Introduzione
In questo documento viene descritto come configurare PEAP con l'autenticazione MS-CHAP con Server dei criteri di rete Microsoft come server RADIUS.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Conoscenza dell'installazione di base di Windows 2008
- Conoscenza dell'installazione del controller Cisco
Prima di provare la configurazione, verificare che siano soddisfatti i seguenti requisiti:
- Installare Microsoft Windows Server 2008 in ogni server del laboratorio di prova.
- Aggiorna tutti i Service Pack.
- Installare i controller e i Lightweight Access Point (LAP).
- Configurare gli aggiornamenti software più recenti.
Per informazioni sull'installazione iniziale e sulla configurazione dei Cisco Wireless Controller serie 5508, fare riferimento alla Guida all'installazione di Cisco Wireless Controller serie 5500.
Nota: questo documento ha lo scopo di fornire ai lettori un esempio della configurazione richiesta su un server Microsoft per l'autenticazione PEAP-MS-CHAP. La configurazione del server Microsoft Windows illustrata in questo documento è stata testata in laboratorio e ha funzionato come previsto. In caso di problemi con la configurazione, contattare Microsoft per assistenza. Il Cisco Technical Assistance Center (TAC) non supporta la configurazione del server Microsoft Windows.
Le guide all'installazione e alla configurazione di Microsoft Windows 2008 sono disponibili in Microsoft Tech Net.
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Cisco 5508 Wireless Controller con firmware versione 7.4
- Cisco Aironet 3602 Access Point (AP) con Lightweight Access Point Protocol (LWAPP)
- Windows 2008 Enterprise Server con Server dei criteri di rete, Autorità di certificazione (CA), DHCP (Dynamic Host Control Protocol) e DNS (Domain Name System) installati
- PC client Microsoft Windows 7
- Cisco Catalyst serie 3560 Switch
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Convenzioni
Fare riferimento a Cisco Technical Tips Conventions per ulteriori informazioni sulle convenzioni dei documenti.
Premesse
In questo documento viene fornita una configurazione di esempio per l'autenticazione PEAP (Protected Extensible Authentication Protocol) con MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) versione 2 in una rete wireless unificata Cisco con Server dei criteri di rete Microsoft come server RADIUS.
Panoramica di PEAP
PEAP utilizza TLS (Transport Level Security) per creare un canale crittografato tra un client PEAP autenticato, ad esempio un laptop wireless, e un autenticatore PEAP, ad esempio Server dei criteri di rete Microsoft o qualsiasi server RADIUS. PEAP non specifica un metodo di autenticazione, ma fornisce una protezione aggiuntiva per altri protocolli di autenticazione estensibili (EAP), ad esempio EAP-MS-CHAP v2, che possono funzionare tramite il canale crittografato TLS fornito da PEAP. Il processo di autenticazione PEAP è costituito da due fasi principali.
PEAP fase 1: canale crittografato TLS
Il client wireless viene associato all'access point. Un'associazione basata su IEEE 802.11 fornisce un'autenticazione a sistema aperto o a chiave condivisa prima che venga creata un'associazione sicura tra il client e il punto di accesso. Dopo aver stabilito l'associazione basata su IEEE 802.11 tra il client e il punto di accesso, la sessione TLS viene negoziata con l'access point. Al termine dell'autenticazione tra il client wireless e Server dei criteri di rete, la sessione TLS viene negoziata tra il client e Server dei criteri di rete. La chiave derivata in questa negoziazione viene utilizzata per crittografare tutte le comunicazioni successive.
PEAP fase due: comunicazione autenticata EAP
La comunicazione EAP, che include la negoziazione EAP, avviene all'interno del canale TLS creato da PEAP nella prima fase del processo di autenticazione PEAP. Il Server dei criteri di rete autentica il client wireless con EAP-MS-CHAP v2. Il LAP e il controller inoltrano messaggi solo tra il client wireless e il server RADIUS. Il controller WLC (Wireless LAN Controller) e il LAP non possono decrittografare questi messaggi perché non è l'endpoint TLS.
La sequenza di messaggi RADIUS per un tentativo di autenticazione riuscito (in cui l'utente ha fornito credenziali valide basate su password con PEAP-MS-CHAP v2) è:
- Server dei criteri di rete invia un messaggio di richiesta di identità al client: EAP-Request/Identity.
- Il client risponde con un messaggio di risposta di identità: Risposta EAP/Identità.
- Server dei criteri di rete invia un messaggio di richiesta MS-CHAP v2: EAP-Request/EAP-Type=EAP MS-CHAP-V2 (verifica).
- Il client risponde con una richiesta MS-CHAP v2 e una risposta: EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Response).
- Il Server dei criteri di rete restituisce un pacchetto MS-CHAP v2 che ha avuto esito positivo quando il server ha autenticato correttamente il client: EAP-Request/EAP-Type=EAP-MS-CHAP-V2 (operazione riuscita).
- Il client risponde con un pacchetto MS-CHAP v2 che ha avuto esito positivo quando ha autenticato correttamente il server: EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (operazione riuscita).
- Server dei criteri di rete invia un valore TLV (Type-Length-Value) di tipo EAP per indicare che l'autenticazione è stata eseguita correttamente.
- Il client risponde con un messaggio di stato EAP-TLV riuscito.
- Il server completa l'autenticazione e invia un messaggio di completamento EAP in testo normale. Se le VLAN vengono distribuite per l'isolamento del client, gli attributi VLAN sono inclusi in questo messaggio.
Configurazione
In questa sezione vengono presentate le informazioni necessarie per configurare PEAP-MS-CHAP v2.
Nota: per ulteriori informazioni sui comandi menzionati in questa sezione, usare lo strumento di ricerca dei comandi. Solo gli utenti Cisco registrati possono accedere agli strumenti e alle informazioni interne di Cisco.
Esempio di rete
Questa configurazione utilizza la seguente configurazione di rete:
Esempio di rete
In questa configurazione, un server Microsoft Windows 2008 svolge i seguenti ruoli:
- Controller di dominio del dominio
- Server DHCP/DNS
- server CA
- Server dei criteri di rete - per autenticare gli utenti wireless
- Active Directory - per gestire il database utenti
Il server si connette alla rete cablata tramite uno switch di layer 2, come mostrato. Il WLC e il LAP registrato si connettono inoltre alla rete tramite lo switch di layer 2.
I client wireless utilizzano l'autenticazione Wi-Fi Protected Access 2 (WPA2) - PEAP-MS-CHAP v2 per connettersi alla rete wireless.
Configurazioni
L'obiettivo di questo esempio è configurare il server Microsoft 2008, il controller LAN wireless e il punto di accesso Light Weight per autenticare i client wireless con l'autenticazione PEAP-MS-CHAP v2. Questo processo prevede tre fasi principali:
- Configurare il server Microsoft Windows 2008.
- Configurare i WLC e i Lightweight Access Point.
- Configurare i client wireless.
Configurazione di Microsoft Windows 2008 Server
In questo esempio, una configurazione completa del server Microsoft Windows 2008 include i seguenti passaggi:
- Configurare il server come controller di dominio.
- Installare e configurare i servizi DHCP.
- installare e configurare il server come server CA.
- Connettere i client al dominio.
- Installare Server dei criteri di rete.
- Installare un certificato.
- Configurare Server dei criteri di rete per l'autenticazione PEAP.
- Aggiungere utenti ad Active Directory.
Configurare il server Microsoft Windows 2008 come controller di dominio
Completare questa procedura per configurare il server Microsoft Windows 2008 come controller di dominio:
- Fare clic su Start > Server Manager.
![Open the Server Manager](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-01.png)
- Fare clic su Ruoli > Aggiungi ruoli.
![Select Add Roles](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-02.png)
- Fare clic su Next (Avanti).
![Before You Begin](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-03.png)
- Selezionare il servizio Servizi di dominio Active Directory e fare clic su Avanti.
![Select Server Roles](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-04.png)
- Rivedere l'Introduzione a Servizi di dominio Active Directory e fare clic su Avanti.
![Active Directory Domain Services](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-05.png)
- Fare clic su Installa per avviare il processo di installazione.
![Confirm Installation Selections](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-06.png)
L'installazione procede e viene completata.
- Fare clic su Chiudi la procedura guidata e avviare l'Installazione guidata Servizi di dominio Active Directory (dcpromo.exe) per continuare l'installazione e la configurazione di Active Directory.
![Installation Results](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-07.png)
- Fare clic su Avanti per eseguire l'Installazione guidata Servizi di dominio Active Directory.
![Domain Services Installation Wizard](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-08.png)
- Esaminare le informazioni relative alla compatibilità del sistema operativo e fare clic su Avanti.
![Run the Active Directory Domain Services Installation Wizard](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-09.png)
- Per creare un nuovo dominio, fare clic su Crea un nuovo dominio in una nuova foresta > Avanti.
![Review the Information on Operating System Compatibility](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-10.png)
- Immettere il nome DNS completo per il nuovo dominio e fare clic su Avanti.
![Name the Forest Root Domain](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-11.png)
- Selezionare il livello di funzionalità della foresta per il dominio e fare clic su Avanti.
![Set Forest Functional Level](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-12.png)
- Selezionare il livello di funzionalità del dominio e fare clic su Avanti.
![Select the Forest Functional Level](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-13.png)
- Verificare che il server DNS sia selezionato e fare clic su Avanti.
![Check the DNS Server for Additional Options](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-14.png)
- Fare clic su Sì per creare una nuova zona in DNS per il dominio durante l'installazione guidata.
![Select Yes in Installation Wizard](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-15.png)
- Selezionare le cartelle che devono essere utilizzate da Active Directory per i file e fare clic su Avanti.
![Select Folders the Active Directory Must Use](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-16.png)
- Immettere la password dell'amministratore e fare clic su Avanti.
![Enter the Administrator Password](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-17.png)
- Verificare le selezioni e fare clic su Avanti.
![Review Selections](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-18.png)
L'installazione procede.
- Scegliere Fine per chiudere la procedura guidata.
![Select Finish to Close the Wizard](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-19.png)
- Riavviare il server per rendere effettive le modifiche.
![Restart the Server](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-20.png)
Installare e configurare i servizi DHCP in Microsoft Windows 2008 Server
Il servizio DHCP nel server Microsoft 2008 viene utilizzato per fornire indirizzi IP ai client wireless. Completare questa procedura per installare e configurare i servizi DHCP:
- Fare clic su Start > Server Manager.
![Install and Configure DHCP Services](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-21.png)
- Fare clic su Ruoli > Aggiungi ruoli.
![Add Roles](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-22.png)
- Fare clic su Next (Avanti).
![Before You Begin](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-23.png)
- Selezionare il servizio DHCP Server, quindi fare clic su Avanti.
![Select Server Roles](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-24.png)
- Rivedere l'Introduzione al server DHCP e fare clic su Avanti.
![Review the Introduction to DHCP Server](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-25.png)
- Selezionare l'interfaccia che il server DHCP deve monitorare per le richieste e fare clic su Avanti.
![Select Interface the DHCP Server must Monitor for Requests](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-26.png)
- Configurare le impostazioni DNS predefinite che il server DHCP deve fornire ai client e fare clic su Avanti.
![Configure the Default DNS Settings](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-27.png)
- Configurare WINS se la rete supporta WINS.
![Configure WINS if Network Supports WINS](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-28.png)
- Fare clic su Add per utilizzare la procedura guidata e creare un ambito DHCP oppure fare clic su Next per creare un ambito DHCP in un secondo momento. Fare clic su Next (Avanti) per continuare.
![Create a DHCP Scope or Create DHCP Scope](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-29.png)
- Attivare o disattivare il supporto per DHCPv6 nel server e fare clic su Avanti.
![Configure DHCPv6 Stateless Mode](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-30.png)
- Configurare le impostazioni DNS IPv6 se DHCPv6 è stato abilitato nel passaggio precedente. Fare clic su Avanti per continuare.
![Configure IPv6 DNS Settings](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-31.png)
- Specificare le credenziali dell'amministratore di dominio per autorizzare il server DHCP in Active Directory e fare clic su Avanti.
![Provide Domain Administrator Credentials](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-32.png)
- Esaminare la configurazione nella pagina di conferma e fare clic su Installa per completare l'installazione.
![Confirm Configuration and Install](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-33.png)
L'installazione procede.
- Fare clic su Chiudi per chiudere la procedura guidata.
![Installation Results](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-34.png)
Il server DHCP è ora installato.
- Fare clic su Start > Strumenti di amministrazione> DHCP per configurare il servizio DHCP.
![Start Administrative Tools](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-35.png)
- Espandere il server DHCP (come mostrato nell'immagine precedente dell'esempio), fare clic con il pulsante destro del mouse su IPv4, quindi selezionare New Scope (Nuovo ambito) per creare un ambito DHCP.
![Expand the DHCP Server and Choose New Scope](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-36.png)
- Fare clic su Avanti per configurare il nuovo ambito tramite la Creazione guidata ambito.
![New Scope Wizard](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-37.png)
- Specificare un nome per il nuovo ambito (in questo esempio Client wireless) e fare clic su Avanti.
![Enter Scope Name](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-38.png)
- Immettere l'intervallo di indirizzi IP disponibili che possono essere utilizzati per i lease DHCP. Fare clic su Next (Avanti) per continuare.
![Enter Range of IP Addresses for DHCP Leases](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-39.png)
- Creare un elenco facoltativo di indirizzi esclusi. Fare clic su Next (Avanti) per continuare.
![Create Optional List of Excluded IP Addresses](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-40.png)
- Configurare la durata del lease e fare clic su Avanti.
![Configure Lease Time](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-41.png)
- Fare clic su Sì, configurare le opzioni ora, quindi fare clic su Avanti.
![Configure DHCP Options](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-42.png)
- Immettere l'indirizzo IP del gateway predefinito per questo ambito, fare clic su Add > Next (Aggiungi > Avanti).
![Enter IP Address of the Default Gateway](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-43.png)
- Configurare il nome di dominio DNS e il server DNS che verranno utilizzati dai client. Fare clic su Next (Avanti) per continuare.
![Configure the DNS Domain Name and DNS Server](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-44.png)
- Immettere le informazioni WINS per questo ambito se la rete supporta WINS. Fare clic su Next (Avanti) per continuare.
![Enter WINS Servers Information](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-45.png)
- Per attivare l'ambito, fare clic su Sì, attiva l'ambito ora > Avanti.
![Activate the Scope](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-46.png)
- Scegliere Fine per completare e chiudere la procedura guidata.
![Finish the New Scope Configuration](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-47.png)
Installazione e configurazione di Microsoft Windows 2008 Server come server CA
PEAP con EAP-MS-CHAP v2 convalida il server RADIUS in base al certificato presente sul server. Il certificato server deve inoltre essere rilasciato da una CA pubblica considerata attendibile dal computer client, ovvero il certificato CA pubblico esiste già nella cartella Autorità di certificazione radice attendibile nell'archivio certificati del computer client.
Completare la procedura seguente per configurare il server Microsoft Windows 2008 come server CA che rilascia il certificato al Server dei criteri di rete:
- Fare clic su Start > Server Manager.
![Configure the Microsoft Windows 2008 Server](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-48.png)
- Fare clic su Ruoli > Aggiungi ruoli.
![Add Roles](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-49.png)
- Fare clic su Next (Avanti).
![Before You Begin](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-50.png)
- Selezionare il servizio Servizi certificati Active Directory e fare clic su Avanti.
![Select Server Roles](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-51.png)
- Rivedere l'Introduzione a Servizi certificati Active Directory e fare clic su Avanti.
![Introduction to Active Directory Certificate Services](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-52.png)
- Selezionare l'Autorità di certificazione e fare clic su Avanti.
![Select Certification Authority Role](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-53.png)
- Selezionare Enterprise, quindi fare clic su Next (Avanti).
![Specify Setup Type Enterprise](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-54.png)
- Selezionare CA radice, quindi fare clic su Avanti.
![Specify CA Type](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-55.png)
- Selezionare Crea nuova chiave privata e fare clic su Avanti.
![Set Up Private Key](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-56.png)
- Fare clic su Next (Avanti) in Configure Cryptography for CA.
![Configure Cryptography for CA](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-57.png)
- Fare clic su Avanti per accettare il nome comune predefinito per questa CA.
![Configure CA Name](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-58.png)
- Selezionare la durata di validità del certificato CA e fare clic su Avanti.
![Set Length of Validity Period](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-59.png)
- Fare clic su Avanti per accettare il percorso predefinito del database certificati.
![Accept the Default Certificate Database](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-60.png)
- Verificare la configurazione e fare clic su Installa per avviare Servizi certificati Active Directory.
![Install and See Results](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-61.png)
- Al termine dell'installazione, fare clic su Chiudi.
Connetti client al dominio
Completare questa procedura per connettere i client alla rete cablata e scaricare le informazioni specifiche del dominio dal nuovo dominio:
- Collegare i client alla rete cablata con un cavo Ethernet straight-through.
- Avviare il client e accedere con il nome utente e la password del client.
- Fare clic su Start > Esegui, immettere cmd e fare clic su OK.
- Al prompt dei comandi, immettere ipconfig e fare clic su Enter per verificare che DHCP funzioni correttamente e che il client abbia ricevuto un indirizzo IP dal server DHCP.
- Per aggiungere il client al dominio, fare clic su Start, fare clic con il pulsante destro del mouse su Computer, scegliere Proprietà e scegliere Modifica impostazioni in basso a destra.
- Fare clic su Cambia.
- Fare clic su Dominio, immettere il nome di dominio, wireless, per questo esempio, e fare clic su OK.
![Enter the Domain Name](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-62.png)
- Immettere il nome utente administrator e la password specifica del dominio a cui il client viene aggiunto. Si tratta dell'account amministratore in Active Directory sul server.
![Enter Username as Administrator and the Password to Domain Client Joins](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-63.png)
- Fare clic su OK, quindi di nuovo su OK.
![The Computer Name Domain Changes](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-64.png)
- Fare clic su Close (Chiudi) > Restart Now (Riavvia ora) per riavviare il computer.
- Una volta riavviato il computer, eseguire l'accesso con: Username = Administrator; Password = <password dominio>; Domain = wireless.
- Fare clic su Start, fare clic con il pulsante destro del mouse su Computer, scegliere Proprietà, quindi selezionare Modifica impostazioni in basso a destra per verificare di appartenere al dominio wireless.
- Il passaggio successivo consiste nel verificare che il client abbia ricevuto il certificato CA (trust) dal server.
![Verify Client Received the CA Certificate](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-65.jpeg)
- Fare clic su Start, immettere mmc e premere Invio.
- Fare clic su File, quindi su Aggiungi/Rimuovi snap-in.
- Scegliere Certificati, quindi fare clic su Aggiungi.
![Add or Remove Snap In](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-66.png)
- Fare clic su Account computer e quindi su Avanti.
![Select Computer Account](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-67.png)
- Fare clic su Computer locale e quindi su Avanti.
![Select Local Computer](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-68.png)
- Fare clic su OK.
- Espandere le cartelle Certificati (computer locale) e Autorità di certificazione radice attendibili e fare clic su Certificati. Trovare il certificato CA del dominio wireless nell'elenco. In questo esempio, il certificato CA è denominato wireless-WIN-MVZ9Z2UMNMS-CA.
![Find the Wireless Domain CA Certificate](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-69.png)
- Ripetere questa procedura per aggiungere altri client al dominio.
Installare Server dei criteri di rete in Microsoft Windows 2008 Server
In questa configurazione, Server dei criteri di rete viene utilizzato come server RADIUS per autenticare i client wireless con l'autenticazione PEAP. Completare la procedura seguente per installare e configurare Server dei criteri di rete nel server Microsoft Windows 2008:
- Fare clic su Start > Server Manager.
![Start Server Manager](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-70.png)
- Fare clic su Ruoli > Aggiungi ruoli.
![Roles Summary](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-71.png)
- Fare clic su Next (Avanti).
![Before You Begin](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-72.png)
- Selezionare il servizio Servizi di accesso e criteri di rete e fare clic su Avanti.
![Select Server Roles](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-73.png)
- Rivedere l'Introduzione a Servizi di accesso e criteri di rete e fare clic su Avanti.
![Network Policy and Access Services](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-74.png)
- Selezionare Server dei criteri di rete, quindi fare clic su Avanti.
![Select Network Policy Server](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-75.png)
- Verificare la conferma e fare clic su Installa.
![Confirm Installation Selections](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-76.png)
Al termine dell'installazione, viene visualizzata una schermata simile a questa.
![Installation Results](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-77.png)
- Fare clic su Close (Chiudi).
Installa un certificato
Per installare il certificato del computer per Server dei criteri di rete, completare la procedura seguente:
- Fare clic su Start, immettere mmc e premere Invio.
- Fare clic su File > Aggiungi/Rimuovi snap-in.
- Scegliere Certificati, quindi fare clic su Aggiungi.
![Add or Remove Snap In](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-78.png)
- Scegliere Account computer e fare clic su Avanti.
![Certificate Snap In](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-79.png)
- Selezionare Computer locale e fare clic su Fine.
![Select Local Computer and Finish](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-80.png)
- Fare clic su OK per tornare a Microsoft Management Console (MMC).
![Return to the Microsoft Management Console (MMC)](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-81.png)
- Espandere le cartelle Certificati (computer locale) e Personale e fare clic su Certificati.
![Expand the Certificates and Personal folders and Click Certificates](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-82.png)
- Fare clic con il pulsante destro del mouse nello spazio sottostante il certificato CA e scegliere All Tasks > Request New Certificate.
![Request New Certificate](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-83.png)
- Fare clic su Next (Avanti).
![Certificate Enrollment](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-84.png)
- Selezionare Controller di dominio, quindi fare clic su Registra.
![Select Domain Controller](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-85.png)
- Una volta installato il certificato, fare clic su Fine.
![Finish Enrollment](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-86.png)
Il certificato del Server dei criteri di rete è installato.
- Verificare che lo scopo previsto del certificato sia Autenticazione client, Autenticazione server.
![Certificate Should Read Client Authentication Server Authentication](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-87.png)
Configurare il servizio Server dei criteri di rete per l'autenticazione PEAP-MS-CHAP v2
Completare la procedura seguente per configurare Server dei criteri di rete per l'autenticazione:
- Fare clic su Start > Strumenti di amministrazione > Server dei criteri di rete.
- Fare clic con il pulsante destro del mouse su Server dei criteri di rete (locale) e scegliere Registra server in Active Directory.
![Register Server in Active Directory](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-88.png)
- Fare clic su OK.
![Network Policy Server](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-89.png)
- Fare clic su OK.
![Computer is Now Authorized](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-90.png)
- Aggiungere il controller LAN wireless come client di autenticazione, autorizzazione e accounting (AAA) nel Server dei criteri di rete.
- Espandere Client e server RADIUS. Fare clic con il pulsante destro del mouse su Client RADIUS, quindi scegliere Nuovo client RADIUS.
![Choose New RADIUS Client](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-91.png)
- Immettere un nome descrittivo (WLC in questo esempio), l'indirizzo IP di gestione del WLC (192.168.162.248 in questo esempio) e un segreto condiviso. Lo stesso segreto condiviso viene utilizzato per configurare il WLC.
![New RADIUS Client](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-92.png)
- Fare clic su OK per tornare alla schermata precedente.
![List of RADIUS Client](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-93.png)
- Creare un nuovo criterio di rete per gli utenti wireless. Espandere Criteri, fare clic con il pulsante destro del mouse su Criteri di rete e scegliere Nuovo.
![Select Network Polices](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-94.png)
- Immettere un nome di criterio per la regola (in questo esempio, Wireless PEAP) e fare clic su Avanti.
![Specify Network Policy Name and Connection Type](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-95.png)
- Per fare in modo che questo criterio consenta solo gli utenti del dominio wireless, aggiungere le tre condizioni seguenti e fare clic su Avanti:
- Gruppi di Windows - Utenti del dominio
- Tipo porta NAS - Wireless - IEEE 802.11
- Tipo di autenticazione - EAP
![Add Specific Conditions](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-96.png)
- Fare clic su Accesso concesso per concedere i tentativi di connessione corrispondenti al criterio e quindi su Avanti.
![Specify Access Permission](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-97.png)
- Disabilitare tutti i metodi di autenticazione in Metodi di autenticazione meno sicuri.
![Configure Authentication Methods](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-98.png)
- Fare clic su Add, selezionare PEAP e fare clic su OK per abilitare PEAP.
![Enable PEAP](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-99.png)
- Selezionare Microsoft: Protected EAP (PEAP), quindi fare clic su Modifica. Verificare che il certificato del controller di dominio creato in precedenza sia selezionato nell'elenco a discesa Certificato emesso e fare clic su OK.
![Microsoft Protected EAP](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-100.png)
- Fare clic su Next (Avanti).
![Configure Constraints](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-101.png)
- Fare clic su Next (Avanti).
![Configure Settings](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-102.png)
- Fare clic su Next (Avanti).
![Completing New Network Policy](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-103.png)
- Fare clic su Finish (Fine).
![Add Users to the Active Directory](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-104.png)
Aggiungi utenti ad Active Directory
In questo esempio, il database utenti viene gestito in Active Directory. Per aggiungere utenti al database di Active Directory, completare i passaggi seguenti:
- Aprire Utenti e computer di Active Directory. Fare clic su Start > Strumenti di amministrazione > Utenti e computer di Active Directory.
- Nell'albero della console Utenti e computer di Active Directory espandere il dominio, fare clic con il pulsante destro del mouse su Utenti > Nuovo e scegliere Utente.
- Nella finestra di dialogo Nuovo oggetto - Utente, immettere il nome dell'utente wireless. In questo esempio viene utilizzato il nome Client1 nel campo Nome e Client1 nel campo Nome di accesso utente. Fare clic su Next (Avanti).
![Do Not Check User Must Change Password at Next Log On](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-105.png)
- Nella finestra di dialogo Nuovo oggetto - Utente, immettere una password a scelta nei campi Password e Conferma password. Verificare che la casella di controllo Cambiamento obbligatorio password all'accesso successivo non sia selezionata e fare clic su Avanti.
![Select Finish](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-106.png)
- Nella finestra di dialogo Nuovo oggetto - Utente fare clic su Fine.
![In Controller Interface Select New](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-107.png)
- Ripetere i passaggi da 2 a 4 per creare altri account utente.
Configurazione del controller LAN wireless e dei LAP
Configurare le periferiche wireless (i Wireless LAN Controller e LAP) per questa installazione.
Configurazione del WLC per l'autenticazione RADIUS
Configurare il WLC in modo che utilizzi Server dei criteri di rete come server di autenticazione. Per inoltrare le credenziali dell'utente a un server RADIUS esterno, è necessario configurare il WLC. Il server RADIUS esterno convalida quindi le credenziali dell'utente e fornisce l'accesso ai client wireless.
Completare questa procedura per aggiungere Server dei criteri di rete come server RADIUS nella pagina Sicurezza > Autenticazione RADIUS:
- Scegliere Sicurezza > RADIUS > Autenticazione dall'interfaccia del controller per visualizzare la pagina Server di autenticazione RADIUS. Per definire un server RADIUS, fare clic su New (Nuovo).
![RADIUS Authentication Servers Add IP](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-108.png)
- Definire i parametri del server RADIUS. Questi parametri includono l'indirizzo IP, il segreto condiviso, il numero di porta e lo stato del server RADIUS. Le caselle di controllo Utente di rete e Gestione di rete determinano se l'autenticazione basata su RADIUS viene applicata agli utenti di rete e di gestione (wireless). In questo esempio viene utilizzato Server dei criteri di rete come server RADIUS con indirizzo IP 192.168.162.12. Fare clic su Apply (Applica).
![Under Security Tab](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-109.png)
Configurazione di una WLAN per i client
Configurare l'identificatore del set di servizi (SSID) (WLAN) a cui si connettono i client wireless. In questo esempio, creare il SSID e denominarlo PEAP.
Definire l'autenticazione di layer 2 come WPA2 in modo che i client eseguano l'autenticazione basata su EAP (PEAP-MS-CHAP v2 in questo esempio) e utilizzino lo standard AES (Advanced Encryption Standard) come meccanismo di crittografia. Mantenere tutti gli altri valori ai valori predefiniti.
Nota: questo documento associa la WLAN alle interfacce di gestione. Se la rete contiene più VLAN, è possibile creare una VLAN separata e associarla all'SSID. Per informazioni su come configurare le VLAN sui WLC, fare riferimento all'esempio di configurazione delle VLAN sui controller LAN wireless.
Per configurare una WLAN sul WLC, completare i seguenti passaggi:
- Per visualizzare la pagina WLAN, fare clic su WLAN dall'interfaccia del controller. In questa pagina vengono elencate le WLAN esistenti sul controller.
- Per creare una nuova WLAN, selezionare New (Nuovo). Immettere l'ID WLAN e l'SSID WLAN per la WLAN, quindi fare clic su Applica.
![Select WLANs and Enter Profile Name](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-110.png)
- Per configurare l'SSID per 802.1x, attenersi alla seguente procedura:
- Fare clic sulla scheda General (Generale) e abilitare la WLAN.
![Edit PEAP Under the General Tab](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-111.png)
- Fare clic sulle schede Protezione > Livello 2, impostare Protezione di Livello 2 su WPA + WPA2, selezionare le caselle di controllo Parametri WPA+WPA2 (ad esempio, WPA2 AES) in base alle esigenze e fare clic su 802.1x come Gestione chiavi di autenticazione.
![Set Layer 2 Security](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-112.png)
- Fare clic sulla scheda Protezione > Server AAA, scegliere l'indirizzo IP del Server dei criteri di rete dall'elenco a discesa Server 1 e fare clic su Applica.
![Navigate to Security and then AAA Servers Tab](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-113.png)
Configurazione dei client wireless per l'autenticazione PEAP-MS-CHAP v2
Completare la procedura descritta di seguito per configurare il client wireless con lo strumento Zero Config di Windows per la connessione alla WLAN PEAP.
- Fare clic sull'icona Rete nella barra delle applicazioni. Fare clic su PEAP SSID, quindi su Connetti.
![Connect PEAP SSID](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-114.png)
- Il client deve essere connesso alla rete.
![Connect Client to Network](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-115.png)
- Se la connessione non riesce, provare a riconnettersi alla WLAN. Se il problema persiste, consultare la sezione Risoluzione dei problemi.
Verifica
Attualmente non è disponibile una procedura di verifica per questa configurazione.
Risoluzione dei problemi
Se il client non si è connesso alla WLAN, in questa sezione vengono fornite informazioni che è possibile utilizzare per risolvere i problemi relativi alla configurazione.
Per diagnosticare gli errori di autenticazione 802.1x è possibile utilizzare due strumenti: il comando debug client e il Visualizzatore eventi in Windows.
Se si esegue il debug di un client dal WLC, non si tratta di un'operazione che richiede molte risorse e non influisce sul servizio. Per avviare una sessione di debug, aprire l'interfaccia della riga di comando (CLI) del WLC e immettere debug client mac address, dove mac address è l'indirizzo mac wireless del client wireless che non è in grado di connettersi. Durante l'esecuzione del debug, provare a connettere il client. Nella CLI del WLC deve essere presente un output simile al seguente esempio:
![Output on the WLC](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-116.png)
Questo è un esempio di un problema che potrebbe verificarsi con una configurazione errata. In questo caso, il debug WLC mostra che il WLC è passato allo stato di autenticazione, ossia è in attesa di una risposta dal Server dei criteri di rete. Ciò è in genere dovuto a un segreto condiviso non corretto sul WLC o sul Server dei criteri di rete. È possibile verificare questa condizione tramite il Visualizzatore eventi di Windows Server. Se non si trova un registro, la richiesta non è mai stata inviata al Server dei criteri di rete.
Un altro esempio restituito dal debug WLC è access-reject. Un messaggio di rifiuto di accesso indica che il Server dei criteri di rete ha ricevuto e rifiutato le credenziali del client. Questo è un esempio di client che riceve un messaggio di rifiuto di accesso:
![Client that Receives an Access-Reject](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-117.png)
Quando viene visualizzato un messaggio di rifiuto di accesso, controllare i registri nei registri eventi di Windows Server per determinare il motivo per cui il Server dei criteri di rete ha risposto al client con un messaggio di rifiuto di accesso.
Se l'autenticazione ha esito positivo, nel debug del client è presente access-accept, come mostrato nell'esempio seguente:
![Successful Authentication has an Access-Accept in the Client Debug](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-118.png)
Per risolvere i problemi di rifiuto di accesso e di timeout di risposta, è necessario accedere al server RADIUS. Il WLC funge da autenticatore per il passaggio dei messaggi EAP tra il client e il server RADIUS. Il produttore del servizio RADIUS deve esaminare e diagnosticare un server RADIUS che risponde con un timeout di accesso, rifiuto o risposta.
Nota: TAC non fornisce supporto tecnico per server RADIUS di terze parti. Tuttavia, i registri sul server RADIUS in genere spiegano perché una richiesta client è stata rifiutata o ignorata.
Per risolvere i problemi relativi ai rifiuti di accesso e ai timeout di risposta da Server dei criteri di rete, esaminare i registri di Server dei criteri di rete nel Visualizzatore eventi di Windows sul server.
- Fare clic su Start > Strumenti di amministrazione > Visualizzatore eventi per avviare il Visualizzatore eventi ed esaminare i registri di Server dei criteri di rete.
- Espandere Visualizzazioni personalizzate > Ruoli server > Criteri di rete e accesso.
![Expand New Policy and Access](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-119.png)
In questa sezione della Visualizzazione eventi sono presenti registri di autenticazioni passate e non riuscite. Esaminare questi registri per risolvere i problemi relativi al mancato passaggio dell'autenticazione da parte di un client. Sia le autenticazioni passate che quelle non riuscite vengono visualizzate come informazioni. Scorrere i log per trovare il nome utente che non è stato autenticato e che ha ricevuto un rifiuto di accesso basato sui debug WLC.
Questo è un esempio di Server dei criteri di rete in cui viene negato l'accesso a un utente:
![NPS Denies a User Access](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-120.png)
Quando si esamina un'istruzione di rifiuto nel Visualizzatore eventi, esaminare la sezione Dettagli autenticazione. In questo esempio è possibile notare che il Server dei criteri di rete ha negato l'accesso all'utente a causa di un nome utente non corretto:
![NPS Denied the User Access Due to an Incorrect Username](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-121.png)
La Visualizzazione eventi nel Server dei criteri di rete consente inoltre di risolvere i problemi se il WLC non riceve una risposta dal Server dei criteri di rete. Ciò è in genere causato da un segreto condiviso non corretto tra il Server dei criteri di rete e il WLC.
In questo esempio, il Server dei criteri di rete ignora la richiesta del WLC a causa di un segreto condiviso non corretto:
![NPS Discards the Request from the WLC Due to an Incorrect Shared Secret](/c/dam/en/us/support/docs/wireless/5500-series-wireless-controllers/115988-nps-wlc-config-000-122.png)
Informazioni correlate