Este documento explica cómo realizar la autenticación Web externa usando un servidor RADIUS externo.
Asegúrese de cumplir estos requisitos antes de intentar esta configuración:
Conocimiento básico de la configuración de los puntos de acceso ligeros (LAP) y los WLC de Cisco
Conocimientos sobre cómo configurar y configurar un servidor Web externo
Conocimiento de cómo configurar Cisco Secure ACS
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Controlador de LAN inalámbrica que ejecuta la versión 5.0.148.0 del firmware
LAP de la serie 1232 de Cisco
Adaptador de cliente inalámbrico Cisco 802.11a/b/g 3.6.0.61
Servidor web externo que aloja la página de inicio de sesión de autenticación web
Cisco Secure ACS versión que ejecuta firmware 4.1.1.24
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
En este documento, se utiliza esta configuración de red:
Las siguientes son direcciones IP usadas en este documento:
El WLC utiliza la dirección IP 10.77.244.206
El LAP se registra en el WLC con la dirección IP 10.77.244.199
El servidor Web utiliza la dirección IP 10.77.244.210
El servidor Cisco ACS utiliza la dirección IP 10.77.244.196
El cliente recibe una dirección IP de la interfaz de administración que está asignada a la WLAN - 10.77.244.208
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
La autenticación web es un mecanismo de autenticación de Capa 3 utilizado para autenticar usuarios invitados para el acceso a Internet. Los usuarios autenticados mediante este proceso no podrán acceder a Internet hasta que completen correctamente el proceso de autenticación. Para obtener información completa sobre el proceso de autenticación Web externa, lea la sección Proceso de Autenticación Web Externa del documento Ejemplo de Configuración de Autenticación Web Externa con Controladores LAN Inalámbricos.
En este documento, vemos un ejemplo de configuración, en el que la autenticación web externa se realiza mediante un servidor RADIUS externo.
En este documento, asumimos que el WLC ya está configurado y tiene un LAP registrado en el WLC. Este documento asume además que el WLC está configurado para el funcionamiento básico y que los LAPs están registrados en el WLC. Si es un usuario nuevo que intenta configurar el WLC para el funcionamiento básico con los LAP, consulte Registro de Lightweight AP (LAP) en un controlador de LAN inalámbrica (WLC). Para ver los LAPs registrados en el WLC, navegue a Wireless > All AP.
Una vez que el WLC se configura para el funcionamiento básico y tiene uno o más LAP registrados en él, puede configurar el WLC para la autenticación web externa usando un servidor web externo. En nuestro ejemplo, utilizamos una versión 4.1.1.24 de Cisco Secure ACS como servidor RADIUS. Primero, configuraremos el WLC para este servidor RADIUS y luego buscaremos la configuración requerida en el Cisco Secure ACS para esta configuración.
Realice estos pasos para agregar el servidor RADIUS en el WLC:
Desde la GUI del WLC, haga clic en el menú SECURITY.
En el menú AAA, navegue hasta el submenú Radius > Authentication.
Haga clic en New e ingrese la dirección IP del servidor RADIUS. En este ejemplo, la dirección IP del servidor es 10.77.244.196.
Ingrese el Secreto Compartido en el WLC. El Secreto Compartido debe configurarse igual en el WLC.
Elija ASCII o Hex para Shared Secret Format. Se debe elegir el mismo formato en el WLC.
1812 es el número de puerto utilizado para la autenticación RADIUS.
Asegúrese de que la opción Estado del servidor esté establecida en Activado.
Marque la casilla Habilitar usuario de red para autenticar a los usuarios de red.
Haga clic en Apply (Aplicar).
El siguiente paso es configurar la WLAN para la autenticación web en el WLC. Realice estos pasos para configurar la WLAN en el WLC:
Haga clic en el menú WLANs de la GUI del controlador y elija New.
Elija WLAN para Type.
Ingrese un Nombre de Perfil y un SSID WLAN de su elección, y haga clic en Aplicar.
Nota: El SSID de WLAN distingue entre mayúsculas y minúsculas.
En la ficha General, asegúrese de que la opción Enabled esté marcada tanto para SSID de estado como de difusión.
Configuración de WLAN
Elija una interfaz para la WLAN. Normalmente, una interfaz configurada en una VLAN única se asigna a la WLAN de modo que el cliente reciba una dirección IP en esa VLAN. En este ejemplo, utilizamos management para Interface.
Elija la pestaña Seguridad.
En el menú Capa 2, elija Ninguno para Seguridad de Capa 2.
En el menú Capa 3, elija Ninguno para Seguridad de Capa 3. Marque la casilla Web Policy y elija Authentication.
Bajo el menú servidores AAA, para el Servidor de Autenticación, elija el servidor RADIUS configurado en este WLC. Otros menús deben permanecer en los valores predeterminados.
El servidor web que aloja la página de autenticación web debe configurarse en el WLC. Realice estos pasos para configurar el servidor web:
Haga clic en la ficha Security (Seguridad). Vaya a Web Auth > Web Login Page.
Establezca el tipo de autenticación web como Externo.
En el campo Dirección IP del servidor Web, introduzca la dirección IP del servidor que aloja la página Autenticación Web y haga clic en Agregar servidor Web. En este ejemplo, la dirección IP es 10.77.244.196, que aparece en Servidores Web Externos.
Introduzca la dirección URL de la página Autenticación Web (en este ejemplo, http://10.77.244.196/login.html) en el campo URL.
En este documento, asumimos que Cisco Secure ACS Server ya está instalado y ejecutándose en una máquina. Para obtener más información sobre cómo configurar Cisco Secure ACS, consulte la Guía de Configuración de Cisco Secure ACS 4.2.
Realice estos pasos para configurar los usuarios en Cisco Secure ACS:
Elija User Setup en la GUI de Cisco Secure ACS, ingrese un nombre de usuario y haga clic en Add/Edit. En este ejemplo, el usuario es user1.
De forma predeterminada, PAP se utiliza para autenticar clientes. La contraseña para el usuario se ingresa bajo User Setup > Password Authentication > Cisco Secure PAP. Asegúrese de elegir ACS Internal Database para la Autenticación de Contraseña.
Se debe asignar al usuario un grupo al que pertenece el usuario. Elija el grupo predeterminado.
Haga clic en Submit (Enviar).
Realice estos pasos para configurar la información del WLC en Cisco Secure ACS:
En la GUI de ACS, haga clic en la pestaña Network Configuration y haga clic en Add Entry.
Aparece la pantalla Add AAA client (Agregar cliente AAA).
Introduzca el nombre del cliente. En este ejemplo, usamos WLC.
Introduzca la dirección IP del cliente. La dirección IP del WLC es 10.77.244.206.
Introduzca la clave secreta compartida y el formato de clave. Esto debe coincidir con la entrada hecha en el menú Seguridad del WLC.
Elija ASCII para el Formato de Entrada de Clave, que debería ser el mismo en el WLC.
Elija RADIUS (Cisco Airespace) para Authenticate Using para establecer el protocolo utilizado entre el WLC y el servidor RADIUS.
Haga clic en Enviar + Aplicar.
En este ejemplo, utilizamos Cisco Aironet Desktop Utility para realizar la autenticación web. Realice estos pasos para configurar Aironet Desktop Utility.
Abra Aironet Desktop Utility desde Start > Cisco Aironet > Aironet Desktop Utility.
Haga clic en la pestaña Profile Management.
Elija el perfil predeterminado y haga clic en Modificar.
Haga clic en la ficha General.
Configure un nombre de perfil. En este ejemplo, se utiliza Default.
Configure el SSID en Nombres de red. En este ejemplo, se utiliza WLAN1.
Nota: El SSID distingue entre mayúsculas y minúsculas y debe coincidir con la WLAN configurada en el WLC.
Haga clic en la ficha Security (Seguridad).
Elija None como Security para la autenticación Web.
Haga clic en la ficha Advanced (Opciones avanzadas).
En el menú Wireless Mode , elija la frecuencia con la que el cliente inalámbrico se comunica con el LAP.
Bajo el Nivel de Potencia de transmisión, elija la Potencia configurada en el WLC.
Deje el valor predeterminado para Modo de ahorro de energía.
Elija Infrastructure como tipo de red.
Configure el preámbulo 802.11b como corto y largo para una mejor compatibilidad.
Click OK.
Una vez que el perfil se configura en el software cliente, el cliente se asocia correctamente y recibe una dirección IP del conjunto VLAN configurado para la interfaz de administración.
Esta sección explica cómo se produce el inicio de sesión del cliente.
Abra un navegador e ingrese cualquier URL o dirección IP. Esto trae la página de autenticación Web al cliente. Si el controlador está ejecutando alguna versión anterior a 3.0, el usuario debe ingresar https://1.1.1.1/login.html para abrir la página de autenticación web. Se muestra una ventana de alerta de seguridad.
Haga clic en Sí para continuar.
Cuando aparezca la ventana de inicio de sesión, introduzca el nombre de usuario y la contraseña configurados en el servidor RADIUS. Si el inicio de sesión se realiza correctamente, verá dos ventanas del navegador. La ventana más grande indica que el inicio de sesión se ha realizado correctamente y puede acceder a esta ventana para navegar por Internet. Use la ventana más pequeña para cerrar la sesión cuando deje de usar la red del invitado.
Para que la autenticación web se realice correctamente, debe comprobar si los dispositivos están configurados de la forma adecuada. Esta sección explica cómo verificar los dispositivos utilizados en el proceso.
Haga clic en User Setup y luego haga clic en List All Users en la GUI de ACS.
Asegúrese de que el estado del usuario esté habilitado y que el grupo predeterminado esté asignado al usuario.
Haga clic en la pestaña Configuración de Red y mire en la tabla Clientes AAA para verificar que el WLC esté configurado como un cliente AAA.
Haga clic en el menú WLANs desde la GUI del WLC.
Asegúrese de que la WLAN utilizada para la autenticación Web aparezca en la página.
Asegúrese de que el Estado del Administrador para la WLAN esté habilitado.
Asegúrese de que la Política de Seguridad para la WLAN muestre Web-Auth.
Haga clic en el menú SECURITY desde la GUI del WLC.
Asegúrese de que Cisco Secure ACS (10.77.244.196) aparece en la lista de la página.
Asegúrese de que la casilla Network User (Usuario de red) está activada.
Asegúrese de que el puerto sea 1812 y que el estado del administrador esté habilitado.
Hay muchas razones por las que una autenticación web no es exitosa. El documento Solución de problemas de autenticación web en un controlador de LAN inalámbrica (WLC) explica claramente esas razones en detalle.
Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar estos comandos debug.
Telnet en el WLC y ejecute estos comandos para resolver problemas de autenticación:
debug aaa all enable
Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Successful transmission of Authentic ation Packet (id 1) to 10.77.244.196:1812, proxy state 00:40:96:ac:dd:05-00:01 Fri Sep 24 13:59:52 2010: 00000000: 01 01 00 73 00 00 00 00 00 00 00 00 00 00 0 0 00 ...s............ Fri Sep 24 13:59:52 2010: 00000010: 00 00 00 00 01 07 75 73 65 72 31 02 12 93 c 3 66 ......user1....f Fri Sep 24 13:59:52 2010: 00000030: 75 73 65 72 31 user1 Fri Sep 24 13:59:52 2010: ****Enter processIncomingMessages: response code=2 Fri Sep 24 13:59:52 2010: ****Enter processRadiusResponse: response code=2 Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Access-Accept received from RADIUS s erver 10.77.244.196 for mobile 00:40:96:ac:dd:05 receiveId = 0 Fri Sep 24 13:59:52 2010: AuthorizationResponse: 0x12238db0 Fri Sep 24 13:59:52 2010: structureSize................................89 Fri Sep 24 13:59:52 2010: resultCode...................................0 Fri Sep 24 13:59:52 2010: protocolUsed.................................0x0 0000001 Fri Sep 24 13:59:52 2010: proxyState...................................00: 40:96:AC:DD:05-00:00 Fri Sep 24 13:59:52 2010: Packet contains 2 AVPs: Fri Sep 24 13:59:52 2010: AVP[01] Framed-IP-Address................... .....0xffffffff (-1) (4 bytes) Fri Sep 24 13:59:52 2010: AVP[02] Class............................... .....CACS:0/5183/a4df4ce/user1 (25 bytes) Fri Sep 24 13:59:52 2010: Authentication failed for user1, Service Type: 0 Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Applying new AAA override for statio n 00:40:96:ac:dd:05 Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Override values for station 00:40:96 :ac:dd:05 source: 48, valid bits: 0x1 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1 vlanIfName: '', aclName: Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Unable to apply override policy for station 00:40:96:ac:dd:05 - VapAllowRadiusOverride is FALSE Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Sending Accounting request (0) for s tation 00:40:96:ac:dd:05 Fri Sep 24 13:59:52 2010: AccountingMessage Accounting Start: 0x1500501c Fri Sep 24 13:59:52 2010: Packet contains 12 AVPs: Fri Sep 24 13:59:52 2010: AVP[01] User-Name........................... .....user1 (5 bytes) Fri Sep 24 13:59:52 2010: AVP[02] Nas-Port............................ .....0x00000002 (2) (4 bytes) Fri Sep 24 13:59:52 2010: AVP[03] Nas-Ip-Address...................... .....0x0a4df4ce (172881102) (4 bytes) Fri Sep 24 13:59:52 2010: AVP[04] Framed-IP-Address................... .....0x0a4df4c7 (172881095) (4 bytes)
debug aaa detail enable
Los intentos fallidos de autenticación se enumeran en el menú ubicado en Informes y actividad > Intentos fallidos.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
28-Sep-2010 |
Versión inicial |