Introduction
Ce document fournit un exemple de configuration pour utiliser la fonction de proxy d’authentification Web sur un contrôleur LAN sans fil (WLC).
Conditions préalables
Exigences
Assurez-vous que vous remplissez les conditions suivantes avant d'essayer cette configuration :
-
Connaître la configuration des points d'accès légers (LAP) et des WLC Cisco.
-
Connaître le protocole LWAPP (Lightweight Access Point Protocol)/CAPWAP (Control and Provisioning of Wireless Access Points).
-
Connaître l'authentification Web.
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
-
WLC Cisco 4400 exécutant la version de microprogramme 7.0.116.0
-
LAP de la gamme Cisco 1130AG
-
Adaptateur client sans fil Cisco 802.11a/b/g exécutant la version de microprogramme 4.2
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Conventions
Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.
Proxy d'authentification Web sur un WLC
Ce document suppose que le lecteur a une connaissance préalable de l'authentification Web et des étapes impliquées dans la configuration de l'authentification Web sur les WLC Cisco. Si vous êtes un nouvel utilisateur, lisez ces documents qui expliquent en détail le processus d'authentification Web :
La fonctionnalité Proxy d'authentification Web a été introduite avec la version 7.0.116.0 du WLC.
Un navigateur Web dispose de trois types de paramètres Internet pouvant être configurés par l'utilisateur :
-
Détection automatique
-
Proxy système
-
Manuel
Cette fonctionnalité permet aux clients dont le proxy Web manuel est activé dans le navigateur de faciliter l'authentification Web avec le contrôleur.
Dans un réseau configuré pour l'authentification Web, si le client est configuré pour des paramètres de proxy manuels, le contrôleur n'écoute pas ces ports proxy et par conséquent le client ne peut pas établir une connexion TCP avec le contrôleur. En effet, l'utilisateur ne peut accéder à aucune page de connexion pour l'authentification et l'accès au réseau.
Lorsque le client demande une URL avec la fonctionnalité Proxy d'authentification Web activée, le contrôleur répond avec une page Web invitant l'utilisateur à modifier les paramètres du proxy Internet pour détecter automatiquement les paramètres du proxy.
Ce processus empêche les paramètres de proxy manuels du navigateur de se perdre. Après avoir configuré cette fonctionnalité, l'utilisateur peut accéder au réseau via la stratégie d'authentification Web.
Par défaut, cette fonctionnalité est fournie pour les ports 80, 8080 et 3128, car il s'agit des ports les plus couramment utilisés pour le serveur proxy Web.
Configurer le proxy d'authentification Web sur un WLC
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Configurations
Complétez ces étapes afin de configurer le proxy d'authentification Web à l'aide de l'interface graphique du contrôleur :
-
Dans l'interface graphique du contrôleur, choisissez Controller > General.
-
Afin d'activer le proxy WebAuth, choisissez Enabled dans la liste déroulante WebAuth Proxy Redirection Mode.
-
Dans la zone de texte Port de redirection du proxy WebAuth, entrez le numéro de port du proxy d'authentification Web. Cette zone de texte comprend les numéros de port sur lesquels le contrôleur écoute la redirection proxy d'authentification Web. Par défaut, les trois ports 80, 8080 et 3128 sont supposés. Si vous avez configuré le port de redirection de l'authentification Web sur un port autre que ces valeurs, vous devez spécifier cette valeur.
-
Cliquez sur Apply.
Afin de configurer le proxy WebAuth à partir de la CLI, émettez cette commande :
config network web-auth proxy-redirect {enable | disable}
Définissez le numéro de port d'authentification Web à l'aide de la commande config network web-auth port <numéro-port>.
Une fois le WLC configuré, enregistrez la configuration et redémarrez le contrôleur afin que la configuration prenne effet.
Vérifier
Pour voir l'état actuel de la configuration du proxy d'authentification Web, émettez la commande show network summary ou show running-config.
(Cisco Controller) >show network summary
RF-Network Name............................. WLAN-LAB
Web Mode.................................... Disable
Secure Web Mode............................. Enable
Secure Web Mode Cipher-Option High.......... Disable
Secure Web Mode Cipher-Option SSLv2......... Enable
Secure Shell (ssh).......................... Enable
Telnet...................................... Enable
Ethernet Multicast Forwarding............... Disable
Ethernet Broadcast Forwarding............... Disable
AP Multicast/Broadcast Mode................. Unicast
IGMP snooping............................... Disabled
IGMP timeout................................ 60 seconds
IGMP Query Interval......................... 20 seconds
User Idle Timeout........................... 300 seconds
ARP Idle Timeout............................ 300 seconds
Cisco AP Default Master..................... Disable
AP Join Priority............................ Disable
Mgmt Via Wireless Interface................. Disable
Mgmt Via Dynamic Interface.................. Disable
Bridge MAC filter Config.................... Enable
Bridge Security Mode........................ EAP
--More-- or (q)uit
Mesh Full Sector DFS........................ Enable
Apple Talk ................................. Disable
AP Fallback ................................ Enable
Web Auth Redirect Ports .................... 80
Web Auth Proxy Redirect ................... Enable
Fast SSID Change ........................... Disabled
802.3 Bridging ............................. Disable
IP/MAC Addr Binding Check .................. Enabled
Maintenant, connectons un client sans fil au SSID invité que nous avons configuré pour l'authentification Web.
En supposant que vous disposiez d'un serveur DHCP interne, le client se connecte au WLAN Guest1 et acquiert une adresse IP. Lorsque le client tente d'accéder à une URL (par exemple, www.cisco.com), puisque le proxy manuel est activé sur le navigateur client, le contrôleur utilisant la fonctionnalité proxy d'authentification Web répond avec une page Web invitant l'utilisateur à modifier les paramètres du proxy Internet pour détecter automatiquement les paramètres du proxy.
À ce stade, le client sait que les paramètres manuels du proxy doivent être désactivés. Ici, vous pouvez voir comment désactiver les paramètres proxy manuels sur Firefox version 3.6.
-
Dans le navigateur Firefox, sélectionnez Outils > Options, puis sélectionnez Avancé.
-
Cliquez sur l'onglet Réseau, puis sélectionnez Paramètres.
-
Dans la fenêtre Paramètres de connexion, sélectionnez Détection automatique des paramètres proxy pour ce réseau.
Une fois cette opération terminée, actualisez le navigateur et réessayez d'accéder à l'URL. Cette fois-ci, vous serez redirigé vers la page Web Authentication. Le client peut vous fournir des informations d'identification et vous pouvez vous connecter au réseau invité.
Informations connexes