Используемые компоненты Теоретические сведения



Скачать 39.13 Kb.

Дата11.04.2017
Размер39.13 Kb.
Просмотров62
Скачиваний0
ТипРеферат

Содержание
Введение
Предварительные условия
Требования
Используемые компоненты
Теоретические сведения
Условные обозначения
Схема сети
Настройте Cisco Secure ACS для Windows v3.2
Получение сертификата для сервера ACS
Настройте ACS для использования сертификата из хранилища
Указание дополнительных CA, которым должен доверять сервер ACS
Перезапустите эту службу и настройте параметры PEAP на
ACS
Указание и настройка точки доступа в качестве клиента
AAA
Настройте внешние базы данных пользователей
Перезапустите службу
Настройте точку доступа Cisco
Настройте беспроводного клиента
Настройте автоматическую регистрацию сертификатов MS
Подключитесь к домену
Вручную установить сертификат корня на клиенте Windows
Настройте беспроводной доступ к сети
Проверка
Устранение неполадок
Дополнительные сведения
Введение
В этом документе демонстрируется настройка протокола аутентификации PEAP с Cisco
Secure ACS для Windows 3.2.
Для получения дополнительной информации о том, как настроить безопасный беспроводной доступ с помощью Контроллеров беспроводной локальной сети,
программного обеспечения Microsoft Windows 2003 и сервера Cisco Secure Access Control
Server (ACS) 4.0, обратитесь к
PEAP под Unified Wireless Network с ACS 4.0 и Windows 2003
Предварительные условия
Требования
Для данного документа отсутствуют предварительные условия.
Используемые компоненты
Сведения в этом документе основаны на версиях оборудования и программного обеспечения, указанных ниже.
Cisco Secure ACS для Windows (версия 3.2)
q

Сервисы сертификации Microsoft (установленные как корневой CA
предприятия)Примечание:
Дополнительные сведения см. в пошаговом руководстве по установке центра сертификации (CA).
q
Служба DNS в Windows 2000 Server с установленным пакетом обновлений Service Pack
3Примечание:
Если есть проблемы с сервером CA, установите hotfix 323172.
Клиенту
Windows 2000 SP3 необходим hotfix 313664 для активации аутентификации IEEE
802.1x.
q
Беспроводная точка доступа Cisco Aironet серии 1200 (версия 12.01T)
q
IBM ThinkPad T30 под управлением Windows XP Professional с пакетом обновления 1
q
Сведения, содержащиеся в данном документе, были получены с устройств в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе с реальной сетью необходимо полностью осознавать возможные результаты использования всех команд.
Теоретические сведения
Как PEAP, так и EAP-TLS устанавливают и используют туннель TLS/Secure Socket Layer
(SSL). PEAP использует только серверную аутентификацию, только у сервера есть сертификат и только сервер доказывает свою подлинность клиенту. EAP-TLS использует взаимную аутентификацию, при которой и сервер управления доступом (аутентификация,
авторизация и учет [ААА]) и клиенты имеют сертификаты и удостоверяют личности друг друга.
PEAP удобен в использовании, так как клиентам не нужны сертификаты. EAP-TLS полезен для автономных устройств, осуществляющих аутентификацию, так как сертификаты не требуют вмешательства пользователя.
Условные обозначения
Дополнительные сведения об условных обозначениях в документах см. Cisco Technical Tips
Conventions.
Схема сети
В данном документе используется сетевая установка, показанная на следующей схеме.

Настройте Cisco Secure ACS для Windows v3.2
Выполните эти действия для настройки ACS 3.2.
Получение сертификата для сервера ACS.
1.
Настройте ACS для использования сертификата из хранилища.
2.
Указание дополнительных CA, которым должен доверять сервер ACS.
3.
Перезапустите эту службу и настройте параметры PEAP на ACS.
4.
Указание и настройка точки доступа в качестве клиента AAA.
5.
Настройте внешние базы данных пользователей.
6.
Перезапустите службу.
7.
Получение сертификата для сервера ACS
Чтобы получить сертификат, выполните данные шаги.
На сервере системы усовершенствованных коммуникаций отройте браузер и просмотрите сервер сертификации, перейдя по адресу http://CA-ip-address/certsrv.
Войдите в домен с правами администратора.
1.

Выберите пункт Request a certificate (Запрос сертификата), затем нажмите кнопку Next
(Далее).
2.
Выберите Advanced request (Расширенный запрос) и нажмите кнопку Next
3.

(Далее).
Выберите Submit a certificate request to this CA using a form (Отправить запрос сертификата этому центру посредством формы) и нажмите кнопку Next
4.

(Далее).
Настройте параметры сертификата.Выберите веб-сервер в качестве шаблона сертификата. Введите имя ACS-
5.
сервера.
Укажите для размера ключа значение 1024. Выберите параметры для "Пометить ключи как разрешенные для экспорта" и "Использовать хранилище локального компьютера".
Настройте остальные параметры необходимым образом и нажмите кнопку
Подтвердить.

Примеча ние: Если появится окно предупреждения о нарушении сценария (в зависимости от настроек безопасности/секретности браузера), щелкните Yes (Да), чтобы продолжить.
Нажмите кнопку Install this certificate (Установить этот сертификат).
6.

Примеча ние: Если появится окно предупреждения о нарушении сценария (в зависимости от настроек безопасности/секретности браузера), щелкните Yes (Да), чтобы продолжить.
В случае успешной инсталляции появляется подтверждающее сообщение.
7.
Настройте ACS для использования сертификата из хранилища
Выполните следующие действия, чтобы настроить ACS для использования сертификата из хранилища.
Откройте браузер сети и введите в строку адреса http://ACS-ip-address:2002/. В
разделе System Configuration (Настройка системы) выберите ACS Certificate Setup
(Настройка сертификатов управления доступом).
1.
Нажмите кнопку Install ACS certificate (Установить сертификат ACS).
2.

Выберите вариант использования сертификата из хранилища. В поле Certificate CN
введите имя сертификата, который вы назначили в шаге 5a раздела
, Получают
Сертификат для Сервера ACS
. Нажмите кнопку Submit (Отправить).Эта запись должна совпадать с именем, введенным в поле "Name" во время расширенного запроса сертификата. В предметном поле сертификата сервера находится имя CN, сертификат сервера можно редактировать, установив флажок возле этого имени. В данном примере сервер контроля доступа называется "OurACS".
Не вводить имя CN
выдающей службы.
3.
После завершения настройки будет выведено сообщение о подтверждении,
указывающее, что конфигурация сервера ACS была изменена.Примечание: Перезапуск сервера управления доступом не
4.
требуется.
Указание дополнительных CA, которым должен доверять сервер ACS
Сервер управления доступом (ACS) автоматически доверяет центрам сертификации,
которые выпускают собственный сертификат. Если сертификат клиента выпущен дополнительными центрами сертификации, то необходимо выполнить следующие шаги.
В разделе System Configuration (Настройка системы) выберите ACS Certificate Setup
(Настройка сертификатов управления доступом).
1.
Щелкните ACS Certificate Authority Setup (Установка центра сертификации ACS), чтобы добавить центр сертификации к списку доверенных сертификатов. В соответствующее поле введите расположение файла сертификата CA и нажмите кнопку Submit
(Отправить).
2.

Щелкните Edit Certificate Trust List (Редактировать список доверенных сертификатов).
Установите флажки для всех центров сертификации, которым должен доверять сервер управления доступом, и снимите флажки для всех центров, которым он не должен доверять. Нажмите кнопку Submit
(Отправить).
3.

Перезапустите эту службу и настройте параметры PEAP на ACS
Выполните эти действия, чтобы перезапустить сервис и настроить параметры настройки
PEAP.
В разделе System Configuration (Настройка системы) выберите Service Control
(Управление службами).
1.
Нажать Restart для того, чтобы перезапустить службу.
2.
Для настройки параметров PEAP выберите компонент "Настройка системы", а затем "Настройка глобальной аутентификации".
3.
Проверьте две настройке, показанные ниже, и оставьте значения всех остальных настроек по умолчанию. Можно задать дополнительные параметры, например Enable
Fast Reconnect. По завершении нажмите кнопку "Отправить".Разрешить EAP-
MSCHAPv2Allow MS-CHAP Version 2 AuthenticationПримечание:
Дополнительную информацию по функции быстрого установления соединения Fast Connect см. в подразделе "Параметры конфигурации аутентификации" раздела "Конфигурация системы": Проверка подлинности и сертификаты.
4.


Document Outline

  • Содержание
  • Введение
  • Предварительные условия
    • Требования
    • Используемые компоненты
    • Теоретические сведения
    • Условные обозначения
    • Схема сети
  • Настройте Cisco Secure ACS для Windows v3.2
    • Получение сертификата для сервера ACS
    • Настройте ACS для использования сертификата из хранилища
    • Указание дополнительных CA, которым должен доверять сервер ACS
    • Перезапустите эту службу и настройте параметры PEAP на ACS


Поделитесь с Вашими друзьями:


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал