none
Implementação 802.1x - EAP-TLS - Certificado de Máquina RRS feed

  • Pergunta

  • Bom dia a todos,
    meu nome é Tauer, sou novo aqui na comunidade e gostaria da ajuda de vocês.

    Estou implementando o uso de autenticação de maquina aqui na empresa.
    A idéia é: se uma pessoa chega com seu notebook e o pluga em nosso switch ele NAO consegue navegar na rede, até que sua máquina seja autenticada.

    Estou usando Switchs CISCO 3560 e suas configurações estão OK quanto a isso.
    Criei também um servidor IAS para as políticas.
    E também instalei o serviço de Certificado nessa mesma máquina do IAS.

    Pois bem,
    não sei o que tenho feito de errado ou o que deixei de fazer, mas ao plugar uma máquina no switch, que está dentro das políticas do IAS, o windows mostra essa mensagem: "o windows não conseguiu encontrar um certificado para fazer logon na rede".
    Estou usando o método de autenticação EAP-TLS.

    Não sei como as máquinas obtém esse certificado e como instalá-los...
    Gostaria que alguém pudesse me ajudar quanto a isso.
    O que devo fazer no servidor de certificado, talvez o erro esteja nele....ou...o que devo fazer nas máquinas clientes.....talvez o problema esteja nelas....sinceramente, não sei.

    Obrigado!!!
    sexta-feira, 13 de abril de 2007 14:43

Respostas

Todas as Respostas

  • Bom dai Tauer, as máquinas podem pegar os certificados via GPO. Para instalar manualmente e testar, abra o MMC, adicione o Snap-in certificados e selecione "conta do computador". Certifique-se que você é admin da máquina.

    Se o seu CA estiver on-line, vá até a pasta "pessoal/certificados" dentro no snap-in "Certificados", clique com o botão direito / todas as tarefas / solicitar novo certificado. Siga as instruções, não tem mistério. Lembre-se de publicar no CA um certificado do modelo computer.

    Uma vez feito isso vai aparecer o certificado no MMC, significa que a máquina está com o certifica instalado e pronto para uso. Verifique se o serviço "configuração zero sem fio" está ativo e se a placa de rede está configurada corretamente.

    Se o seu sistema operacional é o XP cuidado com o fast boot. O XP pode apresentar a tela de login antes da autenticação do computador ocorrer.

    Se ocorrerem outros problema sempre verifique os logs do switch e o event viewer do servidor que está com o IAS / CA. Caso encontre erros cole-os em um post aqui para a gente te ajudar.

    Sds,

    Leonardo Camata, CISSP


    quinta-feira, 19 de abril de 2007 13:57
  • Bom Dia.
    Bom, implementei esta solução de rede sem fio ligada ao active directory , com emissao de certificados aqui na empresa onde trabalho. A maioria das máquinas wireless funciona bem, até que um dia começam a apresentar o seguinte erro ao tentar se conectar à rede sem fio:
    "O windows nao encontrou um certificado valido para fazer login na rede XXXXXXX "
    A primeira vista pensei que a máquina tinha perdido seu certificado ou coisa assim. Verifiquei a autoridade certificadora e percebi que está tudo ok. Descobri que o problema é o seguinte:
    Na máquina com problemas, vou nas redes sem fio preferências, escolho a que eu mando entregar pra rede ( que é a minha ) e mando editar.
     Por algum motivo qualquer a opção que esta marcada é EAP type:  SMARTCARD, quando na verdade deveria estar PEAP.
    Quando mudo pra PEAP volta a funcionar e autenticar na rede sem fio.
    Já faz mais de um mês que estou brigando com esse problema, já chequei a política de grupo e lá esta tudo configurado certo, pra autenticar no modo PEAP, não sei porque a máquina de vez em quando perde essa configuração!
    Alguem tem alguma dica?
    quinta-feira, 21 de junho de 2007 13:43
  • Pessoal boa noite,

     

    Nesse forum vi que voces conseguiram colocar os switches cisco para funcionar com 802.1x com o IAS, aqui na empresa estou tentando fazer isso mas nao estou conseguindo.

     

    Ja pesquisei na internet mas nao estou conseguindo.

     

    Quando tente

     

    Erro do Event Viewer:

     

    A signature attribute is required in Access-Requests from client 172.22.2.55.

     

     

    A mesma chave do ias e do switch estão iguais e aparece esse erro.

     

    Ao tirar a configuração de chave e esse some mas eu nao consigo executar um telnet para o switch com os usuarios o IAS e tambem nao autentica no 802.1x.

     

    Voces poderiam me ajudar?

     

    Obrigado,

     

    Flavio

     

    sexta-feira, 28 de setembro de 2007 21:00
  • Você precisa configurar um filter id na politica do ias informando qual novel de gerencia o usuario vai ter no acesso ao switch

    mgmt=su

    mgmt=rw

    mgmt=ro

    domingo, 18 de janeiro de 2009 02:34