Tecnología inalámbrica : Productos Cisco Wireless LAN Controller de la serie 4400

Ejemplo de Configuración de Asignación Dinámica de VLAN con WLCs basado en Mapeo de Grupos de ACS a Active Directory

27 Enero 2009 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (15 Septiembre 2008) | Comentarios

Contenidos

Introducción
Prerrequisitos
      Requisitos
      Componentes Utilizados
      Convenciones
Antecedentes
      Restricciones del ACS en el Mapeo de Grupos con Base de Datos de Usuarios de Windows
Configure
      Diagrama de Red
      Configuración
Configure Active Directory y la Base de Datos de Usuarios de Windows
      Configure el Servidor en su Red como el Controlador de Dominio
      Cree Usuarios y Grupos de Active Directory en el Dominio
      Agregue el Servidor ACS como Miembro del Dominio
Configure el Cisco Secure ACS
      Configure el ACS para la Autenticación de la Base de Datos de Usuarios de Windows y el Mapeo de Grupos
      Configure el ACS para la Asignación Dinámica de VLAN
Configure el Wireless LAN Controller
      Configure el WLC con los Detalles del Servidor de Autenticación
      Configure las Interfaces Dinámicas (VLAN) en el WLC
      Configure las WLANs (SSID)
Configure el Cliente Inalámbrico
Verifique
Troubleshooting
      Comandos para Troubleshooting
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento explica cómo autenticar el cliente inalámbrico mediante el uso de la base de datos Microsoft® Windows Active Directory (AD), cómo configurar el mapeo de grupos entre el grupo AD y el grupo Cisco Secure Access Control Server (ACS) y cómo asignar el cliente autenticado en forma dinámica a una VLAN configurada en el grupo ACS mapeado. Este documento se concentra solamente en el mapeo del grupo AD con el producto de software ACS y no con ACS Solution Engine.

Prerrequisitos

Requisitos

Asegúrese de cumplir los siguientes requisitos antes de utilizar esta configuración:

  • Poseer conocimientos básicos sobre Wireless LAN Controllers (WLC) y Lightweight Access Points (LAP)

  • Contar con conocimientos funcionales de Cisco Secure ACS

  • Poseer conocimientos profundos de redes inalámbricas y problemas de seguridad inalámbrica

  • Contar con conocimientos funcionales y de configuración sobre la asignación dinámica de VLANs

    Para obtener más información, consulte Asignación dinámica de VLANs.

  • Comprender los fundamentos de los servicios Microsoft Windows AD, así como los conceptos de controlador de dominio y DNS.

  • Contar con conocimientos básicos de Lightweight AP Protocol (LWAPP)

    Para obtener más información, consulte Información sobre el Lightweight Access Point Protocol (LWAPP).

Componentes Utilizados

La información de este documento se basa en las siguientes versiones de software y hardware:

  • Cisco 2000 Series WLC que ejecuta la versión 4.0.217.0 del firmware

  • Cisco 1000 Series LAP Cisco 802.11a/b/g

  • Wireless Client Adapter que ejecuta la versión 3.6 del firmware

  • Cisco Aironet Desktop Utility (ADU) que ejecuta la versión 3.6

  • Cisco Secure ACS que ejecuta la versión 4.1

  • Microsoft Windows 2003 Server configurado como controlador de dominio

  • Cisco 2950 Series Switch que ejecuta la versión 12.1

La información de este documento se creó a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración vacía (predeterminada). Si su red está en funcionamiento, asegúrese de comprender el posible efecto de los comandos.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones del documento.

Antecedentes

Cisco Secure ACS versión 4.1 para Windows autentica a los usuarios inalámbricos cotejando con una de varias bases de datos posibles, incluida su base de datos interna. Puede configurar el ACS para que autentique usuarios con más de un tipo de base de datos. Puede configurar el ACS para que reenvíe la autenticación de usuarios a una o más bases de datos externas. La compatibilidad con bases de datos externas implica que el ACS no le requerirá que cree entradas duplicadas de usuarios en la base de datos de usuarios.

Los usuarios inalámbricos se pueden autenticar mediante el uso de varias bases de datos externas como:

  • Base de datos de Windows

  • Novell NetWare Directory Services (NDS)

  • Generic Lightweight Directory Access Protocol (LDAP)

  • Bases de datos relacionales que cumplen con Open Database Connectivity (ODBC)

  • Servidores LEAP RADIUS (Servicio de Usuario de Acceso Telefónico de Autenticación Remota)

  • Servidores token RSA (Rivest, Shamir y Adelman) SecurID

  • Servidores token que cumplen con RADIUS

Las Tablas de Compatibilidad de Autenticación ACS y Bases de Datos de Usuarios enumeran los diversos protocolos de autenticación soportados con las bases de datos internas y externas del ACS.

Este documento se concentra en la autenticación de usuarios inalámbricos que hagan uso de la base de datos externa de Windows.

Puede configurar el ACS para que autentique usuarios con la base de datos de usuarios externa en alguna de estas dos formas:

  • Por Asignación de Usuarios Específicos: Puede configurar el ACS para que autentique usuarios específicos con una base de datos de usuarios externa. Para hacerlo, el usuario debe estar incluido en la base de datos interna del ACS y usted deberá configurar la lista Password Authentication en User Setup para la base de datos de usuarios externa que el ACS deba utilizar para autenticar al usuario.

  • Por Política de Usuario Desconocido: Puede configurar el ACS para que intente autenticar usuarios que no estén en la base de datos interna del ACS mediante el uso de una base de datos de usuarios externa. No será necesario que defina usuarios nuevos en la base de datos interna del ACS para emplear este método.

Este documento se concentra en la autenticación de usuarios inalámbricos mediante el uso del método de Política de Usuario Desconocido.

Cuando el ACS intenta autenticar al usuario cotejando con una base de datos de Windows, el ACS reenvía las credenciales del usuario a dicha base de datos. La base de datos de Windows valida las credenciales del usuario y, al lograr la autenticación, informa al ACS.

Una vez lograda la autenticación, el ACS recoge la información de grupo de este usuario de la base de datos de Windows. Después de recibir esta información de grupo, el ACS asocia a los usuarios de la información de grupo recopilada de la base de datos de Windows con el correspondiente grupo mapeado ACS con el propósito de asignar VLANs dinámicas al cliente inalámbrico. En pocas palabras, se puede configurar el ACS para que mapee la base de datos de Windows a un grupo ACS y asigne el usuario autenticado en forma dinámica a una VLAN configurada en el grupo ACS mapeado.

Además, después de la primera autenticación correcta, se crea el usuario en forma dinámica en el ACS. Una vez que se logra autenticar al usuario por primera vez, se lo almacena en caché en el ACS con un puntero a su base de datos. De esta manera, se libera al ACS de la necesidad de buscar en todo el listado de la base de datos durante futuros intentos de autenticación.

Restricciones ACS en el Mapeo de Grupos con Base de Datos de Usuarios de Windows

El ACS enfrenta los siguientes límites en el mapeo de grupos para usuarios que sean autenticados por una base de datos de usuarios de Windows:

  • El ACS sólo soporta el mapeo de grupos para usuarios que pertenezcan a un grupo de Windows de máximo 500 usuarios.

  • El ACS sólo puede realizar el mapeo de grupos utilizando los grupos locales y globales a los que pertenece un usuario en el dominio en que se autenticó al usuario.

Configure

En el ejemplo de este documento, se configura el Cisco Secure ACS para que utilice la base de datos externa de Windows AD para autenticar los clientes inalámbricos. Luego, el AD es mapeado a un grupo ACS para usuarios autenticados, en consecuencia, se asigna el usuario de ese grupo AD específico a una VLAN especificada en el correspondiente grupo ACS mapeado.

En la siguiente sección, se explica cómo configurar los dispositivos para tal fin.

Diagrama de Red

En este documento, se utiliza la siguiente configuración de red:

/image/gif/paws/99121/vlan-acs-ad-config1.gif

Configuración

En este documento, se utilizan las siguientes configuraciones:

  • Nombre de Dominio de Microsoft Windows: wireless.com

  • Usuarios AD: user1 y user2

  • Usuario AD: user1 asignado al grupo AD: vlan 10

  • Usuario AD: user2 asignado al grupo AD: vlan 20

  • Grupo AD: vlan 10 mapeado al grupo ACS: Group 10 donde el Group 10 se configura para asignar al usuario autenticado de este grupo en la VLAN sales

  • Grupo AD: vlan 20 mapeado al grupo ACS: Group 20 donde el Group 20 se configura para asignar los usuarios autenticados de este grupo en la VLAN admin

Se hacen las siguientes suposiciones antes de aplicar esta configuración:

  • El LAP ya está registrado con el WLC.

  • Usted ya sabe cómo configurar un servidor DHCP interno o externo en el controlador para asignar la dirección IP al cliente inalámbrico. Consulte Configuración de DHCP para configurar un servidor DHCP interno en el controlador.

  • El documento analiza la configuración requerida en el lado inalámbrico y supone que la red alámbrica se encuentra implementada.

Para lograr la asignación dinámica de VLAN con WLC basados en el mapeo de grupos ACS a grupos de AD, se deben seguir estos pasos:

  1. Configure Active Directory y la Base de Datos de Usuarios de Windows

  2. Configure el Cisco Secure ACS

  3. Configure el Wireless LAN Controller

Configure Active Directory y la Base de Datos de Usuarios de Windows

Para configurar AD y la base de datos de usuarios de Windows que se utilizará para autenticar clientes inalámbricos, se deben seguir estos pasos:

  1. Configure el Servidor en su Red como el Controlador de Dominio

  2. Cree Usuarios y Grupos de Active Directory en el Dominio

  3. Agregue el Servidor ACS como Miembro del Dominio

Configure el Servidor en su Red como el Controlador de Dominio

El proceso de configuración de un controlador de dominio implica la creación de una nueva estructura AD, además de la instalación y la configuración del servicio DNS en el servidor.

Este documento crea un dominio wireless.com en el servidor Windows 2003 configurado como controlador de dominio.

Como parte de este proceso de creación de AD, se instala el servidor DNS en el servidor Windows 2003 para resolver lab.wireless a su propia dirección IP y otros procesos de resolución en el dominio. También se puede configurar un servidor DNS externo para poder conectarse a Internet.

Consulte Instalación y Configuración de Windows 2003 como Controlador de Dominio para informarse acerca del procedimiento detallado de configuración.

Cree Usuarios y Grupos de Active Directory en el Dominio

El siguiente paso es crear usuarios y grupos en el dominio wireless.com. Se asignará un cliente inalámbrico que se autentica con este nombre de usuario a la VLAN en base a las configuraciones del grupo ACS al que se mapee el nombre de grupo de este usuario.

Consulte los pasos 1 y 2 de la sección Agregando Usuarios y Computadoras al Dominio de Active Directory de este documento de Soporte de Microsoft para crear usuarios y grupos de AD.

Como ya se mencionó en la sección Configuración de este documento, se crean dos usuarios de AD, user1 y user2, y se los mapea a los grupos de AD vlan10 y vlan20 respectivamente.

Agregue el Servidor ACS como Miembro del Dominio

Consulte los pasos 1 y 2 de la sección Agregando Usuarios y Computadoras al Dominio de Active Directory de este documento de soporte de Microsoft para agregar el servidor ACS al dominio wireless.com.

Nota: En esta sección, sólo se menciona cómo agregar la máquina de Windows que ejecuta el software ACS al dominio. Este procedimiento no resulta pertinente para agregar ACS Solution Engine como miembro del dominio.

Configure el Cisco Secure ACS

Para configurar el ACS a estos valores, se deben completar los siguientes pasos:

  1. Configure el ACS para la Autenticación de la Base de Datos de Usuarios de Windows y el Mapeo de Grupos

  2. Configure el ACS para la Asignación Dinámica de VLAN

Configure el ACS para la Autenticación de la Base de Datos de Usuarios de Windows y el Mapeo de Grupos

Ahora que el servidor ACS ya se unió al dominio lab.wireless, el próximo paso es configurar el ACS para la autenticación de la base de datos de usuarios de Windows y mapear la base de datos de AD Windows externa al grupo ACS. Los usuarios desconocidos que se autentiquen utilizando la base de datos especificada pertenecen en forma automática y heredan las autorizaciones del grupo.

Como ya se mencionó, este ejemplo mapea los grupos AD, vlan 10 y vlan 20, con los grupos ACS, Group 10 y Group 20, respectivamente.

Nota: Antes de configurar el servidor ACS, realice las tareas según lo explicado en el capítulo Configuración de la Autenticación de Windows para lograr un mapeo de grupos y autenticación de usuarios fiables.

Configure la Base de Datos de Usuarios de Windows Externa en el Servidor ACS

Desde la interfaz gráfica de usuario (GUI) del ACS, siga estos pasos:

  1. En la barra de navegación, haga clic en External User Databases.

    /image/gif/paws/99121/vlan-acs-ad-config2.gif

  2. En la página External User Databases, haga clic en Database Configuration.

    vlan-acs-ad-config3.gif

    El ACS muestra una lista de todos los posibles tipos de bases de datos de usuarios externas.

  3. Haga clic en Windows Database.

    /image/gif/paws/99121/vlan-acs-ad-config4.gif

    Si no existe ninguna configuración de base de datos de Windows, aparecerá la tabla Database Configuration Creation. De lo contrario, aparecerá la página External User Database Configuration.

  4. Haga clic en Configure.

    vlan-acs-ad-config5.gif

    Aparecerá la página Windows User Database Configuration con varias opciones.

  5. Configure las opciones requeridas. Todos los parámetros de la páginaWindows User Database Configuration son opcionales y no es necesario habilitarlos, salvo que desee permitir y configurar las funciones específicas que soportan.

    Nota: Este documento no configura ninguna de estas opciones manualmente, ya que no son necesarias para este ejemplo de configuración.

    Para obtener más información, consulte las Opciones de Configuración de Bases de Datos de Usuarios de Windows.

  6. Haga clic en Submit para finalizar esta configuración.

    El ACS guarda la configuración de base de datos de usuarios de Windows que creó. Ahora puede agregarla a su Política de Usuario Desconocido o asignar cuentas de usuario específico para utilizar esta base de datos con fines de autenticación. Este documento agrega esta configuración a la Política de Usuario Desconocido.

Configure la Política de Usuario Desconocido con la Base de Datos de Windows

La Política de Usuario Desconocido es una forma de reenvío de la autenticación. En esencia, esta función es un paso adicional en el proceso de autenticación. Si un nombre de usuario no está incluido en la base de datos interna del ACS, el ACS reenvía la solicitud de autenticación del nombre de usuario y contraseña entrantes a las bases de datos externa con las que está configurado para comunicarse. La base de datos externa debe soportar el protocolo de autenticación utilizado en la solicitud de autenticación.

Para obtener más información, consulte la Política de Usuario Desconocido.

En este ejemplo, el ACS debería reenviar la solicitud de autenticación que proviene de WLC desde un cliente inalámbrico hacia una base de datos de Windows configurada en la sección anterior. Para lograrlo, se deberá mapear el grupo Unknown User a la base de datos externa de Windows (wireless.com) siguiendo estos pasos:

  1. En la barra de navegación, haga clic en External User Databases. Posteriormente, haga clic en Unknown User Policy.

    /image/gif/paws/99121/vlan-acs-ad-config6.gif

  2. Para permitir la autenticación de un usuario desconocido, habilite la Política de Usuario Desconocido:

    1. Seleccione la opción Check the following external user databases.

    2. Seleccione la lista Windows Database in the External Databases y haga clic en --> (botón de flecha hacia la derecha) para moverla de External Databases hacia la lista Selected Databases. Para eliminar una base de datos de la lista Selected Databases, selecciónela y haga clic en <-- (botón de flecha hacia la izquierda) para volver a llevarla a la lista External Databases.

  3. Haga clic en Submit.

    vlan-acs-ad-config7.gif

    El ACS guarda e implementa la configuración de Política de Usuario Desconocido que creó.

Cree el Mapeo de Grupo ACS con Grupo Windows

Complete los siguientes pasos desde la GUI del ACS:

  1. En la barra de navegación, haga clic en External User Databases. Posteriormente, haga clic en Database Group Mappings.

    /image/gif/paws/99121/vlan-acs-ad-config8.gif

  2. Haga clic en el nombre de la base de datos de usuarios externa para la que desee configurar un mapeo de grupos.

    En este ejemplo, se trata de la base de datos de Windows.

  3. En la página Domain Configurations que se abre, haga clic en New configuration.

    Aparecerá la página Define New Domain Configuration.

  4. En el cuadro Detected Domains de esta página, podrá ver la base de datos de usuarios de Windows WIRELESS. Haga clic en Submit.

    El nuevo dominio de Windows WIRELESS aparecerá en la lista de dominios de la página Domain Configurations.

  5. Haga clic en el dominio WIRELESS.

    /image/gif/paws/99121/vlan-acs-ad-config9.gif

    Aparece la tabla Group Mappings for the Domain: WIRELESS.

  6. Haga clic en Add mapping.

    /image/gif/paws/99121/vlan-acs-ad-config10.gif

    Se abre la página Create new group mapping for Domain:WIRELESS. La lista de grupos muestra los nombres de grupos que derivan de la base de datos WIRELESS. En este conjunto de Grupos, podrá ver los grupos vlan10 y vlan20 creados en el AD de este dominio inalámbrico.

    vlan-acs-ad-config11.gif

  7. Elija vlan10 de la lista de grupos y, posteriormente, haga clic en Add to selected.

  8. En el cuadro desplegable de grupos ACS, elija el grupo Group10 al que desea mapear los usuarios que pertenecen al grupo de AD: vlan 10.

  9. Haga clic en Submit.

    vlan-acs-ad-config12.gif

    El grupo mapeado a la lista ACS aparece en la parte inferior de la columna de grupos de bases de datos. El asterisco (*) que figura al final de cada conjunto de grupos indica que los usuarios que se autentican con la base de datos de usuarios externa pueden pertenecer a otros grupos, además de los que figuran en el conjunto.

  10. Repita los pasos 6 a 9 para mapear el grupo de AD vlan20 al grupo ACS Group20.

    /image/gif/paws/99121/vlan-acs-ad-config13.gif

Configure el ACS para la Asignación Dinámica de VLAN

La asignación dinámica de VLAN es una función que coloca a un usuario inalámbrico en una VLAN específica en función de las credenciales suministradas por el usuario. Esta tarea de asignación de usuarios a una VLAN específica es administrada por un servidor de autenticación RADIUS, como Cisco Secure ACS. Se puede utilizar, por ejemplo, para permitir que el host inalámbrico permanezca en la misma VLAN al desplazarlo dentro de una red del campus.

Nota: Este documento emplea Cisco Airespace [VSA (Vendor Specific Attribute)] para asignar un usuario correctamente autenticado con un nombre de interfaz VLAN (no el ID de VLAN) según la configuración de grupo del ACS.

Siga estos pasos para configurar el ACS para la asignación dinámica de VLANs:

  1. Agregue el WLC como Cliente AAA al ACS

  2. Configure el Grupo ACS con la Opción Cisco Airespace VSA Attribute

Agregue el WLC como Cliente AAA al ACS

Para configurar el ACS para asignación dinámica de VLAN, necesita configurar el cliente AAA para el WLC en el servidor RADIUS. Este documento supone que WLC ya fue agregado al ACS como cliente AAA. Consulte Agregando Clientes AAA a un ACS si necesita información sobre cómo agregar el cliente AAA al ACS.

Nota: En el ejemplo de este documento, se deberá configurar la opción RADIUS (Airespace) que figura en el menú desplegable Authenticate Using de la página Add AAA Client, mientras que se configura WLC como cliente AAA al ACS.

Configure el Grupo ACS con la Opción Cisco Airespace VSA Attribute

Complete los siguientes pasos:

  1. Desde la GUI del ACS en la barra de navegación, haga clic en Group Setup para configurar un grupo nuevo.

  2. En el cuadro desplegable Group, elija Group 20 (según este ejemplo) y haga clic en Edit Settings.

    /image/gif/paws/99121/vlan-acs-ad-config14.gif

  3. En la página para editar la configuración de Group 20, haga clic en el cuadro desplegable Jump To y elija RADIUS (Cisco Airespace) para configurar el valor del atributo Airespace VSA.

    /image/gif/paws/99121/vlan-acs-ad-config15.gif

    Nota: Si este atributo no aparece bajo la configuración de Group, edite la configuración de RADIUS (Airespace) para que incluya el nombre de la interfaz en la pantalla de configuración de interfaces del ACS.

  4. En la sección Cisco Airespace RADIUS Attributes, habilite Air-Interface-Name e ingrese admin como nombre de la interfaz que devolverá este grupo ACS al lograr la autenticación.

    /image/gif/paws/99121/vlan-acs-ad-config16.gif

  5. Repita estos pasos para configurar Group10 para que devuelva sales como nombre de interfaz al lograr la autenticación.

  6. Haga clic en Submit + Restart.

Configure el Wireless LAN Controller

Para configurar WLC a estos valores, se deben completar los siguientes pasos:

  1. Configure el WLC con los Detalles del Servidor de Autenticación

  2. Configure las Interfaces Dinámicas (VLAN) en el WLC

  3. Configure las WLANs (SSID)

Configure el WLC con los Detalles del Servidor de Autenticación

Siga estos pasos para configurar WLC para estos valores:

  1. Desde la GUI del controlador, haga clic en Security.

  2. En la página de configuración del Servidor de Autenticación RADIUS (ACS), ingrese la dirección IP del servidor RADIUS y la llave Shared Secret (Secreto Compartido) entre el servidor RADIUS y WLC

    Esta llave Shared Secret deberá ser la misma que se configuró en el ACS en Network Configuration > AAA Clients > Add Entry. En este documento se emplea el servidor ACS con una dirección IP de 10.77.244.196/27.

Configure las Interfaces Dinámicas (VLAN) en el WLC

Este procedimiento explica cómo configurar interfaces dinámicas en WLC. Para lograr una asignación de VLAN dinámica exitosa, también se debe configurar el nombre de interfaz VLAN especificado en la configuración de atributos VSA del servidor ACS en WLC.

Este documento configura la interfaz VLAN con el nombre "sales" y VLAN ID = 10; y la interfaz VLAN con el nombre de "admin" y VLAN ID = 20 en WLC.

Nota: Los mismos nombres de interfaz VLAN también se configuran como atributos VSA en el servidor ACS.

Complete los siguientes pasos:

  1. Desde la GUI del controlador, en la ventana Controller > Interfaces, se configuran las interfaces dinámicas.

    /image/gif/paws/99121/vlan-acs-ad-config17.gif

    vlan-acs-ad-config18.gif

  2. Haga clic en Apply.

  3. En la página Interfaces > Edit, configure el ID de VLAN, la dirección IP, la información de dirección de Máscara de Red y Gateway tal como se indica en esta ventana.

    Nota:  Siempre se recomienda utilizar un servidor DHCP para asignar direcciones IP a clientes. En ese caso, el campo de dirección de servidor DHCP primario se debe completar con la dirección IP del servidor DHCP.

    /image/gif/paws/99121/vlan-acs-ad-config19.gif

  4. Haga clic en Apply.

  5. Repita los pasos 1 y 2 para crear la interfaz "sales" con vlan id 10.

Configure las WLANs (SSID)

Consulte la sección Configuración de las WLAN (SSID) del Ejemplo de Configuración de Asignación de VLAN Dinámica con Servidor RADIUS y Wireless LAN Controller si necesita información sobre cómo configurar la WLAN en el WLC con esas modificaciones de acuerdo a este documento:

  • Este documento configura SSID: ADS1 en el WLC y emplea el servidor ACS con dirección IP de 10.77.244.196.

  • En el ejemplo de este documento, el grupo ACS mapeado al grupo de base de datos de Windows apropiado se encarga de asignar un cliente inalámbrico a una VLAN específica al lograr la autenticación. No es necesario mapear las WLAN a una interfaz dinámica específica en el WLC. O bien, incluso si se realiza el mapeo de WLAN a interfaz dinámica en el WLC, el servidor RADIUS anula este mapeo y asigna al usuario que proviene de esa WLAN con un nombre de VLAN especificado en la sección VSA Attributes del servidor ACS.

    Haga clic en la casilla de verificación Allow AAA Override para que el servidor RADIUS pueda anular las configuraciones de WLC. Habilite Allow AAA Override en el controlador para cada WLAN (SSID) configurada. En el ejemplo de este documento, WLAN ADS1 se asigna solamente a la interfaz de administración. Sin embargo, el comando de anulación de AAA y el procedimiento de asignación de VLAN dinámica anularán esta interfaz al mapeo WLAN, asignando así al usuario a la VLAN especificada por el ACS a la configuración del mapeo de grupos de bases de datos de Windows.

Configure el Cliente Inalámbrico

Consulte Configuración de la Utilidad del Cliente Inalámbrico si necesita información sobre cómo configurar la utilidad del cliente inalámbrico con una excepción de configuración del nombre SSID como ADS1.

Verifique

Active el perfil de usuario ADS1 que ha configurado en ADU. Según su configuración, al cliente se le solicita que ingrese el nombre de usuario y la contraseña.

En este ejemplo, se utilizan este nombre de usuario y contraseña del lado del cliente para recibir autenticación y para ser asignado a una VLAN por parte del servidor RADIUS:

  • Nombre de Usuario = user2

  • Contraseña = Jamesbond007

Además, especifique wireless.com en el campo logon to del cuadro de diálogo Enter Wireless Network Password.

Una vez que el cliente inalámbrico logre autenticarse correctamente, encuentre el dominio, se una al dominio y se asocie a la red WLAN a través de ADS1 SSID, usted deberá verificar que su cliente sea asignado a la VLAN correcta de acuerdo a los atributos VSA enviados por la configuración de grupo del servidor RADIUS.

Complete estos pasos para poder hacerlo:

  1. Desde la GUI del controlador, elija Wireless > AP. Haga clic en Clients que aparece a la izquierda de la ventana Access Points (APs).

    Se muestran las estadísticas del cliente junto con el estatus como se asoció.

    /image/gif/paws/99121/vlan-acs-ad-config20.gif

  2. Haga clic en Details de WLAN ADS1 en la página de clientes de WLC.

    /image/gif/paws/99121/vlan-acs-ad-config21.gif

    En la página de detalles, verifique que el usuario user :user2 se autentique y asocie a través de ADS1 SSID y que sea asignado a la interfaz admin de VLAN con VLAN 20 de acuerdo al mapeo de grupo de ACS a AD.

  3. Repita estos pasos para verificar que el usuario user:user1 se autentique a través de ADS1 SSID.

    La página de detalles del cliente de este usuario debería verse de esta manera una vez que se logre autenticar y asociar al cliente:

    /image/gif/paws/99121/vlan-acs-ad-config22.gif

    En la página de detalles, verifique que el usuario user :user1 se autentique y asocie a través de ADS1 SSID y que sea asignado a la interfaz "sales" de VLAN con VLAN 10 de acuerdo al mapeo de grupo de ACS a AD.

    Nota: Configure el ruteo inter-VLAN en el switch multicapas para la comunicación inter-VLAN. Esta explicación supera el alcance de este documento. Consulte Configuración del Switch para VLAN Múltiples para obtener más información acerca de la configuración del switch.

Troubleshooting

En esta sección, encontrará información que puede utilizar para resolver problemas de configuración. Consulte Información de Debug de AAA para Cisco Secure ACS para Windows si desea más información sobre cómo iniciar sesión y obtener información de debug de AAA en el ACS.

Comandos para Troubleshooting

Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.

  • debug aaa events enable: Este comando se puede utilizar para garantizar una transferencia exitosa de los atributos RADIUS a cliente a través del controlador. Esta porción de la salida de debug asegura una transmisión exitosa de los atributos RADIUS.

    A continuación, se ofrece la salida de este comando en base a la configuración del ejemplo que se incluye en este documento:

    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Successful trans
    mission of Authentication Packet (id 131) to 10.77.244.196:1812, proxy state 00:
    40:96:af:3e:93-96:af
    Fri Oct  5 15:47:38 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 15:47:38 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Access-Challenge received from
    RADIUS server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 132) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    
    Fri Oct  5 15:47:38 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 15:47:38 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Successful transmission of Authentic
    ation Packet (id 133) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-96:af
    
    Fri Oct  5 15:47:38 2007: ****Enter processIncomingMessages: response code=2
    Fri Oct  5 15:47:38 2007: ****Enter processRadiusResponse: response code=2
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Access-Accept received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Applying new AAA override for
    station 00:40:96:af:3e:93
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Inserting new RADIUS override into
    chain for station 00:40:96:af:3e:93
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Applying override policy from source
     Override Summation:
    
    Fri Oct  5 15:47:38 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 256, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', a
    Fri Oct  5 15:47:39 2007: 00:40:96:af:3e:93 Sending Accounting request (0) for
    station 00:40:96:af:3e:93

    Como puede verse en esta salida de debug, WLC transfirió las solicitudes y respuestas de autenticación entre el cliente inalámbrico y el servidor RADIUS con dirección IP de 10.77.244.196. El servidor logró autenticar al cliente inalámbrico (esto puede verificarse utilizando el mensaje Access-Accept). Al lograr la autenticación, también podrá notar que el servidor RADIUS transmite el nombre de la interfaz VLAN: sales, asignando así en forma dinámica al cliente inalámbrico a la VLAN "sales".

  • debug dot1x aaa enable: Este comando se utiliza para hacer debug de toda la autenticación dot1x que se desarrolla entre el cliente inalámbrico y el servidor de autenticación (ACS).

  • debug aaa all enable: Configura la debug de todos los mensajes AAA.

    A continuación, se ofrece la salida de este comando en base a la configuración del ejemplo que se incluye en este documento:

    (Cisco Controller) >Fri Oct  5 16:17:18 2007: AuthenticationRequest: 0xac4be5c
    Fri Oct  5 16:17:18 2007:       Callback.....................................0x8
    29a960
    Fri Oct  5 16:17:18 2007:       protocolType.................................0x0
    0040001
    Fri Oct  5 16:17:18 2007:       proxyState...................................00:
    40:96:AF:3E:93-07:00
    Fri Oct  5 16:17:18 2007:       Packet contains 12 AVPs (not shown)
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Successful transmission of
    Authentication Packet (id 137) to 10.77.244.196:1812,
    proxy state 00:40:96:af:3e:93-96:af
    .................................................................................
    ..................................................................................
    ..................................................................................
    
    Fri Oct  5 16:17:18 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 16:17:18 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Access-Challenge received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 7
    Fri Oct  5 16:17:18 2007: AuthorizationResponse: 0x9845500
    Fri Oct  5 16:17:18 2007:       structureSize................................130
    
    Fri Oct  5 16:17:18 2007:       resultCode...................................255
    
    Fri Oct  5 16:17:18 2007:       protocolUsed.................................0x0
    0000001
    Fri Oct  5 16:17:18 2007:       proxyState...................................00:
    40:96:AF:3E:93-07:00
    Fri Oct  5 16:17:18 2007:       Packet contains 3 AVPs (not shown)
    ..............................................................................
    ..............................................................................
    ..............................................................................
    ..............................................................................
    
    Fri Oct  5 16:17:18 2007: ****Enter processIncomingMessages: response code=11
    Fri Oct  5 16:17:18 2007: ****Enter processRadiusResponse: response code=11
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Access-Challenge received from
    RADIUS server 10.77.244.196 for mobi)
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Successful transmission of
    Authentication Packet (id 139) to 10.77.244.196:1812,
    proxy state 00:40:96:af:3e:93-96:af
    
    Fri Oct  5 16:17:18 2007: 00000000: 01 8b 00 bb 54 4c 75 3a  e5 b9 d2 c0 28 f2 9
    3 b3  ....TLu:....(...
    Fri Oct  5 16:17:18 2007: 00000010: f2 81 50 65 01 10 77 69  72 65 6c 65 73 73 5
    c 75  ..Pe..wireless\u
    Fri Oct  5 16:17:18 2007: 00000020: 73 65 72 31 1f 13 30 30  2d 34 30 2d 39 36 2
    d 41  ser1..00-40-96-A
    Fri Oct  5 16:17:18 2007: 00000030: 46 2d 33 45 2d 39 33 1e  18 30 30 2d 30 42 2
    d 38  F-3E-93..00-0B-8
    Fri Oct  5 16:17:18 2007: 00000040: 35 2d 35 42 2d 46 42 2d  44 30 3a 41 44 53 3
    1 05  5-5B-FB-D0:ADS1.
    Fri Oct  5 16:17:18 2007: 00000050: 06 00 00 00 01 04 06 0a  4d f4 d4 20 06 57 4
    c 43  ........M....WLC
    Fri Oct  5 16:17:18 2007: 00000060: 31 1a 0c 00 00 37 63 01  06 00 00 00 02 06 0
    6 00  1....7c.........
    Fri Oct  5 16:17:18 2007: 00000070: 00 00 02 0c 06 00 00 05  14 3d 06 00 00 00 1
    3 4f  .........=.....O
    Fri Oct  5 16:17:18 2007: 00000080: 20 01 05 00 1e 11 01 00  08 85 8e 81 b0 7d b
    f ee  .............}..
    Fri Oct  5 16:17:18 2007: 00000090: b1 77 69 72 65 6c 65 73  73 5c 75 73 65 72 3
    1 18  .wireless\user1
    ................................................................................
    .................................................................................
    ..................................................................................
    Fri Oct  5 16:17:18 2007: 00000050: 31 1a 3b 00 00 00 09 01  35 6c 65 61 70 3a 7
    3 65  1.;.....5leap:se
    Fri Oct  5 16:17:18 2007: 00000060: 73 73 69 6f 6e 2d 6b 65  79 3d 84 e7 c5 3c 3
    3 bd  ssion-key=...<3.
    Fri Oct  5 16:17:18 2007: 00000070: a8 bf 7a 43 9d 6e bb c8  a8 2c 5d c6 91 d6 f
    3 21  ..zC.n...,]....!
    Fri Oct  5 16:17:18 2007: 00000080: df 1e 0e 28 c1 ef a5 31  a7 cd 62 da 1a 1f 0
    0 00  ...(...1..b.....
    Fri Oct  5 16:17:18 2007: 00000090: 00 09 01 19 61 75 74 68  2d 61 6c 67 6f 2d 7
    4 79  ....auth-algo-ty
    Fri Oct  5 16:17:18 2007: 000000a0: 70 65 3d 65 61 70 2d 6c  65 61 70 19 17 43 4
    1 43  pe=eap-leap..CAC
    
          ....
    Fri Oct  5 16:17:18 2007: ****Enter processIncomingMessages: response code=2
    Fri Oct  5 16:17:18 2007: ****Enter processRadiusResponse: response code=2
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Access-Accept received from RADIUS
    server 10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 7
    Fri Oct  5 16:17:18 2007: AuthorizationResponse: 0x9845500
    Fri Oct  5 16:17:18 2007:       structureSize................................228
    
    Fri Oct  5 16:17:18 2007:       resultCode...................................0
    Fri Oct  5 16:17:18 2007:       protocolUsed.................................0x0
    0000001
    Fri Oct  5 16:17:18 2007:       proxyState...................................00:
    40:96:AF:3E:93-07:02
    Fri Oct  5 16:17:18 2007:       Packet contains 5 AVPs:
    Fri Oct  5 16:17:18 2007:           AVP[01] Airespace / Interface-Name..........
    .....sales (5 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[02] EAP-Message.........................
    .....DATA (46 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[03] Cisco / LEAP-Session-Key............
    .....DATA (16 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[04] Class...............................
    .....CACS:0/5943/a4df4d4/1 (21 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[05] Message-Authenticator...............
    .....DATA (16 bytes)
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Applying new AAA override for
    station 00:40:96:af:3e:93
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Inserting new RADIUS override into
    chain for station 00:40:96:af:3e:93
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 4, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', acl
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Applying override policy from source
     Override Summation:
    
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Override values for station 00:40:96
    :af:3e:93
                    source: 256, valid bits: 0x200
            qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
    
            dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                            vlanIfNa
    me: 'sales', a
    Fri Oct  5 16:17:18 2007: 00:40:96:af:3e:93 Sending Accounting request (0) for
    station 00:40:96:af:3e:93
    Fri Oct  5 16:17:18 2007: AccountingMessage Accounting Interim: 0xac4b1f0
    Fri Oct  5 16:17:18 2007:       Packet contains 20 AVPs:
    Fri Oct  5 16:17:18 2007:           AVP[01] User-Name...........................
    .....wireless\user1 (14 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[02] Nas-Port............................
    .....0x00000001 (1) (4 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[03] Nas-Ip-Address......................
    .....0x0a4df4d4 (172881108) (4 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[04] Class...............................
    .....CACS:0/5943/a4df4d4/1 (21 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[05] NAS-Identifier......................
    .....0x574c4331 (1464615729) (4 bytes)
    Fri Oct  5 16:17:18 2007:           AVP[06] Airespace / WLAN-Identifier.........
    .....0x00000002 (2) (4 bytes)
    ......................................................................................
    .......................................................................................
    .......................................................................................

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 99121