PEAP em Unified Wireless Networks com ACS 4.0 e Windows 2003

Passo 4: Instalar e configurar o DHCP

Conclua estes passos:

1. Instale o DHCP (Dynamic Host Configuration Protocol) como um componente de serviço de rede usando Adicionar ou remover programas no Painel de controle.

2. Abra o snap-in DHCP na pasta Administrative Tools (Iniciar > Programas > Administrative Tools > DHCP) e realce o servidor DHCP, DC_CA.wireless demo.local.

3. Clique em Ação e, em seguida, clique em Autorizar para autorizar o serviço DHCP.

4. Na árvore do console, clique com o botão direito do mouse em DC_CA.wireless demo.local e clique em Novo escopo.

5. Na página Bem-vindo do assistente Novo escopo, clique em Avançar.

6. Na página Nome do escopo, digite CorpNet no campo Nome.

   

7. Clique em Avançar e preencha estes parâmetros:

   • Endereço IP inicial—172.16.100.1

   • Endereço IP final—172.16.100.254

   • Comprimento—24

   • Máscara de sub-rede—255.255.255.0

   

8. Clique em Next e digite 172.16.100.1 para o endereço IP inicial e 172.16.100.100 para o endereço IP final ser excluído. Em seguida, clique em Avançar. Isso reserva os endereços IP no intervalo de 172.16.100.1 a 172.16.100.100. Esses endereços IP de reserva não são alocados pelo servidor DHCP.

   

9. Na página Duração da concessão, clique em Avançar.

10. Na página Configurar opções de DHCP, escolha Sim, desejo configurar essas opções agora e clique em Avançar.

    

11. Na página Router (Default Gateway) (Roteador (Gateway padrão)), adicione o endereço padrão do roteador 172.16.100.1 e clique em Next (Avançar).

    

12. Na página Nome de domínio e Servidores DNS, digite wireless demo.local no campo Domínio pai, digite 172.16.100.26 no campo Endereço IP e clique em Adicionar e em Avançar.

    

13. Na página Servidores WINS, clique em Avançar.

14. Na página Ativar escopo, escolha Sim, desejo ativar esse escopo agora e clique em Avançar.

    

15. Quando terminar com a página Assistente de Novo Escopo, clique em Concluir.

Passo 5: Instalar serviços de certificado

Conclua estes passos:

Observação: o IIS deve ser instalado antes da instalação dos Serviços de Certificado e o usuário deve fazer parte da OU do Administrador Corporativo.

1. No Painel de controle, abra Adicionar ou remover programas e clique em Adicionar/remover componentes do Windows.

2. Na página Assistente de componentes do Windows, escolha Serviços de certificado e clique em Avançar.

   

3. Na página Tipo de CA, escolha AC raiz Enterprise e clique em Avançar.

   

4. Na página CA Identifying Information (Informações de identificação da CA), digite wireless democa no Common name (Nome comum desta CA). Você também pode inserir outros detalhes opcionais. Em seguida, clique em Avançar e aceite os padrões na página Configurações do banco de dados de certificado.

   

5. Clique em Next. Após concluir a instalação, clique em Concluir.

6. Clique em OK depois de ler a mensagem de aviso sobre como instalar o IIS.

Passo 6: Verificar permissões de administrador para certificados

Conclua estes passos:

1. Escolha Iniciar > Ferramentas Administrativas > Autoridade de Certificação.

2. Clique com o botão direito do mouse em wireless democa CA e clique em Propriedades.

3. Na guia Segurança, clique em Administradores na lista Nomes de grupo ou usuário.

4. Na lista Permissões ou Administradores, verifique se estas opções estão definidas como Permitir:

   • Emitir e gerenciar certificados

   • Gerenciar CA

   • Solicitar certificados

   Se qualquer um deles estiver definido como Negar ou não estiver selecionado, defina a permissão como Permitir.

   

5. Clique em OK para fechar a caixa de diálogo Propriedades da CA sem fio e feche a Autoridade de Certificação.

Passo 7: Adicionar computadores ao domínio

Conclua estes passos:

Observação: se o computador já estiver adicionado ao domínio, vá para Adicionar usuários ao domínio.

1. Abra o snap-in Usuários e Computadores do Ative Diretory.

2. Na árvore do console, expanda wireless demo.local.

3. Clique com o botão direito do mouse em Usuários, clique em Novo e clique em Computador.

4. Na caixa de diálogo Novo objeto - Computador, digite o nome do computador no campo Nome do computador e clique em Avançar. Este exemplo usa o nome do computador Cliente.

   

5. Na caixa de diálogo Gerenciado, clique em Avançar.

6. Na caixa de diálogo Novo objeto - Computador, clique em Concluir.

7. Repita as etapas de 3 a 6 para criar contas de computador adicionais.

Passo 8: Permitir acesso sem fio a computadores

Conclua estes passos:

1. Na árvore de console Usuários e Computadores do Ative Diretory, clique na pasta Computadores e clique com o botão direito do mouse no computador para o qual deseja atribuir acesso sem fio. Este exemplo mostra o procedimento com o computador Client que você adicionou na Etapa 7. Clique em Propriedades e vá para a guia Discar.

2. Escolha Permitir acesso e clique em OK.

Etapa 9: Adicionar usuários ao domínio

Conclua estes passos:

1. Na árvore de console Usuários e Computadores do Ative Diretory, clique com o botão direito do mouse em Usuários, clique em Novo e, em seguida, clique em Usuário.

2. Na caixa de diálogo Novo objeto - usuário, digite o nome do usuário sem fio. Este exemplo usa o nome WirelessUser no campo Nome e WirelessUser no campo Nome de logon do usuário. Clique em Next.

   

3. Na caixa de diálogo Novo objeto - usuário, digite uma senha de sua escolha nos campos Senha e Confirmar senha. Desmarque a caixa de seleção Usuário deve alterar a senha no próximo logon e clique em Avançar.

   

4. Na caixa de diálogo Novo objeto - usuário, clique em Concluir.

5. Repita as etapas de 2 a 4 para criar contas de usuário adicionais.

Etapa 10: Permitir acesso sem fio aos usuários

Conclua estes passos:

1. Na árvore de console Usuários e Computadores do Ative Diretory, clique na pasta Usuários, clique com o botão direito do mouse em WirelessUser, clique em Propriedades e vá para a guia Discar.

2. Escolha Permitir acesso e clique em OK.

Etapa 11: Adicionar grupos ao domínio

Conclua estes passos:

1. Na árvore de console Usuários e Computadores do Ative Diretory, clique com o botão direito do mouse em Usuários, clique em Novo e em Grupo.

2. Na caixa de diálogo Novo objeto - grupo, digite o nome do grupo no campo Nome do grupo e clique em OK. Este documento usa o nome de grupo WirelessUsers.

   

Etapa 12: Adicionar usuários ao grupo WirelessUsers

Conclua estes passos:

1. No painel de detalhes de Usuários e Computadores do Ative Diretory, clique duas vezes no grupo Usuários sem fio.

2. Vá até a guia Membros e clique em Adicionar.

3. Na caixa de diálogo Selecionar usuários, contatos, computadores ou grupos, digite o nome dos usuários que deseja adicionar ao grupo. Este exemplo mostra como adicionar o usuário wireless ao grupo. Click OK.

   

4. Na caixa de diálogo Vários nomes encontrados, clique em OK. A conta de usuário WirelessUser é adicionada ao grupo WirelessUsers.

   

5. Clique em OK para salvar as alterações no grupo WirelessUsers.

6. Repita esse procedimento para adicionar mais usuários ao grupo.

Passo 13: Adicionar computadores clientes ao grupo WirelessUsers

Conclua estes passos:

1. Repita as etapas 1 e 2 na seção Adicionar usuários ao grupo de usuários sem fio deste documento

2. Na caixa de diálogo Selecionar usuários, contatos ou computadores, digite o nome do computador que deseja adicionar ao grupo. Este exemplo mostra como adicionar o computador chamado Cliente ao grupo.

   

3. Clique em Tipos de objeto, desmarque a caixa de seleção Usuários e marque Computadores.

   

4. Clique em OK duas vezes. A conta do computador CLIENT é adicionada ao grupo WirelessUsers.

5. Repita o procedimento para adicionar mais computadores ao grupo.

Configuração do Windows Standard 2003 com Cisco Secure ACS 4.0

O Cisco Secure ACS é um computador que executa o Windows Server 2003 com SP1, Standard Edition, que fornece autenticação e autorização RADIUS para o controlador. Conclua os procedimentos nesta seção para configurar o ACS como um servidor RADIUS:

Instalação e configuração básicas

Conclua estes passos:

1. Instale o Windows Server 2003 com SP1, Standard Edition, como um servidor membro chamado ACS no domínio wireless demo.local.

   Observação: o nome do servidor ACS é exibido como cisco_w2003 nas configurações restantes. Substitua o ACS ou o cisco_w2003 na configuração restante do laboratório.

2. Para a conexão de área local, configure o protocolo TCP/IP com o endereço IP de 172.16.100.26, a máscara de sub-rede de 255.255.255.0 e o endereço IP do servidor DNS de 127.0.0.1.

Instalação do Cisco Secure ACS 4.0

Observação: consulte o Guia de Instalação do Cisco Secure ACS 4.0 para Windows para obter mais informações sobre como configurar o Cisco Secure ACS 4.0 para Windows.

Conclua estes passos:

1. Use uma conta de administrador de domínio para fazer login no computador chamado ACS para instalar o Cisco Secure ACS.

   Observação: somente as instalações executadas no computador onde você instala o Cisco Secure ACS são suportadas. As instalações remotas executadas com o Windows Terminal Services ou produtos como Virtual Network Computing (VNC) não são testadas e não são suportadas.

2. Insira o CD Cisco Secure ACS em uma unidade de CD-ROM no computador.

3. Se a unidade de CD-ROM suportar o recurso de execução automática do Windows, a caixa de diálogo Cisco Secure ACS for Windows Server será exibida.

   Observação: se o computador não tiver um service pack necessário instalado, uma caixa de diálogo será exibida. Os service packs do Windows podem ser aplicados antes ou depois da instalação do Cisco Secure ACS. Você pode continuar com a instalação, mas o service pack necessário deve ser aplicado depois que a instalação for concluída. Caso contrário, o Cisco Secure ACS pode não funcionar de forma confiável.

4. Execute uma destas tarefas:

   • Se a caixa de diálogo Cisco Secure ACS para Windows Server for exibida, clique em Instalar.

   • Se a caixa de diálogo Cisco Secure ACS for Windows Server não for exibida, execute setup.exe, localizado no diretório raiz do CD Cisco Secure ACS.

5. A caixa de diálogo Cisco Secure ACS Setup (Configuração do Cisco Secure ACS) exibe o contrato de licença de software.

6. Leia o contrato de licença de software. Se aceitar o contrato de licença de software, clique em Aceitar.

   A caixa de diálogo Bem-vindo exibe informações básicas sobre o programa de configuração.

7. Depois de ler as informações na caixa de diálogo Bem-vindo, clique em Avançar.

8. A caixa de diálogo Antes de começar lista os itens que você deve concluir antes de continuar com a instalação. Se tiver concluído todos os itens listados na caixa de diálogo Antes de começar, marque a caixa correspondente para cada item e clique em Avançar.

   Observação: se você não tiver concluído todos os itens listados na caixa de diálogo Antes de começar, clique em Cancelar e em Sair da configuração. Depois de concluir todos os itens listados na caixa de diálogo Antes de começar, reinicie a instalação.

9. A caixa de diálogo Escolher local de destino é exibida. Em Pasta de destino, o local de instalação é exibido. Esta é a unidade e o caminho onde o programa de configuração instala o Cisco Secure ACS.

10. Para alterar o local de instalação, faça o seguinte:

    1. Clique em Procurar. A caixa de diálogo Escolher pasta é exibida. A caixa Caminho contém o local de instalação.

    2. Altere o local de instalação. Você pode digitar o novo local na caixa Caminho ou usar as listas Unidades e Diretórios para selecionar um novo drive e diretório. O local de instalação deve estar em uma unidade local do computador.

       Observação: não especifique um caminho que contenha um caractere percentual, "%". Se você fizer isso, a instalação pode parecer continuar corretamente, mas falha antes de ser concluída.

    3. Click OK.

       Observação: se você especificou uma pasta que não existe, o programa de configuração exibe uma caixa de diálogo para confirmar a criação da pasta. Para continuar, clique em Sim.

11. Na caixa de diálogo Escolher local de destino, o novo local de instalação aparece em Pasta de destino.

12. Clique em Next.

13. A caixa de diálogo Authentication Database Configuration lista opções para autenticar usuários. Você pode autenticar somente com o banco de dados de usuários do Cisco Secure ou também com um banco de dados de usuários do Windows.

    Observação: depois de instalar o Cisco Secure ACS, você pode configurar o suporte de autenticação para todos os tipos de banco de dados de usuário externo além dos bancos de dados de usuário do Windows.

14. Para autenticar usuários somente com o banco de dados de usuários do Cisco Secure, escolha a opção Verificar somente o banco de dados do Cisco Secure ACS.

15. Se você quiser autenticar usuários com um banco de dados de usuário do Windows Security Access Manager (SAM) ou um banco de dados de usuário do Ative Diretory, além do banco de dados de usuário do Cisco Secure, faça o seguinte:

    1. Escolha a opção Também verificar Banco de Dados de Usuário do Windows.

    2. A caixa de seleção Sim, consulte a opção "Conceder permissão de discagem ao usuário" se torna disponível.

       Observação: a caixa de seleção "Conceder permissão de discagem ao usuário" se aplica a todas as formas de acesso controladas pelo Cisco Secure ACS, e não apenas ao acesso de discagem. Por exemplo, um usuário que acessa a rede através de um túnel VPN não disca para um servidor de acesso à rede. No entanto, se a caixa Sim, consulte "Conceder permissão de discagem ao usuário" estiver marcada, o Cisco Secure ACS aplicará as permissões de discagem de usuário do Windows para determinar se o usuário deve conceder acesso à rede.

    3. Se quiser permitir acesso a usuários autenticados por um banco de dados de usuários de domínio do Windows somente quando eles tiverem permissão de discagem em sua conta do Windows, marque a caixa Sim, consulte "Conceder permissão de discagem ao usuário".

16. Clique em Next.

17. O programa de configuração instala o Cisco Secure ACS e atualiza o registro do Windows.

18. A caixa de diálogo Opções avançadas lista vários recursos do Cisco Secure ACS que não estão habilitados por padrão. Para obter mais informações sobre esses recursos, consulte o Guia do usuário do Cisco Secure ACS for Windows Server, versão 4.0.

    Observação: os recursos listados aparecem na interface HTML do Cisco Secure ACS somente se você os habilitar. Após a instalação, você pode ativá-las ou desativá-las na página Opções avançadas na seção Configuração da interface.

19. Para cada recurso que deseja habilitar, marque a caixa correspondente.

20. Clique em Next.

21. A caixa de diálogo Monitoramento de serviço ativo é exibida.

    Observação: após a instalação, você pode configurar os recursos de monitoramento de serviço ativo na página Gerenciamento de serviço ativo na seção Configuração do sistema.

22. Se você deseja que o Cisco Secure ACS monitore os serviços de autenticação de usuário, marque a caixa Enable Login Monitoring. Na lista Script a executar, escolha a opção que deseja aplicar em caso de falha do serviço de autenticação:

    • Nenhuma ação corretiva — O Cisco Secure ACS não executa um script.

      Observação: essa opção é útil se você habilitar notificações por email de eventos.

    • Reinicialização —O Cisco Secure ACS executa um script que reinicializa o computador que executa o Cisco Secure ACS.

    • Reiniciar tudo — O Cisco Secure ACS reinicia todos os serviços do Cisco Secure ACS.

    • Reiniciar RADIUS/TACACS+ — O Cisco Secure ACS reinicia somente os serviços RADIUS e TACACS+.

23. Se quiser que o Cisco Secure ACS envie uma mensagem de e-mail quando o monitoramento de serviço detectar um evento, marque a caixa Notificação por e-mail.

24. Clique em Next.

25. A caixa de diálogo Senha de criptografia do banco de dados é exibida.

    Observação: a senha de criptografia de banco de dados é criptografada e armazenada no registro ACS. Você pode precisar reutilizar essa senha quando surgirem problemas críticos e o banco de dados precisar ser acessado manualmente. Mantenha essa senha em mãos para que o Suporte Técnico possa obter acesso ao banco de dados. A senha pode ser alterada a cada período de expiração.

26. Insira uma senha para criptografia do banco de dados. A senha precisa ter pelo menos oito caracteres e deve conter caracteres e dígitos. Não há caracteres inválidos.

27. Clique em Next.

28. O programa de configuração é concluído e a caixa de diálogo Cisco Secure ACS Service Initiation é exibida.

29. Para cada opção Cisco Secure ACS Services Initiation desejada, marque a caixa correspondente. As ações associadas às opções ocorrem depois que o programa de configuração é concluído.

    • Sim, desejo iniciar o Cisco Secure ACS Service agora — Inicia os serviços do Windows que compõem o Cisco Secure ACS. Se você não selecionar essa opção, a interface HTML do Cisco Secure ACS não estará disponível a menos que você reinicialize o computador ou inicie o serviço CSAdmin.

    • Sim, desejo que a Instalação inicie o Cisco Secure ACS Administrator do meu navegador após a instalação — Abre a interface HTML do Cisco Secure ACS no navegador da Web padrão para a conta de usuário atual do Windows.

    • Sim, desejo ver o arquivo Readme — Abre o arquivo README.TXT no Bloco de Notas do Windows.

30. Clique em Next.

31. Se você selecionou uma opção, os serviços do Cisco Secure ACS são iniciados. A caixa de diálogo Setup Complete (Instalação concluída) exibe informações sobre a interface HTML do Cisco Secure ACS.

32. Clique em Finish.

    Observação: o restante da configuração é documentado na seção para o tipo de EAP configurado.

Configuração do controlador Cisco LWAPP

Crie a configuração necessária para WPAv2/WPA

Conclua estes passos:

Observação: a suposição é que o controlador tem conectividade básica com a rede e a alcançabilidade de IP com a interface de gerenciamento é bem-sucedida.

1. Navegue até https://172.16.101.252 para fazer login no controlador.

   

2. Clique em login

3. Faça login com o usuário padrão admin e a senha padrão admin.

4. Crie uma nova Interface para mapeamento de VLAN no menu Controller.

5. Clique em Interfaces.

6. Clique em New.

7. No campo Nome da interface, digite Funcionário. (Esse campo pode ser qualquer valor que você desejar.)

8. No campo ID da VLAN, digite 20. (Esse campo pode ser qualquer VLAN transportada na rede.)

9. Clique em Apply.

10. Configure as informações conforme mostrado nesta janela Interfaces > Edit.

    

11. Clique em Apply.

12. Clique na guia WLANs.

13. Escolha Criar novo e clique em Ir.

14. Insira um nome de perfil e, no campo SSID da WLAN, digite Employee.

15. Escolha uma ID para a WLAN e clique em Aplicar.

16. Configure as informações para esta WLAN quando a janela WLANs > Edit for exibida.

    Observação: WPAv2 é o método de criptografia de Camada 2 escolhido para este laboratório. Para permitir que clientes WPA com TKIP-MIC se associem a este SSID, você também pode marcar o modo de compatibilidade WPA e Permitir clientes TKIP WPA2 ou os clientes que não suportam o método de criptografia AES 802.11i.

    

17. Na tela WLANs > Edit, clique na guia General.

18. Verifique se a caixa Status está marcada para Enabled (Habilitado) e se a Interface apropriada (funcionário) está selecionada. Além disso, marque a caixa de seleção Habilitado para SSID de broadcast.

19. Clique na guia Security.

20. No submenu Camada 2, verifique WPA + WPA2 para segurança de Camada 2. Para a criptografia WPA2, verifique AES + TKIP para permitir clientes TKIP.

21. Escolha 802.1x como o método de autenticação.

22. Ignore o submenu Camada 3, pois ele não é necessário. Quando o servidor RADIUS estiver configurado, o servidor apropriado poderá ser escolhido no menu Autenticação.

23. As guias QoS e Advanced podem ser deixadas como padrão, a menos que sejam necessárias configurações especiais.

24. Clique no menu Segurança para adicionar o servidor RADIUS.

25. No submenu RADIUS, clique em Authentication. Em seguida, clique em Novo.

26. Adicione o endereço IP do servidor RADIUS (172.16.100.25) que é o servidor ACS configurado anteriormente.

27. Verifique se a chave compartilhada corresponde ao cliente AAA configurado no servidor ACS. Verifique se a caixa Network User (Usuário de rede) está marcada e clique em Apply (Aplicar).

    

28. A configuração básica agora está completa e você pode começar a testar o PEAP.

Autenticação PEAP

O PEAP com MS-CHAP versão 2 requer certificados nos servidores ACS, mas não nos clientes sem fio. A inscrição automática de certificados de computador para os servidores ACS pode ser usada para simplificar uma implantação.

Para configurar DC_CA para fornecer inscrição automática para certificados de computador e usuário, faça os procedimentos nesta seção.

Observação: a Microsoft alterou o modelo do Servidor Web com a versão da CA do Windows 2003 Enterprise para que as chaves não sejam mais exportáveis e a opção fique acinzentada. Não há outros modelos de certificado fornecidos com serviços de certificado para autenticação de servidor e que permitem marcar chaves como exportáveis disponíveis na lista suspensa para que você tenha que criar um novo modelo que faça isso.

Observação: o Windows 2000 permite chaves exportáveis e esses procedimentos não precisam ser seguidos se você usar o Windows 2000.

Instalar o Snap-in Modelos de Certificado

Conclua estes passos:

1. Escolha Iniciar > Executar, digite mmc e clique em OK.

2. No menu Arquivo, clique em Adicionar/remover snap-in e, em seguida, clique em Adicionar.

3. Em Snap-in, clique duas vezes em Modelos de certificado, clique em Fechar e em OK.

4. Na árvore do console, clique em Modelos de certificado. Todos os modelos de certificado aparecem no painel Detalhes.

5. Para ignorar as etapas de 2 a 4, digite certtmpl.msc, que abre o snap-in Modelos de certificado.

   

Crie o Modelo de Certificado para o Servidor Web ACS

Conclua estes passos:

1. No painel Detalhes do snap-in Modelos de certificado, clique no modelo do servidor Web.

2. No menu Ação, clique em Duplicar modelo.

   

3. No campo Nome de exibição do modelo, digite ACS.

   

4. Vá até a guia Solicitar tratamento e marque Permitir exportação de chave privada. Verifique também se Signature and Encryption (Assinatura e criptografia) está selecionado no menu suspenso Purpose (Finalidade).

   

5. Escolha Solicitações que devem usar um dos CSPs a seguir e marque Microsoft Base Cryptographic Provider v1.0. Desmarque todos os outros CSPs marcados e clique em OK.

   

6. Vá para a guia Nome do assunto, escolha Suprimento na solicitação e clique em OK.

   

7. Vá até a guia Segurança, realce o Grupo de administradores de domínio e verifique se a opção Inscrever está marcada em Permitido.

   Importante: Se você optar por criar a partir destas informações do Ative Diretory, marque apenas o UPN (User Principal Name, nome principal do usuário) e desmarque a opção Incluir nome de e-mail no nome do assunto e nome do e-mail, pois não foi inserido um nome de e-mail para a conta de usuário sem fio no snap-in Usuários e Computadores do Ative Diretory. Se você não desabilitar essas duas opções, a inscrição automática tentará usar o e-mail, o que resulta em um erro de inscrição automática.

   

8. Se necessário, existem medidas de segurança adicionais para evitar que os certificados sejam automaticamente enviados. Eles podem ser encontrados na guia Requisitos de Emissão. Isso não é discutido mais neste documento.

   

9. Clique em OK para salvar o modelo e passar para a emissão desse modelo a partir do snap-in Autoridade de certificação.

Ativar o novo modelo de certificado do servidor Web ACS

Conclua estes passos:

1. Abra o snap-in Autoridade de certificação. Siga as etapas de 1 a 3 na seção Create the Certificate Template for the ACS Web Server, escolha a opção Certificate Authority, escolha Local Computer e clique em Finish.

   

2. Na árvore do console, expanda wireless democa e clique com o botão direito do mouse em Modelos de certificado.

   

3. Escolha Novo > Modelo de certificado a ser emitido.

4. Clique no Modelo de certificado ACS.

   

5. Clique em OK e abra o snap-in Usuários e Computadores do Ative Diretory.

6. Na árvore do console, clique duas vezes em Usuários e Computadores do Ative Diretory, clique com o botão direito do mouse em wireless demo.local e clique em Propriedades.

   

7. Na guia Diretiva de grupo, clique em Política de domínio padrão e clique em Editar. Isso abre o snap-in Editor de objetos de política de grupo.

   

8. Na árvore do console, expanda Configuração do computador > Configurações do Windows > Configurações de segurança > Políticas de chave pública e selecione Configurações automáticas de solicitação de certificado.

   

9. Clique com o botão direito do mouse em Configurações automáticas de solicitação de certificado e escolha Novo > Solicitação automática de certificado.

10. Na página Bem-vindo ao Assistente de configuração de solicitação automática de certificado, clique em Avançar.

11. Na página Modelo de certificado, clique em Computador e clique em Avançar.

    

12. Ao concluir a página Assistente de configuração de solicitação automática de certificado, clique em Concluir.

    O tipo de certificado Computador agora é exibido no painel de detalhes do snap-in Editor de objetos de política de grupo.

    

13. Na árvore do console, expanda Configuração do usuário > Configurações do Windows > Configurações de segurança > Políticas de chave pública.

    

14. No painel de detalhes, clique duas vezes em Configurações de inscrição automática.

15. Escolha Inscrever certificados automaticamente e marque Renovar certificados expirados, atualizar certificados pendentes e remover certificados revogados e Atualizar certificados que utilizem modelos de certificados.

    

16. Click OK.

Configuração do certificado ACS 4.0

Configurar certificado exportável para ACS

Importante: O servidor ACS deve obter um certificado de servidor do servidor CA raiz da empresa para autenticar um cliente WLAN PEAP.

Importante: Certifique-se de que o Gerenciador do IIS não está aberto durante o processo de configuração do certificado, pois causa problemas com informações em cache.

1. Efetue login no servidor ACS com uma conta que tenha direitos de Administrador Corporativo.

2. Na máquina ACS local, aponte o navegador para o servidor da autoridade de certificação da Microsoft em http://IP-address-of-Root-CA/certsrv. Nesse caso, o endereço IP é 172.16.100.26.

3. Efetue login como o Administrador.

   

4. Escolha Solicitar um certificado e clique em Avançar.

   

5. Escolha Solicitação avançada e clique em Avançar.

   

6. Escolha Criar e enviar uma solicitação para esta CA e clique em Avançar.

   Importante: O motivo para esta etapa é o fato do Windows 2003 não permitir chaves exportáveis e você precisa gerar uma solicitação de certificado com base no certificado ACS que você criou anteriormente e que permite.

   

7. Nos Modelos de certificado, selecione o modelo de certificado criado anteriormente chamado ACS. As opções são alteradas após a seleção do modelo.

8. Configure o Nome para ser o nome de domínio totalmente qualificado do servidor ACS. Nesse caso, o nome do servidor ACS é cisco_w2003.wirelessdemo.local. Certifique-se de que o certificado de armazenamento no arquivo de certificados do computador local está marcado e clique em Enviar.

   

9. Uma janela pop-up será exibida com aviso sobre uma possível violação de script. Escolha Sim.

   

10. Clique em Instalar este certificado.

    

11. Uma janela pop-up é exibida novamente e avisa sobre uma possível violação de script. Escolha Sim.

    

12. Depois de clicar em Sim, o certificado é instalado.

    

13. Neste momento, o certificado está instalado no certificado MMC em Pessoal > Certificados.

    

14. Agora que o certificado está instalado no computador local (ACS ou cisco_w2003 neste exemplo), você precisa gerar um arquivo de certificado (.cer) para a configuração do arquivo de certificado ACS 4.0.

15. No servidor ACS (cisco_w2003 neste exemplo), aponte o navegador no servidor da Autoridade de Certificação da Microsoft para http://172.16.100.26 /certsrv.

Instale o certificado no software ACS 4.0

Conclua estes passos:

1. No servidor ACS (cisco_w2003 neste exemplo), aponte o navegador no servidor Microsoft CA para http://172.16.100.26 /certsrv.

2. Na opção Selecionar uma tarefa, escolha Baixar um certificado CA, uma cadeia de certificados ou uma CRL.

3. Escolha o método de codificação de rádio Base 64 e clique em Download CA Certificate.

   

4. Uma janela Aviso de segurança de download de arquivo é exibida. Click Save.

   

5. Salve o arquivo com um nome como ACS.cer ou qualquer nome que desejar. Lembre-se desse nome, pois ele é usado durante a configuração da autoridade de certificação ACS no ACS 4.0.

   

6. Abra o ACS Admin do atalho de área de trabalho criado durante a instalação.

7. Clique em Configuração do sistema.

   

8. Clique em ACS Certificate Setup (Configuração do certificado ACS).

   

9. Clique em Install ACS Certificate (Instalar certificado ACS).

   

10. Escolha Usar certificado do armazenamento e digite o nome de domínio totalmente qualificado de cisco_w2003.wirelessdemo.local (ou ACS.wirelessdemo.local se você usou o ACS como o nome).

    

11. Clique em Submit.

    

12. Clique em Configuração do sistema.

13. Clique em Controle de serviço e em Reiniciar.

    

14. Clique em Configuração do sistema.

15. Clique em Configuração de autenticação global.

16. Marque Permitir EAP-MSCHAPV2 e Permitir EAP-GTC.

    

17. Clique em Enviar + Reiniciar.

18. Clique em Configuração do sistema.

19. Clique em ACS Certification Authority Setup.

20. Na janela ACS Certification Authority Setup, digite o nome e o local do arquivo *.cer criado anteriormente. Neste exemplo, o arquivo *.cer criado é ACS.cer no diretório raiz c:\.

21. Digite c:\acs.cer no campo de arquivo de certificado CA e clique em Enviar.

    

22. Reinicie o serviço ACS.

Configuração do CLIENTE para PEAP usando Windows Zero Touch

Em nosso exemplo, CLIENTE é um computador que executa o Windows XP Professional com SP que atua como um cliente sem fio e obtém acesso aos recursos da Intranet através do AP sem fio. Conclua os procedimentos nesta seção para configurar o CLIENTE como um cliente sem fio.

Executar uma instalação e configuração básicas

Conclua estes passos:

1. Conecte CLIENT ao segmento de rede da Intranet usando um cabo Ethernet conectado ao hub.

2. No CLIENTE, instale o Windows XP Professional com SP2 como um computador membro chamado CLIENT do domínio wireless demo.local.

3. Instale o Windows XP Professional com SP2. Ele deve ser instalado para ter suporte PEAP.

   Observação: o Firewall do Windows é ativado automaticamente no Windows XP Professional com SP2. Não desligue o firewall.

Instale o adaptador de rede wireless

Conclua estes passos:

1. Desligue o computador CLIENTE.

2. Desconecte o computador CLIENTE do segmento de rede da Intranet.

3. Reinicie o computador CLIENT e, em seguida, inicie a sessão utilizando a conta de administrador local.

4. Instale o adaptador de rede wireless.

   Importante: Não instale o software de configuração do fabricante para o adaptador sem fio. Instale os drivers do adaptador de rede sem fio usando o Assistente para adicionar hardware. Além disso, quando solicitado, forneça o CD fornecido pelo fabricante ou um disco com drivers atualizados para uso com o Windows XP Professional com SP2.

Configure a conexão de rede sem fio

Conclua estes passos:

1. Faça logoff e, em seguida, faça logon usando a conta WirelessUser no domínio wirelessdemo.local.

2. Escolha Iniciar > Painel de controle, clique duas vezes em Conexões de rede e clique com o botão direito do mouse em Conexão de rede sem fio.

3. Clique em Propriedades, vá para a guia Redes sem fio e verifique se Usar o Windows para configurar minhas configurações de rede sem fio está marcada.

   

4. Clique em Add.

5. Na guia Associação, digite Funcionário no campo Nome da rede (SSID).

6. Selecione WPA para Autenticação de rede e certifique-se de que a Criptografia de dados esteja definida como TKIP.

   

7. Vá até a guia Autenticação.

8. Confirme se o tipo de EAP está configurado para utilizar PEAP (Protected EAP). Se não estiver, selecione-o no menu suspenso.

9. Se desejar que a máquina seja autenticada antes do login (o que permite que scripts de login ou políticas de grupo sejam aplicados), marque Autenticar como computador quando as informações do computador estiverem disponíveis.

   

10. Clique em Propriedades.

11. Como o PEAP envolve a autenticação do Servidor pelo cliente, certifique-se de que Validar certificado do servidor esteja marcado. Além disso, verifique se a CA que emitiu o certificado ACS está marcada no menu Trusted Root Certification Authority (Autoridades de Certificação de Raiz Confiáveis).

12. Escolha Senha segura (EAP-MSCHAP v2) em Método de autenticação, pois é usado para autenticação interna.

    

13. Verifique se a caixa de seleção Ativar reconexão rápida está marcada. Em seguida, clique em OK três vezes.

14. Clique com o botão direito do mouse no ícone de conexão de rede sem fio na bandeja do sistema e clique em Exibir redes sem fio disponíveis.

15. Clique na rede sem fio do funcionário e clique em Conectar.

    

    Essas capturas de tela indicam se a conexão foi concluída com êxito.

    

    

    

    

16. Depois que a autenticação tiver êxito, verifique a configuração TCP/IP do adaptador sem fio usando Conexões de rede. Ele deve ter um intervalo de endereços de 172.16.100.100-172.16.100.254 do escopo DHCP ou do escopo criado para os clientes sem fio.

17. Para testar a funcionalidade, abra um navegador e navegue até http://wirelessdemoca (ou o endereço IP do servidor de CA empresarial).

Problema: Odyssey Client solicita três vezes a plataforma de autenticação de token

Esse problema ocorre em todas as versões do Windows e da Solução 2.x.

Normalmente, uma configuração de serviços sem fio no XP faz com que isso aconteça.

Conclua estes passos para corrigir este problema:

1. Escolha Iniciar > Configurações > Painel de Controle > Ferramentas Administrativas > Serviços.

2. Vá para a parte inferior da lista e procure Wireless Zero Configuration.

3. Clique duas vezes nessa configuração.

4. Selecione a opção para parar este serviço.

5. Na configuração para o tipo de inicialização, selecione desabilitar.

   Observação: se tudo o que você fizer for parar o serviço, ele será iniciado novamente na reinicialização, então você deverá desativá-lo para que esse problema não ocorra novamente.

6. Salve as configurações e feche.

   

Falha na autenticação PEAP com servidor ACS

Quando o cliente falha na autenticação PEAP com um servidor ACS, verifique se você encontra a mensagem de erro "tentativa de autenticação duplicada NAS" na opção Tentativas com falha no menu Relatório e Atividade do ACS.

Você pode receber essa mensagem de erro quando o Microsoft Windows XP SP2 está instalado na máquina cliente e o Windows XP SP2 se autentica em um servidor de terceiros diferente de um servidor Microsoft IAS. Em particular, o servidor Cisco RADIUS (ACS) usa um método diferente para calcular a ID do Extensible Authentication Protocol Type:Length:Value format (EAP-TLV) do que o método usado pelo Windows XP. A Microsoft identificou isso como um defeito no suplicante XP SP2.

Para obter uma Correção, entre em contato com a Microsoft e consulte o artigo KB885453. O problema subjacente é que, no lado do cliente, com o utilitário Windows, a opção Reconectar Rápido está desativada para PEAP por padrão. Entretanto, essa opção é habilitada por padrão no lado do servidor (ACS). Para resolver esse problema, desmarque a opção Fast Reconnect no servidor ACS e pressione Submit+restart. Como alternativa, você pode habilitar a opção de reconexão rápida no lado do cliente para resolver o problema.

Conclua estes passos para habilitar a Reconexão Rápida no cliente que executa o Windows XP usando o Utilitário do Windows:

1. Clique em Iniciar > Configurações > Painel de controle.

2. Clique duas vezes no ícone Conexões de rede.

3. Clique com o botão direito do mouse no ícone Conexão de rede sem fio e clique em Propriedades.

4. Clique na guia Redes sem fio.

5. Marque a opção Usar o Windows para configurar minhas configurações de rede sem fio para ativar o windows para configurar o adaptador cliente.

6. Se já tiver configurado um SSID, escolha o SSID e clique em Propriedades. Caso contrário, clique em New para adicionar uma nova WLAN.

7. Digite o SSID na guia Associação. Certifique-se de que a Autenticação de Rede esteja Aberta e Criptografia de Dados esteja definida como WEP.

8. Clique em Authentication (Autenticação).

9. Verifique a opção Ativar autenticação IEEE 802.1x para esta rede.

10. Escolha o Tipo de EAP como PEAP e clique em Propriedades.

11. Marque a opção Enable Fast Reconnect na parte inferior da página.

    

Informações Relacionadas

• Exemplo de Configuração de Autenticação EAP com Controladores WLAN (WLC)
• Guia de configuração do controlador de LAN sem fio
• Exemplo de configuração básica dos controladores LAN sem fio e do access point lightweight
• VLANs no exemplo de configuração de Wireless LAN Controllers
• Exemplo de configuração de VLANs de grupo de AP com controladores de LAN sem fio
• Suporte Técnico e Documentação - Cisco Systems