e88a0d25a1f0748bc18a9cc9946fb2fa.ppt
- Количество слайдов: 31
Configuration ACS 3. 2 pour Windows avec Authentification EAP-TLS ccnp_cch 1
Sommaire • Introduction - Prérequis - Composants utilisés - Rappels de théorie - Schéma du réseau • Configurer Cisco Secure ACS 3. 2 pour Windows - Obtenir un certificat pour le serveur ACS - Configurer l'ACS pour qu'il utilise un certificat stocké - Spécifier des autorités de certificat supplémentaires auxquelles l'ACS doit faire confiance - Redémarrer le service et configurer les paramètres EAP-TLS - Spécifier et configurer le point d'accès comme un client AAA - Configurer les bases de données externes d'utilisateurs - Redémarrer le service • Configurer l'auto-enrôlement MS certificat machine • Configurer le point d'accès Cisco • Configurer le client sans-fil - Joindre le domaine - Obtenir un certificat pour l'utilisateur - Configurer le réseau sans-fil • Vérification • Résolution de problèmes ccnp_cch 2
Introduction Ce document montre comment configurer Extensible Authentication Protocol - Transport Layer Security (EPA-TLS) avec Cisco Secure ACS 3. 2 pour Windows. Prérequis Il n'y a pas de prérequis spécifiques. Composants utilisés Les informations présentées dans ce document sont basées sur les configurations logicielles et matérielles suivantes: Cisco Secure ACS version 3. 2 pour Windows Service de Certificat Microsoft (installé comme Autorité de Certificat racine d'Entreprise [CA]) Service DNS avec Windows 2003 Server Cisco Aironet 1200 Series Wireless Access Point 12. 01 T IBM Think. Pad T 30 opérant avec Windows XP Professional Rappel de théorie EAP -TLE et PEAP (Protected Extensible Authentication Protocol) construisent et utilisent un tunnel TLS/ Secure Socket Layer (SSL). EAP-TLS utilise une authentification mutuelle dans laquelle le serveur ACS (Autentication, Authorization, Accounting (AAA)) et les clients ont des certificats et prouvent leurs identités l'un avec l'autre. PEAP utilise uniquement l'authentification côté serveur; seul le serveur a un certificat et fait la preuve de son identité au client. Schéma du réseau AP 1200 10. 66. 79. 203 tac-lab-comp 1 Windows XP Pro 10. 66. 79. 214 (DHCP) Kant Serveur Windows 2003 10. 66. 79. 241 Cisco Secure ACS v 3. 2 Service de Certificat MS Service DNS ccnp_cch 3
Configurer Cisco Secure ACS 3. 2 pour Windows Suivez les étapes ci-dessous pour configurer ACS 3. 2. 1. Obtenir un certificat pour le serveur ACS. 2. Configurer le serveur ACS pour utiliser un certificat stocké 3. Spécifier des autorités de certificat supplémentaires auxquelles le serveur ACS doit faire confiance. 4. Redémarrer le service et configurer les paramètres EAP-TLS sur l'ACS. 5. Spécifier et configurer le point d'accès comme client AAA 6. Configurer les bases de données externes d'utilisateurs 7. Redémarrer le service. Obtenir un certificat pour le serveur ACS Suivez ces étapes pour obtenir un certificat. 1. Sur le serveur ACS, ouvrir une fenêtre de navigateur web et naviguez vers le serveur CA en entrant http: //CA_IP _Address/certsrv dans la barre d'adresse. Connectezvous comme Administrateur. 2. Sélectionnez Request a Certificate ensuite cliquez sur Next. et ccnp_cch 4
3. Sélectionnez Advanced Request puis cliquez sur Next. 4. Sélectionnez Submit a certificate request to this CA using a form cliquez puis sur Next. ccnp_cch 5
5. Configurez les options de certificat. a. Sélectionnez Web Server comme modèle de certificat. Entrez le nom du serveur ACS. ccnp_cch 6
b. Fixez la taille de la clé à 1024. Sélectionnez les options Mark keys as exportable et Use local machine store. Configurez les autres options selon les besoins et. ensuite cliquez sur Submit. Note: Si vous voyez une fenêtre d'avertissement faisant référence à une violation de script (selon les paramètres de sécurité de votre navigateur), cliquez sur Yes pour continuer. ccnp_cch 7
6. Cliquez sur Install this certificate. Note: Si vous voyez une fenêtre d'avertissement faisant référence à une violation de script (selon les paramètres de sécurité de votre navigateur), cliquez sur Yes pour continuer. 7. Si l'installation a réussi, vous obtenez un message de confirmation. ccnp_cch 8
Configurer l'ACS pour qu'il utilise un certificat stocké Suivez ces étapes pour configurer l'ACS pour qu'il utilise un certificat stocké. 1. Ouvrez un navigateur web et naviguez vers le serveur ACS en entrant http: //ACSip-address: 2002/dans la barre d'adresse. Cliquez sur System Configuration et ensuite cliquez sur ACS Certificate Setup. 2. Cliquez sur Install ACS Certificate. 3. Sélectionnez Use certificate from storage. Dans le champ CN, entrez le nom du certificat que vous avez affecté à l'étape 5. a de la section "Obtenir un certificat pour le serveur ACS". Cliquez sur Submit. 4. Quand la configuration est terminée, vous avez un message de confirmation indiquant que la configuration du serveur ACS a été modifiée. Note: Vous n'avez pas besoin de redémarrer l'ACS à ce moment là. ccnp_cch 9
Spécifier des autorités de certificat supplémentaires auxquelles l'ACS doit faire confiance L'ACS fera automatiquement confiance à la CA qui a crée son propre certificat. Si les certificats des clients sont crées par des CA additionnelles alors vous devez exécuter les étapes suivantes: 1. Cliquez sur System Configuration ensuite cliquez sur ACS Certificate Setup et. 2. Cliquez sur ACS Certificate Authority Setup ajoutez les CAs à la liste des certiet ficats de confiance. Dans le champ CA certificate file entrez l'emplacement du certificat puis cliquez sur Submit. ccnp_cch 10
3. Cliquez sur Edit Certificate Trust List. Cochez toutes les CAs auxquelles l'ACS doit faire confiance et décochez les CAs auxquelles l'ACS ne doit pas faire confiance. Cliquez sur Submit. ccnp_cch 11
Redémarrer le service et configurer les paramètres EAP-TLS sur l'ACS Suivez les étapes ci-dessous pour redémarrer le service et configurer les paramètres EAP-TLS. 1. Cliquez sur System Configuration ensuite cliquez sur Service Control et. 2. Cliquez sur Restartpour redémarrer le service. 3. Pour configurer les paramètres EAP-TLS, cliquez sur System Configuration puis sur Global Authentication Setup. 4. Cochez la case Allow EAP-TLSet ensuite cochez une ou plusieurs comparaisons de certificat. Cliquez sur Submit. ccnp_cch 12
Spécifier et configurer un point d'accès comme client AAA 1. Cliquez sur Network Configuration. Sous AAA Clients, cliquez sur Add Entry. . 2. Entrez le nom de host du point d'accès dans champ AAA Client Hostname et son adresse IP dans le champ AAA Client IP Address. Entrez une clé secrète partagée pour l'ACS et le point d'accès dans le champ key. Sélectionnez RADIUS (Aironet) comme méthode d'authentification. Quand c'est terminé, cliquez sur Submit. ccnp_cch 13
Configurer les bases de données externes d'utilisateurs Suivez ces étapes pour configurer les bases de données externes d'utilisateurs. 1. Cliquez sur External User Databaseset ensuite cliquez sur Database Configuration Cliquez sur Windows Database. . Note: S'il n'y a pas de base de données Windows déjà définie, cliquez sur Create New Configuration ensuite cliquez sur Submit. et 2. Cliquer sur Configure Sous Configure Domain List, déplacez le domaine SEC-SYD. de Available Domains vers Domain List. ccnp_cch 14
3. Pour valider l'authentification machine, sous Windows EAP Settings cochez l'option Permit EAP-TLS machine authentication changez pas le champ machine au. Ne thentication prefix. Microsoft utilise "/host" (valeur par défaut) pour la distinction entre l'authentification machine et utilisateur. Si vous le désirez, vous pouvez valider le retrait de domaine en cochant l'option EAP-TLS Strip Domain Name. Quand. vous avez terminé, cliquez sur Submit. ccnp_cch 15
4. Cliquez sur External User Databasespuis cliquez sur Unknown User Policy Sé. lectionnez l'option Check the following external user database , ensuite utilisez la flèche droite (->) pour déplacer Windows Database de External Databases vers Selected Databases. Quand vous avez terminé, cliquez sur Submit. Redémarrer le service Quand vous avez terminé de configurer l'ACS, suivez ces étapes pour redémarrer le service. 1. Cliquez sur System Configuration ensuite sur Service Control et. 2. Cliquez sur Restart. Configurer l'auto-enrôlement MS certificat machine Suivez les étapes ci-dessous pour configurer le domaine pour l'enrôlement automatique de certificat machine. 1. Allez à Control Panel> Administrative Tools> Open Active Directory and Users Computers. 2. Faire un clic droit sur domain sec-sydet sélectionnez Propertiesdans le sous-menu. 3. Sélectionnez l'onglet Group Policy Cliquez sur Default Domain Policy ensuite. et cliquez sur Edit. 4. Allez à Computer Configuration> Windows Settings> Security Settings> Public Key Policies> Automatic Certificate Request Settings. ccnp_cch 16
5. Sur la barre du menu allez à Action> New> Automatic Certificat Requestcliet quez sur Next. 6. Sélectionnez Computer et cliquez sur Next. Cochez Certificate Authority, "Our TAC CA" dans cet exemple. Cliquez sur Next puis sur Finish. Configurer le point d'accès Cisco Suivez ces étapes pour configurer l'AP pour qu'il utilise l'ACS comme serveur d'authentification. 1. Ouvrez un navigateur web et connectez vous à l'AP en entrant l'URL suivante dans la barre d'adresse http: //AP-ip-address/certsrv. Sur la barre d'outils cliquez sur. Setup. 2. Sous Services, cliquez sur Security. 3. Cliquez sur Authentication Server. Note: Si vous avez configuré des comptes sur l'AP, vous devrez vous logguer. ccnp_cch 17
4. Entrez les paramètres de configuration de l'authentificateur. ▪ Sélectionnez 892. 1 x-2001 pour 802. 1 X Protocol Version (pour l'authentification EAP). ▪ Entrez l'adresse IP du serveur ACS dans le champ Server Name/IP. ▪ Sélectionnez RADIUS pour Server Type. ▪ Entrez 1645 ou 1812 dans le champ Port. ▪ Entrez le secret partagé que vous avez spécifié à l'étape 2 de la section Spécifier et configurer un point d'accès comme client AAA. ▪ Cochez l'option pour EAP Authentication pour spécifier comment le serveur doit être utilisé. Quand vous avez terminé, cliquez sur OK. 5. Cliquez sur Radio Data Encryption (WEP). 6. Entrez les paramètres internes de cryptage de données. ▪ Sélectionnez Full Encryption pour fixer le niveau de cryptage des données. ▪ Cochez l'option Open pour fixer le type d'authentification acceptée; pour valider LEAP, sélectionnez l'option pour Network-EAP. ▪ Pour le paramètre Required EAP, cochez l'option Open. ▪ Entrez une clé de cryptage et fixez la taille de la clé à 128. Quand vous avez terminé, cliquez sur OK. ccnp_cch 18
7. Confirmez que vous utilisez le Service Set Identifier (SSID) correct en allant à Network> Service Sets> Select the SSID Idx puis cliquez sur OK quand vous avez terminé. ccnp_cch 19
Configurer le client sans-fil Suivez les étapes ci-dessous pour configurer le client sans-fil 1. Joindre le domaine 2. Obtenir un certificat pour l'utilisateur 3. Configurer le réseau sans-fil Joindre le domaine Suivez ces étapes pour ajouter le client sa ns-fil au domaine. Note: Pour exécutez ces étapes, le client sans-fil doit avoir une connectivité avec la CA soit par une connexion câblée soit par une connexion sans fil avec la sécurité 802. 1 x dévalidée. 1. Entrez dans Windows XP comme administrateur local 2. Allez à Control Panel> Performance and Maintenance> System. 3. Sélectionnez l'onglet Computer Nameet ensuite cliquez sur Change. Entrez le nom de host dans le champ nom d'ordinateur. Sélectionnez Domain et entrez le nom de domaine (SEC-SYD) dans cet exemple. Cliquez sur OK. ccnp_cch 20
4. Quand une boite de dialogue de login est affichée, joignez le domaine en vous connectant avec un compte qui a le droit de joindre le domaine. 5. Quand la machine a rejoint le domaine avec succès, redémarrez l'ordinateur. La machine sera membre du domaine; comme nous avons configuré l'auto-enrôlement , la machine aura un certificat pour la CA installée tout comme un certificat pour l'authentification de la machine. Obtenir un certificat pour l'utilisateur Suivez ces étapes pour obtenir un certificat pour l'utilisateur. 1. Entrez dans Windows XP et dans le domaine (SEC-SYD) sur le client sans-fil (PC portable) avec le compte qui requiert un certificat. Ouvrez un navigateur web et naviguer vers le serveur CA en entrant http: // CA-ip-address/certsrvdans la barre d'adresse. Connectez vous à la CA sous le même nom de compte. Note: Le certificat est stocké sur le client sans-fil sous le profil courant de l'utilisateur, aussi il est nécessaire de se connecter à Windows et à la CA en utilisant le même nom de compte. ccnp_cch 21
2. Sélectionnez Request a certificate ensuite cliquez sur Next. et 3. Sélectionnez Advanced Request ensuite cliquez sur Next. et ccnp_cch 22
4. Sélectionnez Submit a certificate to this CA using a formensuite cliquez sur et Next. 5. Sélectionnez User comme modèle de certificat et fixez la taille de la clé à 1024. Configurez les autres options au besoin et ensuite cliquez sur Submit. ccnp_cch 23
Note: Si vous voyez une fenêtre d'avertissement faisant référence à une violation de script (selon les paramètres de sécurité de votre navigateur), cliquez sur Yes pour continuer. 6. Cliquez sur Install this certificate. ccnp_cch 24
Note: Si vous voyez une fenêtre d'avertissement faisant référence à une violation de script (selon les paramètres de sécurité de votre navigateur), cliquez sur Yes pour continuer. 7. Si le certificat de la CA n'est pas déjà sauvegardé sur le client sans-fil, vous pourrez voir une fenêtre similaire à celle-ci-dessous. Cliquez sur Yes pour sauvegarder le certificat sur un stockage local. 8. Si l'installation a réussi, vous avez un message de confirmation. ccnp_cch 25
Configurer le réseau sans-fil Suivez ces étapes pour configurer le réseau sans-fil. 1. Connectez-vous au domaine comme un utilisateur du domaine. 2. Allez à Control Panel> Network and Internet Connections> Network Connections Faire un clic droit sur Wireless Connections. puis sélectionnez Propertiesà partir du sous-menu affiché. 3. Sélectionnez l'onglet Wireless Networks Sélectionnez le réseau sans-fil (affiché en. utilisant le nom de SSID de l'AP) dans la liste des réseaux disponibles puis cliquez sur Configure. 4. Dans l'onglet Authentication de la fenêtre propriétés réseau, cochez l'option Enable IEEE 802. 1 x authentication for this network. Pour EAP type sélectionnez Smart Card or other Certificate puis cliquez sur Properties. Note: Pour valider l'authentification machine, cochez l'option Authenticate as computer when computer information is available. ccnp_cch 26
6. Sur l'onglet Association de la fenêtre propriétés réseau, cochez les options Data Encryption (WEP enabled) The key is provided for me automatically et. Cliquez sur OK puis de nouveau sur OK pour clore la fenêtre de configuration réseau. ccnp_cch 27
Vérification Cette section fournit des informations que vous pouvez utiliser pour confirmer que votre configuration fonctionne correctement. Pour vérifier que le client sans-fil a été authentifié, sur le client sans-fil allez à Control Panel> Network and Internet Connections> Network Connections. Dans la barre du menu, allez à View > Tiles La connexion sans-fil doit afficher le messa. ge "Authentication succeeded". Pour vérifier que les clients sans-fil ont été authentifiés, sur l'interface web de l'ACS allez à Reports and Activity> Passed Authentication active. csv. ccnp_cch 28
Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des problèmes de configuration. Vérifiez que les MS Certificate Services ont été installés comme Enterprise root CA sur un serveur Windows 2003 Advanced server. Vérifiez que vous utilisez Cisco Secure ACS 3. 2 pour Windows 2003. Si l'authentification machine échoue sur le client sans-fil, il n'y aura pas de connectivité réseau sur la connexion sans-fil. Seul les comptes qui ont leurs profils en cache sur le client sans-fil seront capables de se connecter au domaine. La machine devra être connectée à un réseau câblé ou configurée pour une connexion sans-fil sans sécurité 802. 1 x. Si l'enrôlement automatique avec la CA échoue quand on se connecte au domaine, vérifiez les évènements pour les raisons possibles. Si le profil utilisateur du client sans-fil n'a pas de certificat valide, vous pouvez toujours vous connecter sur la machine et au domaine si le mot de passe est correct mais notez que la connexion sans-fil n'aura pas de connectivité. Si le certificat de l'ACS sur le client sans-fil est invalide ( cela dépend des dates de validité "from" et "to" du certificat, des paramètres date et heure du client et si la CA est de confiance) alors le client le rejettera et l'authentification échouera. L'ACS journalisera l'échec d'authentification dans l'interface web sous Reports and Activity> Failed Attempts XXX. csv Authentification avec Failure-Code similaire à "EAP-TLS or PEAP authentication failed during SSL handshake". Le message d'erreur attendu dans le fichier CSAuth. log est similaire au suivant. AUTH 06/04/2003 14: 56: 41 E 0345 1644 EAP: build. EAPRequest. Msg: other side probably didn't accept our certificate Si le certificat du client sur l'ACS est invalide, ( cela dépend des dates de validité "from" et "to" du certificat, des paramètres date et heure du serveur et si la CA est de confiance) alors le serveur le rejettera et l'authentification échouera. L'ACS journalisera l'échec d'authentification dans l'interface web sous Reports and Activity> Failed Attempts XXX. csv Authentification Failure-Code avec similaire à "EAP-TLS or PEAP authentication failed during SSL handshake". Si l'ACS rejette le certificat du client parce que l'ACS n'a pas confiance en la CA, le message d'erreur attendu dans le fichier CSAuth. log est similaire au suivant. AUTH 06/04/2003 15: 47: 43 E 0345 1696 EAP: Process. Response: SSL handshake failed, status = 3 (SSL alert fatal: unknown CA certificate) Si l'ACS rejette le certificat du client parce que le certificat a expiré, le message d'erreur attendu dans le fichier CSAuth. log est similaire au suivant. AUTH 06/04/2005 15: 02: 08 E 0345 1692 EAP: Process. Response: SSL handshake failed, status = 3 (SSL alert fatal: certificate expired) Dans les logs de l'ACS sous Reports and Activity> Passed Authentications XXX. csv Reports and Activity> Failed Attempts> et Failed Attempts XXX. csv authentification EAP-TLS sont affichées dans le for, les mat
Vous pouvez vérifier le certificat du serveur de l'ACS et la confiance en suivant les étapes ci-dessous: 1. Connectez vous à Windows sur le serveur ACS avec un compte qui administre les privilèges. Ouvrir Microsoft Management Console en allant à Start> Run et en tapant mmc et en cliquant sur OK. 2. Sur la barre de menu, aller à Console> Add/Remove Snap-in puis cliquez sur Add. 3. Sélectionnez Certificates puis cliquez sur Add. 4. Sélectionnez Computer account cliquez sur Next et ensuite sélectionnez Local , Computer (Ordinateur sur lequel la console s'exécute). 5. Cliquez sur Finish cliquez sur Close puis sur OK. , 6. Pour vérifier que le serveur ACS a un certificat valide côté serveur, allez à Console Root> Certificates (Local computer)> Personal> Certificates. Vérifiez qu'il y a un certificat pour le serveur ACS (appelé Our. ACS dans cet exemple). Ouvrez le certificat et vérifiez les items suivants: ▪ Il n'y a pas d'alerte au sujet du certificat qui n'est pas vérifié pour toutes les utilisations attendues. ▪ Il n'y a pas d'alerte au sujet de la confiance du certificat. ▪ "This certificate is intended to - Ensures the identity of a remote computer". ▪ Le certificat n'a pas expiré et reste valide ( vérifiez la validité des date "from" et "to"). ▪ "You have a private key that corresponds to this certificate". 7. Dans l'onglet Details, vérifiez que le champ Version a la valeur V 3 et que le champ Enhanced Key Usage a Server Authentication (1. 3. 6. 1. 5. 5. 7. 3. 1). 8. Pour vérifier que le serveur ACS fait confiance au serveur CA, allez à Console Root> Certificates (Local computer)> Trusted Root Certification Authorities> Certificates. Vérifiez qu'il y a un certificat pour le serveur CA (appelé Our. TAC CA dans cet exemple). Ouvrez le certificat et vérifiez les items suivants: ▪ Il n'y a pas d'alerte au sujet du certificat qui n'est pas vérifié pour toutes les utilisations attendues. ▪ Il n'y a pas d'alerte au sujet de la confiance du certificat. ▪ Le type d'utilisation du certificat est correct. ▪ Le certificat n'a pas expiré et reste valide ( vérifiez la validité des date "from" et "to"). Si l'ACS et le client n'utilise pas la même CA racine alors vérifiez que toute la chaîne des serveurs de certificats a été installée. La même chose s'applique si le certificat a été obtenu d'une sous-autorité de certificat. Vous pouvez vérifier le certificat de la machine client sans-fil et la confiance en suivant les étapes ci-dessous: 1. Connectez vous à Windows sur le serveur ACS avec un compte qui administre les privilèges. Ouvrir Microsoft Management Console en allant à Start> Run et en tapant mmc et en cliquant sur OK. 2. Sur la barre de menu, aller à Console> Add/Remove Snap-in puis cliquez sur Add. 3. Sélectionnez Certificates puis cliquez sur Add. 4. Sélectionnez Computer account cliquez sur Next et ensuite sélectionnez Local , Computer (Ordinateur sur lequel la console s'exécute). ccnp_cch 30
5. Cliquez sur Finish cliquez sur Close puis sur OK. , 6. Vérifiez que la machine a un certificat valide côté client. Si le certificat est invalide, l'authentification machine échoue. Pour vérifier le certificat, allez à Console Root> Certificates (Local computer)> Personal> Certificates. Vérifiez qu'il y a un certificat pour la machine; le nom est au format