无线 : 思科 4400 系列无线局域网控制器

在无线局域网控制器(WLCs)上使用LDAP的Web认证配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 9 月 22 日) | 反馈


目录


简介

本文解释如何设置一个无线局域网控制器(WLC) Web验证的。本文也解释如何配置轻量级目录访问协议(LDAP)服务器作为Web验证的后端数据库到检索用户凭证和验证用户。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 了解轻量接入点 (LAP) 和 Cisco WLC 的配置

  • 知识轻量级接入点协议 (LWAPP)

  • 知识如何设立和配置LDAP、活动目录和域控制器

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行固件版本5.1的思科4400 WLC

  • Cisco 1232 系列 LAP

  • 运行固件版本4.2的思科802.11a/b/g无线客户端适配器

  • 执行LDAP服务器的角色的Microsoft Windows 2003服务器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

Web认证过程

Web验证是造成控制器禁止IP数据流的第3层安全功能(除了与DHCP相关的数据包)从特定的客户端,直到该客户端正确地供应了一个有效用户名和密码。当您使用 Web 身份验证对客户端进行身份验证时,您必须为每个客户端定义一个用户名和口令。然后,当客户端尝试加入无线局域网时,他们的用户必须输入用户名和密码,当提示由登录页。

当Web验证启用(在第3层安全下),用户第一次偶尔地收到浏览器安全警告他们尝试访问URL。

ldap-web-auth-wlc-1.gif

在用户点击继续后,或者,如果浏览器theclient不显示安全警告, Web认证系统重定向客户端对登录页

ldap-web-auth-wlc-2.gif

默认登录页包含Cisco徽标和CISCO专用的文本。您能选择有Web认证系统显示这些中的一个:

  • 默认登录页

  • 默认登录页的修正的版本

  • 您在外部Web服务器配置的定制的登录页

  • 您下载到控制器的定制的登录页

当用户输入一个有效用户名和密码在Web认证登录页并且单击提交时,用户验证根据凭证提交的和成功认证。Web认证系统然后显示成功登录页并且重定向已验证客户端对请求的URL。

ldap-web-auth-wlc-3.gif

默认成功登录页包含指示器对虚拟网关地址URL :https://1.1.1.1/logout.html。您控制器虚拟接口的集起重定向地址作用对于登录页的IP地址。

本文解释如何使用在WLC的内部网页Web验证。此示例使用一个轻量级目录访问协议(LDAP)服务器作为后端数据库Web验证对检索用户凭证并且验证用户。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用以下网络设置:

/image/gif/paws/108008/ldap-web-auth-wlc-4.gif

配置

完成这些步骤为了顺利地实现此设置:

配置 LDAP 服务器

第一步将配置LDAP服务器,担当一个后端数据库存储无线客户端的用户凭证。在本例中, Microsoft Windows 2003服务器使用作为LDAP服务器。

第一步在LDAP服务器的配置里将创建在LDAP服务器的一个用户数据库,以便WLC能查询此数据库验证用户。

创建域控制器的用户

组织单位(OU)包含运载对个人条目的参考在PersonProfile的多个组。人可以是多个组的成员。所有对象类和属性定义是LDAP模式默认。每组包含参考(dn)属于它的每个人的。

在本例中,新的OU LDAP-USERS创建,并且用户User1创建在此OU下。当您配置LDAP访问的时此用户, WLC能查询此LDAP数据库用户认证。

用于此示例的域是lab.wireless。

在 OU 下创建用户数据库

本部分解释如何在域中创建新的 OU 以及在此 OU 上创建新用户。

  1. 在域控制器中,单击开始 > 程序 > 管理工具 > Active Directory 用户和计算机,以便启动“Active Directory 用户和计算机”管理控制台。

  2. 用鼠标右键单击您的域名,是在本例中的lab.wireless上下文菜单然后选择New > Organizational Unit为了创建新的OU。

    ldap-web-auth-wlc-5.gif

  3. 为此 OU 指定名称,然后单击确定

    ldap-web-auth-wlc-6.gif

即然新的OU LDAP-USERS在LDAP服务器创建,下一步是创建用户User1在此OU下。为此,请完成以下步骤:

  1. 用鼠标右键单击创建的新的OU。从产生的上下文菜单选择New > User为了创建新用户。

    ldap-web-auth-wlc-7.gif

  2. 在“用户设置”页中,填写必要的字段,如本示例所示。此示例有User1用户登录名字名称字段。

    这是在LDAP数据库验证验证客户端的用户名。此示例在名字和全名名称字段使用User1。单击 Next

    ldap-web-auth-wlc-8.gif

  3. 输入密码并确认此密码。选中密码永不过期选项,然后单击“下一步”。

    ldap-web-auth-wlc-9.gif

  4. 单击 完成

    新用户User1创建在OU LDAP-USERS下。这些是用户凭证:

    • 用户名:User1

    • 密码:Laptop123

      ldap-web-auth-wlc-10.gif

    即然用户创建在OU下,下一步是配置LDAP访问的此用户。

为 LDAP 访问配置用户

要配置用户进行 LDAP 访问,请执行本部分中的步骤:

在 Windows 2003 Server 上启用匿名绑定功能

对于所有第三方应用(在我们的情况WLC)访问在LDAP的Windows 2003 AD,在Windows必须启用匿名捆绑功能2003年。默认情况下,Windows 2003 域控制器上不允许执行匿名 LDAP 操作。执行这些步骤为了启用匿名捆绑功能:

  1. 通过从“开始”>“运行”位置键入以下命令来启动 ADSI Edit 工具:ADSI Edit.msc工具是Windows的一部分2003支持工具。

  2. 在Edit窗口的ADSI,请展开根域(配置[tsweb.lab.wireless])。

    展开CN=服务 > CN=Windows NT > CN=目录服务。用鼠标右键单击Cn=Directory服务容器,并且从上下文菜单选择属性

    ldap-web-auth-wlc-11.gif

  3. 在Cn=Directory服务属性窗口中,在属性下,请单击dsHeuristics属性在属性字段下并且选择编辑。在字符串属性编辑器窗口此属性中,请输入值0000002;单击应用并且。匿名捆绑功能在Windows 2003服务器启用。

    注意: 最后一个(第七个)字符用于控制您绑定到 LDAP 服务的方式。“0”或无第七个字符表示禁用匿名 LDAP 操作。如果设置第七个字符到"2,"启用匿名捆绑功能。

    ldap-web-auth-wlc-12.gif

授权对用户的匿名登录访问"User1"

下一步是准许对用户User1的匿名登录访问。为此,请完成以下步骤:

  1. 打开 Active Directory 用户和计算机

  2. 确保视图高级特性被检查。

  3. 导航对用户User1并且用鼠标右键单击它。从上下文菜单选择属性。此用户识别与名字"User1."

    ldap-web-auth-wlc-13.gif

  4. 单击 Security 选项卡。

    ldap-web-auth-wlc-14.gif

  5. 在所显示的窗口中单击添加

  6. 在“输入要选择的对象名称”框下输入匿名登录,然后确认此对话框。

    ldap-web-auth-wlc-15.gif

  7. 在ACL中,请注意匿名登录访问用户的一些属性套。单击 Ok。匿名登录访问授权对此用户。

    ldap-web-auth-wlc-16.gif

格兰特列表使在OU的权限满意

下一步是同意列表至少内容权限对在用户查找的OU的匿名登录。在本例中, "User1"在OU “LDAP-USERS查找”。为此,请完成以下步骤:

  1. 激活目录用户和计算机中,请用鼠标右键单击OU LDAP-USERS并且选择属性

    ldap-web-auth-wlc-17.gif

  2. 单击安全性,然后单击“高级”。

  3. 单击 Add。在打开的对话框中,输入匿名登录

    ldap-web-auth-wlc-18.gif

  4. 确认对话框。这会打开一个新的对话框窗口。

  5. 下拉框上的应用,请选择仅此对象。启用列表内容允许复选框。

    ldap-web-auth-wlc-19.gif

请使用LDP识别用户属性

此GUI工具是允许用户执行操作,连接的LDAP客户端,绑定,搜索,修改,添加或者删除,所有LDAP兼容目录,例如活动目录。LDP用于在活动目录存储与他们的元数据一起,例如安全描述符和复制元数据的视图对象。

当您安装从产品CD时的Windows服务器2003支持工具LDP GUI工具包括。此部分说明如何使用LDP工具识别特定属性关联对用户User1。其中有些属性用于填充 WLC 上的 LDAP 服务器配置参数,例如“用户属性”类型和“用户对象”类型。

  1. 在 Windows 2003 Server 上(即使在相同的 LDAP 服务器上),单击开始 > 运行,然后输入 LDP 以便访问 LDP 浏览器。

  2. 在LDP主窗口,当您输入LDAP服务器时的IP地址请点击连接>连接并且连接到LDAP服务器。

    ldap-web-auth-wlc-20.gif

  3. 一旦连接对LDAP服务器,请从主菜单选择视图并且点击

    ldap-web-auth-wlc-21.gif

  4. 在所显示的树视图窗口中,输入用户的 BaseDN。在本例中, User1查找在OU “LDAP-USERS”下在域LAB.wireless下。单击 Ok

    ldap-web-auth-wlc-22.gif

  5. LDP浏览器的左侧显示出现在指定的BaseDN的整个树(OU=LDAP-USERS下, dc=LAB, dc=Wireless)。展开树找出用户User1。此用户可以用代表用户名字的 CN 值表示。在本例中,它是CN=user1。双击CN=user1。在LDP浏览器的右侧窗格中, LDP显示所有属性关联与User1。本示例解释了此步骤:

    ldap-web-auth-wlc-23.gif

  6. 当您在用户属性字段配置LDAP服务器的WLC,回车属性的名称在包含用户名的客户记录的。从此LDP输出,您能看到sAMAccountName是包含用户名"User1,"的一个属性,因此输入对应于WLC的用户属性字段的sAMAccountName属性。

  7. 当您在用户对象目标类型字段配置LDAP服务器的WLC,回车识别记录作为用户LDAP objectType属性的值。通常,用户记录具有多个 objectType 属性值,其中有些对用户是唯一的,而另一些则与其他对象类型共享。在LDP输出中, CN=Person是识别记录作为用户的一个值,因此指定作为在WLC的用户对象类型属性。

    下一步是配置LDAP服务器的WLC。

配置LDAP服务器的WLC

即然LDAP服务器配置,下一步是配置与LDAP服务器的详细信息的WLC。完成在WLC GUI的这些步骤:

注意: 本文档假设已配置 WLC 进行基本操作,并且已在 WLC 中注册 LAP。如果是要设置基本操作的WLC与拉普的新用户,参考轻量AP (LAP)注册到无线局域网控制器(WLC)

  1. 在WLC的安全页,请从左边分派任务窗格选择AAA > LDAP为了移动向LDAP服务器配置页。

    ldap-web-auth-wlc-24.gif

    要添加 LDAP 服务器,请单击 New。这会显示 LDAP Servers > New 页。

  2. 在Edit页的LDAP服务器中,请指定LDAP服务器的详细信息,例如LDAP服务器的IP地址,端口号, Enable (event)服务器状态,等。

    • Server Index (Priority) 下拉框中选择一个数字,以便指定此服务器相对于其他任何已配置的 LDAP 服务器的优先顺序。最多可以配置 17 个服务器。如果控制器不能到达第一个服务器,则尝试列表中的第二个服务器,依此类推。

    • Server IP Address 字段中输入 LDAP 服务器的 IP 地址。

    • 进入LDAP服务器的TCP端口号在Port Number字段的。有效范围是 1 到 65535,默认值是 389

    • 在用户群DN字段,请进入子树的特有名(DN)在包含所有用户列表的LDAP服务器的。例如,ou=组织单位,.ou=下一个组织单位,o=corporation.com。如果包含用户的树是基础DN、回车o=corporation.com或dc=corporation, dc=com。

      在本例中,用户查找在组织单位(OU) LDAP-USERS下,作为lab.wireless域一部分,反过来,创建。

      用户群DN必须指向用户信息的完整路径(根据EAP-FAST认证方法的用户凭证)查找。在本例中,用户查找在基础DN OU=LDAP-USERS下, DC=lab, DC=Wireless。

    • User Attribute 字段中,输入包含用户名的用户记录中的属性名称。

      User Object Type 字段中,输入将记录标识为用户的 LDAP objectType 属性的值。通常,客户记录有objectType属性的几个值,一些是唯一对用户和一些共享与其他对象类型

      您能从您的目录服务器得到值这两个字段用来作为Windows一部分2003支持工具的LDAP浏览器工具。此 Microsoft LDAP 浏览器工具称为 LDP。在此工具的帮助下,您可以了解此用户的用户基准 DN、用户属性和用户对象类型字段。关于如何的详细信息使用LDP认识这些使用物精确的属性在使用的LDP讨论识别本文的用户属性部分。

    • Server Timeout 字段中,输入重新传输之间相隔的秒数。有效范围是 2 到 30 秒,默认值是 2 秒。

    • 检查Enable (event)服务器状态复选框启用此LDAP服务器或者不选定它禁用它。默认值是禁用。

    • 单击 Apply 以提交更改。这是示例已经配置与此信息:

    ldap-web-auth-wlc-25.gif

  3. 即然关于LDAP服务器的详细信息在WLC配置,下一步是配置Web验证的一WLAN。

配置Web验证的WLAN

第一步将创建用户的一WLAN。完成这些步骤:

  1. 要创建 WLAN,请从控制器 GUI 中单击 WLANs

    随即显示 WLAN 窗口。该窗口列出了控制器中配置的 WLAN。

  2. 要配置新的 WLAN,请单击 New

    在本例中, WLAN被命名Web-Auth。

    ldap-web-auth-wlc-26.gif

  3. 单击 Apply

  4. 在“WLAN”>“Edit”窗口中,定义特定于该 WLAN 的参数。

    ldap-web-auth-wlc-27.gif

    • 检查Status复选框启用WLAN。

    • 对于 WLAN,请从“Interface Name”字段中选择相应的接口。

      此示例映射连接对WLAN Web-auth的管理接口。

  5. 单击 Security 选项卡。在第3层安全领域,请检查Web策略复选框,并且选择认证选项

    ldap-web-auth-wlc-28.gif

    因为Web验证用于验证无线客户端,此选项选择。检查覆盖全局配置复选框每个WLAN Web身份验证配置启用。从Web认证类型下拉菜单选择适当的Web认证类型。此示例使用内部Web验证。

    注意: 不支持与 802.1x 身份验证一起使用 Web 身份验证。这意味着在使用 Web 身份验证时,您不能选择 802.1x 或使用 802.1x 的 WPA/WPA2 作为第 2 层安全方法。支持 Web 身份验证使用所有其他的第 2 层安全参数。

  6. 单击 AAA Servers 选项卡。从LDAP服务器下拉菜单选择已配置的LDAP服务器。如果使用一个本地数据库或RADIUS服务器,您能设置验证优先权在web-auth userfield的验证优先级指令下

    ldap-web-auth-wlc-29.gif

  7. 单击 Apply

    注意: 在本例中,没有使用验证用户的第2层安全方法,因此请勿在第2层安全字段选择。

验证

为了验证此设置,请联络无线客户端并且检查配置是否工作正如所料。

无线客户端出现,并且用户输入URL,例如www.yahoo.com,在Web浏览器。由于用户未验证, WLC重定向用户对内部Web登录URL。

将会提示用户输入用户凭证。一旦用户提交用户名和密码,登录页采取用户凭证输入,并且,提交,送回请求到action_URL示例, http://1.1.1.1/login.html, WLC Web服务器。它以输入参数形式提供给客户重定向 URL,其中 1.1.1.1 是交换机上的虚拟接口地址。

WLC利用LDAP用户数据库验证用户。在成功认证以后, WLC Web服务器二者之一转发用户对已配置的重定向URL或对客户端开始的URL,例如www.yahoo.com。

ldap-web-auth-wlc-30.gif

ldap-web-auth-wlc-31.gif

ldap-web-auth-wlc-32.gif

故障排除

本部分提供的信息可用于对配置进行故障排除。

请使用这些命令排除故障您的配置:

  • debug mac addr <client-MAC-address xx: xx : xx : xx : xx : xx>

  • debug aaa all enable

  • debug pem state enable

  • debug pem events enable

  • debug dhcp message enable

  • debug dhcp packet enable

这是从debug aaa all enable命令的一输出示例:。

*Sep 19 15:16:10.286: AuthenticationRequest: 0x152c8e78


*Sep 19 15:16:10.286: 	
   Callback.....................................0x10567ae0

*Sep 19 15:16:10.286: 	
   protocolType.................................0x00000002

*Sep 19 15:16:10.286: 	
   proxyState...................................00:40:96:AF:3E:93-00:00

*Sep 19 15:16:10.286: 	Packet contains 8 AVPs (not shown)

*Sep 19 15:16:10.287: 
   ldapTask [1] received msg 'REQUEST' (2) in state 'IDLE' (1)
*Sep 19 15:16:10.287: 
   LDAP server 1 changed state to INIT
*Sep 19 15:16:10.287: 
   ldapInitAndBind [1] called lcapi_init (rc = 0 - Success)
*Sep 19 15:16:10.296: 
   ldapInitAndBind [1] configured Method Anonymous 
   lcapi_bind (rc = 0 - Success)
*Sep 19 15:16:10.297: LDAP server 1 changed state to CONNECTED
*Sep 19 15:16:10.297: LDAP_CLIENT: UID Search (base=OU=LDAP-USERS,
   DC=LAB,DC=WIRELESS, pattern=(&(objectclass=Person)
   (sAMAccountName=User1)))
*Sep 19 15:16:10.308: LDAP_CLIENT: Returned 2 msgs
*Sep 19 15:16:10.308: LDAP_CLIENT: Returned msg 1 type 0x64
*Sep 19 15:16:10.308: LDAP_CLIENT: 
   Received 1 attributes in search entry msg
*Sep 19 15:16:10.308: LDAP_CLIENT: Returned msg 2 type 0x65
*Sep 19 15:16:10.308: LDAP_CLIENT : No matched DN
*Sep 19 15:16:10.308: LDAP_CLIENT : Check result error 0 rc 1013
*Sep 19 15:16:10.309: ldapAuthRequest [1] called lcapi_query base=
   "OU=LDAP-USERS,DC=LAB,DC=WIRELESS" type="Person" attr="sAMAccountName" 
   user="User1" (rc = 0 - Success)
*Sep 19 15:16:10.309: Attempting user bind with username 
   CN=User1,OU=LDAP-USERS,DC=lab,DC=wireless
*Sep 19 15:16:10.335: LDAP ATTR> dn = CN=User1,OU=LDAP-USERS,
   DC=lab,DC=wireless (size 41)
*Sep 19 15:16:10.335: Handling LDAP response Success
*Sep 19 15:16:10.335: 00:40:96:af:3e:93 Returning AAA 
   Success for mobile 00:40:96:af:3e:93
*Sep 19 15:16:10.335: AuthorizationResponse: 0x3fbf7b40


*Sep 19 15:16:10.336: 	structureSize..........................137

*Sep 19 15:16:10.336: 	resultCode.............................0

*Sep 19 15:16:10.336: 	protocolUsed...........................0x00000002

*Sep 19 15:16:10.336: 	proxyState...............................
   00:40:96:AF:3E:93-00:00

*Sep 19 15:16:10.336: 	Packet contains 3 AVPs:

*Sep 19 15:16:10.336: 	    AVP[01] Unknown Attribute 0..........
   CN=User1,OU=LDAP-USERS,DC=lab,DC=wireless (41 bytes)

*Sep 19 15:16:10.336: 	    AVP[02] User-Name............
   User1 (5 bytes)

*Sep 19 15:16:10.336: 	    AVP[03] User-Password....[...]

*Sep 19 15:16:10.336: Authentication failed for User1, 
   Service Type: 0 
*Sep 19 15:16:10.336: 00:40:96:af:3e:93 Applying new AAA 
   override for station 00:40:96:af:3e:93
*Sep 19 15:16:10.336: 00:40:96:af:3e:93 
   Override values for station 00:40:96:af:3e:93
	source: 48, valid bits: 0x1
	qosLevel: -1, dscp: 0xffffffff, dot1pTag: 
   0xffffffff, sessionTimeout: -1
	dataAvgC: -1, rTAvg
*Sep 19 15:16:10.337: 00:40:96:af:3e:93 Unable to apply 
   override policy for station 00:40:96:af:3e:93 - 
   VapAllowRadiusOverride is FALSE
*Sep 19 15:16:10.339: 00:40:96:af:3e:93 Sending 
   Accounting request (0) for station 00:40:96:af:3e:93 
*Sep 19 15:16:10.339: AccountingMessage 
   Accounting Start: 0x152d9778

*Sep 19 15:16:10.339: 	Packet contains 11 AVPs:

*Sep 19 15:16:10.339: 	    
   AVP[01] User-Name.......................User1 (5 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[02] Nas-Port........................0x00000002 
   (2) (4 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[03] Nas-Ip-Address..................0x0a4df4cc 
   (172881100) (4 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[04] Framed-IP-Address...............0x0a4df4c6 
   (172881094) (4 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[05] NAS-Identifier..................WLC-4400 (8 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[06] Airespace / WLAN-Identifier.....0x00000001 (1) 
   (4 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[07] Acct-Session-Id.................
   48d3c23a/00:40:96:af:3e:93/162 (30 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[08] Acct-Authentic..................0x00000003 (3) 
   (4 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[09] Acct-Status-Type................0x00000001 (1) 
   (4 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[10] Calling-Station-Id..............10.77.244.198 
   (13 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[11] Called-Station-Id...............10.77.244.204 
   (13 bytes)

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 108008