحقق من إستخدام Cisco Secure ACS ل Windows الإصدار 3.2 مع Windows 2000 و Service Pack 3. تأكد من تثبيت الإصلاحات العاجلة 323172 و 313664.

• في حالة فشل مصادقة الجهاز على العميل اللاسلكي، لا يوجد اتصال شبكة على التوصيل اللاسلكي. لن تتمكن من تسجيل الدخول إلى المجال إلا الحسابات التي تخزن ملفات التعريف الخاصة بها في ذاكرة التخزين المؤقت على العميل اللاسلكي. يلزم توصيل الجهاز بشبكة سلكية أو تعيينه للاتصال اللاسلكي بدون تأمين 802.1x.

• إذا فشل التسجيل التلقائي مع المرجع المصدق عند الانضمام إلى المجال، فتحقق من "عارض الأحداث" للأسباب المحتملة. حاول التحقق من إعدادات DNS على الكمبيوتر المحمول.

• إذا تم رفض شهادة ACS من قبل العميل (والذي يعتمد على تاريخي "من" و"إلى" الصحيحين للشهادة، وإعدادات التاريخ والوقت الخاصة بالعميل، وثقة CA)، فسيرفضها العميل وستفشل المصادقة. سيقوم ACS بتسجيل المصادقة الفاشلة في واجهة الويب ضمن التقارير والنشاط > محاولات فاشلة > محاولات فاشلة > محاولات فاشلة XXX.csv مع فشل المصادقة المماثلة ل "EAP-TLS أو مصادقة PEAP فشلت أثناء مصافحة SSL." رسالة الخطأ المتوقعة في ملف CSAuth.log مماثلة لما يلي.

  AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
  other side probably didn't accept our certificate

• في السجلات الموجودة على واجهة ويب ACS، تحت كل من التقارير والنشاط > المصادقات التي تم تمريرها > المصادقات التي تم تمريرها XXX.csv والتقارير والنشاط > محاولات فاشلة > محاولات فاشلة XXX.csv، يتم عرض مصادقة PEAP في التنسيق <DOMAIN>\<user-id>. يتم عرض مصادقة EAP-TLS بتنسيق <user-id>@<domain>.

• لاستخدام إعادة اتصال PEAP السريع، يجب عليك تمكين هذه الميزة على كل من خادم ACS والعميل.

• إذا تم تمكين تغيير كلمة مرور PEAP، يمكنك تغيير كلمة المرور فقط عندما تكون كلمة مرور الحساب قد أصبحت قديمة أو عندما يتم تمييز الحساب بحيث يتم تغيير كلمة المرور الخاصة به على السجل التالي.

• يمكنك التحقق من شهادة خادم ACS والثقة من خلال اتباع الخطوات أدناه.

  1. قم بتسجيل الدخول إلى Windows على خادم ACS باستخدام حساب له امتيازات المسؤول. افتح Microsoft Management Console من خلال الانتقال إلى Start (البدء) > Run، والطباعة على MMC، والنقر فوق OK.

  2. في شريط القائمة، انتقل إلى وحدة التحكم > إضافة/إزالة الأداة الإضافية، ثم انقر إضافة.

  3. حدد تراخيص وانقر إضافة.

  4. حدد حساب الكمبيوتر، وانقر فوق التالي، ثم حدد الكمبيوتر المحلي (الكمبيوتر الذي تعمل عليه وحدة التحكم هذه).

  5. انقر فوق إنهاء، ثم انقر فوق إغلاق، ثم انقر فوق موافق.

  6. للتحقق من أن خادم ACS يحتوي على شهادة صالحة من جانب الخادم، انتقل إلى جذر وحدة التحكم > الشهادات (كمبيوتر محلي) > ACSCertStore > الشهادات. تحقق من وجود شهادة لخادم ACS (تسمى OurACS في هذا المثال). افتح الشهادة وتحقق من العناصر التالية.

     • لا يوجد أي تحذير حول عدم التحقق من الشهادة لكافة الأغراض المقصودة منها.

     • لا يوجد أي تحذير حول عدم الثقة في الشهادة.

     • "هذه الشهادة معدة ل - تضمن هوية الكمبيوتر البعيد."

     • لم تنته صلاحية الشهادة وأصبحت صالحة (تحقق من تاريخي "من" و"إلى" صالحين).

     • "لديك مفتاح خاص يتوافق مع هذه الشهادة."

  7. في علامة التبويب "تفاصيل"، تحقق من أن حقل "الإصدار" يحتوي على القيمة V3 ومن أن حقل "إستخدام المفتاح المحسن" يحتوي على مصادقة الخادم (1.3.6.1.5.5.7.3.1).

  8. للتحقق من أن خادم ACS يثق في خادم CA، انتقل إلى جذر وحدة التحكم > الشهادات (كمبيوتر محلي) > مراجع التصديق الجذر الموثوق بها > الشهادات. تحقق من وجود شهادة لخادم CA (تسمى TAC CA الخاص بنا في هذا المثال). افتح الشهادة وتحقق من العناصر التالية.

     • لا يوجد أي تحذير حول عدم التحقق من الشهادة لكافة الأغراض المقصودة منها.

     • لا يوجد أي تحذير حول عدم الثقة في الشهادة.

     • الغرض المقصود من الشهادة صحيح.

     • لم تنته صلاحية الشهادة وأصبحت صالحة (تحقق من تاريخي "من" و"إلى" صالحين).

     إذا لم يستخدم كل من ACS والعميل المرجع المصدق الجذر نفسه، فتحقق من تثبيت سلسلة شهادات خوادم CA بأكملها. وينطبق الأمر نفسه إذا كانت الشهادة قد تم الحصول عليها من مرجع مصدق من الشهادة الفرعية.

• يمكنك التحقق من ثقة العميل من خلال اتباع الخطوات التالية.

  1. قم بتسجيل الدخول إلى Windows على العميل اللاسلكي باستخدام حساب العميل. افتح Microsoft Management Console من خلال الانتقال إلى Start (البدء) > Run، والطباعة على MMC، والنقر فوق OK.

  2. في شريط القائمة، انتقل إلى وحدة التحكم > إضافة/إزالة الأداة الإضافية، ثم انقر إضافة.

  3. حدد تراخيص وانقر إضافة.

  4. انقر فوق إغلاق"، ثم انقر فوق موافق.

  5. للتحقق من أن ملف تعريف العميل يعتمد على خادم CA، انتقل إلى جذر وحدة التحكم > الشهادات - المستخدم الحالي > مراجع التصديق الجذر الموثوق بها > الشهادات. تحقق من وجود شهادة لخادم CA (تسمى TAC CA الخاص بنا في هذا المثال). افتح الشهادة وتحقق من العناصر التالية.

     • لا يوجد أي تحذير حول عدم التحقق من الشهادة لكافة الأغراض المقصودة منها.

     • لا يوجد أي تحذير حول عدم الثقة في الشهادة.

     • الغرض المقصود من الشهادة صحيح.

     • لم تنته صلاحية الشهادة وأصبحت صالحة (تحقق من تاريخي "من" و"إلى" صالحين).

     إذا لم يستخدم كل من ACS والعميل المرجع المصدق الجذر نفسه، فتحقق من تثبيت سلسلة شهادات خوادم CA بأكملها. وينطبق الأمر نفسه إذا كانت الشهادة قد تم الحصول عليها من مرجع مصدق من الشهادة الفرعية.

• دققت ال ACS عملية إعداد كما هو موضح في قسم على يشكل cisco يأمن ACS ل Windows v3.2.

• دققت ال ap عملية إعداد كما هو موضح في قسم على يشكل ال cisco منفذ نقطة.

• تحقق من إعدادات العميل اللاسلكي كما هو موضح في القسم الخاص بتكوين العميل اللاسلكي.

• تحقق من وجود حساب المستخدم في قاعدة البيانات الداخلية لخادم AAA أو على إحدى قواعد البيانات الخارجية التي تم تكوينها. تأكد من عدم تعطيل الحساب.

معلومات ذات صلة

• مصدر المحتوى الإضافي الآمن من Cisco لصفحة دعم Windows
• دليل نشر EAP-TLS لشبكات LAN اللاسلكية
• الحصول على معلومات تصحيح أخطاء الإصدار و AAA ل Cisco Secure ACS ل Windows
• الدعم الفني - Cisco Systems