交换机使用PEAP及EAP

1、设备情况：Cisco Catalyst 2950T-24 交换机，Version 12.1(22)EA1b一台 windows 2000 Server SP1 服务器做为 AD Server 及 CA Server一台 Windows 2000 Server SP4 服务器做为 ACS Server一台Windows XP SP2工作站做为终端接入设备Cisco Secure ACS for Windows version 3.2.3严重说明：因为MS CA证书服务的一个缺陷，在某些客户机上使用WEB页面进行证 书申请时会出现“Downloading ActiveX Control”提示信息后

2、不能继续下一步的错误， 请参阅MS QB323172下载相关补丁进行处理，并请参阅文末的tips：/default.ASPx?.kb;en-us;330389/default.aspx?.kb;en-us;323172拓扑图见下:WIN2K AD Server96ACS Server 55CAT2950T 50WINXP PC68i营风网结htt p：/irtwW.vipc n. com传统802.1x认证采用MD5-Challenge认证，用户在接入网络时需输入用户名和口 令，安全性也相对薄弱。PEAP和EAP-TLS都是利用了 TLS/SSL隧道，PEAP只使用了服 务器端的认证，只是服务

3、器端拥有证书并向用户提供证实，而EAP-TLS使用了双向认证， ACS服务器和客户端均拥有证书并进行相互间的身份证实。一、配置 Secure ACS1、在ACS服务器上申请证书在AD Server上做好AD安装及证书服务设置后，在ACS服务器浏览器上键入 96/certsrv进入证书WEB申请页面，登录用户采用域治理用户账 号。选择 “Request a certificateAdvanced requestSubmit a certificate request to this CA using a form”，接下来 Certificate Template 处选择 “Web Server

4、”, Name :处填入 “TestACS”，Key Options: 下 的 Key Size:填入 “1024”，同 时勾选 “Mark keys as exportable”及 “Use local machine store”两个选项，然后 submit。出现安全警告时均选择“Yes”，进行到最后会有Certificate Installed的 提示信息；2、进行ACS的证书配置进 入 ACS 配 置界面 后选择 “System ConfigurationACS Certificate SetupInstall ACS CertificateUse certificate from s

5、torageCertificate CN”，填入上一步的 CA CN 名 “TestACS”，然后 submit；3、配置ACS所信任的CA再选择 “System ConfigurationACS Certificate SetupEdit Certificate Trust List”，选择AD Server上的根证书做为信任证书；4、重启ACS服务并进行PEAP设置选择 “System ConfigurationService ControlRestart重启服务；选择 “System ConfigurationGlobal Authentication Setup，勾选 “Allow E

6、AP-MSCHAPv2及 “Allow EAP -GTC选项，同时勾选 “Allow MS -CHAP Version 1 Authentication”及 “Allow MS-CHAP Version 2 Authentication”选项；5、配置 AAA Client选择 “Network ConfigurationAdd Entry，在 “AAA Client”处输入交换机的 主机名，“AAA Client IP Address处输入C2950T的治理IP地址，在“Key处输入 RADIUS 认证密钥 ,“Authenticate Using ”处选择 “RADIUS(IETF)；6、

7、配置外部用户数据库选择 “External User DatabasesDatabase ConfigurationWindows DatabaseCreate New ConfigurationConfigure,在 Configure Domain List 处 将ACS Server所在的域名移动到“Domain List”中。这里要注重的一点是ACS Server 所在机器这时应已加入到域中，同时“Dialin Permission”中的默认勾选项应去掉， 如不去掉的话，域治理用户和终端用户均需设置Dial-in访问权限。同时在 “Windows EAP Settings”的 “Mac

8、hine Authentication下勾选 “Enable PEAP machine authentication ”选项，“EAP-TLS and PEAP machine authentication name prefix. ”处使用默认的“host/不用改动。再选择 “External User DatabasesUnknown User PolicyCheckthe following external user databases，将 “Windows Database from External Databases移 动到右边的Selected Databases窗口中。做完修

9、改后再在Service Control中重启服务；二、配置AAA客户端及802.1xaaa new-modelaaa authentication dotlx default group radiusaaa authorization network default group radius!-和802.1x相关的AAA设置dot1x system-auth-control! 打开802.1x功能interface FastEthernet0/2switchport mode Accessdot1x port-control autospanning-tree portfast!-在F0/2

10、口上打开802.1x端口控制功能radius-server host 55 key xxxxxx!-定义 RARIUS Server三、配置终端接入设备1、在 AD Server 上配置 MS Certificate Machine Autoenrollment在 AD Server 的治理工具中打开 “Active Directory Users and Computers”，在 域名 上点右键选择 Properties ,然 后选择 “Group PolicyDefault Domain PolicyEdit”，然后选择 “Computer ConfigurationWindows Set

11、tingsSecurity SettingsPublic Key PoliciesAutomatic Certificate Request Settings, 在 菜单项中选择 “ActionNewAutomatic Certificate RequestComputer”，选中 CA 服务器后按下一步结束配置；2、将终端设备加入域这个过程大家都会，不多说了；3、在终端设备上手动安装根证书如已配置 “Certificate Machine Autoenrollment”，此步骤可忽略。登录域后在浏览器上键入96/certsrv进入证书WEB申请页 面，登录用户采用域治理用户账号。选择 “Re

12、trieve the CA certificate or certificate revocation listDownload CA certificate Install CertificateAutomatically select the certificate store based on the type of the certificate ”，按下一步结束证书安装；4、进行终端设备上的802.1x认证设置在以太网卡的连接属性中选择 “AuthenticationEnable IEEE 802.1x authentication for this network”，EAP typ

13、e 选为 “Protected EAP(PEAP)，勾选 “Authenticate as computer when computer information is available ”，然后再 点 Properties，在 EAP 属性窗口中选择 “Validate server certificate”，同时在 “Trusted Root Certificastion Authorities:窗口中选择对应的ROOT CA，这里为 acs-ca, Authentication Method 选成 “Secure passWord (EAP-MSCHAP v2)”。再点 Configur

14、e 按钮确保 “Automatically use my Windows bgon name and password (and domain if any) ”选项已被选中;四、结果查看所有配置完成后查看认证结果：Switch#sh dot1x int f0/2Supplicant MAC AuthSM State = CONNECTINGBendSM State = IDLEPortStatus = UNAUTHORIZEDMaxReq = 2HostMode = SinglePort Control = AutoQuietPeriod = 60 SecondsRe-authenticat

15、ion = DisabledReAuthPeriod = 3600 SecondsServerTimeout = 30 SecondsSuppTimeout = 30 SecondsTxPeriod = 30 SecondsGuest-Vlan = 0Switch#sh dot1x int f0/2Supplicant MAC 000b.6a2a.03cbAuthSM State = AUTHENTICATINGBendSM State = RESPONSEPortStatus = UNAUTHORIZEDMaxReq = 2HostMode = SinglePort Control = Au

16、toQuietPeriod = 60 SecondsRe-authentication = DisabledReAuthPeriod = 3600 SecondsServerTimeout = 30 SecondsSuppTimeout = 30 SecondsTxPeriod = 30 SecondsGuest-Vlan = 0Switch#sh dot1x int f0/2Supplicant MAC 000b.6a2a.03cbAuthSM State = AUTHENTICATEDBendSM State = IDLEPortStatus = AUTHORIZEDMaxReq = 2H

17、ostMode = SinglePort Control = AutoQuietPeriod = 60 SecondsRe-authentication = DisabledReAuthPeriod = 3600 SecondsServerTimeout = 30 SecondsSuppTimeout = 30 SecondsTxPeriod = 30 SecondsGuest-Vlan = 0!-认证通过查看终端设备网络连接提示，此时已为“Authentication sUCceeded.”五、TIPS*注重Windows客户端在安装根证书时应保持和网络的正常连接，如此时在端口上 设置了 8

18、02.1x，则网络是断开的；AD Server上的证书服务应在IIS服务安装之后再装，否则certificate web enrollment不能成功；MS QB323172 hotfix应在证书服务安装之后再进行，如已安装了此hotfix后才 安装证书服务，则需在安装证书服务后再安装一遍此hotfix；MS QB323172 hotfix是针对Windows SP3以前的补丁，如已安装了 SP4则此hotfix 不能安装。但我装了 SP4后“Downloading ActiveX Control”出错信息仍然存在，只 好用SP1的版本安装后再装此hotfix问题方消除，不知何故；*如是在实际

19、环境中使用，应确保AAA client到AAA server的UDP 1812/1813端 口没被无意中被block；ACS版本应尽量新，因为那个众所周知的Java出错问题，安装ACS机器的OS最 好是E文版的OS；*配置ACS Server前先确保ACS Server已加入到域中；ACS Server中的 “Reports and ActivityFailed AttemptsFailed Attempts XXX.csv”能给你些认证出错上的帮助；*最后的最后,ACS Server和Windows客户机上的安装证书可通过MMC中的Console RootCertificates (Loca

20、l Computer) Trusted Root Certification AuthoritiesCertificates及Console RootCertificates - Current UserTrusted Root Certification AuthoritiesCertificates 进行校验。EAP-TLS的配置和PEAP是类似的，唯一不同的是Windows客户机上要多做一次证书 申请的过程，同时ACS Server上的协议勾选为EAP-TLS即可，EAP-TLS的配置一、配置 Secure ACS1、在ACS服务器上申请证书同PEAP部分；2、进行ACS的证书配置 同

21、PEAP；3、配置ACS所信任的CA同 PEAP；4、重启ACS服务并进行EAP-TLS设置选择 “System ConfigurationService ControlRestart”重启服务；选择 “System ConfigurationGlobal Authentication Setup”，勾选 “Allow EAP-TLS” 选项，同 时勾选 “Certificate SAN comparision”、“Certificate CN comparision”及 “Certificate Binary comparision”选项；5、配置 AAA Client同 PEAP；6、配置

22、外部用户数据库同 PEAP。唯一不同是在 “Windows EAP Settings”的 “Machine Authentication” 下勾选 “Enable EAP-TLS machine authentication” 选项， “EAP-TLS and PEAP machine authentication name prefix. ”处使用默认的 “host/”不用改动；二、配置AAA客户端及802.1x同 PEAP三、配置终端接入设备1、在 AD Server 上配置 MS Certificate Machine Autoenrollment同 PEAP；2、将终端设备加入域同 PEAP；3、为终端设备申请证书在ACS服务器浏览器上键入96/certsrv进入证书WEB申请 页面，登录用户采用当前用户账号。选择 “