In diesem Dokument wird beschrieben, wie Sie einen sicheren Wireless-Zugriff mithilfe von Wireless LAN-Controllern, Microsoft Windows 2003 Software und Cisco Secure Access Control Server (ACS) 5.1 über Protected Extensible Authentication Protocol (PEAP) mit Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) Version 2 konfigurieren.
Hinweis: Informationen zur Bereitstellung sicherer Wireless-Verbindungen finden Sie auf der Microsoft Wi-Fi-Website und im Cisco SAFE Wireless Blueprint.
Es wird davon ausgegangen, dass der Techniker über Grundkenntnisse der Windows 2003-Installation und der Cisco Wireless LAN-Controller-Installation verfügt, da in diesem Dokument nur die spezifischen Konfigurationen behandelt werden, die für die Durchführung der Tests erforderlich sind.
Informationen zur Erstinstallation und -konfiguration der Cisco Controller der Serie 5508 finden Sie im Installationshandbuch für Cisco Wireless Controller der Serie 5500. Informationen zur Erstinstallation und -konfiguration der Cisco Controller der Serie 2100 finden Sie in der Schnellstartanleitung: Cisco Wireless LAN Controller der Serie 2100.
Microsoft Windows 2003 Installations- und Konfigurationsanleitungen finden Sie unter Installieren von Windows Server 2003 R2 .
Bevor Sie beginnen, installieren Sie das Betriebssystem Microsoft Windows Server 2003 mit SP1 auf jedem der Server im Testlabor, und aktualisieren Sie alle Service Packs. Installieren Sie die Controller und Lightweight Access Points (LAPs), und stellen Sie sicher, dass die neuesten Software-Updates konfiguriert sind.
Windows Server 2003 mit SP1, Enterprise Edition, wird verwendet, um die automatische Registrierung von Benutzer- und Workstation-Zertifikaten für die PEAP-Authentifizierung zu konfigurieren. Die automatische Zertifikatregistrierung und die automatische Erneuerung vereinfachen die Bereitstellung von Zertifikaten und erhöhen die Sicherheit, da Zertifikate automatisch ablaufen und erneuert werden.
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Cisco Controller der Serien 2106 oder 5508 mit 7.0.98.0
Cisco 1142 LWAPP AP (Lightweight Access Point Protocol)
Windows 2003 Enterprise mit installiertem Internet Information Server (IIS), Certificate Authority (CA), DHCP und Domain Name System (DNS)
Cisco Secure Access Control System Appliance (ACS) 5.1
Windows XP Professional mit SP (und aktualisierten Service Packs) und Wireless-Netzwerkkarte (NIC) (mit CCX v3-Unterstützung) oder Drittanbieter-Komponente.
Cisco Switch der Serie 3750
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.
Hinweis: Verwenden Sie das Tool für die Suche nach Befehlen (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.
In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:
Topologie des Cisco Secure Wireless Labs
Dieses Dokument beschreibt in erster Linie die schrittweise Implementierung des PEAP unter Unified Wireless Networks mit ACS 5.1 und Windows 2003 Enterprise Server. Der Schwerpunkt liegt auf der automatischen Registrierung des Clients, sodass der Client sich automatisch registriert und das Zertifikat vom Server erhält.
Hinweis: Um Wi-Fi Protected Access (WPA)/WPA2 mit Temporal Key Integrity Protocol (TKIP)/Advanced Encryption Standard (AES) zu Windows XP Professional mit SP hinzuzufügen, siehe WPA2/Wireless Provisioning Services Information Element (WPS IE) update for Windows XP with Service Pack 2 .
CA ist ein Computer, auf dem Windows Server 2003 mit SP2 Enterprise Edition ausgeführt wird und der folgende Rollen ausführt:
Ein Domänencontroller für die demo.local-Domäne, auf der IIS ausgeführt wird
Ein DNS-Server für die demo.local DNS-Domäne
Ein DHCP-Server
Enterprise-Stammzertifizierungsstelle für die demo.local-Domäne
Führen Sie die folgenden Schritte aus, um die Zertifizierungsstelle für diese Dienste zu konfigurieren:
Durchführen einer grundlegenden Installation und Konfiguration
Überprüfen Sie die Administratorberechtigungen für Zertifikate.
Fügen Sie der Gruppe der Wireless-Benutzer Benutzer Benutzer hinzu.
Fügen Sie der Gruppe der Wireless-Benutzer Clientcomputer hinzu.
Gehen Sie folgendermaßen vor:
Installieren Sie Windows Server 2003 mit SP2, Enterprise Edition als Standalone-Server.
Konfigurieren Sie das TCP/IP-Protokoll mit der IP-Adresse 10.0.10.10 und der Subnetzmaske 255.255.255.0.
Gehen Sie folgendermaßen vor:
Um den Active Directory-Installationsassistenten zu starten, wählen Sie Start > Ausführen, geben Sie dcpromo.exe ein, und klicken Sie auf OK.
Klicken Sie auf der Seite Willkommen des Active Directory-Installationsassistenten auf Weiter.
Klicken Sie auf der Seite "Betriebssystemkompatibilität" auf Weiter.
Wählen Sie auf der Seite Domain Controller Type (Domänencontrollertyp) die Option Domain Controller für eine neue Domäne aus, und klicken Sie auf Next (Weiter).
Wählen Sie auf der Seite Neue Domäne erstellen die Option Domäne in einer neuen Gesamtstruktur aus, und klicken Sie auf Weiter.
Wählen Sie auf der Seite "DNS installieren oder konfigurieren" die Option Nein, nur DNS auf diesem Computer installieren und konfigurieren, und klicken Sie auf Weiter.
Geben Sie auf der Seite Neuer Domänenname demo.local ein, und klicken Sie auf Weiter.
Geben Sie auf der Seite NetBIOS Domain Name (NetBIOS-Domänenname) den NetBIOS-Domänennamen als Demo ein, und klicken Sie auf Next (Weiter).
Akzeptieren Sie auf der Seite "Datenbank- und Protokollordner - Speicherorte" die Standardverzeichnisse für Datenbank- und Protokollordner, und klicken Sie auf Weiter.
Überprüfen Sie auf der Seite Freigegebenes Systemvolume, ob der Standardspeicherort des Ordners korrekt ist, und klicken Sie auf Weiter.
Überprüfen Sie auf der Seite Berechtigungen, ob Nur mit Windows 2000- oder Windows Server 2003-Betriebssystemen kompatible Berechtigungen ausgewählt ist, und klicken Sie auf Weiter.
Lassen Sie auf der Seite "Administratorkennwort für Wiederherstellungsmodus der Verzeichnisdienste" die Kennwortfelder leer, und klicken Sie auf "Weiter".
Überprüfen Sie die Informationen auf der Seite "Übersicht", und klicken Sie auf Weiter.
Wenn Sie die Installation von Active Directory abgeschlossen haben, klicken Sie auf Fertig stellen.
Wenn Sie aufgefordert werden, den Computer neu zu starten, klicken Sie auf Jetzt neu starten.
Gehen Sie folgendermaßen vor:
Öffnen Sie das Snap-In Active Directory-Domänen und -Vertrauensstellungen im Ordner Verwaltung (Start > Programme > Verwaltung > Active Directory-Domänen und -Vertrauensstellungen), und klicken Sie dann mit der rechten Maustaste auf den Domänencomputer CA.demo.local.
Klicken Sie auf Domänenfunktionsebene heraufstufen, und wählen Sie dann auf der Seite Domänenfunktionsebene die Option Windows Server 2003 aus.
Klicken Sie auf Erhöhen, klicken Sie auf OK, und klicken Sie dann erneut auf OK.
Gehen Sie folgendermaßen vor:
Installieren Sie Dynamic Host Configuration Protocol (DHCP) als Netzwerkdienst-Komponente, indem Sie in der Systemsteuerung die Option Software verwenden.
Öffnen Sie das DHCP-Snap-In im Ordner Verwaltung (Start > Programme > Verwaltung > DHCP), und markieren Sie dann den DHCP-Server, CA.demo.local (CA.demo.local).
Klicken Sie auf Aktion und dann auf Autorisieren, um den DHCP-Dienst zu autorisieren.
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf CA.demo.local, und klicken Sie dann auf Neuer Bereich.
Klicken Sie auf der Willkommensseite des Assistenten für neue Bereiche auf Weiter.
Geben Sie auf der Seite Bereichsname im Feld Name CorpNet ein.
Klicken Sie auf Weiter, und geben Sie die folgenden Parameter ein:
Start-IP-Adresse - 10.0.20.1
End-IP-Adresse - 10.0.20.200
Länge - 24
Subnetzmaske: 255.255.255.0
Klicken Sie auf Weiter, und geben Sie 10.0.20.1 als Start-IP-Adresse und 10.0.20.100 als End-IP-Adresse ein, die ausgeschlossen werden soll. Klicken Sie dann auf Weiter. Dadurch werden die IP-Adressen im Bereich von 10.0.20.1 bis 10.0.20.100 reserviert. Diese reservierten IP-Adressen werden vom DHCP-Server nicht zugewiesen.
Klicken Sie auf der Seite "Leasedauer" auf Weiter.
Wählen Sie auf der Seite DHCP-Optionen konfigurieren die Option Ja, ich möchte diese Optionen jetzt konfigurieren, und klicken Sie auf Weiter.
Fügen Sie auf der Seite Router (Standard-Gateway) die Standard-Routeradresse 10.0.20.1 hinzu, und klicken Sie auf Weiter.
Geben Sie auf der Seite Domain Name and DNS Servers (Domänenname und DNS-Server) demo.local in das Feld Parent domain (Übergeordnete Domäne) ein, geben Sie 10.0.10.10 in das Feld IP address (IP-Adresse) ein, und klicken Sie dann auf Add (Hinzufügen) und dann auf Next (Weiter).
Klicken Sie auf der Seite "WINS-Server" auf Weiter.
Wählen Sie auf der Seite "Bereich aktivieren" die Option Ja, ich möchte diesen Bereich jetzt aktivieren, und klicken Sie auf Weiter.
Wenn Sie den Assistenten für neue Bereiche beendet haben, klicken Sie auf Fertig stellen.
Gehen Sie folgendermaßen vor:
Hinweis: IIS muss vor der Installation der Zertifikatsdienste installiert werden, und der Benutzer muss Teil der Enterprise Admin-OU sein.
Öffnen Sie in der Systemsteuerung Software, und klicken Sie dann auf Windows-Komponenten hinzufügen/entfernen.
Wählen Sie auf der Seite Assistent für Windows-Komponenten die Option Zertifikatdienste aus, und klicken Sie dann auf Weiter.
Wählen Sie auf der Seite "CA Type" (CA-Typ) die Option Enterprise root CA aus, und klicken Sie auf Next (Weiter).
Geben Sie auf der Seite CA Identifying Information (CA-Identifizierungsinformationen) democa in das Feld Common Name (Allgemeiner Name für diese CA) ein. Sie können auch die anderen optionalen Details eingeben. Klicken Sie dann auf Weiter, und übernehmen Sie die Standardeinstellungen auf der Seite Zertifikatdatenbank-Einstellungen.
Klicken Sie auf Next (Weiter). Klicken Sie nach Abschluss der Installation auf Fertig stellen.
Klicken Sie nach dem Lesen der Warnmeldung zur Installation von IIS auf OK.
Gehen Sie folgendermaßen vor:
Wählen Sie Start > Verwaltung > Zertifizierungsstelle.
Klicken Sie mit der rechten Maustaste auf die Demo-CA, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf der Registerkarte Sicherheit in der Liste Gruppen- oder Benutzernamen auf Administratoren.
Überprüfen Sie in der Liste Berechtigungen für Administratoren, ob die folgenden Optionen auf Zulassen eingestellt sind:
Zertifikate ausstellen und verwalten
CA verwalten
Zertifikate anfordern
Wenn eine dieser Optionen auf Verweigern festgelegt ist oder nicht ausgewählt ist, setzen Sie die Berechtigungen auf Zulassen.
Klicken Sie auf OK, um das Dialogfeld Eigenschaften der Demo-CA zu schließen, und schließen Sie dann die Zertifizierungsstelle.
Gehen Sie folgendermaßen vor:
Hinweis: Wenn der Computer der Domäne bereits hinzugefügt wurde, fahren Sie mit Benutzer zur Domäne hinzufügen fort.
Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer.
Erweitern Sie in der Konsolenstruktur demo.local.
Klicken Sie mit der rechten Maustaste auf Computer, klicken Sie auf Neu, und klicken Sie dann auf Computer.
Geben Sie im Dialogfeld Neues Objekt - Computer den Namen des Computers in das Feld Computername ein, und klicken Sie auf Weiter. In diesem Beispiel wird der Computername Client verwendet.
Klicken Sie im Dialogfeld Verwaltet auf Weiter.
Klicken Sie im Dialogfeld Neues Objekt - Computer auf Fertig stellen.
Wiederholen Sie die Schritte 3 bis 6, um weitere Computerkonten zu erstellen.
Gehen Sie folgendermaßen vor:
Klicken Sie in der Konsolenstruktur von Active Directory-Benutzer und -Computer auf den Ordner Computer, und klicken Sie mit der rechten Maustaste auf den Computer, dem Sie den Wireless-Zugriff zuweisen möchten. Dieses Beispiel zeigt die Vorgehensweise mit Computer Client, die Sie in Schritt 7 hinzugefügt haben. Klicken Sie auf Eigenschaften, und gehen Sie dann zur Registerkarte Einwählen.
Wählen Sie in Remote Access Permission (RAS-Berechtigung) die Option Allow access (Zugriff zulassen) aus, und klicken Sie auf OK.
Gehen Sie folgendermaßen vor:
Klicken Sie in der Konsolenstruktur von Active Directory-Benutzer und -Computer mit der rechten Maustaste auf Benutzer, klicken Sie auf Neu, und klicken Sie dann auf Benutzer.
Geben Sie im Dialogfeld Neues Objekt - Benutzer den Namen des Wireless-Benutzers ein. In diesem Beispiel wird der Name wirelessuser im Feld Vorname und wirelessuser im Feld Benutzername verwendet. Klicken Sie auf Next (Weiter).
Geben Sie im Dialogfeld Neues Objekt - Benutzer in den Feldern Kennwort und Kennwort bestätigen ein Kennwort Ihrer Wahl ein. Deaktivieren Sie das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern, und klicken Sie auf Weiter.
Klicken Sie im Dialogfeld Neues Objekt - Benutzer auf Fertig stellen.
Wiederholen Sie die Schritte 2 bis 4, um weitere Benutzerkonten zu erstellen.
Gehen Sie folgendermaßen vor:
Klicken Sie in der Konsolenstruktur von Active Directory-Benutzer und -Computer auf den Ordner Benutzer, klicken Sie mit der rechten Maustaste auf Wireless-Benutzer, klicken Sie auf Eigenschaften, und wechseln Sie dann zur Registerkarte Einwählen.
Wählen Sie in Remote Access Permission (RAS-Berechtigung) die Option Allow access (Zugriff zulassen) aus, und klicken Sie auf OK.
Gehen Sie folgendermaßen vor:
Klicken Sie in der Konsolenstruktur von Active Directory-Benutzer und -Computer mit der rechten Maustaste auf Benutzer, klicken Sie auf Neu, und klicken Sie dann auf Gruppe.
Geben Sie im Dialogfeld Neues Objekt - Gruppe den Namen der Gruppe in das Feld Gruppenname ein, und klicken Sie auf OK. In diesem Dokument wird der Gruppenname Wireless-Benutzer verwendet.
Gehen Sie folgendermaßen vor:
Doppelklicken Sie im Detailbereich von Active Directory-Benutzer und -Computer auf die Gruppe WirelessUsers.
Wechseln Sie zur Registerkarte Mitglieder, und klicken Sie auf Hinzufügen.
Geben Sie im Dialogfeld Benutzer, Kontakte, Computer oder Gruppen auswählen den Namen der Benutzer ein, die Sie der Gruppe hinzufügen möchten. In diesem Beispiel wird veranschaulicht, wie der Benutzer WirelessUser zur Gruppe hinzugefügt wird. Klicken Sie auf OK.
Klicken Sie im Dialogfeld Mehrere gefundene Namen auf OK. Das Wireless-Benutzerkonto wird der Wireless-Benutzergruppe hinzugefügt.
Klicken Sie auf OK, um die Änderungen in der Gruppe der Wireless-Benutzer zu speichern.
Wiederholen Sie dieses Verfahren, um der Gruppe weitere Benutzer hinzuzufügen.
Gehen Sie folgendermaßen vor:
Wiederholen Sie die Schritte 1 und 2 im Abschnitt Benutzer zur Gruppe der Wireless-Benutzer hinzufügen dieses Dokuments.
Geben Sie im Dialogfeld Benutzer, Kontakte oder Computer auswählen den Namen des Computers ein, den Sie der Gruppe hinzufügen möchten. In diesem Beispiel wird veranschaulicht, wie der Computer mit dem Namen client zur Gruppe hinzugefügt wird.
Klicken Sie auf Objekttypen, deaktivieren Sie das Kontrollkästchen Benutzer, und aktivieren Sie dann das Kontrollkästchen Computer.
Klicken Sie zweimal auf OK. Das CLIENT-Computerkonto wird der Gruppe der Wireless-Benutzer hinzugefügt.
Wiederholen Sie den Vorgang, um der Gruppe weitere Computer hinzuzufügen.
Die CSACS-1121-Appliance wird mit der ACS 5.1-Software vorinstalliert. In diesem Abschnitt erhalten Sie eine Übersicht über den Installationsvorgang und die Aufgaben, die Sie vor der Installation von ACS ausführen müssen.
Verbinden Sie den CSACS-1121 mit der Netzwerk- und Appliance-Konsole. Siehe Kapitel 4, "Verbinden von Kabeln".
Schalten Sie die CSACS-1121-Einheit ein. Siehe Kapitel 4, "Einschalten der Appliance der Serie CSACS-1121".
Führen Sie den Befehl setup an der CLI-Eingabeaufforderung aus, um die Anfangseinstellungen für den ACS-Server zu konfigurieren. Siehe Ausführen des Setup-Programms.
In diesem Abschnitt wird der Installationsvorgang für den ACS-Server auf der Appliance der Serie CSACS-1121 beschrieben.
Ausführliche Informationen zur Installation des Cisco Secure ACS Servers finden Sie im Installations- und Upgrade-Handbuch für das Cisco Secure Access Control System 5.1.
Gehen Sie folgendermaßen vor:
Hinweis: Es wird davon ausgegangen, dass der Controller über eine grundlegende Verbindung mit dem Netzwerk verfügt und dass die IP-Verbindung zur Management-Schnittstelle erfolgreich ist.
Navigieren Sie zu https://10.0.1.10, um sich beim Controller anzumelden.
Klicken Sie auf Anmelden.
Melden Sie sich mit dem Standardbenutzeradmin und dem Standardkennwort admin an.
Erstellen Sie im Menü "Controller" eine neue Schnittstelle für die VLAN-Zuordnung.
Klicken Sie auf Schnittstellen.
Klicken Sie auf Neu.
Geben Sie im Feld "Interface name" (Schnittstellenname) "Employee" ein. (Dieses Feld kann einen beliebigen Wert enthalten.)
Geben Sie im Feld VLAN ID (VLAN-ID) 20 ein. (Dieses Feld kann ein beliebiges VLAN sein, das im Netzwerk übertragen wird.)
Klicken Sie auf Apply (Anwenden).
Konfigurieren Sie die Informationen so, wie sie im Fenster Schnittstellen > Bearbeiten angezeigt werden:
Schnittstellen-IP-Adresse - 10.0.20.2
Netzmaske: 255.255.255.0
Gateway - 10.0.10.1
Primäres DHCP - 10.0.10.10
Klicken Sie auf Apply (Anwenden).
Klicken Sie auf die Registerkarte WLANs.
Wählen Sie Neu erstellen aus, und klicken Sie auf Los.
Geben Sie einen Profilnamen und im Feld für die WLAN-SSID den Namen Employee ein.
Wählen Sie eine ID für das WLAN aus, und klicken Sie auf Apply.
Konfigurieren Sie die Informationen für dieses WLAN, wenn das Fenster WLANs > Edit angezeigt wird.
Hinweis: WPAv2 wurde als Layer-2-Verschlüsselungsmethode für diese Übung ausgewählt. Damit WPA mit TKIP-MIC-Clients dieser SSID zugeordnet werden kann, können Sie auch den WPA-Kompatibilitätsmodus und die Kästchen WPA2 TKIP-Clients zulassen oder die Clients aktivieren, die die 802.11i AES-Verschlüsselungsmethode nicht unterstützen.
Klicken Sie im Bildschirm WLANs > Edit (WLANs > Bearbeiten) auf die Registerkarte General (Allgemein).
Vergewissern Sie sich, dass das Kontrollkästchen Status auf Enabled (Aktiviert) markiert ist und die entsprechende Schnittstelle (Mitarbeiter) ausgewählt ist. Aktivieren Sie außerdem das Kontrollkästchen Aktiviert für Broadcast-SSID.
Klicken Sie auf die Registerkarte Sicherheit.
Aktivieren Sie im Untermenü "Layer 2" die Option WPA + WPA2 für die Layer-2-Sicherheit. Aktivieren Sie für die WPA2-Verschlüsselung AES + TKIP, um TKIP-Clients zuzulassen.
Wählen Sie 802.1x als Authentifizierungsmethode aus.
Überspringen Sie das Untermenü "Layer 3", da es nicht erforderlich ist. Nach der Konfiguration des RADIUS-Servers kann der entsprechende Server im Menü "Authentication" (Authentifizierung) ausgewählt werden.
Die Registerkarten QoS und Erweitert können standardmäßig beibehalten werden, sofern keine speziellen Konfigurationen erforderlich sind.
Klicken Sie auf das Menü Sicherheit, um den RADIUS-Server hinzuzufügen.
Klicken Sie im Untermenü RADIUS auf Authentication (Authentifizierung). Klicken Sie dann auf Neu.
Fügen Sie die IP-Adresse des RADIUS-Servers (10.0.10.20) hinzu, die dem zuvor konfigurierten ACS-Server entspricht.
Stellen Sie sicher, dass der freigegebene Schlüssel mit dem auf dem ACS-Server konfigurierten AAA-Client übereinstimmt. Vergewissern Sie sich, dass das Kontrollkästchen Netzwerkbenutzer aktiviert ist, und klicken Sie auf Anwenden.
Die Basiskonfiguration ist jetzt abgeschlossen, und Sie können mit dem Testen von PEAP beginnen.
PEAP mit MS-CHAP Version 2 erfordert Zertifikate auf den ACS-Servern, aber nicht auf den Wireless-Clients. Die automatische Registrierung von Computerzertifikaten für die ACS-Server kann verwendet werden, um die Bereitstellung zu vereinfachen.
Führen Sie die in diesem Abschnitt beschriebenen Verfahren aus, um den CA-Server für die automatische Registrierung von Computer- und Benutzerzertifikaten zu konfigurieren.
Hinweis: Microsoft hat die Webservervorlage mit der Version der Windows 2003 Enterprise-CA geändert, sodass Schlüssel nicht mehr exportierbar sind und die Option abgeblendet ist. Es gibt keine anderen Zertifikatvorlagen mit Zertifikatdiensten, die für die Serverauthentifizierung vorgesehen sind und die Möglichkeit bieten, Schlüssel als exportierbar zu markieren, die im Dropdown-Menü verfügbar sind. Sie müssen daher eine neue Vorlage erstellen, die dies tut.
Hinweis: Windows 2000 ermöglicht den Export von Schlüsseln, und diese Verfahren müssen nicht befolgt werden, wenn Sie Windows 2000 verwenden.
Gehen Sie folgendermaßen vor:
Wählen Sie Start > Ausführen, geben Sie mmc ein, und klicken Sie auf OK.
Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, und klicken Sie dann auf Hinzufügen.
Doppelklicken Sie unter Snap-In auf Zertifikatvorlagen, klicken Sie auf Schließen, und klicken Sie dann auf OK.
Klicken Sie in der Konsolenstruktur auf Zertifikatvorlagen. Alle Zertifikatvorlagen werden im Detailbereich angezeigt.
Um die Schritte 2 bis 4 zu umgehen, geben Sie certtmpl.msc ein, wodurch das Zertifikatvorlagen-Snap-In geöffnet wird.
Gehen Sie folgendermaßen vor:
Klicken Sie im Bereich Details des Snap-Ins Zertifikatvorlagen auf die Vorlage Webserver.
Klicken Sie im Menü Aktion auf Vorlage duplizieren.
Geben Sie im Feld "Template display name" (Anzeigename der Vorlage) ACS ein.
Wechseln Sie zur Registerkarte Request Handling, und aktivieren Sie Allow private key to be export. Stellen Sie außerdem sicher, dass im Dropdown-Menü Purpose (Zweck) die Option Signature and Encryption (Signatur und Verschlüsselung) ausgewählt ist.
Wählen Sie Anforderungen müssen einen der folgenden CSP verwenden, und aktivieren Sie Microsoft Base Cryptographic Provider v1.0. Deaktivieren Sie alle anderen CSPs, die aktiviert sind, und klicken Sie auf OK.
Wechseln Sie zur Registerkarte Betreffname, wählen Sie in der Anfrage Angebot aus, und klicken Sie auf OK.
Markieren Sie auf der Registerkarte Sicherheit die Gruppe Domänenadministratoren, und stellen Sie sicher, dass die Option Registrieren unter Zulässig aktiviert ist.
Hinweis: Wenn Sie aus diesem Active Directory Informationen erstellen möchten, aktivieren Sie nur den Benutzerprinzipalnamen (User Principal Name, UPN) und deaktivieren Sie E-Mail-Namen in Betreffnamen und E-Mail-Namen einschließen, da im Snap-In Active Directory-Benutzer und -Computer kein E-Mail-Name für das Wireless-Benutzerkonto eingegeben wurde. Wenn Sie diese beiden Optionen nicht deaktivieren, versucht die automatische Registrierung, E-Mail zu verwenden. Dies führt zu einem Fehler bei der automatischen Registrierung.
Es gibt ggf. zusätzliche Sicherheitsmaßnahmen, um zu verhindern, dass Zertifikate automatisch versendet werden. Diese finden Sie auf der Registerkarte "Emissionsanforderungen". Dies wird in diesem Dokument nicht weiter behandelt.
Klicken Sie auf OK, um die Vorlage zu speichern und mit dem Ausstellen dieser Vorlage aus dem Zertifizierungsstellen-Snap-In fortzufahren.
Gehen Sie folgendermaßen vor:
Öffnen Sie das Snap-In Zertifizierungsstelle. Führen Sie die Schritte 1 bis 3 im Abschnitt Create the Certificate Template for the ACS Web Server (Zertifikatvorlage für ACS-Webserver erstellen) aus, wählen Sie die Option Certificate Authority (Zertifizierungsstelle) aus, wählen Sie Local Computer (Lokaler Computer), und klicken Sie auf Finish (Fertig stellen).
Erweitern Sie in der Konsolenstruktur der Zertifizierungsstelle die Datei ca.demo.local, und klicken Sie dann mit der rechten Maustaste auf Zertifikatvorlagen.
Gehen Sie zu Neu > Zertifikatvorlage, die ausgestellt werden soll.
Klicken Sie auf die ACS-Zertifikatvorlage.
Klicken Sie auf OK, und öffnen Sie das Snap-In Active Directory-Benutzer und -Computer.
Doppelklicken Sie in der Konsolenstruktur auf Active Directory-Benutzer und -Computer, klicken Sie mit der rechten Maustaste auf demo.local, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf der Registerkarte Gruppenrichtlinie auf Standard-Domänenrichtlinie, und klicken Sie dann auf Bearbeiten. Dadurch wird das Snap-In Gruppenrichtlinienobjekt-Editor geöffnet.
Erweitern Sie in der Konsolenstruktur die Option Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel, und wählen Sie dann die Option Automatische Zertifikatanforderungseinstellungen aus.
Klicken Sie mit der rechten Maustaste auf Automatic Certificate Request Settings, und wählen Sie New > Automatic Certificate Request aus.
Klicken Sie auf der Seite Willkommen des Assistenten für die automatische Zertifikatanforderungseinrichtung auf Weiter.
Klicken Sie auf der Seite Zertifikatvorlage auf Computer und dann auf Weiter.
Wenn Sie die Seite "Assistent zum automatischen Einrichten von Zertifikatsanforderungen" abgeschlossen haben, klicken Sie auf Fertig stellen. Der Computerzertifikattyp wird jetzt im Detailbereich des Snap-Ins Gruppenrichtlinienobjekt-Editor angezeigt.
Erweitern Sie in der Konsolenstruktur die Option Benutzerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel.
Doppelklicken Sie im Detailbereich auf Einstellungen für die automatische Anmeldung.
Wählen Sie Zertifikate automatisch registrieren und aktivieren Sie Abgelaufene Zertifikate erneuern, ausstehende Zertifikate aktualisieren und gesperrte Zertifikate entfernen und Zertifikate aktualisieren, die Zertifikatvorlagen verwenden.
Klicken Sie auf OK.
Hinweis: Der ACS-Server muss ein Serverzertifikat vom Stammzertifizierungsstellenserver des Unternehmens erhalten, um einen WLAN-PEAP-Client zu authentifizieren.
Hinweis: Stellen Sie sicher, dass der IIS-Manager während der Zertifikateinrichtung nicht geöffnet ist, da dies zu Problemen mit zwischengespeicherten Informationen führt.
Melden Sie sich mit den Administratorrechten beim ACS-Server an.
Gehen Sie zu Systemverwaltung > Konfiguration > Lokale Serverzertifikate. Klicken Sie auf Hinzufügen.
Wenn Sie eine Methode zum Erstellen von Serverzertifikaten auswählen, wählen Sie Signierungsanforderung generieren aus. Klicken Sie auf Next (Weiter).
Geben Sie als Beispiel einen Zertifikatantragsteller und die Schlüssellänge ein, und klicken Sie dann auf Fertig stellen:
Zertifikatantragsteller - CN=acs.demo.local
Schlüssellänge: 1024
ACS fordert Sie auf, eine Signaturanforderung für das Zertifikat zu generieren. Klicken Sie auf OK.
Gehen Sie unter System Administration (Systemverwaltung) zu Configuration > Local Server Certificates > Outstanding Signing Requests.
Hinweis: Der Grund für diesen Schritt besteht darin, dass Windows 2003 keine exportierbaren Schlüssel zulässt und Sie eine Zertifikatanforderung auf der Grundlage des zuvor erstellten ACS-Zertifikats generieren müssen.
Wählen Sie den Eintrag Zertifikatsignierungsanforderung aus, und klicken Sie auf Exportieren.
Speichern Sie die Datei ACS certificate.pem auf dem Desktop.
Gehen Sie folgendermaßen vor:
Öffnen Sie einen Browser, und stellen Sie eine Verbindung mit der URL des CA-Servers http://10.0.10.10/certsrv her.
Das Fenster Microsoft-Zertifikatdienste wird angezeigt. Wählen Sie Zertifikat anfordern aus.
Klicken Sie hier, um eine Anforderung für ein erweitertes Zertifikat zu senden.
Klicken Sie in der erweiterten Anforderung auf Zertifikatsanforderung mit Base-64-Codierung senden...
Wenn es die Browsersicherheit zulässt, navigieren Sie im Feld Gespeicherte Anforderung zur vorherigen ACS-Zertifikatanforderungsdatei, und fügen Sie sie ein.
Die Sicherheitseinstellungen des Browsers erlauben möglicherweise keinen Zugriff auf die Datei auf einer Festplatte. Wenn dies der Fall ist, klicken Sie auf OK, um eine manuelle Einfügung durchzuführen.
Suchen Sie die ACS *.pem-Datei aus dem vorherigen ACS-Export. Öffnen Sie die Datei mit einem Texteditor (z. B. Notepad).
Markieren Sie den gesamten Inhalt der Datei, und klicken Sie auf Kopieren.
Kehren Sie zum Fenster für die Microsoft-Zertifikatanforderung zurück. Fügen Sie den kopierten Inhalt in das Feld Gespeicherter Antrag ein.
Wählen Sie ACS als Zertifikatvorlage aus, und klicken Sie auf Senden.
Sobald das Zertifikat ausgestellt wurde, wählen Sie Base 64-codiert aus, und klicken Sie auf Zertifikat herunterladen.
Klicken Sie auf Speichern, um das Zertifikat auf dem Desktop zu speichern.
Gehen Sie zu ACS > System Administration > Configuration > Local Server Certificates. Wählen Sie Signiertes CA-Zertifikat binden aus, und klicken Sie auf Weiter.
Klicken Sie auf Durchsuchen, und suchen Sie nach dem gespeicherten Zertifikat.
Wählen Sie das vom Zertifizierungsstellenserver ausgestellte ACS-Zertifikat aus, und klicken Sie auf Öffnen.
Aktivieren Sie außerdem das Kontrollkästchen Protocol (Protokoll) für EAP, und klicken Sie auf Finish (Fertig stellen).
Das von der Zertifizierungsstelle ausgestellte ACS-Zertifikat wird im lokalen ACS-Zertifikat angezeigt.
Gehen Sie folgendermaßen vor:
Stellen Sie eine Verbindung mit dem ACS her, und melden Sie sich mit dem Administratorkonto an.
Gehen Sie zu Benutzer und Identitätsdaten > Externe Identitätsdaten > Active Directory.
Geben Sie die Active Directory-Domäne demo.local ein, geben Sie das Kennwort des Servers ein, und klicken Sie auf Verbindung testen. Klicken Sie auf OK, um fortzufahren.
Klicken Sie auf Änderungen speichern.
Hinweis: Weitere Informationen zum Integrationsverfahren für ACS 5.x finden Sie unter ACS 5.x und höher: Integration in Microsoft Active Directory Configuration Example.
Gehen Sie folgendermaßen vor:
Stellen Sie eine Verbindung mit ACS her, und gehen Sie zu Network Resources > Network Devices and AAA Clients. Klicken Sie auf Erstellen.
Geben Sie in diese Felder Folgendes ein:
Name - wlc
IP - 10.0.1.10
RADIUS-Kontrollkästchen - Aktiviert
Gemeinsamer geheimer Schlüssel - Cisco
Klicken Sie abschließend auf Senden. Der Controller wird als Eintrag in der Liste der ACS-Netzwerkgeräte angezeigt.
Gehen Sie folgendermaßen vor:
Gehen Sie in ACS zu Access Policies > Access Services.
Klicken Sie im Fenster Access Services (Zugriffsdienste) auf Create (Erstellen).
Erstellen Sie einen Zugriffsdienst, und geben Sie einen Namen ein (beispielsweise WirelessAD). Wählen Sie Basierend auf Servicevorlage aus, und klicken Sie auf Auswählen.
Wählen Sie im Webseitendialog Netzwerkzugriff - Einfach. Klicken Sie auf OK.
Wählen Sie im Webseitendialog Netzwerkzugriff - Einfach. Klicken Sie auf OK. Klicken Sie nach Auswahl der Vorlage auf Weiter.
Aktivieren Sie unter Zugelassene Protokolle die Kontrollkästchen MS-CHAPv2 zulassen und PEAP zulassen. Klicken Sie auf Beenden.
Wenn Sie von ACS aufgefordert werden, den neuen Service zu aktivieren, klicken Sie auf Ja.
Erweitern Sie im neuen Zugriffsdienst, der gerade erstellt/aktiviert wurde, und wählen Sie Identity (Identität). Klicken Sie als Identitätsquelle auf Auswählen.
Wählen Sie AD1 für Active Directory aus, das in ACS konfiguriert wurde, und klicken Sie auf OK.
Bestätigen Sie, dass die Identitätsquelle AD1 ist, und klicken Sie auf Save Changes (Änderungen speichern).
Gehen Sie folgendermaßen vor:
Gehen Sie zu Zugriffsrichtlinien > Dienstauswahlregeln.
Klicken Sie im Fenster Dienstauswahlrichtlinie auf Erstellen. Geben Sie der neuen Regel einen Namen (z. B. WirelessRule). Aktivieren Sie das Kontrollkästchen für Protocol to match Radius.
Wählen Sie Radius aus, und klicken Sie auf OK.
Wählen Sie unter Ergebnisse die Option WirelessAD für Dienst (wurde im vorherigen Schritt erstellt) aus.
Nachdem die neue Wireless-Regel erstellt wurde, wählen Sie diese Regel aus, und verschieben Sie sie nach oben. Dies ist die erste Regel, die die Wireless-RADIUS-Authentifizierung mit Active Directory identifiziert.
In unserem Beispiel ist CLIENT ein Computer, auf dem Windows XP Professional mit SP ausgeführt wird und der als Wireless-Client fungiert und über den Wireless Access Point Zugriff auf Intranet-Ressourcen erhält. Gehen Sie wie in diesem Abschnitt beschrieben vor, um CLIENT als Wireless-Client zu konfigurieren.
Gehen Sie folgendermaßen vor:
Verbinden Sie den CLIENT mithilfe eines mit dem Hub verbundenen Ethernetkabels mit dem Netzwerksegment des Intranets.
Installieren Sie auf CLIENT Windows XP Professional mit SP2 als Mitgliedscomputer namens CLIENT der Domäne demo.local.
Installieren Sie Windows XP Professional mit SP2. Diese muss installiert sein, damit PEAP-Unterstützung verfügbar ist.
Hinweis: Die Windows-Firewall ist in Windows XP Professional mit SP2 automatisch aktiviert. Schalten Sie die Firewall nicht aus.
Gehen Sie folgendermaßen vor:
Den CLIENT-Computer herunterfahren.
Trennen Sie den CLIENT-Computer vom Intranet-Netzwerksegment.
Starten Sie den CLIENT-Computer neu, und melden Sie sich dann mit dem lokalen Administratorkonto an.
Installieren Sie den Wireless-Netzwerkadapter.
Hinweis: Installieren Sie nicht die Konfigurationssoftware des Herstellers für den Wireless-Adapter. Installieren Sie die Treiber für die Wireless-Netzwerkkarte mithilfe des Hardware-Assistenten. Wenn Sie dazu aufgefordert werden, legen Sie außerdem die vom Hersteller bereitgestellte CD oder einen Datenträger mit aktualisierten Treibern für die Verwendung mit Windows XP Professional mit SP2 bereit.
Gehen Sie folgendermaßen vor:
Melden Sie sich ab, und melden Sie sich dann über das WirelessUser-Konto in der demo.local-Domäne an.
Wählen Sie Start > Systemsteuerung, doppelklicken Sie auf Netzwerkverbindungen, und klicken Sie dann mit der rechten Maustaste auf Drahtlose Netzwerkverbindung.
Klicken Sie auf Eigenschaften, wechseln Sie zur Registerkarte Drahtlose Netzwerke, und stellen Sie sicher, dass das Kontrollkästchen Windows zum Konfigurieren der Drahtlosnetzwerkeinstellungen verwenden aktiviert ist.
Klicken Sie auf Hinzufügen.
Geben Sie auf der Registerkarte Zuordnung im Feld Netzwerkname (SSID) den Mitarbeiter ein.
Wählen Sie WPA für die Netzwerkauthentifizierung aus, und stellen Sie sicher, dass die Datenverschlüsselung auf TKIP festgelegt ist.
Klicken Sie auf die Registerkarte Authentifizierung.
Überprüfen Sie, ob der EAP-Typ für die Verwendung von PEAP (Protected EAP) konfiguriert ist. Ist dies nicht der Fall, wählen Sie es aus dem Dropdown-Menü aus.
Wenn der Computer vor der Anmeldung authentifiziert werden soll (wodurch Anmeldeskripts oder Gruppenrichtlinien angewendet werden können), aktivieren Sie Als Computer authentifizieren, wenn Computerinformationen verfügbar sind.
Klicken Sie auf Properties (Eigenschaften).
Da PEAP die Authentifizierung des Servers durch den Client umfasst, stellen Sie sicher, dass das Serverzertifikat validieren aktiviert ist. Stellen Sie außerdem sicher, dass die Zertifizierungsstelle, die das ACS-Zertifikat ausgestellt hat, im Menü "Trusted Root Certification Authorities" (Vertrauenswürdige Stammzertifizierungsstellen) aktiviert ist.
Wählen Sie unter "Authentication Method" die Option Secured password (EAP-MSCHAP v2) aus, da sie für die innere Authentifizierung verwendet wird.
Vergewissern Sie sich, dass das Kontrollkästchen "Schnelle Wiederverbindung aktivieren" aktiviert ist. Klicken Sie dann dreimal auf OK.
Klicken Sie mit der rechten Maustaste auf das Symbol für die Wireless-Netzwerkverbindung in der Taskleiste, und klicken Sie dann auf Verfügbare Wireless-Netzwerke anzeigen.
Klicken Sie auf das Wireless-Netzwerk Mitarbeiter und dann auf Verbinden. Der Wireless-Client zeigt Verbunden an, wenn die Verbindung erfolgreich hergestellt wurde.
Nachdem die Authentifizierung erfolgreich war, überprüfen Sie mithilfe von Netzwerkverbindungen die TCP/IP-Konfiguration für den Wireless-Adapter. Der Adressbereich muss 10.0.20.100-10.0.20.200 aus dem DHCP-Bereich oder dem für die Wireless-Clients von CorpNet erstellten Bereich sein.
Um die Funktionalität zu testen, öffnen Sie einen Browser und navigieren Sie zu http://10.0.10.10 (oder zur IP-Adresse des CA-Servers).
Gehen Sie folgendermaßen vor:
Gehen Sie zu ACS > Monitoring and Reports, und klicken Sie auf Launch Monitoring & Report Viewer.
Ein separates ACS-Fenster wird geöffnet. Klicken Sie auf Dashboard.
Klicken Sie im Abschnitt "My Favourite Reports" auf Authentications - RADIUS - Today.
In einem Protokoll werden alle RADIUS-Authentifizierungen als "Bestanden" oder "Fehlgeschlagen" angezeigt. Klicken Sie innerhalb eines protokollierten Eintrags auf das Lupensymbol in der Spalte Details.
Die RADIUS-Authentifizierungsdetails enthalten viele Informationen zu den protokollierten Versuchen.
Die Anzahl der ACS-Service-Treffer kann eine Übersicht über Versuche liefern, die mit der/den in ACS erstellten Regel(n) übereinstimmen. Gehen Sie zu ACS > Access Policies > Access Services, und klicken Sie auf Service Selection Rules.
Wenn der Client die PEAP-Authentifizierung mit einem ACS-Server nicht erfolgreich durchführt, überprüfen Sie, ob die Fehlermeldung NAS duplicate authentication attempts in der Option Failed attempts (Fehlgeschlagene Versuche) im Menü Report and Activity (Bericht und Aktivität) des ACS angezeigt wird.
Diese Fehlermeldung wird möglicherweise angezeigt, wenn Microsoft Windows XP SP2 auf dem Client-Computer installiert ist und sich Windows XP SP2 gegenüber einem anderen Server als einem Microsoft IAS-Server authentifiziert. Insbesondere verwendet der Cisco RADIUS-Server (ACS) zur Berechnung der EAP-TLV-ID (Extensible Authentication Protocol Type:Length:Value Format) eine andere Methode als Windows XP. Microsoft hat dies als einen Fehler in der XP SP2-Komponente identifiziert.
Wenden Sie sich für einen Hotfix an Microsoft, und lesen Sie den Artikel PEAP authentication is not successfully when you connect to a third party RADIUS server . Das zugrunde liegende Problem besteht darin, dass auf der Client-Seite mit Windows Utility die Option für die schnelle Wiederverbindung für PEAP standardmäßig deaktiviert ist. Diese Option ist jedoch auf der Serverseite (ACS) standardmäßig aktiviert. Um dieses Problem zu beheben, deaktivieren Sie die Option "Fast Reconnect" auf dem ACS-Server (unter "Global System Options" (Globale Systemoptionen). Alternativ können Sie auf der Client-Seite die Option für die schnelle Wiederherstellung aktivieren, um das Problem zu beheben.
Führen Sie die folgenden Schritte aus, um die schnelle Wiederherstellung auf dem Client zu aktivieren, der Windows XP mit dem Windows-Dienstprogramm ausführt:
Gehen Sie zu Start > Einstellungen > Systemsteuerung.
Doppelklicken Sie auf das Symbol Netzwerkverbindungen.
Klicken Sie mit der rechten Maustaste auf das Symbol Drahtlose Netzwerkverbindung, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte Drahtlose Netzwerke.
Wählen Sie die Option Drahtlosnetzwerkeinstellungen für Windows verwenden aus, um Windows für die Konfiguration des Client-Adapters zu aktivieren.
Wenn Sie bereits eine SSID konfiguriert haben, wählen Sie die SSID aus, und klicken Sie auf Eigenschaften. Falls nicht, klicken Sie auf Neu, um ein neues WLAN hinzuzufügen.
Geben Sie auf der Registerkarte "Association" (Zuordnung) die SSID ein. Stellen Sie sicher, dass die Netzwerkauthentifizierung offen ist und die Datenverschlüsselung auf WEP festgelegt ist.
Klicken Sie auf Authentifizierung.
Wählen Sie die Option IEEE 802.1x-Authentifizierung für dieses Netzwerk aktivieren.
Wählen Sie PEAP als EAP-Typ aus, und klicken Sie auf Eigenschaften.
Wählen Sie unten auf der Seite die Option "Schnelle Wiederverbindung aktivieren" aus.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
08-Oct-2010 |
Erstveröffentlichung |