Configurando o Cisco Secure ACS para Windows v3.2 com autenticação de máquina PEAP-MS-CHAPv2

Introdução

Este documento demonstra como configurar Protocolo de autenticação extensível protegida (PEAP) com Cisco Secure ACS for Windows versão 3.2.

Para obter mais informações sobre como configurar o acesso sem fio seguro usando controladores de LAN sem fio, o software Microsoft Windows 2003 e o Cisco Secure Access Control Server (ACS) 4.0, consulte PEAP em Unified Wireless Networks with ACS 4.0 and Windows 2003.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nas versões de software e hardware abaixo.

• Cisco Secure ACS para Windows versão 3.2

• Microsoft Certificate Services (instalado como Enterprise root certificate authority [CA])

  Observação: para obter mais informações, consulte o Guia passo a passo para configurar uma autoridade de certificação.

• Serviço DNS com Windows 2000 Server com Service Pack 3

  Observação: se você tiver problemas com o CA Server, instale o hotfix 323172. O cliente Windows 2000 SP3 requer o hotfix 31364 para habilitar a autenticação IEEE 802.1x.

• Access point sem fio 12.01T do Cisco Aironet 1200 Series

• IBM ThinkPad T30 executando Windows XP Professional com Service Pack 1

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se você estiver trabalhando em uma rede ativa, certifique-se de que entende o impacto potencial de qualquer comando antes de utilizá-lo.

Material de Suporte

O PEAP e o EAP-TLS criam e usam um túnel TLS/SSL (Secure Socket Layer). O PEAP usa apenas a autenticação do lado do servidor; somente o servidor tem um certificado e comprova sua identidade para o cliente. O EAP-TLS, no entanto, usa autenticação mútua em que tanto o servidor ACS (authentication, authorization, and accounting [AAA]) quanto os clientes têm certificados e comprovam suas identidades entre si.

O PEAP é conveniente porque os clientes não exigem certificados. O EAP-TLS é útil para autenticar dispositivos sem cabeçalho, pois os certificados não exigem interação do usuário.

Conventions

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Diagrama de Rede

Este documento utiliza a instalação de rede mostrada no diagrama abaixo.

Configurar o Cisco Secure ACS para Windows v3.2

Siga estas etapas para configurar o ACS 3.2.

1. Obtenha um certificado para o servidor de ACS.

2. Configure o ACS para utilizar um certificado do armazenamento.

3. Especifique autoridades de certificação adicionais nas quais o ACS deve confiar.

4. Reinicie o serviço e configure as definições PEAP no ACS.

5. Especifique e configure o access point como um cliente AAA.

6. Configure os bancos de dados de usuário externo.

7. Reinicie o serviço.

Obtenha um certificado para o servidor ACS

Siga estes passos para obter um certificado.

1. No servidor ACS, abra um navegador da Web e navegue até o servidor CA, digitando http://CA-ip-address/certsrv na barra de endereços. Efetuar logon no domínio como Administrador.

   

2. Selecione Solicitar um certificado e, em seguida, clique em Avançar.

   

3. Selecione a solicitação Avançado e clique em Avançar.

   

4. Selecione Enviar uma solicitação de certificado para este CA, utilizando um formulário e, em seguida, clique em Avançar.

   

5. Configure as opções de certificado.

   1. Selecione o servidor da Web como modelo de certificado. Digite o nome do servidor de ACS.

      

   2. Defina o tamanho da chave como 1024. Selecione as opções para Mark keys as exportable e Use local machine store. Configure outras opções, conforme necessário e, em seguida, clique em Enviar.

      

      Observação: se você vir uma janela de aviso referente a uma violação de script (dependendo das configurações de segurança/privacidade do navegador), clique em Sim para continuar.

      

6. Clique em Instalar este certificado.

   

   Observação: se você vir uma janela de aviso referente a uma violação de script (dependendo das configurações de segurança/privacidade do navegador), clique em Sim para continuar.

   

7. Se a instalação foi concluída com sucesso, você verá uma mensagem de confirmação.

   

Configurar o ACS para utilizar um certificado do armazenamento

Siga estas etapas para configurar o ACS a fim de utilizar o certificado em armazenamento.

1. Abra um navegador da Web e vá até o servidor ACS digitando http://ACS-ip-address:2002/ na barra de endereços. Clique em System Configuration e, em seguida, em ACS Certificate Setup.

2. Clique em Install ACS Certificate (Instalar certificado ACS).

3. Selecione Use certificate from storage. No campo Certificado CN, insira o nome do certificado atribuído na etapa 5a da seção Obter um certificado para o servidor ACS. Clique em Submit.

   Essa entrada deve corresponder ao nome digitado no campo Nome durante a requisição de certificado avançada. É o nome CN no campo de assunto do certificado do servidor; você pode editar o certificado do servidor para verificar esse nome. Neste exemplo, o nome é "OurACS". Não digite o nome CN do emissor.

   

4. Quando a configuração estiver concluída, você verá uma mensagem de confirmação indicando que a configuração do servidor ACS foi alterada.

   Observação: você não precisa reiniciar o ACS neste momento.

   

Especifique as autoridades de certificado adicionais em que o ACS deve confiar

O ACS confiará automaticamente no CA que emitiu seu próprio certificado. Se os certificados do cliente forem emitidos por CAs adicionais, será necessário concluir os seguintes passos.

1. Clique em System Configuration e, em seguida, em ACS Certificate Setup.

2. Clique em ACS Certificate Authority Setup para adicionar CAs à lista de certificados confiáveis. No campo para o arquivo do certificado de CA, digite a localização do certificado e, em seguida, clique em Submit.

   

3. Clique em Edit Certificate Trust List. Selecione todas as CAs nas quais o ACS deve confiar e desmarque todas as CAs nas quais o ACS não deve confiar. Clique em Submit.

   

Reinicie o serviço e configure as opções de PEAP no ACS

Siga estas etapas para reiniciar o serviço e definir as configurações PEAP.

1. Clique em System Configuration e, depois, em Service Control.

2. Clique em Restart (Reiniciar) para reiniciar o serviço.

3. Para definir configurações de PEAP, clique em System Configuration e em Global Authentication Setup.

4. Verifique as duas configurações indicadas abaixo e deixe as demais como padrão. Se desejar, poderá especificar configurações adicionais, por exemplo, Enable Fast Reconnect. Quando terminar, clique em Enviar.

   • Permitir o EAP-MSCHAPv2

   • Permitir a autenticação do MS-CHAP versão 2

   Observação: para obter mais informações sobre a Conexão Rápida, consulte "Opções de Configuração de Autenticação" em Configuração do Sistema: Autenticação e Certificados.

   

Especificar e configurar o access point como um AAA Client

Execute essas etapas para configurar o ponto de acesso (AP) como um cliente AAA.

1. Clique em Network Configuration. Em AAA Clients, clique em Add Entry.

   

2. Digite o nome de host do AP no campo AAA Client Hostname (Nome de host do Cliente AAA) e o respectivo endereço IP no campo AAA Client IP Address (Endereço IP do Cliente AAA). Digite uma chave de segredo compartilhado para o ACS e o AP no campo Key (chave). Selecione RADIUS (Cisco Aironet) como o método de autenticação. Quando terminar, clique em Enviar.

   

Configure o banco de dados de usuário externo

Siga estes passos para configurar os bancos de dados externos do usuário.

Observação: somente o ACS 3.2 suporta PEAP-MS-CHAPv2 com autenticação de máquina para um banco de dados do Windows.

1. Clique em Bancos de dados do usuário externo e, em seguida, em Configuração do banco de dados. Clique em Windows Database.

   Observação: se não houver nenhum banco de dados do Windows definido, clique em Criar nova configuração e clique em Enviar.

2. Clique em Configurar. Em Configure Domain List, mova o domínio SEC-SYD de Available Domains para Domain List.

   

3. Para habilitar a autenticação de máquina nas Configurações de EAP do Windows, marque a opção para permitir autenticação de máquina PEAP. Não altere o prefixo do nome de autenticação da máquina. A Microsoft usa atualmente "/host" (o valor padrão) para distinguir entre autenticação de usuário e de máquina. Se quiser, marque a opção para permitir alteração de senha dentro do PEAP. Quando terminar, clique em Enviar.

   

4. Clique em External User Databases e, em seguida, clique em Unknown User Policy (Política de usuário desconhecida). Selecione a opção Check the following external user databases e use o botão de seta para a direita ( -> ) para mover o Windows Database de External Databases para Seleted Databases. Quando terminar, clique em Enviar.

   

Reinicie o serviço

Ao concluir a configuração do ACS, execute as seguintes etapas para reiniciar o serviço.

1. Clique em System Configuration e, depois, em Service Control.

2. Clique em Reiniciar.

Configurar o ponto de acesso Cisco

Execute as seguintes etapas para configurar o AP para utilizar o ACS como o servidor de autenticação.

1. Abra um navegador da Web e vá até o AP digitando http://AP-ip-address/certsrv na barra de endereços. Na barra de ferramentas, clique em Setup.

2. Em Services, clique em Security.

3. Clique no servidor de autenticação.

   Observação: se tiver configurado contas no AP, você precisará fazer login.

4. Digite as configurações do autenticador.

   • Selecione 802.1x-2001 para a versão de protocolo 802.1x (para autenticação EAP).

   • Digite o endereço IP do servidor ACS no campo Server Name/IP.

   • Selecione RADIUS como tipo de servidor.

   • Digite 1645 ou 1812 no campo Porta.

   • Insira uma chave de segredo compartilhado especificada no passo 2 da seção Especifique e configure o ponto de acesso como um cliente AAA.

   • Verificar a opção de Autenticação de EAP para especificar como o servidor deve ser usado.

   Quando terminar, clique em OK.

   

5. Clique em Radio Data Encryption (WEP).

6. Introduza as configurações internas de criptografia de dados.

   • Selecione Full Encryption para definir o nível de criptografia de dados.

   • Insira uma chave de criptografia e defina o tamanho dessa chave como 128 bit a ser usada como chave de transmissão.

   Quando terminar, clique em OK.

   

7. Confirme se você está usando o Service Set Identifier (SSID) correto indo para Network > Service Sets > Select the SSID Idx e clique em OK quando terminar.

   O exemplo abaixo mostra o "tsunami" de SSID padrão.

   

Configurar o cliente sem fio

Siga estas etapas para configurar o ACS 3.2.

1. Configurando a inscrição automática no MS Certificate Machine.

2. Junte-se ao domínio.

3. Instalar manualmente o certificado de raiz no Windows Client.

4. Configure a rede Wireless.

Configurar o Registro Automático da Máquina do Certificado MS

Siga estas etapas para configurar o domínio para o registro automático de certificado de máquina no controlador de domínio Kant.

1. Vá para Painel de Controle > Ferramentas Administrativas > Abrir Usuários e Computadores do Ative Diretory.

2. Clique com o botão direito em domain sec-syd e selecione Properties no submenu.

3. Selecione a guia Política de grupo. Clique em Política de domínio padrão e em Editar.

4. Vá para Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas de Chave Pública > Configurações Automáticas de Solicitação de Certificado.

   

5. Na barra de menus, vá para Action > New > Automatic Certificate Request e clique em Next.

6. Selecione o computador e clique em Avançar.

7. Verifique o CA.

   Neste exemplo, o CA é chamado "Our TAC CA".

8. Clique em Avançar e, em seguida, clique em Concluir.

Unir ao domínio

Siga estas etapas para adicionar o cliente Wireless ao domínio.

Observação: para concluir essas etapas, o cliente sem fio deve ter conectividade com a CA, por meio de uma conexão com fio ou por meio da conexão sem fio com segurança 802.1x desabilitada.

1. Inicie sessão no Windows XP como administrador local.

2. Vá para Painel de Controle > Desempenho e Manutenção > Sistema.

3. Selecione a guia Computer Name e clique em Change. Insira o nome do host no campo de nome do computador. Selecione Domínio e, em seguida, insira o nome do domínio (neste exemplo, SEC-SYD). Click OK.

   

4. Quando um diálogo de login for exibido, junte o domínio fazendo login com uma conta que tenha permissão para juntar o domínio.

5. Quando o computador tiver se unido com êxito ao domínio, reinicie-o. A máquina será membro do domínio; como configuramos o registro automático da máquina, ela terá um certificado para a CA instalada, bem como um certificado para autenticação da máquina.

Instalar manualmente o certificado de raiz no Windows Client

Siga esses passos para instalar manualmente o certificado de raiz.

Observação: se você já configurou a inscrição automática de máquina, você não precisa desta etapa. Pule para Configurar a rede sem fio.

1. Na máquina cliente Windows, abra um navegador da Web e navegue até o servidor de CA da Microsoft digitando http://root-CA-ip-address/certsrv na barra de endereços. Faça login no site da CA.

   Neste exemplo, o endereço IP do CA é 10.66.79.241.

   

2. Selecione Recuperar o certificado de CA ou a lista de revogação de certificado e clique em Avançar.

   

3. Clique em Download CA certificate para salvar o certificado na máquina local.

   

4. Abra o certificado e clique em Install Certificate.

   Observação: no exemplo abaixo, o ícone na parte superior esquerda indica que o certificado ainda não é confiável (instalado).

   

5. Instale o certificado em Current User/Trusted Root Certificate Authorities.

   1. Clique em Next.

   2. Selecione a opção Automatically select the certificate store based on the type of the certificate (Selecionar automaticamente o armazenamento de certificado com base no tipo do certificado) e clique em Next (Avançar).

   3. Clique em Concluir para colocar o certificado raiz automaticamente em Usuário atual/Autoridades de certificação raiz confiáveis.

Configure a rede Wireless

Siga estes passos para configurar as opções para redes wireless.

1. Inicie a sessão no domínio como usuário de domínio.

2. Vá para Painel de controle > Conexões de rede e de Internet > Conexões de rede. Clique com o botão direito do mouse em Wireless Connection e selecione Properties no submenu apresentado.

3. Selecione a guia Rede Wireless Selecione a rede Wireless (exibida com uso do nome SSID do AP) na lista de redes disponíveis e, depois, clique em Configure.

   

4. Na guia Authentication da janela de propriedades da rede, marque a opção Enable IEEE 802.1x authentication for this network.. Para o tipo de EAP, selecione Protected EAP (PEAP) para o tipo de EAP e clique em Properties.

   Observação: para habilitar a autenticação da máquina, marque a opção Autenticar como computador quando as informações do computador estiverem disponíveis.

   

5. Marque Validate server certificate (Validar certificado do servidor) e o CA raiz da empresa usado para clientes PEAP e dispositivos ACS. Selecione Secure password (EAP-MSCHAP v2) para o método de autenticação e, em seguida, clique em Configure.

   Neste exemplo, o CA raiz é chamado "Our TAC CA",

   

6. Para permitir o início de sessão única, marque a opção Automatically use my Windows logon name and password (e domínio se houver). Clique em OK para aceitar essa configuração e, em seguida, clique em OK novamente para retornar à janela de propriedades de rede.

   Com o início de sessão único no PEAP, o cliente usa o nome de usuário do Windows para obter autenticação no PEAP; portanto, o usuário não precisa digitar a senha novamente.

   

7. Na guia Association da janela de propriedades de rede, marque as opções Data encryption (WEP enabled) e The key is provided for me automatically. Clique em OK e, em seguida, em OK novamente para fechar a janela de configuração de rede.

   

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.

• Para verificar se o cliente sem fio foi autenticado, no cliente sem fio, vá para Painel de Controle > Conexões de Rede e de Internet > Conexões de Rede. Na barra de menus, vá para Exibir > Blocos. A conexão Wireless deve exibir a mensagem "Authentication succeeded" (Autenticação bem-sucedida).

• Para verificar se os clientes sem fio foram autenticados, na interface da Web do ACS, vá para Reports and Activity > Passed Authentications > Passed Authentications ative.csv.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

• Verifique se os Serviços de Certificados MS foram instalados como uma CA raiz Corporativa em um Windows 2000 Advanced Server com Service Pack 3. Os hotfixes 323172 e 313664 devem ser instalados após a instalação dos Serviços de Certificados MS. Se o MS Certificate Services for instalado novamente, a correção dinâmica 323172 também deve ser instalada novamente.

• Verifique se você está usando o Cisco Secure ACS for Windows versão 3.2 com Windows 2000 e Service Pack 3. Verifique se os hotfixes 323172 e 313664 foram instalados.

• Se a autenticação da máquina falhar no cliente wireless, não haverá conectividade de rede na conexão sem fio. Somente as contas com perfis em cache no cliente wireless serão capazes de iniciar uma sessão no domínio. A máquina precisará estar conectada a uma rede com fio ou configurada para conexão sem fio sem segurança 802.1x.

• Se a inscrição automática com o CA falhar ao unir o domínio, verifique o Event Viewer para obter as possíveis razões. Tente verificar as configurações DNS no laptop.

• Se o certificado do ACS for rejeitado pelo cliente (que depende das datas "inicial" e "final" válidas do certificado, das configurações de data e hora do cliente e da confiança do CA), o cliente o rejeitará e a autenticação apresentará falha. O ACS registrará a autenticação com falha na interface da Web em Reports and Activity > Failed Attempts > Failed Attempts XXX.csv com o Authentication Failure-Code semelhante a "EAP-TLS or PEAP authentication failed during SSL handshake". A mensagem de erro esperada no arquivo CSAuth.log é semelhante à mensagem a seguir.

  AUTH 06/04/2003 14:56:41 E 0345 1644 EAP: buildEAPRequestMsg: 
  other side probably didn't accept our certificate

• Nos logs na interface da Web do ACS, em Reports and Activity > Passed Authentications > Passed Authentications XXX.csv e em Reports and Activity > Failed Attempts > Failed Attempts XXX.csv, as autenticações PEAP são mostradas no formato <DOMAIN>\<user-id>. As autenticações EAP-TLS são mostradas no formato <user-id>@<domain>.

• Para usar o PEAP Fast Reconnect (Reconexão Rápida PEAP), habilite esse recurso no servidor e no cliente ACS.

• Se a alteração de senha de PEAP estiver ativada, você pode alterar a senha somente quando uma senha de conta tiver espirado ou quando a conta for marcada para ter sua senha alterada no próximo logon.

• Você pode verificar o certificado e a confiança do servidor ACS seguindo as etapas descritas abaixo.

  1. Inicie a sessão no Windows no servidor ACS com uma conta que tenha privilégios de administrador. Abra o Console de Gerenciamento Microsoft indo para Iniciar > Executar, digitando mmc e clicando em OK.

  2. Na barra de menus, vá para Console > Add/Remove Snap-in e clique em Add.

  3. Selecione Certificates e clique em Add.

  4. Selecione Conta do computador, clique em Avançar e selecione Computador local (o computador em que este console está executando).

  5. Clique em Finish, em Close e, em seguida, em OK.

  6. Para verificar se o servidor ACS tem um certificado válido do lado do servidor, vá para Raiz do Console > Certificados (Computador Local) > ACSCertStore > Certificados. Verifique se há um certificado para o servidor ACS (denominado OurACS neste exemplo). Abra o certificado e verifique os seguintes itens.

     • Não há advertência quanto ao certificado não estar sendo verificado para todos os seus propósitos pretendidos.

     • Não há advertência sobre o certificado não ser confiável.

     • Este certificado tem como objetivo garantir a identidade de um computador remoto.

     • O certificado não expirou e se tornou válido (verificar datas válidas “de” e “para”).

     • “Você tem uma chave privada que corresponde a esse certificado.”

  7. Na guia Detalhes, verifique se o campo Versão tem o valor V3 e se o campo Enhanced Key Usage tem autenticação de servidor (1.3.6.1.5.5.7.3.1).

  8. Para verificar se o servidor ACS confia no servidor CA, vá para Raiz do Console > Certificados (Computador Local) > Autoridades de Certificação Raiz Confiáveis > Certificados. Verifique se há um certificado para o servidor de CA (nomeado “Our TAC CA” neste exemplo). Abra o certificado e verifique os seguintes itens.

     • Não há advertência quanto ao certificado não estar sendo verificado para todos os seus propósitos pretendidos.

     • Não há advertência sobre o certificado não ser confiável.

     • O propósito pretendido do certificado está correto.

     • O certificado não expirou e se tornou válido (verificar datas válidas “de” e “para”).

     Se o ACS e o cliente não utilizaram o mesmo CA raiz, verifique se toda a cadeia de certificados de servidores de CA foi instalada. O mesmo se aplica se o certificado for obtido a partir de uma autoridade subcertificada.

• Você pode verificar a confiabilidade do cliente por meio das etapas abaixo.

  1. Faça o log in no Windows no cliente sem fio com a conta do cliente. Abra o Console de Gerenciamento Microsoft indo para Iniciar > Executar, digitando mmc e clicando em OK.

  2. Na barra de menus, vá para Console > Add/Remove Snap-in e clique em Add.

  3. Selecione Certificates e clique em Add.

  4. Clique em Fechar e em OK.

  5. Para verificar se o perfil do cliente confia no servidor de CA, vá para Raiz do Console > Certificados - Usuário Atual > Autoridades de Certificação Raiz Confiáveis > Certificados. Verifique se há um certificado para o servidor de CA (nomeado “Our TAC CA” neste exemplo). Abra o certificado e verifique os seguintes itens.

     • Não há advertência quanto ao certificado não estar sendo verificado para todos os seus propósitos pretendidos.

     • Não há advertência sobre o certificado não ser confiável.

     • O propósito pretendido do certificado está correto.

     • O certificado não expirou e se tornou válido (verificar datas válidas “de” e “para”).

     Se o ACS e o cliente não utilizaram o mesmo CA raiz, verifique se toda a cadeia de certificados de servidores de CA foi instalada. O mesmo se aplica se o certificado for obtido a partir de uma autoridade subcertificada.

• Verifique as configurações ACS conforme descrito na seção Configurando o Cisco Secure ACS for Windows v3.2.

• Verifique as configurações de AP conforme descrito na seção Configurando o ponto de acesso da Cisco.

• Verifique as configurações do cliente sem fio como descrito na respectiva seção (Configuring the Wireless Client).

• Verifique se a conta de usuário existe no banco de dados interno do servidor de AAA ou em um dos bancos de dados externos configurados. Assegure que a conta não tenha sido desativada.

Informações Relacionadas

• Cisco Secure ACS para página de suporte do Windows
• Guia de implantação EAP-TLS para redes LAN sem fio
• Obtendo a versão e informações sobre a depuração AAA para o Cisco Secure ACS para Windows
• Suporte Técnico - Cisco Systems