在无线局域网控制器上使用 eap-fast 和ldap.pdfVIP

在无线局域网控制器上使用 EAP-FAST 和 LDAP 服务器配置本地 EAP 认证的配置示例 目录 简介 先决条件 要求 使用的组件 规则 背景信息 配置 网络图 配置 在 WLC 上将 EAP-FAST 配置为本地 EAP 身份验证方法 为 WLC 生成设备证书 将设备证书下载到 WLC 上 将 PKI 的根证书安装到 WLC 中 为客户端生成设备证书 为客户端生成根 CA 证书 在 WLC 上配置本地 EAP 配置 LDAP 服务器 在域控制器上创建用户 为 LDAP 访问配置用户 使用 LDP 来标识用户属性 配置无线客户端 验证 故障排除 相关信息 简介 本文解释如何通过在无线局域网控制器(WLC)的获取建立隧道(法塞特)本地EAP验证配置可扩展的认 证协议(EAP) -灵活验证。本文档还说明了如何将 Lightweight Directory Access Protocol (LDAP) 服 务器配置为本地 EAP 的后端数据库，以便检索用户凭证并对用户进行身份验证。 先决条件 要求 本文档没有任何特定的要求。 使用的组件 本文档中的信息基于以下软件和硬件版本： 运行固件 4.2 的 Cisco 4400 系列 WLC Cisco Aironet 1232AG系列轻量级接入点(LAP) 配置为域控制器、LDAP 服务器以及证书颁发机构服务器的 Microsoft Windows 2003 Server。 运行固件 4.2 版的 Cisco Aironet 802.11 a/b/g 客户端适配器 Cisco Aironet Desktop软件(ADU)该运行固件版本4.2 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 无线局域网控制器 版在无线局域网控制器上引入了本地 EAP 身份验证。 本地 EAP 是一种允许在控制器上对用户和无线客户端进行本地身份验证的身份验证方法。当后端系 统中断或外部身份验证服务器停机时，它用于要与无线客户端保持连接的远程办事处。当您启用本 地 EAP 时，控制器担当身份验证服务器和本地用户数据库，因此它无需依赖于外部身份验证服务器 。本地 EAP 从本地用户数据库或 LDAP 后端数据库检索用户凭证，以便对用户进行身份验证。本 地 EAP 在控制器与无线客户端之间支持 LEAP、EAP-FAST、EAP-TLS、P EAPv0/MSCHAPv2 和 PEAPv1/GTC 身份验证。 本地 EAP 可以将 LDAP 服务器用作其后端数据库，用来检索用户凭证。 LDAP 后端数据库允许控制器向 LDAP 服务器查询特定用户的凭证（用户名和密码）。然后使用这 些凭证对用户进行身份验证。 LDAP 后端数据库支持以下本地 EAP 方法： EAP-FAST/GTC EAP-TLS PEAPv1/GTC。 只有在 LDAP 服务器设置为返回明文密码时 ，还支持 LEAP、EAPFAST/MSCHAPv2 和 PEAPv0/MSCHAPv2。例如，不支持 Microsoft Active Directory，因为它不返回明文密码。如果 LDAP 服务器不能配置为返回明文密码，则不支持 LEAP、EAPFAST/MSCHAPv2 和 PEAPv0/MSCHAPv2。 注意： 如果在控制器上配置了任何 RADIUS 服务器，则控制器将首先尝试用 RADIUS 服务器对无 线客户端进行身份验证。只有在因 RADIUS 服务器超时或未配置任何 RADIUS 服务器而找不到任 何 RADIUS 服务器时才尝试本地 EAP。如果配置了四个 RADIUS 服务器，则控制器将尝试用第一 个 RADIUS 服务器对客户端进行身份验证，然后尝试第二个 RADIUS 服务器，最后尝试本地 EAP。如果随后客户端重新尝试手动进行身份验证，控制器将尝试第三个 RADIUS 服务器，然后尝 试第四个 RADIUS 服务器，最后尝试本地 EAP。 本示例在 WLC 上使用 EAP-FAST 作为本地 EAP 方法，该方法又配置为从 LDAP 后端数据库查询 无线客户端的用户凭证。 配置 本文档将 EAP-FAST 与客户端和服务器端上的证书配合使用。对于此，设置使用微软认证授权 (CA)服务器生成客户端和服务器证书。 用