本地RADIUS服务器上的LEAP身份验证.PDFVIP

本地 RADIUS 服务器上的 LEAP 身份验证 目录 简介 先决条件 要求 组件 规则 本地 RADIUS 服务器功能概述 配置 CLI 配置 GUI 配置 验证 故障排除 故障排除步骤 故障排除命令 相关信息 简介 本文为轻量级扩展身份认证协议(LEAP)验证提供一配置示例在IOS基于®的接入点，为无线客户端服 务，以及作为一个本地RADIUS服务器。此配置适用于运行 12.2(11)JA 或更高版本的 IOS 接入点。 先决条件 要求 尝试进行此配置之前，请确保满足以下要求： 熟悉 IOS GUI 或 CLI 熟悉与 LEAP 身份验证有关的概念 组件 本文档中的信息基于以下软件和硬件版本。 Cisco Aironet 1240AG 系列接入点 Cisco IOS 软件版本 12.3(8)JA2 运行 Aironet Desktop Utility 22 的 Cisco Aironet 802.11 a/b/g 无线适配器 假设网络中仅有一个 VLAN 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 本地 RADIUS 服务器功能概述 通常将使用一个外部 RADIUS 服务器度用户进行身份验证。在某些情况下，这不是一个可行的解决 方案。此时，可让一个接入点充当 RADIUS 服务器。将按照在接入点中配置的本地数据库来对用户 进行身份验证。此功能称为本地 RADIUS 服务器功能。您也可让网络中的其他接入点使用某个接入 点上的本地 RADIUS 服务器功能。有关这方面的详细信息，请参阅配置其他接入点以使用本地身份 验证器。 配置 该配置描述了如何在某个接入点上配置 LEAP 和本地 Radius 服务器功能。本地 RADIUS 服务器功 能是在 Cisco IOS 软件版本 12.2(11)JA 中推出的。有关如何通过外部 RADIUS 服务器来配置 LEAP 的背景信息，请参阅 RADIUS 服务器的 LEAP 身份验证。 与大多数基于口令的身份验证算法一样，Cisco LEAP 很容易受到字典攻击。这并不涉及新型攻击 或意味着 Cisco LEAP 的新漏洞。为了缓解字典攻击，您必须创建强口令策略，其中包括强口令和 频繁使用的新口令。有关字典攻击和如何阻止此类攻击的详细信息，请参阅对 Cisco LEAP 的字典 攻击。 本文档假设 CLI 和 GUI 均使用以下配置： 1. 接入点的 IP 地址为 94。 2. 所用的 SSID 是 cisco ，它将映射到 VLAN 1 。 3. 用户名是 user1 和 user2 ，它们将映射到组 Testuser。 CLI 配置 接入点 ap#show running-config Building configuration... . . . aaa new-model ! This command reinitializes the authentication, ! authorization and accounting functions. ! ! aaa group server radius rad_eap server 94 auth-port 1812 acct-port 1813 ! A server group for RADIUS is created called rad_eap ! that uses the server at 94 on ports 1812 and 1813. . . . aaa authentication login eap_methods group rad_eap ! Authentication [user validation] is to be done for ! users in a group called eap_methods who use server group rad_eap. . . . ! bridge irb ! interface Dot11Radio0 no ip address no ip route-cache ! encryption vlan 1 key 1 size 128bit 12345678901234567890123456 transmit-key !T