Introduction
Ce document fournit un exemple de configuration pour utiliser la fonction de proxy d’authentification Web sur un contrôleur LAN sans fil (WLC).
Conditions préalables
Conditions requises
Assurez-vous de respecter ces conditions avant de tenter cette configuration :
-
Connaître la configuration des LAP (Lightweight Access Points) et des WLC Cisco.
-
Connaître le protocole LWAPP (Lightweight Access Point Protocol)/le contrôle et la mise en service des points d'accès sans fil (CAPWAP).
-
Connaître l'authentification Web.
Components Used
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
-
WLC Cisco 4400 exécutant la version de microprogramme 7.0.116.0
-
LAP de la gamme Cisco 1130AG
-
Adaptateur client sans fil Cisco 802.11a/b/g exécutant la version de microprogramme 4.2
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Conventions
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Proxy d'authentification Web sur un WLC
Ce document suppose que le lecteur a une connaissance préalable de l'authentification Web et des étapes impliquées dans la configuration de l'authentification Web sur les WLC Cisco. Si vous êtes un nouvel utilisateur, lisez ces documents qui expliquent en détail le processus d'authentification Web :
La fonctionnalité Web Authentication Proxy a été introduite avec WLC version 7.0.116.0.
Un navigateur Web comporte trois types de paramètres Internet qui peuvent être configurés par l'utilisateur :
-
Détection automatique
-
Proxy système
-
Manuel
Cette fonctionnalité permet aux clients dont le proxy Web manuel est activé dans le navigateur de faciliter l'authentification Web avec le contrôleur.
Dans un réseau configuré pour l'authentification Web, si le client est configuré pour les paramètres de proxy manuels, le contrôleur n'écoute pas ces ports proxy et par conséquent le client ne peut pas établir une connexion TCP avec le contrôleur. En effet, l'utilisateur ne peut pas accéder à une page de connexion pour l'authentification et accéder au réseau.
Lorsque le client demande une URL avec la fonction proxy d'authentification Web activée, le contrôleur répond par une page Web invitant l'utilisateur à modifier les paramètres du proxy Internet pour détecter automatiquement les paramètres du proxy.
Ce processus empêche la perte des paramètres de proxy manuels du navigateur. Après avoir configuré cette fonctionnalité, l'utilisateur peut accéder au réseau via la stratégie d'authentification Web.
Par défaut, cette fonctionnalité est fournie pour les ports 80, 8080 et 3128, car il s'agit des ports les plus couramment utilisés pour le serveur proxy Web.
Configurer le proxy d'authentification Web sur un WLC
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Configurations
Complétez ces étapes afin de configurer le proxy d'authentification Web à l'aide de l'interface graphique du contrôleur :
-
Dans l'interface graphique du contrôleur, sélectionnez Controller > General.
-
Afin d'activer le proxy WebAuth, choisissez Enabled dans la liste déroulante WebAuth Proxy Redirection Mode.
-
Dans la zone de texte Port de redirection du proxy WebAuth, saisissez le numéro de port du proxy d'authentification Web. Cette zone de texte se compose des numéros de port sur lesquels le contrôleur écoute la redirection du proxy d'authentification Web. Par défaut, les trois ports 80, 8080 et 3128 sont supposés. Si vous avez configuré le port de redirection de l'authentification Web sur un port autre que ces valeurs, vous devez spécifier cette valeur.
-
Cliquez sur Apply.
Afin de configurer le proxy WebAuth à partir de l'interface de ligne de commande, émettez cette commande :
config network web-auth proxy-redirect {enable | disable}
Définissez le numéro de port d'authentification Web à l'aide de la commande config network web-auth port <port-number>.
Une fois le WLC configuré, enregistrez la configuration et redémarrez le contrôleur afin que la configuration prenne effet.
Vérification
Pour afficher l'état actuel de la configuration du proxy d'authentification Web, exécutez la commande show network summary ou show running-config.
(Cisco Controller) >show network summary
RF-Network Name............................. WLAN-LAB
Web Mode.................................... Disable
Secure Web Mode............................. Enable
Secure Web Mode Cipher-Option High.......... Disable
Secure Web Mode Cipher-Option SSLv2......... Enable
Secure Shell (ssh).......................... Enable
Telnet...................................... Enable
Ethernet Multicast Forwarding............... Disable
Ethernet Broadcast Forwarding............... Disable
AP Multicast/Broadcast Mode................. Unicast
IGMP snooping............................... Disabled
IGMP timeout................................ 60 seconds
IGMP Query Interval......................... 20 seconds
User Idle Timeout........................... 300 seconds
ARP Idle Timeout............................ 300 seconds
Cisco AP Default Master..................... Disable
AP Join Priority............................ Disable
Mgmt Via Wireless Interface................. Disable
Mgmt Via Dynamic Interface.................. Disable
Bridge MAC filter Config.................... Enable
Bridge Security Mode........................ EAP
--More-- or (q)uit
Mesh Full Sector DFS........................ Enable
Apple Talk ................................. Disable
AP Fallback ................................ Enable
Web Auth Redirect Ports .................... 80
Web Auth Proxy Redirect ................... Enable
Fast SSID Change ........................... Disabled
802.3 Bridging ............................. Disable
IP/MAC Addr Binding Check .................. Enabled
Maintenant, connectons un client sans fil au SSID invité que nous avons configuré pour l'authentification Web.
En supposant que vous ayez un serveur DHCP interne, le client se connecte au WLAN Guest1 et acquiert une adresse IP. Lorsque le client tente d'accéder à une URL (par exemple, www.cisco.com), puisque le proxy manuel est activé sur le navigateur du client, le contrôleur qui utilise la fonction proxy d'authentification Web répond par une page Web invitant l'utilisateur à modifier les paramètres du proxy Internet pour détecter automatiquement les paramètres du proxy.
À ce stade, le client sait que les paramètres de proxy manuels doivent être désactivés. Ici, vous pouvez voir comment désactiver les paramètres de proxy manuels sur Firefox version 3.6.
-
Dans le navigateur Firefox, sélectionnez Outils > Options, puis sélectionnez Avancé.
-
Cliquez sur l'onglet Réseau, puis sélectionnez Paramètres.
-
Dans la fenêtre Paramètres de connexion, sélectionnez Paramètres de proxy de détection automatique pour ce réseau.
Une fois cette opération terminée, actualisez le navigateur et réessayez d'accéder à l'URL. Cette fois, vous serez redirigé vers la page Web Authentication. Le client peut vous fournir des informations d'identification et vous pouvez vous connecter au réseau invité.
Informations connexes