La autenticación de invitado de Active Directory (AD) permite a un cliente configurar una infraestructura de portal cautivo para utilizar su servicio interno de directorio de Windows para la autenticación. El portal cautivo es una función que permite a un administrador bloquear a los clientes que se conectan a la red del punto de acceso inalámbrico (WAP) hasta que se les conceda acceso a la red. Los clientes son dirigidos a una página web para obtener autenticación y condiciones de acceso antes de que puedan conectarse a la red. La verificación del portal cautivo es tanto para invitados como para usuarios autenticados de la red. Esta función hace uso del navegador web y lo convierte en un dispositivo de autenticación.
Las instancias cautivas del portal son un conjunto definido de configuraciones que se utilizan para autenticar clientes en la red WAP. Las instancias se pueden configurar para responder de diferentes maneras a los usuarios cuando intenten acceder a los puntos de acceso virtuales asociados. Los portales cautivos se emplean a menudo en las ubicaciones de puntos de conexión Wi-Fi para garantizar que los usuarios aceptan los términos y condiciones, así como para proporcionar credenciales de seguridad antes de acceder a Internet.
Para admitir la autenticación AD, WAP deberá comunicarse con uno a tres controladores de dominio de Windows para proporcionar la autenticación. Puede admitir varios dominios para la autenticación eligiendo controladores de dominio de diferentes dominios AD.
El objetivo de este documento es mostrarle cómo configurar la autenticación de invitado AD en el WAP125 o WAP581.
Paso 1. Inicie sesión en la utilidad de configuración web del WAP ingresando el nombre de usuario y la contraseña. El nombre de usuario y la contraseña predeterminados son cisco/cisco. Si ha configurado un nuevo nombre de usuario o contraseña, introduzca las credenciales en su lugar. Haga clic en Login (Conexión).
NOTE: En este artículo, el WAP125 se utiliza para demostrar la configuración de la autenticación de invitado AD. Las opciones de menú pueden variar ligeramente según el modelo del dispositivo.
Paso 2. Elija Access Control > Guest Access.
Paso 3. En la tabla de instancias de acceso de invitado, puede agregar una nueva instancia de acceso de invitado o editar una existente. La función Acceso de invitado del punto de acceso WAP125 o WAP581 proporciona conectividad inalámbrica a clientes inalámbricos temporales dentro del alcance del dispositivo. Funciona haciendo que el punto de acceso difunda dos identificadores de conjunto de servicios (SSID) diferentes: uno para la red principal y el otro para la red de invitados. A continuación, se redirige a los invitados a un portal cautivo donde se les exige que introduzcan sus credenciales. De hecho, esto mantiene la seguridad de la red principal al tiempo que proporciona a los invitados acceso a Internet.
Los parámetros del portal cautivo se configuran en la tabla de instancias de acceso de invitado de la utilidad basada en web del WAP. La función Guest Access es particularmente útil en los vestíbulos de hoteles y oficinas, restaurantes y centros comerciales.
En este ejemplo, se agrega una nueva instancia de acceso de invitado haciendo clic en el icono más.
Paso 4. Asigne un nombre a la instancia de acceso de invitado. En este ejemplo, se denomina AD_authentication.
Paso 5. Elija el método de autenticación como servicio Active Directory.
Paso 6. Una vez que elija el servicio Active Directory como método de autenticación, el protocolo cambia de Protocolo de transferencia de hipertexto (HTTP) a Seguro de protocolo de transferencia de hipertexto (HTTPS).
NOTE: Es muy importante que un cliente configure la página del portal cautivo para utilizar HTTPS y no HTTP, ya que lo primero es más seguro. Si un cliente elige HTTP, puede exponer inadvertidamente los nombres de usuario y las contraseñas transmitiéndolas en texto sin cifrar. Se recomienda utilizar una página de portal cautivo HTTPS.
Paso 7. Configure la dirección IP del servidor AD haciendo clic en el icono de ojo azul situado junto al Servicio de Active Directory en la columna Método de autenticación.
Paso 8. Se abrirá una nueva ventana. Introduzca la dirección IP del servidor AD. En este ejemplo, la dirección IP del host utilizada es 172.16.1.35. Como paso opcional, puede hacer clic en Prueba para verificar que es válido.
Paso 9. (Opcional) Una vez que haga clic en Prueba en el paso anterior, se abrirá otra ventana emergente y podrá ingresar el Nombre de usuario y la Contraseña del usuario en AD y hacer clic en Iniciar prueba.
Si es válido, pasará la prueba y aparecerá la siguiente pantalla. Esto confirma que puede conectarse al controlador de dominio y autenticarse.
NOTE: Puede agregar hasta 3 servidores AD.
Paso 10. Guarde los cambios.
Paso 11. Vaya al menú y elija Wireless > Networks
Paso 12. Elija la red y especifique que elegirá AD como Instancia de Acceso de Invitado para la autenticación. Click Save.
Paso 13. Para conectarse a la red inalámbrica de invitado mediante la autenticación de AD, vaya a la opción inalámbrica de su equipo personal (PC) y seleccione la red que se ha configurado para la autenticación de AD y haga clic en Conectar.
Paso 14. Una vez conectado, se abrirá una ventana del navegador web con la advertencia de certificado de seguridad estándar. Haga clic en Ir a la página web.
NOTE: La pantalla puede aparecer de forma diferente según el explorador que esté utilizando.
Paso 15. Se inicia la página Portal cautivo. Marque la casilla Aceptaciónpolítica de uso para aceptar la política e ingrese el Nombre de usuario y Contraseña del usuario en AD. Haga clic en Connect para conectarse a la red.
NOTE: Si hay varios dominios, el nombre de usuario incluirá el nombre de dominio\nombre de usuario. En este ejemplo, es ciscotest\test1.
Paso 16. Ahora está autenticado y tiene acceso a Internet.
Ahora debería haber configurado correctamente la autenticación de invitado de directorio activo en WAP125 o WAP581 y verificado su funcionalidad.