Configurar NPS, Controladores de LAN Sem Fio e Redes Sem Fio

Atualizado:14 de março de 2023
ID do documento:115988

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar o PEAP com autenticação MS-CHAP com o Microsoft NPS como o servidor RADIUS.

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Conhecimento da instalação básica do Windows 2008
    • Conhecimento da instalação do controlador Cisco

    Verifique se esses requisitos foram atendidos antes de tentar esta configuração:

    • Instale o Microsoft Windows Server 2008 em cada um dos servidores no laboratório de teste.
    • Atualizar todos os service packs.
    • Instale as controladoras e os pontos de acesso lightweight (LAPs).
    • Configure as atualizações de software mais recentes.

    Para obter informações sobre a instalação e a configuração iniciais dos Cisco 5508 Series Wireless Controllers, consulte o Guia de Instalação do Cisco 5500 Series Wireless Controller.

    note-icon

    Observação: este documento tem como objetivo fornecer aos leitores um exemplo da configuração necessária em um servidor Microsoft para autenticação PEAP-MS-CHAP. A configuração do servidor Microsoft Windows apresentada neste documento foi testada no laboratório e funcionou conforme esperado. Se você tiver problemas com a configuração, entre em contato com a Microsoft para obter ajuda. O Cisco Technical Assistance Center (TAC) não suporta a configuração do servidor Microsoft Windows.

    Os guias de instalação e configuração do Microsoft Windows 2008 podem ser encontrados no Microsoft Tech Net.

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Cisco 5508 Wireless Controller que executa o firmware Versão 7.4
    • Access Point (AP) Cisco Aironet 3602 com Lightweight Access Point Protocol (LWAPP) 
    • Windows 2008 Enterprise Server com NPS, Autoridade de Certificação (CA), protocolo de controle de host dinâmico (DHCP) e serviços de Sistema de Nome de Domínio (DNS) instalados
    • PC cliente Microsoft Windows 7
    • Switch Cisco Catalyst 3560 Series

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Conventions

    Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

    Informações de Apoio

    Este documento fornece uma configuração de exemplo para o PEAP (Protected Extensible Authentication Protocol) com a autenticação do MS-CHAP (Challenge Handshake Authentication Protocol) versão 2 em uma rede Cisco Unified Wireless com o NPS (Network Policy Server) da Microsoft como o servidor RADIUS.

    Visão geral do PEAP

    O PEAP usa o Transport Level Security (TLS) para criar um canal criptografado entre um cliente PEAP autenticado, como um laptop sem fio, e um autenticador PEAP, como o Microsoft NPS ou qualquer servidor RADIUS. O PEAP não especifica um método de autenticação, mas fornece segurança adicional para outros EAPs (Extensible Authentication Protocols), como EAP-MS-CHAP v2, que podem operar por meio do canal criptografado por TLS fornecido pelo PEAP. O processo de autenticação PEAP consiste em duas fases principais.

    PEAP fase um: canal criptografado por TLS

    O cliente sem fio se associa ao AP. Uma associação baseada em IEEE 802.11 fornece uma autenticação de sistema aberto ou chave compartilhada antes que uma associação segura seja criada entre o cliente e o ponto de acesso. Depois que a associação baseada em IEEE 802.11 é estabelecida com êxito entre o cliente e o ponto de acesso, a sessão TLS é negociada com o AP. Após a conclusão bem-sucedida da autenticação entre o cliente sem fio e o NPS, a sessão TLS é negociada entre o cliente e o NPS. A chave derivada nessa negociação é usada para criptografar todas as comunicações subsequentes.

    PEAP Fase 2: comunicação autenticada por EAP

    A comunicação EAP, que inclui a negociação EAP, ocorre dentro do canal TLS criado pelo PEAP na primeira etapa do processo de autenticação PEAP. O NPS autentica o cliente sem fio com EAP-MS-CHAP v2. O LAP e a controladora apenas encaminham mensagens entre o cliente sem fio e o servidor RADIUS. A controladora Wireless LAN (WLC) e o LAP não podem descriptografar essas mensagens porque não é o ponto final do TLS.

    A sequência de mensagens RADIUS para uma tentativa de autenticação bem-sucedida (na qual o usuário forneceu credenciais válidas baseadas em senha com PEAP-MS-CHAP v2) é:

    1. O NPS envia uma mensagem de solicitação de identidade ao cliente: EAP-Solicitação/Identidade.
    2. O cliente responde com uma mensagem de resposta de identidade: EAP-Resposta/Identidade.
    3. O NPS envia uma mensagem de desafio MS-CHAP v2: EAP-Request/EAP-Type=EAP MS-CHAP-V2 (Challenge).
    4. O cliente responde com um desafio e uma resposta MS-CHAP v2: EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Response).
    5. O NPS envia de volta um pacote de sucesso MS-CHAP v2 quando o servidor autentica com êxito o cliente: EAP-Request/EAP-Type=EAP-MS-CHAP-V2 (Success).
    6. O cliente responde com um pacote de sucesso MS-CHAP v2 quando o cliente autentica com êxito o servidor: EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Êxito).
    7. O NPS envia um valor de comprimento de tipo (TLV) EAP que indica uma autenticação bem-sucedida.
    8. O cliente responde com uma mensagem de status de êxito EAP-TLV.
    9. O servidor conclui a autenticação e envia uma mensagem EAP-Success em texto simples. Se as VLANs forem implantadas para isolamento do cliente, os atributos da VLAN serão incluídos nesta mensagem.

    Configurar

    Nesta seção, você encontrará informações para configurar o PEAP-MS-CHAP v2.

    note-icon

    Observação: Use a Command Lookup Tool para obter mais informações sobre os comandos usados nesta seção. Somente usuários registrados da Cisco podem acessar ferramentas e informações internas da Cisco.

    Diagrama de Rede

    Essa configuração utiliza esta configuração de rede:

    Network DiagramDiagrama de Rede

    Nesta configuração, um servidor Microsoft Windows 2008 executa estas funções:

    • Controlador de domínio para o domínio 
    • servidor DHCP/DNS
    • servidor CA
    • NPS - para autenticar os usuários sem fio
    • Ative Diretory - para manter o banco de dados do usuário

    O servidor se conecta à rede com fio por meio de um switch de Camada 2, como mostrado. A WLC e o LAP registrado também se conectam à rede através do switch de Camada 2.

    Os clientes sem fio usam a autenticação WPA2 (Wi-Fi Protected Access 2) - PEAP-MS-CHAP v2 para se conectar à rede sem fio.

    Configurações

    O objetivo deste exemplo é configurar o servidor Microsoft 2008, o Wireless LAN Controller e o Light Weight AP para autenticar os clientes sem fio com a autenticação PEAP-MS-CHAP v2. Há três etapas principais nesse processo:

    1. Configure o Microsoft Windows 2008 Server.
    2. Configure a WLC e os APs leves.
    3. Configure os clientes sem fio.

    Configurar o Microsoft Windows 2008 Server

    Neste exemplo, uma configuração completa do servidor Microsoft Windows 2008 inclui estas etapas:

    1. Configure o servidor como um controlador de domínio.
    2. Instalar e configurar os serviços DHCP.
    3. instale e configure o servidor como um servidor de autoridade de certificação.
    4. Conectar clientes ao domínio.
    5. Instale o NPS.
    6. Instalar um certificado.
    7. Configure o NPS para autenticação PEAP.
    8. Adicione usuários ao Ative Diretory.  

    Configurar o Microsoft Windows 2008 Server como um controlador de domínio

    Conclua estas etapas para configurar o servidor Microsoft Windows 2008 como um controlador de domínio:

    1. Clique em Start > Server Manager.

      Open the Server Manager

    2. Clique em Funções > Adicionar funções.

      Select Add Roles

    3. Clique em Next.

      Before You Begin

    4. Selecione o serviço Serviços de Domínio Ative Diretory e clique em Avançar.

      Select Server Roles

    5. Revise a Introdução aos Serviços de Domínio Ative Diretory e clique em Avançar.

      Active Directory Domain Services

    6. Clique em Instalar para iniciar o processo de instalação.

      Confirm Installation Selections

      A instalação continua e é concluída.

    7. Clique em Fechar este assistente e inicie o Assistente de Instalação dos Serviços de Domínio Ative Diretory (dcpromo.exe) para continuar a instalação e a configuração do Ative Diretory.

      Installation Results

    8. Clique em Avançar para executar o Assistente de Instalação dos Serviços de Domínio Ative Diretory.

      Domain Services Installation Wizard

    9. Revise as informações em Compatibilidade do Sistema Operacional e clique em Avançar.

      Run the Active Directory Domain Services Installation Wizard

    10. Clique em Criar um novo domínio em uma nova floresta > Próximo para criar um novo domínio.

      Review the Information on Operating System Compatibility

    11. Insira o nome DNS completo do novo domínio e clique em Avançar.

      Name the Forest Root Domain

    12. Selecione o nível funcional da floresta para o seu domínio e clique em Avançar.

      Set Forest Functional Level

    13. Selecione o nível funcional do domínio e clique em Avançar.

      Select the Forest Functional Level

    14. Verifique se o servidor DNS está selecionado e clique em Avançar.

      Check the DNS Server for Additional Options

    15. Clique em Yes para o assistente de instalação para criar uma nova zona no DNS para o domínio.

      Select Yes in Installation Wizard

    16. Selecione as pastas que o Ative Diretory deve usar para seus arquivos e clique em Avançar.

      Select Folders the Active Directory Must Use

    17. Insira a Senha do administrador e clique em Avançar.

      Enter the Administrator Password

    18. Revise suas seleções e clique em Avançar.

      Review Selections

      A instalação continua.

    19. Clique em Concluir para fechar o assistente.

      Select Finish to Close the Wizard

    20. Reinicie o servidor para que as alterações tenham efeito.

      Restart the Server

    Instalar e Configurar Serviços DHCP no Microsoft Windows 2008 Server

    O serviço DHCP no servidor Microsoft 2008 é usado para fornecer endereços IP aos clientes sem fio. Conclua estas etapas para instalar e configurar os serviços DHCP:

    1. Clique em Start > Server Manager.

      Install and Configure DHCP Services


    2. Clique em Funções > Adicionar funções.

      Add Roles

    3. Clique em Next.

      Before You Begin

    4. Selecione o serviço DHCP Server e clique em Next.

      Select Server Roles

    5. Revise a Introdução ao servidor DHCP e clique em Avançar.

      Review the Introduction to DHCP Server

    6. Selecione a interface que o servidor DHCP deve monitorar para solicitações e clique em Avançar.

      Select Interface the DHCP Server must Monitor for Requests

    7. Defina as configurações de DNS padrão que o servidor DHCP deve fornecer aos clientes e clique em Avançar.

      Configure the Default DNS Settings

    8. Configure o WINS se a rede suportar o WINS.

      Configure WINS if Network Supports WINS

    9. Clique em Adicionar para usar o assistente para criar um Escopo DHCP ou clique em Avançar para criar um escopo DHCP mais tarde. Clique em Avançar para continuar.

      Create a DHCP Scope or Create DHCP Scope

    10. Habilite ou desabilite o suporte a DHCPv6 no servidor e clique em Avançar.

      Configure DHCPv6 Stateless Mode

    11. Defina as configurações DNS IPv6 se DHCPv6 tiver sido habilitado na etapa anterior. Clique em Avançar para continuar.

      Configure IPv6 DNS Settings

    12. Forneça credenciais de administrador de domínio para autorizar o servidor DHCP no Ative Diretory e clique em Avançar.

      Provide Domain Administrator Credentials

    13. Revise a configuração na página de confirmação e clique em Instalar para concluir a instalação.

      Confirm Configuration and Install

      A instalação continua.

    14. Clique em Fechar para fechar o assistente.

      Installation Results

      O servidor DHCP agora está instalado.

    15. Clique em Iniciar > Ferramentas Administrativas> DHCP para configurar o serviço DHCP.

      Start Administrative Tools

    16. Expanda o servidor DHCP (mostrado na imagem anterior deste exemplo), clique com o botão direito do mouse em IPv4 e escolha Novo escopo para criar um escopo DHCP.

      Expand the DHCP Server and Choose New Scope

    17. Clique em Próximo para configurar o novo escopo por meio do Assistente de Novo Escopo.

      New Scope Wizard

    18. Forneça um nome para o novo escopo (Clientes sem fio neste exemplo) e clique em Avançar.

      Enter Scope Name

    19. Insira o intervalo de endereços IP disponíveis que podem ser usados para concessões de DHCP. Clique em Avançar para continuar.

      Enter Range of IP Addresses for DHCP Leases

    20. Crie uma lista opcional de endereços excluídos. Clique em Avançar para continuar.

      Create Optional List of Excluded IP Addresses

    21. Configure o tempo de concessão e clique em Avançar.

      Configure Lease Time

    22. Clique em Yes, I want to configure these options now e clique em Next.

      Configure DHCP Options

    23. Insira o endereço IP do gateway padrão para este escopo e clique em Add > Next.

      Enter IP Address of the Default Gateway

    24. Configure o nome de domínio DNS e o servidor DNS a serem usados pelos clientes. Clique em Avançar para continuar.

      Configure the DNS Domain Name and DNS Server

    25. Insira as informações de WINS para este escopo se a rede oferecer suporte a WINS. Clique em Avançar para continuar.

      Enter WINS Servers Information

    26. Para ativar este escopo, clique em Sim, desejo ativar este escopo agora > Próximo.

      Activate the Scope

    27. Clique em Concluir para concluir e fechar o assistente.

      Finish the New Scope Configuration

    Instalar e configurar o Microsoft Windows 2008 Server como um servidor de autoridade de certificação

    O PEAP com EAP-MS-CHAP v2 valida o servidor RADIUS com base no certificado presente no servidor. Além disso, o certificado do servidor deve ser emitido por uma CA pública confiável para o computador cliente (ou seja, o certificado CA público já existe na pasta Autoridade de Certificação Raiz Confiável no repositório de certificados do computador cliente). 

    Conclua estas etapas para configurar o servidor Microsoft Windows 2008 como um servidor de autoridade de certificação que emite o certificado para o NPS:

    1. Clique em Start > Server Manager.

      Configure the Microsoft Windows 2008 Server

    2. Clique em Funções > Adicionar funções.

      Add Roles

    3. Clique em Next.

      Before You Begin

    4. Selecione o serviço Serviços de Certificados do Ative Diretory e clique em Avançar.

      Select Server Roles

    5. Revise a Introdução aos Serviços de Certificados do Ative Diretory e clique em Avançar.

      Introduction to Active Directory Certificate Services

    6. Selecione a Autoridade de certificação e clique em Avançar.

      Select Certification Authority Role

    7. Selecione Enterprise e clique em Next.

      Specify Setup Type Enterprise

    8. Selecione Root CA e clique em Next.

      Specify CA Type

    9. Selecione Create a new private key e clique em Next.

      Set Up Private Key

    10. Clique em Next em Configure Cryptography for CA.

      Configure Cryptography for CA

    11. Clique em Avançar para aceitar o nome comum padrão desta autoridade de certificação.

      Configure CA Name

    12. Selecione o período de validade deste certificado de autoridade de certificação e clique em Avançar.

      Set Length of Validity Period

    13. Clique em Avançar para aceitar o local padrão do banco de dados de certificados.

      Accept the Default Certificate Database

    14. Revise a configuração e clique em Instalar para iniciar os Serviços de Certificados do Ative Diretory. 

      Install and See Results


    15. Após a conclusão da instalação, clique em Fechar.

    Conectar clientes ao domínio

    Conclua estas etapas para conectar os clientes à rede com fio e para baixar as informações específicas do domínio do novo domínio:

    1. Conecte os clientes à rede com fio com um cabo Ethernet direto.
    2. Inicialize o cliente e efetue logon com o nome de usuário e a senha do cliente.
    3. Clique em Iniciar > Executar, digite cmd e clique em OK.
    4. No prompt de comando, insira ipconfig e clique em Enter para verificar se o DHCP funciona corretamente e se o cliente recebeu um endereço IP do servidor DHCP.
    5. Para unir o cliente ao domínio, clique em Iniciar, clique com o botão direito do mouse em Computador, escolha Propriedades e escolha Alterar configurações na parte inferior direita.
    6. Clique em Alterar.
    7. Clique em Domain, insira o nome de domínio, sem fio, para este exemplo, e clique em OK.

      Enter the Domain Name

    8. Insira o nome de usuário administrator e a senha específica do domínio ao qual o cliente ingressa. Esta é a conta de administrador no Ative Diretory no servidor.

      Enter Username as Administrator and the Password to Domain Client Joins

    9. Clique em OK e em OK novamente.

      The Computer Name Domain Changes

    10. Clique em Fechar > Reiniciar agora para reiniciar o computador.
    11. Quando o computador for reiniciado, faça login com: Nome de usuário = Administrador; Senha = <senha do domínio>; Domínio = sem fio.
    12. Clique em Iniciar, clique com o botão direito do mouse em Computador, escolha Propriedades e Alterar configurações na parte inferior direita para verificar se você está no domínio sem fio.
    13. A próxima etapa é verificar se o cliente recebeu o certificado CA (confiança) do servidor.

      Verify Client Received the CA Certificate

    14. Clique em Iniciar, digite mmc e pressione Enter.
    15. Clique em File e clique em Add/Remove snap-in.
    16. Escolha Certificados e clique em Adicionar.

      Add or Remove Snap In

    17. Clique em Conta do computador e em Avançar.

      Select Computer Account

    18. Clique em Computador local e em Avançar.

      Select Local Computer

    19. Click OK.
    20. Expanda as pastas Certificados (Computador Local) e Autoridades de Certificação Raiz Confiáveis e clique em Certificados. Localize o certificado CA de domínio sem fio na lista. Neste exemplo, o certificado CA é chamado wireless-WIN-MVZ9Z2UMNMS-CA. 

      Find the Wireless Domain CA Certificate

    21. Repita este procedimento para adicionar mais clientes ao domínio.

    Instale o Servidor de Diretivas de Rede no Microsoft Windows 2008 Server

    Nesta configuração, o NPS é usado como um servidor RADIUS para autenticar clientes sem fio com autenticação PEAP. Conclua estas etapas para instalar e configurar o NPS no servidor Microsoft Windows 2008:

    1. Clique em Start > Server Manager.

      Start Server Manager

    2. Clique em Funções > Adicionar funções.

      Roles Summary

    3. Clique em Next.

      Before You Begin

    4. Selecione o serviço Network Policy and Access Services e clique em Next.

      Select Server Roles

    5. Revise a Introdução aos serviços de acesso e política de rede e clique em Avançar.

      Network Policy and Access Services

    6. Selecione Servidor de Diretivas de Rede e clique em Avançar.

      Select Network Policy Server

    7. Revise a confirmação e clique em Instalar.

      Confirm Installation Selections


      Após a conclusão da instalação, uma tela semelhante a esta será exibida.

      Installation Results

    8. Clique em Close.

    Instalar um certificado

    Conclua estas etapas para instalar o certificado do computador para o NPS:

    1. Clique em Iniciar, digite mmc e pressione Enter.
    2. Clique em Arquivo > Adicionar/remover snap-in.
    3. Escolha Certificados e clique em Adicionar.

      Add or Remove Snap In

    4. Escolha Conta do computador e clique em Avançar.

      Certificate Snap In

    5. Selecione Computador local e clique em Concluir.

      Select Local Computer and Finish

    6. Clique em OK para retornar ao Console de Gerenciamento Microsoft (MMC).

      Return to the Microsoft Management Console (MMC)

    7. Expanda as pastas Certificados (Computador Local) e Pessoal e clique em Certificados.

      Expand the Certificates and Personal folders and Click Certificates

    8. Clique com o botão direito do mouse no espaço em branco abaixo do certificado CA e escolha All Tasks > Request New Certificate.

      Request New Certificate

    9. Clique em Next.

      Certificate Enrollment

    10. Selecione Domain Controller e clique em Enroll.

      Select Domain Controller

    11. Clique em Finish quando o certificado estiver instalado.

      Finish Enrollment

      O certificado NPS agora está instalado. 

    12. Certifique-se de que a Finalidade do certificado leia Autenticação do Cliente, Autenticação do Servidor.

      Certificate Should Read Client Authentication Server Authentication

    Configurar o Serviço do Servidor de Políticas de Rede para Autenticação PEAP-MS-CHAP v2

    Conclua estas etapas para configurar o NPS para autenticação:

    1. Clique em Iniciar > Ferramentas Administrativas > Servidor de Diretivas de Rede.
    2. Clique com o botão direito do mouse em NPS (Local) e escolha Registrar servidor no Ative Diretory.

      Register Server in Active Directory

    3. Click OK.

      Network Policy Server

    4. Click OK.

      Computer is Now Authorized

    5. Adicione o controlador de LAN sem fio como um cliente de autenticação, autorização e contabilização (AAA) no NPS.
    6. Expanda Clientes e Servidores RADIUS. Clique com o botão direito do mouse em RADIUS Clients e escolha New RADIUS Client.

      Choose New RADIUS Client

    7. Insira um Nome amigável (WLC neste exemplo), o endereço IP de gerenciamento da WLC (192.168.162.248 neste exemplo) e um segredo compartilhado. O mesmo segredo compartilhado é usado para configurar a WLC. 

      New RADIUS Client

    8. Clique em OK para retornar à tela anterior.

      List of RADIUS Client

    9. Crie uma nova Diretiva de Rede para usuários sem fio. Expanda Policies, clique com o botão direito do mouse em Network Policies e escolha New.

      Select Network Polices

    10. Insira um nome de diretiva para esta regra (PEAP sem fio, neste exemplo) e clique em Avançar.

      Specify Network Policy Name and Connection Type

    11. Para que essa política permita apenas usuários de domínio sem fio, adicione essas três condições e clique em Avançar:

      • Grupos do Windows - Usuários do Domínio
      • Tipo de porta NAS - Sem fio - IEEE 802.11
      • Tipo de autenticação - EAP 

        Add Specific Conditions

    12. Clique em Acesso concedido para conceder tentativas de conexão que correspondam a esta diretiva e clique em Avançar.

      Specify Access Permission

    13. Desabilite todos os métodos de autenticação em Métodos de autenticação menos seguros.

      Configure Authentication Methods

    14. Clique em Add, selecione PEAP e clique em OK para ativar o PEAP.

      Enable PEAP

    15. Selecione Microsoft: Protected EAP (PEAP) e clique em Edit. Verifique se o certificado de controlador de domínio criado anteriormente está selecionado na lista suspensa Certificado emitido e clique em OK.

      Microsoft Protected EAP

    16. Clique em Next.

      Configure Constraints

    17. Clique em Next.

      Configure Settings

    18. Clique em Next.

      Completing New Network Policy

    19. Clique em Finish.

      Add Users to the Active Directory

    Adicionar usuários ao Ative Diretory

    Neste exemplo, o banco de dados do usuário é mantido no Ative Diretory. Conclua estas etapas para adicionar usuários ao banco de dados do Ative Diretory:

    1. Abra Usuários e computadores do Active Directory. Clique em Iniciar > Ferramentas administrativas > Usuários e computadores do Ative Diretory.
    2. Na árvore do console Ative Diretory Users and Computers, expanda o domínio, clique com o botão direito do mouse em Users > New e escolha User.
    3. Na caixa de diálogo New Object - User (Novo objeto - Usuário), digite o nome do usuário sem fio. Este exemplo usa o nome Client1 no campo Nome e Client1 no campo Nome de logon do usuário. Clique em Next.

      Do Not Check User Must Change Password at Next Log On

    4. Na caixa de diálogo New Object - User, digite uma senha de sua escolha nos campos Password e Confirm password. Verifique se a caixa de seleção User must change password at next logon não está marcada e clique em Next.

      Select Finish

    5. Na caixa de diálogo New Object - User, clique em Finish.

      In Controller Interface Select New

    6. Repita as etapas de 2 a 4 para criar contas de usuário adicionais.

    Configurar o controlador de LAN sem fio e os LAPs

    Configure os dispositivos sem fio (os controladores de LAN sem fio e os LAPs) para essa configuração.

    Configurar a WLC para autenticação RADIUS

    Configure a WLC para usar o NPS como o servidor de autenticação. A WLC deve ser configurada para encaminhar as credenciais de usuário a um servidor RADIUS externo. O servidor RADIUS externo valida as credenciais do usuário e fornece acesso aos clientes sem fio.

    Conclua estas etapas para adicionar o NPS como um servidor RADIUS na página Security > RADIUS Authentication:

    1. Escolha Security > RADIUS > Authentication na interface do controlador para exibir a página RADIUS Authentication Servers. Clique em New para definir um servidor RADIUS.

      RADIUS Authentication Servers Add IP

    2. Defina os parâmetros do servidor RADIUS. Esses parâmetros incluem o endereço IP do servidor RADIUS, o segredo compartilhado, o número da porta e o status do servidor. As caixas de seleção Network User and Management determinam se a autenticação baseada em RADIUS se aplica a usuários de gerenciamento e de rede (sem fio). Este exemplo usa o NPS como o servidor RADIUS com um endereço IP 192.168.162.12. Clique em Apply.

      Under Security Tab

    Configurar uma WLAN para os clientes

    Configure o Service Set Identifier (SSID) (WLAN) ao qual os clientes sem fio se conectam. Neste exemplo, crie o SSID e nomeie-o como PEAP.

    Defina a Autenticação da Camada 2 como WPA2 para que os clientes executem a autenticação baseada em EAP (PEAP-MS-CHAP v2 neste exemplo) e usem o padrão de criptografia avançado (AES) como o mecanismo de criptografia. Deixe todos os outros valores em seus padrões.

    note-icon

    Observação: este documento vincula a WLAN às interfaces de gerenciamento. Quando há várias VLANs na rede, você pode criar uma VLAN separada e vinculá-la ao SSID. Para obter informações sobre como configurar VLANs em WLCs, consulte Exemplo de Configuração de VLANs em Controladoras Wireless LAN.

    Conclua estes passos para configurar uma WLAN na WLC:

    1. Clique em WLANs na interface do controlador para exibir a página WLANs. Esta página lista as WLANs que existem na controladora.
    2. Escolha New para criar uma nova WLAN. Insira o ID da WLAN e o SSID da WLAN para a WLAN e clique em Apply.

      Select WLANs and Enter Profile Name

    3. Para configurar o SSID para 802.1x, siga estas etapas:
      1. Clique na guia General e ative a WLAN.

        Edit PEAP Under the General Tab

      2. Clique nas guias Security > Layer 2, defina Layer 2 Security como WPA + WPA2, marque as caixas de seleção WPA+WPA2 Parameters (por exemplo, WPA2 AES) conforme necessário e clique em 802.1x como Authentication Key Management.

        Set Layer 2 Security

      3. Clique nas guias Security > AAA Servers, escolha o endereço IP do NPS na lista suspensa Server 1 e clique em Apply.

        Navigate to Security and then AAA Servers Tab

    Configurar os clientes sem fio para a autenticação PEAP-MS-CHAP v2

    Conclua estas etapas para configurar o cliente sem fio com a ferramenta Zero Config do Windows para conectar-se à WLAN PEAP.

    1. Clique no ícone Network na barra de tarefas. Clique no SSID PEAP e em Connect.

      Connect PEAP SSID

    2. O cliente deve agora estar conectado à rede. 

      Connect Client to Network

    3. Se a conexão falhar, tente reconectar-se à WLAN. Se o problema persistir, consulte a seção Solução de problemas.

    Verificar

    No momento, não há procedimento de verificação disponível para esta configuração.

    Troubleshoot

    Se o seu cliente não se conectou à WLAN, esta seção fornece informações que você pode usar para solucionar problemas de configuração.

    Há duas ferramentas que podem ser usadas para diagnosticar falhas de autenticação do 802.1x: o comando debug client e o Visualizador de Eventos no Windows.

    Se você executar uma depuração de cliente a partir da WLC, ela não exigirá muitos recursos e não afetará o serviço. Para iniciar uma sessão de depuração, abra a interface de linha de comando (CLI) da WLC e insira debug client mac address, onde o endereço mac é o endereço mac sem fio do cliente sem fio que não consegue se conectar. Durante a execução dessa depuração, tente conectar o cliente; deve haver uma saída na CLI da WLC que se pareça com este exemplo:

    Output on the WLC

    Este é um exemplo de um problema que pode ocorrer com uma configuração incorreta. Aqui, a depuração da WLC mostra que a WLC entrou no estado de autenticação, o que significa que a WLC espera uma resposta do NPS. Isso geralmente ocorre devido a um segredo compartilhado incorreto na WLC ou no NPS. Você pode confirmar isso por meio do Visualizador de Eventos do Windows Server. Se você não encontrar um log, a solicitação nunca o terá feito ao NPS.

    Outro exemplo encontrado na depuração da WLC é um access-reject. Uma rejeição de acesso mostra que o NPS recebeu e rejeitou as credenciais do cliente. Este é um exemplo de um cliente que recebe uma rejeição de acesso:

    Client that Receives an Access-Reject

    Quando você vir uma rejeição de acesso, verifique os logs nos logs de Eventos do Windows Server para determinar por que o NPS respondeu ao cliente com uma rejeição de acesso.

    Uma autenticação bem-sucedida tem um access-accept na depuração do cliente, conforme visto neste exemplo:

    Successful Authentication has an Access-Accept in the Client Debug

    Se você quiser solucionar problemas de rejeição de acesso e timeouts de resposta, será necessário acessar o servidor RADIUS. A WLC atua como um autenticador que transmite mensagens EAP entre o cliente e o servidor RADIUS. Um servidor RADIUS que responde com uma rejeição de acesso ou um timeout de resposta deve ser examinado e diagnosticado pelo fabricante do serviço RADIUS.

    note-icon

    Observação: o TAC não fornece suporte técnico para servidores RADIUS de terceiros; no entanto, os logs no servidor RADIUS geralmente explicam por que uma solicitação de cliente foi rejeitada ou ignorada.

    Para solucionar problemas de rejeição de acesso e tempos limite de resposta do NPS, examine os logs do NPS no Visualizador de Eventos do Windows no servidor. 

    1. Clique em Iniciar > Ferramentas do Administrador > Visualizador de Eventos para iniciar o Visualizador de Eventos e revisar os logs do NPS.
    2. Expanda Exibições Personalizadas > Funções do Servidor > Acesso e Diretiva de Rede.

      Expand New Policy and Access

    Nesta seção da Visualização de eventos, há registros de autenticações aprovadas e com falha. Examine esses registros para solucionar o motivo pelo qual um cliente não está passando a autenticação. As autenticações aprovadas e com falha aparecem como Informativas. Percorra os logs para localizar o nome de usuário que falhou na autenticação e recebeu uma rejeição de acesso com base nas depurações do WLC.

    Este é um exemplo do NPS quando ele nega o acesso de um usuário:

    NPS Denies a User Access

    Quando você revisar uma instrução deny no Visualizador de Eventos, examine a seção Detalhes da Autenticação. Neste exemplo, você pode ver que o NPS negou o acesso do usuário devido a um nome de usuário incorreto:

    NPS Denied the User Access Due to an Incorrect Username

    A Exibição de Eventos no NPS também auxilia quando você precisa solucionar problemas se o WLC não receber uma resposta do NPS.  Isso geralmente é causado por um segredo compartilhado incorreto entre o NPS e a WLC.

    Neste exemplo, o NPS descarta a solicitação da WLC devido a um segredo compartilhado incorreto:

    NPS Discards the Request from the WLC Due to an Incorrect Shared Secret

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    3.0
    14-Mar-2023
    Atualizado em. Corrigidos. Recertificação.
    1.0
    24-Feb-2013
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Nick Tate
      Arquiteto de entrega ao cliente da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco