Autenticación Web usando el LDAP en el ejemplo de configuración de los reguladores del Wireless LAN (WLCs)

Introducción

Este documento describe cómo poner un regulador del Wireless LAN (WLC) para la autenticación Web. Explica cómo configurar un servidor del Lightweight Directory Access Protocol (LDAP) como la base de datos backend para que la autenticación Web extraiga los credenciales de usuario y autentique al usuario.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

• Conocimiento de la configuración de los Puntos de acceso ligeros (revestimientos) y del WLCs de Cisco

• Conocimiento del control y aprovisionamiento del protocolo del unto de acceso de red inalámbrica (CAPWAP)

• Conocimiento de cómo configurar y configurar el Lightweight Directory Access Protocol (LDAP), el Active Directory y los controladores de dominio

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• WLC de Cisco 5508 que funciona con la versión de firmware 8.2.100.0

• REVESTIMIENTO de las Cisco 1142 Series

• Adaptador de red inalámbrica de cliente de Cisco 802.11a/b/g.

• Servidor Essentials de Microsoft Windows 2012 que realiza el papel del servidor LDAP

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Proceso de autenticación Web

La autenticación Web es una función de seguridad de la capa 3 que hace al regulador rechazar el tráfico IP (excepto el DHCP y los paquetes DNS-relacionados) de un cliente particular hasta que ese cliente haya suministrado correctamente un nombre de usuario válido y una contraseña. Cuando usted utiliza la autenticación Web para autenticar a los clientes, usted debe definir un nombre de usuario y contraseña para cada cliente. Entonces, cuando los clientes intentan unirse al Wireless LAN, deben ingresar el nombre de usuario y contraseña cuando son indicados por una página de registro.

Cuando se habilita la autenticación Web (bajo Seguridad de la capa 3), los usuarios reciben de vez en cuando una alerta de seguridad del web browser la primera vez que intentan acceder un URL.

Consejo: Para quitar esta advertencia del certificado, invierta por favor de nuevo a la guía siguiente en cómo instalar un http://www.cisco.com/c/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/109597-csr-chained-certificates-wlc-00.html del certificado confiable de las de otras compañías

Después de que usted haga clic sí para proceder (o continuar más exacto a este sitio web (no recomendado) para el navegador de Firefox por ejemplo), o si el navegador del cliente no visualiza una alerta de seguridad, el sistema de autenticación Web reorienta al cliente a una página de registro, tal y como se muestra en de la imagen:

La página de registro predeterminada contiene un texto del logotipo de Cisco y del Cisco específico. Usted puede elegir tener la visualización una del sistema de autenticación Web de éstos:

• La página de registro predeterminada

• Una versión modificada de la página de registro predeterminada

• Una página de registro personalizada que usted configura en un servidor Web externo

• Una página de registro personalizada que usted descarga al regulador

Cuando usted ingresa un nombre de usuario válido y la contraseña en la página de registro y el tecleo de la autenticación Web somete, le autentican basó sobre las credenciales sometidas y una autenticación satisfactoria de la base de datos backend (LDAP en este caso). El sistema de autenticación Web después visualiza una página de la registración satisfactoria y reorienta al cliente autenticado al URL pedido.

La página predeterminada de la registración satisfactoria contiene un puntero a una dirección del gateway virtual URL: https://1.1.1.1/logout.html. La dirección IP que usted fija para la interfaz virtual del regulador sirve como el direccionamiento de la reorientación para la página de registro.

Este documento explica cómo utilizar la página web interna en el WLC para la autenticación Web. Este ejemplo utiliza a un servidor LDAP como la base de datos backend para que la autenticación Web extraiga los credenciales de usuario y autentique al usuario.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Configuraciones

Complete estos pasos para implementar con éxito esta configuración:

• Configure al servidor LDAP.

• Configure el WLC para el servidor LDAP.

• Configure la red inalámbrica (WLAN) para la autenticación Web.

Configure al servidor LDAP

El primer paso es configurar al servidor LDAP, que sirve como base de datos backend salvar los credenciales de usuario de los clientes de red inalámbrica. En este ejemplo, utilizan al servidor Essentials de Microsoft Windows 2012 como el servidor LDAP.

El primer paso en la configuración del servidor LDAP es crear una base de datos de usuarios en el servidor LDAP de modo que el WLC pueda preguntar esta base de datos para autenticar al usuario.

Cree a los usuarios en el controlador de dominio

Una unidad organizativa (OU) contiene a los múltiples grupos que llevan las referencias a las entradas personales en un PersonProfile. Una persona puede ser un miembro de los múltiples grupos. Todas las definiciones de la clase y de atributo de objeto son valor por defecto del esquema LDAP. Cada grupo contiene las referencias (dn) para cada persona que pertenezca a él.

En este ejemplo, se crea un nuevo OU LDAP-USERS, y el user1 del usuario se crea bajo este OU. Cuando usted configura a este usuario para el acceso LDAP, el WLC puede preguntar esta base de datos de LDAP para la autenticación de usuario.

El dominio usado en este ejemplo es CISCOSYSTEMS.local.

Cree una base de datos de usuarios bajo un OU

Esta sección explica cómo crear un nuevo OU en su dominio y crear a un usuario nuevo en este OU.

1. Ventanas abiertas PowerShell y tipo servermanager.exe

2. En la ventana de administrador de servidor, haga clic en AD DS. Entonces haga clic con el botón derecho del ratón su Nombre del servidor para elegir a los usuarios de directorio activo y computadora.

3. Haga clic con el botón derecho del ratón su Domain Name, que es CISCOSYSTEMS.local en este ejemplo, y después navegue al New (Nuevo) > Organizational Unit (Unidad Organizacional) del menú contextual para crear un nuevo OU.
   
   

   

4. Asigne un nombre a este OU y haga clic la AUTORIZACIÓN, tal y como se muestra en de la imagen:

Ahora que el nuevo OU LDAP-USERS se crea en el servidor LDAP, el siguiente paso es crear el user1 del usuario bajo este OU. Para alcanzar esto, complete estos pasos:

1. Haga clic con el botón derecho del ratón el nuevo OU creado. Navegue al New (Nuevo) > User (Usuario) LDAP-USERS> de los menús contextuales resultantes para crear a un usuario nuevo, tal y como se muestra en de la imagen:
   
   

2. En la página de la configuración de usuario, complete los campos obligatorios tal y como se muestra en de este ejemplo. Este ejemplo tiene user1 en el campo de nombre de inicio del usuario.

   Éste es el nombre de usuario que se verifica en la base de datos de LDAP para autenticar al cliente. Este ejemplo utiliza el user1 en los campos del primer nombre y de nombre completo. Haga clic en Next (Siguiente).
   
   

   
   

3. Ingrese una contraseña y confirme la contraseña. Elija la contraseña nunca expira opción y hace clic después.
   
   

   
   

4. Haga clic en Finish (Finalizar).

   Un user1 del usuario nuevo se crea bajo el OU LDAP-USERS. Éstos son los credenciales de usuario:

   • nombre de usuario: User1

   • contraseña: Laptop123
     
     

     

   Ahora que crean al usuario bajo un OU, el siguiente paso es configurar a este usuario para el acceso LDAP.

Configure al usuario para el acceso LDAP

Usted puede elegir anónimo o autenticado para especificar el método bind de la autenticación local para el servidor LDAP. El método anónimo permite el acceso anónimo al servidor LDAP. El método autenticado requiere que un nombre de usuario y contraseña que se ingresará al acceso seguro. El valor predeterminado es anónimo.

Esta sección explica cómo configurar los métodos anónimos y autenticados.

Lazo anónimo

Nota: Usando el lazo anónimo no se recomienda. Un servidor LDAP que permite el lazo anónimo no requiere ningún tipo de autenticación credentialed. Un atacante podía aprovecharse de la entrada anónima del lazo para ver los archivos en el director LDAP.

Realice los pasos en esta sección para configurar al usuario anónimo para el acceso LDAP.

Habilite la característica anónima del lazo en el servidor Essentials de Windows 2012

Para cualquier aplicación de terceros (en nuestro WLC del caso) para acceder Windows 2012 AD en el LDAP, la característica anónima del lazo se debe habilitar en Windows 2012. Por abandono, las operaciones LDAP anónimas no se permiten en Windows 2012 controladores de dominio. Realice estos pasos para habilitar la característica anónima del lazo:

1. Inicie el ADSI editan la herramienta tecleando: ADSIEdit.msc en Windows PowerShell. Esta herramienta es parte de Windows 2012 instrumentos de apoyo.
   
   

2. En el ADSI edite la ventana, amplían el dominio de la raíz (configuración [WIN-A0V2BU68LR9.CISCOSYSTEMS.local]).

   Navegue a CN=Services > al Windows NT CN= > al servicio de CN=Directory. Haga clic con el botón derecho del ratón el envase del servicio de CN=Directory, y elija las propiedades del menú contextual, tal y como se muestra en de la imagen:
   
   

3. En el CN=Directory mantenga la ventana de pPropiedades, bajo atributos, tecleo el atributo del dsHeuristics bajo campo del atributo y elija editan. En la ventana del Editor del atributo de la cadena de este atributo, ingrese el valor 0000002; el tecleo se aplica y APRUEBA, tal y como se muestra en de la imagen. La característica anónima del lazo se habilita en el servidor de Windows 2012.

   Nota: (El séptimo) carácter más reciente es el que controla la manera que usted puede atar al servicio LDAP. 0 (cero) o ningunos séptimos caracteres significan que las operaciones LDAP anónimas están inhabilitadas. Si usted fija el séptimo carácter a 2, habilita la característica anónima del lazo.

   

Concesión del acceso ANÓNIMO del INICIO al usuario

El siguiente paso es conceder el acceso ANÓNIMO del INICIO al user1 del usuario. Complete estos pasos para alcanzar esto:

1. Abra a los usuarios de directorio activo y computadora.
   
   

2. Asegúrese de que las funciones avanzadas de la visión estén marcadas.
   
   

3. Navegue al user1 del usuario y hagalo clic con el botón derecho del ratón. Elija las propiedades del menú contextual. Identifican a este usuario con el user1 del primer nombre.
   
   

   

4. Haga clic la ficha de seguridad, tal y como se muestra en de la imagen:
   
   
   
   

5. El tecleo agrega en la ventana resultante.
   
   

6. Ingrese la CONEXIÓN A LA COMUNICACIÓN ANÓNIMA bajo ingresar los nombres del objeto para seleccionar el rectángulo y para reconocer el diálogo, tal y como se muestra en de la imagen:
   
   
   
   

7. En el ACL, note que el INICIO ANÓNIMO tiene acceso a algunos conjuntos de la propiedad del usuario. Haga clic en OK. El acceso ANÓNIMO del INICIO se concede a este usuario, tal y como se muestra en de la imagen:

La lista de Grant contenta el permiso en el OU

El siguiente paso es conceder por lo menos el permiso del contenido de la lista al INICIO ANÓNIMO en el OU en el cual el usuario está situado. En este ejemplo, el user1 está situado en el OU LDAP-USERS. Complete estos pasos para alcanzar esto:

1. En los usuarios de directorio activo y computadora, haga clic con el botón derecho del ratón el OU LDAP-USERS y elija las propiedades, tal y como se muestra en de la imagen:
   
   

   

2. Seguridad del tecleo.
   
   

3. Haga clic en Add (Agregar). En el diálogo que se abre, ingrese la CONEXIÓN A LA COMUNICACIÓN ANÓNIMA y reconozca el diálogo, tal y como se muestra en de la imagen:
   
   

   

Lazo autenticado

Realice los pasos en esta sección para configurar a un usuario para la autenticación local al servidor LDAP.

1. Ventanas abiertas PowerShell y tipo servermanager.exe
   
   
2. En la ventana de administrador de servidor, haga clic en AD DS. Entonces haga clic con el botón derecho del ratón su Nombre del servidor para elegir a los usuarios de directorio activo y computadora.
   
   
3. Haga clic con el botón derecho del ratón a los usuarios. Navegue al New (Nuevo) > User (Usuario) de los menús contextuales resultantes para crear a un usuario nuevo.
   
   
   
   

4. En la página de la configuración de usuario, complete los campos obligatorios tal y como se muestra en de este ejemplo. Este ejemplo tiene WLC-admin en el campo de nombre de inicio del usuario. Éste es el nombre de usuario que se utilizará para la autenticación local al servidor LDAP. Haga clic en Next (Siguiente).
   
   

5. Ingrese una contraseña y confirme la contraseña. Elija la contraseña nunca expira opción y hace clic después.
   
   

6. Haga clic en Finish (Finalizar).

   Crean a un usuario nuevo WLC-admin bajo el contenedor Users (Usuarios). Éstos son los credenciales de usuario:

   • nombre de usuario: WLC-admin

   • contraseña: Admin123

Concesión de los privilages del administrador al WLC-admin

Ahora que crean al usuario de la autenticación local, necesitamos concederle los privilages del administrador. Complete estos pasos para alcanzar esto:

1. Abra a los usuarios de directorio activo y computadora.
   
   

2. Asegúrese de que las funciones avanzadas de la visión estén marcadas.
   
   

3. Navegue al usuario WLC-admin y hagala clic con el botón derecho del ratón. Elija las propiedades del menú contextual, tal y como se muestra en de la imagen. Identifican a este usuario con el primer nombre WLC-admin.
   
   
   
   

4. Haga clic al miembro de la lengueta, tal y como se muestra en de la imagen:
   
   
   ::
5. Haga clic en Add (Agregar). En el diálogo que se abre, ingrese a los administradores y haga clic la AUTORIZACIÓN, tal y como se muestra en de la imagen:
   
   

Utilice el LDP para identificar los atributos de usuario

Esta herramienta GUI es un cliente LDAP tales como quien permite que los usuarios realicen las operaciones, conectan, ata, busca, se modifica, agrega, o borra, contra cualquier directorio LDAP-compatible, tal como Active Directory. El LDP se utiliza a los objetos de visión que se salvan en el Active Directory junto con sus meta datos, tales como descriptores de seguridad y meta datos de la replicación.

La herramienta LDP GUI es incluida cuando usted instala los instrumentos de apoyo del Servidor Windows 2003 del CD del producto. Esta sección explica cómo utilizar la utilidad LDP para identificar los atributos específicos asociados al user1 del usuario. Algunos de estos atributos se utilizan para completar los parámetros de la configuración del servidor LDAP en el WLC, tal como tipo del atributo de usuario y tipo de objeto de usuario.

1. En el servidor de Windows 2012 (incluso en el mismo servidor LDAP), abra Windows PowerShell y ingrese el LDP para acceder el hojeador LDP.
   
   

2. En la ventana principal LDP, navegue a la conexión > conectan y conectan con el servidor LDAP cuando usted ingresa el IP Address del servidor LDAP, tal y como se muestra en de la imagen.
   
   

   
   

3. Conectado una vez con el servidor LDAP, elija la visión del menú principal y haga clic el árbol, tal y como se muestra en de la imagen:
   
   

   
   

4. En la ventana resultante de la vista de árbol, ingrese el BaseDN del usuario. En este ejemplo, el user1 está situado bajo el OU “LDAP-USERS” bajo dominio CISCOSYSTEMS.local. Haga Click en OK, tal y como se muestra en de la imagen:
   
   

   
   

5. El lado izquierdo del navegador LDP visualiza el árbol entero que aparece bajo el BaseDN especificado (OU=LDAP-USERS, dc=CISCOSYSTEMS, dc=local). Amplíe el árbol para localizar el user1 del usuario. Este usuario puede ser identificado con el valor CN que representa el primer nombre del usuario. En este ejemplo, es CN=User1. Clic doble CN=User1. En el cristal del lado derecho del navegador LDP, el LDP visualiza todos los atributos asociados al user1, tal y como se muestra en de la imagen:
   
   

   
   

6. Cuando usted configura el WLC para el servidor LDAP, en el campo del atributo de usuario, ingrese el nombre del atributo en el registro del usuario que contiene el nombre de usuario. De esta salida LDP, usted puede ver que el sAMAccountName es un atributo que contiene el nombre de usuario el "User1," así que ingresa el atributo del sAMAccountName que corresponde al campo del atributo de usuario en el WLC.
   
   

7. Cuando usted configura el WLC para el servidor LDAP, en el campo del tipo de objeto de usuario, ingrese el valor del atributo del objectType del LDAP que identifica el expediente como usuario. A menudo, los registros del usuario tienen varios valores para el atributo del objectType, algunos de los cuales son únicos al usuario y comparten algunos de los cuales con otros tipos de objeto. En la salida LDP, CN=Person es un valor que identifica el expediente como usuario, así que especifica a la persona como el atributo type del objeto de usuario en el WLC.

   El siguiente paso es configurar el WLC para el servidor LDAP.

WLC de la configuración para el servidor LDAP

Ahora que configuran al servidor LDAP, el siguiente paso es configurar el WLC con los detalles del servidor LDAP. Complete estos pasos en el WLC GUI:

Nota: Este documento asume que el WLC está configurado para la operación básica y que los revestimientos están registrados al WLC. Si usted es un usuario nuevo que quiere poner el WLC para la operación básica con los revestimientos, refiera al registro ligero AP (REVESTIMIENTO) a un regulador del Wireless LAN (WLC).

1. En la página Seguridad del WLC, elija AAA > LDAP del lado izquierdo del panel de tareas para moverse a la página de configuración del servidor LDAP.

   

   Para agregar a un servidor LDAP, haga clic nuevo. Los servidores LDAP > nueva página aparecen.

2. En los servidores LDAP edite la página, especifican a los detalles del servidor LDAP, tales como la dirección IP del servidor LDAP, número del puerto, estado del servidor del permiso, y así sucesivamente.

   • Elija un número de la casilla desplegable del índice del servidor (prioridad) para especificar la orden de la prioridad de este servidor en relación con cualquier otro servidor LDAP configurado. Usted puede configurar hasta diecisiete servidores. Si el regulador no puede alcanzar el primer servidor, intenta segundo en la lista y así sucesivamente.

   • Ingrese el IP Address del servidor LDAP en el campo de dirección IP del servidor.

   • Ingrese al número del puerto TCP del servidor LDAP en el campo de número del puerto. El intervalo válido es 1 a 65535, y el valor predeterminado es 389.

   • para el lazo simple, utilizamos autenticado, para el nombre de usuario del lazo que es la ubicación del Usuario administrador del WLC que será utilizado para acceder el servidor LDAP y su contraseña

   • En el campo de la Base del usuario DN, ingrese el Nombre distintivo (DN) de la sub-estructura en el servidor LDAP que contiene una lista de todos los usuarios. Por ejemplo, unidad del ou=organizational, unidad organizativa .ou=next, y o=corporation.com. Si el árbol que contiene a los usuarios es la base DN, ingrese o=corporation.com o el dc=corporation, dc=com.

     En este ejemplo, el usuario está situado bajo unidad organizativa (OU) LDAP-USERS, que, a su vez, se crea como parte del dominio lab.wireless.

     La Base del usuario DN debe señalar la ruta completa en donde se encuentra la información del usuario (credencial de usuario según el método de autentificación del EAP-FAST). En este ejemplo, el usuario está situado bajo base DN OU=LDAP-USERS, DC=CISCOSYSTEMS, DC=local.

   • En el campo del atributo de usuario, ingrese el nombre del atributo en el registro del usuario que contiene el nombre de usuario.

     En el campo del tipo de objeto de usuario, ingrese el valor del atributo del objectType del LDAP que identifica el expediente como usuario. A menudo, los registros del usuario tienen varios valores para el atributo del objectType, algunos de los cuales son únicos al usuario y comparten algunos de los cuales con otros tipos de objeto

     Usted puede obtener el valor de estos dos campos de su Servidor del directorio con la utilidad del navegador LDAP que viene como parte de Windows 2012 instrumentos de apoyo. Esta herramienta del navegador de Microsoft LDAP se llama LDP. Con la ayuda de esta herramienta, usted puede conocer la Base del usuario DN, el atributo de usuario, y los campos del tipo de objeto de usuario de este usuario determinado. La información detallada en cómo utilizar el LDP para conocer estos atributos específicos del usuario se discute en el LDP que usa para identificar la sección de los atributos de usuario de este documento.

   • En el campo del tiempo de espera del servidor, ingrese el número de segundos entre las retransmisiones. El intervalo válido es 2 a 30 segundos, y el valor predeterminado es 2 segundos.

   • Marque la casilla de verificación del estado del servidor del permiso para habilitar a este servidor LDAP, o desmarquela para inhabilitarla. Se inhabilita el valor predeterminado.

   • El tecleo se aplica para confiar sus cambios. Esto es un ejemplo configurado ya con esta información:

   

3. Ahora que los detalles sobre el servidor LDAP se configuran en el WLC, el siguiente paso es configurar una red inalámbrica (WLAN) para la autenticación Web.

Configure la red inalámbrica (WLAN) para la autenticación Web

El primer paso es crear una red inalámbrica (WLAN) para los usuarios. Complete estos pasos:

1. Haga clic los WLAN del regulador GUI para crear una red inalámbrica (WLAN).

   La ventana del WLAN aparece. Esta ventana enumera los WLAN configurados en el regulador.

2. Tecleo nuevo para configurar una nueva red inalámbrica (WLAN).

   En este ejemplo, la red inalámbrica (WLAN) se nombra Red-Auth.

   

3. Haga clic en Apply (Aplicar).

4. En la red inalámbrica (WLAN) > edite la ventana, definen los parámetros específicos a la red inalámbrica (WLAN).

   

   • Marque el cuadro de revisión de estado para habilitar la red inalámbrica (WLAN).

   • Para la red inalámbrica (WLAN), elija la interfaz apropiada del campo de nombre de la interfaz.

     Este ejemplo asocia la interfaz de administración que conecta con el Red-auth de la red inalámbrica (WLAN).

5. Haga clic en la ficha Security (Seguridad). En el campo de Seguridad de la capa 3, marque la casilla de verificación Web Policy, y elija la opción de autenticación.

   

   Se elige esta opción porque la autenticación Web se utiliza para autenticar a los clientes de red inalámbrica. Marque la casilla de verificación de la configuración global de la invalidación para habilitar por la configuración de la autenticación Web de la red inalámbrica (WLAN). Elija el tipo apropiado de la autenticación Web del menú desplegable del tipo del auth de la red. Este ejemplo utiliza la autenticación del Web interna.

   Nota: La autenticación Web no se soporta con la autenticación del 802.1x. Esto significa que usted no puede elegir el 802.1x o a WPA/WPA2 con el 802.1x como la Seguridad de la capa 2 cuando usted utiliza la autenticación Web. La autenticación Web se soporta con el resto de los parámetros de seguridad de la capa 2.

6. Haga clic a los servidores de AAA que cuadro elige al servidor LDAP configurado del menú desplegable del servidor LDAP. Si usted utiliza una base de datos local o a un servidor de RADIUS, usted puede establecer la prioridad de la autenticación bajo pedido de la prioridad de la autenticación para el userfield del red-auth.

   

7. Haga clic en Apply (Aplicar).

   Nota: En este ejemplo, acode 2 métodos de seguridad para autenticar a los usuarios no se utilizan, así que no elija ninguno en el campo de Seguridad de la capa 2.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Para verificar esta configuración, conecte a un cliente de red inalámbrica y marque si la configuración trabaja como se esperaba.

El cliente de red inalámbrica sube, y el usuario ingresa el URL, tal como www.yahoo.com, en el buscador Web. Porque no han autenticado al usuario, el WLC reorienta al usuario al login URL del Web interna.

Indican al usuario para los credenciales de usuario. Una vez que el usuario somete el nombre de usuario y contraseña, la página de registro toma la entrada de los credenciales de usuario y, sobre somete, envía la petición de nuevo al ejemplo del action_URL, http://1.1.1.1/login.html, del servidor Web del WLC. Se proporciona esto mientras que un parámetro de entrada al cliente reorienta el URL, donde está el direccionamiento 1.1.1.1 de la interfaz virtual en el Switch.

El WLC autentica al usuario contra la base de datos de usuarios LDAP. Después de la autenticación satisfactoria, el servidor Web del WLC cualquiera adelante el usuario al configurado reorienta el URL o al URL con el cual el cliente comenzó, por ejemplo www.yahoo.com.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Utilice estos comandos de resolver problemas su configuración:

• haga el debug del <client-MAC-direccionamiento xx de las direcciones MAC: xx: xx: xx: xx: xx>

• debug aaa all enable

• permiso del estado PEM del debug

• permiso de los eventos PEM del debug

• permiso del mensaje DHCP del debug

• permiso del paquete DHCP del debug

Esto es una salida de muestra de los comandos debug mac addr cc:fa:00:f7:32:35

                                                                                  permiso del ldap aaa del debug

(Cisco_Controller) >*pemReceiveTask: Dec 24 03:45:23.089: cc:fa:00:f7:32:35 Sent an XID frame
*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Processing assoc-req station:cc:fa:00:f7:32:35 AP:00:23:eb:e5:04:10-01 thread:18ec9330
*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Association received from mobile on BSSID 00:23:eb:e5:04:1f AP AP1142-1
*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Global 200 Clients are allowed to AP radio

*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Max Client Trap Threshold: 0  cur: 1

*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Rf profile 600 Clients are allowed to AP wlan

*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 override for default ap group, marking intgrp NULL
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Applying Interface policy on Mobile, role Local. Ms NAC State 2 Quarantine Vlan 0 Access Vlan 16

*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Re-applying interface policy for client

*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Changing IPv4 ACL 'none' (ACL ID 255) ===> 'none' (ACL ID 255) --- (caller apf_policy.c:2699)
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Changing IPv6 ACL 'none' (ACL ID 255) ===> 'none' (ACL ID 255) --- (caller apf_policy.c:2720)
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 apfApplyWlanPolicy: Apply WLAN Policy over PMIPv6 Client Mobility Type, Tunnel User - 0
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 In processSsidIE:6246 setting Central switched to TRUE
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 In processSsidIE:6249 apVapId = 1 and Split Acl Id = 65535
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Applying site-specific Local Bridging override for station cc:fa:00:f7:32:35 - vapId 1, site 'default-group', interface 'management'
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Applying Local Bridging Interface Policy for station cc:fa:00:f7:32:35 - vlan 16, interface id 0, interface 'management'
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 processSsidIE  statusCode is 0 and status is 0
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 processSsidIE  ssid_done_flag is 0 finish_flag is 0
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 STA - rates (3): 24 164 48 0 0 0 0 0 0 0 0 0 0 0 0 0
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 suppRates  statusCode is 0 and gotSuppRatesElement is 1
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 AID 2 in Assoc Req from flex AP 00:23:eb:e5:04:10 is same as in mscb cc:fa:00:f7:32:35
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 apfMs1xStateDec
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Change state to START (0) last state WEBAUTH_REQD (8)

*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 pemApfAddMobileStation2: APF_MS_PEM_WAIT_L2_AUTH_COMPLETE = 0.
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 START (0) Initializing policy
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 START (0) Change state to AUTHCHECK (2) last state START (0)

*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4) last state AUTHCHECK (2)

*pemReceiveTask: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 Removed NPU entry.
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Not Using WMM Compliance code qosCap 00
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 00:23:eb:e5:04:10 vapId 1 apVapId 1 flex-acl-name:
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 L2AUTHCOMPLETE (4) Change state to WEBAUTH_REQD (8) last state L2AUTHCOMPLETE (4)

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) pemApfAddMobileStation2 3802, Adding TMP rule
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Adding Fast Path rule
  type = Airespace AP Client - ACL passthru
  on AP 00:23:eb:e5:04:10, slot 1, interface = 1, QOS = 0
  IPv4 ACL I
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 15206, IntfId = 0  Local Bridging Vlan = 16, Local Bridging intf id = 0
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) pemApfAddMobileStation2 3911, Adding TMP rule
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Replacing Fast Path rule
  type = Airespace AP Client - ACL passthru
  on AP 00:23:eb:e5:04:10, slot 1, interface = 1, QOS = 0
  IPv4 AC
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 15206, IntfId = 0  Local Bridging Vlan = 16, Local Bridging intf id = 0
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 apfPemAddUser2 (apf_policy.c:359) Changing state for mobile cc:fa:00:f7:32:35 on AP 00:23:eb:e5:04:10 from Associated to Associated

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 apfPemAddUser2:session timeout forstation cc:fa:00:f7:32:35 - Session Tout 1800, apfMsTimeOut '1800' and sessionTimerRunning flag is  1
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 Scheduling deletion of Mobile Station:  (callerId: 49) in 1800 seconds
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 Func: apfPemAddUser2, Ms Timeout = 1800, Session Timeout = 1800

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 Sending assoc-resp with status 0 station:cc:fa:00:f7:32:35 AP:00:23:eb:e5:04:10-01 on apVapId 1
*apfMsConnTask_1: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 Sending Assoc Response to station on BSSID 00:23:eb:e5:04:1f (status 0) ApVapId 1 Slot 1
*apfMsConnTask_1: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 apfProcessAssocReq (apf_80211.c:10187) Changing state for mobile cc:fa:00:f7:32:35 on AP 00:23:eb:e5:04:10 from Associated to Associated

*pemReceiveTask: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 172.16.16.122 Added NPU entry of type 2, dtlFlags 0x0
*pemReceiveTask: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 Sent an XID frame
*pemReceiveTask: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 172.16.16.122 Added NPU entry of type 2, dtlFlags 0x0
*pemReceiveTask: Dec 24 03:45:43.558: cc:fa:00:f7:32:35 Sent an XID frame
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP received op BOOTREQUEST (1) (len 322,vlan 16, port 1, encap 0xec03, xid 0x62743488)
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP (encap type 0xec03) mstype 0ff:ff:ff:ff:ff:ff
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP selecting relay 1 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 255.255.254.0,
                        dhcpGateway: 172.16.16.1, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP mscbVapLocalAddr=172.16.16.25 mscbVapLocalNetMask= 255.255.254.0 mscbdhcpRelay=172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP selected relay 1 - 172.16.16.25 (local address 172.16.16.25, gateway 172.16.16.25, VLAN 16, port 1)
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selecting relay 2 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 255.255.254.0,
                        dhcpGateway: 172.16.16.1, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selected relay 2 - NONE
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selecting relay 1 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 0.0.0.0,
                        dhcpGateway: 0.0.0.0, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP mscbVapLocalAddr=172.16.16.25 mscbVapLocalNetMask= 255.255.254.0 mscbdhcpRelay=172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selected relay 1 - 172.16.16.25 (local address 172.16.16.25, gateway 172.16.16.25, VLAN 16, port 1)
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP transmitting DHCP DISCOVER (1)
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 1
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   xid: 0x62743488 (1651782792), secs: 0, flags: 0
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   chaddr: cc:fa:00:f7:32:35
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   ciaddr: 0.0.0.0,  yiaddr: 0.0.0.0
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   siaddr: 0.0.0.0,  giaddr: 172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selecting relay 2 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 0.0.0.0,
                        dhcpGateway: 0.0.0.0, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selected relay 2 - NONE
*DHCP Proxy Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP received op BOOTREPLY (2) (len 572,vlan 0, port 0, encap 0x0, xid 0x62743488)
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP sending REPLY to STA (len 418, port 1, vlan 16)
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP transmitting DHCP OFFER (2)
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   xid: 0x62743488 (1651782792), secs: 0, flags: 0
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   chaddr: cc:fa:00:f7:32:35
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   ciaddr: 0.0.0.0,  yiaddr: 172.16.16.122
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   siaddr: 0.0.0.0,  giaddr: 0.0.0.0
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   server id: 1.1.1.1  rcvd server id: 172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP received op BOOTREQUEST (1) (len 334,vlan 16, port 1, encap 0xec03, xid 0x62743488)
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP (encap type 0xec03) mstype 0ff:ff:ff:ff:ff:ff
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP selecting relay 1 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 0.0.0.0,
                        dhcpGateway: 0.0.0.0, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP mscbVapLocalAddr=172.16.16.25 mscbVapLocalNetMask= 255.255.254.0 mscbdhcpRelay=172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP selected relay 1 - 172.16.16.25 (local address 172.16.16.25, gateway 172.16.16.25, VLAN 16, port 1)
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP transmitting DHCP REQUEST (3)
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP   op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 1
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP   xid: 0x62743488 (1651782792), secs: 0, flags: 0
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP   chaddr: cc:fa:00:f7:32:35
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   ciaddr: 0.0.0.0,  yiaddr: 0.0.0.0
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   siaddr: 0.0.0.0,  giaddr: 172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   requested ip: 172.16.16.122
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   server id: 172.16.16.25  rcvd server id: 1.1.1.1
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP selecting relay 2 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 0.0.0.0,
                        dhcpGateway: 0.0.0.0, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP selected relay 2 - NONE
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP received op BOOTREPLY (2) (len 572,vlan 0, port 0, encap 0x0, xid 0x62743488)
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP setting server from ACK (mscb=0x40e64b88 ip=0xac10107a)(server 172.16.16.25, yiaddr 172.16.16.122)
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP sending REPLY to STA (len 418, port 1, vlan 16)
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP transmitting DHCP ACK (5)
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   xid: 0x62743488 (1651782792), secs: 0, flags: 0
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   chaddr: cc:fa:00:f7:32:35
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   ciaddr: 0.0.0.0,  yiaddr: 172.16.16.122
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   siaddr: 0.0.0.0,  giaddr: 0.0.0.0
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   server id: 1.1.1.1  rcvd server id: 172.16.16.25
*ewmwebWebauth1: Dec 24 03:46:01.222: cc:fa:00:f7:32:35 Username entry (User1) created for mobile, length = 7
*ewmwebWebauth1: Dec 24 03:46:01.222: cc:fa:00:f7:32:35 Username entry (User1) created in mscb for mobile, length = 7
*aaaQueueReader: Dec 24 03:46:01.222: AuthenticationRequest: 0x2b6bdc3c


*aaaQueueReader: Dec 24 03:46:01.222:   Callback.....................................0x12088c50

*aaaQueueReader: Dec 24 03:46:01.222:   protocolType.................................0x00000002

*aaaQueueReader: Dec 24 03:46:01.222:   proxyState...................................CC:FA:00:F7:32:35-00:00

*aaaQueueReader: Dec 24 03:46:01.222:   Packet contains 15 AVPs (not shown)

*LDAP DB Task 1: Dec 24 03:46:01.222: ldapTask [1] received msg 'REQUEST' (2) in state 'IDLE' (1)
*LDAP DB Task 1: Dec 24 03:46:01.222: LDAP server 1 changed state to INIT
*LDAP DB Task 1: Dec 24 03:46:01.223: LDAP_OPT_REFERRALS = -1

*LDAP DB Task 1: Dec 24 03:46:01.223: ldapInitAndBind [1] called lcapi_init (rc = 0 - Success)
*LDAP DB Task 1: Dec 24 03:46:01.225: ldapInitAndBind [1] configured Method Authenticated lcapi_bind (rc = 0 - Success)
*LDAP DB Task 1: Dec 24 03:46:01.225: LDAP server 1 changed state to CONNECTED
*LDAP DB Task 1: Dec 24 03:46:01.225: disabled LDAP_OPT_REFERRALS

*LDAP DB Task 1: Dec 24 03:46:01.225: LDAP_CLIENT: UID Search (base=CN=Users,DC=CISCOSYSTEMS,DC=local, pattern=(&(objectclass=Person)(sAMAccountName=User1)))
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: ldap_search_ext_s returns 0 -5
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Returned 2 msgs including 0 references
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Returned msg 1 type 0x64
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Received 1 attributes in search entry msg
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Returned msg 2 type 0x65
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT : No matched DN
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT : Check result error 0 rc 1013
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Received no referrals in search result msg
*LDAP DB Task 1: Dec 24 03:46:01.226: ldapAuthRequest [1] 172.16.16.200 - 389 called lcapi_query base="CN=Users,DC=CISCOSYSTEMS,DC=local" type="Person" attr="sAMAccountName" user="User1" (rc = 0 - Success)
*LDAP DB Task 1: Dec 24 03:46:01.226: Attempting user bind with username CN=User1,CN=Users,DC=CISCOSYSTEMS,DC=local
*LDAP DB Task 1: Dec 24 03:46:01.228: LDAP ATTR> dn = CN=User1,CN=Users,DC=CISCOSYSTEMS,DC=local (size 45)
*LDAP DB Task 1: Dec 24 03:46:01.228: Handling LDAP response Success
*LDAP DB Task 1: Dec 24 03:46:01.228: Authenticated bind : Closing the binded session

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Change state to WEBAUTH_NOL3SEC (14) last state WEBAUTH_REQD (8)

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 apfMsRunStateInc
*LDAP DB Task 1: Dec 24 03:46:01.228: ldapClose [1] called lcapi_close (rc = 0 - Success)
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_NOL3SEC (14) Change state to RUN (20) last state WEBAUTH_NOL3SEC (14)

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 Stopping deletion of Mobile Station: (callerId: 74)
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 Setting Session Timeout to 1800 sec - starting session timer for the mobile
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Reached PLUMBFASTPATH: from line 6972
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Replacing Fast Path rule
  type = Airespace AP Client
  on AP 00:23:eb:e5:04:10, slot 1, interface = 1, QOS = 0
  IPv4 ACL ID = 255, IPv6 ACL ID
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 15206, IntfId = 0  Local Bridging Vlan = 16, Local Bridging intf id = 0
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*ewmwebWebauth1: Dec 24 03:46:01.229: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
*pemReceiveTask: Dec 24 03:46:01.229: cc:fa:00:f7:32:35 172.16.16.122 Added NPU entry of type 1, dtlFlags 0x0


(Cisco_Controller) >show client detail cc:fa:00:f7:32:35
Client MAC Address............................... cc:fa:00:f7:32:35
Client Username ................................. User1
AP MAC Address................................... 00:23:eb:e5:04:10
AP Name.......................................... AP1142-1
AP radio slot Id................................. 1
Client State..................................... Associated
Client User Group................................ User1
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 1
Wireless LAN Network Name (SSID)................. LDAP-TEST
Wireless LAN Profile Name........................ LDAP-TEST
Hotspot (802.11u)................................ Not Supported
BSSID............................................ 00:23:eb:e5:04:1f
Connected For ................................... 37 secs
Channel.......................................... 36
IP Address....................................... 172.16.16.122
Gateway Address.................................. 172.16.16.1
Netmask.......................................... 255.255.254.0
Association Id................................... 2
Authentication Algorithm......................... Open System
Reason Code...................................... 1
Status Code...................................... 0

--More or (q)uit current module or <ctrl-z> to abort
Session Timeout.................................. 1800
Client CCX version............................... No CCX support
QoS Level........................................ Silver
Avg data Rate.................................... 0
Burst data Rate.................................. 0
Avg Real time data Rate.......................... 0
Burst Real Time data Rate........................ 0
802.1P Priority Tag.............................. disabled
CTS Security Group Tag........................... Not Applicable
KTS CAC Capability............................... No
Qos Map Capability............................... No
WMM Support...................................... Enabled
  APSD ACs.......................................  BK  BE  VI  VO
Current Rate..................................... m7
Supported Rates.................................. 12.0,18.0,24.0
Mobility State................................... Local
Mobility Move Count.............................. 0
Security Policy Completed........................ Yes
Policy Manager State............................. RUN
Audit Session ID................................. ac10101900000005567b69f8
AAA Role Type.................................... none
Local Policy Applied............................. none
IPv4 ACL Name.................................... none

--More or (q)uit current module or <ctrl-z> to abort
FlexConnect ACL Applied Status................... Unavailable
IPv4 ACL Applied Status.......................... Unavailable
IPv6 ACL Name.................................... none
IPv6 ACL Applied Status.......................... Unavailable
Layer2 ACL Name.................................. none
Layer2 ACL Applied Status........................ Unavailable
Client Type...................................... SimpleIP
mDNS Status...................................... Enabled
mDNS Profile Name................................ default-mdns-profile
No. of mDNS Services Advertised.................. 0
Policy Type...................................... N/A
Encryption Cipher................................ None
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... Unknown
FlexConnect Data Switching....................... Central
FlexConnect Dhcp Status.......................... Central
FlexConnect Vlan Based Central Switching......... No
FlexConnect Authentication....................... Central
FlexConnect Central Association.................. No
Interface........................................ management
VLAN............................................. 16
Quarantine VLAN.................................. 0

--More or (q)uit current module or <ctrl-z> to abort
Access VLAN...................................... 16
Local Bridging VLAN.............................. 16
Client Capabilities:
      CF Pollable................................ Not implemented
      CF Poll Request............................ Not implemented
      Short Preamble............................. Not implemented
      PBCC....................................... Not implemented
      Channel Agility............................ Not implemented
      Listen Interval............................ 10
      Fast BSS Transition........................ Not implemented
      11v BSS Transition......................... Not implemented
Client Wifi Direct Capabilities:
      WFD capable................................ No
      Manged WFD capable......................... No
      Cross Connection Capable................... No
      Support Concurrent Operation............... No
Fast BSS Transition Details:
Client Statistics:
      Number of Bytes Received................... 16853
      Number of Bytes Sent....................... 31839
      Total Number of Bytes Sent................. 31839
      Total Number of Bytes Recv................. 16853
      Number of Bytes Sent (last 90s)............ 31839

--More or (q)uit current module or <ctrl-z> to abort
      Number of Bytes Recv (last 90s)............ 16853
      Number of Packets Received................. 146
      Number of Packets Sent..................... 92
      Number of Interim-Update Sent.............. 0
      Number of EAP Id Request Msg Timeouts...... 0
      Number of EAP Id Request Msg Failures...... 0
      Number of EAP Request Msg Timeouts......... 0
      Number of EAP Request Msg Failures......... 0
      Number of EAP Key Msg Timeouts............. 0
      Number of EAP Key Msg Failures............. 0
      Number of Data Retries..................... 2
      Number of RTS Retries...................... 0
      Number of Duplicate Received Packets....... 0
      Number of Decrypt Failed Packets........... 0
      Number of Mic Failured Packets............. 0
      Number of Mic Missing Packets.............. 0
      Number of RA Packets Dropped............... 0
      Number of Policy Errors.................... 0
      Radio Signal Strength Indicator............ -48 dBm
      Signal to Noise Ratio...................... 41 dB
Client Rate Limiting Statistics:
      Number of Data Packets Received............ 0
      Number of Data Rx Packets Dropped.......... 0

--More or (q)uit current module or <ctrl-z> to abort
      Number of Data Bytes Received.............. 0
      Number of Data Rx Bytes Dropped............ 0
      Number of Realtime Packets Received........ 0
      Number of Realtime Rx Packets Dropped...... 0
      Number of Realtime Bytes Received.......... 0
      Number of Realtime Rx Bytes Dropped........ 0
      Number of Data Packets Sent................ 0
      Number of Data Tx Packets Dropped.......... 0
      Number of Data Bytes Sent.................. 0
      Number of Data Tx Bytes Dropped............ 0
      Number of Realtime Packets Sent............ 0
      Number of Realtime Tx Packets Dropped...... 0
      Number of Realtime Bytes Sent.............. 0
      Number of Realtime Tx Bytes Dropped........ 0
Nearby AP Statistics:
      AP1142-1(slot 0)
        antenna0: 25 secs ago.................... -37 dBm
        antenna1: 25 secs ago.................... -37 dBm
      AP1142-1(slot 1)
        antenna0: 25 secs ago.................... -44 dBm
        antenna1: 25 secs ago.................... -57 dBm
DNS Server details:
      DNS server IP ............................. 0.0.0.0

--More or (q)uit current module or <ctrl-z> to abort
      DNS server IP ............................. 0.0.0.0
Assisted Roaming Prediction List details:


Client Dhcp Required:     False