Sans fil : Cisco Wireless LAN Controller Software

Augmentez le délai d'attente d'authentification Web sur le contrôleur LAN Sans fil

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document fournit l'étape nécessaire pour que l'Identifiant SSID (Service Set Identifier) de Web-auth permette un accès client VPN sans pleine authentification et sans déconnexion toutes les quelques minutes. Afin de réaliser ceci, un utilisateur doit augmenter le délai d'attente d'authentification Web (Web-auth) sur le contrôleur LAN Sans fil (WLC).

Contribué par Dhiresh Yadav, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Cisco recommande que vous sachiez configurer le WLC pour le fonctionnement de base et le Web-auth.

Composants utilisés

Les informations dans ce document sont basées sur une gamme Cisco 5500 WLC qui exécutent la version 8.0.100.0 de micrologiciels.

Notez la configuration et l'explication de Web-auth dans ce document s'applique à tous les modèles et à n'importe quelle version d'image 8.0.100.0 WLC de réseau sans fil unifié Cisco et plus tard.

Informations générales

Dans beaucoup d'installations de réseau client, il y a des configurations qui permettent un groupe d'accès VPN d'utilisateurs ou d'invités de société à certaines adresses IP sans condition requise de passer la Sécurité de Web-auth. Ces utilisateurs reçoivent des adddress IP et se connectent directement au VPN sans besoin de toutes les qualifications afin d'obtenir authentifié par l'intermédiaire de la Sécurité de Web-auth. Ce SSID pourrait être en service par un autre ensemble d'utilisateurs qui passent également par le Web-auth normal et plein afin de gagner l'accès Internet. Ce scénario est possible par l'intermédiaire d'un ACL de pré-authentification configuré sur le SSID qui permet des connexions utilisateur aux adresses IP VPN avant qu'elles passent l'authentification. Le problème pour ces utilisateurs VPN est qu'ils sélectionnent l'adresse IP mais ne termine jamais le Web-auth complet. Par conséquent, le temporisateur de délai d'attente de Web-auth est lancé et le client est désauthentifié :

*apfReceiveTask: Sep 03 12:01:55.694: 00:24:d7:cd:ac:30 172.30.0.118 WEBAUTH_REQD (8)
Web-Auth Policy timeout

*apfReceiveTask: Sep 03 12:01:55.694: 00:24:d7:cd:ac:30 172.30.0.118 WEBAUTH_REQD (8)
Pem timed out, Try to delete client in 10 secs.

La valeur de ce délai d'attente est de 5 minutes et a une valeur fixe dans des versions WLC plus tôt que 7.6. Cette durée courte de délai d'attente rend le réseau Sans fil presque inutilisable pour ces genres d'utilisateurs. La capacité pour changer cette valeur est ajoutée dans la version 8.0 WLC qui permet à des utilisateurs pour accéder au VPN par l'intermédiaire du trafic Acl-autorisé par pre-auth.

Configurez

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Terminez-vous ces étapes afin d'augmenter le délai d'attente de Web-auth sur le WLC :

  1. Créez un ACL qui permet le trafic à l'adresse IP VPN.

  2. Appliquez l'ACL comme ACL de Preauthenctiation sur la configuration Sans fil du RÉSEAU LOCAL (WLAN) sous le degré de sécurité de la couche 3.

  3. Ouvrez une session par l'intermédiaire du CLI et sélectionnez la commande de délai d'attente de config wlan security web-auth afin d'augmenter la valeur du dépassement de durée de Web-auth.
    (WLC)>config wlan security web-auth timeout ?
    <value> Configures Web authentication Timeout (300-14400 seconds).

    (WLC)>config wlan security web-auth timeout 3600 <Wlan_id> 

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

La valeur du dépassement de durée de session de Web-auth pour votre WLAN apparaît pendant que cet exemple de sortie affiche :

(WLC)>show wlan 10
Web Based Authentication...................... Enabled
Web Authentication Timeout.................... 3600

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Sélectionnez la commande de < mac-address > de client de débogage afin de voir le temporisateur de Web-auth commencer pour l'utilisateur qui se connecte au VPN sans authentification.


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118963