Ajude-nos a melhorar a sua experiência.

Conte-nos a sua opinião.

Tem dois minutos para uma pesquisa?

close
keyboard_arrow_left
list Table of Contents
keyboard_arrow_right

Esta tradução automática foi útil?

starstarstarstarstar
Go to English page
ISENÇÃO DE RESPONSABILIDADE:

Esta página será traduzida com software de tradução por máquina de terceiros. Embora esforços razoáveis tenham sido feitos para fornecer uma tradução de qualidade, a Juniper Networks não pode garantir sua exatidão. Se houver dúvidas sobre a exatidão das informações contidas nesta tradução, consulte a versão em inglês. O PDF para download está disponível apenas em inglês.

Configuração do PEAP para autenticação MAC RADIUS

date_range 03-Aug-24

O Extensible Authentication Protocol (EAP) é um protocolo extensível que oferece suporte a vários métodos de autenticação, incluindo métodos de autenticação baseados em senha e métodos de autenticação mais seguros baseados em certificados. O EAP facilita a negociação entre o autenticador, ou dispositivo de comutação e o servidor de autenticação, para determinar qual método de autenticação usar para um suplicante. O método de autenticação padrão usado para autenticação MAC RADIUS é EAP-MD5, no qual o servidor envia ao cliente um valor de desafio aleatório, e o cliente prova sua identidade apresentando o desafio e sua senha com MD5. Como o EAP-MD5 só fornece autenticação do cliente e não para autenticação de servidor, ele pode ser vulnerável a ataques spoofing.

Você pode configurar o protocolo de autenticação extensível protegida, também conhecido como EAP protegido ou simplesmente PEAP, para atender às vulnerabilidades de segurança do EAP-MD5. O PEAP é um protocolo que encapsula pacotes EAP em um túnel de segurança de camada de transporte (TLS) criptografado e autenticado. O PEAP é referido como o protocolo de autenticação externa porque configura o túnel e não está diretamente envolvido com a autenticação dos endpoints. O protocolo de autenticação interna, usado para autenticar o endereço MAC do cliente dentro do túnel, é o Microsoft Challenge Authentication Protocol versão 2 (MS-CHAPv2). A troca criptografada de informações dentro do túnel garante que as credenciais do usuário estejam seguras de espionagem.

Uma das vantagens do PEAP, quando usado com o MS-CHAPv2, é que ele requer apenas um certificado do lado do servidor para estabelecer o túnel seguro, e usa certificados de chave pública do lado do servidor para autenticar o servidor. Isso elimina a sobrecarga envolvida na implantação de certificados digitais para cada cliente que requer autenticação.

Assim que um cliente tiver sido autenticado no switch usando a autenticação MAC RADIUS, os clientes subsequentes podem usar o mesmo túnel externo que foi estabelecido pelo primeiro cliente para se comunicar com o servidor. Isso é conseguido usando a funcionalidade de retomada de sessão fornecida pelo SSL. A retomada da sessão reduz a latência que pode ocorrer à medida que os clientes subsequentes aguardam a criação de um novo túnel TLS.

Antes de configurar o protocolo de autenticação PEAP para autenticação MAC RADIUS, certifique-se de que o servidor de autenticação também esteja configurado para usar o PEAP com o MS-CHAPv2 como protocolo de autenticação interna. Para obter informações sobre a configuração do servidor de autenticação, consulte a documentação para o seu servidor.

Nota:

O protocolo de autenticação pode ser configurado globalmente usando a opção interface all , bem como localmente usando o nome da interface individual. Se o protocolo de autenticação estiver configurado tanto para uma interface individual quanto para todas as interfaces, a configuração local para essa interface se sobrepõe à configuração global.

Para configurar o protocolo de autenticação PEAP para autenticação MAC RADIUS:

  1. Configure a opção eap-peap para a authentication-protocol declaração:
    content_copy zoom_out_map
    [edit]
    user@switch# set protocols dot1x authenticator interface interface-name mac-radius authentication-protocol eap-peap
  2. (Opcional) Permita a retomada da sessão para permitir uma autenticação mais rápida dos clientes subsequentes:
    content_copy zoom_out_map
    [edit]
    user@switch# set protocols dot1x authenticator interface interface-name mac-radius authentication-protocol eap-peap resume
  3. Carregue o certificado SSL do lado do servidor usando o nome ou o caminho do arquivo.
    1. Para carregar o certificado usando o nome do arquivo:
      content_copy zoom_out_map
      [edit]
      user@root# run load ssl-certificate file certificate-name
    2. Para carregar o certificado usando o caminho do arquivo:
      content_copy zoom_out_map
      [edit]
      user@root# run load ssl-certificate path certificate-path
      Nota:

      Se você estiver usando um certificado SSL com um caminho diferente do caminho padrão, /var/tmp/você deve primeiro configurar o caminho do certificado SSL usando o seguinte comando:

      content_copy zoom_out_map
      [edit]
      set protocols dot1x ssl-certificate-path certificate-path
    3. Para verificar os certificados:
      content_copy zoom_out_map
      [edit]
      user@root# run show ssl-certificates
external-footer-nav