Exemple de configuration d'authentification Web avec LDAP sur les contrôleurs de réseau local sans fil

Introduction

Ce document décrit comment installer un contrôleur LAN Sans fil (WLC) pour l'authentification Web. Il explique comment configurer un serveur de Protocole LDAP (Lightweight Directory Access Protocol) comme base de données principale pour que l'authentification Web récupère des identifiants utilisateurs et pour authentifie l'utilisateur.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Connaissance de la configuration des points d'accès légers (LAP) et des WLC Cisco

• La connaissance du contrôle et du ravitaillement du protocole de point d'accès sans fil (CAPWAP)

• La connaissance de la façon installer et configurer le Protocole LDAP (Lightweight Directory Access Protocol), le Répertoire actif et les contrôleurs de domaine

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Cisco 5508 WLC qui exécute la version de microprogramme 8.2.100.0

• RECOUVREMENT de gamme Cisco 1142

• Adaptateur client sans fil de Cisco 802.11a/b/g.

• Serveur d'essentiel de Microsoft Windows 2012 qui exécute le rôle du serveur LDAP

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Procédé d'authentification Web

L'authentification Web est une fonctionnalité de sécurité de la couche 3 qui fait rejeter le contrôleur le trafic IP (excepté le DHCP et les paquets liés aux dn) d'un client particulier jusqu'à ce que ce client ait correctement fourni un nom d'utilisateur valide et un mot de passe. Quand vous employez l'authentification Web pour authentifier des clients, vous devez définir un nom d'utilisateur et mot de passe pour chaque client. Puis, quand la tentative de clients de joindre le RÉSEAU LOCAL Sans fil, ils doit écrire le nom d'utilisateur et mot de passe quand incité par une page de connexion.

Quand l'authentification Web est activée (sous le degré de sécurité de couche 3), les utilisateurs reçoivent de temps en temps une alerte sécurité de web browser la première fois qu'ils tentent d'accéder à un URL.

Conseil : Pour enlever cet avertissement de certificat, revenez à s'il vous plaît le guide suivant sur la façon dont installer un http://www.cisco.com/c/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/109597-csr-chained-certificates-wlc-00.html de certificat de confiance de tiers

Après que vous cliquiez sur oui pour poursuivre (ou continuer plus avec précision à ce site Web (non recommandé) pour le navigateur Firefox par exemple), ou si le navigateur du client n'affiche pas une alerte sécurité, le système d'authentification Web réoriente le client à une page de connexion, suivant les indications de l'image :

La page de connexion par défaut contient un texte de logo Cisco et de Cisco-particularité. Vous pouvez choisir d'avoir l'affichage un de système d'authentification Web de ces derniers :

• La page de connexion par défaut

• Une version modifiée de la page de connexion par défaut

• Une page de connexion personnalisée que vous configurez sur un web server externe

• Une page de connexion personnalisée que vous téléchargez au contrôleur

Quand vous entrez un nom d'utilisateur valide et un mot de passe sur la page de connexion d'authentification Web et cliquez sur Submit, vous êtes authentifié avez basé sur les qualifications soumises et une authentification réussie de la base de données principale (LDAP dans ce cas). Le système d'authentification Web alors affiche une page de connexion réussie et réoriente le client authentifié à l'URL demandée.

La page de connexion réussie par défaut contient un pointeur à un URL virtuel d'adresse de passerelle : https://1.1.1.1/logout.html. L'adresse IP que vous placez pour l'interface virtuelle de contrôleur sert d'adresse de réorientation à la page de connexion.

Ce document explique comment utiliser la page Web interne sur le WLC pour l'authentification Web. Cet exemple utilise un serveur LDAP comme base de données principale pour que l'authentification Web récupère des identifiants utilisateurs et pour authentifie l'utilisateur.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Configurations

Terminez-vous ces étapes afin d'implémenter avec succès cette installation :

• Configurez le serveur LDAP.

• Configurez WLC pour le serveur LDAP.

• Configurez le WLAN pour l'authentification Web.

Configurez le serveur LDAP

La première étape est de configurer le serveur LDAP, qui sert de base de données principale pour enregistrer des identifiants utilisateurs des clients sans fil. Dans cet exemple, le serveur d'essentiel de Microsoft Windows 2012 est utilisé en tant que serveur LDAP.

La première étape dans la configuration du serveur LDAP est de créer une base de données utilisateur sur le serveur LDAP de sorte que le WLC puisse questionner cette base de données pour authentifier l'utilisateur.

Créez les utilisateurs sur le contrôleur de domaine

Une unité organisationnelle (OU) contient les plusieurs groupes qui portent des références aux entrées personnelles dans un PersonProfile. Une personne peut être un membre de plusieurs groupes. Toutes les classe d'objets et définitions d'attribut sont par défaut de schéma de LDAP. Chaque groupe contient des références (dn) pour chaque personne qui appartient à lui.

Dans cet exemple, une nouvelle OU LDAP-USERS est créée, et l'utilisateur User1 est créé sous cette OU. Quand vous configurez cet utilisateur pour l'accès de LDAP, le WLC peut questionner cette base de données de LDAP pour l'authentification de l'utilisateur.

Le domaine utilisé dans cet exemple est CISCOSYSTEMS.local.

Créez une base de données utilisateur sous une OU

Cette section explique comment créer une nouvelle OU dans votre domaine et créer un nouvel utilisateur sur cette OU.

1. Windows ouvert PowerShell et type servermanager.exe

2. Dans la fenêtre du gestionnaire de serveur, cliquez sur en fonction l'AD DS. Cliquez avec le bouton droit alors votre nom du serveur pour choisir des utilisateurs et des ordinateurs de Répertoire actif.

3. Cliquez avec le bouton droit votre nom de domaine, qui est CISCOSYSTEMS.local dans cet exemple, et puis naviguez vers nouveau > unité organisationnelle du menu contextuel afin de créer une nouvelle OU.
   
   

   

4. Assignez un nom à cette OU et cliquez sur OK, suivant les indications de l'image :

Maintenant que la nouvelle OU LDAP-USERS est créée sur le serveur LDAP, l'étape suivante est de créer l'utilisateur User1 sous cette OU. Afin de réaliser ceci, terminez-vous ces étapes :

1. Cliquez avec le bouton droit la nouvelle OU créée. Naviguez vers LDAP-USERS> nouveau > utilisateur des menus contextuels résultants afin de créer un nouvel utilisateur, suivant les indications de l'image :
   
   

2. Dans la page d'installation utilisateur, complétez les champs requis suivant les indications de cet exemple. Cet exemple a User1 dans le domaine de nom de connexion d'utilisateur.

   C'est le nom d'utilisateur qui est vérifié dans la base de données de LDAP pour authentifier le client. Cet exemple utilise User1 dans le prénom et les domaines de nom complet. Cliquez sur Next (Suivant).
   
   

   
   

3. Entrez un mot de passe et confirmez le mot de passe. Choisissez le mot de passe n'expire jamais et clique sur Next.
   
   

   
   

4. Cliquez sur Finish (Terminer).

   Un nouvel utilisateur User1 est créé sous l'OU LDAP-USERS. Ce sont les identifiants utilisateurs :

   • nom d'utilisateur : User1

   • mot de passe : Laptop123
     
     

     

   Maintenant que l'utilisateur est créé sous une OU, l'étape suivante est de configurer cet utilisateur pour l'accès de LDAP.

Configurez l'utilisateur pour le LDAP Access

Vous pouvez choisir anonyme ou authentifié pour spécifier la méthode de grippage d'authentification locale pour le serveur LDAP. La méthode anonyme permet l'accès anonyme au serveur LDAP. La méthode authentifiée exige qu'un nom d'utilisateur et mot de passe à entrer à l'accès sécurisé. La valeur par défaut est Anonymous.

Cette section explique comment configurer des méthodes anonymes et authentifiées.

Grippage anonyme

Remarque: Utilisant le grippage anonyme n'est pas recommandé. Un serveur LDAP qui permet le grippage anonyme n'a besoin d'aucun type d'authentification credentialed. Un attaquant a pu tirer profit de l'entrée anonyme de grippage pour visualiser des fichiers sur le directeur de LDAP.

Exécutez les étapes dans cette section afin de configurer l'utilisateur anonyme pour l'accès de LDAP.

Caractéristique anonyme de grippage d'enable sur le serveur d'essentiel de Windows 2012

Pour toutes les applications tierces (dans notre cas WLC) d'accéder à l'AD de Windows 2012 sur le LDAP, la caractéristique anonyme de grippage doit être activée sur Windows 2012. Par défaut, on ne permet pas des exécutions anonymes de LDAP sur Windows 2012 contrôleurs de domaine. Exécutez ces étapes afin d'activer la caractéristique anonyme de grippage :

1. Lancez l'ADSI éditent l'outil en tapant : ADSIEdit.msc dans Windows PowerShell. Cet outil fait partie de Windows 2012 outils d'assistance.
   
   

2. Dans l'ADSI éditez la fenêtre, développent le domaine de racine (configuration [WIN-A0V2BU68LR9.CISCOSYSTEMS.local]).

   Naviguez vers CN=Services > CN= Windows NT > service de CN=Directory. Cliquez avec le bouton droit le conteneur de service de CN=Directory, et choisissez Properties du menu contextuel, suivant les indications de l'image :
   
   

3. Dans le CN=Directory entretenez la fenêtre de Properties, sous des attributs, clic l'attribut de dsHeuristics sous le champ d'attribut et choisissez éditent. Dans la fenêtre d'éditeur d'attribut de chaîne de cet attribut, écrivez la valeur 0000002 ; cliquez sur Apply et APPROUVEZ, suivant les indications de l'image. La caractéristique anonyme de grippage est activée sur le serveur de Windows 2012.

   Remarque: Le dernier (septième) caractère est celui qui contrôle la manière que vous pouvez lier au service de LDAP. 0 (zéro) ou aucun septièmes caractères ne signifient que des exécutions anonymes de LDAP sont désactivées. Si vous placez le septième caractère à 2, il active la caractéristique anonyme de grippage.

   

Octroi de la CONNEXION ANONYME Access à l'utilisateur

L'étape suivante est d'accorder l'accès ANONYME de CONNEXION à l'utilisateur User1. Terminez-vous ces étapes afin de réaliser ceci :

1. Ouvrez les utilisateurs et les ordinateurs de Répertoire actif.
   
   

2. Assurez-vous que la fonctionnalité avancée de vue est vérifiée.
   
   

3. Naviguez vers l'utilisateur User1 et cliquez avec le bouton droit-le. Choisissez Properties du menu contextuel. Cet utilisateur est identifié avec le prénom User1.
   
   

   

4. Cliquez sur l'onglet Sécurité, suivant les indications de l'image :
   
   
   
   

5. Cliquez sur Add dans la fenêtre résultante.
   
   

6. Écrivez la CONNEXION ANONYME sous l'entrer les noms d'objet pour sélectionner la case et pour reconnaître le dialogue, suivant les indications de l'image :
   
   
   
   

7. Dans l'ACL, notez que la CONNEXION ANONYME a accès à quelques ensembles de propriété de l'utilisateur. Cliquez sur OK. On accorde l'accès ANONYME de CONNEXION à cet utilisateur, suivant les indications de l'image :

La liste de Grant contente l'autorisation sur l'OU

L'étape suivante est d'accorder au moins l'autorisation de contenu de liste à la CONNEXION ANONYME sur l'OU à laquelle l'utilisateur se trouve. Dans cet exemple, User1 se trouve sur l'OU LDAP-USERS. Terminez-vous ces étapes afin de réaliser ceci :

1. Dans des utilisateurs et des ordinateurs de Répertoire actif, cliquez avec le bouton droit l'OU LDAP-USERS et choisissez Properties, suivant les indications de l'image :
   
   

   

2. Cliquez sur Security.
   
   

3. Cliquez sur Add. Dans le dialogue qui s'ouvre, écrivez la CONNEXION ANONYME et reconnaissez le dialogue, suivant les indications de l'image :
   
   

   

Grippage authentifié

Exécutez les étapes dans cette section afin de configurer un utilisateur pour l'authentification locale au serveur LDAP.

1. Windows ouvert PowerShell et type servermanager.exe
   
   
2. Dans la fenêtre du gestionnaire de serveur, cliquez sur en fonction l'AD DS. Cliquez avec le bouton droit alors votre nom du serveur pour choisir des utilisateurs et des ordinateurs de Répertoire actif.
   
   
3. Utilisateurs de clic droit. Naviguez vers nouveau > utilisateur des menus contextuels résultants afin de créer un nouvel utilisateur.
   
   
   
   

4. Dans la page d'installation utilisateur, complétez les champs requis suivant les indications de cet exemple. Cet exemple a le WLC-admin dans le domaine de nom de connexion d'utilisateur. C'est le nom d'utilisateur à utiliser pour l'authentification locale au serveur LDAP. Cliquez sur Next (Suivant).
   
   

5. Entrez un mot de passe et confirmez le mot de passe. Choisissez le mot de passe n'expire jamais et clique sur Next.
   
   

6. Cliquez sur Finish (Terminer).

   Un nouvel WLC-admin d'utilisateur est créé sous le conteneur d'utilisateurs. Ce sont les identifiants utilisateurs :

   • nom d'utilisateur : WLC-admin

   • mot de passe : Admin123

Octroi des privilages d'administrateur au WLC-admin

Maintenant que l'utilisateur d'authentification locale est créé, nous devons lui accorder des privilages d'administrateur. Terminez-vous ces étapes afin de réaliser ceci :

1. Ouvrez les utilisateurs et les ordinateurs de Répertoire actif.
   
   

2. Assurez-vous que la fonctionnalité avancée de vue est vérifiée.
   
   

3. Naviguez vers le WLC-admin d'utilisateur et cliquez avec le bouton droit-le. Choisissez Properties du menu contextuel, suivant les indications de l'image. Cet utilisateur est identifié avec le WLC-admin de prénom.
   
   
   
   

4. Cliquez sur le membre de l'onglet, suivant les indications de l'image :
   
   
   : :
5. Cliquez sur Add. Dans le dialogue qui s'ouvre, présentez les administrateurs et cliquez sur OK, suivant les indications de l'image :
   
   

Utilisation LDP d'identifier les attributs d'utilisateur

Cet outil GUI est un client de LDAP telles que lequel permet à des utilisateurs pour exécuter des exécutions, se connectent, lient, les recherchent, modifient, ajoutent, ou suppriment, contre n'importe quel répertoire LDAP-compatible, tel que le Répertoire actif. Le LDP est utilisé aux vues standard qui sont enregistrées dans le Répertoire actif avec leurs métadonnées, telles que des descripteurs de Sécurité et des métadonnées de réplication.

L'outil GUI LDP est inclus quand vous installez les outils d'assistance des Windows Server 2003 du CD de produit. Cette section explique comment employer l'utilitaire LDP pour identifier les attributs spécifiques associés à l'utilisateur User1. Certains de ces attributs sont utilisés pour compléter les paramètres de configuration de serveur LDAP sur le WLC, tel que le type d'attribut d'utilisateur et le type d'objet utilisateur.

1. Sur le serveur de Windows 2012 (même sur le même serveur LDAP), ouvrez Windows PowerShell et écrivez le LDP afin d'accéder au navigateur LDP.
   
   

2. Dans la fenêtre principale LDP, naviguez vers la connexion > se connectent et se connectent au serveur LDAP quand vous écrivez l'adresse IP du serveur LDAP, suivant les indications de l'image.
   
   

   
   

3. Une fois connecté au serveur LDAP, choisissez la vue du menu principal et cliquez sur l'arborescence, suivant les indications de l'image :
   
   

   
   

4. Dans la fenêtre résultante de vue d'arborescence, entrez dans le baseDN de l'utilisateur. Dans cet exemple, User1 se trouve sous l'OU « LDAP-USERS » sous le domaine CISCOSYSTEMS.local. Cliquez sur OK, suivant les indications de l'image :
   
   

   
   

5. Le côté gauche du navigateur LDP affiche l'arborescence entière qui apparaît sous le baseDN spécifié (OU=LDAP-USERS, dc=CISCOSYSTEMS, dc=local). Développez l'arborescence pour localiser l'utilisateur User1. Cet utilisateur peut être identifié avec la valeur NC qui représente le premier nom d'utilisateur. Dans cet exemple, c'est CN=User1. Double clic CN=User1. Dans le volet de côté droit du navigateur LDP, le LDP affiche tous les attributs associés avec User1, suivant les indications de l'image :
   
   

   
   

6. Quand vous configurez le WLC pour le serveur LDAP, dans le domaine d'attribut d'utilisateur, écrivez le nom de l'attribut dans l'article utilisateur qui contient le nom d'utilisateur. De cette sortie LDP, vous pouvez voir que le sAMAccountName est un attribut qui contient le nom d'utilisateur "User1," ainsi écrivent l'attribut de sAMAccountName qui correspond au champ d'attribut d'utilisateur sur le WLC.
   
   

7. Quand vous configurez le WLC pour le serveur LDAP, dans le champ User Object Type, écrivez la valeur de l'attribut de LDAP objectType qui identifie l'enregistrement en tant qu'utilisateur. Souvent, les enregistrements utilisateur ont plusieurs valeurs pour l'attribut objectType, certains étant propres à l'utilisateur et certains étant partagés avec d'autres types d'objet. Dans la sortie LDP, CN=Person est une valeur qui identifie l'enregistrement en tant qu'utilisateur, ainsi spécifient la personne comme attribut de type d'objet utilisateur sur le WLC.

   L'étape suivante est de configurer le WLC pour le serveur LDAP.

Configurez WLC pour le serveur LDAP

Maintenant que le serveur LDAP est configuré, l'étape suivante est de configurer le WLC avec des coordonnées du serveur LDAP. Terminez-vous ces étapes sur le GUI WLC :

Remarque: Ce document suppose que WLC est configuré pour les opérations de base et que les LAP sont enregistrés au WLC. Si vous êtes un nouvel utilisateur qui veut installer le WLC pour le fonctionnement de base avec des recouvrements, référez-vous à l'enregistrement léger AP (RECOUVREMENT) à un contrôleur LAN Sans fil (WLC).

1. Dans la page de Sécurité du WLC, choisissez l'AAA > le LDAP du côté gauche du volet de charger afin de se déplacer à la page de configuration de serveur LDAP.

   

   Afin d'ajouter un serveur LDAP, cliquez sur New. La page LDAP Servers > New apparaît.

2. Dans les serveurs LDAP éditez la page, spécifient les coordonnées du serveur LDAP, telles que l'adresse IP du serveur LDAP, numéro de port, état de serveur d'enable, et ainsi de suite.

   • Choisissez un nombre de la liste déroulante d'index de serveur (priorité) pour spécifier la commande prioritaire de ce serveur par rapport à tous les autres serveurs LDAP configurés. Vous pouvez configurer jusqu'à dix-sept serveurs. Si le contrôleur ne peut pas atteindre le premier serveur, il essaye le second dans la liste et ainsi de suite.

   • Écrivez l'adresse IP du serveur LDAP dans le domaine d'adresse IP du serveur.

   • Introduisez le nombre de port TCP du serveur LDAP dans le domaine de numéro de port. La plage valide s'étend de 1 à 65535, et la valeur par défaut est 389.

   • pour le grippage simple, nous les avons utilisé authentifié, pour le nom d'utilisateur de grippage qui est l'emplacement de l'utilisateur d'admin WLC qui sera utilisé pour accéder au serveur LDAP et son mot de passe

   • Dans le champ User Base DN, entrez le nom distinctif (DN) du sous-arbre dans le serveur LDAP qui contient une liste de tous les utilisateurs. Par exemple, ou=unité organisationnelle, .ou=unité organisationnelle suivante et o=corporation.com. Si l'arborescence qui contient des utilisateurs est le DN de base, entrez dans o=corporation.com ou dc=corporation, dc=com.

     Dans cet exemple, l'utilisateur se trouve sous l'unité organisationnelle (OU) LDAP-USERS, qui, consécutivement, est créée en tant qu'élément du domaine lab.wireless.

     Le DN de base de clients doit diriger le chemin d'accès complet où les informations utilisateur (identifiant utilisateur selon la méthode d'authentification d'EAP-FAST) se trouvent. Dans cet exemple, l'utilisateur se trouve sous le DN de base OU=LDAP-USERS, DC=CISCOSYSTEMS, DC=local.

   • Dans le champ User Attribute, entrez le nom de l'attribut dans l'enregistrement utilisateur contenant le nom d'utilisateur.

     Dans le champ User Object Type, entrez la valeur de l'attribut LDAP objectType qui identifie l'enregistrement comme utilisateur. Souvent, les articles utilisateur ont plusieurs valeurs pour l'attribut d'objectType, certains dont sont seuls à l'utilisateur et certains dont sont partagés avec d'autres types d'objet

     Vous pouvez obtenir la valeur de ces deux champs de votre serveur de répertoire avec l'utilitaire de navigateur de LDAP qui est livré en tant qu'élément de Windows 2012 outils d'assistance. Cet outil de navigateur de LDAP de Microsoft s'appelle le LDP. À l'aide de cet outil, vous pouvez connaître le DN de base de clients, l'attribut d'utilisateur, et les champs User Object Types de cet utilisateur particulier. Les informations détaillées sur la façon dont employer le LDP pour connaître ces attributs spécifiques d'utilisateur sont discutées dans le LDP de utilisation pour identifier la section d'attributs d'utilisateur de ce document.

   • Dans le champ Server Timeout, écrivez le nombre de secondes entre les retransmissions. La plage valide s'étend de 2 à 30 secondes, et la valeur par défaut est de 2 secondes.

   • Cochez la case Enable Server Status pour activer ce serveur LDAP ou décochez-la pour le désactiver. Par défaut, cette option est désactivée.

   • Cliquez sur Apply pour valider les modifications. C'est un exemple déjà configuré avec ces informations :

   

3. Maintenant que des détails au sujet du serveur LDAP sont configurés sur le WLC, l'étape suivante est de configurer un WLAN pour l'authentification Web.

Configurez le WLAN pour l'authentification Web

La première étape est de créer un WLAN pour les utilisateurs. Procédez comme suit :

1. Cliquez sur WLANs depuis l'interface utilisateur graphique (GUI) du contrôleur afin de créer un WLAN.

   La fenêtre de WLAN s'affiche. Cette fenêtre répertorie les WLAN configurés sur le contrôleur.

2. Cliquez sur New pour configurer un nouveau WLAN.

   Dans cet exemple, le WLAN est nommé Web-Auth.

   

3. Cliquez sur Apply.

4. Dans la fenêtre WLAN > Edit, définissez les paramètres spécifiques au WLAN.

   

   • Cochez la case d'état pour activer le WLAN.

   • Pour le WLAN, choisissez l'interface appropriée du champ Interface Name.

     Cet exemple trace l'interface de gestion qui se connecte au Web-Auth WLAN.

5. Cliquez sur l'onglet Security. Dans le domaine de degré de sécurité de la couche 3, cochez la case de stratégie de Web, et choisissez l'option d'authentification.

   

   Cette option est choisie parce que l'authentification Web est utilisée pour authentifier les clients sans fil. Cochez la case Override Global Config pour activer par configuration d'authentification Web WLAN. Choisissez le type approprié d'authentification Web du menu déroulant authentique de type de Web. Cet exemple utilise l'authentification de Web interne.

   Remarque: L'authentification Web n'est pas prise en charge avec l'authentification de 802.1x. Ceci signifie que vous ne pouvez pas choisir le 802.1x ou un WPA/WPA2 avec le 802.1x comme degré de sécurité de la couche 2 quand vous utilisez l'authentification Web. L'authentification Web est prise en charge avec tous autres paramètres de degré de sécurité de la couche 2.

6. Cliquez sur les serveurs d'AAA que tableau choisissent le serveur LDAP configuré du menu déroulant de serveur LDAP. Si vous utilisez une base de données locale ou un serveur de RAYON, vous pouvez fixer l'authentication priority sous la commande d'authentication priority pour l'userfield de Web-auth.

   

7. Cliquez sur Apply.

   Remarque: Dans cet exemple, posez 2 méthodes de Sécurité pour authentifier des utilisateurs ne sont pas utilisés, ainsi n'en choisissez aucun dans le domaine de degré de sécurité de la couche 2.

Vérifiez

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Afin de vérifier cette installation, connectez un client sans fil et vérifiez si la configuration fonctionne comme prévu.

Le client sans fil monte, et l'utilisateur écrit l'URL, tel que www.yahoo.com, dans le navigateur Web. Puisque l'utilisateur n'a pas été authentifié, le WLC réoriente l'utilisateur à l'URL de procédure de connexion de Web interne.

L'utilisateur est incité pour les identifiants utilisateurs. Une fois que l'utilisateur soumet le nom d'utilisateur et mot de passe, la page de connexion prend l'entrée d'identifiants utilisateurs et, au moment soumet, envoie la demande de nouveau à l'exemple d'action_URL, http://1.1.1.1/login.html, du web server WLC. Ceci est fourni pendant qu'un paramètre d'entrée au client réorientent l'URL, où 1.1.1.1 est l'adresse d'interface virtuelle sur le commutateur.

Le WLC authentifie l'utilisateur contre la base de données utilisateur de LDAP. Après l'authentification réussie, le web server WLC l'un ou l'autre en avant l'utilisateur au configuré réorientent l'URL ou à l'URL par lequel le client a commencé, comme www.yahoo.com.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Utilisez ces commandes de dépanner votre configuration :

• debug mac addr <adresse-MAC-client xx: xx : xx : xx : xx : xx>

• debug aaa all enable

• enable d'état de debug pem

• debug pem events enable

• enable de message de debug dhcp

• enable de paquet de debug dhcp

C'est un résultat témoin de l'adr cc:fa:00:f7:32:35 de debug mac de commandes

                                                                                  enable de LDAP de debug aaa

(Cisco_Controller) >*pemReceiveTask: Dec 24 03:45:23.089: cc:fa:00:f7:32:35 Sent an XID frame
*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Processing assoc-req station:cc:fa:00:f7:32:35 AP:00:23:eb:e5:04:10-01 thread:18ec9330
*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Association received from mobile on BSSID 00:23:eb:e5:04:1f AP AP1142-1
*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Global 200 Clients are allowed to AP radio

*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Max Client Trap Threshold: 0  cur: 1

*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Rf profile 600 Clients are allowed to AP wlan

*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 override for default ap group, marking intgrp NULL
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Applying Interface policy on Mobile, role Local. Ms NAC State 2 Quarantine Vlan 0 Access Vlan 16

*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Re-applying interface policy for client

*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Changing IPv4 ACL 'none' (ACL ID 255) ===> 'none' (ACL ID 255) --- (caller apf_policy.c:2699)
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Changing IPv6 ACL 'none' (ACL ID 255) ===> 'none' (ACL ID 255) --- (caller apf_policy.c:2720)
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 apfApplyWlanPolicy: Apply WLAN Policy over PMIPv6 Client Mobility Type, Tunnel User - 0
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 In processSsidIE:6246 setting Central switched to TRUE
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 In processSsidIE:6249 apVapId = 1 and Split Acl Id = 65535
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Applying site-specific Local Bridging override for station cc:fa:00:f7:32:35 - vapId 1, site 'default-group', interface 'management'
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Applying Local Bridging Interface Policy for station cc:fa:00:f7:32:35 - vlan 16, interface id 0, interface 'management'
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 processSsidIE  statusCode is 0 and status is 0
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 processSsidIE  ssid_done_flag is 0 finish_flag is 0
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 STA - rates (3): 24 164 48 0 0 0 0 0 0 0 0 0 0 0 0 0
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 suppRates  statusCode is 0 and gotSuppRatesElement is 1
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 AID 2 in Assoc Req from flex AP 00:23:eb:e5:04:10 is same as in mscb cc:fa:00:f7:32:35
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 apfMs1xStateDec
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Change state to START (0) last state WEBAUTH_REQD (8)

*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 pemApfAddMobileStation2: APF_MS_PEM_WAIT_L2_AUTH_COMPLETE = 0.
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 START (0) Initializing policy
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 START (0) Change state to AUTHCHECK (2) last state START (0)

*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4) last state AUTHCHECK (2)

*pemReceiveTask: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 Removed NPU entry.
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Not Using WMM Compliance code qosCap 00
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 00:23:eb:e5:04:10 vapId 1 apVapId 1 flex-acl-name:
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 L2AUTHCOMPLETE (4) Change state to WEBAUTH_REQD (8) last state L2AUTHCOMPLETE (4)

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) pemApfAddMobileStation2 3802, Adding TMP rule
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Adding Fast Path rule
  type = Airespace AP Client - ACL passthru
  on AP 00:23:eb:e5:04:10, slot 1, interface = 1, QOS = 0
  IPv4 ACL I
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 15206, IntfId = 0  Local Bridging Vlan = 16, Local Bridging intf id = 0
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) pemApfAddMobileStation2 3911, Adding TMP rule
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Replacing Fast Path rule
  type = Airespace AP Client - ACL passthru
  on AP 00:23:eb:e5:04:10, slot 1, interface = 1, QOS = 0
  IPv4 AC
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 15206, IntfId = 0  Local Bridging Vlan = 16, Local Bridging intf id = 0
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 apfPemAddUser2 (apf_policy.c:359) Changing state for mobile cc:fa:00:f7:32:35 on AP 00:23:eb:e5:04:10 from Associated to Associated

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 apfPemAddUser2:session timeout forstation cc:fa:00:f7:32:35 - Session Tout 1800, apfMsTimeOut '1800' and sessionTimerRunning flag is  1
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 Scheduling deletion of Mobile Station:  (callerId: 49) in 1800 seconds
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 Func: apfPemAddUser2, Ms Timeout = 1800, Session Timeout = 1800

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 Sending assoc-resp with status 0 station:cc:fa:00:f7:32:35 AP:00:23:eb:e5:04:10-01 on apVapId 1
*apfMsConnTask_1: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 Sending Assoc Response to station on BSSID 00:23:eb:e5:04:1f (status 0) ApVapId 1 Slot 1
*apfMsConnTask_1: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 apfProcessAssocReq (apf_80211.c:10187) Changing state for mobile cc:fa:00:f7:32:35 on AP 00:23:eb:e5:04:10 from Associated to Associated

*pemReceiveTask: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 172.16.16.122 Added NPU entry of type 2, dtlFlags 0x0
*pemReceiveTask: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 Sent an XID frame
*pemReceiveTask: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 172.16.16.122 Added NPU entry of type 2, dtlFlags 0x0
*pemReceiveTask: Dec 24 03:45:43.558: cc:fa:00:f7:32:35 Sent an XID frame
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP received op BOOTREQUEST (1) (len 322,vlan 16, port 1, encap 0xec03, xid 0x62743488)
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP (encap type 0xec03) mstype 0ff:ff:ff:ff:ff:ff
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP selecting relay 1 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 255.255.254.0,
                        dhcpGateway: 172.16.16.1, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP mscbVapLocalAddr=172.16.16.25 mscbVapLocalNetMask= 255.255.254.0 mscbdhcpRelay=172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP selected relay 1 - 172.16.16.25 (local address 172.16.16.25, gateway 172.16.16.25, VLAN 16, port 1)
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selecting relay 2 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 255.255.254.0,
                        dhcpGateway: 172.16.16.1, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selected relay 2 - NONE
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selecting relay 1 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 0.0.0.0,
                        dhcpGateway: 0.0.0.0, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP mscbVapLocalAddr=172.16.16.25 mscbVapLocalNetMask= 255.255.254.0 mscbdhcpRelay=172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selected relay 1 - 172.16.16.25 (local address 172.16.16.25, gateway 172.16.16.25, VLAN 16, port 1)
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP transmitting DHCP DISCOVER (1)
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 1
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   xid: 0x62743488 (1651782792), secs: 0, flags: 0
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   chaddr: cc:fa:00:f7:32:35
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   ciaddr: 0.0.0.0,  yiaddr: 0.0.0.0
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   siaddr: 0.0.0.0,  giaddr: 172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selecting relay 2 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 0.0.0.0,
                        dhcpGateway: 0.0.0.0, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selected relay 2 - NONE
*DHCP Proxy Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP received op BOOTREPLY (2) (len 572,vlan 0, port 0, encap 0x0, xid 0x62743488)
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP sending REPLY to STA (len 418, port 1, vlan 16)
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP transmitting DHCP OFFER (2)
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   xid: 0x62743488 (1651782792), secs: 0, flags: 0
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   chaddr: cc:fa:00:f7:32:35
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   ciaddr: 0.0.0.0,  yiaddr: 172.16.16.122
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   siaddr: 0.0.0.0,  giaddr: 0.0.0.0
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   server id: 1.1.1.1  rcvd server id: 172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP received op BOOTREQUEST (1) (len 334,vlan 16, port 1, encap 0xec03, xid 0x62743488)
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP (encap type 0xec03) mstype 0ff:ff:ff:ff:ff:ff
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP selecting relay 1 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 0.0.0.0,
                        dhcpGateway: 0.0.0.0, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP mscbVapLocalAddr=172.16.16.25 mscbVapLocalNetMask= 255.255.254.0 mscbdhcpRelay=172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP selected relay 1 - 172.16.16.25 (local address 172.16.16.25, gateway 172.16.16.25, VLAN 16, port 1)
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP transmitting DHCP REQUEST (3)
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP   op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 1
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP   xid: 0x62743488 (1651782792), secs: 0, flags: 0
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP   chaddr: cc:fa:00:f7:32:35
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   ciaddr: 0.0.0.0,  yiaddr: 0.0.0.0
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   siaddr: 0.0.0.0,  giaddr: 172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   requested ip: 172.16.16.122
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   server id: 172.16.16.25  rcvd server id: 1.1.1.1
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP selecting relay 2 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 0.0.0.0,
                        dhcpGateway: 0.0.0.0, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP selected relay 2 - NONE
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP received op BOOTREPLY (2) (len 572,vlan 0, port 0, encap 0x0, xid 0x62743488)
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP setting server from ACK (mscb=0x40e64b88 ip=0xac10107a)(server 172.16.16.25, yiaddr 172.16.16.122)
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP sending REPLY to STA (len 418, port 1, vlan 16)
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP transmitting DHCP ACK (5)
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   xid: 0x62743488 (1651782792), secs: 0, flags: 0
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   chaddr: cc:fa:00:f7:32:35
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   ciaddr: 0.0.0.0,  yiaddr: 172.16.16.122
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   siaddr: 0.0.0.0,  giaddr: 0.0.0.0
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   server id: 1.1.1.1  rcvd server id: 172.16.16.25
*ewmwebWebauth1: Dec 24 03:46:01.222: cc:fa:00:f7:32:35 Username entry (User1) created for mobile, length = 7
*ewmwebWebauth1: Dec 24 03:46:01.222: cc:fa:00:f7:32:35 Username entry (User1) created in mscb for mobile, length = 7
*aaaQueueReader: Dec 24 03:46:01.222: AuthenticationRequest: 0x2b6bdc3c


*aaaQueueReader: Dec 24 03:46:01.222:   Callback.....................................0x12088c50

*aaaQueueReader: Dec 24 03:46:01.222:   protocolType.................................0x00000002

*aaaQueueReader: Dec 24 03:46:01.222:   proxyState...................................CC:FA:00:F7:32:35-00:00

*aaaQueueReader: Dec 24 03:46:01.222:   Packet contains 15 AVPs (not shown)

*LDAP DB Task 1: Dec 24 03:46:01.222: ldapTask [1] received msg 'REQUEST' (2) in state 'IDLE' (1)
*LDAP DB Task 1: Dec 24 03:46:01.222: LDAP server 1 changed state to INIT
*LDAP DB Task 1: Dec 24 03:46:01.223: LDAP_OPT_REFERRALS = -1

*LDAP DB Task 1: Dec 24 03:46:01.223: ldapInitAndBind [1] called lcapi_init (rc = 0 - Success)
*LDAP DB Task 1: Dec 24 03:46:01.225: ldapInitAndBind [1] configured Method Authenticated lcapi_bind (rc = 0 - Success)
*LDAP DB Task 1: Dec 24 03:46:01.225: LDAP server 1 changed state to CONNECTED
*LDAP DB Task 1: Dec 24 03:46:01.225: disabled LDAP_OPT_REFERRALS

*LDAP DB Task 1: Dec 24 03:46:01.225: LDAP_CLIENT: UID Search (base=CN=Users,DC=CISCOSYSTEMS,DC=local, pattern=(&(objectclass=Person)(sAMAccountName=User1)))
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: ldap_search_ext_s returns 0 -5
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Returned 2 msgs including 0 references
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Returned msg 1 type 0x64
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Received 1 attributes in search entry msg
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Returned msg 2 type 0x65
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT : No matched DN
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT : Check result error 0 rc 1013
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Received no referrals in search result msg
*LDAP DB Task 1: Dec 24 03:46:01.226: ldapAuthRequest [1] 172.16.16.200 - 389 called lcapi_query base="CN=Users,DC=CISCOSYSTEMS,DC=local" type="Person" attr="sAMAccountName" user="User1" (rc = 0 - Success)
*LDAP DB Task 1: Dec 24 03:46:01.226: Attempting user bind with username CN=User1,CN=Users,DC=CISCOSYSTEMS,DC=local
*LDAP DB Task 1: Dec 24 03:46:01.228: LDAP ATTR> dn = CN=User1,CN=Users,DC=CISCOSYSTEMS,DC=local (size 45)
*LDAP DB Task 1: Dec 24 03:46:01.228: Handling LDAP response Success
*LDAP DB Task 1: Dec 24 03:46:01.228: Authenticated bind : Closing the binded session

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Change state to WEBAUTH_NOL3SEC (14) last state WEBAUTH_REQD (8)

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 apfMsRunStateInc
*LDAP DB Task 1: Dec 24 03:46:01.228: ldapClose [1] called lcapi_close (rc = 0 - Success)
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_NOL3SEC (14) Change state to RUN (20) last state WEBAUTH_NOL3SEC (14)

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 Stopping deletion of Mobile Station: (callerId: 74)
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 Setting Session Timeout to 1800 sec - starting session timer for the mobile
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Reached PLUMBFASTPATH: from line 6972
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Replacing Fast Path rule
  type = Airespace AP Client
  on AP 00:23:eb:e5:04:10, slot 1, interface = 1, QOS = 0
  IPv4 ACL ID = 255, IPv6 ACL ID
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 15206, IntfId = 0  Local Bridging Vlan = 16, Local Bridging intf id = 0
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*ewmwebWebauth1: Dec 24 03:46:01.229: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
*pemReceiveTask: Dec 24 03:46:01.229: cc:fa:00:f7:32:35 172.16.16.122 Added NPU entry of type 1, dtlFlags 0x0


(Cisco_Controller) >show client detail cc:fa:00:f7:32:35
Client MAC Address............................... cc:fa:00:f7:32:35
Client Username ................................. User1
AP MAC Address................................... 00:23:eb:e5:04:10
AP Name.......................................... AP1142-1
AP radio slot Id................................. 1
Client State..................................... Associated
Client User Group................................ User1
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 1
Wireless LAN Network Name (SSID)................. LDAP-TEST
Wireless LAN Profile Name........................ LDAP-TEST
Hotspot (802.11u)................................ Not Supported
BSSID............................................ 00:23:eb:e5:04:1f
Connected For ................................... 37 secs
Channel.......................................... 36
IP Address....................................... 172.16.16.122
Gateway Address.................................. 172.16.16.1
Netmask.......................................... 255.255.254.0
Association Id................................... 2
Authentication Algorithm......................... Open System
Reason Code...................................... 1
Status Code...................................... 0

--More or (q)uit current module or <ctrl-z> to abort
Session Timeout.................................. 1800
Client CCX version............................... No CCX support
QoS Level........................................ Silver
Avg data Rate.................................... 0
Burst data Rate.................................. 0
Avg Real time data Rate.......................... 0
Burst Real Time data Rate........................ 0
802.1P Priority Tag.............................. disabled
CTS Security Group Tag........................... Not Applicable
KTS CAC Capability............................... No
Qos Map Capability............................... No
WMM Support...................................... Enabled
  APSD ACs.......................................  BK  BE  VI  VO
Current Rate..................................... m7
Supported Rates.................................. 12.0,18.0,24.0
Mobility State................................... Local
Mobility Move Count.............................. 0
Security Policy Completed........................ Yes
Policy Manager State............................. RUN
Audit Session ID................................. ac10101900000005567b69f8
AAA Role Type.................................... none
Local Policy Applied............................. none
IPv4 ACL Name.................................... none

--More or (q)uit current module or <ctrl-z> to abort
FlexConnect ACL Applied Status................... Unavailable
IPv4 ACL Applied Status.......................... Unavailable
IPv6 ACL Name.................................... none
IPv6 ACL Applied Status.......................... Unavailable
Layer2 ACL Name.................................. none
Layer2 ACL Applied Status........................ Unavailable
Client Type...................................... SimpleIP
mDNS Status...................................... Enabled
mDNS Profile Name................................ default-mdns-profile
No. of mDNS Services Advertised.................. 0
Policy Type...................................... N/A
Encryption Cipher................................ None
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... Unknown
FlexConnect Data Switching....................... Central
FlexConnect Dhcp Status.......................... Central
FlexConnect Vlan Based Central Switching......... No
FlexConnect Authentication....................... Central
FlexConnect Central Association.................. No
Interface........................................ management
VLAN............................................. 16
Quarantine VLAN.................................. 0

--More or (q)uit current module or <ctrl-z> to abort
Access VLAN...................................... 16
Local Bridging VLAN.............................. 16
Client Capabilities:
      CF Pollable................................ Not implemented
      CF Poll Request............................ Not implemented
      Short Preamble............................. Not implemented
      PBCC....................................... Not implemented
      Channel Agility............................ Not implemented
      Listen Interval............................ 10
      Fast BSS Transition........................ Not implemented
      11v BSS Transition......................... Not implemented
Client Wifi Direct Capabilities:
      WFD capable................................ No
      Manged WFD capable......................... No
      Cross Connection Capable................... No
      Support Concurrent Operation............... No
Fast BSS Transition Details:
Client Statistics:
      Number of Bytes Received................... 16853
      Number of Bytes Sent....................... 31839
      Total Number of Bytes Sent................. 31839
      Total Number of Bytes Recv................. 16853
      Number of Bytes Sent (last 90s)............ 31839

--More or (q)uit current module or <ctrl-z> to abort
      Number of Bytes Recv (last 90s)............ 16853
      Number of Packets Received................. 146
      Number of Packets Sent..................... 92
      Number of Interim-Update Sent.............. 0
      Number of EAP Id Request Msg Timeouts...... 0
      Number of EAP Id Request Msg Failures...... 0
      Number of EAP Request Msg Timeouts......... 0
      Number of EAP Request Msg Failures......... 0
      Number of EAP Key Msg Timeouts............. 0
      Number of EAP Key Msg Failures............. 0
      Number of Data Retries..................... 2
      Number of RTS Retries...................... 0
      Number of Duplicate Received Packets....... 0
      Number of Decrypt Failed Packets........... 0
      Number of Mic Failured Packets............. 0
      Number of Mic Missing Packets.............. 0
      Number of RA Packets Dropped............... 0
      Number of Policy Errors.................... 0
      Radio Signal Strength Indicator............ -48 dBm
      Signal to Noise Ratio...................... 41 dB
Client Rate Limiting Statistics:
      Number of Data Packets Received............ 0
      Number of Data Rx Packets Dropped.......... 0

--More or (q)uit current module or <ctrl-z> to abort
      Number of Data Bytes Received.............. 0
      Number of Data Rx Bytes Dropped............ 0
      Number of Realtime Packets Received........ 0
      Number of Realtime Rx Packets Dropped...... 0
      Number of Realtime Bytes Received.......... 0
      Number of Realtime Rx Bytes Dropped........ 0
      Number of Data Packets Sent................ 0
      Number of Data Tx Packets Dropped.......... 0
      Number of Data Bytes Sent.................. 0
      Number of Data Tx Bytes Dropped............ 0
      Number of Realtime Packets Sent............ 0
      Number of Realtime Tx Packets Dropped...... 0
      Number of Realtime Bytes Sent.............. 0
      Number of Realtime Tx Bytes Dropped........ 0
Nearby AP Statistics:
      AP1142-1(slot 0)
        antenna0: 25 secs ago.................... -37 dBm
        antenna1: 25 secs ago.................... -37 dBm
      AP1142-1(slot 1)
        antenna0: 25 secs ago.................... -44 dBm
        antenna1: 25 secs ago.................... -57 dBm
DNS Server details:
      DNS server IP ............................. 0.0.0.0

--More or (q)uit current module or <ctrl-z> to abort
      DNS server IP ............................. 0.0.0.0
Assisted Roaming Prediction List details:


Client Dhcp Required:     False