Tecnología inalámbrica / Movilidad : LAN inalámbrica (WLAN)

Ejemplo de configuración de autenticación Web externa con controladores para redes LAN inalámbricas

18 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (19 Julio 2011) | Comentarios

Contenido

Introducción
Requisitos previos
      Requerimientos
      Componentes utilizados
      Convenciones
Antecedentes
      Proceso de autenticación Web externa
Configuración de la red
      Configuración
      Creación de una base de datos local en el WLC para usuarios invitados
      Creación de una ACL de autenticación previa (solamente para los WLC de la serie 2000)
      Creación de una Interfaz dinámica para los usuarios invitados
      Configuración de WLAN para usuarios invitados
      Configuración de WLC para la autenticación Web externa
Verificación
Resolución de problemas
      El logotipo personalizado para la autenticación/transferencia Web no se carga tras la vista previa
      Los clientes redireccionados al servidor externo de autenticación Web reciben una advertencia de certificado
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento explica cómo utilizar un servidor Web externo para configurar un controlador para redes LAN inalámbricas (WLC) para la autenticación Web.

Requisitos previos

Requerimientos

Asegúrese de que cumple estos requerimientos antes de intentar esta configuración:

  • Tener conocimiento básico de la configuración de puntos de acceso ligeros (LAP) y WLC de Cisco

  • Tener conocimiento básico del protocolo de punto de acceso ligero (LWAPP)

  • Tener conocimiento sobre la configuración y establecimiento de un servidor Web externo

  • Tener conocimiento sobre la configuración y establecimiento de servidores DHCP y DNS

Componentes utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware:

  • WLC 2006 de Cisco que ejecuta firmware versión 4.0

  • LAP de la serie 1000 de Cisco

  • Adaptador de cliente inalámbrico 802.11a/b/g de Cisco que ejecuta firmware versión 2.6

  • Servidor Web externo que aloja la página de conexión de la autenticación Web

  • Servidores DNS y DHCP para resolución de direcciones y asignación de direcciones IP a clientes inalámbricos

La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.

Antecedentes

La autenticación Web es una función de seguridad de capa 3 que origina que el controlador no permita tráfico IP (excepto los paquetes relacionados con DHCP) de un cliente determinado hasta que dicho cliente proporcione un nombre de usuario y contraseña válidos. Cuando se utiliza la autenticación Web para autenticar clientes, debe establecer un nombre de usuario y una contraseña para cada cliente. Cuando los clientes intentan conectarse a la LAN inalámbrica (WLAN), los usuarios deben introducir el nombre de usuario y la contraseña cuando así se solicite en una ventana de conexión.

Utilice estas funciones para realizar la autenticación Web en el WLC:

  • Ventana de conexión predeterminada

  • Versión modificada de la ventana de conexión predeterminada

  • Ventana de conexión personalizada configurada por el usuario en un servidor Web externo (autenticación Web externa)

  • Ventana de conexión personalizada que se puede descargar al controlador

Este documento proporciona un ejemplo de configuración que explica cómo configurar el WLC a fin de utilizar una secuencia de comandos de conexión desde un servidor Web externo.

Proceso de autenticación Web externa

Ésta es la secuencia de eventos que se produce cuando un cliente inalámbrico intenta acceder a una red WLAN que tiene la autenticación Web externa activada:

  1. El cliente (usuario final) abre un explorador Web con una URL, como www.yahoo.com.

  2. Si no se autentica el cliente, el WLC transmite la solicitud al servidor Web del WLC para recopilar las credenciales de autenticación del cliente.

  3. Debido a que se utiliza la autenticación Web externa, el WLC redirecciona el usuario a la URL del servidor Web externo. La URL de conexión de autenticación Web externa se agrega con parámetros como AP_Mac_Address, client_url (www.yahoo.com) y action_URL que el cliente necesita para ponerse en contacto con el servidor Web del switch.

  4. La URL del servidor Web externo dirige al usuario a una página de conexión. En este momento, el usuario puede utilizar una lista de control de acceso (ACL) de autenticación previa para acceder al servidor web del switch.

  5. La página de conexión toma la entrada de información de las credenciales del usuario y devuelve la solicitud al ejemplo de action_URL, http://1.1.1.1/login.html, del servidor Web del WLC. Esto se proporciona como parámetro de entrada a la URL de redireccionamiento del cliente, donde 1.1.1.1 es la dirección de la interfaz virtual del switch.

  6. El servidor Web del WLC envía el nombre de usuario y la contraseña para su autenticación.

  7. El WLC inicia la solicitud de servidor RADIUS o utiliza la base de datos local del WLC y autentica al usuario.

  8. Si la autenticación es correcta, el servidor Web del WLC envía el usuario a la URL de redireccionamiento configurada o a la URL con la que comenzó el cliente, como www.yahoo.com.

  9. Si la autenticación falla, el servidor Web del WLC redirige al usuario a la URL de conexión del cliente.

Configuración de la red

El ejemplo de configuración utiliza esta configuración. Se registra un LAP en el WLC. Debe configurar una WLAN de invitados para los usuarios invitados y activar la autenticación Web para los usuarios. También debe asegurarse de que el controlador redirecciona el usuario a la URL del servidor Web externo (autenticación Web externa). El servidor Web externo aloja la página Web de conexión que se utiliza para la autenticación.

Las credenciales del usuario se deben validar en la base de datos local que se encuentra en el controlador. Tras una autenticación correcta, debería permitirse el acceso de los usuarios a la WLAN para invitados. Debe configurar el controlador y otros dispositivos para realizar esta configuración.

ext-web-auth-wlc-network.gif

Nota: En este documento se asume que los servidores DHCP, DNS y Web externo están configurados. Consulte la documentación apropiada de terceros para obtener información sobre cómo configurar el servidor DHCP, DNS y Web externo.

Configuración

Antes de configurar el WLC para la autenticación Web externa, debe configurar el WLC para su funcionamiento básico y registrar los LAP en el WLC. En este documento se asume que el WLC está configurado para el funcionamiento básico y que los LAP están registrados en el WLC. Consulte Registro de AP ligero (LAP) en un controlador para redes LAN inalámbricas (WLC) (en inglés) si es un usuario nuevo que intenta configurar el WLC para su funcionamiento básico con LAP.

Siga estos pasos para configurar los LAP y el WLC para esta configuración:

  1. Creación de una base de datos local en el WLC para usuarios invitados

  2. Creación de una ACL de autenticación previa (solamente para los WLC de la serie 2000)

  3. Creación de una Interfaz dinámica para los usuarios invitados

  4. Configuración de WLAN para usuarios invitados

  5. Configuración de WLC para la autenticación Web externa

Creación de una base de datos local en el WLC para usuarios invitados

La autenticación local permite la autenticación local del usuario en el WLC. Debe crear un usuario de red local y establecer una contraseña para la conexión del cliente de autenticación Web. Siga estos pasos para crear la base de datos de usuarios en el WLC:

  1. En la interfaz gráfica de usuario del WLC, elija Security (Seguridad).

  2. Haga clic en Local Net Users (Usuarios de red local) en el menú AAA de la izquierda.

  3. Haga clic en New (Nuevo) para crear un usuario nuevo.

    Aparece una ventana nueva que solicita la información de nombre de usuario y contraseña.

    ext-web-auth-wlc1.gif

  4. Introduzca un nombre de usuario y una contraseña para crear un nuevo usuario y, a continuación, confirme la contraseña que desea utilizar.

    En este ejemplo se crea el usuario User1.

  5. Agregue una descripción, si lo desea.

    En este ejemplo se utiliza Guest User.

  6. Haga clic en Apply (Aplicar) para guardar la nueva configuración de usuario.

    ext-web-auth-wlc2.gif

  7. Repita los pasos 3-6 para agregar más usuarios a la base de datos.

    Nota: También se puede utilizar un servidor RADIUS, como Cisco Secure ACS o cualquier otro servidor RADIUS, para crear una base de datos de usuarios. Consulte la documentación del servidor RADIUS para obtener instrucciones sobre cómo crear la base de datos de usuarios.

Creación de una ACL de autenticación previa (solamente para los WLC de la serie 2000)

Para los WLC de la serie 2000, debe configurar una ACL de preautenticación en la WLAN para permitir el redireccionamiento de los clientes inalámbricos a la URL de conexión del servidor Web externo. Esta ACL debe establecerse como la ACL de autenticación previa de la WLAN bajo Web Policy (Política de Web). Siga estos pasos para configurar la ACL de autenticación previa para la WLAN:

  1. En la interfaz gráfica de usuario del WLC, seleccione Security > Access Control Lists (Seguridad > Listas de control de acceso).

    Esta ventana le permite ver las ACL actuales similares a las ACL de firewall estándar.

  2. Haga clic en New (Nueva) para crear una ACL nueva.

    ext-web-auth-wlc3.gif

  3. Introduzca el nombre de la ACL y haga clic en Apply (Aplicar).

    En este ejemplo, la ACL se denomina Preauthentication-ACL.

    ext-web-auth-wlc4.gif

  4. Para la nueva ACL creada, haga clic en Edit (Editar).

    ext-web-auth-wlc5.gif

    Aparece la ventana ACL > Edit (ACL > Editar). Esta ventana permite al usuario definir nuevas reglas o modificar reglas de la ACL existente.

  5. Haga clic en Add New Rule (Agregar nueva regla).

    ext-web-auth-wlc6.gif

  6. Defina una regla de ACL que permita a los clientes acceder al servidor Web externo.

    En este ejemplo, 172.16.1.92 es la dirección IP del servidor Web externo.

    ext-web-auth-wlc7.gif

    ext-web-auth-wlc8.gif

  7. Haga clic en Apply (Aplicar) para procesar los cambios.

    ext-web-auth-wlc9.gif

    Nota: No es necesario configurar ninguna ACL de autenticación previa para los WLC de la serie 4100 o 4400 de Cisco.

Creación de una Interfaz dinámica para los usuarios invitados

Siga estos pasos para crear una interfaz dinámica para usuarios invitados:

  1. En la interfaz gráfica de usuario del WLC, seleccione Controllers > Interfaces (Controladores > Interfaces).

    Aparece la ventana Interfaces. Esta ventana muestra las interfaces que se configuran en el controlador. Esto incluye las interfaces predeterminadas, que son la interfaz de administración, la interfaz de administrador de AP, la interfaz virtual y la interfaz de puerto de servicio, así como las interfaces dinámicas definidas por el usuario.

    ext-web-auth-wlc10.gif

  2. Haga clic en New (Nueva) para crear una interfaz dinámica nueva.

  3. En la ventana Interfaces > New (Interfaces > Nueva), introduzca el nombre de la interfaz y la ID de VLAN. A continuación, haga clic en Apply (Aplicar).

    En este ejemplo, la interfaz dinámica se denomina guest y como ID de VLAN se asigna 10.

    ext-web-auth-wlc11.gif

  4. En la ventana Interfaces > Edit (Interfaces > Editar), introduzca para la interfaz dinámica la dirección IP, la máscara de subred y la puerta de enlace predeterminada. Asígnela a un puerto físico del WLC e introduzca la dirección IP del servidor DHCP. A continuación, haga clic en Apply (Aplicar).

    ext-web-auth-wlc12.gif

Configuración de WLAN para usuarios invitados

El siguiente paso es crear varias WLAN para usuarios invitados. Asimismo, se deben definir los métodos de seguridad utilizados para autenticar a los usuarios invitados e inalámbricos. Complete estos pasos:

  1. Haga clic en WLANs en la interfaz gráfica de usuario del controlador para crear una WLAN.

    Aparece la ventana de WLAN. Esta ventana enumera las WLAN configuradas en el controlador.

  2. Haga clic en New (Nueva) para configurar una WLAN nueva.

    En este ejemplo, la WLAN se llama Guest y el ID de la misma es 1.

  3. Haga clic en Apply (Aplicar).

    ext-web-auth-wlc13.gif

  4. En la ventana WLANs > Edit (WLANs > Editar), defina los parámetros específicos de la WLAN.

    1. Para WLAN de invitado, seleccione la interfaz apropiada del campo Interface Name (Nombre de interfaz).

      En este ejemplo se asigna la interfaz dinámica guest que se creó con anterioridad al invitado de la WLAN.

    2. En el campo Layer 3 Security (Seguridad de capa 3), active la casilla de verificación Web Policy (Política Web) y seleccione la opción Authentication (Autenticación).

      Esta opción se elije porque la autenticación Web se utiliza para autenticar a los clientes invitados inalámbricos.

    3. Seleccione la ACL de autenticación previa apropiada del menú desplegable.

      En este ejemplo, se utiliza la ACL de autenticación previa creada previamente.

    4. Haga clic en Apply (Aplicar).

      ext-web-auth-wlc14.gif

      Nota: En este ejemplo no se utilizan los métodos de seguridad de capa 2 para autenticar a los usuarios invitados. Por tanto, seleccione None (Ninguno) en el campo Layer 2 Security (Seguridad de capa 2). De forma predeterminada, la opción de Layer 2 Security (Seguridad de capa 2) es 802.1x.

Configuración de WLC para la autenticación Web externa

El paso final consiste en configurar el WLC para la autenticación Web externa. Complete estos pasos:

  1. En la interfaz gráfica de usuario del controlador, elija Security > Web Login Page (Seguridad > Página de conexión Web) para acceder a la página de conexión Web.

  2. En el cuadro desplegable Web Authentication Type (Tipo de autenticación Web), elija External (Redirect to external server) (Externa (redirigir a servidor externo)).

  3. En el campo URL, introduzca la URL de la ventana de conexión de autenticación Web en el servidor Web. Puede introducir hasta 252 caracteres.

    ext-web-auth-wlc15.gif

    Ya están configurados todos los dispositivos. Puede intentar conectar un cliente inalámbrico y comprobar si la configuración funciona según lo esperado.

Verificación

Aparece el cliente inalámbrico y el usuario introduce la URL en el explorador Web; por ejemplo, www.yahoo.com. Debido a que no se ha autenticado al usuario, el WLC le redirecciona a la URL de conexión Web externa.

Se solicitan al usuario las credenciales de usuario. Una vez que el usuario envía el nombre de usuario y la contraseña, la página de conexión acepta la información de las credenciales de usuario y envía la solicitud al ejemplo de action_URL, http://1.1.1.1/login.html, del servidor Web del WLC. Esto se proporciona como parámetro de entrada a la URL de redireccionamiento del cliente, donde 1.1.1.1 es la dirección de la interfaz virtual del switch.

El WLC autentica al usuario utilizando la base de datos local configurada en el WLC. Tras la autenticación correcta, el servidor Web del WLC envía el usuario a la URL de redireccionamiento configurada o a la URL con la que comenzó el cliente, como www.yahoo.com.

ext-web-auth-wlc16.gif

ext-web-auth-wlc17.gif

ext-web-auth-wlc18.gif

Resolución de problemas

Utilice esta sección para la resolución de problemas de la configuración.

El logotipo personalizado para la autenticación/transferencia Web no se carga tras la vista previa

Esto de debe al error de funcionamiento de Cisco CSCsg45847 (sólo para clientes registrados). Cuando utiliza la página de conexión interna (predeterminada) en el WLC para autenticación/transferencia Web, la página de vista previa (disponible en Security > Web login page (Seguridad > Página Web de conexión del WLC)) se carga sin problema. Sin embargo, cuando un cliente personaliza el logotipo en la página de autenticación Web (disponible internamente en el controlador), la función de vista previa no funciona.

La página de autenticación/transferencia Web carga correctamente el logotipo Web personalizado cuando los clientes inalámbricos intentan realizar la autenticación en la red inalámbrica. Solamente no funciona la función de vista previa. Este error de funcionamiento se ha solucionado en el código 4.0.206.0.

Los clientes redireccionados al servidor externo de autenticación Web reciben una advertencia de certificado

Problema: Cuando los clientes se redirigen al servidor de autenticación Web externa de Cisco, reciben una advertencia de certificado. Existe un certificado válido en el servidor y si se conecta directamente al servidor de autenticación Web externa, no se recibe la advertencia de certificado. ¿Esto se debe a que la dirección IP virtual (1.1.1.1) del WLC se presenta al cliente en vez de la dirección IP real del servidor de autenticación Web externa asociada al certificado?

Solución: Sí. Independientemente de si realiza la autenticación Web local o externa, se conecta al servidor Web interno del controlador. Aún cuando se realiza un direccionamiento a un servidor Web externo, recibirá la advertencia de certificado del controlador a menos que disponga de un certificado válido en el controlador. Si el redireccionamiento se realiza a https, recibe la advertencia de certificado del controlador y del servidor Web externo, a menos que ambos tengan un certificado válido.

Para librarse de todas las advertencias de certificado, debe tener un certificado raíz publicado y descargado en su controlador. El certificado se publica para un nombre de host que debe introducir en el cuadro de nombre de host de DNS, en la interfaz virtual del controlador. También debe agregar el nombre de host al servidor DNS local y apuntarlo a la dirección IP virtual (1.1.1.1) del WLC.

Consulte Generación de solicitud de firma de certificado (CSR) para un certificado de terceros en un controlador para redes WLAN (WLC) (en inglés) para obtener más información.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 71881