Tecnología inalámbrica : Productos Cisco Wireless LAN Controller de la serie 4400

Autenticación Web usando el LDAP en el ejemplo de configuración de los reguladores del Wireless LAN (WLCs)

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (20 Diciembre 2015) | Comentarios


Contenido


Introducción

Este documento explica cómo configurar un controlador de LAN inalámbrico (WLC) para la autenticación Web. Este documento también explica cómo configurar un servidor del Lightweight Directory Access Protocol (LDAP) como la base de datos backend para que la autenticación Web extraiga los credenciales de usuario y autentique al usuario.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Conocimiento de la configuración de los Puntos de acceso ligeros (revestimientos) y del WLCs de Cisco

  • Conocimiento del protocolo del Lightweight Access Point (LWAPP)

  • Conocimiento de cómo configurar y configurar el LDAP, el Active Directory y los controladores de dominio

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • WLC de Cisco 4400 que funciona con la versión de firmware 5.1

  • REVESTIMIENTO de las Cisco 1232 Series

  • Adaptador de red inalámbrica de cliente de Cisco 802.11a/b/g que funciona con la versión de firmware 4.2

  • Servidor de Microsoft Windows 2003 que realiza el papel del servidor LDAP

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Proceso de autenticación Web

La autenticación Web es una función de seguridad de la capa 3 que hace al regulador rechazar el tráfico IP (excepto los paquetes DHCP-relacionados) de un cliente particular hasta que ese cliente haya suministrado correctamente un nombre de usuario válido y una contraseña. Cuando usted utiliza la autenticación Web para autenticar a los clientes, usted debe definir un nombre de usuario y contraseña para cada cliente. Entonces, cuando los clientes intentan unirse al Wireless LAN, sus usuarios deben ingresar el nombre de usuario y contraseña cuando son indicados por una página de registro.

Cuando se habilita la autenticación Web (bajo Seguridad de la capa 3), los usuarios reciben de vez en cuando una alerta de seguridad del web browser la primera vez que intentan acceder un URL.

ldap-web-auth-wlc-1.gif

Después de que el usuario haga clic para proceder, o si el navegador de theclient no visualiza una alerta de seguridad, el sistema de autenticación Web reorienta al cliente a una página de registro

ldap-web-auth-wlc-2.gif

La página de registro predeterminada contiene un texto del logotipo de Cisco y del Cisco específico. Usted puede elegir tener la visualización una del sistema de autenticación Web de éstos:

  • La página de registro predeterminada

  • Una versión modificada de la página de registro predeterminada

  • Una página de registro personalizada que usted configura en un servidor Web externo

  • Una página de registro personalizada que usted descarga al regulador

Cuando el usuario ingresa un nombre de usuario válido y la contraseña en la página de registro de la autenticación Web y los tecleos someten, autentican al usuario basó sobre las credenciales sometidas y una autenticación satisfactoria. El sistema de autenticación Web después visualiza una página de la registración satisfactoria y reorienta al cliente autenticado al URL pedido.

ldap-web-auth-wlc-3.gif

La página predeterminada de la registración satisfactoria contiene un puntero a una dirección del gateway virtual URL: https://1.1.1.1/logout.html. La dirección IP que usted fija para la interfaz virtual del regulador sirve como el direccionamiento de la reorientación para la página de registro.

Este documento explica cómo utilizar la página web interna en el WLC para la autenticación Web. Este ejemplo utiliza un servidor del Lightweight Directory Access Protocol (LDAP) como la base de datos backend para que la autenticación Web extraiga los credenciales de usuario y autentique al usuario.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/108008/ldap-web-auth-wlc-4.gif

Configuraciones

Complete estos pasos para implementar con éxito esta configuración:

Configure al servidor LDAP

El primer paso es configurar al servidor LDAP, que sirve como base de datos backend salvar los credenciales de usuario de los clientes de red inalámbrica. En este ejemplo, el servidor de Microsoft Windows 2003 se utiliza como el servidor LDAP.

El primer paso en la configuración del servidor LDAP es crear una base de datos de usuarios en el servidor LDAP de modo que el WLC pueda preguntar esta base de datos para autenticar al usuario.

Cree a los usuarios en el controlador de dominio

Una unidad organizativa (OU) contiene a los múltiples grupos que llevan las referencias a las entradas personales en un PersonProfile. Una persona puede ser un miembro de los múltiples grupos. Todas las definiciones de la clase y de atributo de objeto son valor por defecto del esquema LDAP. Cada grupo contiene las referencias (dn) para cada persona que pertenezca a él.

En este ejemplo, se crea un nuevo OU LDAP-USERS, y el user1 del usuario se crea bajo este OU. Cuando usted configura a este usuario para el acceso LDAP, el WLC puede preguntar esta base de datos de LDAP para la autenticación de usuario.

El dominio usado en este ejemplo es lab.wireless.

Cree una base de datos de usuarios bajo un OU

Esta sección explica cómo crear un nuevo OU en su dominio y crear a un usuario nuevo en este OU.

  1. En el controlador de dominio, Start (Inicio) > Programs (Programas) > Administrative Tools (Herramientas administrativas) > Active Directory Users and Computers (Computadoras y usuarios de Active Directory) del tecleo para iniciar la consola de administración de los usuarios de directorio activo y computadora.

  2. Haga clic con el botón derecho del ratón su Domain Name, que es lab.wireless en este ejemplo, y después elija el New (Nuevo) > Organizational Unit (Unidad Organizacional) del menú contextual para crear un nuevo OU.

    ldap-web-auth-wlc-5.gif

  3. Asigne un nombre a este OU y haga clic la AUTORIZACIÓN.

    ldap-web-auth-wlc-6.gif

Ahora que el nuevo OU LDAP-USERS se crea en el servidor LDAP, el siguiente paso es crear el user1 del usuario bajo este OU. Para alcanzar esto, complete estos pasos:

  1. Haga clic con el botón derecho del ratón el nuevo OU creado. Elija el New (Nuevo) > User (Usuario) de los menús contextuales resultantes para crear a un usuario nuevo.

    ldap-web-auth-wlc-7.gif

  2. En la página de la configuración de usuario, complete los campos obligatorios tal y como se muestra en de este ejemplo. Este ejemplo tiene user1 en el campo de nombre de inicio del usuario.

    Éste es el nombre de usuario que se verifica en la base de datos de LDAP para autenticar al cliente. Este ejemplo utiliza el user1 en los campos del primer nombre y de nombre completo. Haga clic en Next (Siguiente).

    ldap-web-auth-wlc-8.gif

  3. Ingrese una contraseña y confirme la contraseña. Elija la contraseña nunca expira opción y hace clic después.

    ldap-web-auth-wlc-9.gif

  4. Haga clic en Finish (Finalizar).

    Un user1 del usuario nuevo se crea bajo el OU LDAP-USERS. Éstos son los credenciales de usuario:

    • nombre de usuario: User1

    • contraseña: Laptop123

      ldap-web-auth-wlc-10.gif

    Ahora que crean al usuario bajo un OU, el siguiente paso es configurar a este usuario para el acceso LDAP.

Configure al usuario para el acceso LDAP

Realice los pasos en esta sección para configurar a un usuario para el acceso LDAP.

Habilite la característica anónima del lazo en el servidor de Windows 2003

Para cualquier aplicación de terceros (en nuestro WLC del caso) para acceder Windows 2003 AD en el LDAP, la característica anónima del lazo se debe habilitar en Windows 2003. Por abandono, las operaciones LDAP anónimas no se permiten en Windows 2003 controladores de dominio. Realice estos pasos para habilitar la característica anónima del lazo:

  1. Inicie el ADSI editan la herramienta del Start (Inicio) > Run (Ejecutar) > del tipo de la ubicación: ADSI Edit.msc. Esta herramienta es parte de Windows 2003 instrumentos de apoyo.

  2. En el ADSI edite la ventana, amplían el dominio de la raíz ([tsweb.lab.wireless] de la configuración).

    Amplíe CN=Services > el Windows NT CN= > el servicio de CN=Directory. Haga clic con el botón derecho del ratón el envase del servicio de CN=Directory, y elija las propiedades del menú contextual.

    ldap-web-auth-wlc-11.gif

  3. En el CN=Directory mantenga la ventana de pPropiedades, bajo atributos, tecleo el atributo del dsHeuristics bajo campo del atributo y elija editan. En la ventana del Editor del atributo de la cadena de este atributo, ingrese el valor 0000002; el tecleo se aplica y APRUEBA. La característica anónima del lazo se habilita en el servidor de Windows 2003.

    Nota: (El séptimo) carácter más reciente es el que controla la manera que usted puede atar al servicio LDAP. "0" o ningunos séptimos caracteres significan que las operaciones LDAP anónimas están inhabilitadas. Si usted fija el séptimo carácter hasta el "2," habilita el anónimo ata la característica.

    ldap-web-auth-wlc-12.gif

Concediendo a acceso ANÓNIMO del INICIO al usuario el "User1"

El siguiente paso es conceder el acceso ANÓNIMO del INICIO al user1 del usuario. Complete estos pasos para alcanzar esto:

  1. Abra a los usuarios de directorio activo y computadora.

  2. Aseegurese que las funciones avanzadas de la visión están marcadas.

  3. Navegue al user1 del usuario y hagalo clic con el botón derecho del ratón. Elija las propiedades del menú contextual. Identifican a este usuario con el primer nombre el "User1."

    ldap-web-auth-wlc-13.gif

  4. Haga clic en la ficha Security (Seguridad).

    ldap-web-auth-wlc-14.gif

  5. El tecleo agrega en la ventana resultante.

  6. Ingrese la CONEXIÓN A LA COMUNICACIÓN ANÓNIMA bajo ingresar los nombres del objeto para seleccionar el rectángulo y para reconocer el diálogo.

    ldap-web-auth-wlc-15.gif

  7. En el ACL, note que el INICIO ANÓNIMO tiene acceso a algunos conjuntos de la propiedad del usuario. Haga clic en OK. El acceso ANÓNIMO del INICIO se concede a este usuario.

    ldap-web-auth-wlc-16.gif

La lista de Grant contenta el permiso en el OU

El siguiente paso es conceder por lo menos el permiso del contenido de la lista al INICIO ANÓNIMO en el OU en el cual el usuario está situado. En este ejemplo, el "User1" está situado en el OU “LDAP-USERS.” Complete estos pasos para alcanzar esto:

  1. En los usuarios de directorio activo y computadora, haga clic con el botón derecho del ratón el OU LDAP-USERS y elija las propiedades.

    ldap-web-auth-wlc-17.gif

  2. Haga clic la Seguridad y después avanzó.

  3. Haga clic en Add (Agregar). En el diálogo que se abre, ingrese la CONEXIÓN A LA COMUNICACIÓN ANÓNIMA.

    ldap-web-auth-wlc-18.gif

  4. Reconozca el diálogo. Esto abre una nueva ventana de diálogo.

  5. En la aplicación sobre la casilla desplegable, elija este objeto solamente. Habilite el contenido de la lista permiten la casilla de verificación.

    ldap-web-auth-wlc-19.gif

Utilice el LDP para identificar los atributos de usuario

Esta herramienta GUI es un cliente LDAP tales como quien permite que los usuarios realicen las operaciones, conectan, ata, busca, se modifica, agrega, o borra, contra cualquier directorio LDAP-compatible, tal como Active Directory. El LDP se utiliza a los objetos de visión que se salvan en el Active Directory junto con sus meta datos, tales como descriptores de seguridad y meta datos de la replicación.

La herramienta LDP GUI es incluida cuando usted instala los instrumentos de apoyo del Servidor Windows 2003 del CD del producto. Esta sección explica cómo utilizar la utilidad LDP para identificar los atributos específicos asociados al user1 del usuario. Algunos de estos atributos se utilizan para completar los parámetros de la configuración del servidor LDAP en el WLC, tal como tipo del atributo de usuario y tipo de objeto de usuario.

  1. En el servidor de Windows 2003 (incluso en el mismo servidor LDAP), el Start (Inicio) > Run (Ejecutar) del tecleo y ingresa el LDP para acceder el hojeador LDP.

  2. En la ventana principal LDP, la conexión del tecleo > conecta y conecta con el servidor LDAP cuando usted ingresa el IP Address del servidor LDAP.

    ldap-web-auth-wlc-20.gif

  3. Conectado una vez con el servidor LDAP, elija la visión del menú principal y haga clic el árbol.

    ldap-web-auth-wlc-21.gif

  4. En la ventana resultante de la vista de árbol, ingrese el BaseDN del usuario. En este ejemplo, el user1 está situado bajo el OU “LDAP-USERS” bajo dominio LAB.wireless. Haga clic en OK.

    ldap-web-auth-wlc-22.gif

  5. El lado izquierdo del navegador LDP visualiza el árbol entero que aparece bajo el BaseDN especificado (OU=LDAP-USERS, dc=LAB, dc=Wireless). Amplíe el árbol para localizar el user1 del usuario. Este usuario puede ser identificado con el valor CN que representa el primer nombre del usuario. En este ejemplo, es CN=User1. Clic doble CN=User1. En el cristal del lado derecho del navegador LDP, el LDP visualiza todos los atributos asociados al user1. Este ejemplo explica este paso:

    ldap-web-auth-wlc-23.gif

  6. Cuando usted configura el WLC para el servidor LDAP, en el campo del atributo de usuario, ingrese el nombre del atributo en el registro del usuario que contiene el nombre de usuario. De esta salida LDP, usted puede ver que el sAMAccountName es un atributo que contiene el nombre de usuario el "User1," así que ingresa el atributo del sAMAccountName que corresponde al campo del atributo de usuario en el WLC.

  7. Cuando usted configura el WLC para el servidor LDAP, en el campo del tipo de objeto de usuario, ingrese el valor del atributo del objectType del LDAP que identifica el expediente como usuario. A menudo, los registros del usuario tienen varios valores para el atributo del objectType, algunos de los cuales son únicos al usuario y comparten algunos de los cuales con otros tipos de objeto. En la salida LDP, CN=Person es un valor que identifica el expediente como usuario, así que especifica a la persona como el atributo type del objeto de usuario en el WLC.

    El siguiente paso es configurar el WLC para el servidor LDAP.

WLC de la configuración para el servidor LDAP

Ahora que configuran al servidor LDAP, el siguiente paso es configurar el WLC con los detalles del servidor LDAP. Complete estos pasos en el WLC GUI:

Nota: Este documento asume que el WLC está configurado para la operación básica y que los revestimientos están registrados al WLC. Si usted es un usuario nuevo que quiere poner el WLC para la operación básica con los revestimientos, refiera al registro ligero AP (REVESTIMIENTO) a un regulador del Wireless LAN (WLC).

  1. En la página Seguridad del WLC, elija AAA > LDAP del lado izquierdo del panel de tareas para moverse a la página de configuración del servidor LDAP.

    ldap-web-auth-wlc-24.gif

    Para agregar a un servidor LDAP, haga clic nuevo. Los servidores LDAP > nueva página aparecen.

  2. En los servidores LDAP edite la página, especifican a los detalles del servidor LDAP, tales como la dirección IP del servidor LDAP, número del puerto, estado del servidor del permiso, y así sucesivamente.

    • Elija un número de la casilla desplegable del índice del servidor (prioridad) para especificar la orden de la prioridad de este servidor en relación con cualquier otro servidor LDAP configurado. Usted puede configurar hasta diecisiete servidores. Si el regulador no puede alcanzar el primer servidor, intenta segundo en la lista y así sucesivamente.

    • Ingrese el IP Address del servidor LDAP en el campo de dirección IP del servidor.

    • Ingrese al número del puerto TCP del servidor LDAP en el campo de número del puerto. El intervalo válido es 1 a 65535, y el valor predeterminado es 389.

    • En el campo de la Base del usuario DN, ingrese el Nombre distintivo (DN) de la sub-estructura en el servidor LDAP que contiene una lista de todos los usuarios. Por ejemplo, unidad del ou=organizational, unidad organizativa .ou=next, y o=corporation.com. Si el árbol que contiene a los usuarios es la base DN, ingrese o=corporation.com o el dc=corporation, dc=com.

      En este ejemplo, el usuario está situado bajo unidad organizativa (OU) LDAP-USERS, que, a su vez, se crea como parte del dominio lab.wireless.

      La Base del usuario DN debe señalar la ruta completa en donde se encuentra la información del usuario (credencial de usuario según el método de autentificación del EAP-FAST). En este ejemplo, el usuario está situado bajo base DN OU=LDAP-USERS, DC=lab, DC=Wireless.

    • En el campo del atributo de usuario, ingrese el nombre del atributo en el registro del usuario que contiene el nombre de usuario.

      En el campo del tipo de objeto de usuario, ingrese el valor del atributo del objectType del LDAP que identifica el expediente como usuario. A menudo, los registros del usuario tienen varios valores para el atributo del objectType, algunos de los cuales son únicos al usuario y comparten algunos de los cuales con otros tipos de objeto

      Usted puede obtener el valor de estos dos campos de su Servidor del directorio con la utilidad del navegador LDAP que viene como parte de Windows 2003 instrumentos de apoyo. Esta herramienta del navegador de Microsoft LDAP se llama LDP. Con la ayuda de esta herramienta, usted puede conocer la Base del usuario DN, el atributo de usuario, y los campos del tipo de objeto de usuario de este usuario determinado. La información detallada en cómo utilizar el LDP para conocer estos atributos específicos del usuario se discute en el LDP que usa para identificar la sección de los atributos de usuario de este documento.

    • En el campo del tiempo de espera del servidor, ingrese el número de segundos entre las retransmisiones. El intervalo válido es 2 a 30 segundos, y el valor predeterminado es 2 segundos.

    • Marque la casilla de verificación del estado del servidor del permiso para habilitar a este servidor LDAP, o desmarquela para inhabilitarla. Se inhabilita el valor predeterminado.

    • El tecleo se aplica para confiar sus cambios. Esto es un ejemplo configurado ya con esta información:

    ldap-web-auth-wlc-25.gif

  3. Ahora que los detalles sobre el servidor LDAP se configuran en el WLC, el siguiente paso es configurar una red inalámbrica (WLAN) para la autenticación Web.

Configure la red inalámbrica (WLAN) para la autenticación Web

El primer paso es crear una red inalámbrica (WLAN) para los usuarios. Complete estos pasos:

  1. Haga clic los WLAN del regulador GUI para crear una red inalámbrica (WLAN).

    La ventana del WLAN aparece. Esta ventana enumera los WLAN configurados en el regulador.

  2. Tecleo nuevo para configurar una nueva red inalámbrica (WLAN).

    En este ejemplo, la red inalámbrica (WLAN) se nombra Red-Auth.

    ldap-web-auth-wlc-26.gif

  3. Haga clic en Apply (Aplicar).

  4. En la red inalámbrica (WLAN) > edite la ventana, definen los parámetros específicos a la red inalámbrica (WLAN).

    ldap-web-auth-wlc-27.gif

    • Marque el cuadro de revisión de estado para habilitar la red inalámbrica (WLAN).

    • Para la red inalámbrica (WLAN), elija la interfaz apropiada del campo de nombre de la interfaz.

      Este ejemplo asocia la interfaz de administración que conecta con el Red-auth de la red inalámbrica (WLAN).

  5. Haga clic en la ficha Security (Seguridad). En el campo de Seguridad de la capa 3, marque la casilla de verificación Web Policy, y elija la opción de autenticación.

    ldap-web-auth-wlc-28.gif

    Se elige esta opción porque la autenticación Web se utiliza para autenticar a los clientes de red inalámbrica. Marque la casilla de verificación de la configuración global de la invalidación para habilitar por la configuración de la autenticación Web de la red inalámbrica (WLAN). Elija el tipo apropiado de la autenticación Web del menú desplegable del tipo del auth de la red. Este ejemplo utiliza la autenticación del Web interna.

    Nota: La autenticación Web no se soporta con la autenticación del 802.1x. Esto significa que usted no puede elegir el 802.1x o a WPA/WPA2 con el 802.1x como la Seguridad de la capa 2 cuando usted utiliza la autenticación Web. La autenticación Web se soporta con el resto de los parámetros de seguridad de la capa 2.

  6. Haga clic a los servidores de AAA que cuadro elige al servidor LDAP configurado del menú desplegable del servidor LDAP. Si usted utiliza una base de datos local o a un servidor de RADIUS, usted puede establecer la prioridad de la autenticación bajo pedido de la prioridad de la autenticación para el userfield del red-auth.

    ldap-web-auth-wlc-29.gif

  7. Haga clic en Apply (Aplicar).

    Nota: En este ejemplo, acode 2 métodos de seguridad para autenticar a los usuarios no se utilizan, así que no elija ninguno en el campo de Seguridad de la capa 2.

Verificación

Para verificar esta configuración, conecte a un cliente de red inalámbrica y marque si la configuración trabaja como se esperaba.

El cliente de red inalámbrica sube, y el usuario ingresa el URL, tal como www.yahoo.com, en el buscador Web. Porque no han autenticado al usuario, el WLC reorienta al usuario al login URL del Web interna.

Indican al usuario para los credenciales de usuario. Una vez que el usuario somete el nombre de usuario y contraseña, la página de registro toma la entrada de los credenciales de usuario y, sobre somete, envía la petición de nuevo al ejemplo del action_URL, http://1.1.1.1/login.html, del servidor Web del WLC. Se proporciona esto mientras que un parámetro de entrada al cliente reorienta el URL, donde está el direccionamiento 1.1.1.1 de la interfaz virtual en el Switch.

El WLC autentica al usuario contra la base de datos de usuarios LDAP. Después de la autenticación satisfactoria, el servidor Web del WLC cualquiera adelante el usuario al configurado reorienta el URL o al URL con el cual el cliente comenzó, por ejemplo www.yahoo.com.

ldap-web-auth-wlc-30.gif

ldap-web-auth-wlc-31.gif

ldap-web-auth-wlc-32.gif

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Utilice estos comandos de resolver problemas su configuración:

  • haga el debug del <client-MAC-direccionamiento xx de las direcciones MAC: xx: xx: xx: xx: xx>

  • debug aaa all enable

  • permiso del estado PEM del debug

  • permiso de los eventos PEM del debug

  • permiso del mensaje DHCP del debug

  • permiso del paquete DHCP del debug

Esto es una salida de muestra del comando debug aaa all enable.

*Sep 19 15:16:10.286: AuthenticationRequest: 0x152c8e78


*Sep 19 15:16:10.286: 	
   Callback.....................................0x10567ae0

*Sep 19 15:16:10.286: 	
   protocolType.................................0x00000002

*Sep 19 15:16:10.286: 	
   proxyState...................................00:40:96:AF:3E:93-00:00

*Sep 19 15:16:10.286: 	Packet contains 8 AVPs (not shown)

*Sep 19 15:16:10.287: 
   ldapTask [1] received msg 'REQUEST' (2) in state 'IDLE' (1)
*Sep 19 15:16:10.287: 
   LDAP server 1 changed state to INIT
*Sep 19 15:16:10.287: 
   ldapInitAndBind [1] called lcapi_init (rc = 0 - Success)
*Sep 19 15:16:10.296: 
   ldapInitAndBind [1] configured Method Anonymous 
   lcapi_bind (rc = 0 - Success)
*Sep 19 15:16:10.297: LDAP server 1 changed state to CONNECTED
*Sep 19 15:16:10.297: LDAP_CLIENT: UID Search (base=OU=LDAP-USERS,
   DC=LAB,DC=WIRELESS, pattern=(&(objectclass=Person)
   (sAMAccountName=User1)))
*Sep 19 15:16:10.308: LDAP_CLIENT: Returned 2 msgs
*Sep 19 15:16:10.308: LDAP_CLIENT: Returned msg 1 type 0x64
*Sep 19 15:16:10.308: LDAP_CLIENT: 
   Received 1 attributes in search entry msg
*Sep 19 15:16:10.308: LDAP_CLIENT: Returned msg 2 type 0x65
*Sep 19 15:16:10.308: LDAP_CLIENT : No matched DN
*Sep 19 15:16:10.308: LDAP_CLIENT : Check result error 0 rc 1013
*Sep 19 15:16:10.309: ldapAuthRequest [1] called lcapi_query base=
   "OU=LDAP-USERS,DC=LAB,DC=WIRELESS" type="Person" attr="sAMAccountName" 
   user="User1" (rc = 0 - Success)
*Sep 19 15:16:10.309: Attempting user bind with username 
   CN=User1,OU=LDAP-USERS,DC=lab,DC=wireless
*Sep 19 15:16:10.335: LDAP ATTR> dn = CN=User1,OU=LDAP-USERS,
   DC=lab,DC=wireless (size 41)
*Sep 19 15:16:10.335: Handling LDAP response Success
*Sep 19 15:16:10.335: 00:40:96:af:3e:93 Returning AAA 
   Success for mobile 00:40:96:af:3e:93
*Sep 19 15:16:10.335: AuthorizationResponse: 0x3fbf7b40


*Sep 19 15:16:10.336: 	structureSize..........................137

*Sep 19 15:16:10.336: 	resultCode.............................0

*Sep 19 15:16:10.336: 	protocolUsed...........................0x00000002

*Sep 19 15:16:10.336: 	proxyState...............................
   00:40:96:AF:3E:93-00:00

*Sep 19 15:16:10.336: 	Packet contains 3 AVPs:

*Sep 19 15:16:10.336: 	    AVP[01] Unknown Attribute 0..........
   CN=User1,OU=LDAP-USERS,DC=lab,DC=wireless (41 bytes)

*Sep 19 15:16:10.336: 	    AVP[02] User-Name............
   User1 (5 bytes)

*Sep 19 15:16:10.336: 	    AVP[03] User-Password....[...]

*Sep 19 15:16:10.336: Authentication failed for User1, 
   Service Type: 0 
*Sep 19 15:16:10.336: 00:40:96:af:3e:93 Applying new AAA 
   override for station 00:40:96:af:3e:93
*Sep 19 15:16:10.336: 00:40:96:af:3e:93 
   Override values for station 00:40:96:af:3e:93
	source: 48, valid bits: 0x1
	qosLevel: -1, dscp: 0xffffffff, dot1pTag: 
   0xffffffff, sessionTimeout: -1
	dataAvgC: -1, rTAvg
*Sep 19 15:16:10.337: 00:40:96:af:3e:93 Unable to apply 
   override policy for station 00:40:96:af:3e:93 - 
   VapAllowRadiusOverride is FALSE
*Sep 19 15:16:10.339: 00:40:96:af:3e:93 Sending 
   Accounting request (0) for station 00:40:96:af:3e:93 
*Sep 19 15:16:10.339: AccountingMessage 
   Accounting Start: 0x152d9778

*Sep 19 15:16:10.339: 	Packet contains 11 AVPs:

*Sep 19 15:16:10.339: 	    
   AVP[01] User-Name.......................User1 (5 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[02] Nas-Port........................0x00000002 
   (2) (4 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[03] Nas-Ip-Address..................0x0a4df4cc 
   (172881100) (4 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[04] Framed-IP-Address...............0x0a4df4c6 
   (172881094) (4 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[05] NAS-Identifier..................WLC-4400 (8 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[06] Airespace / WLAN-Identifier.....0x00000001 (1) 
   (4 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[07] Acct-Session-Id.................
   48d3c23a/00:40:96:af:3e:93/162 (30 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[08] Acct-Authentic..................0x00000003 (3) 
   (4 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[09] Acct-Status-Type................0x00000001 (1) 
   (4 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[10] Calling-Station-Id..............10.77.244.198 
   (13 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[11] Called-Station-Id...............10.77.244.204 
   (13 bytes)

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 108008