Autenticazione EAP-FAST con Wireless LAN Controller e Identity Services Engine

Opzioni per il download

  • PDF     (1.8 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (2.1 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.9 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:22 febbraio 2019
ID documento:99791

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene spiegato come configurare il controller WLC (Wireless LAN Controller) per l'autenticazione EAP (Extensible Authentication Protocol) - Autenticazione flessibile tramite autenticazione FAST (Secure Tunneling) con l'utilizzo di un server RADIUS esterno. In questo esempio di configurazione viene utilizzato Identity Services Engine (ISE) come server RADIUS esterno per autenticare il client wireless.

In questo documento viene illustrato come configurare ISE per la configurazione delle credenziali di accesso protetto (PAC) in banda anonime e autenticate per i client wireless.

Prerequisiti

Requisiti

Prima di provare questa configurazione, accertarsi di soddisfare i seguenti requisiti:

  • Conoscenze base della configurazione dei Lightweight Access Point (LAP) e dei Cisco WLC

  • Conoscenze base del protocollo CAPWAP

  • Informazioni su come configurare un server RADIUS esterno, ad esempio Cisco ISE

  • Conoscenze funzionali del quadro generale EAP

  • Conoscenze base dei protocolli di sicurezza, ad esempio MS-CHAPv2 e EAP-GTC, e conoscenze dei certificati digitali

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco serie 5520 WLC con firmware versione 8.8.11.0

    • Cisco serie 4800 AP

    • Anyconnect NAM.

    • Cisco Secure ISE versione 2.3.0.298

    • Cisco serie 3560-CX Switch con versione 15.2(4)E1

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Convenzioni

Fare riferimento a Cisco Technical Tips Conventions per ulteriori informazioni sulle convenzioni dei documenti.

Premesse

Il protocollo EAP-FAST è un tipo EAP IEEE 802.1X accessibile al pubblico sviluppato da Cisco per supportare i clienti che non possono applicare policy per la password complesse e desiderano distribuire un tipo EAP 802.1X che non richiede certificati digitali.

Il protocollo EAP-FAST è un'architettura di sicurezza client-server che cripta le transazioni EAP con un tunnel TLS (Transport Level Security). La creazione del tunnel EAP-FAST si basa su segreti sicuri specifici degli utenti. Questi segreti si chiamano PAC, che l'ISE genera utilizzando una chiave master nota solo all'ISE.

EAP-FAST si articola in tre fasi:

  • Fase zero (fase di preparazione automatica della PAC) - Fase zero di EAP-FAST, una fase opzionale è un mezzo protetto dal tunnel per fornire a un client utente finale EAP-FAST una PAC per l'utente che richiede l'accesso alla rete. L'unico scopo della fase zero è fornire una PAC al client dell'utente finale.

    Nota: la fase zero è facoltativa in quanto le PAC possono anche essere assegnate manualmente ai client anziché utilizzare la fase zero.

    Per ulteriori informazioni, vedere la sezione Modalità di provisioning PAC di questo documento.

  • Fase 1: nella fase 1, l'ISE e il client dell'utente finale stabiliscono un tunnel TLS in base alle credenziali PAC dell'utente. Questa fase richiede che il client dell'utente finale disponga di una PAC per l'utente che sta tentando di ottenere l'accesso alla rete e che la PAC sia basata su una chiave master non scaduta. Nessun servizio di rete abilitato dalla fase uno di EAP-FAST.

  • Fase due: nella fase due, le credenziali di autenticazione utente vengono passate in modo sicuro utilizzando un metodo EAP interno supportato da EAP-FAST all'interno del tunnel TLS al RADIUS creato utilizzando la PAC tra il client e il server RADIUS. EAP-GTC, TLS e MS-CHAP sono supportati come metodi EAP interni. Per EAP-FAST non sono supportati altri tipi di EAP.

Per ulteriori informazioni, fare riferimento a Come funziona EAP-FAST.

PAC

Le PAC sono importanti segreti condivisi che consentono all'ISE e al client dell'utente finale EAP-FAST di autenticarsi a vicenda e stabilire un tunnel TLS da utilizzare nella seconda fase di EAP-FAST. L'ISE genera PAC utilizzando la chiave master attiva e un nome utente.

Il PAC comprende:

  • PAC-Key: segreto condiviso associato a un'identità client (e di dispositivo client) e server.

  • PAC opaco: campo opaco che il client memorizza nella cache e passa al server. Il server recupera la PAC-Key e l'identità del client per autenticarsi reciprocamente con il client.

  • PAC-Info: include almeno l'identità del server per consentire al client di memorizzare nella cache PAC diverse. Facoltativamente, include altre informazioni quali l'ora di scadenza del PAC.

Modalità di provisioning PAC

Come accennato in precedenza, la fase zero è una fase facoltativa.

EAP-FAST offre due opzioni per il provisioning di un client con una PAC:

  • Preparazione automatica della PAC (fase 0 di EAP-FAST o preparazione della PAC in banda)

  • Preparazione manuale della PAC (fuori banda)

La preparazione automatica della PAC in banda invia una nuova PAC al client dell'utente finale tramite una connessione di rete protetta. La preparazione automatica delle credenziali di accesso protette non richiede l'intervento dell'utente di rete o di un amministratore ISE, a condizione che l'ISE e il client dell'utente finale siano configurati in modo da supportare la preparazione automatica.

L'ultima versione di EAP-FAST supporta due diverse opzioni di configurazione della preparazione della PAC in banda:

  • Preparazione PAC in banda anonima

  • Provisioning PAC in banda autenticato

Nota: in questo documento vengono descritti i metodi di preparazione della PAC in banda e la relativa configurazione.

La preparazione manuale/fuori banda della PAC richiede che un amministratore ISE generi i file PAC, che devono quindi essere distribuiti agli utenti della rete interessati. Gli utenti devono configurare i client degli utenti finali con i relativi file PAC.

Configurazione

Esempio di rete

Configurazioni

Configurazione del WLC per l'autenticazione EAP-FAST

Per configurare il WLC per l'autenticazione EAP-FAST, eseguire la procedura seguente:

  1. Configurazione del WLC per l'autenticazione RADIUS tramite un server RADIUS esterno

  2. Configurazione della WLAN per l'autenticazione EAP-FAST

Configurazione del WLC per l'autenticazione RADIUS tramite un server RADIUS esterno

È necessario configurare il WLC per inoltrare le credenziali dell'utente a un server RADIUS esterno. Il server RADIUS esterno convalida quindi le credenziali utente utilizzando EAP-FAST e fornisce l'accesso ai client wireless.

Per configurare il WLC per un server RADIUS esterno, completare la procedura seguente:

  1. Scegliere Sicurezza e Autenticazione RADIUS dall'interfaccia utente del controller per visualizzare la pagina Server di autenticazione RADIUS. Quindi, fare clic su New (Nuovo) per definire un server RADIUS.

  2. Definire i parametri del server RADIUS nella pagina Server di autenticazione RADIUS > Nuovo. Questi parametri includono:

    • Indirizzo IP server RADIUS

    • Segreto condiviso

    • Numero porta

    • Stato server

    Nel documento viene usato il server ISE con indirizzo IP 10.48.39.128.

  3. Clic Applica.

Configurazione della WLAN per l'autenticazione EAP-FAST

Configurare quindi la WLAN utilizzata dai client per connettersi alla rete wireless per l'autenticazione EAP-FAST e assegnarla a un'interfaccia dinamica. Il nome WLAN configurato in questo esempio è eap fast. In questo esempio la WLAN viene assegnata all'interfaccia di gestione.

Completare questa procedura per configurare la WLAN eap fast e i relativi parametri:

  1. Fare clic su WLAN dalla GUI del controller per visualizzare la pagina WLAN.

    In questa pagina vengono elencate le WLAN esistenti sul controller.

  2. Per creare una nuova WLAN, fare clic su New (Nuovo).

  3. Configurare il nome SSID della WLAN eap_fast, il nome del profilo e l'ID della WLAN nella pagina WLAN > Nuovo. Quindi fare clic su Apply (Applica).

  4. Dopo aver creato una nuova WLAN, viene visualizzata la pagina WLAN > Modifica per la nuova WLAN. In questa pagina è possibile definire vari parametri specifici per la WLAN. Sono inclusi i criteri generali, i server RADIUS, i criteri di sicurezza e i parametri 802.1x.

  5. Per abilitare la WLAN, selezionare la casella di controllo Admin Status (Stato amministratore) nella scheda General Policies (Criteri generali). Se si desidera che l'access point trasmetta il SSID nei frame del beacon, selezionare la casella di controllo Broadcast SSID.

  6. In "WLAN -> Modifica -> Sicurezza -> Layer 2" selezionare WPA/WPA2 parameters e selezionare dot1x per AKM.
    In questo esempio viene usato WPA2/AES + dot1x come protezione di layer 2 per questa WLAN. Gli altri parametri possono essere modificati in base ai requisiti della rete WLAN.

  7. Nella scheda "WLAN -> Modifica -> Protezione -> Server AAA" scegliere il server RADIUS appropriato dal menu a discesa in Server RADIUS.


  8. Fare clic su Apply (Applica).

    Nota: questa è l'unica impostazione EAP da configurare sul controller per l'autenticazione EAP. Tutte le altre configurazioni specifiche di EAP-FAST devono essere eseguite sul server RADIUS e sui client da autenticare.

Configurazione del server RADIUS per l'autenticazione EAP-FAST

Per configurare il server RADIUS per l'autenticazione EAP-FAST, attenersi alla procedura seguente:

  1. Creazione di un database utenti per autenticare i client EAP-FAST
  2. Aggiungere il WLC come client AAA al server RADIUS
  3. Configurazione dell'autenticazione EAP-FAST sul server RADIUS con provisioning PAC in banda anonimo
  4. Configurazione dell'autenticazione EAP-FAST sul server RADIUS con provisioning della PAC in-band autenticato

Creazione di un database utenti per autenticare i client EAP-FAST

Nell'esempio, il nome utente e la password del client EAP-FAST sono configurati rispettivamente come <eap_fast> e <EAP-fast1>.

  1. Nell'interfaccia utente di ISE Web admin, selezionare "Administration -> Identity Management -> Users" e premere l'icona "Add".
  2. Compilare i moduli obbligatori per la creazione dell'utente - "Nome" e "Password di accesso" e selezionare "Gruppo utenti" dall'elenco a discesa;[facoltativamente è possibile compilare altre informazioni per l'account utente]
    Premere "Invia"
  3. L'utente viene creato.

Aggiungere il WLC come client AAA al server RADIUS

Completare questa procedura per definire il controller come client AAA sul server ACS:

  1. Nell'interfaccia utente di ISE Web admin, selezionare "Administration -> Network Resources -> Network Devices" e premere l'icona "Add".
  2. Compilare i moduli richiesti per il dispositivo da aggiungere - "Nome", "IP" e configurare la stessa password segreta condivisa, come configurato sul WLC nella sezione precedente, nel modulo "Segreto condiviso" [facoltativamente è possibile compilare altre informazioni per il dispositivo come posizione, gruppo, ecc.].
    Premere "Invia"
  3. La periferica viene aggiunta all'elenco delle periferiche di accesso alla rete ISE. (AND)

Configurazione dell'autenticazione EAP-FAST sul server RADIUS con provisioning PAC in banda anonimo

In genere si preferisce utilizzare questo tipo di metodo nel caso in cui non sia disponibile un'infrastruttura PKI nella distribuzione.

Questo metodo funziona all'interno di un tunnel ADHP (Authenticated Diffie-Hellman Key Agreement Protocol) prima che il peer autentichi il server ISE.

Per supportare questo metodo, è necessario abilitare "Allow Anonymous In-band PAC Provisioning" (Consenti provisioning PAC in-band anonimo) su ISE in "Authentication Allowed Protocols" (Protocolli autorizzati per l'autenticazione):

Nota: accertarsi di aver consentito l'autenticazione del tipo di password, come EAP-MS-CHAPv2 per il metodo interno EAP-FAST, poiché ovviamente con il provisioning in banda anonimo non è possibile utilizzare alcun certificato.

Configurazione dell'autenticazione EAP-FAST sul server RADIUS con provisioning della PAC in-band autenticato

Si tratta dell'opzione più sicura e consigliata. Il tunnel TLS viene creato in base al certificato del server convalidato dal richiedente e il certificato del client viene convalidato da ISE (impostazione predefinita).

Questa opzione richiede un'infrastruttura PKI per client e server, anche se può essere limitata al solo lato server o ignorata su entrambi i lati.

ISE offre due opzioni aggiuntive per il provisioning in-band autenticato:

  1. "Server Returns Access Accept After Authenticated Provisioning" - In genere, dopo la preparazione della PAC, è necessario inviare un messaggio di rifiuto dell'accesso che impone al richiedente di rieseguire l'autenticazione utilizzando le PAC. Tuttavia, poiché la preparazione della PAC viene eseguita in un tunnel TLS autenticato, è possibile rispondere immediatamente con Access-Accept per ridurre al minimo i tempi di autenticazione. in questo caso, verificare di disporre di certificati attendibili sul lato client e server.
  2. "Accetta certificato client per provisioning" - se non si desidera fornire l'infrastruttura PKI ai dispositivi client e si dispone solo di un certificato attendibile su ISE, abilitare questa opzione, che consente di ignorare la convalida del certificato client sul lato server.

Su ISE definiamo anche criteri di autenticazione semplici impostati per gli utenti wireless, qui di seguito esempio sta utilizzando come parametro di condizione tipo di dispositivo e posizione e tipo di autenticazione, il flusso di autenticazione corrispondente a quella condizione sarà convalidato rispetto al database degli utenti interni.

Verifica

In questo esempio vengono mostrati il flusso di provisioning della PAC in banda autenticata e le impostazioni di configurazione di Network Access Manager (NAM) insieme ai rispettivi debug WLC.

Configurazione profilo NAM

Per configurare il profilo Anyconnect NAM in modo che autentichi la sessione utente con ISE usando EAP-FAST, è necessario eseguire le seguenti operazioni:

  1. Aprire l'Editor profili di Network Access Manager e caricare il file di configurazione corrente.
  2. Verificare che "EAP-FAST" sia abilitato in "Modalità di autenticazione consentite"
  3.  "Aggiungi" un nuovo profilo di rete:
  4. Nella sezione di configurazione "Tipo di supporto" definire il profilo "Nome", wireless come tipo di rete multimediale e specificare il nome SSID.
  5. Nella scheda di configurazione "Livello di protezione" selezionare "Autenticazione rete" e specificare la modalità di associazione come WPA2 Enterprise (AES)
  6. In questo esempio viene utilizzata l'autenticazione basata sul tipo di utente, quindi nella scheda successiva "Tipo di connessione" selezionare "Connessione utente"
  7. Nella scheda "Autenticazione utente" specificare EAP-FAST come metodo di autenticazione consentito e disattivare la convalida dei certificati del server, poiché in questo esempio non vengono utilizzati certificati protetti.

    Nota: in un ambiente di produzione reale assicurarsi di avere un certificato attendibile installato su ISE e mantenere l'opzione di convalida del certificato server abilitata nelle impostazioni NAM.
    Nota: L'opzione "Se si utilizzano PAC, consenti preparazione PAC non autenticata" deve essere selezionata solo in caso di preparazione PAC in banda anonima.

  8. Definire le credenziali utente come SSO se si desidera utilizzare le stesse credenziali utilizzate per l'accesso, selezionare "Richiedi credenziali" se si desidera che all'utente vengano richieste le credenziali durante la connessione alla rete oppure definire credenziali statiche per il tipo di accesso. In questo esempio vengono richieste le credenziali dell'utente al tentativo di connessione alla rete.
  9. Salvare il profilo configurato nella cartella NAM corrispondente.

Verificare la connettività a SSID utilizzando l'autenticazione EAP-FAST.

  1. Seleziona il profilo corrispondente dall'elenco delle reti Anyconnect
  2. Immettere il nome utente e la password necessari per l'autenticazione
  3. Accetta certificato server (autofirmato)
  4. Fine

Log di autenticazione ISE

I log di autenticazione ISE che mostrano il flusso di provisioning EAP-FAST e PAC possono essere visualizzati in "Operations -> RADIUS -> Live Logs" (Operazioni -> RAGGIO -> Live Logs) e consultati in maggior dettaglio usando l'icona "Zoom" (Zoom):

  1. Il client ha avviato l'autenticazione e ISE ha proposto EAP-TLS come metodo di autenticazione, ma il client ha rifiutato e ha proposto EAP-FAST; questo è stato il metodo accettato sia dal client che da ISE.
  2. L'handshake TLS è stato avviato tra il client e il server per fornire l'ambiente protetto per lo scambio PAC ed è stato completato.
  3. Autenticazione interna avviata e credenziali utente convalidate da ISE con MS-CHAPv2 (autenticazione basata su nome utente/password)
  4. L'utente è stato autorizzato e il PAC è stato fornito al dispositivo.

Debug lato WLC sul flusso EAP-FAST completato

I seguenti debug sono stati abilitati sul WLC durante l'autenticazione del client:

  • debug aaa all enable
  • debug dot1x all enable

Il client ha avviato l'autenticazione dot1x e ha fornito la risposta di identità EAPoL al WLC

*Dot1x_NW_MsgTask_3: Feb 22 12:43:12.192: f4:8c:50:62:14:6b dot1x - moving mobile f4:8c:50:62:14:6b into Connecting state
*Dot1x_NW_MsgTask_3: Feb 22 12:43:12.192: f4:8c:50:62:14:6b Sending EAP-Request/Identity to mobile f4:8c:50:62:14:6b (EAP Id 2)
*Dot1x_NW_MsgTask_3: Feb 22 12:43:12.192: f4:8c:50:62:14:6b Sending 802.11 EAPOL message  to mobile f4:8c:50:62:14:6b WLAN 3, AP WLAN 3
*Dot1x_NW_MsgTask_3: Feb 22 12:43:12.192: 00000000: 02 00 00 2a 01 02 00 2a  01 00 6e 65 74 77 6f 72  ...*...*..networ
*Dot1x_NW_MsgTask_3: Feb 22 12:43:12.192: 00000010: 6b 69 64 3d 65 61 70 5f  66 61 73 74 2c 6e 61 73  kid=eap_fast,nas
*Dot1x_NW_MsgTask_3: Feb 22 12:43:12.192: 00000020: 69 64 3d 6e 6f 2c 70 6f  72 74 69 64 3d 31        id=no,portid=1
*Dot1x_NW_MsgTask_3: Feb 22 12:43:13.720: f4:8c:50:62:14:6b Received 802.11 EAPOL message (len 46) from mobile f4:8c:50:62:14:6b
*Dot1x_NW_MsgTask_3: Feb 22 12:43:13.720: 00000000: 02 00 00 0e 02 02 00 0e  01 61 6e 6f 6e 79 6d 6f  .........anonymo
*Dot1x_NW_MsgTask_3: Feb 22 12:43:13.720: 00000010: 75 73 00 00 00 00 00 00  00 00 00 00 00 00 00 00  us..............
*Dot1x_NW_MsgTask_3: Feb 22 12:43:13.720: 00000020: 00 00 00 00 00 00 00 00  00 00 00 00 00 00        ..............
*Dot1x_NW_MsgTask_3: Feb 22 12:43:13.720: f4:8c:50:62:14:6b Received EAPOL EAPPKT from mobile f4:8c:50:62:14:6b
*Dot1x_NW_MsgTask_3: Feb 22 12:43:13.720: f4:8c:50:62:14:6b Received Identity Response (count=2) from mobile f4:8c:50:62:14:6b
*Dot1x_NW_MsgTask_3: Feb 22 12:43:13.720: f4:8c:50:62:14:6b Resetting reauth count 2 to 0 for mobile f4:8c:50:62:14:6b
*Dot1x_NW_MsgTask_3: Feb 22 12:43:13.720: f4:8c:50:62:14:6b EAP State update from Connecting to Authenticating for mobile f4:8c:50:62:14:6b
*Dot1x_NW_MsgTask_3: Feb 22 12:43:13.720: f4:8c:50:62:14:6b dot1x - moving mobile f4:8c:50:62:14:6b into Authenticating state
*Dot1x_NW_MsgTask_3: Feb 22 12:43:13.720: f4:8c:50:62:14:6b Entering Backend Auth Response state for mobile f4:8c:50:62:14:6b

Nome utente di identità non protetto rilevato nella richiesta RADIUS utilizzata durante la fase TLS

*Dot1x_NW_MsgTask_3: Feb 22 12:43:13.736: f4:8c:50:62:14:6b [BE-req] Sending auth request to 'RADIUS' (proto 0x140001), for RealmName anonymous (dot1xName :anonymous)
*aaaQueueReader: Feb 22 12:43:13.736: AuthenticationRequest: 0x7f0289e32690


*aaaQueueReader: Feb 22 12:43:13.736: 	Callback.....................................0xd6ceb3ef00

*aaaQueueReader: Feb 22 12:43:13.736: 	protocolType.................................0x00140001

*aaaQueueReader: Feb 22 12:43:13.736: 	proxyState...................................F4:8C:50:62:14:6B-03:01

*aaaQueueReader: Feb 22 12:43:13.736: 	Packet contains 20 AVPs:

*aaaQueueReader: Feb 22 12:43:13.736: 	    AVP[01] User-Name................................anonymous (9 bytes)

Autenticazione client completata

*radiusTransportThread: Feb 22 12:43:13.891: f4:8c:50:62:14:6b Processed VSA 311, type 17, raw bytes 52, copied 32 bytes
*radiusTransportThread: Feb 22 12:43:13.891: f4:8c:50:62:14:6b Access-Accept received from RADIUS server 10.48.39.128 (qid:11) with port:1812, pktId:0

Risoluzione dei problemi

  • Verificare che la casella di controllo Convalida identità server sia disattivata per il profilo client per il provisioning in banda anonimo o nel caso in cui il client non consideri attendibile il certificato del server.
  • Verificare che EAP-MSCHAPver2 sia selezionato come metodo autenticato nel profilo client per il provisioning in banda anonimo. Questo è l'unico metodo interno EAP applicabile nella fase zero per il provisioning in banda anonimo.
  • Verificare che le credenziali utente immesse sul lato client al momento dell'autenticazione siano già configurate nell'ISE e che il WLC sia stato aggiunto all'elenco dei dispositivi sull'ISE.
  • Verificare che il server ISE sia selezionato dal menu a discesa della rete WLAN (SSID).
  • In caso di problemi con l'autenticazione del client, vedere:
    • Log ISE live per informazioni dettagliate sul flusso di autenticazione
    • Informazioni di debug WLC:
      • debug client <indirizzo-mac>
      • debug aaa all enable
      • debug mac addr <indirizzo-mac>
      • debug dot1x all enable
TAC Authored

Contributo dei tecnici Cisco

  • Roman Manchur
    Cisco TAC Engineer

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti