Troubleshooting de autenticación Web en controlador LAN inalámbrico

Introducción

Este documento proporciona consejos para resolver problemas de autenticación web en un entorno de controlador de LAN inalámbrica (WLC).

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Conocimiento del control y aprovisionamiento de puntos de acceso inalámbricos (CAPWAP).

• Conocimiento de cómo configurar Lightweight Access Point (LAP) y WLC para el funcionamiento básico.

• Conocimiento básico de la autenticación web y cómo configurar la autenticación web en los WLC. Para obtener información sobre cómo configurar la autenticación web en los WLC, refiérase a Ejemplo de Configuración de Autenticación Web del Controlador de LAN Inalámbrica.

Componentes Utilizados

La información en este documento se basa en un WLC 5500 que ejecuta la versión de firmware 8.3.121.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Productos Relacionados

Este documento también se puede utilizar con este hardware:

• Controladores inalámbricos de Cisco serie 5500

• Controladores inalámbricos Cisco serie 8500

• Controladores inalámbricos de Cisco serie 2500

• Cisco Airespace 3500 Series WLAN Controller

• Cisco Airespace 4000 Series Wireless LAN Controller

• Controladores inalámbricos Cisco Flex serie 7500

• Módulo 2 de servicios inalámbricos de Cisco (WiSM2)

Autenticación Web en WLC

La autenticación Web es una función de seguridad de capa 3 que hace que el controlador no permita el tráfico IP, excepto los paquetes relacionados con DHCP/el sistema de nombres de dominio (DNS), desde un cliente determinado hasta que dicho cliente haya proporcionado correctamente un nombre de usuario y una contraseña válidos, con la excepción del tráfico permitido a través de una lista de control de acceso (ACL) previa a la autenticación. La autenticación Web es la única política de seguridad que permite al cliente obtener una dirección IP antes de la autenticación. Es un método de autenticación simple sin la necesidad de un solicitante o de una utilidad de cliente. La autenticación Web se puede hacer localmente en un WLC o sobre un servidor RADIUS. La autenticación Web es utilizada típicamente por los clientes que quieren implementar una red de acceso de invitados.

La autenticación web comienza cuando el controlador intercepta el primer paquete GET TCP HTTP (puerto 80) del cliente. Para que el navegador web del cliente llegue hasta aquí, primero el cliente debe obtener una dirección IP y hacer una traducción de la dirección URL a la dirección IP (resolución DNS) para el navegador web. Esto permite que el navegador web sepa qué dirección IP enviar el HTTP GET.

Cuando la autenticación web se configura en la WLAN, el controlador bloquea todo el tráfico (hasta que se complete el proceso de autenticación) del cliente, excepto el tráfico DHCP y DNS. Cuando el cliente envía el primer HTTP GET al puerto TCP 80, el controlador redirige el cliente a https://192.0.2.1/login.html (si ésta es la IP virtual configurada) para el procesamiento. Este proceso finalmente abre la página web de inicio de sesión.

Nota: Cuando utiliza un servidor Web externo para la autenticación Web, las plataformas WLC necesitan una ACL de autenticación previa para el servidor Web externo.

En esta sección se explica en detalle el proceso de redirección de la autenticación Web.

• Abra el explorador Web y escriba una dirección URL, por ejemplo, http://www.google.com. El cliente envía una solicitud DNS para que dicha URL obtenga la IP para el destino. El WLC pasa la solicitud DNS al servidor DNS y el servidor DNS responde con una respuesta DNS, que contiene la dirección IP del destino www.google.com, que a su vez se reenvía a los clientes inalámbricos.

• El cliente entonces intenta abrir una conexión con el la dirección IP de destino. Envía un paquete TCP SYN destinado a la dirección IP de www.google.com.

• El WLC tiene reglas configuradas para el cliente y por lo tanto puede actuar como proxy para www.google.com. Devuelve un paquete TCP SYN-ACK al cliente con la fuente como la dirección IP de www.google.com. El cliente envía de vuelta un paquete TCP ACK para completar el intercambio de señales TCP de tres vías y la conexión TCP está completamente establecida.

• El cliente envía un paquete HTTP GET destinado a www.google.com. El WLC intercepta este paquete y lo envía para el manejo de redireccionamiento. El aplicación HTTP gateway prepara a un cuerpo HTML y lo envía de vuelta como respuesta al HTTP GET solicitado por el cliente. Este HTML hace que el cliente vaya a la URL de la página Web predeterminada, por ejemplo, http:// /login.html.

• El cliente cierra la conexión TCP con la dirección IP, por ejemplo, www.google.com.

• Ahora el cliente quiere ir a http://<virtualip>/login.html y así intenta abrir una conexión TCP con la dirección IP virtual del WLC. Envía un paquete TCP SYN para 192.0.2.1 (que es nuestra IP virtual aquí) al WLC.

• El responde con un TCP SYN-ACK y el cliente devuelve un TCP ACK al WLC para completar la aceptación de contacto.

• El cliente envía un HTTP GET para /login.html destinado a 192.0.2.1 para solicitar la página de inicio de sesión.

• Esta solicitud se permite hasta el servidor web del WLC y el servidor responde con la página de inicio de sesión predeterminada. El cliente recibe la página de login en la ventana del navegador donde el usuario puede continuar el inicio de sesión.

En este ejemplo, la dirección IP del cliente es 192.168.68.94. El cliente resolvió la URL al servidor web al que accedía, 10.1.0.13. Como puede ver, el cliente realizó el intercambio de señales de tres vías para iniciar la conexión TCP y luego envió un paquete GET HTTP comenzando con el paquete 96 (00 es el paquete HTTP). El usuario no ha activado esta función, pero se ha activado la detección automática del portal del sistema operativo (como podemos adivinar en la URL solicitada). El controlador intercepta los paquetes y responde con el código 200. El paquete de código 200 tiene una URL de redirección:

<HTML><HEAD>
<TITLE> Web Authentication Redirect</TITLE>
<META http-equiv="Cache-control" content="no-cache">
<META http-equiv="Pragma" content="no-cache">
<META http-equiv="Expires" content="-1">
<META http-equiv="refresh" content="1; URL=https://192.0.2.1/login.html?redirect=http://captive.apple.com/hotspot-detect.html">
</HEAD></HTML>

Luego cierra la conexión TCP a través del protocolo de enlace de tres vías.

A continuación, el cliente inicia la conexión HTTPS con la URL de redirección que la envía a 192.0.2.1, que es la dirección IP virtual del controlador. El cliente debe validar el certificado del servidor o ignorarlo para activar el túnel SSL. En este caso, es un certificado autofirmado por lo que el cliente lo ignoró. La página web de inicio de sesión se envía a través de este túnel SSL. El paquete 112 comienza las transacciones.

Tiene la opción de configurar el nombre de dominio para la dirección IP virtual del WLC. Si configura el nombre de dominio para la dirección IP virtual, este nombre de dominio se devuelve en el paquete HTTP OK del controlador en respuesta al paquete HTTP GET del cliente. A continuación, debe realizar una resolución DNS para este nombre de dominio. Una vez que obtiene una dirección IP de la resolución DNS, intenta abrir una sesión TCP con esa dirección IP, que es una dirección IP configurada en una interfaz virtual del controlador.

Finalmente, la página web pasa a través del túnel al cliente y el usuario devuelve el nombre de usuario/contraseña a través del túnel de Secure Sockets Layer (SSL).

La autenticación Web se realiza mediante uno de estos tres métodos:

• Utilice una página Web interna (predeterminada). Consulte Selección de la Página de Inicio de Sesión de Autenticación Web Predeterminada para obtener más información sobre el uso de la página Web predeterminada.

• Utilice una página de inicio de sesión personalizada. Consulte Creación de una Página de Inicio de Sesión de Autenticación Web Personalizada para obtener más información sobre cómo utilizar la página de inicio de sesión personalizada.

• Utilice una página de inicio de sesión de un servidor Web externo. Consulte Uso de una Página de Inicio de Sesión de Autenticación Web Personalizada desde un Servidor Web Externo para obtener más información sobre cómo utilizar una página de inicio de sesión desde un servidor Web externo.

Notas:
- El paquete de autenticación web personalizado tiene un límite de hasta 30 caracteres para nombres de archivo. Asegúrese de que ningún nombre de archivo dentro del paquete tenga más de 30 caracteres.

- Desde la versión 7.0 del WLC en adelante, si la autenticación web está habilitada en la WLAN y usted también tiene reglas de ACL de CPU, las reglas de autenticación web basadas en el cliente siempre tienen mayor precedencia mientras el cliente no esté autenticado en el estado WebAuth_Reqd. Una vez que el cliente pasa al estado RUN, se aplican las reglas ACL de CPU.

- Por lo tanto, si las ACL de la CPU están habilitadas en el WLC, se requiere una regla allow para la IP de la interfaz virtual (en CUALQUIER dirección) en estas condiciones:
  - Cuando la ACL de la CPU no tiene una regla de permitir TODOS para ambas direcciones.
  - Cuando existe una regla de permitir TODOS, pero también existe una regla DENY para el puerto 443 u 80 de precedencia más alta.

- La regla allow para la IP virtual debe ser para el protocolo TCP y el puerto 80 si se inhabilita la web segura, o el puerto 443 si se habilita la web segura. Esto es necesario para permitir el acceso del cliente a la dirección IP de la interfaz virtual después de la autenticación exitosa cuando las ACL de la CPU están implementadas.

Troubleshooting de Autenticación Web

Después de configurar la autenticación web y si la función no funciona como se espera, complete estos pasos:

1. Verifique si el cliente obtiene una dirección IP. De lo contrario, los usuarios pueden desmarcar la casilla de verificación DHCP Required en la WLAN y darle al cliente inalámbrico una dirección IP estática. Esto supone la asociación con el punto de acceso.
2. El siguiente paso en el proceso es la resolución DNS de la URL en el navegador web. Cuando un cliente WLAN se conecta a una WLAN configurada para la autenticación Web, el cliente obtiene una dirección IP del servidor DHCP. El usuario abre un navegador web e ingresa una dirección de sitio web. A continuación, el cliente realiza la resolución DNS para obtener la dirección IP del sitio web. Ahora, cuando el cliente intenta alcanzar el sitio web, el WLC intercepta la sesión HTTP GET del cliente y redirige al usuario a la página de inicio de sesión de autenticación web.
3. Por lo tanto, asegúrese de que el cliente pueda realizar la resolución de DNS para que la redirección funcione. En Microsoft Windows, elija Start > Run, ingrese CMD para abrir una ventana de comandos, y haga un "nslookup www.cisco.com" y vea si la dirección IP regresa.

   En Macs/Linux, abra una ventana de terminal y haga un "nslookup www.cisco.com" y vea si la dirección IP regresa.

   Si cree que el cliente no obtiene resolución DNS, puede:

   • Ingrese la dirección IP de la URL (por ejemplo, http://www.cisco.com es http://198.133.219.25).
   • Intente escribir cualquier dirección IP (incluso no existente) que deba resolverse mediante el adaptador inalámbrico.

   ¿Al introducir esta URL aparece la página web? Si la respuesta es afirmativa, lo más probable es que se trate de un problema de DNS. También podría ser un problema de certificado. El controlador, de forma predeterminada, utiliza un certificado autofirmado y la mayoría de los navegadores web advierten contra su uso.

4. Para la autenticación Web con una página Web personalizada, asegúrese de que el código HTML de la página Web personalizada es apropiado.

   Puede descargar un script de autenticación Web de ejemplo de Descargas de Software de Cisco. Por ejemplo, para los controladores 5508, elija Productos > Wireless > Wireless LAN Controller > Standalone Controllers > Cisco 5500 Series Wireless LAN Controllers > Cisco 5508 Wireless LAN Controller > Software en Chasis > Wireless Lan Controller Web Authentication Bundle y descargue el archivo webauth_bundle.zip.

   Estos parámetros se agregan a la URL cuando el explorador de Internet del usuario se redirige a la página de inicio de sesión personalizada:

   • ap_mac - Dirección MAC del punto de acceso al que está asociado el usuario inalámbrico.
   • switch_url: URL del controlador al que se deben publicar las credenciales del usuario.
   • redirección: URL a la que se redirige al usuario después de que la autenticación se realice correctamente.
   • statusCode: código de estado devuelto desde el servidor de autenticación web del controlador.
   • wlan: el SSID de WLAN al que está asociado el usuario inalámbrico.

   Estos son los códigos de estado disponibles:

   • Código de estado 1: "Ya ha iniciado sesión. No se requiere ninguna otra acción por su parte".
   • Código de estado 2: "No está configurado para autenticarse en el portal web. No se requiere ninguna otra acción por su parte".
   • Código de estado 3: "El nombre de usuario especificado no se puede utilizar en este momento. ¿Es posible que el nombre de usuario ya esté conectado al sistema?"
   • Código de estado 4: "Ha sido excluido".
   • Código de estado 5: "La combinación de nombre de usuario y contraseña que ha introducido no es válida. Inténtelo de nuevo."
5. Todos los archivos e imágenes que deben aparecer en la página web personalizada deben incluirse en un archivo .tar antes de que se cargue en el WLC. Asegúrese de que uno de los archivos incluidos en el paquete .tar sea login.html. Recibirá este mensaje de error si no incluye el archivo login.html:

   

   
   Consulte la sección Pautas para la Autenticación Web Personalizada del Ejemplo de Configuración de Autenticación Web del Controlador de LAN Inalámbrica para obtener más información sobre cómo crear una ventana de autenticación Web personalizada.

   Nota: Los archivos que son grandes y los archivos que tienen nombres largos provocarán un error de extracción. Se recomienda que las imágenes estén en formato .jpg.

6. Asegúrese de que la opción Scripting no esté bloqueada en el navegador cliente ya que la página web personalizada en el WLC es básicamente un script HTML.
7. Si tiene un nombre de host configurado para la interfaz virtual del WLC, asegúrese de que la resolución DNS esté disponible para el nombre de host de la interfaz virtual.

   Nota: Navegue al menú Controller > Interfaces desde la GUI del WLC para asignar un nombre de host DNS a la interfaz virtual.

8. Algunas veces el firewall instalado en el equipo cliente bloquea las páginas de Login de Autenticación Web. Inhabilite el firewall antes de acceder a la página Login. El firewall puede ser habilitado otra vez una vez que se termina la autenticación web.
9. El firewall de topología/solución se puede colocar entre el cliente y el servidor de autenticación web, que depende de la red. En cuanto a cada diseño/solución de red implementada, el usuario final debe asegurarse de que estos puertos estén permitidos en el firewall de red.
   
   

   Protocolo	Puerto
   Tráfico HTTP/HTTPS	Puerto TCP 80/443
   Tráfico de control/datos CAPWAP	Puerto UDP 5247/5246
   Tráfico de control/datos de LWAPP (antes de la versión 5.0)	Puerto UDP 1222/12223
   paquetes EOIP	Protocolo IP 97
   Movilidad	Puerto UDP 1666 (no seguro) puerto UDP 16667 (túnel IPSEC seguro)

10. Para que se produzca la autenticación web, el cliente primero debe asociarse a la WLAN apropiada en el WLC. Navegue al menú Monitor > Clients en la GUI del WLC para ver si el cliente está asociado al WLC. Verifique si el cliente tiene una dirección IP válida.
11. Desactive la configuración de proxy en el navegador cliente hasta que se complete la autenticación web.
12. El método de autenticación web predeterminado es Password Authentication Protocol (PAP). Asegúrese de que la autenticación PAP esté permitida en el servidor RADIUS para que esto funcione. Para verificar el estado de la autenticación del cliente, verifique los debugs y los mensajes de registro del servidor RADIUS. Puede utilizar el comando debug aaa all en el WLC para ver las depuraciones del servidor RADIUS.
13. Actualice el controlador de hardware del ordenador con el código más reciente del sitio web del fabricante.
14. Compruebe los parámetros del suplicante (programa en el portátil).
15. Cuando utiliza el suplicante de configuración rápida de Windows integrado en Windows:
    • Verifique que el usuario tenga instalados los últimos parches.
    • Ejecute depuraciones en el suplicante.
16. En el cliente, active los registros EAPOL (WPA+WPA2) y RASTLS desde una ventana de comandos. Elija Inicio > Ejecutar > CMD:

    netsh ras set tracing eapol enable
          netsh ras set tracing rastls enable

    Para inhabilitar los registros, ejecute el mismo comando pero reemplace enable por disable. Para XP, todos los registros se encontrarán en C:\Windows\tracing.

17. Si todavía no tiene página web de inicio de sesión, recopile y analice este resultado de un único cliente:

    debug client <mac_address in format xx:xx:xx:xx:xx:xx>
    debug dhcp message enable
    debug aaa all enable
    debug dot1x aaa enable
    debug mobility handoff enable

18. Si el problema no se resuelve después de completar estos pasos, recopile estas depuraciones y utilice Support Case Manager para abrir una solicitud de servicio.

    debug pm ssh-appgw enable
    debug pm ssh-tcp enable
    debug pm rules enable
    debug emweb server enable
    debug pm ssh-engine enable packet <client ip>

Información Relacionada

• Ejemplo de Configuración de la Autenticación Web del Controlador LAN Inalámbrico
• Ejemplo de configuración de autenticación web externa con controladores de LAN inalámbrica
• Soporte Técnico y Documentación - Cisco Systems