Configurer 802.1X sur les points d'accès pour PEAP ou EAP-TLS avec LSC

Introduction

Ce document décrit comment authentifier les points d'accès Cisco sur leur port de commutation à l'aide des méthodes PEAP ou EAP-TLS 802.1X.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Contrôleur sans fil
• Point d'accès
• Commutateur
• Serveur ISE
• Autorité de certification.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Contrôleur sans fil : C9800-40-K9 fonctionnant sous 17.09.02
• Point d'accès : C9117AXI-D
• Commutateur : C9200L-24P-4G fonctionnant sous 17.06.04
• Serveur AAA : ISE-VM-K9 exécutant 3.1.0.518
• Autorité de certification : Windows Server 2016

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Si vous voulez que vos points d'accès (AP) s'authentifient avec leur port de commutation en utilisant 802.1X, ils utilisent par défaut le protocole d'authentification EAP-FAST qui ne nécessite pas de certificats. Si vous voulez que les AP utilisent la méthode PEAP-mschapv2 (qui utilise des informations d'identification du côté AP mais un certificat du côté RADIUS) ou la méthode EAP-TLS (qui utilise des certificats des deux côtés), vous devez d'abord configurer LSC. C'est le seul moyen de provisionner un certificat de confiance/racine sur un point d'accès (et également un certificat de périphérique dans le cas d'EAP-TLS). Il n'est pas possible pour le point d'accès de faire PEAP et d'ignorer la validation côté serveur. Ce document traite d'abord de la configuration de LSC, puis du côté de la configuration 802.1X.

Utilisez un LSC si vous voulez que votre PKI offre une meilleure sécurité, que vous ayez le contrôle de votre autorité de certification (CA) et que vous définissiez des politiques, des restrictions et des utilisations sur les certificats générés.

Avec LSC, le contrôleur obtient un certificat émis par l'autorité de certification. Un AP ne communique pas directement avec le serveur AC, mais le WLC demande des certificats au nom des AP qui se joignent. Les détails du serveur AC doivent être configurés sur le contrôleur et doivent être accessibles.

Le contrôleur utilise le protocole SCEP (Simple Certificate Enrollment Protocol) pour transférer les demandes de certificat générées sur les périphériques à l'autorité de certification et utilise à nouveau le protocole SCEP pour obtenir les certificats signés de l'autorité de certification.

Le SCEP est un protocole de gestion de certificats que les clients PKI et les serveurs CA utilisent pour prendre en charge l'inscription et la révocation de certificats. Il est largement utilisé dans Cisco et pris en charge par de nombreux serveurs CA. Dans le protocole SCEP, HTTP est utilisé comme protocole de transport pour les messages PKI. L’objectif principal de SCEP est la livraison sécurisée des certificats aux périphériques réseau.

Diagramme du réseau

Configurer

Il y a deux choses à configurer principalement : la CA SCEP et le WLC 9800.

AC SCEP Windows Server 2016

Ce document couvre une installation de base d'une autorité de certification SCEP Windows Server à des fins de travaux pratiques. Une autorité de certification Windows de production réelle doit être configurée de manière sécurisée et appropriée pour les opérations d'entreprise. Cette section a pour but de vous aider à le tester dans les travaux pratiques et de vous inspirer des paramètres requis pour que cette configuration fonctionne. Voici les étapes à suivre :

Étape 1.Installer une nouvelle version de Windows Server 2016 Desktop Experience.

Étape 2.Assurez-vous que votre serveur est configuré avec une adresse IP statique.

Étape 3.Installez un nouveau rôle et un nouveau service, en commençant par les services de domaine Active Directory et le serveur DNS.

Installation Active Directory

Fin de l'installation AD

Étape 4.Une fois terminé, cliquez sur dans le tableau de bord sur Promouvoir ce serveur en contrôleur de domaine.

Configurer les services AD

Étape 5.Créez une nouvelle forêt et choisissez un nom de domaine.

Choisir un nom de forêt

Étape 6.Ajoutez le rôle Services de certificats à votre serveur :

Ajouter des services de certificat

Ajouter uniquement l'autorité de certification

Étape 7.Une fois terminé, configurez votre autorité de certification.

Étape 8.Sélectionnez Enterprise CA.

Autorité de certification Enterprise

Étape 9.Faites-en une autorité de certification racine. Depuis Cisco IOS XE 17.6, les CA subordonnées sont prises en charge pour LSC.

Choisir une autorité de certification racine

Il est important que le compte que vous utilisez pour votre autorité de certification fasse partie du groupe IIS_IUSRS. Dans cet exemple, vous utilisez le compte Administrateur et accédez au menu Utilisateurs et ordinateurs Active Directory pour ajouter les utilisateurs Administrateur au groupe IIS_IUSRS.

Ajoutez votre compte administrateur au groupe IIS_USER

Étape 10.Une fois que vous avez un utilisateur dans le groupe IIS approprié, ajoutez des rôles et des services. Ajoutez ensuite le répondeur en ligne et les services NDES à votre autorité de certification.

Installer le NDES et les services de répondeur en ligne

Étape 11.Une fois terminé, configurez ces services.

Installer le répondeur en ligne et le service NDES

Étape 12.Vous êtes invité à choisir un compte de service. Il s'agit du compte que vous avez précédemment ajouté au groupe IIS_IUSRS.

Sélectionnez l'utilisateur que vous avez ajouté au groupe IIS

Étape 13.Ceci est suffisant pour les opérations SCEP, mais afin d'obtenir l'authentification 802.1X, vous devez également installer un certificat sur le serveur RADIUS. Par conséquent, pour simplifier, installez et configurez le service d'inscription Web afin de pouvoir copier et coller facilement la demande de certificat ISE sur votre serveur Windows.

Installer le service d'inscription Webconfigurer le service d'inscription web

Étape 14. Vous pouvez vérifier que le service SCEP fonctionne correctement en visitant http://<serverip>/certsrv/mscep/mscep.dll :

Vérification du portail SCEP

Étape 15.

Par défaut, Windows Server a utilisé un mot de passe de demande de confirmation dynamique pour authentifier les demandes des clients et des terminaux avant l'inscription dans Microsoft SCEP (MSCEP). Cela nécessite un compte d'administrateur pour accéder à l'interface utilisateur graphique Web afin de générer un mot de passe à la demande pour chaque demande (le mot de passe doit être inclus dans la demande).Le contrôleur n'est pas en mesure d'inclure ce mot de passe dans les demandes qu'il envoie au serveur. Pour supprimer cette fonctionnalité, la clé de Registre sur le serveur NDES doit être modifiée :

Ouvrez l'Éditeur du Registre et recherchez Regedit dans le menu Démarrer.

Accédez à Computer > HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Cryptography > MSCEP > EnforcePassword

Modifiez la valeur EnforcePassword sur 0. S'il est déjà 0, laissez-le tel quel.

Définition de la valeur Enforcepassword

Configurer le modèle de certificat et le Registre

Les certificats et les clés associées peuvent être utilisés dans plusieurs scénarios à différentes fins définies par les stratégies d'application au sein du serveur AC. La stratégie d'application est stockée dans le champ Extended Key Usage (EKU) du certificat. Ce champ est analysé par l'authentificateur pour vérifier qu'il est utilisé par le client pour l'usage prévu. Pour vous assurer que la stratégie d'application appropriée est intégrée aux certificats WLC et AP, créez le modèle de certificat approprié et mappez-le au registre NDES :

Étape 1. Accédez à Démarrer > Outils d'administration > Autorité de certification.

Étape 2. Développez l'arborescence des dossiers du serveur AC, cliquez avec le bouton droit sur les dossiers Modèles de certificats et sélectionnez Gérer.

Étape 3. Cliquez avec le bouton droit sur le modèle de certificat Users, puis sélectionnez Duplicate Template dans le menu contextuel.

Étape 4. Accédez à l'onglet Général, modifiez le nom du modèle et la période de validité comme vous le souhaitez, laissez toutes les autres options décochées.

Attention : lorsque la période de validité est modifiée, assurez-vous qu'elle n'est pas supérieure à la validité du certificat racine de l'autorité de certification.

Configurer le modèle de certificat

Étape 5. Accédez à l'onglet Nom de l'objet, vérifiez que Approvisionnement dans la demande est sélectionné. Une fenêtre contextuelle apparaît pour indiquer que les utilisateurs n'ont pas besoin de l'approbation de l'administrateur pour obtenir leur certificat signé, sélectionnez OK.

Fourniture dans la demande

Étape 6. Accédez à l'onglet Extensions, puis sélectionnez l'option Stratégies d'application et cliquez sur le bouton Modifier.... Assurez-vous que Client Authentication est dans la fenêtre Application Policies ; sinon, sélectionnez Add et ajoutez-le.

Vérifier les postes

Étape 7. Accédez à l'onglet Sécurité, vérifiez que le compte de service défini à l'étape 6 de l'option Activer les services SCEP dans le serveur Windows dispose des autorisations Contrôle total du modèle, puis sélectionnez Appliquer et OK.

Donner un contrôle total

Étape 8. Revenez à la fenêtre Autorité de certification, cliquez avec le bouton droit dans le dossier Modèles de certificats et sélectionnez Nouveau > Modèle de certificat à émettre.

Étape 9. Sélectionnez le modèle de certificat précédemment créé, dans cet exemple est 9800-LSC, et sélectionnez OK.

Remarque : le modèle de certificat nouvellement créé peut prendre plus de temps pour être répertorié dans plusieurs déploiements de serveurs car il doit être répliqué sur tous les serveurs.

Sélectionnez le modèle

Le nouveau modèle de certificat est maintenant répertorié dans le contenu du dossier Modèles de certificat.

Sélectionnez le LSC

Étape 10. Revenez à la fenêtre Éditeur du Registre et naviguez jusqu'à Ordinateur > HKEY_LOCAL_MACHINE > LOGICIEL > Microsoft > Cryptographie > MSCEP.

Étape 11. Modifiez les registres EncryptionTemplate, GeneralPurposeTemplate et SignatureTemplate afin qu'ils pointent vers le modèle de certificat nouvellement créé.

Modifier le modèle dans le Registre

Étape 12. Redémarrez le serveur NDES, revenez à la fenêtre Certification Authority, sélectionnez le nom du serveur, puis cliquez sur le bouton Stop and Play.

Configuration de LSC sur le 9800

Voici les étapes dans l'ordre pour configurer LSC pour AP dans WLC.

1. Créez une clé RSA. Cette clé est utilisée ultérieurement pour le point de confiance PKI.
2. Créez un point de confiance et mappez la clé RSA créée.
3. Activez le provisionnement LSC pour les points d'accès et mappez le point de confiance.
   1. Activez LSC pour tous les points d'accès joints.
   2. Activez LSC pour les points d'accès sélectionnés via la liste de provisionnement.
4. Modifiez le point de confiance de gestion sans fil et pointez sur le point de confiance LSC.

Étapes de configuration de l'interface graphique LSC AP

Étape 1. Accédez à Configuration > Security > PKI Management > Key Pair Generation.

1. Cliquez sur Ajouter et donnez-lui un nom approprié.
2. Ajoutez la taille de la clé RSA.
3. L'option exportable key est facultative. Cela n'est nécessaire que si vous souhaitez exporter la clé hors de la boîte.
4. Sélectionnez Générer

Étape 2. Accédez à Configuration > Security > PKI Management > Trustpoints

1. Cliquez sur Ajouter et donnez-lui un nom approprié.
2. Saisissez l'URL d'inscription (ici, l'URL est http://10.106.35.61:80/certsrv/mscep/mscep.dll) et le reste des détails.
3. Sélectionnez les paires de clés RSA créées à l’étape 1.
4. Cliquez sur Authenticate.
5. Cliquez sur enroll trustpoint et saisissez un mot de passe.
6. Cliquez sur Apply to Device.

Étape 3. Accédez à Configuration > Wireless > Access Points. Faites défiler vers le bas et sélectionnez LSC Provision.

1. Sélectionnez l'état Activé. Cela active LSC pour tous les AP qui sont connectés à ce WLC.
2. Sélectionnez le nom du point de confiance que nous avons créé à l'étape 2.

Remplissez le reste des détails en fonction de vos besoins.

Une fois que vous activez LSC, les AP téléchargent le certificat via WLC et redémarrent. Dans la session de console AP, vous voyez alors quelque chose comme cet extrait.

Étape 4. Une fois LSC activé, vous pouvez modifier le certificat de gestion sans fil pour qu’il corresponde au point de confiance LSC. Cela fait que les AP se joignent avec leurs certificats LSC et le WLC utilise son certificat LSC pour la jonction d'AP. Il s'agit d'une étape facultative si votre seul intérêt est d'effectuer l'authentification 802.1X de vos AP.

1. Accédez à Configuration > Interface > Wireless et cliquez sur Management Interface.
2. Modifiez le point de confiance pour qu'il corresponde au point de confiance que nous avons créé à l'étape 2.

Nous voici à la fin de la partie de configuration LSC GUI. Les AP doivent pouvoir joindre le WLC en utilisant le certificat LSC maintenant.

Étapes de configuration LSC CLI AP

1. Créez une clé RSA à l’aide de cette commande.

9800-40(config)#crypto key generate rsa general-keys modulus 2048 label AP-SCEP

% You already have RSA keys defined named AP-SCEP.
% They will be replaced
% The key modulus size is 2048 bits
% Generating 2048 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 0 seconds)
Sep 27 05:08:13.144: %CRYPTO_ENGINE-5-KEY_DELETED: A key named AP-SCEP has been removed from key storage
Sep 27 05:08:13.753: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named AP-SCEP has been generated or imported by crypto-engine

2. Créez un point de confiance PKI et mappez la paire de clés RSA. Saisissez l'URL d'inscription et les autres détails.

9800-40(config)#crypto pki trustpoint Access_Point-MS-CA
9800-40(ca-trustpoint)#enrollment url http://10.106.35.61:80/certsrv/mscep/mscep.dll
9800-40(ca-trustpoint)#subject-name C=IN,L=Bengaluru,ST=KA,O=TAC,CN=TAC-LAB.cisco.local,E=mail@tac-lab.local 
9800-40(ca-trustpoint)#rsakeypair AP-SCEP
9800-40(ca-trustpoint)#revocation none
9800-40(ca-trustpoint)#exit

3. Authentifiez et inscrivez le point de confiance PKI auprès du serveur AC à l’aide de la commande crypto pki authenticate <trustpoint>. Entrez un mot de passe à l'invite.

9800-40(config)#crypto pki authenticate Access_Point-MS-CA
Certificate has the following attributes:
Fingerprint MD5: C44D21AA 9B489622 4BF548E1 707F9B3B
Fingerprint SHA1: D2DE6E8C BA665DEB B202ED70 899FDB05 94996ED2
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted. 
9800-40(config)#crypto pki enroll Access_Point-MS-CA
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password:
Sep 26 01:25:00.880: %PKI-6-CERT_ENROLL_MANUAL: Manual enrollment for trustpoint Access_Point-MS-CA
Re-enter password:
% The subject name in the certificate will include: C=IN,L=Bengaluru,ST=KA,O=TAC,CN=TAC-LAB.cisco.local,E=mail@tac-lab.local
% The subject name in the certificate will include: 9800-40.cisco.com
% Include the router serial number in the subject name? [yes/no]: yes
% The serial number in the certificate will be: TTM244909MX
% Include an IP address in the subject name? [no]: no
Request certificate from CA? [yes/no]: yes
% Certificate request sent to Certificate Authority
% The 'show crypto pki certificate verbose Access_Point-MS-CA' commandwill show the fingerprint.
Sep 26 01:25:15.062: %PKI-6-CSR_FINGERPRINT:
CSR Fingerprint MD5 : B3D551528B97DA5415052474E7880667
CSR Fingerprint SHA1: D426CE9B095E1B856848895DC14F997BA79F9005
CSR Fingerprint SHA2: B8CEE743549E3DD7C8FA816E97F2746AB48EE6311F38F0B8F4D01017D8081525
Sep 26 01:25:15.062: CRYPTO_PKI: Certificate Request Fingerprint MD5 :B3D55152 8B97DA54 15052474 E7880667
Sep 26 01:25:15.062: CRYPTO_PKI: Certificate Request Fingerprint SHA1 :D426CE9B 095E1B85 6848895D C14F997B A79F9005
Sep 26 01:25:15.063: CRYPTO_PKI: Certificate Request Fingerprint SHA2 :B8CEE743 549E3DD7 C8FA816E 97F2746A B48EE631 1F38F0B8 F4D01017 D8081525
Sep 26 01:25:30.239: %PKI-6-CERT_INSTALL: An ID certificate has been installed under
Trustpoint : Access_Point-MS-CA
Issuer-name : cn=sumans-lab-ca,dc=sumans,dc=tac-lab,dc=com
Subject-name : e=mail@tac-lab.local,cn=TAC-LAB.cisco.local,o=TAC,l=Bengaluru,st=KA,c=IN,hostname=9800-40.cisco.com,serialNumber=TTM244909MX
Serial-number: 5C0000001400DD405D77E6FE7F000000000014
End-date : 2024-09-25T06:45:15Z
9800-40(config)#

4. Configurez la jonction AP avec le certificat LSC.

9800-40(config)#ap lsc-provision join-attempt 10
9800-40(config)#ap lsc-provision subject-name-parameter country IN state KA city Bengaluru domain TAC-LAB.cisco.local org TAC email-address mail@tac-lab.local
9800-40(config)#ap lsc-provision key-size 2048
9800-40(config)#ap lsc-provision trustpoint Access_Point-MS-CA
9800-40(config)#ap lsc-provision
In Non-WLANCC mode APs will be provisioning with RSA certificates with specified key-size configuration. In WLANCC mode APs will be provisioning with EC certificates with a 384 bit key.
Are you sure you want to continue? (y/n): y

5. Modifiez le point de confiance de gestion sans fil pour qu'il corresponde au point de confiance créé ci-dessus.

9800-40(config)#wireless management trustpoint Access_Point-MS-CA

Vérification LSC AP

Exécutez ces commandes sur le WLC pour vérifier le LSC.

#show wireless management trustpoint
#show ap lsc-provision summary
#show ap name < AP NAME > config general | be Certificate

Une fois les AP rechargés, connectez-vous à l'interface de ligne de commande des AP et exécutez ces commandes pour vérifier la configuration LSC.

#show crypto | be LSC
#show capwap cli config | in lsc
#show dtls connection

Dépannage du provisionnement LSC

Vous pouvez effectuer une capture EPC à partir du port de commutation de liaison ascendante WLC ou AP pour vérifier le certificat utilisé par AP pour former le tunnel CAPWAP. Vérifiez à partir du PCAP si le tunnel DTLS est correctement construit.

Les débogages DTLS peuvent être exécutés sur AP et WLC pour comprendre le problème du certificat.

---

Authentification 802.1X filaire AP utilisant LSC

Le point d’accès est configuré pour utiliser le même certificat LSC pour s’authentifier. Le point d'accès agit comme demandeur 802.1X et est authentifié par le commutateur sur le serveur ISE. Le serveur ISE communique avec le service AD dans le back-end.

Workflow d'authentification EAP-TLS et échange de messages

Étapes de configuration de l'authentification 802.1x filaire AP

1. Activez l'authentification de port dot1x avec CAPWAP DTLS et sélectionnez le type EAP.
2. Créez des identifiants dot1x pour les points d'accès.
3. Activez dot1x sur le port du commutateur.
4. Installez un certificat sécurisé sur le serveur RADIUS.

Configuration de l'interface graphique d'authentification 802.1x filaire AP

1. Accédez au profil de jointure AP et cliquez sur le profil.
   1. Cliquez sur AP > General. Sélectionnez le type EAP et le type d'autorisation AP « CAPWAP DTLS + dot1x port auth ».
   2. Accédez à Management > Credentials et créez un nom d'utilisateur et un mot de passe pour AP dot1x auth.

Configuration CLI d'authentification 802.1x filaire AP

Utilisez ces commandes pour activer dot1x pour les AP à partir de l'interface de ligne de commande. Cela active uniquement l'authentification filaire pour les AP qui utilisent le profil de jointure spécifique.

#ap profile ap-auth
#dot1x eap-type eap-tls
#dot1x lsc-ap-auth-state both
#dot1x username ap-wired-user password 0 cisco!123

Configuration du commutateur d'authentification 802.1x filaire AP

Cette configuration de commutateur est utilisée dans les travaux pratiques pour activer l'authentification filaire AP. Vous pouvez avoir une configuration différente en fonction de la conception.

aaa new-model
dot1x system-auth-control
aaa authentication dot1x default group radius
aaa authorization network default group radius
radius server ISE
address ipv4 10.106.34.170 auth-port 1812 acct-port 1813
key cisco!123
!
interface GigabitEthernet1/0/2
description "AP-UPLINK-PORT-AUTH-ENABLED"
switchport access vlan 101
switchport mode access
authentication host-mode multi-host
authentication order dot1x
authentication priority dot1x
authentication port-control auto
dot1x pae authenticator
end

Installation du certificat du serveur RADIUS

L'authentification se produit entre le point d'accès (qui agit en tant que demandeur) et le serveur RADIUS. Les deux doivent se faire confiance. Le seul moyen pour que le point d'accès approuve le certificat du serveur RADIUS est de faire en sorte que le serveur RADIUS utilise un certificat émis par l'autorité de certification SCEP qui a également émis le certificat AP.

Dans ISE, accédez à Administration > Certificates > Generate Certificate Signing Requests

Générez un CSR et remplissez les champs avec les informations de votre noeud ISE.

Une fois généré, vous pouvez l'exporter et le copier-coller en tant que texte.

Accédez à votre adresse IP AC Windows et ajoutez /certsrv/ à l'URL

Cliquez sur Demander un certificat

Cliquez sur Submit a certificate request by using a base-64 ....

Collez le texte CSR dans la zone de texte. Sélectionnez le modèle de certificat du serveur Web.

Vous pouvez ensuite installer ce certificat sur ISE en revenant au menu Certificate Signing Request et en cliquant sur Bind certificate. Vous pouvez ensuite télécharger le certificat obtenu à partir de votre ordinateur Windows C.

Vérification de l'authentification 802.1x filaire AP

Accédez au point d'accès via la console et exécutez la commande :

#show ap authentication status

L'authentification AP n'est pas activée :

Journaux de console à partir du point d'accès après activation de l'authentification ap :

AP authentifié avec succès :

Vérification WLC :

État de l'interface du port de commutation après authentification réussie :

Voici un exemple de journaux de console AP indiquant une authentification réussie :

[*09/26/2023 07:33:57.5512] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.5513] hostapd:EAP: Status notification: started (param=)
[*09/26/2023 07:33:57.5513] hostapd:EAP: EAP-Request Identity
[*09/26/2023 07:33:57.5633] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.5634] hostapd:EAP: Status notification: accept proposed method (param=TLS)
[*09/26/2023 07:33:57.5673] hostapd:dot1x: CTRL-EVENT-EAP-METHOD EAP vendor 0 method 13 (TLS) selected
[*09/26/2023 07:33:57.5907] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.5977] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.6045] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.6126] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.6137] hostapd:dot1x: CTRL-EVENT-EAP-PEER-CERT depth=1 subject='/DC=com/DC=tac-lab/DC=sumans/CN=sumans-lab-ca' hash=50db86650becf451eae2c31219ea08df9eda102c79b3e62fb6edf6842ee86db6
[*09/26/2023 07:33:57.6145] hostapd:dot1x: CTRL-EVENT-EAP-PEER-CERT depth=0 subject='/C=IN/ST=KA/L=BLR/O=CISCO/OU=TAC/CN=HTTS-ISE.htts-lab.local' hash=12bec6b738741d79a218c098553ff097683fe1a9a76a7996c3f799d0c184ae5e
[*09/26/2023 07:33:57.6151] hostapd:EAP: Status notification: remote certificate verification (param=success)
[*09/26/2023 07:33:57.6539] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.6601] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.6773] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.7812] hostapd:dot1x: RX EAPOL from 40:f0:78:00:a1:02
[*09/26/2023 07:33:57.7812] hostapd:EAP: Status notification: completion (param=success)
[*09/26/2023 07:33:57.7812] hostapd:dot1x: CTRL-EVENT-EAP-SUCCESS EAP authentication completed successfully
[*09/26/2023 07:33:57.7813] hostapd:dot1x: State: ASSOCIATED -> COMPLETED
[*09/26/2023 07:33:57.7813] hostapd:dot1x: CTRL-EVENT-CONNECTED - Connection to 01:80:c2:00:00:03 completed [id=0 id_str=]

Dépannage de l'authentification 802.1X

Prenez PCAP sur la liaison ascendante AP et vérifiez l'authentification RADIUS. Voici un extrait d'authentification réussie.

TCPdump collecte de l'ISE capturant l'authentification.

Si un problème est observé pendant l'authentification, une capture de paquets simultanée à partir de la liaison ascendante filaire AP et du côté ISE serait nécessaire.

Commande de débogage pour AP :

#debug ap authentication packet

Informations connexes

• Assistance technique et téléchargements Cisco
• Configuration de 802.1X sur AP avec AireOS
• Guide de configuration du 9800 pour LSC
• Exemple de configuration LSC pour 9800
• Configuration de 802.1X pour les points d'accès sur 9800