Sem fio : Controladores de LAN sem fio Cisco 4400 Series

Atribuição do VLAN dinâmico com os WLC baseados no ACS ao exemplo de configuração do mapeamento do grupo do diretório ativo

16 Janeiro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (20 Dezembro 2015) | Feedback


Índice


Introdução

Este documento explica como autenticar o cliente Wireless que usa o banco de dados do diretório ativo de Microsoft� Windows (AD), como configurar o mapeamento do grupo entre o grupo AD e o grupo do Serviço de controle de acesso Cisco Secure (ACS), e como atribuir dinamicamente o cliente autenticado a um VLAN configurado no grupo traçado ACS. Este documento centra-se sobre o grupo AD que traça somente com o produto de software ACS e não com a solution engine ACS.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Tenha o conhecimento básico dos controladores do Wireless LAN (WLC) e do Lightweight Access Points (os regaços)

  • Tenha o conhecimento funcional do Cisco Secure ACS

  • Ter conhecimento completo das redes wireless e das questões de segurança wireless

  • Tenha o conhecimento funcional e configurável na atribuição do VLAN dinâmico

    Refira a atribuição do VLAN dinâmico para mais informação.

  • Tenha a compreensão básica de serviços de Microsoft Windows AD, assim como de controlador de domínio e de conceitos DNS

  • Ter conhecimento básico do Lightweight AP Protocol (LWAPP)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 2000 Series WLC que executa a versão de firmware 4.0.217.0

  • REGAÇO Cisco 802.11a/b/g do Cisco 1000 Series

  • Adaptador de cliente Wireless que executa a versão de firmware 3.6

  • Utilitário de desktop do Cisco Aironet (ADU) essa versão 3.6 das corridas

  • Cisco Secure ACS que executa a versão 4.1

  • Server de Microsoft Windows 2003 configurado como um controlador de domínio

  • Cisco 2950 Series Switch que executa a versão 12.1

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

A liberação 4.1 do Cisco Secure ACS para Windows autentica usuários Wireless contra um de diversos bancos de dados possíveis, que inclui seu banco de dados interno. Você pode configurar o ACS para autenticar usuários com mais de um tipo de banco de dados. Você pode configurar o ACS para enviar a autenticação dos usuários a umas ou várias bases de dados de usuário externo. O apoio para bases de dados de usuário externo significa que o ACS não o exige criar entradas de usuário duplicadas na base de dados de usuário.

Os usuários Wireless podem ser autenticados usando diversos bancos de dados externos como:

  • Banco de dados do Windows

  • Serviços de diretório do Novell netware (NDS)

  • Lightweight Directory Access Protocol (LDAP) genérico

  • Conectividade de bancos de dados aberto (ODBC) - bancos de dados relacionais complacentes

  • Server do Remote Access Dial-In User Service do proxy do PULO (RAIO)

  • Rivest, Shamir, e servidores de tokens do SecurID de Adelman (RSA)

  • servidores de tokens Raio-complacentes

As tabelas de compatibilidade da autenticação de ACS e da base de dados de usuário alistam os vários Protocolos de autenticação apoiados pelo ACS interno e por bancos de dados externos.

Este documento focaliza nos usuários Wireless de autenticação que usam o banco de dados externo de Windows.

Você pode configurar o ACS para autenticar usuários com a base de dados de usuário externo em uma de duas maneiras:

  • Pela atribuição específica do usuário — Você pode configurar o ACS para autenticar usuários específicos com uma base de dados de usuário externo. A fim fazer isto, o usuário deve existir no banco de dados interno ACS e você deve ajustar a lista da autenticação de senha na instalação de usuário à base de dados de usuário externo que o ACS deve usar para autenticar o usuário.

  • Pela política de usuário desconhecida — Você pode configurar o ACS para tentar a autenticação dos usuários que não estão no banco de dados interno ACS usando uma base de dados de usuário externo. Você não precisa de definir novos usuários no banco de dados interno ACS para este método.

Este documento focaliza nos usuários Wireless de autenticação que usam o método da política de usuário desconhecida.

Quando o ACS tentar autenticar o usuário contra o banco de dados do Windows, ACS as credenciais do usuário para a frente ao banco de dados do Windows. O banco de dados do Windows valida as credenciais do usuário, e em cima da autenticação bem sucedida, informa o ACS.

Após a autenticação bem sucedida, o ACS recolhe a informação do grupo deste usuário do banco de dados do Windows. Após ter recebido esta informação do grupo, o ACS associa os usuários da informação recolhida do grupo do banco de dados do Windows com o grupo traçado correspondente ACS com a finalidade de atribuir VLAN dinâmicos ao cliente Wireless. Em curto, o ACS pode ser configurado para traçar o banco de dados do Windows a um grupo ACS e para atribuir dinamicamente o usuário autenticado a um VLAN configurado no grupo traçado ACS.

Também, após a primeira autenticação bem sucedida, o usuário é criado dinamicamente no ACS. Uma vez que o usuário é autenticado com sucesso pela primeira vez, o usuário está posto em esconderijo no ACS com um ponteiro a seu banco de dados. Isto evita o ACS de procurar a lista inteira do banco de dados durante tentativas da autenticação subsequente.

Limitações ACS no mapeamento do grupo com base de dados de usuário de Windows

O ACS tem estes limites no mapeamento do grupo para os usuários que são autenticados por uma base de dados de usuário de Windows:

  • O ACS pode somente mapeamento do grupo de suporte para os usuários que pertencem a 500 ou os menos grupos de Windows.

  • O ACS pode somente executar o mapeamento do grupo usando o local e os grupos globais a que um usuário pertence no domínio que autenticou o usuário.

Configurar

Neste exemplo, você é configurado no Winodws AD e traçado a um grupo particular AD. O Cisco Secure ACS é configurado para usar o banco de dados externo em Windows AD para clientes Wireless de autenticação. Então, o AD é traçado então ao grupo ACS para os usuários autenticados que atribuem desse modo o usuário desse grupo particular AD a um VLAN especificado no grupo traçado correspondente ACS.

A próxima seção explica como configurar os dispositivos para esta.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/99121/vlan-acs-ad-config23.gif

Instalação da configuração

Este documento utiliza as seguintes configurações:

  • Domain Name de Microsoft Windows: lab.wireless

  • Usuários AD: wireless123

  • Usuário AD: wireless123 atribuído ao grupo AD: VLAN 20

  • Grupo AD: VLAN 20 traçado ao grupo ACS: Grupo 20 onde o grupo 20 é configurado para atribuir os usuários autenticados deste grupo na relação vlan20 no WLC.

  • Aqui o controlador de domínio e o servidor ACS são configurados na mesma máquina.

Estas suposições são feitas antes que você execute esta configuração:

  • O REGAÇO é registrado já com o WLC.

  • Você está ciente de como configurar um servidor DHCP interno ou um servidor de DHCP externo no controlador a fim atribuir o endereço IP de Um ou Mais Servidores Cisco ICM NT ao cliente Wireless. Refira configurar o DHCP a fim configurar um servidor DHCP interno no controlador.

  • O documento discute a configuração exigida no lado wireless e supõe que a rede ligada com fio é no lugar.

A fim realizar a atribuição do VLAN dinâmico com os WLC baseados no ACS ao mapeamento do grupo AD, estas etapas devem ser executadas:

  1. Configurar o diretório ativo e a base de dados de usuário de Windows

  2. Configurar o Cisco Secure ACS

  3. Configurar o controlador do Wireless LAN

Configurar o diretório ativo e a base de dados de usuário de Windows

A fim configurar o AD e a base de dados de usuário de Windows a ser usados para autenticar clientes Wireless, estas etapas devem ser executadas:

  1. Configurar o server em sua rede como o controlador de domínio

  2. Crie usuários e grupos de diretório ativo no domínio

  3. Adicionar o servidor ACS como o membro do domínio

Configurar o server em sua rede como o controlador de domínio

A configuração de um controlador de domínio envolve a criação de uma estrutura nova AD, e a instalação e a configuração do serviço DNS no server.

Este documento cria um domínio lab.wireless no server de Windows 2003 configurado como o controlador de domínio.

Como parte deste processo da criação AD, você instala o servidor DNS no server de Windows 2003 a fim resolver lab.wireless a seu próprio endereço IP de Um ou Mais Servidores Cisco ICM NT e a outros processos da resolução de nome no domínio. Você pode igualmente configurar um servidor DNS externo a fim conectar ao Internet.

Nota: Certifique-se de você ter o CD de Windows 2003 a fim instalar o servidor DNS na máquina do servidor.

Refira a instalação e configurar de Windows 2003 como um controlador de domínio para um procedimento de configuração detalhada.

Crie usuários e grupos de diretório ativo no domínio

A próxima etapa é criar usuários e grupos no domínio lab.wireless. Refira etapas 1 e 2 do AddingUsers e computadores à seção do domínio do diretório ativo deste documento de MicrosoftSupport a fim criar usuários e grupos AD.

Como já mencionado na seção de instalação da configuração deste documento, um usuário wireless123 é criado e traçado ao grupo vlan20 AD.

Adicionar o servidor ACS como o membro do domínio

Refira etapas 1 e 2 dos usuários e dos computadores adicionando à seção do domínio do diretório ativo deste documento de suporte de Microsoft a fim adicionar o servidor ACS ao domínio lab.wireless.

Nota: Menções desta seção somente como adicionar a máquina de Windows que executa o software ACS ao domínio. Este procedimento não é aplicável para adicionar a solution engine ACS como o membro do domínio.

Configurar o Cisco Secure ACS

A fim configurar o ACS para esta instalação, estas etapas devem ser executadas:

  1. Configurar o ACS para a autenticação da base de dados de usuário de Windows e o mapeamento do grupo

  2. Configurar o ACS para a atribuição do VLAN dinâmico

Configurar o ACS para a autenticação da base de dados de usuário de Windows e o mapeamento do grupo

Agora que o servidor ACS é juntado ao domínio lab.wireless, a próxima etapa é configurar o ACS para a autenticação da base de dados de usuário de Windows e traçar o banco de dados externo de Windows AD ao grupo ACS. Os usuários desconhecidos que autenticam usando o banco de dados especificado automaticamente pertencem a, e herdam as autorizações do grupo.

Como mencionado mais cedo, este exemplo traça o VLAN 20 do grupo AD, com o grupo 20 do grupo ACS.

Nota: Antes que você configure o servidor ACS, execute as tarefas como explicado no capítulo de configuração da autenticação do Windows para a autenticação de usuário e o mapeamento seguros do grupo.

Configurar a base de dados de usuário externo de Windows no servidor ACS

Do ACS GUI, termine estas etapas:

  1. Na barra de navegação, clique bases de dados de usuário externo.

    /image/gif/paws/99121/vlan-acs-ad-config24.gif

  2. Na página das bases de dados de usuário externo, configuração do banco de dados do clique.

    /image/gif/paws/99121/vlan-acs-ad-config25.gif

    O ACS indica uma lista de todos os tipos possíveis da base de dados de usuário externo.

  3. Clique em Windows Database.

    /image/gif/paws/99121/vlan-acs-ad-config26.gif

    Se nenhuma configuração de banco de dados do Windows existe, a tabela da criação da configuração do banco de dados aparece. Se não, a página da configuração externa de bando de dados de usuário publica-se.

  4. Clique em Configurar.

    /image/gif/paws/99121/vlan-acs-ad-config27.gif

    A página de configuração da base de dados de usuário de Windows publica-se com diversas opções.

  5. Configurar as opções requerida. Todos os ajustes na página de configuração da base de dados de usuário de Windows são opcionais e não precisam de ser permitidos a menos que você quiser permitir e configurar as características do específico que apoiam.

    Nota: Este documento não configura qualqueras um opções manualmente porque não são precisadas para este exemplo de configuração.

    Refira opções de configuração da base de dados de usuário de Windows para mais informação.

  6. O clique submete-se a fim terminar esta configuração.

    O ACS salvar a configuração de base de dados de usuário de Windows que você criou. Você pode agora adicionar-lo a sua política de usuário desconhecida ou atribuir contas de usuário específicas para usar este banco de dados para autenticação. Este documento adiciona esta configuração à política de usuário desconhecida.

Configurar a política de usuário desconhecida com o banco de dados do Windows

A política de usuário desconhecida é uma transmissão do formulário de autenticação. Essencialmente, esta característica é uma etapa extra no processo de autenticação. Se um username não existe no banco de dados interno ACS, o ACS para a frente o pedido de autenticação de um nome de usuário e senha entrante aos bancos de dados externos com que é configurado para se comunicar. O banco de dados externo deve apoiar o protocolo de autenticação usado no pedido de autenticação.

Refira a política de usuário desconhecida para mais informação.

Neste exemplo, o ACS deve enviar o pedido de autenticação que vem com o WLC de um cliente Wireless ao banco de dados do Windows configurado na seção anterior. A fim conseguir isto, o grupo de usuário desconhecido deve ser traçado ao banco de dados do Windows externo (lab.wireless) que usa estas etapas:

  1. Na barra de navegação, bases de dados de usuário externo do clique. Então, política de usuário desconhecida do clique.

    /image/gif/paws/99121/vlan-acs-ad-config28.gif

  2. A fim permitir a autenticação de usuário desconhecido, permita a política de usuário desconhecida:

    1. Selecione a verificação a seguinte opção das bases de dados de usuário externo.

    2. Selecione o banco de dados do Windows na lista dos bancos de dados externos e clique-o --> (botão da seta direita) para movê-lo dos bancos de dados externos para os bancos de dados selecionado aliste. A fim remover um banco de dados dos bancos de dados selecionado aliste, selecione o banco de dados, e clique-o então <-- (botão da seta esquerda) para movê-lo de volta aos bancos de dados externos aliste.

  3. Clique em Submit.

    /image/gif/paws/99121/vlan-acs-ad-config29.gif

    O ACS salvar e executa a configuração da política de usuário desconhecida que você criou.

Crie o mapeamento do grupo ACS com o grupo de Windows

Termine estas etapas do ACS GUI:

  1. Na barra de navegação, clique bases de dados de usuário externo. Então, mapeamentos de grupo de banco de dados do clique.

    /image/gif/paws/99121/vlan-acs-ad-config30.gif

  2. Clique o nome de base de dados de usuário externo para que você quer configurar um mapeamento do grupo.

    Neste exemplo, é banco de dados do Windows.

  3. Nas configurações de domínio resultantes pagine, clique a configuração nova.

    /image/gif/paws/99121/vlan-acs-ad-config31.gif

    Nota:  À revelia você vê somente o domínio \ PADRÃO nesta página.

    A página nova da configuração de domínio da definição publica-se.

  4. Na caixa detectada dos domínios desta página, você deve poder ver o LABORATÓRIO da base de dados de usuário de Windows. Clique em Submit.

    /image/gif/paws/99121/vlan-acs-ad-config32.gif

    O LABORATÓRIO do domínio das novas janelas aparece na lista de domínios na página das configurações de domínio.

  5. Clique o domínio do LABORATÓRIO.

    /image/gif/paws/99121/vlan-acs-ad-config33.gif

    Os mapeamentos do grupo para o domínio: A tabela do LABORATÓRIO aparece.

  6. O clique adiciona o mapeamento.

    /image/gif/paws/99121/vlan-acs-ad-config34.gif

    O mapeamento novo do grupo da criação para o domínio: A página do LABORATÓRIO abre. A lista do grupo indica os nomes do grupo que são derivados do banco de dados do LABORATÓRIO. Neste grupo do grupo, você deve poder ver o grupo vlan20 criado no AD deste domínio do laboratório.

    /image/gif/paws/99121/vlan-acs-ad-config35.gif

  7. Escolha vlan20 da lista do grupo, a seguir clique-o adicionam ao selecionado.

  8. Na caixa suspensa do grupo ACS, escolha Group20 a que você quer traçar os usuários que pertencem ao grupo AD: VLAN 20.

  9. Clique em Submit.

    /image/gif/paws/99121/vlan-acs-ad-config36.gif

    O grupo traçado à lista ACS aparece na parte inferior da coluna dos grupos do banco de dados segundo as indicações do exemplo. O asterisco (*) na extremidade de cada grupo de grupos indica que os usuários que são autenticados com a base de dados de usuário externo podem pertencer a outros grupos além daqueles no grupo.

    /image/gif/paws/99121/vlan-acs-ad-config37.gif

Configurar o ACS para a atribuição do VLAN dinâmico

A atribuição do VLAN dinâmico é uma característica que coloca um usuário Wireless em um VLAN específico baseado nas credenciais fornecidas pelo usuário. Esta tarefa de atribuir usuários a um VLAN específico é segurada por um servidor de autenticação RADIUS, tal como o Cisco Secure ACS. Isto pode ser usado, por exemplo, para permitir que o host wireless permaneça na mesma VLAN enquanto ele se desloca em uma rede no campus.

Nota: Este documento usa o [VSA (Vendor-Specific)] de Cisco Airespace Atributo para atribuir com sucesso um usuário autenticado com um nome da interface de VLAN (não o ID de VLAN) conforme a configuração de grupo no ACS.

A fim configurar o ACS para a atribuição do VLAN dinâmico, estas etapas devem ser executadas:

  1. Adicionar o WLC como o cliente de AAA ao ACS

  2. Configurar o Grupo do ACS com a opção do atributo Cisco Airespace VSA

Adicionar o WLC como o cliente de AAA ao ACS

A fim configurar o ACS para a atribuição do VLAN dinâmico, você precisa de configurar o cliente de AAA para o WLC no servidor Radius. Este documento supõe que o WLC está adicionado já ao ACS como um cliente de AAA. Refira adicionar clientes de AAA a um ACS para obter informações sobre de como adicionar o cliente de AAA ao ACS.

Nota: No exemplo deste documento, a opção do RAIO (Airespace) sob a utilização da autenticação puxa para baixo o menu do cliente de AAA que adicionar a página deve ser configurada, quando o WLC como o cliente de AAA ao ACS for configurado.

Configurar o Grupo do ACS com a opção do atributo Cisco Airespace VSA

Conclua estes passos:

  1. Do ACS GUI na barra de navegação, clique a instalação de grupo do lado esquerdo a fim configurar um grupo novo.

  2. Na caixa suspensa do grupo, escolha o grupo 20 (conforme este exemplo) e o clique edita ajustes.

    /image/gif/paws/99121/vlan-acs-ad-config38.gif

  3. No grupo 20 edite a página dos ajustes, clique o salto à caixa suspensa e escolha o RAIO (Cisco Airespace) a fim configurar o ajuste do atributo de Airespace VSA.

    /image/gif/paws/99121/vlan-acs-ad-config39.gif

    Nota: Se este atributo não é indicado sob a configuração de grupo, edite os ajustes do RAIO (Airespace) para incluir o nome da relação sob a tela da configuração da interface do ACS.

  4. Em Cisco Airespace os atributos RADIUS seccionam, permitem o Ar-Relação-nome e incorporam vlan20 como o nome da relação a ser retornado por este grupo ACS em cima da autenticação bem sucedida.

    /image/gif/paws/99121/vlan-acs-ad-config40.gif

  5. Clique Submit + Restart.

Configurar o controlador do Wireless LAN

A fim configurar o WLC para esta instalação, estas etapas devem ser executadas:

  1. Configurar o WLC com detalhes do Authentication Server

  2. Configurar as interfaces dinâmica (VLAN) no WLC

  3. Configurar as WLANs (SSID)

Configurar o WLC com detalhes do Authentication Server

Termine estas etapas a fim configurar o WLC para esta instalação:

  1. Na interface gráfica do usuário, clique em Security.

  2. Clique em New.

  3. Na página de configuração do Authentication Server do RAIO (ACS), incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor Radius e da chave secreta compartilhada usados entre o servidor Radius e o WLC.

    Esta chave secreta compartilhada deve ser a mesma que essa configurada no ACS sob entrada do > Add da configuração de rede > dos clientes de AAA. Este documento usa o servidor ACS com o endereço IP de Um ou Mais Servidores Cisco ICM NT de 10.77.244.196/27.

  4. Certifique-se de que o status de servidor está permitido. Verifique a caixa do usuário de rede. Isto assegura-se de que os usuários de rede estejam autenticados contra este server.

Configurar as interfaces dinâmica (VLAN) no WLC

Este procedimento explica como configurar interfaces dinâmicas no WLC. Para uma atribuição bem sucedida do VLAN dinâmico, o nome da interface de VLAN especificado sob a configuração do atributo VSA do servidor ACS deve igualmente ser configurado no WLC.

Este documento configura a interface de VLAN com o nome "vlan20" e o ID de VLAN = 20, e a interface de VLAN com o nome no WLC.

Conclua estes passos:

  1. Do controlador GUI, sob o indicador do controlador > das relações, as interfaces dinâmica são configuradas.

    /image/gif/paws/99121/vlan-acs-ad-config41.gif

  2. Clique em New.

  3. Nas relações > na nova janela, datilografe o nome da relação como vlan20, que é mesmo que o parâmetro da Airespace-relação configurado no ACS e no ID de VLAN como 20 para o atribuir ao VLAN20.

  4. Clique em Apply.

    /image/gif/paws/99121/vlan-acs-ad-config42.gif

  5. Nas relações > edite a página, configurar a informação do ID de VLAN, do endereço IP de Um ou Mais Servidores Cisco ICM NT, da Máscara de rede e de endereço de gateway da sub-rede VLAN20 segundo as indicações deste indicador.

    Nota:  Recomenda-se sempre usar um servidor DHCP para atribuir o endereço IP de Um ou Mais Servidores Cisco ICM NT aos clientes. Nesse caso, o campo de endereço preliminar do servidor DHCP deve ser enchido com o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor DHCP.

    /image/gif/paws/99121/vlan-acs-ad-config43.gif

  6. Clique em Apply.

Configurar as WLANs (SSID)

No WLC, você configura o wirelesslab SSID e escolhe um método de autenticação, que alerte para o nome de usuário e senha do cliente. Neste exemplo, você usa o PULO como o método de autenticação para autenticar o usuário. Conclua estes passos:

  1. No WLC GUI, clique WLAN. Clique em New.

  2. Escolha um nome de perfil e incorpore o wirelesslab WLAN SSID.

  3. Clique em Apply.

  4. Escolha WLAN > editam, e sob o tab geral, permitem o WLAN e escolhem a relação como Gerenciamento a fim atribuir os endereços IP de Um ou Mais Servidores Cisco ICM NT da sub-rede de gerenciamento.

    /image/gif/paws/99121/vlan-acs-ad-config44.gif

  5. Segurança do clique. Sob a aba da camada 2, escolha WPA+WPA2 como a Segurança da camada 2. Você pode escolher a política WPA ou WPA2. Neste exemplo você escolhe o WPA2 com criptografia TKIP e o 802.1x como o método de autenticação.

    /image/gif/paws/99121/vlan-acs-ad-config45.gif

  6. Clique servidores AAA e escolha 10.77.244.196 como o Authentication Server a fim autenticar usuários deste WLAN contra este server.

  7. Os usuários Wireless são atribuídos à interface de gerenciamento. A fim atribuir o usuário a uma relação fornecida pelo servidor Radius, escolha avançado > permitem a ultrapassagem AAA.

    /image/gif/paws/99121/vlan-acs-ad-config46.gif

Configurar o cliente Wireless

Esta seção explica como configurar o cliente Wireless. Conclua estes passos:

  1. Clique o utilitário de desktop do Cisco Aironet.

  2. Escolha o Gerenciamento do perfil.

  3. Destaque o perfil existente e escolha-o alteram segundo as indicações de figura 1.

    Figura 1

    /image/gif/paws/99121/vlan-acs-ad-config47.gif

  4. No tab geral, escolha um nome de perfil. Este exemplo usa o LABORATÓRIO do nome. Incorpore o wirelesslab SSID usado no WLC. Figura 2 mostras como fazer isto.

    Figura 2

    /image/gif/paws/99121/vlan-acs-ad-config48.gif

  5. Segurança do clique. O método de autenticação configurado no cliente deve ser idêntico àquele do WLC. Escolha WPA/WPA2/CCKM e escolha o tipo EAP como o PULO segundo as indicações de figura 3.

    Figura 3

    /image/gif/paws/99121/vlan-acs-ad-config49.gif

  6. Clique configuram e escolhem o manualmente alerta para o nome de usuário e a senha. Figura 4 mostra esta.

    Figura 4

    /image/gif/paws/99121/vlan-acs-ad-config50.gif

  7. Clique em OK. Um indicador que o alerte para o nome de usuário e senha como mostrado aparece. Incorpore o nome de usuário e a senha que você configurou no banco de dados do Windows. Neste exemplo, o nome de usuário é wireless123, a senha é cisco123. No fazer logon a colocar, datilografe dentro o domínio que você configurou na APROVAÇÃO do diretório ativo e do clique. Neste exemplo, é LABORATÓRIO. demonstra estas etapas.

    /image/gif/paws/99121/vlan-acs-ad-config51.gif

Verificar

Ative o perfil de usuário que do LABORATÓRIO você configurou no ADU. Conforme sua configuração, o cliente é alertado para o nome de usuário e senha.

Este exemplo usa este nome de usuário e senha do lado do cliente para receber a autenticação e para ser atribuído a uma VLAN pelo servidor RADIUS:

  • Nome de usuário = wireless123

  • Senha = cisco123

Além, especifique lab.wireless no fazer logon para colocar da caixa de diálogo da senha de rede Wireless da entrada.

Uma vez que o cliente Wireless autentica com sucesso, encontra o controlador de domínio, junta-se ao domínio e associa-se à rede de WLAN através do wirelesslab SSID, você precisam de verificar que seu cliente está atribuído ao VLAN apropriado conforme os atributos VSA enviados pelas configurações de grupo do servidor Radius.

Conclua estas etapas para fazer isso:

  1. Do controlador GUI, escolha o monitor. Clique clientes que aparece na esquerda do indicador dos Access point (AP).

    As estatísticas do cliente são indicadas com o estado como associadas.

    /image/gif/paws/99121/vlan-acs-ad-config52.gif

  2. Você vê uma lista de clientes Wireless que são associados a este WLC. Clique sobre o cliente que autenticou com ACS.

    Nos detalhes pagine, observe que o usuário: wireless123 é autenticado e associado através do wirelesslab SSID. Note que o endereço IP de Um ou Mais Servidores Cisco ICM NT é 20.0.0.4 e a relação é vlan20.

    /image/gif/paws/99121/vlan-acs-ad-config53.gif

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração. Refira o AAA debugam a informação para o Cisco Secure ACS for Windows para obter mais informações sobre de como como registrar e obter o AAA debugar a informação no ACS.

Comandos para Troubleshooting

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debug aaa events enable — Este comando pode ser usado para garantir a transferência bem-sucedida dos atributos RADIUS ao cliente através do controlador. Esta parcela do resultado do debug assegura uma transmissão bem-sucedida dos atributos RADIUS.

    Está aqui a saída deste comando baseado no exemplo de configuração deste documento:

    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Successful trans
    mission of Authentication Packet (id 131) to 10.77.244.196:1812, proxy state 00:
    40:96:af:3e:93-96:af
    Fri Oct  5 15:47:38 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 15:47:38 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Access-Challenge received from
    RADIUS server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 132) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    
    Fri Oct  5 15:47:38 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 15:47:38 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 133) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    
    Fri Oct  5 15:47:38 2007: ****Enter processIncomingMessages: response code=2
    Fri Oct  5 15:47:38 2007: ****Enter processRadiusResponse: response code=2
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Access-Accept received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Applying new AAA override for
    station 00:40:96:af:3e:93
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: vlan20, acl
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Inserting new RADIUS override into 
    chain for station 00:40:96:af:3e:93
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Applying override policy from source
     Override Summation:
    
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 256, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', a
    Fri Oct  5 15:47:39 2007: 00:40:96:af:3e:93 Sending Accounting request (0) for
    station 00:40:96:af:3e:93

    Como visto deste resultado do debug, do WLC passado nos pedidos de autenticação e das respostas entre o cliente Wireless e o servidor Radius 10.77.244.196. O server autenticou com sucesso o cliente Wireless (este pode ser verificado usando a mensagem da aceitação de acesso). Em cima da autenticação bem sucedida, você pode igualmente ver o servidor Radius transmitir a interface de VLAN name:vlan20, consequentemente dinamicamente atribuindo o cliente Wireless no VLAN20.

  • debugar o dot1x aaa permitem — Este comando é usado debugar a autenticação inteira do dot1x que ocorre entre o cliente Wireless e o Authentication Server (ACS).

  • debugar o aaa que todos permitem — Configures debuga de todos os mensagens AAA.

    Está aqui a saída deste comando baseado no exemplo de configuração deste documento:

    (Cisco Controller) >Fri Oct  5 16:17:18 2007: AuthenticationRequest: 0xac4be5c
    Fri Oct  5 16:17:18 2007:       Callback.....................................0x8
    29a960
    Fri Oct  5 16:17:18 2007:       protocolType.................................0x0
    0040001
    Fri Oct  5 16:17:18 2007:       proxyState...................................00:
    40:96:AF:3E:93-07:00
    Fri Oct  5 16:17:18 2007:       Packet contains 12 AVPs (not shown)
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Successful transmission of 
    Authentication Packet (id 137) to 10.77.244.196:1812, 
    proxy state 00:40:96:af:3e:93-96:af
    .................................................................................
    ..................................................................................
    ..................................................................................
    
    Fri Oct  5 16:17:18 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 16:17:18 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 7
    Fri Oct  5 16:17:18 2007: AuthorizationResponse: 0x9845500
    Fri Oct  5 16:17:18 2007:       structureSize................................130
    
    Fri Oct  5 16:17:18 2007:       resultCode...................................255
    
    Fri Oct  5 16:17:18 2007:       protocolUsed.................................0x0
    0000001
    Fri Oct  5 16:17:18 2007:       proxyState...................................00:
    40:96:AF:3E:93-07:00
    Fri Oct  5 16:17:18 2007:       Packet contains 3 AVPs (not shown)
    ..............................................................................
    ..............................................................................
    ..............................................................................
    ..............................................................................
    
    Fri Oct  5 16:17:18 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 16:17:18 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Access-Challenge received from
    RADIUS server 10.77.244.196 for mobi)
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Successful transmission of
    Authentication Packet (id 139) to 10.77.244.196:1812, 
    proxy state 00:40:96:af:3e:93-96:af
    
    Fri Oct  5 16:17:18 2007: 00000000: 01 8b 00 bb 54 4c 75 3a  e5 b9 d2 c0 28 f2 9
    3 b3  ....TLu:....(...
    Fri Oct  5 16:17:18 2007: 00000010: f2 81 50 65 01 10 77 69  72 65 6c 65 73 73 5
    c 75  ..Pe..lab\wireless123
    Fri Oct  5 16:17:18 2007: 00000020: 73 65 72 31 1f 13 30 30  2d 34 30 2d 39 36 2
    d 41  ser1..00-40-96-A
    Fri Oct  5 16:17:18 2007: 00000030: 46 2d 33 45 2d 39 33 1e  18 30 30 2d 30 42 2
    d 38  F-3E-93..00-0B-8
    Fri Oct  5 16:17:18 2007: 00000040: 35 2d 35 42 2d 46 42 2d  44 30 3a 41 44 53 3
    1 05  5-5B-FB-D0:wirelessl23.
    Fri Oct  5 16:17:18 2007: 00000050: 06 00 00 00 01 04 06 0a  4d f4 d4 20 06 57 4
    c 43  ........M....WLC
    Fri Oct  5 16:17:18 2007: 00000060: 31 1a 0c 00 00 37 63 01  06 00 00 00 02 06 0
    6 00  1....7c.........
    Fri Oct  5 16:17:18 2007: 00000070: 00 00 02 0c 06 00 00 05  14 3d 06 00 00 00 1
    3 4f  .........=.....O
    Fri Oct  5 16:17:18 2007: 00000080: 20 01 05 00 1e 11 01 00  08 85 8e 81 b0 7d b
    f ee  .............}..
    Fri Oct  5 16:17:18 2007: 00000090: b1 77 69 72 65 6c 65 73  73 5c 75 73 65 72 3
    1 18  .lab\wireless123
    ................................................................................
    .................................................................................
    ..................................................................................
    Fri Oct  5 16:17:18 2007: 00000050: 31 1a 3b 00 00 00 09 01  35 6c 65 61 70 3a 7
    3 65  1.;.....5leap:se
    Fri Oct  5 16:17:18 2007: 00000060: 73 73 69 6f 6e 2d 6b 65  79 3d 84 e7 c5 3c 3
    3 bd  ssion-key=...<3.
    Fri Oct  5 16:17:18 2007: 00000070: a8 bf 7a 43 9d 6e bb c8  a8 2c 5d c6 91 d6 f
    3 21  ..zC.n...,]....!
    Fri Oct  5 16:17:18 2007: 00000080: df 1e 0e 28 c1 ef a5 31  a7 cd 62 da 1a 1f 0
    0 00  ...(...1..b.....
    Fri Oct  5 16:17:18 2007: 00000090: 00 09 01 19 61 75 74 68  2d 61 6c 67 6f 2d 7
    4 79  ....auth-algo-ty
    Fri Oct  5 16:17:18 2007: 000000a0: 70 65 3d 65 61 70 2d 6c  65 61 70 19 17 43 4
    1 43  pe=eap-leap..CAC
    
          ....
    Fri Oct  5 16:17:18 2007: ****Enter processIncomingMessages: response code=2
    Fri Oct  5 16:17:18 2007: ****Enter processRadiusResponse: response code=2
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Access-Accept received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 7
    Fri Oct  5 16:17:18 2007: AuthorizationResponse: 0x9845500
    Fri Oct  5 16:17:18 2007:       structureSize................................228
    
    Fri Oct  5 16:17:18 2007:       resultCode...................................0
    Fri Oct  5 16:17:18 2007:       protocolUsed.................................0x0
    0000001
    Fri Oct  5 16:17:18 2007:       proxyState...................................00:
    40:96:AF:3E:93-07:02
    Fri Oct  5 16:17:18 2007:       Packet contains 5 AVPs:
    Fri Oct  5 16:17:18 2007:           AVP[01] Airespace / Interface-Name..........
    .....vlan20 (5 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[02] EAP-Message.........................
    .....DATA (46 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[03] Cisco / LEAP-Session-Key............
    .....DATA (16 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[04] Class...............................
    .....CACS:0/5943/a4df4d4/1 (21 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[05] Message-Authenticator...............
    .....DATA (16 bytes)
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Applying new AAA override for
    station 00:40:96:af:3e:93
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Inserting new RADIUS override into 
    chain for station 00:40:96:af:3e:93
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Applying override policy from source
     Override Summation:
    
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 256, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', a
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Sending Accounting request (0) for
    station 00:40:96:af:3e:93
    Fri Oct  5 16:17:18 2007: AccountingMessage Accounting Interim: 0xac4b1f0
    Fri Oct  5 16:17:18 2007:       Packet contains 20 AVPs:
    Fri Oct  5 16:17:18 2007:           AVP[01] User-Name...........................
    .....lab\wireless123 (14 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[02] Nas-Port............................
    .....0x00000001 (1) (4 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[03] Nas-Ip-Address......................
    .....0x0a4df4d4 (172881108) (4 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[04] Class...............................
    .....CACS:0/5943/a4df4d4/1 (21 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[05] NAS-Identifier......................
    .....0x574c4331 (1464615729) (4 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[06] Airespace / WLAN-Identifier.........
    .....0x00000002 (2) (4 bytes)
    ......................................................................................
    .......................................................................................
    .......................................................................................

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 99121