Sem fio : Controladores de LAN sem fio Cisco 4400 Series

Autenticação da Web usando o LDAP no exemplo de configuração dos controladores do Wireless LAN (WLC)

16 Janeiro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (20 Dezembro 2015) | Feedback


Índice


Introdução

Este documento explica como instalar um Controller de LAN Wireless (WLC) para autenticação web. Este documento igualmente explica como configurar um server do Lightweight Directory Access Protocol (LDAP) como o banco de dados backend para que a autenticação da Web recupere credenciais do usuário e autentique o usuário.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Conhecimento da configuração do Lightweight Access Points (regaços) e do Cisco WLC

  • Conhecimento do protocolo de pouco peso do Access point (LWAPP)

  • Conhecimento de como estabelecer e configurar o LDAP, o diretório ativo e os controladores de domínio

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 4400 WLC que executa a versão de firmware 5.1

  • REGAÇO do Cisco 1232 Series

  • Adaptador de cliente Wireless de Cisco 802.11a/b/g que executa a versão de firmware 4.2

  • Server de Microsoft Windows 2003 que executa o papel do servidor ldap

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Processo de autenticação da Web

A autenticação da Web é uns recursos de segurança da camada 3 que façam com que o controlador recuse o tráfego IP (exceto pacotes DHCP-relacionados) de um cliente específico até que esse cliente forneça corretamente um nome de usuário válido e uma senha. Quando você usa a autenticação da Web para autenticar clientes, você deve definir um nome de usuário e senha para cada cliente. Então, quando os clientes tentam se juntar ao Wireless LAN, seus usuários devem incorporar o nome de usuário e senha quando alertados por uma página de login.

Quando a autenticação da Web estiver permitida (sob a Segurança da camada 3), os usuários recebem ocasionalmente uma alerta de segurança do web browser a primeira vez que tentem alcançar uma URL.

ldap-web-auth-wlc-1.gif

Depois que o usuário clica sim para continuar, ou se o navegador de theclient não indica uma alerta de segurança, o sistema de autenticação da Web reorienta o cliente a uma página de login

ldap-web-auth-wlc-2.gif

A página de login do padrão contém um logotipo Cisco e um texto específico da Cisco. Você pode escolher ter o indicador um do sistema de autenticação da Web destes:

  • A página de login do padrão

  • Uma versão modificada da página de login do padrão

  • Uma página de login personalizada que você configure em um servidor de Web externo

  • Uma página de login personalizada que você transfira ao controlador

Quando o usuário incorpora um nome de usuário válido e a senha na página de login da autenticação da Web e os cliques se submetem, o usuário está autenticado baseou nas credenciais submetidas e em uma autenticação bem sucedida. O sistema de autenticação da Web então indica uma página do login bem-sucedido e reorienta o cliente autenticado à URL pedida.

ldap-web-auth-wlc-3.gif

A página do login bem-sucedido do padrão contém um ponteiro a um endereço de gateway virtual URL: https://1.1.1.1/logout.html. O endereço IP de Um ou Mais Servidores Cisco ICM NT que você ajusta para a interface virtual do controlador serve como o endereço da reorientação para a página de login.

Este documento explica como usar o página da web interno no WLC para a autenticação da Web. Este exemplo usa um server do Lightweight Directory Access Protocol (LDAP) como o banco de dados backend para que a autenticação da Web recupere credenciais do usuário e autentique o usuário.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/108008/ldap-web-auth-wlc-4.gif

Configurações

Termine estas etapas a fim executar com sucesso esta instalação:

Configurar o servidor ldap

A primeira etapa é configurar o servidor ldap, que serve como um banco de dados backend para armazenar credenciais do usuário dos clientes Wireless. Neste exemplo, o server de Microsoft Windows 2003 é usado como o servidor ldap.

A primeira etapa na configuração do servidor ldap é criar uma base de dados de usuário no servidor ldap de modo que o WLC possa perguntar este banco de dados para autenticar o usuário.

Crie usuários no controlador de domínio

Uma unidade organizacional (OU) contém os grupos múltiplos que levam referências às entradas pessoais em um PersonProfile. Uma pessoa pode ser um membro dos grupos múltiplos. Todas as definições de classe e de atributo de objeto são padrão do esquema LDAP. Cada grupo contém as referências (dn) para cada pessoa que lhe pertence.

Neste exemplo, um OU novo LDAP-USERS é criado, e o usuário1 do usuário é criado sob este OU. Quando você configura este usuário para o acesso LDAP, o WLC pode perguntar este banco de dados LDAP para a autenticação de usuário.

O domínio usado neste exemplo é lab.wireless.

Crie uma base de dados de usuário sob um OU

Esta seção explica como criar um OU novo em seu domínio e criar um novo usuário neste OU.

  1. No controlador de domínio, no Iniciar > Programas > Ferramentas Administrativas > Usuários e Computadores de Diretório Ativo do clique a fim lançar o console de gerenciamento dos usuários e dos computadores de diretório ativo.

  2. Clicar com o botão direito seu Domain Name, que é lab.wireless neste exemplo, e escolha então novo > unidade organizacional do menu do contexto a fim criar um OU novo.

    ldap-web-auth-wlc-5.gif

  3. Atribua um nome a este OU e clique a APROVAÇÃO.

    ldap-web-auth-wlc-6.gif

Agora que o OU novo LDAP-USERS é criado no servidor ldap, a próxima etapa é criar o usuário1 do usuário sob este OU. A fim conseguir isto, termine estas etapas:

  1. Clicar com o botão direito o OU novo criado. Escolha novo > usuário dos menus resultantes do contexto a fim criar um novo usuário.

    ldap-web-auth-wlc-7.gif

  2. Na página da instalação de usuário, preencha os campos requerido segundo as indicações deste exemplo. Este exemplo tem o usuário1 no campo de nome de logon do usuário.

    Este é o username que é verificado no banco de dados LDAP para autenticar o cliente. Este exemplo usa o usuário1 nos campos do nome e de nome completo. Clique em Next.

    ldap-web-auth-wlc-8.gif

  3. Incorpore uma senha e confirme a senha. Escolha a senha nunca expira opção e clicam em seguida.

    ldap-web-auth-wlc-9.gif

  4. Clique em Finish.

    Um usuário1 do novo usuário é criado sob o OU LDAP-USERS. Estas são as credenciais do usuário:

    • nome de usuário: Usuário1

    • senha: Laptop123

      ldap-web-auth-wlc-10.gif

    Agora que o usuário é criado sob um OU, a próxima etapa é configurar este usuário para o acesso LDAP.

Configurar o usuário para o acesso LDAP

Execute as etapas nesta seção a fim configurar um usuário para o acesso LDAP.

Permita a característica anónima do ligamento no server de Windows 2003

Para todos os aplicativos de terceiros (em nosso caso WLC) alcançar Windows 2003 AD no LDAP, a característica anónima do ligamento deve ser permitida em Windows 2003. À revelia, as operações de LDAP anónimas não são permitidas em Windows 2003 controladores de domínio. Execute estas etapas a fim permitir a característica anónima do ligamento:

  1. Lance o ADSI editam a ferramenta do Iniciar > Executar > do tipo do lugar: ADSI Edit.msc. Esta ferramenta é parte de Windows 2003 ferramentas de suporte.

  2. No ADSI edite o indicador, expandem o domínio da raiz ([tsweb.lab.wireless] da configuração).

    Expanda CN=Services > Windows NT CN= > serviço de CN=Directory. Clicar com o botão direito o recipiente do serviço de CN=Directory, e escolha propriedades do menu do contexto.

    ldap-web-auth-wlc-11.gif

  3. No CN=Directory preste serviços de manutenção à janela de propriedades, sob atributos, clique o atributo do dsHeuristics sob o campo do atributo e escolha-a editam. Na janela de editor do atributo da corda deste atributo, incorpore o valor 0000002; o clique aplica-se e APROVA-SE. A característica anónima do ligamento é permitida no server de Windows 2003.

    Nota: O último (sétimo) caráter é esse que controla a maneira que você pode ligar ao serviço LDAP. "0" ou nenhuns sétimos caractere significam que as operações de LDAP anónimas estão desabilitadas. Se você ajusta o sétimo caractere a "2," permite o anónimo liga a característica.

    ldap-web-auth-wlc-12.gif

Concedendo a acesso ANÓNIMO do FAZER LOGON ao usuário "User1"

A próxima etapa é conceder o acesso ANÓNIMO do FAZER LOGON ao usuário1 do usuário. Termine estas etapas a fim conseguir isto:

  1. Abra usuários e computadores de diretório ativo.

  2. Certifique-se de que os recursos avançados da vista estão verificados.

  3. Navegue ao usuário1 do usuário e clicar-lo com o botão direito. Escolha propriedades do menu do contexto. Este usuário é identificado com o nome "User1."

    ldap-web-auth-wlc-13.gif

  4. Clique na guia Security.

    ldap-web-auth-wlc-14.gif

  5. O clique adiciona no indicador resultante.

  6. Incorpore o FAZER LOGON ANÓNIMO sob a entrada os nomes de objeto para selecionar a caixa e reconhecer o diálogo.

    ldap-web-auth-wlc-15.gif

  7. No ACL, observe que o FAZER LOGON ANÓNIMO tem o acesso a alguns grupos da propriedade do usuário. Clique em OK. O acesso ANÓNIMO do FAZER LOGON é concedido a este usuário.

    ldap-web-auth-wlc-16.gif

A lista de Grant satisfaz a permissão no OU

A próxima etapa é conceder pelo menos a permissão dos índices da lista ao FAZER LOGON ANÓNIMO no OU em que o usuário é ficado situado. Neste exemplo, "User1" é ficado situado no OU “LDAP-USERS.” Termine estas etapas a fim conseguir isto:

  1. Em usuários e em computadores de diretório ativo, clicar com o botão direito o OU LDAP-USERS e escolha propriedades.

    ldap-web-auth-wlc-17.gif

  2. Clique a Segurança e avançou-a então.

  3. Clique em Add. No diálogo que abre, incorpore o FAZER LOGON ANÓNIMO.

    ldap-web-auth-wlc-18.gif

  4. Reconheça o diálogo. Isto abre uma janela de diálogo nova.

  5. Na aplicação na caixa suspensa, escolha este objeto somente. Permita os índices da lista permitem a caixa de verificação.

    ldap-web-auth-wlc-19.gif

Use o LDP para identificar os atributos de usuário

Esta ferramenta GUI é um cliente de LDAP que permita que os usuários executem operações, tais como conectem, liga, procura, altera, adiciona, ou suprime, contra todo o diretório LDAP-compatível, tal como o diretório ativo. O LDP é usado aos objetos de vista que são armazenados no diretório ativo junto com seus metadata, tais como descritores de segurança e metadata da replicação.

A ferramenta LDP GUI é incluída quando você instala Windows Server 2003 ferramentas de suporte do CD do produto. Esta seção explica como usar a utilidade LDP para identificar os atributos específicos associados ao usuário1 do usuário. Alguns destes atributos são usados para preencher os parâmetros de configuração do servidor ldap no WLC, tal como o tipo do atributo de usuário e o tipo de objeto do usuário.

  1. No server de Windows 2003 (mesmo no mesmo servidor ldap), clique o Iniciar > Executar e incorpore o LDP a fim alcançar o navegador LDP.

  2. Na janela principal LDP, a conexão do clique > conecta e conecta ao servidor ldap quando você incorpora o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor ldap.

    ldap-web-auth-wlc-20.gif

  3. Conectado uma vez ao servidor ldap, escolha a vista do menu principal e clique a árvore.

    ldap-web-auth-wlc-21.gif

  4. No indicador resultante da vista de árvore, entre no BaseDN do usuário. Neste exemplo, o usuário1 é ficado situado sob o OU “LDAP-USERS” sob o domínio LAB.wireless. Clique em OK.

    ldap-web-auth-wlc-22.gif

  5. O lado esquerdo do navegador LDP indica a árvore inteira que aparece sob o BaseDN especificado (OU=LDAP-USERS, dc=LAB, dc=Wireless). Expanda a árvore para encontrar o usuário1 do usuário. Este usuário pode ser identificado com o valor do CN que representa o nome do usuário. Neste exemplo, é CN=User1. Clique duas vezes CN=User1. Na placa do lado direito do navegador LDP, o LDP indica todos os atributos associados com o usuário1. Este exemplo explica esta etapa:

    ldap-web-auth-wlc-23.gif

  6. Quando você configura o WLC para o servidor ldap, no campo do atributo de usuário, dê entrada com o nome do atributo no registro de usuário que contém o username. Desta saída LDP, você pode ver que o sAMAccountName é um atributo que contém o username "User1," assim que incorpora o atributo do sAMAccountName que corresponde ao campo do atributo de usuário no WLC.

  7. Quando você configura o WLC para o servidor ldap, no tipo de objeto do usuário campo, incorpore o valor do atributo do objectType LDAP que identifica o registro como um usuário. Frequentemente, os registros de usuário têm diversos valores para o atributo do objectType, alguns de que são originais ao usuário e alguns de que são compartilhados com outros tipos de objeto. Na saída LDP, CN=Person é um valor que identifica o registro como um usuário, assim que especifica a pessoa como o tipo atributo do objeto do usuário no WLC.

    A próxima etapa é configurar o WLC para o servidor ldap.

Configurar o WLC para o servidor ldap

Agora que o servidor ldap é configurado, a próxima etapa é configurar o WLC com detalhes do servidor ldap. Termine estas etapas no WLC GUI:

Nota: Este documento supõe que o WLC está configurado para a operação básica e que os regaços estão registrados ao WLC. Se você é um novo usuário que queira setup o WLC para a operação básica com regaços, refira o registo de pouco peso AP (REGAÇO) a um controlador do Wireless LAN (WLC).

  1. Na página da Segurança do WLC, escolha AAA > LDAP à esquerda da placa da tarefa a fim mover-se para a página de configuração do servidor ldap.

    ldap-web-auth-wlc-24.gif

    A fim adicionar um servidor ldap, clique novo. Os servidores ldap > página nova aparecem.

  2. Nos servidores ldap edite a página, especificam os detalhes do servidor ldap, tais como o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor ldap, número de porta, permitem o status de servidor, e assim por diante.

    • Escolha um número da caixa suspensa do deslocamento predeterminado do server (prioridade) especificar a ordem da prioridade deste server com relação a todos os outros servidores ldap configurados. Você pode configurar até dezessete server. Se o controlador não pode alcançar o primeiro server, tenta segundo na lista e assim por diante.

    • Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor ldap ao campo de endereço IP do servidor.

    • Inscreva o número de porta de TCP do servidor ldap no campo de número de porta. O intervalo válido é 1 a 65535, e o valor padrão é 389.

    • No campo da base do usuário DN, dê entrada com o nome destacado (DN) do subtree no servidor ldap que contém uma lista de todos os usuários. Por exemplo, unidade do ou=organizational, unidade organizacional .ou=next, e o=corporation.com. Se a árvore que contém usuários é a base DN, entre no=corporation.com ou em dc=corporation, dc=com.

      Neste exemplo, o usuário é ficado situado sob a unidade organizacional (OU) LDAP-USERS, que, é criada por sua vez como parte do domínio lab.wireless.

      A base do usuário DN deve apontar o caminho cheio onde a informação sobre o usuário (credenciais do usuário conforme o método de autenticação EAP-FAST) é encontrada. Neste exemplo, o usuário é ficado situado sob a base DN OU=LDAP-USERS, DC=lab, DC=Wireless.

    • No campo do atributo de usuário, dê entrada com o nome do atributo no registro de usuário que contém o username.

      No tipo de objeto do usuário campo, incorpore o valor do atributo do objectType LDAP que identifica o registro como um usuário. Frequentemente, os registros de usuário têm diversos valores para o atributo do objectType, alguns de que são originais ao usuário e alguns de que são compartilhados com outros tipos de objeto

      Você pode obter o valor destes dois campos de seu servidor de diretório com a utilidade do navegador LDAP que vem como parte de Windows 2003 ferramentas de suporte. Esta ferramenta do navegador de Microsoft LDAP é chamada LDP. Com a ajuda desta ferramenta, você pode conhecer a base do usuário DN, o atributo de usuário, e o tipo de objeto do usuário campos deste usuário particular. A informação detalhada em como usar o LDP para conhecer estes atributos específicos do usuário é discutida no LDP de utilização para identificar a seção dos atributos de usuário deste documento.

    • No campo do timeout de servidor, incorpore o número de segundos entre retransmissões. O intervalo válido é 2 a 30 segundos, e o valor padrão é 2 segundos.

    • Verifique a caixa de verificação do status de servidor da possibilidade para permitir este servidor ldap, ou desmarcar-la para desabilitá-la. O valor padrão é desabilitado.

    • O clique aplica-se para comprometer suas mudanças. Este é um exemplo já configurado com esta informação:

    ldap-web-auth-wlc-25.gif

  3. Agora que os detalhes sobre o servidor ldap são configurados no WLC, a próxima etapa é configurar um WLAN para a autenticação da Web.

Configurar o WLAN para a autenticação da Web

A primeira etapa é criar um WLAN para os usuários. Conclua estes passos:

  1. Clique WLAN do controlador GUI a fim criar um WLAN.

    A janela WLANs aparece. Este indicador alista os WLAN configurados no controlador.

  2. Clique novo a fim configurar um WLAN novo.

    Neste exemplo, o WLAN é nomeado Web-AUTH.

    ldap-web-auth-wlc-26.gif

  3. Clique em Apply.

  4. No o WLAN > edita o indicador, define os parâmetros específicos ao WLAN.

    ldap-web-auth-wlc-27.gif

    • Verifique a caixa de verificação de status para permitir o WLAN.

    • Para o WLAN, escolha a relação apropriada do campo de nome da relação.

      Este exemplo traça a interface de gerenciamento que conecta ao Web-AUTH WLAN.

  5. Clique na guia Security. No campo de Segurança da camada 3, verifique a caixa de verificação de Política da web, e escolha a opção de autenticação.

    ldap-web-auth-wlc-28.gif

    Esta opção é escolhida porque a autenticação da Web é usada para autenticar os clientes Wireless. Verifique a caixa de verificação do config global da ultrapassagem para permitir pela configuração da autenticação da Web WLAN. Escolha o tipo apropriado da autenticação da Web do tipo menu suspenso do AUTH da Web. Este exemplo usa a autenticação do web interna.

    Nota: A autenticação da Web não é apoiada com autenticação do 802.1x. Isto significa que você não pode escolher o 802.1x ou um WPA/WPA2 com o 802.1x como a Segurança da camada 2 quando você usa a autenticação da Web. A autenticação da Web é apoiada com todos parâmetros de segurança restantes da camada 2.

  6. Clique a aba dos servidores AAA. Escolha o servidor ldap configurado do menu de destruição do servidor ldap. Se você usa um banco de dados local ou um servidor Radius, você pode ajustar a prioridade da autenticação sob a ordem da prioridade da autenticação para o userfield do Web-AUTH.

    ldap-web-auth-wlc-29.gif

  7. Clique em Apply.

    Nota: Neste exemplo, mergulhe 2 métodos de segurança para autenticar usuários não são usados, assim que não escolha nenhuns no campo de Segurança da camada 2.

Verificar

A fim verificar esta instalação, conecte um cliente Wireless e verifique se a configuração trabalha como esperado.

O cliente Wireless vem acima, e o usuário incorpora a URL, tal como www.yahoo.com, ao navegador da Web. Porque o usuário não foi autenticado, o WLC reorienta o usuário ao início de uma sessão URL do web interna.

O usuário é alertado para as credenciais do usuário. Uma vez que o usuário submete o nome de usuário e senha, a página de login toma a entrada das credenciais do usuário e, em cima submete, envia o pedido de volta ao exemplo do action_URL, http://1.1.1.1/login.html, do servidor de Web WLC. Isto é fornecido enquanto um parâmetro de entrada ao cliente reorienta a URL, onde 1.1.1.1 é o endereço da interface virtual no interruptor.

O WLC autentica o usuário contra a base de dados de usuário LDAP. Após a autenticação bem sucedida, o servidor de Web WLC qualquer um para a frente o usuário ao configurado reorienta a URL ou à URL com que o cliente começou, como www.yahoo.com.

ldap-web-auth-wlc-30.gif

ldap-web-auth-wlc-31.gif

ldap-web-auth-wlc-32.gif

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Use estes comandos pesquisar defeitos sua configuração:

  • debugar o <client-MAC-endereço xx do ADDR do Mac: xx: xx: xx: xx: xx>

  • debug aaa all enable

  • debugar o estado PEM permitem

  • debugar eventos PEM permitem

  • debugar o mensagem DHCP permitem

  • debugar o pacote DHCP permitem

Este é um exemplo de saída do comando debug aaa all enable.

*Sep 19 15:16:10.286: AuthenticationRequest: 0x152c8e78


*Sep 19 15:16:10.286: 	
   Callback.....................................0x10567ae0

*Sep 19 15:16:10.286: 	
   protocolType.................................0x00000002

*Sep 19 15:16:10.286: 	
   proxyState...................................00:40:96:AF:3E:93-00:00

*Sep 19 15:16:10.286: 	Packet contains 8 AVPs (not shown)

*Sep 19 15:16:10.287: 
   ldapTask [1] received msg 'REQUEST' (2) in state 'IDLE' (1)
*Sep 19 15:16:10.287: 
   LDAP server 1 changed state to INIT
*Sep 19 15:16:10.287: 
   ldapInitAndBind [1] called lcapi_init (rc = 0 - Success)
*Sep 19 15:16:10.296: 
   ldapInitAndBind [1] configured Method Anonymous 
   lcapi_bind (rc = 0 - Success)
*Sep 19 15:16:10.297: LDAP server 1 changed state to CONNECTED
*Sep 19 15:16:10.297: LDAP_CLIENT: UID Search (base=OU=LDAP-USERS,
   DC=LAB,DC=WIRELESS, pattern=(&(objectclass=Person)
   (sAMAccountName=User1)))
*Sep 19 15:16:10.308: LDAP_CLIENT: Returned 2 msgs
*Sep 19 15:16:10.308: LDAP_CLIENT: Returned msg 1 type 0x64
*Sep 19 15:16:10.308: LDAP_CLIENT: 
   Received 1 attributes in search entry msg
*Sep 19 15:16:10.308: LDAP_CLIENT: Returned msg 2 type 0x65
*Sep 19 15:16:10.308: LDAP_CLIENT : No matched DN
*Sep 19 15:16:10.308: LDAP_CLIENT : Check result error 0 rc 1013
*Sep 19 15:16:10.309: ldapAuthRequest [1] called lcapi_query base=
   "OU=LDAP-USERS,DC=LAB,DC=WIRELESS" type="Person" attr="sAMAccountName" 
   user="User1" (rc = 0 - Success)
*Sep 19 15:16:10.309: Attempting user bind with username 
   CN=User1,OU=LDAP-USERS,DC=lab,DC=wireless
*Sep 19 15:16:10.335: LDAP ATTR> dn = CN=User1,OU=LDAP-USERS,
   DC=lab,DC=wireless (size 41)
*Sep 19 15:16:10.335: Handling LDAP response Success
*Sep 19 15:16:10.335: 00:40:96:af:3e:93 Returning AAA 
   Success for mobile 00:40:96:af:3e:93
*Sep 19 15:16:10.335: AuthorizationResponse: 0x3fbf7b40


*Sep 19 15:16:10.336: 	structureSize..........................137

*Sep 19 15:16:10.336: 	resultCode.............................0

*Sep 19 15:16:10.336: 	protocolUsed...........................0x00000002

*Sep 19 15:16:10.336: 	proxyState...............................
   00:40:96:AF:3E:93-00:00

*Sep 19 15:16:10.336: 	Packet contains 3 AVPs:

*Sep 19 15:16:10.336: 	    AVP[01] Unknown Attribute 0..........
   CN=User1,OU=LDAP-USERS,DC=lab,DC=wireless (41 bytes)

*Sep 19 15:16:10.336: 	    AVP[02] User-Name............
   User1 (5 bytes)

*Sep 19 15:16:10.336: 	    AVP[03] User-Password....[...]

*Sep 19 15:16:10.336: Authentication failed for User1, 
   Service Type: 0 
*Sep 19 15:16:10.336: 00:40:96:af:3e:93 Applying new AAA 
   override for station 00:40:96:af:3e:93
*Sep 19 15:16:10.336: 00:40:96:af:3e:93 
   Override values for station 00:40:96:af:3e:93
	source: 48, valid bits: 0x1
	qosLevel: -1, dscp: 0xffffffff, dot1pTag: 
   0xffffffff, sessionTimeout: -1
	dataAvgC: -1, rTAvg
*Sep 19 15:16:10.337: 00:40:96:af:3e:93 Unable to apply 
   override policy for station 00:40:96:af:3e:93 - 
   VapAllowRadiusOverride is FALSE
*Sep 19 15:16:10.339: 00:40:96:af:3e:93 Sending 
   Accounting request (0) for station 00:40:96:af:3e:93 
*Sep 19 15:16:10.339: AccountingMessage 
   Accounting Start: 0x152d9778

*Sep 19 15:16:10.339: 	Packet contains 11 AVPs:

*Sep 19 15:16:10.339: 	    
   AVP[01] User-Name.......................User1 (5 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[02] Nas-Port........................0x00000002 
   (2) (4 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[03] Nas-Ip-Address..................0x0a4df4cc 
   (172881100) (4 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[04] Framed-IP-Address...............0x0a4df4c6 
   (172881094) (4 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[05] NAS-Identifier..................WLC-4400 (8 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[06] Airespace / WLAN-Identifier.....0x00000001 (1) 
   (4 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[07] Acct-Session-Id.................
   48d3c23a/00:40:96:af:3e:93/162 (30 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[08] Acct-Authentic..................0x00000003 (3) 
   (4 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[09] Acct-Status-Type................0x00000001 (1) 
   (4 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[10] Calling-Station-Id..............10.77.244.198 
   (13 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[11] Called-Station-Id...............10.77.244.204 
   (13 bytes)

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 108008