Autenticación Web Externa Usando un Servidor RADIUS

Opciones de descarga

  • PDF     (884.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.1 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (960.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:28 de septiembre de 2010
ID del documento:112134

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento explica cómo realizar la autenticación Web externa usando un servidor RADIUS externo.

Prerequisites

Requirements

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Conocimiento básico de la configuración de los puntos de acceso ligeros (LAP) y los WLC de Cisco

  • Conocimientos sobre cómo configurar y configurar un servidor Web externo

  • Conocimiento de cómo configurar Cisco Secure ACS

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Controlador de LAN inalámbrica que ejecuta la versión 5.0.148.0 del firmware

  • LAP de la serie 1232 de Cisco

  • Adaptador de cliente inalámbrico Cisco 802.11a/b/g 3.6.0.61

  • Servidor web externo que aloja la página de inicio de sesión de autenticación web

  • Cisco Secure ACS versión que ejecuta firmware 4.1.1.24

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

external-web-radius-01.gif

Las siguientes son direcciones IP usadas en este documento:

  • El WLC utiliza la dirección IP 10.77.244.206

  • El LAP se registra en el WLC con la dirección IP 10.77.244.199

  • El servidor Web utiliza la dirección IP 10.77.244.210

  • El servidor Cisco ACS utiliza la dirección IP 10.77.244.196

  • El cliente recibe una dirección IP de la interfaz de administración que está asignada a la WLAN - 10.77.244.208

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Autenticación web externa

La autenticación web es un mecanismo de autenticación de Capa 3 utilizado para autenticar usuarios invitados para el acceso a Internet. Los usuarios autenticados mediante este proceso no podrán acceder a Internet hasta que completen correctamente el proceso de autenticación. Para obtener información completa sobre el proceso de autenticación Web externa, lea la sección Proceso de Autenticación Web Externa del documento Ejemplo de Configuración de Autenticación Web Externa con Controladores LAN Inalámbricos.

En este documento, vemos un ejemplo de configuración, en el que la autenticación web externa se realiza mediante un servidor RADIUS externo.

Configurar la WLC

En este documento, asumimos que el WLC ya está configurado y tiene un LAP registrado en el WLC. Este documento asume además que el WLC está configurado para el funcionamiento básico y que los LAPs están registrados en el WLC. Si es un usuario nuevo que intenta configurar el WLC para el funcionamiento básico con los LAP, consulte Registro de Lightweight AP (LAP) en un controlador de LAN inalámbrica (WLC). Para ver los LAPs registrados en el WLC, navegue a Wireless > All AP.

Una vez que el WLC se configura para el funcionamiento básico y tiene uno o más LAP registrados en él, puede configurar el WLC para la autenticación web externa usando un servidor web externo. En nuestro ejemplo, utilizamos una versión 4.1.1.24 de Cisco Secure ACS como servidor RADIUS. Primero, configuraremos el WLC para este servidor RADIUS y luego buscaremos la configuración requerida en el Cisco Secure ACS para esta configuración.

Configuración del WLC para Cisco Secure ACS

Realice estos pasos para agregar el servidor RADIUS en el WLC:

  1. Desde la GUI del WLC, haga clic en el menú SECURITY.

  2. En el menú AAA, navegue hasta el submenú Radius > Authentication.

  3. Haga clic en New e ingrese la dirección IP del servidor RADIUS. En este ejemplo, la dirección IP del servidor es 10.77.244.196.

  4. Ingrese el Secreto Compartido en el WLC. El Secreto Compartido debe configurarse igual en el WLC.

  5. Elija ASCII o Hex para Shared Secret Format. Se debe elegir el mismo formato en el WLC.

  6. 1812 es el número de puerto utilizado para la autenticación RADIUS.

  7. Asegúrese de que la opción Estado del servidor esté establecida en Activado.

  8. Marque la casilla Habilitar usuario de red para autenticar a los usuarios de red.

  9. Haga clic en Apply (Aplicar).

    external-web-radius-02.gif

Configuración de la WLAN en el WLC para la Autenticación Web

El siguiente paso es configurar la WLAN para la autenticación web en el WLC. Realice estos pasos para configurar la WLAN en el WLC:

  1. Haga clic en el menú WLANs de la GUI del controlador y elija New.

  2. Elija WLAN para Type.

  3. Ingrese un Nombre de Perfil y un SSID WLAN de su elección, y haga clic en Aplicar.

    Nota: El SSID de WLAN distingue entre mayúsculas y minúsculas.

    external-web-radius-03.gif

  4. En la ficha General, asegúrese de que la opción Enabled esté marcada tanto para SSID de estado como de difusión.

    Configuración de WLAN

    external-web-radius-04.gif

  5. Elija una interfaz para la WLAN. Normalmente, una interfaz configurada en una VLAN única se asigna a la WLAN de modo que el cliente reciba una dirección IP en esa VLAN. En este ejemplo, utilizamos management para Interface.

  6. Elija la pestaña Seguridad.

  7. En el menú Capa 2, elija Ninguno para Seguridad de Capa 2.

  8. En el menú Capa 3, elija Ninguno para Seguridad de Capa 3. Marque la casilla Web Policy y elija Authentication.

    external-web-radius-05.gif

  9. Bajo el menú servidores AAA, para el Servidor de Autenticación, elija el servidor RADIUS configurado en este WLC. Otros menús deben permanecer en los valores predeterminados.

    external-web-radius-06.gif

Configuración de la Información del Servidor Web en el WLC

El servidor web que aloja la página de autenticación web debe configurarse en el WLC. Realice estos pasos para configurar el servidor web:

  1. Haga clic en la ficha Security (Seguridad). Vaya a Web Auth > Web Login Page.

  2. Establezca el tipo de autenticación web como Externo.

  3. En el campo Dirección IP del servidor Web, introduzca la dirección IP del servidor que aloja la página Autenticación Web y haga clic en Agregar servidor Web. En este ejemplo, la dirección IP es 10.77.244.196, que aparece en Servidores Web Externos.

  4. Introduzca la dirección URL de la página Autenticación Web (en este ejemplo, http://10.77.244.196/login.html) en el campo URL.

    external-web-radius-07.gif

Configuración de Cisco Secure ACS

En este documento, asumimos que Cisco Secure ACS Server ya está instalado y ejecutándose en una máquina. Para obtener más información sobre cómo configurar Cisco Secure ACS, consulte la Guía de Configuración de Cisco Secure ACS 4.2.

Configuración de la información del usuario en Cisco Secure ACS

Realice estos pasos para configurar los usuarios en Cisco Secure ACS:

  1. Elija User Setup en la GUI de Cisco Secure ACS, ingrese un nombre de usuario y haga clic en Add/Edit. En este ejemplo, el usuario es user1.

    external-web-radius-08.gif

  2. De forma predeterminada, PAP se utiliza para autenticar clientes. La contraseña para el usuario se ingresa bajo User Setup > Password Authentication > Cisco Secure PAP. Asegúrese de elegir ACS Internal Database para la Autenticación de Contraseña.

    external-web-radius-09.gif

  3. Se debe asignar al usuario un grupo al que pertenece el usuario. Elija el grupo predeterminado.

  4. Haga clic en Submit (Enviar).

Configuración de la Información del WLC en Cisco Secure ACS

Realice estos pasos para configurar la información del WLC en Cisco Secure ACS:

  1. En la GUI de ACS, haga clic en la pestaña Network Configuration y haga clic en Add Entry.

  2. Aparece la pantalla Add AAA client (Agregar cliente AAA).

  3. Introduzca el nombre del cliente. En este ejemplo, usamos WLC.

  4. Introduzca la dirección IP del cliente. La dirección IP del WLC es 10.77.244.206.

  5. Introduzca la clave secreta compartida y el formato de clave. Esto debe coincidir con la entrada hecha en el menú Seguridad del WLC.

  6. Elija ASCII para el Formato de Entrada de Clave, que debería ser el mismo en el WLC.

  7. Elija RADIUS (Cisco Airespace) para Authenticate Using para establecer el protocolo utilizado entre el WLC y el servidor RADIUS.

  8. Haga clic en Enviar + Aplicar.

    external-web-radius-10.gif

Proceso de autenticación de cliente

Configuración del Cliente

En este ejemplo, utilizamos Cisco Aironet Desktop Utility para realizar la autenticación web. Realice estos pasos para configurar Aironet Desktop Utility.

  1. Abra Aironet Desktop Utility desde Start > Cisco Aironet > Aironet Desktop Utility.

  2. Haga clic en la pestaña Profile Management.

    external-web-radius-19.gif

  3. Elija el perfil predeterminado y haga clic en Modificar.

    1. Haga clic en la ficha General.

      1. Configure un nombre de perfil. En este ejemplo, se utiliza Default.

      2. Configure el SSID en Nombres de red. En este ejemplo, se utiliza WLAN1.

        external-web-radius-13.gif

        Nota: El SSID distingue entre mayúsculas y minúsculas y debe coincidir con la WLAN configurada en el WLC.

    2. Haga clic en la ficha Security (Seguridad).

      Elija None como Security para la autenticación Web.

      external-web-radius-14.gif

    3. Haga clic en la ficha Advanced (Opciones avanzadas).

      1. En el menú Wireless Mode , elija la frecuencia con la que el cliente inalámbrico se comunica con el LAP.

      2. Bajo el Nivel de Potencia de transmisión, elija la Potencia configurada en el WLC.

      3. Deje el valor predeterminado para Modo de ahorro de energía.

      4. Elija Infrastructure como tipo de red.

      5. Configure el preámbulo 802.11b como corto y largo para una mejor compatibilidad.

      6. Click OK.

        external-web-radius-15.gif

  4. Una vez que el perfil se configura en el software cliente, el cliente se asocia correctamente y recibe una dirección IP del conjunto VLAN configurado para la interfaz de administración.

Proceso de inicio de sesión del cliente

Esta sección explica cómo se produce el inicio de sesión del cliente.

  1. Abra un navegador e ingrese cualquier URL o dirección IP. Esto trae la página de autenticación Web al cliente. Si el controlador está ejecutando alguna versión anterior a 3.0, el usuario debe ingresar https://1.1.1.1/login.html para abrir la página de autenticación web. Se muestra una ventana de alerta de seguridad.

  2. Haga clic en Sí para continuar.

  3. Cuando aparezca la ventana de inicio de sesión, introduzca el nombre de usuario y la contraseña configurados en el servidor RADIUS. Si el inicio de sesión se realiza correctamente, verá dos ventanas del navegador. La ventana más grande indica que el inicio de sesión se ha realizado correctamente y puede acceder a esta ventana para navegar por Internet. Use la ventana más pequeña para cerrar la sesión cuando deje de usar la red del invitado.

    external-web-radius-12.gif

Verificación

Para que la autenticación web se realice correctamente, debe comprobar si los dispositivos están configurados de la forma adecuada. Esta sección explica cómo verificar los dispositivos utilizados en el proceso.

Verificación de ACS

  1. Haga clic en User Setup y luego haga clic en List All Users en la GUI de ACS.

    external-web-radius-17.gif

    Asegúrese de que el estado del usuario esté habilitado y que el grupo predeterminado esté asignado al usuario.

    external-web-radius-18.gif

  2. Haga clic en la pestaña Configuración de Red y mire en la tabla Clientes AAA para verificar que el WLC esté configurado como un cliente AAA.

    external-web-radius-20.gif

Verificar WLC

  1. Haga clic en el menú WLANs desde la GUI del WLC.

    1. Asegúrese de que la WLAN utilizada para la autenticación Web aparezca en la página.

    2. Asegúrese de que el Estado del Administrador para la WLAN esté habilitado.

    3. Asegúrese de que la Política de Seguridad para la WLAN muestre Web-Auth.

      external-web-radius-21.gif

  2. Haga clic en el menú SECURITY desde la GUI del WLC.

    1. Asegúrese de que Cisco Secure ACS (10.77.244.196) aparece en la lista de la página.

    2. Asegúrese de que la casilla Network User (Usuario de red) está activada.

    3. Asegúrese de que el puerto sea 1812 y que el estado del administrador esté habilitado.

      external-web-radius-22.gif

Troubleshoot

Hay muchas razones por las que una autenticación web no es exitosa. El documento Solución de problemas de autenticación web en un controlador de LAN inalámbrica (WLC) explica claramente esas razones en detalle.

Comandos para resolución de problemas

Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar estos comandos debug.

Telnet en el WLC y ejecute estos comandos para resolver problemas de autenticación:

  • debug aaa all enable 

    Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Successful transmission of Authentic
ation Packet (id 1) to 10.77.244.196:1812, proxy state 00:40:96:ac:dd:05-00:01
Fri Sep 24 13:59:52 2010: 00000000: 01 01 00 73 00 00 00 00  00 00 00 00 00 00 0
0 00  ...s............
Fri Sep 24 13:59:52 2010: 00000010: 00 00 00 00 01 07 75 73  65 72 31 02 12 93 c
3 66  ......user1....f
Fri Sep 24 13:59:52 2010: 00000030: 75 73 65 72 31
      user1
Fri Sep 24 13:59:52 2010: ****Enter processIncomingMessages: response code=2
Fri Sep 24 13:59:52 2010: ****Enter processRadiusResponse: response code=2
Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Access-Accept received from RADIUS s
erver 10.77.244.196 for mobile 00:40:96:ac:dd:05 receiveId = 0
Fri Sep 24 13:59:52 2010: AuthorizationResponse: 0x12238db0
Fri Sep 24 13:59:52 2010:       structureSize................................89
Fri Sep 24 13:59:52 2010:       resultCode...................................0
Fri Sep 24 13:59:52 2010:       protocolUsed.................................0x0
0000001
Fri Sep 24 13:59:52 2010:       proxyState...................................00:
40:96:AC:DD:05-00:00
Fri Sep 24 13:59:52 2010:       Packet contains 2 AVPs:
Fri Sep 24 13:59:52 2010:           AVP[01] Framed-IP-Address...................
.....0xffffffff (-1) (4 bytes)
Fri Sep 24 13:59:52 2010:           AVP[02] Class...............................
.....CACS:0/5183/a4df4ce/user1 (25 bytes)
Fri Sep 24 13:59:52 2010: Authentication failed for user1, Service Type: 0
Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Applying new AAA override for statio
n 00:40:96:ac:dd:05
Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Override values for station 00:40:96
:ac:dd:05
                source: 48, valid bits: 0x1
        qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1

dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                vlanIfName: '',
aclName:
Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Unable to apply override policy for
station 00:40:96:ac:dd:05 - VapAllowRadiusOverride is FALSE
Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Sending Accounting request (0) for s
tation 00:40:96:ac:dd:05
Fri Sep 24 13:59:52 2010: AccountingMessage Accounting Start: 0x1500501c
Fri Sep 24 13:59:52 2010:       Packet contains 12 AVPs:
Fri Sep 24 13:59:52 2010:           AVP[01] User-Name...........................
.....user1 (5 bytes)
Fri Sep 24 13:59:52 2010:           AVP[02] Nas-Port............................
.....0x00000002 (2) (4 bytes)
Fri Sep 24 13:59:52 2010:           AVP[03] Nas-Ip-Address......................
.....0x0a4df4ce (172881102) (4 bytes)
Fri Sep 24 13:59:52 2010:           AVP[04] Framed-IP-Address...................
.....0x0a4df4c7 (172881095) (4 bytes)

  • debug aaa detail enable

Los intentos fallidos de autenticación se enumeran en el menú ubicado en Informes y actividad > Intentos fallidos.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
28-Sep-2010
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos