思科在无线局域网控制器上使用 EAP-FAST 和 LDAP 服务器配置本地EAP 认证的配置示例.pdf

在无线局域网控制器上使用 EAP-FAST 和 LDAP 服务器配置本地 EAP 认证的配置示例 内容 前言 前提条件      需求      使用的组件      惯例 背景信息 配置      网络图 配置 在 WLC 上将 EAP-FAST 配置为本地 EAP 身份验证方法      为 WLC 生成设备证书      将设备证书下载到 WLC 上      将 PKI 的根证书安装到 WLC 中      为客户端生成设备证书      为客户端生成根 CA 证书      在 WLC 上配置本地 EAP 配置 LDAP 服务器      在域控制器上创建用户      为 LDAP 访问配置用户 使用 LDP 来标识用户属性 配置无线客户端 验证 排除故障 相关信息 前言 本文解释如何通过在无线局域网控制器(WLC)的获取建立隧道(法塞特)本地EAP验证配置可扩展的认证协议(EAP) -灵活验证。本文也 解释如何配置轻量级目录访问协议(LDAP)服务器作为本地EAP的后端数据库到检索用户凭证和验证用户。 前提条件 需求 本文档没有任何特定的要求。 使用的组件 本文档中的信息基于以下软件和硬件版本： 运行固件 4.2 的 Cisco 4400 系列 WLC Cisco Aironet 1232AG系列轻量级接入点(LAP) 配置为域控制器、LDAP 服务器以及证书颁发机构服务器的 Microsoft Windows 2003 Server。 运行固件 4.2 版的 Cisco Aironet 802.11 a/b/g 客户端适配器 Cisco Aironet Desktop软件(ADU)该运行固件版本4.2 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是 真实网络，请确保您已经了解所有命令的潜在影响。 惯例 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 无线局域网控制器 版在无线局域网控制器上引入了本地 EAP 身份验证。 本地 EAP 是一种允许在控制器上对用户和无线客户端进行本地身份验证的身份验证方法。当后端系统中断或外部身份验证服务器停 机时，它用于要与无线客户端保持连接的远程办事处。当您启用本地 EAP 时，控制器担当身份验证服务器和本地用户数据库，因此 它无需依赖于外部身份验证服务器。本地 EAP 从本地用户数据库或 LDAP 后端数据库检索用户凭证，以便对用户进行身份验证。本 地 EAP 在控制器与无线客户端之间支持 LEAP、EAP-FAST、EAP-TLS、P EAPv0/MSCHAPv2 和 PEAPv1/GTC 身份验证。 本地 EAP 可以将 LDAP 服务器用作其后端数据库，用来检索用户凭证。 LDAP 后端数据库允许控制器向 LDAP 服务器查询特定用户的凭证（用户名和密码）。然后使用这些凭证对用户进行身份验证。 LDAP 后端数据库支持以下本地 EAP 方法： EAP-FAST/GTC EAP-TLS PEAPv1/GTC。 只有在 LDAP 服务器设置为返回明文密码时，还支持 LEAP、EAPFAST/MSCHAPv2 和 PEAPv0/MSCHAPv2。例如，不支持 Microsoft Active Directory，因为它不返回明文密码。如果 LDAP 服务器不能配置为返回明文密码，则不支持 LEAP、EAPFAST/MSCHAPv2 和 PEAPv0/MSCHAPv2。 注意： 如果在控制器上配置了任何 RADIUS 服务器，则控制器将首先尝试用 RADIUS 服务器对无线客户端进行身份验证。只有在因 RADIUS 服务器超时或未配置任何 RADIUS 服务器而找不到任何 RADIUS 服务器时才尝试本地 EAP。如果配置了四个 RADIUS 服务 器，则控制器将尝试用第一个 RADIUS 服务器对客户端进行身份验证，然后尝试第二个 RADIUS 服务器，最后尝试本地 EAP。如果随 后客户端重新尝试手动进行身份验证，控制器将尝试第三个 RADIUS 服务器，然后尝试第四个 RADIUS 服务器，最后尝试本地 EAP。 本示例在 WLC 上使用 EAP-FAST 作为本地 EAP 方法，该方法又配置为从 LDAP 后端数据库查询无线客户端的用户凭证。 配置 本文