Sem fio/Mobilidade : Segurança de WLAN

Exemplo da configuração de proxy da autenticação da Web

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como configurar a autenticação da Web a fim trabalhar com uma instalação do proxy.

Contribuído por Nick Tate, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Configuração básica do controlador do Wireless LAN
  • Segurança da autenticação da Web

Componentes Utilizados

A informação neste documento é baseada em um controlador de LAN do Cisco Wireless, versão 7.0 e mais recente.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter informações sobre convenções de documentos.

Configurar

Administradores de rede que mandam um servidor proxy em sua rede enviar primeiramente o tráfego de web ao servidor proxy, que retransmite então o tráfego ao Internet. As conexões entre o cliente e o servidor proxy podem usar uma porta TCP a não ser a porta 80 para uma comunicação. Esta porta é geralmente a porta TCP 3128 ou 8080. À revelia, a autenticação da Web escuta somente na porta 80. Assim, quando um HTTP GET sae do computador, é enviada à porta de proxy mas deixada cair pelo controlador.

Esta seção descreve como configurar a autenticação da Web a fim trabalhar com um proxy setup:

  1. Configurar o controlador de LAN do Cisco Wireless (WLC) a fim escutar na porta de proxy.
  2. Configurar o arquivo da configuração automática do proxy (PAC) a fim retornar o endereço IP de Um ou Mais Servidores Cisco ICM NT virtual direto.
  3. Crie um Access Control List Pré-autenticação (ACL) a fim permitir que o cliente transfira o arquivo PAC antes da autenticação da Web.

Como um reparo rápido, você pode configurar o navegador da Web manualmente a fim retornar 1.1.1.1.

Os detalhes em cada um destes processos estão nas subseções seguintes.

Configurar o WLC

Este procedimento descreve como mudar a porta que o controlador escuta sobre a porta o servidor proxy está escutando sobre.

  1. Navegue ao controlador > página geral.

    116052-config-webauth-proxy-01.png

  2. No campo de porta da reorientação do proxy de WebAuth, entre na porta que você quer o WLC escutar sobre o cliente reorienta.

  3. Selecione deficiente ou permitido da lista de drop-down do modo da reorientação do proxy de WebAuth:

    1. Se você seleciona deficiente, os clientes estão apresentados a página normal da autenticação da Web para a transmissão ou a autenticação. Assim, se você usa um proxy, você precisa de configurar todos os navegadores cliente para não usar o proxy para 1.1.1.1 (ou o outro endereço IP de Um ou Mais Servidores Cisco ICM NT virtual os usos WLC). Veja o reparo rápido: Configurar o navegador da Web.

    2. Se você seleciona permitido, o WLC escuta nas portas 80, 8080, e 3128 à revelia, assim que você não tem que inscrever aquelas portas no campo de texto da porta da reorientação do proxy de WebAuth. Se um cliente envia um HTTP GET nestas portas, veem uma tela que as peça para mudar seus ajustes do proxy a automático.

      116052-config-webauth-proxy-02.png

  4. Salve a configuração.

  5. Recarregue o controlador.

Em resumo, inscreva um número de porta na porta da reorientação do proxy de WebAuth a fim definir a porta que o WLC escuta sobre. Quando o modo da reorientação é permitido, reorienta o cliente à tela do ajustes do proxy e espera-o empurrar dinamicamente uma descoberta automática do proxy da Web (WPAD) ou o arquivo PAC para a configuração de proxy automática. Quando desabilitado, o cliente é reorientado à página normal da autenticação da Web.

Configurar o arquivo PAC

O endereço IP de Um ou Mais Servidores Cisco ICM NT virtual do WLC precisa de ser “direto retornado” para que o AUTH da Web autentique corretamente usuários. Dirija significa que o servidor proxy não faz proxy o pedido, e o cliente tem permissões alcançar diretamente para fora ao endereço IP de Um ou Mais Servidores Cisco ICM NT. Isto é configurado geralmente no servidor proxy no arquivo WPAD ou PAC pelo administrador do servidor proxy. Este é um exemplo de configuração para um arquivo PAC:

function FindProxyForURL(url, host) {
      // our local URLs from the domains below example.com don't need a proxy:
      if (shExpMatch(host, "*.example.com"))
      if (shExpMatch(host, "1.1.1.1"))   <-- (Line states return 1.1.1 directly)       {
         return "DIRECT";
      }
      // URLs within this network are accessed through
      // port 8080 on fastproxy.example.com:
      if (isInNet(host, "10.0.0.0",  "255.255.248.0"))
      {
         return "PROXY fastproxy.example.com:8080";
      }

      // All other requests go through port 8080 of proxy.example.com.
      // should that fail to respond, go directly to the WWW:
      return "PROXY proxy.example.com:8080; DIRECT";

Crie o ACL Pré-autenticação

Coloque um ACL Pré-autenticação no Service Set Identifier (SSID) da autenticação da Web de modo que os clientes Wireless possam transferir o arquivo PAC antes que o log dos clientes no AUTH da Web. O ACL Pré-autenticação precisa de permitir o acesso somente à porta que o arquivo PAC está ligada. O acesso à porta de proxy permite que os clientes alcancem o Internet sem autenticação da Web.

  1. Navegue à Segurança > ao Access Control List a fim criar um ACL no controlador.
     
  2. Crie regras para permitir o tráfego na porta da transferência PAC ao proxy nos ambos sentidos.

    116052-config-webauth-proxy-03.png

    Nota: Não permita a porta de HTTP do proxy.

  3. Na configuração WLAN no controlador, não esqueça selecionar o ACL que você apenas criou como um ACL Pré-autenticação.

    116052-config-webauth-proxy-04.png
     

Reparo rápido: Configurar o navegador da Web

Este procedimento descreve como configurar manualmente uma exceção de modo que um navegador da Web do cliente alcance para fora diretamente a 1.1.1.1.

  1. No internet explorer, navegue às ferramentas > às opções de internet.

  2. Clique a aba das conexões, então o botão Lan Settings Button.

  3. Na área do servidor proxy, verifique o uso um servidor proxy para ver se há seu LAN, e incorpore o endereço (IP) e mova o server escuta sobre.

    116052-config-webauth-proxy-05.png

  4. Clique o botão Advanced e incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT virtual do WLC à área das exceções.

    116052-config-webauth-proxy-06.png

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116052