¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Autenticación Web Externa Usando un Servidor RADIUS

Opciones de descarga

  • PDF     (885.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.1 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (961.4 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:28 de septiembre de 2010
ID del documento:112134
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento explica cómo realizar la autenticación Web externa usando un servidor RADIUS externo.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Conocimiento básico de la configuración de los Puntos de acceso ligeros (revestimientos) y de Cisco WLCs

  • Conocimiento de cómo poner y configurar a un servidor Web externo

  • Conocimiento de cómo configurar Cisco ACS seguro

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Regulador inalámbrico LAN que funciona con la versión de firmware 5.0.148.0

  • REVESTIMIENTO de las Cisco 1232 Series

  • Adaptador de red inalámbrica de cliente 3.6.0.61 de Cisco 802.11a/b/g

  • Servidor Web externo que recibe la página de registro de la autenticación Web

  • ACS versión seguro de Cisco que funciona con la versión de firmware 4.1.1.24

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

external-web-radius-01.gif

Las siguientes son direcciones IP usadas en este documento:

  • WLC utiliza la dirección IP 10.77.244.206

  • El REVESTIMIENTO se registra a WLC con la dirección IP 10.77.244.199

  • El servidor Web utiliza la dirección IP 10.77.244.210

  • El servidor ACS de Cisco utiliza la dirección IP 10.77.244.196

  • El cliente recibe una dirección IP de la interfaz de administración que se asocia a la red inalámbrica (WLAN) - 10.77.244.208

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Autenticación del Web externa

La autenticación Web es un mecanismo de autenticación de la capa 3 usado para autenticar a los Usuarios invitados para el acceso a internet. Los usuarios autenticados usando este proceso no podrán tener acceso a Internet hasta que completen con éxito el proceso de autenticación. Para toda la información sobre el proceso de autenticación del Web externa, lea el proceso de autenticación del Web externa de la sección de la autenticación del Web externa del documento con el ejemplo inalámbrico de la configuración de los reguladores LAN.

En este documento, miramos un ejemplo de la configuración, en el cual la autenticación del Web externa se realiza usando un servidor de RADIUS externo.

Configure el WLC

En este documento, asumimos que el WLC está configurado y tiene ya un REVESTIMIENTO registrado al WLC. Este documento más futuro asume que el WLC está configurado para la operación básica y que los revestimientos están registrados al WLC. Si usted es usuario nuevo que intenta poner el WLC para la operación básica con los revestimientos, refiera al registro ligero AP (REVESTIMIENTO) a un regulador LAN de la Tecnología inalámbrica (WLC). Para ver los revestimientos que se registran al WLC, navegue a la Tecnología inalámbrica > todos los APs.

Una vez que el WLC se configura para la operación básica y tiene uno o más revestimientos registradoes a él, usted puede configurar el WLC para la autenticación del Web externa usando un servidor Web externo. En nuestro ejemplo, estamos utilizando un ACS versión seguro 4.1.1.24 de Cisco como el servidor de RADIUS. Primero, configuraremos el WLC para este servidor de RADIUS, y entonces miraremos la configuración requerida en Cisco ACS seguro para esta disposición.

Configure el WLC para Cisco ACS seguro

Realice estos pasos para agregar al servidor de RADIUS en el WLC:

  1. Del GUI WLC, haga clic el menú de seguridad.

  2. Bajo menú AAA, navegue al submenú del radio > de la autenticación.

  3. Haga clic nuevo, y ingrese el IP address del servidor de RADIUS. En este ejemplo, la dirección IP del servidor es 10.77.244.196.

  4. Ingrese el secreto compartido en el WLC. El secreto compartido se debe configurar lo mismo en el WLC.

  5. Elija el ASCII o embruje para el formato del secreto compartido. El mismo formato necesita ser elegido en el WLC.

  6. 1812 es el número del puerto usado para la autenticación de RADIUS.

  7. Asegúrese de que la opción del estado del servidor esté fijada a activado.

  8. Controle el cuadro del permiso del usuario de la red para autenticar a los usuarios de la red.

  9. Haga clic en Apply (Aplicar).

    external-web-radius-02.gif

Configure la red inalámbrica (WLAN) en WLC para la autenticación Web

El siguiente paso es configurar la red inalámbrica (WLAN) para la autenticación Web en WLC. Realice estos pasos para configurar la red inalámbrica (WLAN) en WLC:

  1. Haga clic el menú de las redes inalámbricas (WLAN) del GUI del regulador, y elija nuevo.

  2. Elija la red inalámbrica (WLAN) para el tipo.

  3. Ingrese un nombre del perfil y un WLAN SSID de su opción, y el tecleo se aplica.

    Nota: La red inalámbrica (WLAN) SSID es con diferenciación entre mayúsculas y minúsculas.

    external-web-radius-03.gif

  4. Conforme a la ficha general, asegúrese de que la opción activada esté controlada para saber si hay estatus y difusión SSID.

    Configuración de la red inalámbrica (WLAN)

    external-web-radius-04.gif

  5. Elija un interfaz para la red inalámbrica (WLAN). Típicamente, un interfaz configurado en un VLA N único se asocia a la red inalámbrica (WLAN) de modo que el cliente reciba una dirección IP en ese VLA N. En este ejemplo, utilizamos la Administración para el interfaz.

  6. Elija la ficha de seguridad.

  7. Bajo menú de la capa 2, no elija ninguno para la Seguridad de la capa 2.

  8. Bajo menú de la capa 3, no elija ninguno para la Seguridad de la capa 3. Controle el checkbox de la directiva de la red, y elija la autenticación.

    external-web-radius-05.gif

  9. Bajo menú de los servidores AAA, para el servidor de la autenticación, elija al servidor de RADIUS que fue configurado en este WLC. Otros menús deben permanecer en los valores predeterminados.

    external-web-radius-06.gif

Configure la información del servidor Web sobre WLC

El servidor Web que recibe la página de la autenticación Web debe ser configurado en el WLC. Realice estos pasos para configurar al servidor Web:

  1. Haga clic la Seguridad cuadro van a la red auténtica > página de registro de la red.

  2. Fije el tipo de la autenticación Web como externo.

  3. En el campo del IP address del servidor Web, ingrese el IP address del servidor que recibe la página de la autenticación Web, y el tecleo agrega al servidor Web. En este ejemplo, la dirección IP es 10.77.244.196, que aparece bajo los servidores Web externos.

  4. Ingrese el URL para la página de la autenticación Web (en este ejemplo, http://10.77.244.196/login.html) en el campo URL.

    external-web-radius-07.gif

Configure Cisco ACS seguro

En este documento asumimos que Cisco asegura al servidor ACS es instalado ya y que se ejecuta en una máquina. Para más información cómo poner Cisco ACS seguros refieren a la guía de configuración para Cisco aseguran ACS 4.2.

Configure la información sobre el usuario en Cisco ACS seguro

Realice estos pasos para configurar a los usuarios en Cisco ACS seguro:

  1. Elija la configuración de usuario del GUI seguro de Cisco ACS, ingrese un username, y el tecleo agrega/corrige. En este ejemplo, el usuario es user1.

    external-web-radius-08.gif

  2. Por abandono, PAP se utiliza para los clientes de autenticidad. La contraseña para el usuario se ingresa bajo la configuración de usuario > la autenticación de contraseña > Cisco PAP seguro. Asegúrese de le para elegir la base de datos interna ACS para la autenticación de contraseña.

    external-web-radius-09.gif

  3. El usuario necesita ser asignado un grupo a quien el usuario pertenece. Elija al grupo predeterminado.

  4. Haga clic en Submit (Enviar).

Configure la información WLC sobre Cisco ACS seguro

Realice estos pasos para configurar la información WLC sobre Cisco ACS seguro:

  1. En el GUI ACS, haga clic la tabulación de la configuración de red, y el tecleo agrega la entrada.

  2. La pantalla del cliente AAA del agregar aparece.

  3. Ingrese el nombre del cliente. En este ejemplo, utilizamos WLC.

  4. Ingrese el IP address del cliente. La dirección IP WLC es 10.77.244.206.

  5. Ingrese la clave secreta compartida y el formato dominante. Esto debe hacer juego la entrada hecha en el menú de seguridad WLC.

  6. Elija el ASCII para el formato de la entrada dominante, que debe ser lo mismo en el WLC.

  7. Elija RADIUS (Cisco Airespace) para Authenticate usando para fijar el protocolo utilizado entre el WLC y el servidor de RADIUS.

  8. El tecleo somete + se aplica.

    external-web-radius-10.gif

Proceso de autenticación de cliente

Configuración del Cliente

En este ejemplo, utilizamos Cisco utilidad Aironet Desktop para realizar la autenticación Web. Realice estos pasos para configurar utilidad Aironet Desktop.

  1. Abra utilidad Aironet Desktop del comienzo > de Cisco Aironet > utilidad Aironet Desktop.

  2. Haga clic en la Administración cuadro del perfil.

    external-web-radius-19.gif

  3. Elija el perfil predeterminado, y el tecleo se modifica.

    1. Haga clic en la ficha General.

      1. Configure un nombre del perfil. En este ejemplo, se utiliza el valor por defecto.

      2. Configure el SSID bajo nombres de red. En este ejemplo, se utiliza WLAN1.

        external-web-radius-13.gif

        Nota: El SSID es con diferenciación entre mayúsculas y minúsculas y debe hacer juego la red inalámbrica (WLAN) configurada en el WLC.

    2. Haga clic en la ficha Security (Seguridad).

      No elija ninguno como Seguridad para la autenticación Web.

      external-web-radius-14.gif

    3. Haga clic en la ficha Advanced (Opciones avanzadas).

      1. Bajo menú inalámbrico del modo, elija la frecuencia en la cual el cliente de red inalámbrica comunica con el REVESTIMIENTO.

      2. Bajo nivel de potencia de transmisión, elija la potencia que se configura en el WLC.

      3. Deje el valor predeterminado para el modo de ahorro de energía.

      4. Elija la infraestructura como el tipo de red.

      5. Fije el preámbulo del 802.11b como cortocircuito y largo para una mejor compatibilidad.

      6. Click OK.

        external-web-radius-15.gif

  4. Una vez que el perfil se configura en el software cliente, asocian con éxito y recibe al cliente una dirección IP del pool del VLA N configurado para la interfaz de administración.

Proceso de ingreso del cliente

Esta sección explica cómo ocurre la clave del cliente.

  1. Abra un navegador e ingrese cualquier URL o dirección IP. Esto trae la página de autenticación Web al cliente. Si el regulador está ejecutando cualquier desbloquear anterior que el 3.0, el usuario debe ingresar https://1.1.1.1/login.html para traer para arriba la página de la autenticación Web. Se muestra una ventana de alerta de seguridad.

  2. Haga clic en para continuar.

  3. Cuando aparece la ventana de la clave, ingrese el nombre de usuario y contraseña que se configura en el servidor de RADIUS. Si su clave es acertada, usted verá dos ventanas del buscador. La ventana más grande indica la registración satisfactoria, y le puede esta ventana hojear Internet. Use la ventana más pequeña para cerrar la sesión cuando deje de usar la red del invitado.

    external-web-radius-12.gif

Verificación

Para una autenticación Web acertada, usted necesita controlar si los dispositivos se configuran de una manera apropiada. Esta sección explica cómo verificar los dispositivos usados en el proceso.

Verificación de ACS

  1. Haga clic la configuración de usuario, y después haga clic la lista todos los usuarios en el GUI ACS.

    external-web-radius-17.gif

    Asegúrese de que el estatus del usuario esté activado y que asocian al grupo predeterminado al usuario.

    external-web-radius-18.gif

  2. Haga clic la tabulación de la configuración de red, y la mirada en la tabla de los clientes AAA para verificar que el WLC está configurado como cliente AAA.

    external-web-radius-20.gif

Verifique WLC

  1. Haga clic el menú de las redes inalámbricas (WLAN) del GUI WLC.

    1. Asegúrese de que la red inalámbrica (WLAN) usada para la autenticación Web esté enumerada en la página.

    2. Asegúrese de que activen al estado del administrador para la red inalámbrica (WLAN).

    3. Asegúrese de la política de seguridad para la red-Auth de las demostraciones de la red inalámbrica (WLAN).

      external-web-radius-21.gif

  2. Haga clic el menú de seguridad del GUI WLC.

    1. Asegúrese de que Cisco ACS seguro (10.77.244.196) esté enumerado en la página.

    2. Asegúrese de que el cuadro del usuario de la red esté controlado.

    3. Asegúrese de que el puerto sea 1812 y que activan al estado del administrador.

      external-web-radius-22.gif

Troubleshooting

Hay muchas razones por las que una autenticación Web no es acertada. La autenticación Web del troubleshooting del documento en un regulador LAN de la Tecnología inalámbrica (WLC) explica claramente esas razones detalladamente.

Comandos para resolución de problemas

Nota: Refiera a la información importante en los comandos Debug antes de que usted utilice estos comandos debug.

Telnet en el WLC y publica estos comandos de resolver problemas la autenticación:

  • debug aaa all enable 

    Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Successful transmission of Authentic
ation Packet (id 1) to 10.77.244.196:1812, proxy state 00:40:96:ac:dd:05-00:01
Fri Sep 24 13:59:52 2010: 00000000: 01 01 00 73 00 00 00 00  00 00 00 00 00 00 0
0 00  ...s............
Fri Sep 24 13:59:52 2010: 00000010: 00 00 00 00 01 07 75 73  65 72 31 02 12 93 c
3 66  ......user1....f
Fri Sep 24 13:59:52 2010: 00000030: 75 73 65 72 31
      user1
Fri Sep 24 13:59:52 2010: ****Enter processIncomingMessages: response code=2
Fri Sep 24 13:59:52 2010: ****Enter processRadiusResponse: response code=2
Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Access-Accept received from RADIUS s
erver 10.77.244.196 for mobile 00:40:96:ac:dd:05 receiveId = 0
Fri Sep 24 13:59:52 2010: AuthorizationResponse: 0x12238db0
Fri Sep 24 13:59:52 2010:       structureSize................................89
Fri Sep 24 13:59:52 2010:       resultCode...................................0
Fri Sep 24 13:59:52 2010:       protocolUsed.................................0x0
0000001
Fri Sep 24 13:59:52 2010:       proxyState...................................00:
40:96:AC:DD:05-00:00
Fri Sep 24 13:59:52 2010:       Packet contains 2 AVPs:
Fri Sep 24 13:59:52 2010:           AVP[01] Framed-IP-Address...................
.....0xffffffff (-1) (4 bytes)
Fri Sep 24 13:59:52 2010:           AVP[02] Class...............................
.....CACS:0/5183/a4df4ce/user1 (25 bytes)
Fri Sep 24 13:59:52 2010: Authentication failed for user1, Service Type: 0
Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Applying new AAA override for statio
n 00:40:96:ac:dd:05
Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Override values for station 00:40:96
:ac:dd:05
                source: 48, valid bits: 0x1
        qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1

dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                vlanIfName: '',
aclName:
Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Unable to apply override policy for
station 00:40:96:ac:dd:05 - VapAllowRadiusOverride is FALSE
Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Sending Accounting request (0) for s
tation 00:40:96:ac:dd:05
Fri Sep 24 13:59:52 2010: AccountingMessage Accounting Start: 0x1500501c
Fri Sep 24 13:59:52 2010:       Packet contains 12 AVPs:
Fri Sep 24 13:59:52 2010:           AVP[01] User-Name...........................
.....user1 (5 bytes)
Fri Sep 24 13:59:52 2010:           AVP[02] Nas-Port............................
.....0x00000002 (2) (4 bytes)
Fri Sep 24 13:59:52 2010:           AVP[03] Nas-Ip-Address......................
.....0x0a4df4ce (172881102) (4 bytes)
Fri Sep 24 13:59:52 2010:           AVP[04] Framed-IP-Address...................
.....0x0a4df4c7 (172881095) (4 bytes)

  • permiso del detalle aaa de la depuración

Los intentos de autenticación fallados se enumeran en el menú localizado en los informes y la actividad > los intentos fallidos.

Información Relacionada

Revision History

Revision Publish Date Comments
1.0
28-Sep-2010
Initial Release

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Discusiones relacionadas con la comunidad de Cisco

Este documento se aplica a estos productos

Acerca de Cisco
Contáctenos
Trabaje con Nosotros