Tecnología inalámbrica / Movilidad : Seguridad de WLAN

Ejemplo de la configuración de representación de la autenticación Web

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe cómo configurar la autenticación Web para trabajar con una configuración del proxy.

Contribuido por Nick Tate, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Configuración básica del regulador del Wireless LAN
  • Seguridad de la autenticación Web

Componentes Utilizados

La información en este documento se basa en un controlador LAN de la tecnología inalámbrica de Cisco, versión 7.0 y posterior.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones sobre documentos.

Configurar

Administradores de la red que hacen que un servidor proxy en su red envíe el tráfico de la Web primero al servidor proxy, que entonces retransmite el tráfico a Internet. Las conexiones entre el cliente y el servidor proxy pueden utilizar un puerto TCP con excepción del puerto 80 para la comunicación. Este puerto es generalmente el puerto TCP 3128 o 8080. Por abandono, la autenticación Web escucha solamente en el puerto 80. Así, cuando un HTTP GET sale del ordenador, se envía al puerto del proxy pero es caída por el regulador.

Esta sección describe cómo configurar la autenticación Web para trabajar con un proxy puesto:

  1. Configure el controlador LAN de la tecnología inalámbrica de Cisco (WLC) para escuchar en el puerto del proxy.
  2. Configure el archivo de la autoconfiguración del proxy (PAC) para volver a la dirección IP virtual directa.
  3. Cree un Access Control List de la Autenticación previa (ACL) para permitir que el cliente descargue el archivo PAC antes de la autenticación Web.

Como arreglo rápido, usted puede configurar al buscador Web manualmente para volver 1.1.1.1.

Los detalles en cada uno de estos procesos están en las subdivisiones siguientes.

Configure el WLC

Este procedimiento describe cómo cambiar el puerto que el regulador escucha encendido el puerto está escuchando el servidor proxy encendido.

  1. Navegue al regulador > página general.

    116052-config-webauth-proxy-01.png

  2. En el campo de puerto del cambio de dirección del proxy de WebAuth, ingrese el puerto que usted quisiera que el WLC escuchara encendido el cliente reorienta.

  3. Seleccione discapacitado o habilitado de la lista desplegable del modo del cambio de dirección del proxy de WebAuth:

    1. Si usted selecciona discapacitado, presentan los clientes la página normal de la autenticación Web para el passthrough o la autenticación. Así pues, si usted utiliza un proxy, usted necesita configurar a todos los buscadores del cliente para no utilizar el proxy para el 1.1.1.1 (o la otra dirección IP virtual las aplicaciones del WLC). Vea el arreglo rápido: Configure al buscador Web.

    2. Si usted selecciona habilitado, el WLC escucha en los puertos 80, 8080, y 3128 por abandono, así que usted no tiene que ingresar esos puertos en el campo de texto del puerto del cambio de dirección del proxy de WebAuth. Si un cliente envía un HTTP GET en estos puertos, ven una pantalla que los pida para cambiar sus configuraciones de representación a automático.

      116052-config-webauth-proxy-02.png

  4. Guarde la configuración.

  5. Reinicie el regulador.

En resumen, ingrese un número del puerto en el puerto del cambio de dirección del proxy de WebAuth para definir el puerto que escucha el WLC encendido. Cuando se habilita el modo del cambio de dirección, reorienta al cliente a la pantalla de la configuración de representación y lo espera avanzar dinámicamente Web Proxy (Proxy Web) una detección automática (WPAD) o el archivo PAC para la configuración de representación automática. Cuando está inhabilitado, reorientan al cliente a la página normal de la autenticación Web.

Configure el archivo PAC

La dirección IP virtual del WLC necesita ser “directa vuelto” para que el auth de la red autentique correctamente a los usuarios. Dirija significa que no lo haga el servidor proxy proxy la petición, y el cliente tiene permisos para alcanzar directamente hacia fuera a la dirección IP. Esto es configurada generalmente en el servidor proxy en el archivo WPAD o PAC por el administrador del servidor proxy. Esto es un ejemplo de configuración para un archivo PAC:

function FindProxyForURL(url, host) {
      // our local URLs from the domains below example.com don't need a proxy:
      if (shExpMatch(host, "*.example.com"))
      if (shExpMatch(host, "1.1.1.1"))   <-- (Line states return 1.1.1 directly)       {
         return "DIRECT";
      }
      // URLs within this network are accessed through
      // port 8080 on fastproxy.example.com:
      if (isInNet(host, "10.0.0.0",  "255.255.248.0"))
      {
         return "PROXY fastproxy.example.com:8080";
      }

      // All other requests go through port 8080 of proxy.example.com.
      // should that fail to respond, go directly to the WWW:
      return "PROXY proxy.example.com:8080; DIRECT";

Cree la Autenticación previa ACL

Coloque una Autenticación previa ACL en el Service Set Identifier (SSID) de la autenticación Web de modo que los clientes de red inalámbrica puedan descargar el archivo PAC antes del registro de los clientes en el auth de la red. La Autenticación previa ACL necesita permitir el acceso solamente al puerto que el archivo PAC está prendido. El acceso al puerto del proxy permite que los clientes alcancen Internet sin la autenticación Web.

  1. Navegue a la Seguridad > a la lista de control de acceso para crear un ACL en el regulador.
     
  2. Cree las reglas para permitir el tráfico en el puerto de la descarga PAC al proxy en las ambas direcciones.

    116052-config-webauth-proxy-03.png

    Nota: No permita el puerto HTTP del proxy.

  3. En la configuración de la red inalámbrica (WLAN) en el regulador, no olvide seleccionar el ACL que usted acaba de crear como Autenticación previa ACL.

    116052-config-webauth-proxy-04.png
     

Arreglo rápido: Buscador Web de la configuración

Este procedimiento describe cómo configurar manualmente una excepción de modo que un buscador Web del cliente alcance hacia fuera directamente a 1.1.1.1.

  1. En el Internet Explorer, navegue a las herramientas > a las opciones de Internet.

  2. Haga clic la lengueta de las conexiones, entonces el botón Lan Settings Button.

  3. En el área del servidor proxy, marque el uso un servidor proxy para su LAN, y ingrese el direccionamiento (IP) y vire el servidor hacia el lado de babor escucha encendido.

    116052-config-webauth-proxy-05.png

  4. Haga clic el botón Advanced y ingrese a la dirección IP virtual del WLC en el área de las excepciones.

    116052-config-webauth-proxy-06.png

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada



Document ID: 116052