Беспроводные сети / Мобильные решения : "Беспроводные сети, LAN (WLAN)"

Пример настройки веб-проверки подлинности контроллера беспроводной ЛВС

7 апреля 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (13 июля 2011) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Условные обозначения
Общие сведения
Настройка контроллера для веб-проверки подлинности
     Создание сети VLAN
     Добавление экземпляра беспроводной ЛВС
     Перезагрузка контроллера WLC
     Два способа аутентификации пользователей с помощью веб-проверки подлинности
Установка ACS
     Проверка ACS
     Устранение неполадок ACS
     Настройка контроллера для использования с RADIUS-сервером
Настройка компьютера Windows на использование веб-проверки подлинности
     Настройка клиента
     Вход клиента
Проверка и устранение неполадок внутренней веб-проверки подлинности
     Проверка внутренней веб-проверки подлинности
     Устранение неполадок внутренней веб-проверки подлинности
     Процесс веб-проверки подлинности отправляет запросы на проверки подлинности внешним серверам проверки, даже если для данной беспроводной ЛВС такие серверы не настроены
     Microsoft Internet Explorer перенаправляет на страницу входа с помощью веб-проверки подлинности на основе кэша
Настройка Web Passthrough в контроллере WLC
Настройка страницы входа с Web Passthrough или веб-проверкой подлинности с помощью контроллера WLC
Настройка страницы входа с Web Passthrough или веб-проверкой подлинности с помощью системы WCS
     Условное веб-перенаправление с проверкой подлинности 802.1x
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В этом документе описывается настройка контроллера беспроводной сети LAN (WLC) серии Cisco 4000 для поддержки клиентов веб-проверки подлинности.

Предварительные условия

Требования

В данном документе предполагается, что на контроллере WLC серии 4000 уже есть исходная конфигурация.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • контроллер WLC серии 4012 с программным обеспечением версии 3.1.59.24

  • сервер управления беспроводным доступом (ACS) в Microsoft Windows 2000 Server

  • Cisco Aironet 1000 Series

Сведения в этом документе были получены в результате тестирования приборов в специфической лабораторной среде. Все устройства, используемые в этом документе, запускались с чистой конфигурацией (конфигурацией по умолчанию). Если сеть работает в реальных условиях, убедитесь в понимании потенциального воздействия каждой команды.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в документе Cisco Technical Tips Conventions (Условные обозначения, используемые в технической документации Cisco).

Общие сведения

Веб-проверка подлинности обычно используется заказчиками, которым требуется развернуть сеть с гостевым доступом. В сети с гостевым доступом поддерживается исходная проверка подлинности на основе имени пользователя и пароля, но защита последующего трафика не требуется. Типичные развертывания могут включать "горячие точки" (бесплатные точки доступа) такие как T-Mobile или Starbucks.

Для контроллеров Cisco WLC веб-проверка подлинности выполняется локально. Создается интерфейс, а затем с ним связывается беспроводная сеть LAN или идентификатор набора служб (SSID).

Веб-проверка подлинности обеспечивает простую проверку подлинности без запрашивающей стороны или клиента. Помните, что веб-проверка подлинности не обеспечивает шифрование данных. Веб-проверка подлинности обычно используется в качестве простого гостевого доступа для так называемых "горячих точек" (точек общего доступа) или кампусов, где важна сама возможность подключения.

Описанная в данном документе конфигурация предоставляет открытое соединение пользователям, которым требуется обмен данными с защитой на основе имени пользователя и пароля. Чтобы обеспечить такую поддержку, необходимо создать новый интерфейс беспроводной ЛВС, который предоставляет беспроводную ЛВС/SSID для использования пользователями с веб-проверкой подлинности. Если не создан интерфейс сети VLAN, обеспечивающий веб-проверку подлинности, то можно воспользоваться интерфейсом управления или создать новый интерфейс сети VLAN. В разделе Настройка контроллера для веб-проверки подлинности данного документа предоставляется процедура создания интерфейса сети VLAN.

Настройка контроллера для веб-проверки подлинности

В данном разделе предлагается информация о настройке контроллера для веб-проверки подлинности.

Создание сети VLAN

Выполните следующие действия.

  1. В меню, расположенном в верхней части основного окна контроллера, выберите Controller (Контроллер), затем в меню в левой части окна выберите Interfaces (Интерфейсы) и нажмите кнопку New (Создать), расположенную в правом верхнем углу окна.

    Откроется окно, показанное на рис. 1. В данном примере используется имя интерфейса vlan90 с идентификатором сети VLAN 90:

    Рис. 1.

    web_auth_config1.gif

  2. Нажмите кнопку Apply (Применить), чтобы создать интерфейс сети VLAN.

    Откроется новое окно с запросом введения некоторых данных.

  3. Укажите для интерфейса сети VLAN следующие параметры:

    • IP-адрес — 90.90.90.22

    • Маска сети — 255.255.255.0 (24 разряда)

    • Шлюз —90.90.90.1

    • Номер порта — 1

    • Основной DHCP-сервер — 10.9.4.10

      Примечание: Этот параметр должен соответствовать IP-адресу RADIUS- или DHCP-сервера.

    • Дополнительный DHCP-сервер — 0.0.0.0

      Примечание: В данном примере нет дополнительного DHCP-сервера, поэтому используется значение 0.0.0.0. Если в конфигурации предусмотрен дополнительный DHCP-сервер, добавьте его IP-адрес в данное поле.

    • Имя списка ACL — нет

    На рис. 2 показан пример таких параметров:

    Рис. 2.

    web_auth_config2.gif

  4. Нажмите кнопку Apply (Применить), чтобы сохранить изменения.

Добавление экземпляра беспроводной ЛВС

Теперь, когда есть интерфейс сети VLAN, предназначенный для веб-проверки подлинности, необходимо предоставить новую сеть VLAN WLAN/SSID для поддержки пользователей с веб-проверкой подлинности. WLAN/SSID можно настроить с помощью ранее сконфигурированного интерфейса сети VLAN или интерфейса управления. Если интерфейсы созданы не были, необходимо создать интерфейс беспроводной ЛВС.

Выполните следующие действия.

  1. Откройте веб-обозреватель контроллера WLC, выберите WLAN в меню в верхней части окна и нажмите кнопку New (Создать) в правом верхнем углу окна.

    На рис. 3 показаны идентификатор беспроводной ЛВС, который необходимо создать, и сеть VLAN, связанная с веб-проверкой подлинности. В данном примере используется идентификатор сети VLAN 1 и WLAN SSID webauth. Можно использовать любую выбранную беспроводную ЛВС.

    Рис. 3.

    web_auth_config3.gif

  2. Укажите сведения, запрашиваемые в данном окне, и нажмите кнопку Apply (Применить), чтобы сохранить новый интерфейс.

    Откроется новое окно "WLAN Edit" (Изменение беспроводной ЛВС), как показано на рис. 4.

    Рис. 4.

    web_auth_config4.gif

  3. Выполните следующие действия, чтобы выбрать параметры в данном окне.

    Примечание: Для параметров, которые явно не упомянуты в данной процедуре, оставьте значения по умолчанию.

    1. В качестве "Interface Name" (имя интерфейса) выберите в меню имя только что созданного интерфейса сети VLAN.

      В данном примере имя интерфейса — vlan90.

    2. Для данного типа подписчика задайте соответствующую безопасность уровня 2.

      В данном случае для безопасности задано значение "None" (Нет).

      Примечание: Веб-проверку подлинности нельзя настроить в качестве безопасности уровня 3 с проверкой подлинности 802.1x в качестве безопасности уровня 2 для беспроводной ЛВС.

    3. В области "Layer 3 Security" (Безопасность уровня 3) должен быть установлен флажок Web Policy (Веб-политика).

      Примечание: В программном обеспечении версий, предшествующих 3.0, есть другое окно. Веб-проверка подлинности не поддерживается проверкой подлинности 802.1x. Это означает, что 802.1x или WPA/WPA2 с 802.1x невозможно выбрать в качестве безопасности уровня 2 при использовании веб-проверки подлинности.

      Примечание: Веб-проверка подлинности поддерживается всеми остальными параметрами безопасности уровня 2.

    4. Убедитесь, что выбрано значение Authentication (Проверка подлинности) (а не "Passthrough" (Транзит)).

    5. Нажмите кнопку Apply (Применить), чтобы сохранить новый интерфейс в текущей конфигурации коммутатора беспроводной ЛВС.

    6. Просмотрите содержимое окна "WLAN Summary" (Сводка по беспроводной ЛВС), чтобы убедиться в том, что WLAN/SSID (в данном случае веб-проверка подлинности) включено.

      Вернитесь к окну "WLAN" (Беспроводная ЛВС). В данном случае в окне показано, что веб-проверка подлинности включена в столбце "Security Policies" (Политики безопасности) таблицы сети VLAN.

Перезагрузка контроллера WLC

Контроллер WLC необходимо перезагрузить, так как одно или несколько изменений беспроводной ЛВС не может быть выполнено при активной системе. Такие изменения выполняются перед загрузкой или во время ее выполнения. Выполните следующие действия, чтобы перезагрузить контроллер WLC.

  1. В меню, расположенном в верхней части основного окна контроллера, выберите Commands (Команды).

  2. В меню, расположенном в левой части нового окна, выберите Reboot (Перезагрузить).

    Будет предложено сохранить изменения и выполнить перезагрузку, если в конфигурации есть несохраненные изменения.

  3. Щелкните Save and Reboot (Сохранить и перезагрузить), чтобы сохранить конфигурацию и перезагрузить коммутатор.

  4. Отслеживайте перезагрузку системы с помощью консольного подключения.

    После запуска контроллера WLC можно создать подписчика веб-проверки подлинности.

Два способа аутентификации пользователей с помощью веб-проверки подлинности

Существует два способа аутентификации при использовании веб-проверки подлинности. Локальная проверка подлинности позволяет аутентифицировать пользователя в контроллере Cisco WLC. Для проверки подлинности пользователей также можно использовать беспроводные службы ACS/RADIUS. Чтобы настроить локальную проверку подлинности в контроллере WLC, выполните следующие действия.

Локальная проверка подлинности

Локальная проверка подлинности позволяет локально проверять подлинность пользователей в контроллере WLC. Необходимо создать Local Net User (локального сетевого пользователя) и установить пароль для входа клиента веб-проверки подлинности.

  1. Выберите Security (Безопасность) в меню в верхней части окна, чтобы перейти к окну "Security" (Безопасность) в контроллере WLC.

  2. Выберите Local Net Users (Локальные сетевые пользователи) в меню "AAA" слева.

    На рис. 5 показан пример.

    Рис. 5.

    web_auth_config5.gif

  3. Нажмите кнопку New (Создать) в левом верхнем углу, чтобы создать нового пользователя.

    Открывается новое окно с запросом имени пользователя и пароля.

  4. Чтобы создать нового пользователя, укажите имя пользователя и пароль и подтвердите пароль.

    В данном примере создается пользователь karjames.

  5. Убедитесь, что назначен правильный идентификатор беспроводной ЛВС.

    В данном примере идентификатор сети VLAN равен 1. Это идентификатор, указанный при создании WLAN/SSID в разделе Добавление экземпляра беспроводной ЛВС данного документа.

  6. При желании добавьте описание.

    В данном примере используется Веб-проверка подлинности.

  7. Нажмите кнопку Apply (Применить), чтобы сохранить конфигурацию нового пользователя.

    На рис. 6 представлен пример параметров:

    Рис. 6.

    web_auth_config6.gif

RADIUS-сервер для веб-проверки подлинности

В данном документе беспроводная служба ACS в Windows 2000 Server используется как RADIUS-сервер. Можно использовать любой доступный RADIUS-сервер, развернутый в сети в данный момент.

Примечание: Можно настроить службу ACS в Windows NT или Windows 2000 Server. Чтобы загрузить ACS с веб-узла Cisco.com, см. Центр программного обеспечения (загрузки) - программное обеспечение Cisco Secure (registered customers only) . Для загрузки программного обеспечения необходима учетная веб-запись Cisco.

Когда веб-проверка подлинности выполняется с помощью RADIUS-сервера, сначала запрашивается проверка подлинности локально в контроллере WLC. Если контроллер WLC не отвечает, второй запрос направляется RADIUS-серверу. В разделе Установка ACS описывается настройка ACS для RADIUS. Требуются полностью функциональная сеть со службами DNS и RADIUS-сервер.

Установка ACS

В данном разделе предоставляются сведения об установке службы ACS для RADIUS.

Установите службу ACS на своем сервере, а затем выполните следующие действия, чтобы создать пользователя для проверки подлинности.

  1. Когда служба ACS предлагает открыть ACS в окне веб-обозревателя для настройки, нажмите кнопку yes (да).

    Примечание: После установки службы ACS на рабочем столе создается значок.

  2. В меню слева выберите User Setup (Настройка пользователя).

    В результате откроется окно "User Setup" (Настройка пользователя).

  3. Укажите пользователя, который должен использовать веб-проверку подлинности, а затем нажмите кнопку Add (Добавить).

    После создания пользователя откроется другое окно.

  4. Убедитесь, что данный пользователь задан как включенный.

  5. Убедитесь, что в качестве подтверждения пароля выбрано Cisco Secure Database (База данных безопасности Cisco).

  6. Дважды укажите пароль.

  7. После создания пользователя убедитесь, что в качестве типа службы выбрано RADIUS Cisco Aironet.

    Примечание: По умолчанию используется TACACS+.

    Примечание: Имена пользователей и пароли в ACS должны быть идентичны тем, которые настроены в контроллере WLC.

Проверка ACS

Чтобы проверить правильность установки службы ACS, выберите Network Configuration (Конфигурация сети) на левой панели ACS. На рис. 7 представлен пример отображаемых данных.

Рис. 7.

web_auth_config7.gif

Устранение неполадок ACS

При установке службы ACS необходимо загрузить все текущие обновления и исправления. Это позволяет избежать многих проблем. Убедитесь, что созданные пользователи отображаются в окне "Network Configurations" (Конфигурации сети). В окне "User Setup" (Установка пользователей) еще раз убедитесь, что пользователи действительно существуют. Выберите List All Users (Перечислить всех пользователей), чтобы просмотреть список пользователей.

При возникновении проблем с подтверждением паролей выберите Reports and Activity (Отчеты и действия) в левом нижнем углу окна ACS, чтобы открыть все доступные отчеты. После открытия окна с отчетами можно открыть отчеты "RADIUS Accounting" (Регистрация RADIUS), "Failed Attempts for login" (Неудачные попытки входа), "Passed Authentications" (Пройденные проверки подлинности), "Logged-in Users" (Зарегистрированные пользователи) и др. Такие отчеты представляют собой CSV-файлы, которые можно открыть локально на своем компьютере. См. рис. 8. Отчеты помогают обнаруживать проблемы с проверкой подлинности, например неправильное имя пользователя и/или пароль. Служба ACS также поставляется с онлайн-документацией. Если нет подключения к действующей сети и порт службы не определен, служба ACS использует IP-адрес своего порта Ethernet в качестве порта службы. Если нет подключения к сети, скорее всего, будет использован IP-адрес Windows по умолчанию 169.254.x.x.

Рис. 8.

web_auth_config8.gif

Примечание: Если ввести любой внешний URL-адрес, контроллер WLC автоматически подключается к странице внутренней веб-проверки подлинности. Если автоматическое подключение не работает, то в поле URL-адресов можно ввести IP-адрес управления контроллера WLC для устранения неполадок. Найдите в верхней части веб-обозревателя сообщение о перенаправлении для веб-проверки подлинности.

Настройка контроллера для использования с RADIUS-сервером

Создание беспроводной ЛВС для проверки подлинности RADIUS

Выполните следующие действия.

  1. Откройте веб-обозреватель контроллера WLC и выберите WLANs (Беспроводные ЛВС).

  2. Создайте своего клиента веб-проверки подлинности с помощью процедуры, описанной в разделе Настройка контроллера для веб-проверки подлинности.

  3. В окне "Interface Name" (Имя интерфейса) выберите требуемый интерфейс контроллера WLC.

  4. В нижней части окна добавьте серверы проверки подлинности.

    Для серверов проверки подлинности укажите IP-адрес ACS Ethernet. На рис. 9 показан пример.

    Рис. 9.

    web_auth_config9.gif

Ввод данных о RADIUS-сервере в контроллере Cisco WLC

Выполните следующие действия.

  1. Выберите Security (Безопасность) в меню в верхней части окна.

  2. Выберите Radius Authentication (Проверка подлинности RADIUS) в меню слева.

  3. Нажмите кнопку Add (Добавить) и введите IP-адрес своего сервера ACS/RADIUS.

    Примечание: Убедитесь, что сервер включен.

  4. Нажмите кнопку Apply (Применить).

  5. Убедитесь, что выбранный общий секрет совпадает с тем, что предоставлен службе ACS.

    На рис. 10 показан пример.

    Рис. 10.

    web_auth_config10.gif

    На рис. 11 показан настроенный RADIUS-сервер:

    Примечание: Данный RADIUS-сервер включен.

    Рис. 11.

    web_auth_config11.gif

Установка DHCP- и DNS-серверов на контроллере WLC

Выполните следующие действия.

  1. Выберите Controller (Контроллер) в меню в верхней части окна.

  2. Выберите Internal DHCP Server (Внутренний DHCP-сервер) в меню слева.

  3. Нажмите кнопку New (Создать), чтобы определить параметры DHCP-сервера.

  4. Укажите пул DHCP, который должен использоваться клиентами.

    В данном примере пул DHCP — это набор адресов от 10.10.10.7 до 10.10.10.9.

  5. Введите IP-адрес своего RADIUS-сервера.

  6. Введите IP-адрес своего DNS-сервера и имя DNS-домена.

    На рис. 12 показан пример.

    Рис. 12.

    web_auth_config12.gif

Настройка компьютера Windows на использование веб-проверки подлинности

В данном разделе предлагается информация о настройке ОС Windows для веб-проверки подлинности.

Настройка клиента

Для данного подписчика конфигурация беспроводного клиента Microsoft остается в основном неизменной. Необходимо лишь добавить соответствующие данные о конфигурации WLAN/SSID. Выполните следующие действия.

  1. В меню Пуск Windows выберите Настройки > Панель управления > Сеть и подключения к Интернету.

  2. Щелкните значок Сетевые подключения.

  3. Щелкните правой кнопкой мыши значок Подключение LAN и выберите пункт Disable (Отключить).

  4. Щелкните правой кнопкой мыши значок Беспроводное соединение и выберите пункт Enable (Включить).

  5. Щелкните правой кнопкой мыши значок Беспроводное соединение еще раз и выберите пункт Свойства.

  6. В окне "Свойства беспроводных сетевых соединений" перейдите на вкладку Беспроводные сети.

  7. Чтобы изменить имя сети (в области "Предпочитаемая сеть"), удалите старое значение WLAN/SSID и нажмите кнопку Добавить….

  8. На вкладке Association (Ассоциации) введите имя сети (WLAN/SSID), которое должно использоваться для веб-проверки подлинности.

    На рис. 13 показан пример.

    Рис. 13.

    web_auth_config13.gif

    Примечание: Обратите внимание, что служба Wired Equivalent Privacy (WEP) включена. Службу WEP необходимо отключить, чтобы веб-проверка подлинности работала.

  9. Нажмите кнопку ОК в нижней части окна, чтобы сохранить конфигурацию.

    При взаимодействии с беспроводной ЛВС в поле "Preferred Network" (Предпочитаемая сеть) отображается значок маяка.

На рис. 14 показано успешное беспроводное подключение для веб-проверки подлинности. Контроллер WLC предоставляет используемому беспроводному клиенту Windows IP-адрес.

Рис. 14.

web_auth_config14.gif

Вход клиента

Выполните следующие действия.

  1. Откройте окно веб-обозревателя и выберите виртуальный IP-адрес, заданный для локальной проверки подлинности.

    Используйте защищенный вход https://1.1.1.1/login.html.

    Этот шаг важен для программного обеспечения версий, предшествующих 3.0, но не является обязательным для последующих версий. В более поздних версиях для перехода на страницу веб-проверки подлинности можно использовать любой URL-адрес. Кроме того, во всех текущих версиях контроллера, также поддерживается веб-проверка подлинности через HTTP-вход. Он привязан к входу управления контроллера. Для проверки отключите HTTPS-вход и разрешите только HTTP-вход для управления. Теперь при попытке веб-проверки подлинности выполняется переход к HTTP-входу.

    Отображается окно с предупреждением системы безопасности.

  2. Нажмите кнопку Yes (Да), чтобы продолжить.

  3. При отображении окна "Login" (Вход в систему) введите имя пользователя и пароль созданного пользователя Local Net User (Локальный сетевой пользователь).

    В случае успешного входа откроется два окна веб-обозревателя. В каждом сообщается об успешном входе в систему. Для просмотра узлов Интернета можно использовать окно большего размера. Окно меньшего размера используйте для выхода после завершения использования гостевой сети.

    На рис. 15 показано успешное перенаправление для веб-проверки подлинности.

    Рис. 15.

    web_auth_config15.gif

    На рис. 16 показано окно успешного входа, на котором отображается проверка подлинности в службе ACS.

    Рис. 16.

    web_auth_config16.gif

Примечание: Если беспроводной клиент также является конечной точкой VPN и веб-проверка подлинности настроена как функция безопасности беспроводной ЛВС, то VPN-туннель не устанавливается до завершения процесса веб-проверки подлинности (см. описание ниже). Чтобы установить VPN-туннель, клиент должен успешно пройти процесс веб-проверки подлинности. Только тогда успешное создание VPN-туннелей становится возможным.

Примечание: После успешного входа, если беспроводной клиент не занят и не взаимодействует с другими устройствами, его привязка отменяется через настроенный в беспроводной ЛВС период тайм-аута сеанса. Когда такое происходит, клиент переходит в состояние Webauth_Reqd, выйти из которого можно только, закрыв и снова открыв окно веб-обозревателя, чтобы установить новое соединение. Такая реакция ожидается, если истекает период тайм-аута сеанса.

Проверка и устранение неполадок внутренней веб-проверки подлинности

Проверка внутренней веб-проверки подлинности

Используйте этот раздел для подтверждения правильной работы конфигурации внутренней веб-проверки подлинности.

Настройка веб-проверки подлинности является достаточно очевидной. Необходимо проверить простые атрибуты беспроводного сетевого подключения в клиенте Windows. На вкладке "Wireless Networks" (Беспроводные сети) найдите флажок Use Windows to Configure My Wireless Network (Использовать Windows для настройки беспроводной сети). Убедитесь, что данный флажок установлен, если используется нулевая конфигурация Windows. Если используется другой клиент, см. документацию, поставляемую с клиентом, чтобы настроить веб-проверку подлинности. Убедитесь, что эхо-запросы успешно отправляются по виртуальному IP-адресу. Также проверьте, что в контроллере WLC параметр WLAN/SSID указан, включен и правильно настроен для веб-проверки подлинности.

Устранение неполадок внутренней веб-проверки подлинности

Для устранения неполадок беспроводного соединения ПК требуется беспроводная плата Cisco Aironet 350. На некоторых более старых ПК установлены нестандартные беспроводные адаптеры. Про используемую плату должно быть известно наверняка, что она надежна. Помните, что данное сетевое решение используется в конфигурации гостевого доступа. Также следует помнить, что весь трафик передается открытым текстом. Шифруются только имена пользователя и пароль в процессе веб-проверки подлинности.

Одна из часто наблюдаемых проблем с веб-проверкой подлинности заключается в перенаправлении на несуществующую страницу веб-проверки подлинности.

Когда пользователь открывает веб-обозреватель, он не видит окна веб-проверки подлинности. Вместо этого пользователю приходится вручную вводить https://1.1.1.1/login.html, чтобы открыть окно веб-проверки подлинности.

Чтобы использовать имя домена, а не виртуальный IP-адрес, когда контроллер WLC перенаправляет веб-сеансы пользователей для проверки подлинности, необходимо настроить DNS-имя и зарегистрировать его на своем DNS-сервере. Это настраивается в виртуальном интерфейсе контроллера. Пользователь может видеть поле для DNS. После выполнения данной процедуры процесс перенаправления отображает имя домена, вместо адреса 1.1.1.1.

Если перенаправление все еще не работает, то необходимо выполнить поиск в DNS, чтобы перенаправление на страницу веб-проверки подлинности было успешным. Если в адресе домашней страницы веб-обозревателя беспроводного клиента указывается имя домена, должна быть возможность успешного выполнения команды nslookup после привязки клиента, чтобы перенаправление работало.

Кроме того, на контроллерах WLC с программным обеспечением версий, предшествующих 3.2.150.10, веб-проверка подлинности работает следующим образом: когда пользователь с заданным SSID пытается получить доступ к Интернету, интерфейс управления контроллера отправляет DNS-запрос, чтобы проверить допустимость URL-адреса. В случае успешной проверки отображается страница проверки подлинности с IP-адресом виртуального интерфейса. После успешной регистрации пользователя, исходному запросу разрешается вернуться к клиенту. Это произошло из-за ошибки Cisco с идентификатором CSCsc68105 (registered customers only) .

Эта проблема решена во всех последующих выпусках, и любой URL-адрес перенаправляется на страницу веб-проверки подлинности. Поэтому если автоматическое перенаправление не работает, это может быть связано с тем, что на контроллере WLC используется программное обеспечение версии, предшествующей 3.2.150.10. Для разрешения этой проблемы обновите программное обеспечение контроллера WLC до последней версии.

Процесс веб-проверки подлинности отправляет запросы на проверки подлинности внешним серверам проверки, даже если для данной беспроводной ЛВС такие серверы не настроены

Данная ошибка возникает, когда для беспроводной ЛВС настроена веб-проверка подлинности с использованием локальной базы данных и определен сетевой RADIUS-сервер по умолчанию. Когда клиенту не удается пройти веб-проверку подлинности, если на контроллере настроен внешний сервер проверки подлинности, при веб-проверке подлинности ему отправляются учетные данные для проверки. Это произошло из-за ошибки Cisco с идентификатором CSCsh35098 (registered customers only) . В качестве обходного пути можно изменить тип веб-проверки подлинности RADIUS с PAP на CHAP (контроллер - общие). После такого изменения активная база данных отклоняет проверку подлинности. По умолчанию Active Directory использует только PAP и не воспринимает хэшированный пароль CHAP.

Microsoft Internet Explorer перенаправляет на страницу входа с помощью веб-проверки подлинности на основе кэша

Когда пользователь проходит веб-проверку подлинности на контроллере беспроводной ЛВС и вводит имя пользователя и пароль в окне веб-проверки подлинности, после успешной проверки подлинности веб-обозреватель может перенаправить пользователя обратно на страницу входа вместо предоставления доступа к сети.

Ниже описывается последовательность возникающих событий.

  1. Пользователь выбирает сеть и проходит проверку подлинности в беспроводной ЛВС (получает IP-адрес).

  2. Пользователь запускает веб-обозреватель с указанием адреса домашней страницы.

  3. Веб-обозреватель автоматически перенаправляет пользователя к виртуальному интерфейсу (1.1.1.1).

  4. В виртуальном интерфейсе есть страница входа с веб-проверкой подлинности, в которой предлагается ввести адрес электронной почты (или имя пользователя/пароль).

  5. Пользователь вводит свои защищенные данные.

  6. Виртуальный интерфейс перенаправляет на специальную общедоступную веб-страницу.

  7. Пользователь нажимает кнопку домашней страницы в веб-обозревателе и тот снова направляет его к виртуальному интерфейсу и снова предлагает пользователю войти в систему. Однако на этот раз перенаправление не выполняется (просто снова и снова отображается страница входа).

Это происходит из-за ошибки Cisco с идентификатором CSCse90894 (registered customers only) . Чтобы решить данную проблему, загрузите на контроллер настраиваемую версию страницы "Веб-проверка подлинности", в которой эта ошибка устранена, или обновите ПО контроллера WLC до версии 4.0.206.0 или более поздней, в которой данная ошибка устранена.

Приведенные ниже выходные данные предоставляют пример настраиваемого HTML-кода.

<html>
<head>
<title>Web Authentication</title>
<meta http-equiv="Pragma"
  content="no-cache">
</head>
<meta HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<title>Web Authentication</title>
<script>

function submitAction(){
      var link = document.location.href;
      var searchString = "redirect=";
      var equalIndex = link.indexOf(searchString);
      var redirectUrl = "";
      var urlStr = "";
      if(equalIndex > 0) {
            equalIndex += searchString.length;
            urlStr = link.substring(equalIndex);
            if(urlStr.length > 0){
    redirectUrl += urlStr;
         if(redirectUrl.length > 255)
        redirectUrl = redirectUrl.substring(0,255);
       document.forms[0].redirect_url.value = redirectUrl;
   }
      }

      document.forms[0].buttonClicked.value = 4;
      document.forms[0].submit();
}

function loadAction(){
      var url = window.location.href;
      var args = new Object();
      var query = location.search.substring(1);
      var pairs = query.split("&");
      for(var i=0;i<pairs.length;i++){
          var pos = pairs[i].indexOf('=');
          if(pos == -1) continue;
          var argname = pairs[i].substring(0,pos);
          var value = pairs[i].substring(pos+1);
          args[argname] = unescape(value);
      }
      //alert( "AP MAC Address is " + args.ap_mac);
      //alert( "The Switch URL is " + args.switch_url);
      document.forms[0].action = args.switch_url;

      // This is the status code returned from webauth login action
      // Any value of status code from 1 to 5 is error condition and user
      // should be shown error as below or modify the message as it suits
      // the customer
      if(args.statusCode == 1){
        alert("You are already logged in. No further action is required on your
part.");
      }
      else if(args.statusCode == 2){
        alert("You are not configured to authenticate against web portal. No
further action is required on your part.");
      }
      else if(args.statusCode == 3){
        alert("The username specified cannot be used at this time. Perhaps the
username is already logged into the system?");
      }
      else if(args.statusCode == 4){
        alert("You have been blacklisted.");
      }
      else if(args.statusCode == 5){
        alert("The User Name and Password combination you have entered is
invalid. Please try again.");
      }

}

</script>
</head>
<body topmargin="50" marginheight="50" onload="loadAction();">
<form method="post">
<input TYPE="hidden" NAME="buttonClicked" SIZE="16" MAXLENGTH="15" value="0">
<input TYPE="hidden" NAME="redirect_url" SIZE="255" MAXLENGTH="255" VALUE="">
<input TYPE="hidden" NAME="err_flag" SIZE="16" MAXLENGTH="15" value="0">

<div align="center">
<table border="0" cellspacing="0" cellpadding="0">
<tr> <td>&nbsp;</td></tr>

<tr align="center"> <td colspan="2"><font size="10" color="#336699">Web
Authentication</font></td></tr>

<tr align="center">

<td colspan="2"> User Name &nbsp;&nbsp;&nbsp;<input type="TEXT" name="username"
SIZE="25" MAXLENGTH="63" VALUE="">
</td>
</tr>
<tr align="center" >
<td colspan="2"> Password &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<input type="Password"
name="password" SIZE="25" MAXLENGTH="24">
</td>
</tr>

<tr align="center">
<td colspan="2"><input type="button" name="Submit" value="Submit"
class="button" onclick="submitAction();">
</td>
</tr>
</table>
</div>

</form>
</body>
<head>
<META HTTP-EQUIV="Pragma" CONTENT="no-cache">                                 
 </HEAD>                 
</html>

Настройка Web Passthrough в контроллере WLC

Web passthrough — это решение, с помощью которого беспроводные пользователи перенаправляются к приемлемой политике использования без проверки подлинности при подключении к Интернету. Данное перенаправление выполняется самим контроллером WLC. Требуется лишь настроить контроллер WLC на использование функции Web passthrough, которая в основном представляет собой веб-проверку подлинности без необходимости ввода учетных данных.

Примечание: В данном разделе рассматривается настройка контроллера WLC серии Cisco 2000 с программным обеспечением версии 4.0.179.8.

Выполните следующие действия, чтобы настроить Web passthrough.

  1. Выполните шаги 1 и 2 из раздела Добавление экземпляра беспроводной ЛВС данного документа.

  2. Для "Interface Name" (имя интерфейса) выберите имя созданного интерфейса сети VLAN.

  3. Для данного типа подписчика задайте соответствующую безопасность уровня 2. В данном случае для безопасности задано значение None (Нет).

    Примечание: Web Passthrough нельзя настроить в качестве безопасности уровня 3 с проверкой подлинности 802.1x или WPA1+ WPA2 в качестве защиты уровня 2 для беспроводной ЛВС.

  4. В области "Layer 3 Security" (Безопасность уровня 3) должен быть установлен флажок Web Policy (Веб-политика). Затем выберите Passthrough (Транзит), но не "Authentication" (Проверка подлинности).

    Рис. 17.

    web_auth_config17.gif

  5. Нажмите кнопку Apply (Применить), чтобы сохранить новый интерфейс в текущей конфигурации коммутатора беспроводной ЛВС.

  6. Просмотрите содержимое окна "WLAN Summary" (Сводка по беспроводной ЛВС), чтобы убедиться в том, что WLAN/SSID (в данном случае "Web Passthrough" (Веб-транзит)) включено.

    Затем в окне отображается, что Web Passthrough включена в столбце "Security Policies" (Политики безопасности) таблицы сети VLAN.

  7. Настройте свою страницу "Web Login" (Вход веб-пользователя). Для этого в графическом интерфейсе пользователя контроллера WLC выберите Security (Безопасность) и Web Login Page (Страница входа веб-пользователя) в меню с левой стороны.

  8. На странице "Web Login" (Вход веб-пользователя) введите требуемый текст в поле сообщения.

    Данное сообщение отображается пользователям при их первой попытке использования Интернета после подключения к этой конкретной беспроводной ЛВС. При включении веб-политики и Web Passthrough пользователю доступна только кнопка "Accept" (Принять). См. рис. 18.

    Рис. 18.

    web_auth_config19.gif

  9. Чтобы проверить Web passthrough, попытайтесь открыть любой веб-узел в обозревателе Интернета после подключения клиента к данной беспроводной ЛВС.

    Должно быть выполнено перенаправление к специальной приемлемой политике использования. На рис. 19 показан пример. Обратите внимание, что данную страницу можно изменить, используя собственный текст.

    Рис. 19.

    web_auth_config20.gif

  10. Клиент проверяет сведения о политике и нажимает кнопку Accept (Принять), после чего он успешно проходит проверку подлинности (см. рис. 20).

    Теперь клиенту предоставляется право доступа к Интернету. При выполнении данной процедуры у пользователя не запрашиваются никакие учетные данные для проверки подлинности.

    Рис. 20.

    web_auth_config21.gif

    Примечание: Если беспроводной клиент также является конечной точкой VPN, а Web Passthrough (веб-транзит) настроен, как функция безопасности беспроводной ЛВС, то VPN-туннель не устанавливается до успешного завершения Web Passthrough. Чтобы установить VPN-туннель, клиент сначала должен успешно выполнить Web Passthrough. Только после этого создание VPN-туннелей становится успешным.

    Страница входа, используемая для Web Passthrough или веб-проверки подлинности, может быть настроена пользователем. В следующих разделах описывается процедура настройки страницы входа с помощью контроллера WLC или системы WCS.

Настройка страницы входа с Web Passthrough или веб-проверкой подлинности с помощью контроллера WLC

Выполните следующие действия из графического интерфейса пользователя контроллера WLC, чтобы настроить страницу входа с Web Passthrough или веб-проверкой подлинности.

  1. В графическом интерфейсе пользователя контроллера WLC выберите Commands &gt; Download File (Команды &gt; Загрузить файл).

    Откроется страница "Download File to Controller" (Загрузка файла в контроллер).

  2. В раскрывающемся меню "File Type" (Тип файлов) выберите Webauth Bundle (Пакет веб-проверки подлинности).

  3. Введите IP-адрес TFTP-сервера, путь к файлу и имя файла настроенного сценария входа (имя загружаемого TAR-файла). Нажмите кнопку Download (Загрузить).

    В контроллер загружается новая настроенная страница входа. Ниже представлен пример.

    web_auth_config22.gif

  4. Выберите Security (Безопасность) > Web Login Page (Страница веб-входа) для доступа к странице веб-входа.

  5. В раскрывающемся списке "Web Authentication Type" (Тип веб-проверки подлинности) выберите Customized (Downloaded) (Настроенный (загруженный)).

  6. Нажмите кнопку Apply (Применить), чтобы фиксировать изменения, и — кнопку Preview (Просмотр), чтобы просмотреть настроенное окно входа с веб-проверкой подлинности.

  7. Сохраните конфигурацию контроллера.

    Примечание: В контроллере WLC с программным обеспечением версии 4.0 можно настроить только одну страницу веб-проверки подлинности. На каждом контроллере можно выбрать внутреннюю, внешнюю или настраиваемую, но только одну страницу веб-проверки подлинности. Несколько страниц веб-проверки подлинности можно реализовать на нескольких контроллерах, так как на каждом контроллере WLC есть только одна страница веб-проверки подлинности (внутренняя, внешняя или настраиваемая). При таком использовании веб-проверки подлинности не должно возникать проблем.

Настройка страницы входа с Web Passthrough или веб-проверкой подлинности с помощью системы WCS

Выполните следующие действия из графического интерфейса пользователя системы WCS, чтобы настроить страницу входа с Web Passthrough или веб-проверкой подлинности.

  1. В графическом интерфейсе пользователя системы Wireless Control System (WCS) выберите Configure (Настроить) > Controllers (Контроллеры).

    Отобразится страница "All Controllers" (Все контроллеры).

  2. Выберите контроллеры, для которых необходимо настроить страницу входа с веб-проверкой подлинности или Web Passthrough.

  3. В раскрывающемся меню "Select the Command" (Выбор команды) выберите Download Customized WebAuth (Загрузить настроенную страницу веб-проверки подлинности) и нажмите кнопку Go (Перейти).

    web_auth_config23.gif

  4. На странице "Download Customized Web Auth Bundle to Controller" (Загрузка в контроллер настроенного пакета веб-проверки подлинности) введите имя файла (имя TAR-файла с настроенной страницей входа) и нажмите кнопку Download (Загрузить).

  5. Настроенная страница с веб-проверкой подлинности или Web Passthrough передается контроллеру.

    web_auth_config24.gif

  6. Выполните действия 4-7 в разделе Настройка страницы входа с Web Passthrough или веб-проверкой подлинности с помощью контроллера WLC данного документа (о графическом интерфейсе пользователя контроллера WLC), чтобы просмотреть и сохранить конфигурацию контроллера WLC.

Условное веб-перенаправление с проверкой подлинности 802.1x

Новая функция программного обеспечения контроллера версии 4.0.206.0 позволяет в зависимости от условий перенаправлять пользователя к конкретной веб-странице после успешного прохождения проверки подлинности 802.1x. Такие условия могут учитывать истечение срока действия пароля пользователя, необходимость оплаты пользователем своих счетов для продолжения использования и т.д.. Страницу перенаправления и условия, при которых выполняется перенаправление, можно настроить на RADIUS-сервере. Если RADIUS-сервер возвращает AV-пару Cisco "url-redirect," то при открытии веб-обозревателя пользователь перенаправляется по указанному URL-адресу. Если данный сервер также возвращает AV-пару Cisco "url-redirect-acl", указанный список управления доступом устанавливается на данном клиенте как список ACL предварительной проверки подлинности. На данном этапе клиент не считается полностью авторизованным, ему разрешается передавать только трафик, разрешенный списком ACL предварительной проверки подлинности.

После завершения клиентом специальной операции на странице с указанным URL-адресом (например, изменение пароля или оплата счета) ему необходимо заново пройти проверку подлинности. Когда RADIUS-сервер не возвращает пару "url-redirect", клиент считается полностью авторизованным и ему разрешается передавать трафик. Функция условного веб-перенаправления доступна только для беспроводных ЛВС, в которых стандарты 802.1x или WPA1+WPA2 настроены в качестве безопасности уровня 2. Эту функцию можно настроить на контроллере с помощью графического интерфейса пользователя или интерфейса командной строки.

Дополнительные сведения об этой функции и ее настройке см. в заметках о выпуске 4.0.206.0, доступных в документе Заметки о выпуске контроллеров Cisco для беспроводной ЛВС и облегченных точек доступа для версии 4.0.206.0.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 69340