使用RADIUS伺服器的EAP身份驗證

簡介

本檔案將提供以Cisco IOS®為基礎的存取點組態範例，以針對RADIUS伺服器存取的資料庫，對無線使用者進行可延伸驗證通訊協定(EAP)驗證。

由於存取點在EAP中扮演被動角色（將來自使用者端的無線封包橋接為目的地為驗證伺服器的有線封包，反之亦然），因此此組態幾乎用於所有EAP方法。這些方法包括（但不限於） LEAP、受保護的EAP (PEAP)-MS-質詢握手身份驗證協定(CHAP)版本2、PEAP-通用令牌卡(GTC)、透過安全隧道(FAST)的EAP靈活身份驗證(EAP)、EAP傳輸層安全(TLS)和EAP隧道TLS (TTLS)。您必須為這些EAP方法中的每一個適當設定驗證伺服器。

本文檔介紹如何配置存取點(AP)和RADIUS伺服器，在本文檔的配置示例中為Cisco Secure ACS。

必要條件

需求

嘗試此組態之前，請確保符合以下要求：

• 您熟悉Cisco IOS GUI或CLI。

• 您熟悉EAP驗證背後的概念。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 運行Cisco IOS的Cisco Aironet AP產品。

• 假設網路中只有一個虛擬LAN (VLAN)。

• 成功整合到使用者資料庫的RADIUS身份驗證伺服器產品。

  • 以下是Cisco LEAP和EAP-FAST支援的身份驗證伺服器：

    • 思科安全存取控制伺服器(ACS)

    • Cisco Access Registrar (CAR)

    • 放克鋼帶腹半徑

    • Interlink價值

  • 以下是Microsoft PEAP-MS-CHAP版本2和PEAP-GTC支援的驗證伺服器：

    • Microsoft Internet身份驗證服務(IAS)

    • Cisco Secure ACS

    • 放克鋼帶腹半徑

    • Interlink價值

    • Microsoft可以授權的任何其他身份驗證伺服器。

    注意：GTC或一次性密碼需要額外的服務，這些服務需要在客戶端和伺服器端使用額外的軟體，以及硬體或軟體令牌生成器。

  • 請洽詢使用者端請求者的製造商，以取得其產品支援的EAP-TLS、EAP-TTLS及其他EAP方法之驗證伺服器的詳細資訊。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

設定

此配置描述如何在基於IOS的AP上配置EAP身份驗證。在本文檔的示例中，LEAP被用作RADIUS伺服器的EAP身份驗證方法。

注意：使用命令查詢工具(僅限註冊客戶)可獲取有關此部分使用的命令的更多資訊。

與大多數基於密碼的身份驗證演算法一樣，Cisco LEAP容易受到詞典攻擊。這不是Cisco LEAP的新攻擊或新漏洞。建立強密碼策略是緩解詞典攻擊的最有效方法。這包括使用強密碼和密碼定期過期。有關詞典攻擊以及如何阻止此類攻擊的詳細資訊，請參閱對Cisco LEAP的詞典攻擊。

本文檔針對GUI和CLI使用以下配置：

• AP的IP地址為10.0.0.106。

• RADIUS伺服器(ACS)的IP位址是10.0.0.3。

網路EAP或採用EAP的開放式驗證

在任何基於EAP/802.1x的身份驗證方法中，都可以詢問「網路EAP」與「採用EAP的開放式身份驗證」之間的區別。這些專案引用管理和關聯資料包報頭中Authentication Algorithm欄位的值。大多數無線客戶端製造商將此欄位設定為值0（開放式身份驗證），然後表示希望在關聯過程後期執行EAP身份驗證。Cisco設定值的方式，與使用Network EAP標誌開始關聯時不同。

如果您的網路具有下列使用者端：

• Cisco客戶端-使用Network-EAP。

• 第三方客戶端（包括符合CCX標準的產品）-使用Open with EAP。

• Cisco和第三方客戶端的組合-同時選擇Network-EAP和Open with EAP。

定義驗證伺服器

EAP配置的第一步是定義身份驗證伺服器並與之建立關係。

1. 在存取點「伺服器管理員」(Server Manager)標籤(在「安全性」(Security) >「伺服器管理員」(Server Manager)功能表專案下)上，完成以下步驟：

   1. 在Server欄位中輸入身份驗證伺服器的IP地址。

   2. 指定共用金鑰和埠。

   3. 按一下Apply，以建立定義並填充下拉選單。

   4. 將EAP身份驗證型別Priority 1欄位設定為伺服器IP地址的預設伺服器優先順序。

   5. 按一下「Apply」。

   

   您還可以從CLI發出以下命令：

   AP#configure terminal
   
   Enter configuration commands, one per line.  End with CNTL/Z.
   
   AP(config)#aaa group server radius rad_eap
   
   AP(config-sg-radius)#server 10.0.0.3 auth-port 1645 acct-port 1646
   
   AP(config-sg-radius)#exit
   
   AP(config)#aaa new-model
   
   AP(config)#aaa authentication login eap_methods group rad_eap
   
   AP(config)#radius-server host 10.0.0.3 auth-port 1645 
   acct-port 1646 key labap1200ip102
   
   AP(config)#end
   
   AP#write memory
   

2. 存取點必須在驗證伺服器中設定為AAA使用者端。

   例如，在Cisco Secure ACS中，可在Network Configuration頁上完成此操作，該頁中可定義存取點名稱、IP地址、共用金鑰和身份驗證方法（RADIUS Cisco Aironet或RADIUS Cisco IOS/PIX）。有關其他非ACS身份驗證伺服器，請參閱製造商提供的文檔。

   

   確保身份驗證伺服器配置為執行所需的EAP身份驗證方法。例如，對於要執行LEAP的Cisco Secure ACS，請在System Configuration - Global Authentication Setup頁上配置LEAP身份驗證。按一下System Configuration，然後按一下Global Authentication Setup。有關其他非ACS身份驗證伺服器或其他EAP方法，請參閱製造商提供的文檔。

   

   此圖顯示為PEAP、EAP-FAST、EAP-TLS、LEAP和EAP-MD5配置的Cisco Secure ACS。

   

定義使用者端驗證方法

一旦存取點知道傳送客戶端身份驗證請求的位置，請將其配置為接受這些方法。

注意：這些說明適用於基於WEP的安裝。有關WPA（使用密碼而不是WEP），請參閱WPA配置概述。

1. 在存取點加密管理器頁籤(在Security > Encryption Manager選單項下)上，完成以下步驟：

   1. 指定要使用WEP Encryption。

   2. 指定WEP為Mandatory。

   3. 驗證是否已將金鑰大小設定為128位。

   4. 按一下「Apply」。

   

   您還可以從CLI發出以下命令：

   AP#configure terminal
   
   Enter configuration commands, one per line.  End with CNTL/Z.
   
   AP(config)#interface dot11radio 0
   
   AP(config-if)#encryption mode wep mandatory
   
   AP(config-if)#end
   
   AP#write memory
   

2. 在存取點SSID Manager頁籤(在Security > SSID Manager選單項下)上完成以下步驟：

   1. 選擇所需的SSID。

   2. 在「Authentication Methods Accepted」下，選中標籤為Open的覈取方塊，並使用下拉選單選擇With EAP。

   3. 如果擁有Cisco客戶端卡，請選中標籤為Network-EAP 的覈取方塊。請參閱網路EAP或採用EAP的開放式身份驗證部分中的討論。

   4. 按一下「Apply」。

您還可以從CLI發出以下命令：

AP#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

AP(config)#interface dot11radio 0

AP(config-if)#ssid labap1200

AP(config-if-ssid)#authentication open eap eap_methods

AP(config-if-ssid)#authentication network-eap eap_methods

AP(config-if-ssid)#end

AP#write memory

使用基本EAP配置確認基本功能後，可以在以後增加其他功能和金鑰管理。在功能基礎之上疊加更複雜的功能，以便更輕鬆地排除故障。

驗證

本節提供的資訊可用於確認組態是否正常運作。

輸出直譯器工具支援某些show命令(僅供註冊客戶使用)，透過該工具可檢視對show命令輸出的分析。

• show radius server-group all -顯示AP上所有已配置的RADIUS伺服器組的清單。

疑難排解

疑難排解程式

完成以下步驟以排解組態的疑難問題。

1. 在使用者端公用程式或軟體中，使用相同或類似的引數建立新的設定檔或連線，以確保使用者端的設定沒有損毀。

2. 要排除阻止成功身份驗證的RF問題的可能性，請按照以下步驟臨時停用身份驗證：

   • 在CLI中，使用no authentication open eap eap_methods、no authentication network-eap eap_methods和authentication open命令。

   • 在GUI中，在SSID Manager頁上取消選中Network-EAP、選中Open，並將下拉選單設定回No Addition。

   如果客戶端成功關聯，則RF不會導致關聯問題。

3. 驗證共用金鑰密碼在存取點和身份驗證伺服器之間是否同步。否則，您可能會收到以下錯誤訊息：

   Invalid message authenticator in EAP request

   • 在CLI中，檢查radius-server host x.x.x.x auth-port x acct-port x key <shared_secret>行。

   • 在GUI的「伺服器管理員」頁面上，在標示為「共用密碼」的方塊中，重新輸入適當伺服器的共用密碼。

   RADIUS伺服器上存取點的共用金鑰條目必須包含與上述共用金鑰相同的共用金鑰密碼。

4. 從RADIUS伺服器中刪除所有使用者組。有時，RADIUS伺服器定義的使用者組與基礎域中的使用者組之間可能會發生衝突。檢查RADIUS伺服器的日誌中是否有失敗的嘗試，以及這些嘗試失敗的原因。

疑難排解指令

輸出直譯器工具支援某些show命令(僅供註冊客戶使用)，透過該工具可檢視對show命令輸出的分析。

調試身份驗證中提供了有關如何收集和解釋關於EAP的debug命令輸出的大量詳細資訊。

注意：在發出debug命令之前，請參閱有關Debug命令的重要資訊。

• debug dot11 aaa authenticator state-machine -顯示客戶端和身份驗證伺服器之間協商的主要部分（或狀態）。下面是成功身份驗證的輸出：

  *Mar 1 02:37:46.846: dot11_auth_dot1x_send_id_req_to_client: Sending
  		identity request to 0040.96ac.dd05
  *Mar 1 02:37:46.846: dot11_auth_dot1x_send_id_req_to_client:
  		0040.96ac.dd05 timer started for 30 seconds
  *Mar 1 02:37:46.930: dot11_auth_dot1x_run_rfsm: Executing
  		Action(CLIENT_WAIT,EAP_START) for 0040.96ac.dd05
  *Mar 1 02:37:46.931: dot11_auth_dot1x_send_id_req_to_client:
  		Sending identity request to 0040.96ac.dd05 (client)
  *Mar 1 02:37:46.931: dot11_auth_dot1x_send_id_req_to_client: Client
  		0040.96ac.dd05 timer started for 30 seconds 
  *Mar 1 02:37:46.938: dot11_auth_dot1x_run_rfsm: Executing
  		Action(CLIENT_WAIT,CLIENT_REPLY) for 0040.96ac.dd05
  *Mar 1 02:37:46.938: dot11_auth_dot1x_send_response_to_server:
  		Sending client 0040.96ac.dd05 data (User Name) to server
  *Mar 1 02:37:46.938: dot11_auth_dot1x_send_response_to_server:
  		Started timer server_timeout 60 seconds
  *Mar 1 02:37:47.017: dot11_auth_dot1x_run_rfsm: Executing
  		Action(SERVER_WAIT,SERVER_REPLY) for 0040.96ac.dd05
  *Mar 1 02:37:47.017: dot11_auth_dot1x_send_response_to_client:
  		Forwarding server message(Challenge) to client 0040.96ac.dd05
  *Mar 1 02:37:47.018: dot11_auth_dot1x_send_response_to_client:
  		Started timer client_timeout 20 seconds
  *Mar 1 02:37:47.025: dot11_auth_dot1x_run_rfsm: Executing
  		Action(CLIENT_WAIT,CL IENT_REPLY) for 0040.96ac.dd05
  *Mar 1 02:37:47.025: dot11_auth_dot1x_send_response_to_server:
  		Sending client 0040.96ac.dd05 data(User Credentials) to server
  -------------------Lines Omitted for simplicity-------------------
  *Mar 1 02:37:47.030: dot11_auth_dot1x_send_response_to_client:
  		Started timer client_timeout 20 seconds
  *Mar 1 02:37:47.041: dot11_auth_dot1x_run_rfsm: Executing Action
  		(SERVER_WAIT,SE RVER_PASS) for 0040.96ac.dd05
  *Mar 1 02:37:47.041: dot11_auth_dot1x_send_response_to_client:
  		Forwarding server message(Pass Message) to client
  		0040.96ac.dd05
  *Mar 1 02:37:47.042: dot11_auth_dot1x_send_response_to_client:
  		Started timer client_timeout 30 seconds
  *Mar 1 02:37:47.043: %DOT11-6-ASSOC: Interface Dot11Radio0,
  		Station TACWEB 0040 .96ac.dd05 Associated KEY_MGMT[NONE] (Client stays
  		associated to the access point)
  

  注意：在12.2(15)JA之前的Cisco IOS軟體版本中，此debug命令的語法為debug dot11 aaa dot1x state-machine。

• debug dot11 aaa authenticator process -顯示客戶端和身份驗證伺服器之間協商的單個通話條目。

  注意：在12.2(15)JA之前的Cisco IOS軟體版本中，此debug命令的語法為debug dot11 aaa dot1x process。

• debug radius authentication -顯示伺服器和客戶端（均由AP橋接）之間的RADIUS協商。以下是失敗身份驗證的輸出：

  *Mar 1 02:34:55.086: RADIUS/ENCODE(00000031):Orig. component type = DOT11
  *Mar 1 02:34:55.086: RADIUS: AAA Unsupported Attr: ssid [264] 5
  *Mar 1 02:34:55.086: RADIUS: 73 73 69 [ssi] 
  *Mar 1 02:34:55.086: RADIUS: AAA Unsupported Attr: interface [157] 3
  *Mar 1 02:34:55.087: RADIUS: 32 [2]
  *Mar 1 02:34:55.087: RADIUS(00000031): Config NAS IP: 10.0.0.106
  *Mar 1 02:34:55.087: RADIUS/ENCODE(00000031): acct_session_id: 47
  *Mar 1 02:34:55.087: RADIUS(00000031): Config NAS IP: 10.0.0.106 
  *Mar 1 02:34:55.087: RADIUS(00000031): sending
  *Mar 1 02:34:55.087: RADIUS(00000031): Send Access-Request
  		to 10.0.0.3 :164 5 id 1645/61, len 130
  *Mar 1 02:34:55.088: RADIUS: authenticator 0F 6D B9 57 4B A3 F2 0E -
  		56 77 A4 7E D3 C2 26 EB
  *Mar 1 02:34:55.088: RADIUS: User-Name [1] 8 "wirels"
  *Mar 1 02:34:55.088: RADIUS: Framed-MTU [12] 6 1400 
  *Mar 1 02:34:55.088: RADIUS: Called-Station-Id [30] 16 "0019.a956.55c0"
  *Mar 1 02:34:55.088: RADIUS: Calling-Station-Id [31] 16 "0040.96ac.dd05"
  *Mar 1 02:34:55.088: RADIUS: Service-Type [6] 6 Login [1] 
  *Mar 1 02:34:55.088: RADIUS: Message-Authenticato[80] 18
  *Mar 1 02:34:55.089: RADIUS: 73 8C 59 C4 98 51 53 9F 58 4D 1D EB A5
  		4A AB 88 [s?Y??QS?XM???J??]
  *Mar 1 02:34:55.089: RADIUS: EAP-Message [79] 13
  *Mar 1 02:34:55.089: RADIUS: NAS-Port-Id [87] 5 "299"
  *Mar 1 02:34:55.090: RADIUS: NAS-IP-Address [4] 6 10.0.0.106
  *Mar 1 02:34:55.090: RADIUS: Nas-Identifier [32] 4 "ap"
  *Mar 1 02:34:55.093: RADIUS: Received from id 1645/61
  		10.0.0.3 :1645, Access-Challenge, len 79
  *Mar 1 02:34:55.093: RADIUS: authenticator 72 FD C6 9F A1 53 8F D2 -
  		84 87 49 9B B4 77 B8 973
  ---------------------------Lines Omitted-----------------------------------
  *Mar 1 02:34:55.117: RADIUS(00000031): Config NAS IP: 10.0.0.106 
  *Mar 1 02:34:55.118: RADIUS/ENCODE(00000031): acct_session_id: 47 
  *Mar 1 02:34:55.118: RADIUS(00000031): Config NAS IP: 10.0.0.106
  *Mar 1 02:34:55.118: RADIUS(00000031): sending
  *Mar 1 02:34:55.118: RADIUS(00000031): Send Access-Request to
  		10.0.0.3 :164 5 id 1645/62, len 168 
  *Mar 1 02:34:55.118: RADIUS: authenticator 49 AE 42 83 C0 E9 9A A7 -
  		07 0F 4E 7C F4 C7 1F 24
  *Mar 1 02:34:55.118: RADIUS: User-Name [1] 8 "wirels"
  *Mar 1 02:34:55.119: RADIUS: Framed-MTU [12] 6 1400
  ----------------------------------Lines Omitted-----------------------
  *Mar 1 02:34:55.124: RADIUS: Received from id 1645/62
  		10.0.0.3 :1645, Access-Reject, len 56
  *Mar 1 02:34:55.124: RADIUS: authenticator A6 13 99 32 2A 9D A6 25 -
  		AD 01 26 11 9A F6 01 37 
  *Mar 1 02:34:55.125: RADIUS: EAP-Message [79] 6
  *Mar 1 02:34:55.125: RADIUS: 04 15 00 04 [????]
  *Mar 1 02:34:55.125: RADIUS: Reply-Message [18] 12
  *Mar 1 02:34:55.125: RADIUS: 52 65 6A 65 63 74 65 64 0A 0D
  		[Rejected??]
  *Mar 1 02:34:55.125: RADIUS: Message-Authenticato[80] 18
  *Mar 1 02:34:55.126: RADIUS(00000031): Received from id 1645/62 
  *Mar 1 02:34:55.126: RADIUS/DECODE: EAP-Message fragments, 4, total 4 bytes
  *Mar 1 02:34:55.126: RADIUS/DECODE: Reply-Message fragments, 10, total 10 bytes
  *Mar 1 02:34:55.127: %DOT11-7-AUTH_FAILED: Station
  		0040.96ac.dd05 Authentication failed
  

• debug aaa authentication -顯示客戶端裝置和身份驗證伺服器之間針對身份驗證的AAA協商。

相關資訊

• 調試身份驗證
• 配置身份驗證型別
• 本機RADIUS伺服器上的LEAP驗證
• 配置RADIUS和TACACS+伺服器
• 配置用於Windows v3.2的Cisco Secure ACS與PEAP-MS-CHAPv2電腦身份驗證
• 適用於Windows v3.2的Cisco安全ACS搭配EAP-TLS機器驗證
• 在Microsoft IAS上設定PEAP/EAP
• 排除Microsoft IAS作為RADIUS伺服器的故障
• Microsoft 802.1X驗證使用者端
• 技術支援與文件 - Cisco Systems