Webauthentifizierungsproxy auf einem WLC konfigurieren
Inhalt
Einleitung
Dieses Dokument enthält ein Konfigurationsbeispiel für die Verwendung der Webauthentifizierungsproxy-Funktion auf einem Wireless LAN Controller (WLC).
Voraussetzungen
Anforderungen
Stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen, bevor Sie diese Konfiguration vornehmen:
-
Kenntnisse der Konfiguration von Lightweight Access Points (LAPs) und Cisco WLCs
-
Sie verfügen über Kenntnisse in den Bereichen LWAPP (Lightweight Access Point Protocol)/CAPWAP (Control and Provisioning of Wireless Access Points).
-
Ich habe Kenntnisse in der Webauthentifizierung.
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
-
Cisco 4400 WLC mit Firmware-Version 7.0.116.0
-
Cisco Serie 1130AG - LAP
-
Cisco 802.11a/b/g Wireless Client Adapter für Firmware-Version 4.2
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Konventionen
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
Webauthentifizierungsproxy auf einem WLC
In diesem Dokument wird davon ausgegangen, dass der Leser die Webauthentifizierung und die Schritte zur Konfiguration der Webauthentifizierung auf Cisco WLCs kennt. Wenn Sie ein neuer Benutzer sind, lesen Sie die folgenden Dokumente, in denen der Web-Authentifizierungsprozess im Detail erläutert wird:
-
Konfigurationsbeispiel für Web-Authentifizierung des Wireless LAN-Controllers
-
Konfigurationsbeispiel für externe Web-Authentifizierung mit Wireless LAN-Controllern
-
Problembehandlung bei der Webauthentifizierung auf einem Wireless LAN Controller (WLC)
Die Webauthentifizierungsproxy-Funktion wurde mit WLC Version 7.0.116.0 eingeführt.
Ein Webbrowser verfügt über drei Arten von Interneteinstellungen, die vom Benutzer konfiguriert werden können:
-
Automatische Erkennung
-
Systemproxy
-
Manuell
Mit dieser Funktion können Clients, auf denen ein manueller Webproxy im Browser aktiviert ist, die Webauthentifizierung mit dem Controller vereinfachen.
Wenn der Client in einem für die Webauthentifizierung konfigurierten Netzwerk für manuelle Proxy-Einstellungen konfiguriert ist, hört der Controller diese Proxy-Ports nicht an, sodass der Client keine TCP-Verbindung mit dem Controller herstellen kann. Im Endeffekt kann der Benutzer zu keiner Anmeldeseite gelangen, um sich zu authentifizieren und Zugriff auf das Netzwerk zu erhalten.
Wenn der Client eine URL anfordert, bei der die Webauthentifizierungsproxy-Funktion aktiviert ist, antwortet der Controller mit einer Webseite, auf der der Benutzer aufgefordert wird, die Internet-Proxyeinstellungen zu ändern, um die Proxyeinstellungen automatisch zu erkennen.
Dieser Prozess verhindert, dass die manuellen Proxyeinstellungen des Browsers verloren gehen. Nach der Konfiguration dieser Funktion kann der Benutzer über die Web-Authentifizierungsrichtlinie auf das Netzwerk zugreifen.
Diese Funktion wird standardmäßig für die Ports 80, 8080 und 3128 bereitgestellt, da es sich hierbei um die am häufigsten verwendeten Ports für den Webproxyserver handelt.
Webauthentifizierungsproxy auf einem WLC konfigurieren
In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.
Konfigurationen
Führen Sie die folgenden Schritte aus, um den Webauthentifizierungsproxy über die grafische Benutzeroberfläche des Controllers zu konfigurieren:
-
Wählen Sie in der GUI des Controllers Controller > General (Allgemein).
-
Um den WebAuth-Proxy zu aktivieren, wählen Sie in der Dropdown-Liste WebAuth Proxy Redirection Mode (WebAuth-Proxyumleitungsmodus) die Option Enabled (Aktiviert) aus.
-
Geben Sie im Textfeld WebAuth Proxy Redirection Port (WebAuth-Proxy-Umleitungsport) die Portnummer des Web-Authentifizierungsproxys ein. Dieses Textfeld enthält die Portnummern, auf denen der Controller die Weiterleitung des Webauthentifizierungsproxys abhört. Standardmäßig wird von den drei Ports 80, 8080 und 3128 ausgegangen. Wenn Sie den Umleitungsport für die Webauthentifizierung auf einen anderen Port als diese Werte konfiguriert haben, müssen Sie diesen Wert angeben.
-
Klicken Sie auf Apply (Anwenden).
Führen Sie den folgenden Befehl aus, um den WebAuth-Proxy über die CLI zu konfigurieren:
config network web-auth proxy-redirect {enable | disable}
Legen Sie die Webauthentifizierungs-Portnummer mit dem Befehl config network web-auth port <port-number> fest.
Speichern Sie nach der Konfiguration des WLC die Konfiguration, und starten Sie den Controller neu, damit die Konfiguration wirksam wird.
Überprüfung
Um den aktuellen Status der Proxy-Konfiguration für die Webauthentifizierung anzuzeigen, geben Sie entweder den Befehl show network summary oder show running-config ein.
(Cisco Controller) >show network summary RF-Network Name............................. WLAN-LAB Web Mode.................................... Disable Secure Web Mode............................. Enable Secure Web Mode Cipher-Option High.......... Disable Secure Web Mode Cipher-Option SSLv2......... Enable Secure Shell (ssh).......................... Enable Telnet...................................... Enable Ethernet Multicast Forwarding............... Disable Ethernet Broadcast Forwarding............... Disable AP Multicast/Broadcast Mode................. Unicast IGMP snooping............................... Disabled IGMP timeout................................ 60 seconds IGMP Query Interval......................... 20 seconds User Idle Timeout........................... 300 seconds ARP Idle Timeout............................ 300 seconds Cisco AP Default Master..................... Disable AP Join Priority............................ Disable Mgmt Via Wireless Interface................. Disable Mgmt Via Dynamic Interface.................. Disable Bridge MAC filter Config.................... Enable Bridge Security Mode........................ EAP --More-- or (q)uit Mesh Full Sector DFS........................ Enable Apple Talk ................................. Disable AP Fallback ................................ Enable Web Auth Redirect Ports .................... 80 Web Auth Proxy Redirect ................... Enable Fast SSID Change ........................... Disabled 802.3 Bridging ............................. Disable IP/MAC Addr Binding Check .................. Enabled
Verbinden wir nun einen Wireless-Client mit der Gast-SSID, die wir für die Webauthentifizierung konfiguriert haben.
Wenn Sie über einen internen DHCP-Server verfügen, stellt der Client eine Verbindung mit dem WLAN Guest1 her und erhält eine IP-Adresse. Wenn der Client versucht, auf eine URL zuzugreifen (z. B. www.cisco.com), da der manuelle Proxy im Client-Browser aktiviert ist, antwortet der Controller, der die Funktion für den Webauthentifizierungsproxy verwendet, mit einer Webseite, die den Benutzer auffordert, die Internet-Proxy-Einstellungen zu ändern, um die Proxy-Einstellungen automatisch zu erkennen.
An diesem Punkt ist sich der Client bewusst, dass die manuellen Proxy-Einstellungen deaktiviert werden müssen. Hier können Sie sehen, wie Sie die manuellen Proxy-Einstellungen auf Firefox Version 3.6 deaktivieren.
-
Wählen Sie im Firefox-Browser Extras > Optionen und dann Erweitert aus.
-
Klicken Sie auf die Registerkarte Netzwerk, und wählen Sie dann Einstellungen aus.
-
Wählen Sie im Fenster Verbindungseinstellungen die Option Proxy-Einstellungen für dieses Netzwerk automatisch erkennen aus.
Aktualisieren Sie anschließend den Browser, und versuchen Sie erneut, auf die URL zuzugreifen. Dieses Mal werden Sie zur Seite für die Webauthentifizierung weitergeleitet. Der Client stellt Ihnen Anmeldeinformationen zur Verfügung, und Sie können sich beim Gastnetzwerk anmelden.
Zugehörige Informationen
- Konfigurationsbeispiel für Web-Authentifizierung des Wireless LAN-Controllers
- Konfigurationsbeispiel für externe Web-Authentifizierung mit Wireless LAN-Controllern
- Problembehandlung bei der Webauthentifizierung auf einem Wireless LAN Controller (WLC)
- Konfigurationsleitfaden für Cisco Wireless LAN Controller, Version 7.0.116.0
- Technischer Support und Dokumentation für Cisco Systeme
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
27-Jul-2011 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)