linux使用eaptls方式,使用WLC和ISE了解并配置EAP-TLS
简介
本文档介绍如何使用可扩展身份验证协议(EAP) — 传输层安全(TLS)来设置具有802.1x安全性的无线局域网(WLAN)。
先决条件
要求
Cisco 建议您了解以下主题:
802.1x身份验证过程
证书
使用的组件
本文档中的信息基于以下软件和硬件版本:
WLC 5508版本8.3
身份服务引擎(ISE)版本2.1
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
EAP-TLS流
EAP-TLS流中的步骤
无线客户端与接入点(AP)关联。
AP不允许客户端此时发送任何数据并发送身份验证请求。
请求方随后使用EAP响应身份进行响应。然后,WLC将用户ID信息传达给身份验证服务器。
RADIUS服务器使用EAP-TLS启动数据包响应客户端。EAP-TLS会话从此开始。
对等体将EAP-Response发送回包含“client_hello”握手消息的身份验证服务器,该握手消息为NULL设置。
身份验证服务器以包含以下内容的访问质询数据包作出响应:
TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done.
客户端以包含以下内容的EAP-Response消息进行响应:
Certificate ¬ Server can validate to verify that it is trusted.
client_key_exchange
certificate_verify ¬ Verifies the server is trusted
change_cipher_spec
TLS finished
在客户端成功进行身份验证后,RADIUS服务器会以Access-challenge响应,该Access-challenge包含“change_cipher_spec”和握手完成消息。收到此消息后,客户端将验证散列以验证RADIUS服务器。在TLS握手期间,新加密密钥会从密钥中动态派生。
此时,启用EAP-TLS的无线客户端可以访问无线网络。
配置
思科无线局域网控制器
步骤1.第一步是在Cisco WLC上配置RADIUS服务器。要添加RADIUS服务器,请导航至Security > RADIUS > Authentication。单击New,如图所示。
步骤2.在此,您需要输入IP地址和用于验证ISE上WLC的共享密钥。单击Apply以继续,如图所示。
步骤3.为RADIUS身份验证创建WLAN。
现在,您可以创建新的WLAN并将其配置为使用WPA — 企业模式,以便它可以使用RADIUS进行身份验证。
步骤4.从主菜单中选择WLAN,选择Create New,然后单击Go,如图所示。
步骤5.让我们为新的WLAN EAP命名。单击Apply以继续,如图所示。
步骤6.单击“常规”,确保“状态”为“已启用”。默认安全策略为802.1X身份验证和WPA2,如图所示。
步骤7.现在,导航至Security > AAA Servers选项卡,选择您刚配置的RADIUS服务器,如图所示。
注意:在继续之前,最好验证您可以从WLC访问RADIUS服务器。RADIUS使用UDP端口1812(用于身份验证),因此您需要确保此流量不会在网络的任何位置被阻止。
带Cisco WLC的ISE
EAP-TLS设置
要构建策略,您需要创建允许的协议列表以在策略中使用。由于写入了dot1x策略,因此请根据策略的配置方式指定允许的EAP类型。
如果使用默认值,则允许大多数EAP类型进行身份验证,如果需要锁定对特定EAP类型的访问,则可能不是首选。
步骤1.导航至Policy > Policy Elements > Results > Authentication > Allowed Protocols,然后单击Add,如图所示。
步骤2.在此Allowed Protocol列表中,可以输入列表的名称。在这种情况下,Allow EAP-TLS 框被选中,其他框则被取消选中,如图所示。
ISE上的WLC设置
步骤1.打开ISE控制台并导航至Administration > Network Resources > Network Devices > Add,如图所示。
步骤2.输入图中所示的值。
在ISE上创建新用户
步骤1.导航至Administration > Identity Management > Identities > Users > Add,如图所示。
步骤2.输入图中所示的信息。
ISE上的信任证书
步骤1.导航至Administration > System > Certificates > Certificate Management > Trusted certificates。
单击Import将证书导入ISE。添加WLC并在ISE上创建用户后,您需要执行EAP-TLS中最重要的部分,即在ISE上信任证书。为此,我们需要生成CSR。
步骤2.导航至Administration > Certificates > Certificate Signing Requests > Generate Certificate Signing Requests(CSR),如图所示。
步骤3.要生成CSR,请导航至Usage,并从Certificate(s)will be used for下拉选项中选择EAP Authentication,如图所示。
步骤4.可以查看在ISE上生成的CSR。单击View,如图所示。
步骤5.生成CSR后,浏览CA服务器,然后点击Request a certificate(请求证书),如图所示:
步骤6.请求证书后,您将获得用户证书和高级证书请求的选项,单击高级证书请求,如图所示。
步骤7.粘贴在Base-64编码的证书请求中生成的CSR。从证书模板:下拉选项,选择“Web Server”,然后单击提交,如图所示。
步骤8.单击Submit后,即可选择选择证书类型,选择Base-64编码,然后单击Download certificate chain,如图所示。
步骤9. ISE服务器的证书下载已完成。您可以提取证书,证书将包含两个证书,一个根证书和其他中间证书。根证书可以在Administration > Certificates > Trusted certificates > Import下导入,如图所示。
步骤10.单击Submit后,证书将添加到受信任证书列表。此外,需要中间证书才能与CSR绑定,如图所示。
步骤11.单击Bind certificate后,可以选择保存在桌面中的证书文件。浏览到中间证书,然后单击Submit,如图所示。
步骤12.要查看证书,请导航至Administration > Certificates > System Certificates,如图所示。
EAP-TLS的客户端
在客户端(Windows桌面)上下载用户证书
步骤1.要通过EAP-TLS对无线用户进行身份验证,您必须生成客户端证书。将Windows计算机连接到网络,以便您能够访问服务器。打开Web浏览器并输入以下地址:https://sever ip addr/certsrv—
步骤2.请注意,CA必须与为ISE下载证书的CA相同。
为此,您需要浏览用于下载服务器证书的同一CA服务器。在同一CA上,单击Request a certificate(请求证书),但是,这次您需要选择User(用户)作为Certificate Template(证书模板),如图所示。
步骤3.然后,按照以前对服务器执行的步骤单击下载证书链。
获得证书后,请按照以下步骤在Windows笔记本电脑上导入证书:
步骤4.要导入证书,您需要从Microsoft管理控制台(MMC)访问该证书。
要打开MMC,请导航至“开始”>“运行”>“MMC”。
导航至“文件”>“添加/删除管理单元”
双击“Certificates”。
选择计算机帐户。
选择“本地计算机”>“完成”
单击OK以退出“管理单元”窗口。
单击Certificates > Personal > Certificates旁边的[+]。
右键单击“证书”并选择“所有任务”>“导入”。
单击 Next。
单击浏览。
选择要导入的.cer、.crt或.pfx。
单击 Open(打开)。
单击 Next。
选择Automatically select the certificate store based the certificate type。
单击“完成”和“确定”
证书导入完成后,您需要为EAP-TLS配置无线客户端(本例中为windows桌面)。
EAP-TLS的无线配置文件
步骤1.更改之前为受保护的可扩展身份验证协议(PEAP)创建的无线配置文件,以便改用EAP-TLS。单击EAP无线配置文件。
步骤2.选择Microsoft:智能卡或其他证书,然后单击图像中显示的OK。
步骤3.单击设置,然后选择从CA服务器颁发的根证书,如图所示。
步骤4.单击Advanced Settings,并从802.1x设置选项卡中选择User或computer authentication,如图所示。
步骤5.现在,尝试再次连接到无线网络,选择正确的配置文件(本例中为EAP)并连接。您已连接到无线网络,如图所示。
验证
使用本部分可确认配置能否正常运行。
步骤1.客户端策略管理器状态应显示为RUN。这意味着客户端已完成身份验证,已获取IP地址,并且已准备好通过映像中显示的流量。
步骤2.在客户端详细信息页面中,如图所示,在WLC上验证EAP方法是否正确。
步骤3.以下是来自控制器CLI的客户端详细信息(输出已修剪):
(Cisco Controller-Standby) >show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... 00:d7:8f:52:db:a0
AP Name.......................................... Alpha2802_3rdfloor
AP radio slot Id................................. 0
Client State..................................... Associated
Wireless LAN Id.................................. 5
Wireless LAN Network Name (SSID)................. EAP
Wireless LAN Profile Name........................ EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ 00:d7:8f:52:db:a4
Connected For ................................... 48 secs
Channel.......................................... 1
IP Address....................................... 10.106.32.239
Gateway Address.................................. 10.106.32.1
Netmask.......................................... 255.255.255.0
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS
步骤4.在ISE上,导航至Context Visibility > End Points > Attributes,如图所示。
故障排除
目前没有针对此配置的故障排除信息。
linux使用eaptls方式,使用WLC和ISE了解并配置EAP-TLS相关推荐
- 远程登录linux服务器的方式(telnet,ssh,ftp)
远程登录linux服务器的方式(telnet,ssh,ftp),其中linux服务器为服务端,你登录的电脑是客户端,对应登录的软件多重多样自己找. 一.telnet -server-0.17-25.i ...
- Linux Systemcall Int0x80方式、Sysenter/Sysexit Difference Comparation
时间 2014-11-20 22:30:00 博客园_.Little Hann 原文 http://www.cnblogs.com/LittleHann/p/4111692.html 主题 Lin ...
- linux下rpm方式安装mysql(2012-5-12)
由于感觉前几篇博客中关于linux下rpm方式安装mysql的方法问题太多,今天抽时间重新实践和整理了一下,现在拿出来和大家分享,希望对家有用. 系统环境: Rat had enterprise li ...
- linux 查看日志_干货 | 名企高频考点之谈谈Linux日志查看方式都有哪些
点击蓝字关注我哦 以下是本期干货视频视频后还附有文字版本哦 ▼<名企高频考点-谈谈Linux日志查看方式都有哪些>▼ ps:请在WiFi环境下打开,如果有钱任性请随意 0.概述 在我们面试 ...
- linux的安装方式(一)
一.RedHat/fedora linux的安装方式 1.光盘安装,插入安装光盘,直接安装即可 2.硬盘安装 3.网络安装:NFS方式.Http方式.Ftp,需要要PXE网卡的支持 除光盘安装方式外, ...
- linux系统命令行方式复制文件
linux系统命令行方式复制文件 cp 绝对路径/旧文件名 绝对路径/新文件名 cp home/01.py etc/01.py .py是文件格式 如你的是.txt cp home/01.txt etc ...
- Linux下IPC方式之共享存储映射(mmap)
Linux下IPC方式之共享存储映射(mmap) 1. 共享存储映射(mmap) 2. mmap九问 3. mmap实现父子进程通信 4. 匿名映射 5. mmap实现无血缘进程通信 1. 共享存储映 ...
- 腾讯云Windows/Linux服务器登录方式及密码获取方法
腾讯云服务器操作系统不同登录方式也不同,Windows服务器只能是密码登录,Linux服务器可选密码登录也可以选择SSH密匙登录,腾讯云百科来详细说下腾讯云服务器登录方式及密码查看获取方法: 腾讯云服 ...
- Linux 解压方式总结
Linux 解压方式总结 作者:解琛 时间:2020 年 8 月 17 日 Linux 解压方式总结 一..tar 1.1 解包 1.2 打包 二..gz 2.1 解压 2.2 解压 2.3 压缩 三 ...
最新文章
- 虚拟机vs裸金属服务器,裸金属是虚拟机还是物理机
- 正则化方法:防止过拟合,提高泛化能力
- Linux下的文件共享全攻略系列之一:Samba服务器简介与快速配置指南
- java 多线程取一条记录_java多线程从队列中取出数据执行
- html字符串长度函数,最常用的20个javascript方法函数
- php 调用图,php 缩略图类(附调用示例)
- Impala系列:Impala查询优化
- 时钟同步服务器性能,GPS时间同步概述-GPS同步时钟的适应范围-GPS同步的优缺点-NTP服务器|同步时钟|子母钟|数显钟|GPS时间同步...
- 应该将composer.lock致力于版本控制吗?
- npm run build:具体
- CSS3 transform 2D变幻,过渡
- docker下安装kong和konga
- python保存数据框_将pandas数据框的“Out[]表保存为figu
- Laxcus大数据管理系统2.0(11)- 第九章 容错
- cocos2d-x传智播客_Hanselminutes播客167-与Jeremy Miller进行的配置约定
- 鸿蒙之始 那个软件能播,智能电视安装这几款直播软件就够了,全是HD画质,还支持回看!...
- 用python一键保存几千张表情包斗图,分分钟征服朋友圈所有好友
- S7netplus通信开发及西门子S7 PLC设置
- 比利时研制全息图像电视 可取代现有3D技术
- 提升brew下载速度