Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 4400

Веб-идентификация Используя LDAP на радио диспетчеры LAN (WLCs) пример конфигурации

16 января 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (20 декабря 2015) | Отзыв


Содержание


Введение

Этот документ объясняет как установке беспроводной контроллер LAN (WLC) для веб-идентификации. Этот документ также объясняет, как формировать сервер Легкого директивного протокола доступа (LDAP) как базу данных бэкенда для веб-идентификации, чтобы восстановить пользовательские верительные грамоты и подтвердить подлинность пользователя.

Предпосылки

Требования

Гарантируйте, чтобы вы ответили этим требованиям перед попыткой этой конфигурации:

  • Знание конфигурации Легких Точек доступа (LAPs) и Cisco WLCs

  • Знание легкого протокола точки доступа (LWAPP)

  • Знание того, как настроить и формировать LDAP, Активный Справочник и диспетчеров области

Используемые компоненты

Информация в этом документе основана на этих версиях программного и аппаратного обеспечения:

  • Cisco 4400 WLC, который управляет микропрограммным выпуском 5.1

  • Ряд LAP Cisco 1232

  • Cisco 802.11a/b/g Беспроводной Адаптер Клиента, который управляет микропрограммным выпуском 4.2

  • Сервер Microsoft Windows 2003, который выполняет роль сервера LDAP

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Соглашения

Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.

Веб-процесс идентификации

Веб-идентификацией является Слой 3 механизма безопасности, которые заставляют диспетчера отвергать движение IP (кроме DHCP-связанных пакетов) от особого клиента, пока тот клиент правильно не поставлял действительное имя пользователя и пароль. При использовании веб-идентификации для подтверждения клиентов, необходимо определить имя пользователя и пароль для каждого клиента. Затем когда клиенты пытаются присоединиться к беспроводному LAN, их пользователи должны войти в имя пользователя и пароль, когда вызвано страницей логина.

Когда веб-идентификация позволена (под Слоем 3 безопасности), пользователи иногда получают предупреждение системы безопасности веб-браузера в первый раз, когда они пытаются получить доступ к URL.

ldap-web-auth-wlc-1.gif

После того, как пользователь нажимает кнопку Да для перехода, или если браузер theclient не показывает предупреждение системы безопасности, веб-система идентификации перенаправляет клиента к странице логина

ldap-web-auth-wlc-2.gif

Страница логина по умолчанию содержит эмблему Cisco и определенный для Cisco текст. Вы можете иметь сеть идентификацию систему показ один из них:

  • Страница логина по умолчанию

  • Измененная версия страницы логина по умолчанию

  • Настроенная страница логина, которую вы формируете на внешнем веб-сервере

  • Настроенная страница логина, которую вы загружаете на диспетчера

Когда пользователь входит в действительное имя пользователя и пароль на веб-странице логина идентификации и нажимает Submit, пользователь заверен основанный на представленных верительных грамотах и успешная идентификация. Веб-система идентификации тогда показывает успешную страницу логина и перенаправляет заверенного клиента к требуемому URL.

ldap-web-auth-wlc-3.gif

Неплатеж успешная страница логина содержит указатель на действительные ворота, обращается к URL: https://1.1.1.1/logout.html. IP-адрес, что вы устанавливаете для диспетчера действительный интерфейс, служит адресом перенаправления для страницы логина.

Этот документ объясняет, как использовать внутреннюю веб-страницу на WLC для веб-идентификации. Этот пример использует сервер Легкого директивного протокола доступа (LDAP) в качестве базы данных бэкенда для веб-идентификации, чтобы восстановить пользовательские верительные грамоты и подтвердить подлинность пользователя.

Формировать

В этой секции вам дарят информацию для формирования особенностей, описанных в этом документе.

Примечание: Используйте Инструмент Поиска Команды (только зарегистрированные клиенты) для получения большей информации о командах, используемых в этой секции.

Сетевая диаграмма

Этот документ использует эту сетевую установку:

/image/gif/paws/108008/ldap-web-auth-wlc-4.gif

Конфигурации

Закончите эти шаги для успешного осуществления этой установки:

Формируйте сервер LDAP

Первый шаг должен формировать сервер LDAP, который служит базой данных бэкенда для хранения пользовательских верительных грамот беспроводных клиентов. В этом примере сервер Microsoft Windows 2003 используется в качестве сервера LDAP.

Первый шаг в конфигурации сервера LDAP должен создать пользовательскую базу данных по серверу LDAP так, чтобы WLC мог подвергнуть сомнению эту базу данных для подтверждения пользователя.

Создайте пользователей на диспетчере области

Организационная единица (OU) содержит многократные группы, которые несут ссылки на личные записи в PersonProfile. Человек может быть членом многократных групп. Весь класс объекта и определения признака являются неплатежом схемы LDAP. Каждая группа содержит ссылки (dn) для каждого человека, который принадлежит ей.

В этом примере новый OU LDAP-USERS создан, и пользователь, User1 создан под этим OU. При формировании этого пользователя для доступа LDAP WLC может подвергнуть сомнению эту базу данных LDAP для пользовательской идентификации.

Область, используемая в этом примере, является lab.wireless.

Создайте пользовательскую базу данных под OU

Эта секция объясняет, как создать новый OU в вашей области и создать нового пользователя на этом OU.

  1. В диспетчере области нажмите Start> Programs> Administrative Tools> Active Directory Users и Computers для запуска Активного Директивного Пользовательского и Компьютерного управленческого пульта.

  2. Щелкните правой кнопкой мыши по своему доменному имени, которое является lab.wireless в этом примере, и затем выберите Новый> Организационная Единица из контекстного меню для создания нового OU.

    ldap-web-auth-wlc-5.gif

  3. Назначьте имя к этому OU и нажмите OK.

    ldap-web-auth-wlc-6.gif

Теперь, когда новый OU LDAP-USERS создан на сервере LDAP, следующий шаг должен создать пользователя User1 под этим OU. Для достижения этого закончите эти шаги:

  1. Щелкните правой кнопкой мыши по новому созданному OU. Выберите Новый> Пользователь из проистекающих контекстных меню для создания нового пользователя.

    ldap-web-auth-wlc-7.gif

  2. На Пользовательской странице установки заполните обязательные поля как показано в этом примере. Этот пример имеет User1 в Пользовательской области имени входа в систему.

    Это - имя пользователя, которое проверено в базе данных LDAP для подтверждения клиента. Этот пример использует User1 в областях Имени и Полного имени. Нажать Далее.

    ldap-web-auth-wlc-8.gif

  3. Введите пароль и подтвердите пароль. Выберите Пароль никогда не истекает выбор, и нажать Далее.

    ldap-web-auth-wlc-9.gif

  4. Нажмите Finish.

    Новый пользователь User1 создан под OU LDAP-USERS. Это пользовательские верительные грамоты:

    • имя пользователя: User1

    • пароль: Laptop123

      ldap-web-auth-wlc-10.gif

    Теперь, когда пользователь создан под OU, следующий шаг должен формировать этого пользователя для доступа LDAP.

Формируйте пользователя для доступа LDAP

Выполните шаги в этой секции для формирования пользователя для доступа LDAP.

Позвольте анонимный, связывают особенность на сервере Windows 2003

Для любых сторонних заявлений (в нашем случае WLC) к Windows 2003 доступа AD на LDAP, Анонимные Связывают особенность, должен быть позволен на Windows 2003. По умолчанию анонимные операции LDAP не разрешены на диспетчерах области Windows 2003. Выполните эти шаги для предоставления возможности Анонимного, Связывают особенность:

  1. Запуск ADSI Редактирует инструмент с Начала местоположения> Пробег> Тип: ADSI Edit.msc. Этот инструмент является частью инструментов поддержки Windows 2003.

  2. В ADSI Редактируют окно, расширяют область корня (Конфигурация [tsweb.lab.wireless]).

    Расширьте CN=Services> CN=Windows NT> Обслуживание CN=Directory. Щелкните правой кнопкой мыши по Сервисному контейнеру CN=Directory и выберите Свойства из контекстного меню.

    ldap-web-auth-wlc-11.gif

  3. В Сервисном Имущественном окне CN=Directory, под Признаками, щелкают признаком dsHeuristics под областью Признака и выбирают, Редактируют. В Редакторе Признака Последовательности окно этого признака войдите в стоимость 0000002; нажмите Apply и OK. Анонимные Связывают особенность, позволен на сервере Windows 2003.

    Примечание: последний (седьмой) характер является тем, который управляет способом, которым можно связать с обслуживанием LDAP. "0" или никакой седьмой характер означает, что отключены анонимные операции LDAP. При урегулировании седьмого характера в "2" он позволяет Анонимное, Связывают особенность.

    ldap-web-auth-wlc-12.gif

Предоставление ANONYMOUS доступ LOGON к пользователю "User1"

Следующий шаг должен предоставить ANONYMOUS доступ LOGON к пользователю User1. Закончите эти шаги для достижения этого:

  1. Откройте активных директивных пользователей и компьютеры.

  2. Удостоверьтесь, что проверены Преимущества Представления.

  3. Проведите пользователю User1 и щелкните правой кнопкой мыши по нему. Выберите Свойства из контекстного меню. Этот пользователь отождествлен с именем "User1".

    ldap-web-auth-wlc-13.gif

  4. Щелкните счетом безопасности.

    ldap-web-auth-wlc-14.gif

  5. Нажмите Add в проистекающем окне.

  6. Войдите в ANONYMOUS LOGON при Вхождении в названия объекта, чтобы выбрать коробку и признать диалог.

    ldap-web-auth-wlc-15.gif

  7. В ACL заметьте, что ANONYMOUS LOGON имеет доступ к некоторым имущественным наборам пользователя. Нажать OK. ANONYMOUS доступ LOGON предоставляют этому пользователю.

    ldap-web-auth-wlc-16.gif

Разрешение содержания списка гранта на OU

Следующий шаг должен предоставить, по крайней мере, разрешение Содержания Списка ANONYMOUS LOGON на OU, в котором расположен пользователь. В этом примере "User1" расположен на "LDAP-USERS" OU. Закончите эти шаги для достижения этого:

  1. В Активных Директивных Пользователях и Компьютерах, щелкните правой кнопкой мыши по OU LDAP-USERS и выберите Свойства.

    ldap-web-auth-wlc-17.gif

  2. Нажмите Security и затем Продвинутый.

  3. Нажмите Add. В диалоге, который открывается, войдите в ANONYMOUS LOGON.

    ldap-web-auth-wlc-18.gif

  4. Признайте диалог. Это открывает новое диалоговое окно.

  5. В Применении на коробку снижения вниз выберите Этот объект только. Позвольте Содержание Списка Флажок Allow.

    ldap-web-auth-wlc-19.gif

Используйте LDP для идентификации пользовательских признаков

Этот инструмент GUI является клиентом LDAP, который позволяет пользователям выполнять операции, те, которые соединяют, связывают, ищут, изменяют, добавляют или удаляют, против любого LDAP-совместимого справочника, такого как Активный Справочник. LDP используется для просмотра объектов, которые хранятся в Активном Справочнике наряду с их метаданными, такими как описатели безопасности и метаданные повторения.

LDP GUI инструмент включен при установке Инструментов Поддержки Windows Server 2003 от продукта CD. Эта секция объясняет, как использовать полезность LDP для идентификации определенных признаков, связанных с пользователем User1. Некоторые из этих признаков используются для заполнения параметров конфигурации сервера LDAP на WLC, таких как Пользовательский тип Признака и Пользовательский тип Объекта.

  1. На сервере Windows 2003 (даже на том же самом сервере LDAP), нажмите Start> Run и войдите в LDP для доступа к браузеру LDP.

  2. В главном окне LDP нажмите Connection> Connect и соединитесь с сервером LDAP при входе в IP-адрес сервера LDAP.

    ldap-web-auth-wlc-20.gif

  3. После того, как связанный с сервером LDAP, выберите Представление из главного меню и нажмите Tree.

    ldap-web-auth-wlc-21.gif

  4. В проистекающем окне Структурного вида войдите в BaseDN пользователя. В этом примере User1 расположен при "LDAP-USERS" OU под областью LAB.wireless. Нажать OK.

    ldap-web-auth-wlc-22.gif

  5. Левая сторона браузера LDP показывает все дерево, которое появляется под указанным BaseDN (OU=LDAP-USERS, dc=LAB, dc=Wireless). Расширьте дерево для расположения пользователя User1. Этот пользователь может быть отождествлен со стоимостью CN, которая представляет имя пользователя. В этом примере это - CN=User1. Дважды щелкните по CN=User1. В стекле правой стороны браузера LDP LDP показывает все признаки, связанные с User1. Этот пример объясняет этот шаг:

    ldap-web-auth-wlc-23.gif

  6. Когда вы формируете WLC для сервера LDAP, в Пользовательской области Признака, вводите имя признака в пользовательском отчете, который содержит имя пользователя. От этой продукции LDP вы видите, что sAMAccountName является одним признаком, который содержит имя пользователя "User1", поэтому войдите в признак sAMAccountName, который соответствует Пользовательской области Признака на WLC.

  7. Когда вы формируете WLC для сервера LDAP, в Пользовательской области Типа Объекта, входите в ценность признака LDAP objectType, который идентифицирует отчет как пользователя. Часто, пользовательские отчеты имеют несколько ценностей для признака objectType, некоторые из которых уникальны для пользователя и некоторые из которых разделены с другими типами объекта. В продукции LDP КН=ПЕРСОН является одной стоимостью, которая идентифицирует отчет как пользователя, поэтому определите Человека как Пользовательский признак Типа Объекта на WLC.

    Следующий шаг должен формировать WLC для сервера LDAP.

Формируйте WLC для сервера LDAP

Теперь, когда сервер LDAP формируется, следующий шаг должен формировать WLC с деталями сервера LDAP. Закончите эти шаги на WLC GUI:

Примечание: Этот документ предполагает, что WLC формируется для основной операции и что LAPs зарегистрирован к WLC. Если вы - новый пользователь, который хочет к установке WLC для основной операции с LAPs, отошлите к Легкому весу AP (LAP) Регистрация Радио диспетчеру LAN (WLC).

  1. На странице безопасности WLC выберите AAA> LDAP от стекла задачи левой стороны для перемещения в страницу конфигурации сервера LDAP.

    ldap-web-auth-wlc-24.gif

    Для добавления сервера LDAP нажмите New. Серверы LDAP> Новая страница появляются.

  2. В Серверах LDAP Редактируют страницу, определяют детали сервера LDAP, такие как IP-адрес сервера LDAP, Числа Порта, Позволяют статус Сервера, и так далее.

    • Выберите число из Индекса Сервера (Приоритет) коробка снижения вниз, чтобы определить, что первоочередной заказ этого сервера относительно любого другого формировал серверы LDAP. Можно формировать до семнадцати серверов. Если диспетчер не может достигнуть первого сервера, он пробует второй в списке и так далее.

    • Войдите в IP-адрес сервера LDAP в области IP-адреса Сервера.

    • Введите номер порта TCP сервера LDAP в Числовом поле Порта. Действительный диапазон 1 - 65535, и значение по умолчанию 389.

    • В Базе Пользователей область DN войдите в выдающееся имя (DN) поддерева в сервере LDAP, который содержит список всех пользователей. Например, ou=organizational единица, .ou=next организационная единица и o=corporation.com. Если деревом, которое содержит пользователей, является основной DN, войдите в o=corporation.com или dc=corporation, dc=com.

      В этом примере пользователь расположен при LDAP-USERS Организационной единицы (OU), который, в свою очередь, создан как часть lab.wireless области.

      DN Базы Пользователей должен указать весь путь, где расположена информация о пользователе (пользовательский мандат согласно методу идентификации EAP-FAST). В этом примере пользователь расположен под основным DN OU=LDAP-USERS, DC=lab, DC=Wireless.

    • В Пользовательской области Признака введите имя признака в пользовательском отчете, который содержит имя пользователя.

      В Пользовательской области Типа Объекта войдите в ценность признака LDAP objectType, который идентифицирует отчет как пользователя. Часто, пользовательские отчеты имеют несколько ценностей для признака objectType, некоторые из которых уникальны для пользователя и некоторые из которых разделены с другими типами объекта

      Можно получить ценность этих двух областей от директивного сервера с полезностью браузера LDAP, которая стала частью инструментов поддержки Windows 2003. Этот инструмент браузера Microsoft LDAP называют LDP. С помощью этого инструмента можно знать Базу Пользователей DN, Пользовательский Признак и Пользовательские области Типа Объекта этого особого пользователя. Подробная информация о том, как использовать LDP для знания их Пользователь определенные признаки, обсуждена в Использовании LDP для Идентификации группы Признаков Пользователей этого документа.

    • В области Перерыва Сервера введите номер секунд между повторными передачами. Действительный диапазон составляет 2 - 30 секунд, и значение по умолчанию составляет 2 секунды.

    • Проверьте флажок Enable Server Status, чтобы позволить этот сервер LDAP или снять флажок с ним для выведения из строя его. Значение по умолчанию отключено.

    • Нажмите Apply для совершения изменений. Это - пример, уже формируемый с этой информацией:

    ldap-web-auth-wlc-25.gif

  3. Теперь, когда детали о сервере LDAP формируются на WLC, следующий шаг должен формировать WLAN для веб-идентификации.

Формируйте WLAN для веб-идентификации

Первый шаг должен создать WLAN для пользователей. Закончите эти шаги:

  1. Нажмите WLANs от диспетчера GUI для создания WLAN.

    Окно WLANs появляется. Это окно перечисляет WLANs, формируемый на диспетчере.

  2. Нажмите New для формирования нового WLAN.

    В этом примере WLAN называют Веб-автором.

    ldap-web-auth-wlc-26.gif

  3. Нажмите Apply.

  4. В WLAN> Редактируют окно, определяют параметры, определенные для WLAN.

    ldap-web-auth-wlc-27.gif

    • Проверьте флажок Status для предоставления возможности WLAN.

    • Для WLAN выберите соответствующий интерфейс из Интерфейсной области Имени.

      Этот пример наносит на карту управленческий интерфейс, который соединяется с Веб-автором WLAN.

  5. Щелкните счетом безопасности. В Слое 3 области безопасности проверьте флажок Web Policy и выберите выбор Идентификации.

    ldap-web-auth-wlc-28.gif

    Этот выбор выбран, потому что веб-идентификация используется для подтверждения беспроводных клиентов. Проверьте флажок Override Global Config для предоставления возможности за веб-конфигурацию идентификации WLAN. Выберите соответствующий веб-тип идентификации от Веб-Автора печатают выпадающее меню. Этот пример использует Внутреннюю Веб-Идентификацию.

    Примечание: Веб-идентификация не поддержана с 802.1x идентификация. Это означает, что вы не можете выбрать 802.1x или WPA/WPA2 с 802.1x как Слой 2 безопасности при использовании веб-идентификации. Веб-идентификация поддержана со всем другим Слоем 2 параметра безопасности.

  6. Щелкните вкладкой AAA Servers. Выберите формируемый сервер LDAP из раскрывающегося меню сервера LDAP. При использовании местной базы данных или сервера RADIUS можно установить приоритет идентификации под первоочередным заказом Идентификации для подлинного сетью userfield.

    ldap-web-auth-wlc-29.gif

  7. Нажмите Apply.

    Примечание: В этом примере Слой не используются 2 метода безопасности для подтверждения пользователей, поэтому не выберите Ни один в Слое 2 области безопасности.

Проверить

Для подтверждения этой установки соедините Беспроводного клиента и проверьте, работает ли конфигурация как ожидалось.

Беспроводной клиент подходит, и пользователь входит в URL, такой как www.yahoo.com, в веб-браузере. Поскольку пользователь не был заверен, WLC перенаправляет пользователя к внутреннему веб-логину URL.

Пользователь побужден для пользовательских верительных грамот. Как только пользователь представляет имя пользователя и пароль, страница логина берет пользовательский мандатный вход и, на подчиняются, передает запрос обратно в action_URL пример, http://1.1.1.1/login.html, веб-сервера WLC. Это обеспечено, поскольку входной параметр клиенту перенаправляет URL, где 1.1.1.1 Действительный Интерфейсный Адрес на выключателе.

WLC подтверждает подлинность пользователя против пользовательской базы данных LDAP. После успешной идентификации, веб-сервер WLC или вперед пользователь к формируемому перенаправлению URL или к URL, с которого клиент начал, такие как www.yahoo.com.

ldap-web-auth-wlc-30.gif

ldap-web-auth-wlc-31.gif

ldap-web-auth-wlc-32.gif

Расследовать

Эта секция предоставляет информацию, которую можно использовать для поиска неисправностей конфигурации.

Используйте эти команды для Поиска неисправностей конфигурации:

  • отладьте Mac addr <МАК АДРЕС КЛИЕНТА xx:xx:xx:xx:xx:xx>

  • отладьте aaa, который все позволяют

  • государство pem отладки позволяет

  • pem события отладки позволяют

  • dhcp сообщение отладки позволяет

  • dhcp пакет отладки позволяет

Это - типовая продукция от отладки aaa, все позволяют команду.

*Sep 19 15:16:10.286: AuthenticationRequest: 0x152c8e78


*Sep 19 15:16:10.286: 	
   Callback.....................................0x10567ae0

*Sep 19 15:16:10.286: 	
   protocolType.................................0x00000002

*Sep 19 15:16:10.286: 	
   proxyState...................................00:40:96:AF:3E:93-00:00

*Sep 19 15:16:10.286: 	Packet contains 8 AVPs (not shown)

*Sep 19 15:16:10.287: 
   ldapTask [1] received msg 'REQUEST' (2) in state 'IDLE' (1)
*Sep 19 15:16:10.287: 
   LDAP server 1 changed state to INIT
*Sep 19 15:16:10.287: 
   ldapInitAndBind [1] called lcapi_init (rc = 0 - Success)
*Sep 19 15:16:10.296: 
   ldapInitAndBind [1] configured Method Anonymous 
   lcapi_bind (rc = 0 - Success)
*Sep 19 15:16:10.297: LDAP server 1 changed state to CONNECTED
*Sep 19 15:16:10.297: LDAP_CLIENT: UID Search (base=OU=LDAP-USERS,
   DC=LAB,DC=WIRELESS, pattern=(&(objectclass=Person)
   (sAMAccountName=User1)))
*Sep 19 15:16:10.308: LDAP_CLIENT: Returned 2 msgs
*Sep 19 15:16:10.308: LDAP_CLIENT: Returned msg 1 type 0x64
*Sep 19 15:16:10.308: LDAP_CLIENT: 
   Received 1 attributes in search entry msg
*Sep 19 15:16:10.308: LDAP_CLIENT: Returned msg 2 type 0x65
*Sep 19 15:16:10.308: LDAP_CLIENT : No matched DN
*Sep 19 15:16:10.308: LDAP_CLIENT : Check result error 0 rc 1013
*Sep 19 15:16:10.309: ldapAuthRequest [1] called lcapi_query base=
   "OU=LDAP-USERS,DC=LAB,DC=WIRELESS" type="Person" attr="sAMAccountName" 
   user="User1" (rc = 0 - Success)
*Sep 19 15:16:10.309: Attempting user bind with username 
   CN=User1,OU=LDAP-USERS,DC=lab,DC=wireless
*Sep 19 15:16:10.335: LDAP ATTR> dn = CN=User1,OU=LDAP-USERS,
   DC=lab,DC=wireless (size 41)
*Sep 19 15:16:10.335: Handling LDAP response Success
*Sep 19 15:16:10.335: 00:40:96:af:3e:93 Returning AAA 
   Success for mobile 00:40:96:af:3e:93
*Sep 19 15:16:10.335: AuthorizationResponse: 0x3fbf7b40


*Sep 19 15:16:10.336: 	structureSize..........................137

*Sep 19 15:16:10.336: 	resultCode.............................0

*Sep 19 15:16:10.336: 	protocolUsed...........................0x00000002

*Sep 19 15:16:10.336: 	proxyState...............................
   00:40:96:AF:3E:93-00:00

*Sep 19 15:16:10.336: 	Packet contains 3 AVPs:

*Sep 19 15:16:10.336: 	    AVP[01] Unknown Attribute 0..........
   CN=User1,OU=LDAP-USERS,DC=lab,DC=wireless (41 bytes)

*Sep 19 15:16:10.336: 	    AVP[02] User-Name............
   User1 (5 bytes)

*Sep 19 15:16:10.336: 	    AVP[03] User-Password....[...]

*Sep 19 15:16:10.336: Authentication failed for User1, 
   Service Type: 0 
*Sep 19 15:16:10.336: 00:40:96:af:3e:93 Applying new AAA 
   override for station 00:40:96:af:3e:93
*Sep 19 15:16:10.336: 00:40:96:af:3e:93 
   Override values for station 00:40:96:af:3e:93
	source: 48, valid bits: 0x1
	qosLevel: -1, dscp: 0xffffffff, dot1pTag: 
   0xffffffff, sessionTimeout: -1
	dataAvgC: -1, rTAvg
*Sep 19 15:16:10.337: 00:40:96:af:3e:93 Unable to apply 
   override policy for station 00:40:96:af:3e:93 - 
   VapAllowRadiusOverride is FALSE
*Sep 19 15:16:10.339: 00:40:96:af:3e:93 Sending 
   Accounting request (0) for station 00:40:96:af:3e:93 
*Sep 19 15:16:10.339: AccountingMessage 
   Accounting Start: 0x152d9778

*Sep 19 15:16:10.339: 	Packet contains 11 AVPs:

*Sep 19 15:16:10.339: 	    
   AVP[01] User-Name.......................User1 (5 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[02] Nas-Port........................0x00000002 
   (2) (4 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[03] Nas-Ip-Address..................0x0a4df4cc 
   (172881100) (4 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[04] Framed-IP-Address...............0x0a4df4c6 
   (172881094) (4 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[05] NAS-Identifier..................WLC-4400 (8 bytes)

*Sep 19 15:16:10.339: 	    
   AVP[06] Airespace / WLAN-Identifier.....0x00000001 (1) 
   (4 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[07] Acct-Session-Id.................
   48d3c23a/00:40:96:af:3e:93/162 (30 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[08] Acct-Authentic..................0x00000003 (3) 
   (4 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[09] Acct-Status-Type................0x00000001 (1) 
   (4 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[10] Calling-Station-Id..............10.77.244.198 
   (13 bytes)

*Sep 19 15:16:10.340: 	    
   AVP[11] Called-Station-Id...............10.77.244.204 
   (13 bytes)

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Соответствующая информация


Document ID: 108008