El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe la integración del controlador de LAN inalámbrica (WLC) Catalyst 9800 con Aruba ClearPass para proporcionar un identificador de conjunto de servicios inalámbricos de invitado (SSID).
Esta guía asume que estos componentes se han configurado y verificado:
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
La integración de la implementación del WLC Catalyst 9800 utiliza la autenticación web central (CWA) para clientes inalámbricos en una implementación de punto de acceso (AP) en modo Flexconnect.
El portal de invitados admite la autenticación inalámbrica de invitados con una página de política de usuario aceptable (AUP) anónima, alojada en Aruba Clearpass en un segmento de zona desmilitarizada segura (DMZ).
El diagrama transmite los detalles de los intercambios de acceso Wifi de invitado antes de que se permita al usuario invitado acceder a la red:
1. El usuario invitado se asocia con el Wifi invitado en una oficina remota.
2. El C9800 convierte en proxy la solicitud de acceso RADIUS inicial al servidor RADIUS.
3. El servidor busca la dirección MAC de invitado proporcionada en la base de datos de terminales MAC local.
Si no se encuentra la dirección MAC, el servidor responde con un perfil de omisión de autenticación MAC (MAB). Esta respuesta RADIUS incluye:
4. El cliente pasa por el proceso de aprendizaje de IP donde se le asigna una dirección IP.
5. C9800 pasa el cliente invitado (identificado por su dirección MAC) al estado 'Pendiente de autenticación web'.
6. La mayoría de los sistemas operativos de dispositivos modernos en asociación con las WLAN de invitados realizan algún tipo de detección de portal cautivo.
El mecanismo de detección exacto depende de la implementación específica del sistema operativo. El sistema operativo del cliente abre un cuadro de diálogo emergente (pseudonavegador) con una página redirigida por C9800 a la URL del portal de invitados alojada en el servidor RADIUS proporcionado como parte de la respuesta de aceptación de acceso de RADIUS.
7. El Usuario invitado acepta los Términos y condiciones en la ventana emergente ClearPass establece un indicador para la dirección MAC del cliente en su Base de datos de terminales (DB) para indicar que el cliente ha completado una autenticación e inicia un Cambio de autorización (CoA) RADIUS, mediante la selección de una interfaz basada en la tabla de routing (si hay varias interfaces presentes en ClearPass).
8. El WLC pasa el cliente invitado al estado "Run" y el usuario tiene acceso a Internet sin más redireccionamientos.
Nota: Para ver el diagrama de flujo de estado del controlador inalámbrico de anclaje externo Cisco 9800 con RADIUS y el portal de invitados alojado externamente, consulte la sección Apéndice de este artículo.
En una implementación empresarial típica con varias sucursales, cada sucursal se configura para proporcionar acceso seguro y segmentado a los invitados a través de un portal de invitados una vez que el invitado acepta el EULA.
En este ejemplo de configuración, 9800 CWA se utiliza para el acceso de invitados mediante la integración a una instancia ClearPass independiente implementada exclusivamente para usuarios invitados en la DMZ segura de la red.
Los invitados deben aceptar los términos y condiciones establecidos en el portal emergente de consentimiento web proporcionado por el servidor DMZ ClearPass. Este ejemplo de configuración se centra en el método Anonymous Guest Access (es decir, no se requiere ningún nombre de usuario/contraseña de invitado para autenticarse en el portal de invitados).
El flujo de tráfico que corresponde a esta implementación se muestra en la imagen:
1. RADIUS - fase MAB
2. Redirección de URL de cliente invitado al portal de invitados
3. Después de la aceptación de invitado de EULA en el portal de invitados, RADIUS CoA Reauthenticate se emite desde CPPM a 9800 WLC
4. El huésped tiene acceso a Internet
Nota: para fines de demostración de laboratorio, se utiliza una instancia de servidor CPPM de Aruba única/combinada para servir a las funciones de servidor de acceso a la red (NAS) SSID de invitado y de cuerpo. La implementación de prácticas recomendadas sugiere instancias de NAS independientes.
En este ejemplo de configuración, se aprovecha un nuevo modelo de configuración en C9800 para crear los perfiles y etiquetas necesarios para proporcionar acceso corporativo dot1x y acceso de invitado CWA a la sucursal empresarial. La configuración resultante se resume en esta imagen:
Nota: Acerca del Id. de bug Cisco CSCvh03827, asegúrese de que los servidores de Autenticación, Autorización y Contabilización (AAA) definidos no estén balanceados por carga, ya que el mecanismo depende de la persistencia de Id. de sesión en los intercambios WLC a ClearPass RADIUS.
Paso 1. Agregue los servidores DMZ Aruba ClearPass a la configuración del WLC 9800 y cree una lista de métodos de autenticación. Desplácese hastaConfiguration > Security > AAA > Servers/Groups > RADIUS > Servers > +Add
e introduzca la información del servidor RADIUS.
Paso 2. Defina el grupo de servidores AAA para invitados y asigne el servidor configurado en el paso 1 a este grupo de servidores. Desplácese hastaConfiguration > Security > AAA > Servers/Groups > RADIUS > Groups > +Add
.
Paso 3. Defina una lista de métodos de autorización para el acceso de invitado y asigne el grupo de servidores creado en el paso 2. Desplácese hastaConfiguration > Security > AAA > AAA Method List > Authorization > +Add
. ElijaType Network
y configureAAA Server Group
en el paso 2.
Paso 4. Cree una lista de métodos de contabilidad para el acceso de invitado y asigne el grupo de servidores creado en el paso 2. Desplácese hastaConfiguration > Security > AAA > AAA Method List > Accounting > +Add
. ElijaType Identity
en el menú desplegable y, a continuación,AAA Server Group
configure en el paso 2.
La ACL de redirección define qué tráfico debe redirigirse al portal de invitados en lugar de permitir que pase sin redirección. En este caso, la negación de ACL implica la omisión de la redirección o el paso a través, mientras que permit implica la redirección al portal. Para cada clase de tráfico, debe tener en cuenta la dirección del tráfico al crear entradas de control de acceso (ACE) y ACE que coincidan con el tráfico de entrada y de salida.
Desplácese hastaConfiguration > Security > ACL
y defina una nueva ACL denominadaCAPTIVE_PORTAL_REDIRECT
. Configure la ACL con estas ACE:
Paso 1. Desplácese hastaConfiguration > Tags & Profiles > Wireless > +Add
. Cree un nuevo perfil de SSID WP_Guest, con la difusión de SSID 'Guest' con el que los clientes invitados se asocian.
En el mismoAdd WLAN
cuadro de diálogo, vaya a laSecurity > Layer 2
Ficha.
- Modo de seguridad de capa 2: Ninguno
- Filtrado de MAC: activado
- Lista de autorización: AAA_Authz_CPPM en el menú desplegable (configurado en el paso 3 como parte de la configuración AAA)
En C9800 WLC GUI, navegue hastaConfiguration > Tags & Profiles > Policy > +Add
.
Nombre: PP_Invitado
Estado: habilitado
Switching central: desactivado
Autenticación central: habilitada
DHCP central: desactivado
Asociación central: Desactivada
Navegue hasta laAccess Policies
pestaña en el mismoAdd Policy Profile
diálogo.
- Perfiles RADIUS: Habilitado
- Grupo VLAN/VLAN: 210 (es decir, VLAN 210 es la VLAN local de invitado en cada sucursal)
Nota: La VLAN de invitado para Flex no debe definirse en el WLC 9800 en VLAN, en el número de VLAN del tipo VLAN del grupo VLAN/VLAN.
Defecto conocido: el ID de bug Cisco CSCvn48234 hace que el SSID no se transmita si la misma VLAN de invitado Flex se define en el WLC y en el perfil Flex.
En el mismoAdd Policy Profile
cuadro de diálogo, desplácese a laAdvanced
ficha.
- Permitir anulación de AAA: habilitado
- Estado de NAC: habilitado
- Tipo de NAC: RADIUS
- Lista de Contabilidad: AAA_Accounting_CPPM (definida en el paso 4 como parte de la configuración de AAA)
Nota: se requiere 'Network Admission Control (NAC) State - Enable' para habilitar el WLC C9800 para aceptar los mensajes CoA de RADIUS.
En la GUI de C9800, vaya aConfiguration > Tags & Profiles > Tags > Policy > +Add
.
- Nombre: PT_CAN01
- Descripción: Etiqueta de política para la sucursal CAN01
En el mismo cuadro de diálogoAdd Policy Tag
, enWLAN-POLICY MAPS
, haga clic en+Add
y asigne el perfil WLAN creado anteriormente al perfil de política:
- Perfil WLAN: WP_Guest
- Perfil de política: PP_Guest
En C9800 WLC GUI, navegue hastaConfiguration > Tags & Profiles > AP Join > +Add
.
- Nombre: Branch_AP_Profile
- Servidor NTP: 10.0.10.4 (consulte el diagrama de topología de laboratorio). Este es el servidor NTP que utilizan los AP en la sucursal para sincronizar.
Los perfiles y las etiquetas son modulares y se pueden reutilizar para varios sitios.
En el caso de la implementación de FlexConnect, si se utilizan los mismos ID de VLAN en todas las sucursales, puede volver a utilizar el mismo perfil flexible.
Paso 1. En una GUI de C9800 WLC, navegue hastaConfiguration > Tags & Profiles > Flex > +Add
.
- Nombre: FP_Branch
- ID de VLAN nativa: 10 (solo se requiere si tiene una VLAN nativa no predeterminada en la que desea tener una interfaz de administración de AP)
En el mismoAdd Flex Profile
cuadro de diálogo, desplácese a laPolicy ACL
ficha y haga clic en+Add
.
- Nombre de ACL: CAPTIVE_PORTAL_REDIRECT
- Autenticación web central: habilitada
En una implementación de Flexconnect, se espera que cada AP administrado descargue la ACL de redirección localmente ya que la redirección ocurre en el AP y no en el C9800.
En el mismoAdd Flex Profile
cuadro de diálogo, vaya a laVLAN
ficha y haga clic en+Add
(consulte el diagrama de topología de laboratorio).
- Nombre de VLAN: invitado
- ID de VLAN: 210
En la GUI del 9800 WLC, navegue hastaConfiguration > Tags & Profiles > Tags > Site > Add
.
Nota: cree una etiqueta de sitio única para cada sitio remoto que admita los dos SSID inalámbricos, tal como se describe a continuación.
Existe una asignación 1-1 entre una ubicación geográfica, una etiqueta de sitio y una configuración de perfil flexible.
Un sitio de conexión flexible debe tener un perfil de conexión flexible asociado. Puede disponer de un máximo de 100 puntos de acceso para cada sitio de Flex Connect.
- Nombre: ST_CAN01
- Perfil de unión a PA: Branch_AP_Profile
- Perfil flexible: FP_Branch
- Activar sitio local: desactivado
En la GUI del 9800 WLC, navegue hastaConfiguration > Tags & Profiles > Tags > RF > Add
.
- Nombre: Branch_RF
- Perfil de radiofrecuencia (RF) de banda de 5 GHz: Typical_Client_Density_5gh (opción definida por el sistema)
- Perfil de RF de banda de 2,4 GHz: Typical_Client_Density_2gh (opción definida por el sistema)
Hay dos opciones disponibles para asignar etiquetas definidas a AP individuales en la implementación:
- Asignación basada en nombre de AP, que aprovecha las reglas de regex que coinciden con los patrones del campo Nombre de AP (Configure > Tags & Profiles > Tags > AP > Filter
)
- Asignación basada en direcciones MAC Ethernet del punto de acceso (Configure > Tags & Profiles > Tags > AP > Static
)
En la implementación de producción con Cisco DNA Center, se recomienda encarecidamente utilizar DNAC y AP PNP Workflow o utilizar un método de carga masivo estático de valores separados por comas (CSV) disponible en 9800 para evitar la asignación manual por AP. Desplácese hastaConfigure > Tags & Profiles > Tags > AP > Static > Add
(observe laUpload File
opción).
- Dirección MAC del punto de acceso: <AP_ETHERNET_MAC>
- Nombre de etiqueta de directiva: PT_CAN01
- Nombre de la etiqueta del sitio: ST_CAN01
- Nombre de la etiqueta RF: Branch_RF
Nota: A partir de Cisco IOS® XE 17.3.4c, hay un máximo de 1000 reglas regex por limitación de controlador. Si el número de sitios de la implementación supera este número, se debe aprovechar la asignación estática por MAC.
Nota: como alternativa, para aprovechar el método de asignación de etiquetas basado en regex de nombre de AP, vaya aConfigure > Tags & Profiles > Tags > AP > Filter > Add
.
- Nombre: BR_CAN01
- Regex de nombre de AP: BR-CAN01-.(7) (Esta regla coincide con la convención de nombre de AP adoptada dentro de la organización. En este ejemplo, las etiquetas se asignan a los AP que tienen un campo AP Name que contiene 'BR_CAN01-' seguido de siete caracteres cualesquiera.)
- Prioridad: 1
- Nombre de etiqueta de directiva: PT_CAN01 (según se define)
- Nombre de la etiqueta del sitio: ST_CAN01
- Nombre de la etiqueta RF: Branch_RF
Para conocer las prácticas recomendadas y de producción basadas en la configuración de Aruba CPPM, póngase en contacto con su recurso local de HPE Aruba SE.
Aruba ClearPass se implementa mediante la plantilla Open Virtualization Format (OVF) en el servidor ESXi <> que asigna estos recursos:
Solicite una licencia de plataforma a través deAdministration > Server Manager > Licensing
. AgregarPlatform
Access
, yOnboard licenses
.
Desplácese hastaAdministration > Server Manager > Server Configuration
el servidor CPPM recién aprovisionado y selecciónelo.
- Nombre de host: cppm
- FQDN: cppm.example.com
- Verifique el direccionamiento IP y DNS del puerto de administración
Este certificado se utiliza cuando la página ClearPass Guest Portal se presenta a través de HTTPS a los clientes invitados que se conectan a la red Wi-Fi de invitados en la sucursal.
Paso 1. Cargue el certificado de la cadena de publicaciones de la CA.
Desplácese hastaAdministration > Certificates > Trust List > Add
.
- Uso: Habilitar otros
Paso 2. Crear solicitud de firma de certificado.
Desplácese hastaAdministration > Certificates > Certificate Store > Server Certificates > Usage: HTTPS Server Certificate
.
- Haga clic en el Create Certificate Signing Request
- Nombre común: CPPM
- Organización: cppm.example.com
Asegúrese de rellenar el campo SAN (debe haber un nombre común en SAN, así como IP y otros FQDN, según sea necesario). El formato es DNS
.
Paso 3. En la CA que elija, firme la CSR del servicio HTTPS de CPPM recién generado.
Paso 4. Desplácese hastaCertificate Template > Web Server > Import Certificate
.
- Tipo de certificado: Certificado de servidor
- Uso: certificado de servidor HTTP
- Archivo de certificado: Examine y elija el certificado de servicio HTTPS de CPPM firmado por la CA
Desplácese hastaConfiguration > Network > Devices > Add
.
- Nombre: WLC_9800_Branch
- Dirección IP o de subred: 10.85.54.99 (consulte el diagrama de topología de laboratorio)
- RADIUS Shared Cisco: <contraseña RADIUS WLC>
- Nombre del proveedor: Cisco
- Activar la autorización dinámica de RADIUS: 1700
Es muy importante establecer los valores de temporizador correctos en toda la configuración. Si los temporizadores no están ajustados, es probable que se encuentre con una redirección del portal web en ciclo con el cliente, no en 'Estado de ejecución'.
Temporizadores a los que prestar atención:
Guest > Configuration > Pages > Web Logins
.Edit
CPPM > Administration > Server Manager > Server Configuration
y seleccioneCPPM Server > Service Parameters
.
La configuración de CWA de ClearPass-side se compone de (3) puntos de servicio/fases:
Componente ClearPass |
Tipo de servicio |
Propósito |
1. Gestor de políticas |
Servicio: autenticación Mac |
Si el atributo personalizado |
2. Invitado |
Inicios de sesión web |
Presente la página AUP de inicio de sesión anónimo. |
3. Gestor de políticas |
Servicio: autenticación basada en Web |
Actualizar terminal a |
Cree un atributo de metadatos de tipo Booleano para realizar un seguimiento del estado del punto final de invitado mientras el cliente realiza transiciones entre los estados 'Webauth pendiente' y 'Run':
- Los nuevos invitados que se conectan a Wifi tienen un atributo de metadatos predeterminado establecido en Allow-Guest-Internet=false. Según este atributo, la autenticación del cliente pasa a través del servicio MAB
- Cliente invitado cuando hace clic en el botón Aceptar AUP, tiene su atributo de metadatos actualizado para Permitir-Invitado-Internet=true. El MAB posterior basado en este atributo establecido en True permite el acceso no redirigido a Internet
Desplácese hastaClearPass > Configuration > Endpoints
, seleccione cualquier extremo de la lista, haga clic en laAttributes
ficha, agregueAllow-Guest-Internet
con el valorfalse
ySave
.
Nota: También puede editar el mismo terminal y eliminar este atributo inmediatamente después; este paso simplemente crea un campo en la base de datos de metadatos de terminales que se puede utilizar en políticas.
Cree un perfil de aplicación que se asigne al cliente invitado inmediatamente después de que el cliente acepte la AUP en la página Portal de invitados.
Desplácese hastaClearPass > Configuration > Profiles > Add
.
- Plantilla: Autorización dinámica de RADIUS
- Nombre: Cisco_WLC_Guest_COA
Radio:IETF |
Calling-Station-Id |
%{Radius:IETF:Calling-Station-Id} |
Radio:Cisco |
Cisco-AVPair |
subscriber:command=volver a autenticar |
Radio:Cisco |
Cisco-AVPair |
%{Radius:Cisco:Cisco-AVPair:subscriber:audit-session-id} |
Radio:Cisco |
Cisco-AVPair |
subscriber:reauthenticate-type=last-type=last |
Cree un perfil de aplicación que se aplique al invitado durante la fase MAB inicial, cuando la dirección MAC no se encuentre en la base de datos de terminales CPPM con 'Allow-Guest-Internet' establecido en 'true'.
Esto hace que el WLC 9800 redirija al cliente invitado al portal de invitados CPPM para la autenticación externa.
Desplácese hastaClearPass > Enforcement > Profiles > Add
.
- Nombre: Cisco_Portal_Redirect
- Tipo: RADIUS
- Acción: Aceptar
En el mismo cuadro de diálogo, en laAttributes
ficha, configure dos Atributos según esta imagen:
Elurl-redirect-acl
atributo se establece enCAPTIVE-PORTAL-REDIRECT
, que es el nombre de la ACL creada en C9800.
Nota: Sólo la referencia a la ACL se pasa en el mensaje RADIUS, y no el contenido de la ACL. Es importante que el nombre de la ACL creada en el WLC 9800 coincida exactamente con el valor de este atributo RADIUS como se muestra.
Elurl-redirect
atributo se compone de varios parámetros:
La URL de la página de inicio de sesión web de invitado ClearPass se muestra al desplazarse aCPPM > Guest > Configuration > Pages > Web Logins > Edit
.
En este ejemplo, el nombre de la página Portal de invitados en CPPM se define comoiaccept
.
Nota: los pasos de configuración de la página Portal de invitados son los descritos.
Nota: para los dispositivos de Cisco, normalmenteaudit_session_id
se utiliza, pero no es compatible con otros proveedores.
Configure el perfil de aplicación para actualizar el atributo de metadatos de punto final que se utiliza para el seguimiento de transición de estado por CPPM.
Este perfil se aplica a la entrada de dirección MAC del cliente invitado en la base de datos de terminales y establece el
argumento en 'true'.Allow-Guest-Internet
Desplácese hastaClearPass > Enforcement > Profiles > Add
.
- Plantilla: Aplicación de actualización de entidad ClearPass
- Tipo: Post_Authentication
En el mismo cuadro de diálogo, laAttributes
ficha.
- Tipo: terminal
- Nombre: Allow-Guest-Internet
Nota: Para que este nombre aparezca en el menú desplegable, debe definir manualmente este campo para al menos un terminal, como se describe en los pasos.
- Valor: true
Desplácese hastaClearPass > Enforcement > Policies > Add
.
- Nombre: WLC Cisco Guest Allow
- Tipo de aplicación: RADIUS
- Perfil predeterminado: Cisco_Portal_Redirect
En el mismo cuadro de diálogo, desplácese a laRules
ficha y haga clic enAdd Rule
.
- Tipo: terminal
- Nombre: Allow-Guest-Internet
- Operador: EQUALS
- Valor verdadero
- Nombres de perfil / Agregar: [RADIUS] [Permitir perfil de acceso]
Desplácese hastaClearPass > Enforcement > Policies > Add
.
- Nombre: Política de aplicación de Cisco WLC Webauth
- Tipo de aplicación: WEBAUTH (SNMP/Agent/CLI/CoA)
- Perfil predeterminado: [RADIUS_CoA] Cisco_Reauthenticate_Session
En el mismo cuadro de diálogo, desplácese hastaRules > Add
.
- Condiciones: Autenticación
- Nombre: Estado
- Operador: EQUALS
- Valor: Usuario
- Nombres de perfil: <add each>:
- [Autenticación posterior] [Actualización de terminal conocida]
- [Autenticación posterior] [Make-Cisco-Guest-Valid]
- [RADIUS_CoA] [Cisco_WLC_Guest_COA]
Nota: Si se encuentra con un escenario con una ventana emergente continua del pseudonavegador de redirección del portal de invitados, es indicativo de que los temporizadores CPPM requieren ajustes o que los mensajes RADIUS CoA no se intercambian correctamente entre CPPM y 9800 WLC. Verifique estos sitios.
- Desplácese hastaCPPM > Monitoring > Live Monitoring > Access Tracker
y asegúrese de que la entrada del registro RADIUS contenga los detalles de RADIUS CoA.
- En9800 WLC
, navegue hastaTroubleshooting > Packet Capture
, habilite PCAP en la interfaz donde se espera la llegada de los paquetes CoA de RADIUS y verifique que los mensajes CoA de RADIUS se reciban del CPPM.
El servicio coincide en el par Valor de atributo (AV) Radius: Cisco | CiscoAVPair | cisco-wlan-ssid
Desplácese hastaClearPass > Configuration > Services > Add
.
Ficha Servicio:
- Nombre: GuestPortal - Mac Auth
- Tipo: autenticación MAC
- Más opciones: seleccione Autorización, terminales de perfil
Agregar regla de coincidencia:
- Tipo: Radio: Cisco
- Nombre: Cisco-AVPair
- Operador: EQUALS
- Valor: cisco-wlan-ssid=Invitado (coincida con el nombre SSID de invitado configurado)
Nota: 'Invitado' es el nombre del SSID de invitado transmitido por el WLC 9800.
En el mismo cuadro de diálogo, elija laAuthentication
ficha.
- Métodos de autenticación: Remove [MAC AUTH], Add [Allow All MAC AUTH]
- Orígenes de autenticación: [Repositorio de terminales][Base de datos SQL local], [Repositorio de usuarios invitados][Base de datos SQL local]
En el mismo cuadro de diálogo, elija laEnforcement
ficha.
- Política de aplicación: WLC Cisco Guest Allow
En el mismo cuadro de diálogo, elija laEnforcement
ficha.
Desplácese hastaClearPass > Enforcement > Policies > Add
.
- Nombre: Guest_Portal_Webauth
- Tipo: autenticación basada en Web
Mientras que en el mismo diálogo, en laEnforcement
pestaña, la Política de aplicación: Cisco WLC Webauth Política de aplicación.
Para la página Portal de invitados de AUP anónima, utilice un único nombre de usuario sin campo de contraseña.
El nombre de usuario que se utiliza debe tener estos campos definidos/definidos:
username_auth | Autenticación de nombre de usuario: | 1
Para establecer el campo 'username_auth' para un usuario, ese campo debe exponerse primero en el formulario 'edit user'. Desplácese hastaClearPass > Guest > Configuration > Pages > Forms
y elijacreate_user
formulario.
Elijavisitor_name
(fila 20) y haga clic enInsert After
.
Ahora cree el nombre de usuario para utilizarlo detrás de la página del portal de invitados de AUP.
Desplácese hastaCPPM > Guest > Guest > Manage Accounts > Create
.
- Nombre del invitado: GuestWiFi
- Nombre de la empresa: Cisco
- Correo electrónico: guest@example.com
- Autenticación de nombre de usuario: permitir el acceso de invitado con el uso de su nombre de usuario solamente: Habilitado
- Activación de la cuenta: ahora
- Vencimiento de la cuenta: la cuenta no caduca
- Términos de uso: Soy el patrocinador: Habilitado
Cree un formulario de inicio de sesión web. Desplácese hastaCPPM > Guest > Configuration > Web Logins
.
Nombre: Lab Anonymous Guest Portal
Nombre de página: iaccept
Configuración del proveedor: Aruba Networks
Método de inicio de sesión: iniciado por el servidor: cambio de autorización (RFC 3576) enviado al controlador
Autenticación: anónima: no requiere nombre de usuario ni contraseña
Usuario anónimo: GuestWifi
Términos: requiere una confirmación de los Términos y condiciones
Etiqueta de inicio de sesión: aceptar y conectar
URL predeterminada: www.example.com
Retraso de inicio de sesión: 6
Actualizar extremo: marque la dirección MAC del usuario como un extremo conocido
Avanzado: personalice los atributos almacenados con el terminal, los atributos del terminal en la sección posterior a la autenticación:
Nombre de usuario | Nombre de usuario
visitor_name | Nombre del visitante
cn | Nombre del visitante
visitor_phone | Teléfono del visitante
Correo electrónico | Correo electrónico
correo | Correo electrónico
nombre_patrocinador | Nombre del patrocinador
correo_electrónico_patrocinador | Correo electrónico del patrocinador
Allow-Guest-Internet | verdadero
En el CPPM, vaya aLive Monitoring > Access Tracker
.
El nuevo usuario invitado se conecta y activa el servicio MAB.
Ficha Resumen:
En el mismo cuadro de diálogo, vaya a laInput
Ficha.
En el mismo cuadro de diálogo, vaya a laOutput
Ficha.
A modo de referencia, aquí se presenta un diagrama de flujo de estado para las interacciones de controlador de anclaje externo de Cisco 9800 con el servidor RADIUS y el portal de invitados alojado externamente.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
2.0 |
22-Jul-2022 |
Versión inicial |
1.0 |
23-Jun-2022 |
Versión inicial |