PEAP sous des réseaux sans fil unifiés avec ACS 4.0 et Windows 2003

Étape 4 : Installation et configuration de DHCP

Procédez comme suit :

1. Installez DHCP (Dynamic Host Configuration Protocol) en tant que composant Networking Service à l'aide de l'option Ajout/Suppression de programmes dans le Panneau de configuration.

2. Ouvrez le composant logiciel enfichable DHCP dans le dossier Outils d'administration (Démarrer > Programmes > Outils d'administration > DHCP), puis mettez en surbrillance le serveur DHCP DC_CA.wirelessdemo.local.

3. Cliquez sur Action, puis sur Autoriser afin d'autoriser le service DHCP.

4. Dans l'arborescence de la console, cliquez avec le bouton droit sur DC_CA.wirelessdemo.local, puis cliquez sur Nouvelle étendue.

5. Sur la page de bienvenue de l'Assistant Nouvelle étendue, cliquez sur Suivant.

6. Sur la page Nom de l'étendue, tapez CorpNet dans le champ Nom.

   

7. Cliquez sur Suivant et remplissez les paramètres suivants :

   • Adresse IP de début : 172.16.100.1

   • Adresse IP de fin : 172.16.100.254

   • Longueur : 24

   • Masque de sous-réseau : 255.255.255.0

   

8. Cliquez sur Next et saisissez 172.16.100.1 pour l'adresse IP de début et 172.16.100.100 pour l'adresse IP de fin à exclure. Cliquez ensuite Next. Cela réserve les adresses IP comprises entre 172.16.100.1 et 172.16.100.100. Ces adresses IP de réserve ne sont pas attribuées par le serveur DHCP.

   

9. Sur la page Durée du bail, cliquez sur Suivant.

10. Sur la page Configurer les options DHCP, sélectionnez Oui, je veux configurer ces options maintenant et cliquez sur Suivant.

    

11. Sur la page Router (Default Gateway), ajoutez l'adresse de routeur par défaut 172.16.100.1 et cliquez sur Next.

    

12. Sur la page Domain Name and DNS Servers, tapez wirelessdemo.local dans le champ Parent domain, tapez 172.16.100.26 dans le champ IP address, puis cliquez sur Add et sur Next.

    

13. Sur la page WINS Servers, cliquez sur Next.

14. Sur la page Activer l'étendue, sélectionnez Oui, je veux activer cette étendue maintenant et cliquez sur Suivant.

    

15. Lorsque vous avez terminé avec la page Assistant Nouvelle étendue, cliquez sur Terminer.

Étape 5 : Installer les services de certificats

Procédez comme suit :

Remarque : IIS doit être installé avant d'installer les services de certificats et l'utilisateur doit faire partie de l'unité d'organisation Admin d'entreprise.

1. Dans le Panneau de configuration, ouvrez Ajout/Suppression de programmes, puis cliquez sur Ajouter/Supprimer des composants Windows.

2. Dans la page Assistant Composants Windows, sélectionnez Services de certificats, puis cliquez sur Suivant.

   

3. Sur la page Type d'autorité de certification, sélectionnez Autorité de certification racine d'entreprise et cliquez sur Suivant.

   

4. Dans la page Informations d'identification de l'autorité de certification, tapez wirelessdemocracy dans la zone Nom commun de cette autorité de certification. Vous pouvez également saisir les autres détails facultatifs. Cliquez ensuite sur Suivant et acceptez les valeurs par défaut dans la page Paramètres de la base de données de certificats.

   

5. Cliquez sur Next (Suivant). Une fois l'installation terminée, cliquez sur Terminer.

6. Cliquez sur OK après avoir lu le message d'avertissement relatif à l'installation d'IIS.

Étape 6 : Vérifier les autorisations d'administrateur pour les certificats

Procédez comme suit :

1. Choisissez Démarrer > Outils d'administration > Autorité de certification.

2. Cliquez avec le bouton droit de la souris sur Wireless Democratic CA, puis cliquez sur Propriétés.

3. Dans l'onglet Sécurité, cliquez sur Administrateurs dans la liste Nom de groupe ou d'utilisateur.

4. Dans la liste Autorisations ou Administrateurs, vérifiez que ces options sont définies sur Autoriser :

   • Émettre et gérer des certificats

   • Gérer CA

   • Demander des certificats

   Si l'une de ces options est définie sur Refuser ou n'est pas sélectionnée, affectez la valeur Autoriser à l'autorisation.

   

5. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de l'Autorité de certification de la démocratie sans fil, puis fermez Autorité de certification.

Étape 7 : Ajouter des ordinateurs au domaine

Procédez comme suit :

Remarque : si l'ordinateur est déjà ajouté au domaine, passez à Ajouter des utilisateurs au domaine.

1. Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.

2. Dans l'arborescence de la console, développez wirelessdemo.local.

3. Cliquez avec le bouton droit sur Utilisateurs, cliquez sur Nouveau, puis sur Ordinateur.

4. Dans la boîte de dialogue Nouvel objet - Ordinateur, tapez le nom de l'ordinateur dans le champ Nom de l'ordinateur et cliquez sur Suivant. Cet exemple utilise le nom d'ordinateur Client.

   

5. Dans la boîte de dialogue Géré, cliquez sur Suivant.

6. Dans la boîte de dialogue Nouvel objet - Ordinateur, cliquez sur Terminer.

7. Répétez les étapes 3 à 6 afin de créer des comptes d'ordinateur supplémentaires.

Étape 8 : Autoriser l'accès sans fil aux ordinateurs

Procédez comme suit :

1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur le dossier Ordinateurs et cliquez avec le bouton droit de la souris sur l'ordinateur pour lequel vous souhaitez attribuer un accès sans fil. Cet exemple montre la procédure avec le client de l'ordinateur que vous avez ajoutée à l'étape 7. Cliquez sur Propriétés, puis accédez à l'onglet Composer.

2. Sélectionnez Autoriser l'accès et cliquez sur OK.

Étape 9 : Ajouter des utilisateurs au domaine

Procédez comme suit :

1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur Utilisateurs, cliquez sur Nouveau, puis sur Utilisateur.

2. Dans le nouvel objet - boîte de dialogue de l'utilisateur, introduisez le nom de l'utilisateur sans fil. Cet exemple utilise le nom WirelessUser dans le champ First name et WirelessUser dans le champ User logon name. Cliquez sur Next (Suivant).

   

3. Dans le nouvel objet - boîte de dialogue d'utilisateur, saisissez un mot de passe de votre choix dans le champ mot de passe, puis confirmez les champs du mot de passe. Effacez la case à cocher User must change password at next logon, puis cliquez sur Next.

   

4. Dans le nouvel objet - boîte de dialogue d'utilisateur, cliquez sur Finish.

5. Répétez les étapes 2 à 4 afin de créer des comptes d'utilisateur supplémentaires.

Étape 10 : Permettez l'accès sans fil aux utilisateurs

Procédez comme suit :

1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez sur le dossier Utilisateurs, cliquez avec le bouton droit sur WirelessUser, cliquez sur Propriétés, puis accédez à l'onglet Composer.

2. Sélectionnez Autoriser l'accès et cliquez sur OK.

Étape 11 : Ajouter des groupes au domaine

Procédez comme suit :

1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur Utilisateurs, cliquez sur Nouveau, puis sur Groupe.

2. Dans la boîte de dialogue Nouveau objet - Groupe, tapez le nom du groupe dans le champ Nom du groupe et cliquez sur OK. Ce document utilise le nom de groupe WirelessUsers.

   

Étape 12: Ajouter des utilisateurs au groupe WirelessUsers

Procédez comme suit :

1. Dans le volet d'informations Utilisateurs et ordinateurs Active Directory, double-cliquez sur le groupe Utilisateurs sans fil.

2. Accédez à l'onglet Membres et cliquez sur Ajouter.

3. Dans la boîte de dialogue Sélectionner des utilisateurs, des contacts, des ordinateurs ou des groupes, tapez le nom des utilisateurs à ajouter au groupe. Cet exemple montre comment ajouter l'utilisateur sans fil au groupe. Click OK.

   

4. Dans la boîte de dialogue Noms multiples trouvés, cliquez sur OK. Le compte utilisateur WirelessUser est ajouté au groupe WirelessUsers.

   

5. Cliquez sur OK afin d'enregistrer les modifications apportées au groupe WirelessUsers.

6. Répétez cette procédure pour ajouter d'autres utilisateurs au groupe.

Étape 13 : Ajouter des ordinateurs clients au groupe WirelessUsers

Procédez comme suit :

1. Répétez les étapes 1 et 2 de la section Ajouter des utilisateurs au groupe d'utilisateurs sans fil de ce document

2. Dans la boîte de dialogue Sélectionner des utilisateurs, des contacts ou des ordinateurs, tapez le nom de l'ordinateur à ajouter au groupe. Cet exemple montre comment ajouter l'ordinateur nommé Client au groupe.

   

3. Cliquez sur Types d'objets, désactivez la case à cocher Utilisateurs, puis activez Ordinateurs.

   

4. Cliquez deux fois sur OK. Le compte d'ordinateur CLIENT est ajouté au groupe WirelessUsers.

5. Répétez la procédure pour ajouter d'autres ordinateurs au groupe.

Installation de Windows Standard 2003 avec Cisco Secure ACS 4.0

Cisco Secure ACS est un ordinateur qui exécute Windows Server 2003 avec SP1, Standard Edition, qui fournit l'authentification et l'autorisation RADIUS pour le contrôleur. Complétez les procédures de cette section afin de configurer ACS en tant que serveur RADIUS :

Installation et configuration de base

Procédez comme suit :

1. Installez Windows Server 2003 avec SP1, Standard Edition, en tant que serveur membre nommé ACS dans le domaine wirelessdemo.local.

   Remarque : le nom du serveur ACS apparaît sous cisco_w2003 dans les configurations restantes. Remplacez ACS ou cisco_w2003 sur la configuration des travaux pratiques restante.

2. Pour la connexion locale, configurez le protocole TCP/IP avec l'adresse IP 172.16.100.26, le masque de sous-réseau 255.255.255.0 et l'adresse IP du serveur DNS 127.0.0.1.

Installation de Cisco Secure ACS 4.0

Remarque : reportez-vous au Guide d'installation de Cisco Secure ACS 4.0 pour Windows pour plus d'informations sur la configuration de Cisco Secure ACS 4.0 pour Windows.

Procédez comme suit :

1. Utilisez un compte Administrateur de domaine afin de vous connecter à l'ordinateur nommé ACS pour installer Cisco Secure ACS.

   Remarque : Seules les installations effectuées sur l'ordinateur sur lequel vous installez Cisco Secure ACS sont prises en charge. Les installations distantes effectuées à l'aide des services Terminal Server Windows ou de produits tels que Virtual Network Computing (VNC) ne sont pas testées et ne sont pas prises en charge.

2. Insérez le CD Cisco Secure ACS dans un lecteur de CD-ROM de l'ordinateur.

3. Si le lecteur de CD-ROM prend en charge la fonctionnalité d'exécution automatique de Windows, la boîte de dialogue Cisco Secure ACS pour Windows Server s'affiche.

   Remarque : si aucun Service Pack requis n'est installé sur l'ordinateur, une boîte de dialogue s'affiche. Les Service Packs Windows peuvent être appliqués avant ou après l'installation de Cisco Secure ACS. Vous pouvez poursuivre l'installation, mais le Service Pack requis doit être appliqué une fois l'installation terminée. Sinon, Cisco Secure ACS risque de ne pas fonctionner de manière fiable.

4. Effectuez l'une des tâches suivantes :

   • Si la boîte de dialogue Cisco Secure ACS pour Windows Server apparaît, cliquez sur Installer.

   • Si la boîte de dialogue Cisco Secure ACS pour Windows Server n'apparaît pas, exécutez setup.exe, situé dans le répertoire racine du CD Cisco Secure ACS.

5. La boîte de dialogue Configuration de Cisco Secure ACS affiche le contrat de licence logicielle.

6. Lisez le contrat de licence logicielle. Si vous acceptez le contrat de licence logicielle, cliquez sur Accepter.

   La boîte de dialogue Bienvenue affiche des informations de base sur le programme de configuration.

7. Après avoir lu les informations dans la boîte de dialogue Bienvenue, cliquez sur Suivant.

8. La boîte de dialogue Avant de commencer répertorie les éléments que vous devez terminer avant de poursuivre l'installation. Si vous avez terminé tous les éléments répertoriés dans la boîte de dialogue Avant de commencer, cochez la case correspondante pour chaque élément et cliquez sur Suivant.

   Remarque : si vous n'avez pas terminé tous les éléments répertoriés dans la boîte de dialogue Avant de commencer, cliquez sur Annuler, puis sur Quitter le programme d'installation. Après avoir terminé tous les éléments répertoriés dans la boîte de dialogue Avant de commencer, redémarrez l'installation.

9. La boîte de dialogue Choisir l'emplacement de destination s'affiche. Sous Dossier de destination, l'emplacement d'installation apparaît. Il s'agit du lecteur et du chemin d'accès sur lesquels le programme d'installation installe Cisco Secure ACS.

10. Pour modifier l'emplacement d'installation, procédez comme suit :

    1. Cliquez sur Browse. La boîte de dialogue Choisir un dossier s'affiche. La zone Chemin contient l'emplacement d'installation.

    2. Modifiez l'emplacement d'installation. Vous pouvez entrer le nouvel emplacement dans la zone Chemin ou utiliser les listes Lecteurs et répertoires pour sélectionner un nouveau lecteur et répertoire. L'emplacement d'installation doit se trouver sur un lecteur local de l'ordinateur.

       Remarque : ne spécifiez pas de chemin d'accès contenant un caractère de pourcentage, "%« . Si vous le faites, l'installation peut sembler se poursuivre correctement mais échoue avant de se terminer.

    3. Click OK.

       Remarque : si vous avez spécifié un dossier qui n'existe pas, le programme d'installation affiche une boîte de dialogue pour confirmer la création du dossier. Afin de continuer, cliquez sur Yes.

11. Dans la boîte de dialogue Choisir l'emplacement de destination, le nouvel emplacement d'installation apparaît sous Dossier de destination.

12. Cliquez sur Next (Suivant).

13. La boîte de dialogue Configuration de la base de données d'authentification répertorie les options d'authentification des utilisateurs. Vous pouvez vous authentifier uniquement avec la base de données des utilisateurs Cisco Secure, ou également avec une base de données des utilisateurs Windows.

    Remarque : après avoir installé Cisco Secure ACS, vous pouvez configurer la prise en charge de l'authentification pour tous les types de base de données utilisateur externe en plus des bases de données utilisateur Windows.

14. Si vous voulez authentifier les utilisateurs avec la base de données des utilisateurs Cisco Secure uniquement, sélectionnez l'option Vérifier la base de données Cisco Secure ACS uniquement.

15. Si vous voulez authentifier des utilisateurs avec une base de données utilisateur Windows Security Access Manager (SAM) ou Active Directory en plus de la base de données utilisateur Cisco Secure, procédez comme suit :

    1. Sélectionnez l'option Également vérifier la base de données des utilisateurs Windows.

    2. La case à cocher Oui, reportez-vous à la case à cocher Accorder l'autorisation de numérotation à l'utilisateur.

       Remarque : la case à cocher « Accorder l'autorisation de numérotation à l'utilisateur » s'applique à toutes les formes d'accès contrôlées par Cisco Secure ACS, et pas seulement à l'accès commuté. Par exemple, un utilisateur qui accède au réseau via un tunnel VPN ne se connecte pas à un serveur d'accès au réseau. Toutefois, si la case Oui, reportez-vous à la case « Octroyer l'autorisation de numérotation à l'utilisateur » est cochée, Cisco Secure ACS applique les autorisations de numérotation utilisateur Windows afin de déterminer si l'utilisateur doit accorder l'accès au réseau.

    3. Si vous souhaitez autoriser l'accès aux utilisateurs authentifiés par une base de données d'utilisateurs de domaine Windows uniquement lorsqu'ils disposent d'une autorisation de numérotation dans leur compte Windows, cochez la case Oui, reportez-vous à la case de paramétrage « Accorder l'autorisation de numérotation à l'utilisateur ».

16. Cliquez sur Next (Suivant).

17. Le programme d'installation installe Cisco Secure ACS et met à jour le Registre Windows.

18. La boîte de dialogue Options avancées répertorie plusieurs fonctionnalités de Cisco Secure ACS qui ne sont pas activées par défaut. Pour plus d'informations sur ces fonctionnalités, reportez-vous au Guide de l'utilisateur de Cisco Secure ACS pour Windows Server, version 4.0.

    Remarque : Les fonctionnalités répertoriées apparaissent dans l'interface HTML de Cisco Secure ACS uniquement si vous les activez. Après l'installation, vous pouvez les activer ou les désactiver sur la page Options avancées de la section Configuration de l'interface.

19. Pour chaque fonction à activer, cochez la case correspondante.

20. Cliquez sur Next (Suivant).

21. La boîte de dialogue Surveillance du service actif s'affiche.

    Remarque : après l'installation, vous pouvez configurer les fonctions de surveillance active du service sur la page Gestion active du service dans la section Configuration du système.

22. Si vous souhaitez que Cisco Secure ACS surveille les services d'authentification des utilisateurs, cochez la case Activer la surveillance de connexion. Dans la liste Script à exécuter, sélectionnez l'option à appliquer en cas d'échec du service d'authentification :

    • Aucune action corrective : Cisco Secure ACS n'exécute pas de script.

      Remarque : cette option est utile si vous activez les notifications par courrier d'événement.

    • Reboot - Cisco Secure ACS exécute un script qui redémarre l'ordinateur qui exécute Cisco Secure ACS.

    • Redémarrer tout - Cisco Secure ACS redémarre tous les services Cisco Secure ACS.

    • Restart RADIUS/TACACS+—Cisco Secure ACS redémarre uniquement les services RADIUS et TACACS+.

23. Si vous souhaitez que Cisco Secure ACS envoie un message électronique lorsque le contrôle des services détecte un événement, cochez la case Notification par courrier.

24. Cliquez sur Next (Suivant).

25. La boîte de dialogue Mot de passe de chiffrement de base de données s'affiche.

    Remarque : Le mot de passe de chiffrement de base de données est chiffré et stocké dans le Registre ACS. Vous devrez peut-être réutiliser ce mot de passe lorsque des problèmes critiques surviennent et que la base de données doit être accessible manuellement. Gardez ce mot de passe à portée de main pour que le support technique puisse accéder à la base de données. Le mot de passe peut être modifié chaque période d'expiration.

26. Entrez un mot de passe pour le chiffrement de la base de données. Le mot de passe doit comporter au moins huit caractères et doit contenir à la fois des caractères et des chiffres. Il n'y a pas de caractères non valides.

27. Cliquez sur Next (Suivant).

28. Le programme d'installation se termine et la boîte de dialogue Cisco Secure ACS Service Initiation s'affiche.

29. Pour chaque option Cisco Secure ACS Services Initiation souhaitée, cochez la case correspondante. Les actions associées aux options se produisent une fois le programme d'installation terminé.

    • Oui, je veux démarrer le service Cisco Secure ACS maintenant : démarre les services Windows qui composent Cisco Secure ACS. Si vous ne sélectionnez pas cette option, l'interface HTML de Cisco Secure ACS n'est pas disponible, sauf si vous redémarrez l'ordinateur ou démarrez le service CSAdmin.

    • Oui, je veux que le programme d'installation lance Cisco Secure ACS Administrator à partir de mon navigateur après l'installation : ouvre l'interface HTML de Cisco Secure ACS dans le navigateur Web par défaut pour le compte d'utilisateur Windows actuel.

    • Oui, je veux afficher le fichier Lisez-moi : ouvre le fichier README.TXT dans le Bloc-notes Windows.

30. Cliquez sur Next (Suivant).

31. Si vous avez sélectionné une option, les services Cisco Secure ACS démarrent. La boîte de dialogue Setup Complete (Configuration terminée) affiche des informations sur l'interface HTML de Cisco Secure ACS.

32. Cliquez sur Finish.

    Remarque : Le reste de la configuration est documenté dans la section pour le type EAP configuré.

Configuration du contrôleur LWAPP Cisco

Créer la configuration requise pour WPAv2/WPA

Procédez comme suit :

Remarque : l'hypothèse est que le contrôleur a une connectivité de base au réseau et que l'accessibilité IP à l'interface de gestion est réussie.

1. Accédez à https://172.16.101.252 afin de vous connecter au contrôleur.

   

2. Cliquez sur Connexion

3. Connectez-vous avec l'utilisateur par défaut admin et le mot de passe par défaut admin.

4. Créez une interface pour le mappage VLAN sous le menu Contrôleur.

5. Cliquez sur Interfaces.

6. Cliquez sur New.

7. Dans le champ Nom de l'interface, tapez Employé. (Ce champ peut être n'importe quelle valeur que vous souhaitez.)

8. Dans le champ VLAN ID, tapez 20. (Ce champ peut être n'importe quel VLAN transporté sur le réseau.)

9. Cliquez sur Apply.

10. Configurez les informations comme le montre la fenêtre Interfaces > Edit.

    

11. Cliquez sur Apply.

12. Cliquez sur l'onglet WLAN.

13. Choisissez Create New et cliquez sur Go.

14. Entrez un nom de profil et dans le champ WLAN SSID, saisissez Employee.

15. Choisissez un ID pour le WLAN et cliquez sur Apply.

16. Configurez les informations de ce WLAN lorsque la fenêtre WLANs > Edit s'affiche.

    Remarque : WPAv2 est la méthode de chiffrement de couche 2 choisie pour ces travaux pratiques. Afin de permettre aux clients WPA avec TKIP-MIC de s'associer à ce SSID, vous pouvez également vérifier le mode de compatibilité WPA et les cases Autoriser les clients TKIP WPA2 ou les clients qui ne prennent pas en charge la méthode de chiffrement AES 802.11i.

    

17. Dans l'écran WLANs > Edit, cliquez sur l'onglet General.

18. Assurez-vous que la case Statut est cochée pour Activé et que l'interface appropriée (employé) est sélectionnée. Veillez également à cocher la case Activé pour le SSID de diffusion.

19. Cliquez sur l'onglet Security.

20. Sous le sous-menu Couche 2, vérifiez WPA + WPA2 pour la sécurité de couche 2. Pour le chiffrement WPA2, vérifiez AES + TKIP afin d'autoriser les clients TKIP.

21. Choisissez 802.1x comme méthode d'authentification.

22. Ignorez le sous-menu de la couche 3 car il n'est pas nécessaire. Une fois le serveur RADIUS configuré, vous pouvez choisir le serveur approprié dans le menu Authentification.

23. Les onglets QoS et Advanced peuvent être laissés par défaut, sauf si des configurations spéciales sont requises.

24. Cliquez sur le menu Sécurité pour ajouter le serveur RADIUS.

25. Sous le sous-menu RADIUS, cliquez sur Authentification. Cliquez ensuite sur Nouveau.

26. Ajoutez l'adresse IP du serveur RADIUS (172.16.100.25), qui est le serveur ACS configuré précédemment.

27. Assurez-vous que la clé partagée correspond au client AAA configuré dans le serveur ACS. Assurez-vous que la case Network User est cochée et cliquez sur Apply.

    

28. La configuration de base est maintenant terminée et vous pouvez commencer à tester PEAP.

Authentification PEAP

Le PEAP avec MS-CHAP version 2 nécessite des certificats sur les serveurs ACS mais pas sur les clients sans fil. L'inscription automatique de certificats d'ordinateur pour les serveurs ACS peut être utilisée pour simplifier un déploiement.

Afin de configurer DC_CA pour fournir l'inscription automatique des certificats d'ordinateur et d'utilisateur, complétez les procédures de cette section.

Remarque : Microsoft a modifié le modèle Web Server avec la version de Windows 2003 Enterprise CA afin que les clés ne soient plus exportables et que l'option soit grisée. Aucun autre modèle de certificat fourni avec les services de certificat n'est destiné à l'authentification du serveur et permet de marquer les clés comme exportables disponibles dans la liste déroulante. Vous devez donc créer un nouveau modèle pour cela.

Remarque : Windows 2000 autorise les clés exportables et ces procédures ne doivent pas être suivies si vous utilisez Windows 2000.

Installer le composant logiciel enfichable Modèles de certificat

Procédez comme suit :

1. Choisissez Démarrer > Exécuter, tapez mmc, puis cliquez sur OK.

2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, puis sur Ajouter.

3. Sous Composant logiciel enfichable, double-cliquez sur Modèles de certificat, cliquez sur Fermer, puis sur OK.

4. Dans l'arborescence de la console, cliquez sur Modèles de certificats. Tous les modèles de certificat apparaissent dans le volet Détails.

5. Afin de contourner les étapes 2 à 4, tapez certtmpl.msc qui ouvre le composant logiciel enfichable Modèles de certificats.

   

Créer le modèle de certificat pour le serveur Web ACS

Procédez comme suit :

1. Dans le volet Détails du composant logiciel enfichable Modèles de certificats, cliquez sur le modèle serveur Web.

2. Dans le menu Action, cliquez sur Modèle en double.

   

3. Dans le champ Nom d'affichage du modèle, tapez ACS.

   

4. Accédez à l'onglet Gestion des demandes et cochez la case Autoriser l'exportation de la clé privée. Assurez-vous également que Signature et chiffrement sont sélectionnés dans le menu déroulant Objet.

   

5. Choisissez Demandes doit utiliser l'un des CSP suivants et cochez Fournisseur de chiffrement Microsoft Base v1.0. Désélectionnez les autres fournisseurs de services de contact cochés, puis cliquez sur OK.

   

6. Accédez à l'onglet Nom du sujet, choisissez Approvisionnement dans la demande et cliquez sur OK.

   

7. Accédez à l'onglet Sécurité, mettez en surbrillance le groupe d'administrateurs de domaine et assurez-vous que l'option Inscription est cochée sous Autorisé.

   Important : Si vous choisissez de créer à partir de ces informations Active Directory, vérifiez uniquement le nom principal d'utilisateur (UPN) et décochez la case Inclure le nom de courrier électronique dans le nom d'objet et le nom de courrier électronique, car aucun nom de courrier électronique n'a été saisi pour le compte d'utilisateur sans fil dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Si vous ne désactivez pas ces deux options, l'inscription automatique tente d'utiliser le courrier électronique, ce qui entraîne une erreur d'inscription automatique.

   

8. Des mesures de sécurité supplémentaires sont nécessaires pour empêcher que les certificats ne soient automatiquement exclus. Vous pouvez les trouver dans l'onglet Conditions d'émission. Cette question n'est pas abordée plus en détail dans le présent document.

   

9. Cliquez sur OK pour enregistrer le modèle et passer à l'émission de ce modèle à partir du composant logiciel enfichable Autorité de certification.

Activer le nouveau modèle de certificat de serveur Web ACS

Procédez comme suit :

1. Ouvrez le composant logiciel enfichable Autorité de certification. Suivez les étapes 1 à 3 de la section Créer le modèle de certificat pour le serveur Web ACS, choisissez l'option Autorité de certification, choisissez Ordinateur local et cliquez sur Terminer.

   

2. Dans l'arborescence de la console, développez Wireless, puis cliquez avec le bouton droit de la souris sur Certificate Templates.

   

3. Choisissez Nouveau > Modèle de certificat à émettre.

4. Cliquez sur le modèle de certificat ACS.

   

5. Cliquez sur OK et ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.

6. Dans l'arborescence de la console, double-cliquez sur Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur wirelessdemo.local, puis cliquez sur Propriétés.

   

7. Dans l'onglet Stratégie de groupe, cliquez sur Stratégie de domaine par défaut, puis sur Modifier. Le composant logiciel enfichable Éditeur d'objets de stratégie de groupe s'ouvre.

   

8. Dans l'arborescence de la console, développez Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de clé publique, puis sélectionnez Paramètres de demande de certificat automatique.

   

9. Cliquez avec le bouton droit sur Paramètres de demande de certificat automatique et sélectionnez Nouveau > Demande de certificat automatique.

10. Sur la page Welcome to the Automatic Certificate Request Setup Wizard, cliquez sur Next.

11. Sur la page Modèle de certificat, cliquez sur Ordinateur et cliquez sur Suivant.

    

12. Lorsque vous avez terminé la page Assistant Configuration de la demande de certificat automatique, cliquez sur Terminer.

    Le type de certificat Ordinateur apparaît maintenant dans le volet d'informations du composant logiciel enfichable Éditeur d'objets de stratégie de groupe.

    

13. Dans l'arborescence de la console, développez Configuration utilisateur > Paramètres Windows > Paramètres de sécurité > Stratégies de clé publique.

    

14. Dans le volet d'informations, double-cliquez sur Paramètres d'inscription automatique.

15. Choisissez Inscrire automatiquement les certificats et cochez la case Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués et Mettre à jour les certificats qui utilisent des modèles de certificats.

    

16. Click OK.

Configuration du certificat ACS 4.0

Configurer un certificat exportable pour ACS

Important : Le serveur ACS doit obtenir un certificat de serveur auprès du serveur AC racine d'entreprise afin d'authentifier un client PEAP WLAN.

Important : Assurez-vous que le Gestionnaire des services Internet n'est pas ouvert pendant le processus de configuration du certificat, car cela entraîne des problèmes avec les informations mises en cache.

1. Connectez-vous au serveur ACS avec un compte disposant des droits d'administrateur Enterprise.

2. Sur la machine ACS locale, pointez le navigateur sur le serveur de l'autorité de certification Microsoft à l'adresse http://IP-address-of-Root-CA/certsrv. Dans ce cas, l'adresse IP est 172.16.100.26.

3. Connectez-vous en tant qu'administrateur.

   

4. Choisissez Demander un certificat et cliquez sur Suivant.

   

5. Choisissez Demande avancée et cliquez sur Suivant.

   

6. Choisissez Créer et soumettre une demande à cette autorité de certification et cliquez sur Suivant.

   Important : Cette étape s'explique par le fait que Windows 2003 ne permet pas les clés exportables et que vous devez générer une demande de certificat basée sur le certificat ACS que vous avez créé précédemment.

   

7. Dans Modèles de certificat, sélectionnez le modèle de certificat créé précédemment nommé ACS. Les options changent après avoir sélectionné le modèle.

8. Configurez le nom comme nom de domaine complet du serveur ACS. Dans ce cas, le nom du serveur ACS est cisco_w2003.wirelessdemo.local. Assurez-vous que le certificat du magasin de certificats de l'ordinateur local est coché et cliquez sur Soumettre.

   

9. Une fenêtre contextuelle s'affiche pour signaler une violation potentielle de script. Choisissez Oui.

   

10. Cliquez sur Installer ce certificat.

    

11. Une fenêtre contextuelle s'affiche à nouveau et met en garde contre une violation potentielle des scripts. Sélectionnez Oui.

    

12. Après avoir cliqué sur Oui, le certificat est installé.

    

13. À ce stade, le certificat est installé dans le MMC Certificats sous Personal > Certificates.

    

14. Maintenant que le certificat est installé sur l'ordinateur local (ACS ou cisco_w2003 dans cet exemple), vous devez générer un fichier de certificat (.cer) pour la configuration du fichier de certificat ACS 4.0.

15. Sur le serveur ACS (cisco_w2003 dans cet exemple), pointez le navigateur du serveur de l'Autorité de certification Microsoft sur http://172.16.100.26 /certsrv.

Installer le certificat dans le logiciel ACS 4.0

Procédez comme suit :

1. Sur le serveur ACS (cisco_w2003 dans cet exemple), pointez le navigateur sur le serveur Microsoft CA vers http://172.16.100.26 /certsrv.

2. Dans l'option Sélectionner une tâche, sélectionnez Télécharger un certificat CA, une chaîne de certificats ou une liste de révocation de certificats.

3. Choisissez la méthode de codage radio Base 64 et cliquez sur Télécharger le certificat CA.

   

4. Une fenêtre Avertissement de sécurité de téléchargement de fichier s'affiche. Click Save.

   

5. Enregistrez le fichier avec un nom tel que ACS.cer ou tout autre nom que vous souhaitez. N'oubliez pas ce nom car vous l'utilisez lors de la configuration de l'autorité de certification ACS dans ACS 4.0.

   

6. Ouvrez ACS Admin à partir du raccourci de bureau créé lors de l'installation.

7. Cliquez sur Configuration du système.

   

8. Cliquez sur Configuration du certificat ACS.

   

9. Cliquez sur Installer le certificat ACS.

   

10. Choisissez Use certificate from storage et saisissez le nom de domaine complet cisco_w2003.wirelessdemo.local (ou ACS.wirelessdemo.local si vous avez utilisé ACS comme nom).

    

11. Cliquez sur Submit.

    

12. Cliquez sur Configuration du système.

13. Cliquez sur Contrôle de service puis sur Redémarrer.

    

14. Cliquez sur Configuration du système.

15. Cliquez sur Configuration de l'authentification globale.

16. Cochez Allow EAP-MSCHAPV2 et Allow EAP-GTC.

    

17. Cliquez sur Soumettre + Redémarrer.

18. Cliquez sur Configuration du système.

19. Cliquez sur Configuration de l'autorité de certification ACS.

20. Dans la fenêtre Configuration de l'autorité de certification ACS, tapez le nom et l'emplacement du fichier *.cer créé précédemment. Dans cet exemple, le fichier *.cer créé est ACS.cer dans le répertoire racine c:\.

21. Tapez c:\acs.cer dans le champ du fichier de certificat CA et cliquez sur Soumettre.

    

22. Redémarrez le service ACS.

Configuration CLIENT pour PEAP à l'aide de Windows Zero Touch

Dans notre exemple, CLIENT est un ordinateur qui exécute Windows XP Professionnel avec SP qui agit en tant que client sans fil et qui obtient l'accès aux ressources Intranet via le point d'accès sans fil. Suivez les procédures de cette section afin de configurer CLIENT en tant que client sans fil.

Installation et configuration de base

Procédez comme suit :

1. Connectez le CLIENT au segment de réseau intranet à l’aide d’un câble Ethernet connecté au concentrateur.

2. Sur CLIENT, installez Windows XP Professionnel avec SP2 en tant qu'ordinateur membre nommé CLIENT du domaine wirelessdemo.local.

3. Installer Windows XP Professionnel avec SP2. Ceci doit être installé afin d'avoir la prise en charge PEAP.

   Remarque : Le pare-feu Windows est automatiquement activé dans Windows XP Professionnel avec SP2. N'éteignez pas le pare-feu.

Installation de la carte réseau sans fil

Procédez comme suit :

1. Arrêtez l'ordinateur CLIENT.

2. Déconnectez l’ordinateur CLIENT du segment de réseau intranet.

3. Redémarrez l'ordinateur CLIENT, puis connectez-vous à l'aide du compte d'administrateur local.

4. Installez la carte réseau sans fil.

   Important : N'installez pas le logiciel de configuration du fabricant pour la carte sans fil. Installez les pilotes de carte réseau sans fil à l'aide de l'Assistant Ajout de matériel. En outre, lorsque vous y êtes invité, fournissez le CD fourni par le fabricant ou un disque avec des pilotes mis à jour pour une utilisation avec Windows XP Professionnel avec SP2.

Configuration de la connexion réseau sans fil

Procédez comme suit :

1. Déconnectez-vous, puis ouvrez une session à l'aide du compte WirelessUser du domaine wirelessdemo.local.

2. Choisissez Démarrer > Panneau de configuration, double-cliquez sur Connexions réseau, puis cliquez avec le bouton droit sur Connexion réseau sans fil.

3. Cliquez sur Propriétés, accédez à l'onglet Réseaux sans fil et assurez-vous que la case Utiliser Windows pour configurer mes paramètres réseau sans fil est cochée.

   

4. Cliquez sur Add.

5. Sous l'onglet Association, tapez Employee dans le champ Network name (SSID).

6. Sélectionnez WPA pour l'authentification réseau et assurez-vous que le chiffrement des données est défini sur TKIP.

   

7. Accédez à l'onglet Authentification.

8. Validez que le type EAP est configuré pour utiliser PEAP (Protected EAP). Si ce n'est pas le cas, sélectionnez-le dans le menu déroulant.

9. Si vous voulez que l'ordinateur soit authentifié avant la connexion (ce qui permet l'application de scripts de connexion ou de politiques de groupe), cochez la case Authentifier en tant qu'ordinateur lorsque des informations d'ordinateur sont disponibles.

   

10. Cliquez sur Properties.

11. Comme le protocole PEAP implique l'authentification du serveur par le client, assurez-vous que le certificat de validation du serveur est vérifié. Vérifiez également que l'autorité de certification qui a émis le certificat ACS est cochée dans le menu Autorités de certification racines de confiance.

12. Sélectionnez Mot de passe sécurisé (EAP-MSCHAP v2) sous Méthode d'authentification, car il est utilisé pour l'authentification interne.

    

13. Assurez-vous que la case Activer la reconnexion rapide est cochée. Cliquez ensuite trois fois sur OK.

14. Cliquez avec le bouton droit sur l'icône de connexion au réseau sans fil dans Systray, puis cliquez sur Afficher les réseaux sans fil disponibles.

15. Cliquez sur le réseau sans fil Employé et cliquez sur Connexion.

    

    Ces captures d'écran indiquent si la connexion s'est terminée correctement.

    

    

    

    

16. Une fois l'authentification réussie, vérifiez la configuration TCP/IP de la carte sans fil à l'aide de Connexions réseau. Il doit avoir une plage d'adresses de 172.16.100.100-172.16.100.254 à partir de la portée DHCP ou de la portée créée pour les clients sans fil.

17. Afin de tester la fonctionnalité, ouvrez un navigateur et accédez à http://wirelessdemoca (ou l'adresse IP du serveur AC d'entreprise).

Problème : Le client Odyssey demande trois fois pour la plate-forme d'authentification de jeton

Ce problème se produit dans toutes les versions de Windows et de la solution 2.x.

En règle générale, un paramètre de services sans fil sous XP entraîne cette situation.

Complétez ces étapes afin de corriger ce problème :

1. Choisissez Démarrer > Paramètres > Panneau de configuration > Outils d'administration > Services.

2. Accédez au bas de la liste et recherchez Wireless Zero Configuration.

3. Double-cliquez sur ce paramètre.

4. Sélectionnez l'option permettant d'arrêter ce service.

5. Sous le paramètre du type de démarrage, sélectionnez disable.

   Remarque : si vous arrêtez le service, il redémarre au redémarrage. Vous devez donc le désactiver pour que ce problème ne se reproduise pas.

6. Enregistrez les paramètres et fermez.

   

Échec de l'authentification PEAP avec le serveur ACS

Lorsque votre client échoue à l'authentification PEAP avec un serveur ACS, vérifiez si vous trouvez le message d'erreur « tentative d'authentification en double NAS » dans l'option échecs de tentatives sous le menu Rapport et activité de l'ACS.

Vous pouvez recevoir ce message d'erreur lorsque Microsoft Windows XP SP2 est installé sur l'ordinateur client et que Windows XP SP2 s'authentifie sur un serveur tiers autre qu'un serveur IAS Microsoft. En particulier, le serveur Cisco RADIUS (ACS) utilise une méthode différente pour calculer l'ID de type de protocole d'authentification extensible : Longueur : Valeur (EAP-TLV) de la méthode utilisée par Windows XP. Microsoft a identifié ceci comme un défaut dans le demandeur XP SP2.

Pour un correctif logiciel, contactez Microsoft et reportez-vous à l'article KB885453. Le problème sous-jacent est que, côté client, avec l'utilitaire Windows, l'option Fast Reconnect est désactivée pour PEAP par défaut. Cependant, cette option est activée par défaut côté serveur (ACS). Afin de résoudre ce problème, décochez l'option Fast Reconnect sur le serveur ACS et appuyez sur soumettre+redémarrer. Vous pouvez également activer l'option de reconnexion rapide côté client pour résoudre le problème.

Complétez ces étapes afin d'activer la reconnexion rapide sur le client qui exécute Windows XP à l'aide de l'utilitaire Windows :

1. Cliquez sur Démarrer > Paramètres > Panneau de configuration.

2. Double-cliquez sur l'icône Connexions réseau.

3. Cliquez avec le bouton droit sur l'icône Connexion réseau sans fil et cliquez sur Propriétés.

4. Cliquez sur l'onglet Réseaux sans fil.

5. Cochez l'option Utiliser Windows pour configurer mes paramètres réseau sans fil pour activer Windows pour configurer la carte client.

6. Si vous avez déjà configuré un SSID, sélectionnez le SSID et cliquez sur Propriétés. Sinon, cliquez sur Nouveau pour ajouter un nouveau WLAN.

7. Entrez le SSID sous l'onglet Association. Assurez-vous que l'authentification réseau est ouverte et que le chiffrement de données est défini sur WEP.

8. Cliquez sur Authentification.

9. Cochez l'option Activer l'authentification IEEE 802.1x pour cette option réseau.

10. Choisissez le type EAP comme PEAP et cliquez sur Propriétés.

11. Cochez l'option Enable Fast Reconnect en bas de la page.

    

Informations connexes

• Exemple de configuration de l'authentification EAP avec des contrôleurs de réseau local sans fil (WLC)
• Guide de configuration du contrôleur LAN sans fil
• Exemple de configuration de base d'un contrôleur LAN sans fil et d'un point d'accès léger
• Exemple de configuration de réseaux VLAN sur des contrôleurs de réseau local sans fil
• Exemple de configuration de réseaux VLAN de groupe de points d'accès avec des contrôleurs de réseau local sans fil
• Support et documentation techniques - Cisco Systems