Беспроводные сети / Мобильные решения : Безопасность беспроводных сетей

Пример конфигурации прокси-сервера веб-аутентификации

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как настроить web-аутентификацию для работы с настройкой прокси.

Внесенный Ником Тейтом, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Базовая конфигурация Контроллера беспроводной локальной сети
  • Безопасность web-аутентификации

Используемые компоненты

Сведения в этом документе основываются на контроллере беспроводной локальной сети Cisco, версии 7.0 и позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

Администраторы сети, у кого есть прокси-сервер на их сетевом вебе - трафике передачи сначала к прокси-серверу, который тогда передает трафик к Интернету. Соединения между клиентом и прокси-сервером могут использовать порт TCP кроме порта 80 для связи. Этот порт обычно является портом TCP 3128 или 8080. По умолчанию web-аутентификация только слушает на порту 80. Таким образом, когда GET HTTP оставляет компьютер, он передается прокси - порту, но отброшен контроллером.

В этом разделе описывается настроить web-аутентификацию для работы с настройкой прокси:

  1. Настройте контроллер беспроводной локальной сети Cisco (WLC) для прослушивания на прокси - порте.
  2. Настройте файл автоматической конфигурации прокси (PAC) для возврата прямого виртуального IP - адреса.
  3. Создайте список контроля доступа (ACL) процедур, предшествующих аутентификации, чтобы позволить клиенту загружать файл PAC перед web-аутентификацией.

Как быстрое решение, можно настроить web-браузер вручную для возврата 1.1.1.1.

Подробные данные о каждом из этих процессов находятся в следующих подразделах.

Настройте WLC

Эта процедура описывает, как изменить порт, контроллер слушает на порту, на котором слушает прокси-сервер.

  1. Перейдите к Контроллеру> страница General.

    116052-config-webauth-proxy-01.png

  2. В поле WebAuth Proxy Redirection Port введите порт, что вы хотите, чтобы WLC слушал на для клиентского перенаправления.

  3. Выберите Disabled или Enabled от выпадающего списка Режима Перенаправления Прокси WebAuth:

    1. Если вы выбираете Disabled, клиенты представлены обычная страница веб-аутентификации для passthrough или аутентификации. Так, при использовании прокси необходимо настроить все клиентские браузеры для не использования прокси для 1.1.1.1 (или другой виртуальный IP - адрес использование WLC). Посмотрите Быстрое решение: Настройте Web-браузер.

    2. При выборе Enabled WLC слушает на портах 80, 8080, и 3128 по умолчанию, таким образом, вы не должны вводить те порты в текстовое поле порта Перенаправления Прокси WebAuth. Если клиент передает HTTP, Входят в эти порты, они видят экран, который просит, чтобы они изменили свои параметры прокси на автоматический.

      116052-config-webauth-proxy-02.png

  4. Сохраните конфигурацию.

  5. Перезагрузите контроллер.

Таким образом, введите номер порта в порт Перенаправления Прокси WebAuth для определения порта, на котором слушает WLC. Когда режим перенаправления Включен, он перенаправляет клиент на экран параметра прокси и ожидает выдвигать динамично Автоматическое обнаружение веба - прокси (WPAD) или файл PAC для автоматической настройки прокси. Когда Отключено, клиент перенаправлен к обычной странице веб-аутентификации.

Настройте файл PAC

Виртуальный IP - адрес WLC должен быть возвращен 'прямой' для веб-Аутентификации для надлежащей аутентификации пользователей. Прямой подразумевает, что прокси-сервер не проксирует запрос, и у клиента есть разрешения для прямого обращений к IP-адресу. Это обычно настраивается на прокси-сервере в WPAD или файле PAC администратором прокси-сервера. Это - пример конфигурации для файла PAC:

function FindProxyForURL(url, host) {
     // our local URLs from the domains below example.com don't need a proxy:
     if (shExpMatch(host, "*.example.com"))
     if (shExpMatch(host, "1.1.1.1"))  <-- (Line states return 1.1.1 directly)      {
        return "DIRECT";
     }
     // URLs within this network are accessed through
     // port 8080 on fastproxy.example.com:
     if (isInNet(host, "10.0.0.0", "255.255.248.0"))
     {
        return "PROXY fastproxy.example.com:8080";
     }

     // All other requests go through port 8080 of proxy.example.com.
     // should that fail to respond, go directly to the WWW:
     return "PROXY proxy.example.com:8080; DIRECT";

Создайте ACL предварительной проверки подлинности

Разместите ACL процедур, предшествующих аутентификации в идентификатор набора сервисов web-аутентификации (SSID) так, чтобы беспроводные клиенты могли загрузить файл PAC, прежде чем клиенты войдут в веб-Аутентификацию. ACL процедур, предшествующих аутентификации должен предоставить доступ только к порту, файл PAC идет. Доступ к прокси - порту позволяет клиентам достигать Интернета без web-аутентификации.

  1. Перейдите к Безопасности> Список контроля доступа для создания ACL на контроллере.
     
  2. Создайте правила разрешить трафик на порту загрузок PAC к прокси в обоих направлениях.

    116052-config-webauth-proxy-03.png

    Примечание: Не позволяйте порт HTTP прокси.

  3. В конфигурации WLAN на контроллере не забывайте выбирать ACL, который вы просто создали как ACL предварительной проверки подлинности.

    116052-config-webauth-proxy-04.png
     

Быстрое решение: настройте web-браузер

Эта процедура описывает, как вручную настроить исключение так, чтобы клиентский web-браузер протянулся непосредственно к 1.1.1.1.

  1. В Internet Explorer перейдите к Программным средствам> интернет-опции.

  2. Нажмите вкладку Connections, тогда кнопка LAN Settings.

  3. В области Прокси-сервера проверьте Использование прокси-сервер для LAN и введите (IP) Адрес и порт, на котором слушает сервер.

    116052-config-webauth-proxy-05.png

  4. Нажмите кнопку Advanced и введите виртуальный IP - адрес WLC в области Exceptions.

    116052-config-webauth-proxy-06.png

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 116052