Configuratievoorbeeld van Web Verificatie met LDAP voor draadloze LAN-controllers (WLC’s)

Inleiding

Dit document beschrijft hoe u een draadloze LAN-controller (WLC) kunt instellen voor webverificatie. Het legt uit hoe je een Lichtgewicht Directory Access Protocol (LDAP) server moet configureren als de backend database voor web authenticatie om gebruikersreferenties op te halen en de gebruiker te authenticeren.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Kennis van de configuratie van Lichtgewicht Access Point (LAP’s) en Cisco WLC’s

• Kennis van controle en provisioning van draadloos access point protocol (CAPWAP)

• Kennis van het instellen en configureren van Lichtgewicht Directory Access Protocol (LDAP), Actieve Map en domeincontrollers

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco 5508 WLC met firmware release 8.2.10.0

• Cisco 1142 Series LAP

• Cisco 802.11a/b/g draadloze clientadapter.

• Microsoft Windows 2012 Essentials server die de rol van de LDAP-server vervult

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

Conventies

Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Web verificatie

Webverificatie is een Layer 3-beveiligingsfunctie die ervoor zorgt dat de controller IP-verkeer (behalve DHCP- en DNS-gerelateerde pakketten) niet meer in gebruik neemt bij een bepaalde client totdat die client correct een geldige gebruikersnaam en wachtwoord heeft opgegeven. Wanneer u web authenticatie gebruikt om clients voor authenticatie te gebruiken, moet u een gebruikersnaam en wachtwoord voor elke client definiëren. Wanneer de klanten zich bij de draadloze LAN-software proberen aan te sluiten, moeten ze de gebruikersnaam en het wachtwoord invoeren wanneer een logpagina hen aanzet.

Wanneer web authenticatie is ingeschakeld (onder Layer 3 Security) ontvangen gebruikers af en toe een web-browser security waarschuwing de eerste keer dat ze een URL proberen te bereiken.

Tip: Als u deze certificaatwaarschuwing wilt verwijderen, gaat u terug naar de volgende handleiding voor het installeren van een derde partij-betrouwbaar certificaat http://www.cisco.com/c/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/109597-csr-chained-certificates-wlc-00.html

Nadat u op Ja klikt om verder te gaan (of preciezer Doorgaan naar deze website (niet aanbevolen) voor Firefox browser bijvoorbeeld), of als de browser van de client geen veiligheidsalarm weergeeft, richt het web authenticatiesysteem de client terug naar een logpagina, zoals in de afbeelding te zien is:

De standaard inlogpagina bevat een Cisco-logo en een Cisco-specifieke tekst. U kunt ervoor kiezen om het web authenticatiesysteem weer te geven:

• De standaardlogpagina

• Een aangepaste versie van de standaardlogpagina

• Een aangepaste loginpagina die u op een externe webserver configureren

• Een aangepaste loginpagina die u naar de controller downloadt

Wanneer u een geldige gebruikersnaam en wachtwoord op de loginpagina voor de webverificatie invoert en op Indienen klikt, wordt u geauthentiseerd op basis van de inzendingen en een succesvolle verificatie uit de backend-database (LDAP in dit geval). Het web authenticatiesysteem geeft vervolgens een succesvolle loginpagina weer en stuurt de geauthenticeerde client naar de gevraagde URL terug.

De standaard succesvolle inlogpagina bevat een muiswijzer naar een virtueel gatewayadres URL: https://1.1.1.1/logout.html. Het IP-adres dat u voor de virtuele interface van de controller instelt, is het adres voor de inlogpagina omleiden.

Dit document legt uit hoe de interne webpagina op de WLC kan worden gebruikt voor webverificatie. Dit voorbeeld gebruikt een LDAP-server als de backend-database voor web-verificatie om gebruikersreferenties op te halen en de gebruiker te authenticeren.

Configureren

In deze sectie wordt u voorzien van informatie om de functies te configureren die in dit document worden beschreven.

Opmerking: Gebruik het Opdrachtupgereedschap (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

Configuraties

Voltooi deze stappen om deze instelling met succes te implementeren:

• LDAP server configureren.

• WLC configureren voor LDAP Server.

• Configureer de WLAN voor webverificatie.

De LDAP-server configureren

De eerste stap is het configureren van de LDAP server, die dient als een backend database om gebruikersreferenties van de draadloze klanten op te slaan. In dit voorbeeld wordt de Microsoft Windows 2012 Essentials server gebruikt als de LDAP server.

De eerste stap in de configuratie van de LDAP-server is het creëren van een gebruikersdatabase op de LDAP-server, zodat de WLC deze database kan vragen om de gebruiker echt te maken.

Gebruikers op de controller in het domein maken

Een organisatie-eenheid (OU) bevat meerdere groepen die verwijzingen naar persoonlijke items in een PersonProfile dragen. Een persoon kan lid zijn van meerdere groepen. Alle objectklasse en karakteristieken definities zijn LDAP schema standaard. Elke groep bevat verwijzingen (dn) voor elke persoon die er deel van uitmaakt.

In dit voorbeeld wordt er een nieuwe OU LDAP-GEBRUIKERS aangemaakt en wordt de gebruiker Gebruiker1 onder deze Gebruiksrechtovereenkomst gemaakt. Wanneer u deze gebruiker voor LDAP toegang aanpast, kan de WLC deze LDAP database vragen voor gebruikersverificatie.

Het domein dat in dit voorbeeld wordt gebruikt is CISCOSYSTEMS.local.

Een gebruikersdatabase maken onder een OU

In deze sectie wordt uitgelegd hoe u een nieuwe OU in uw domein maakt en hoe u een nieuwe gebruiker op deze OU maakt.

1. Windows PowerShell openen en type servermanager.exe

2. Klik in het venster Server Manager op AD DS. Klik vervolgens met de rechtermuisknop op de naam van de server om gebruikers en computers van de actieve map te kiezen.

3. Klik met de rechtermuisknop op uw domeinnaam, dat CISCOSYSTEMS.local is in dit voorbeeld, en navigeer vervolgens naar New > Organisatorische Eenheid in het contextmenu om een nieuwe OU te creëren.
   
   

   

4. Pas een naam aan deze OU toe en klik op OK, zoals in de afbeelding wordt weergegeven:

Nu de nieuwe OU LDAP-GEBRUIKERS op de LDAP-server zijn gecreëerd, is de volgende stap om gebruiker Gebruiker1 te maken onder deze OU. Voltooi daartoe de volgende stappen:

1. Klik met de rechtermuisknop op de nieuwe OU die is gemaakt. Navigeren naar LDAP-GEBRUIKERS>Nieuw > Gebruiker uit de resulterende contextmenu's om een nieuwe gebruiker te maken, zoals in de afbeelding wordt weergegeven:
   
   

2. Vul de gewenste velden in zoals in dit voorbeeld. Dit voorbeeld heeft User1 in het veld User aanmelding.

   Dit is de gebruikersnaam die in de LDAP-database wordt geverifieerd om de client te authenticeren. Dit voorbeeld gebruikt User1 in de velden Voornaam en Full Name. Klik op Volgende.
   
   

   
   

3. Voer een wachtwoord in en bevestig het wachtwoord. Kies het Wachtwoord nooit vervalt optie en klik op Volgende.
   
   

   
   

4. Klik op Voltooien.

   Er wordt een nieuwe gebruiker User1 aangemaakt onder de OU LDAP-GEBRUIKERS. Dit zijn de gebruikersreferenties:

   • username: Gebruiker1

   • wachtwoord: Laptop123
     
     

     

   Nu de gebruiker onder een OU is gemaakt, volgt u de configuratie van deze gebruiker voor LDAP-toegang.

De gebruiker instellen voor LDAP-toegang

U kunt kiezen of Anonymous of Geauthenticeerd om de lokale authenticatie methode voor de LDAP server te specificeren. De anonieme methode geeft anonieme toegang tot de LDAP-server. De voor verificatie bestemde methode vereist dat een gebruikersnaam en wachtwoord worden ingevoerd om de toegang te beveiligen. De standaardwaarde is anoniem.

Deze sectie verklaart hoe te om zowel Anonymous als Authenticated methods te configureren.

Anonymous Bind

Opmerking: Het gebruik van Anonymous Bind wordt niet aanbevolen. Een LDAP server die anonieme bindingen toelaat vereist geen enkel type van geautoriseerde authenticatie. Een aanvaller zou gebruik kunnen maken van de Anonymous binden ingang om bestanden op de LDAP regisseur te bekijken.

Volg de stappen in dit gedeelte om anonieme gebruiker voor LDAP-toegang te configureren.

Anonymous bind-functie op de Windows 2012-wezenlijke server inschakelen

Voor toepassingen van derden (in ons geval WLC) die toegang hebben tot Windows 2012 AD op de LDAP, moet de Anonymous Bind optie op Windows 2012 zijn ingeschakeld. Standaard zijn anonieme LDAP-bewerkingen niet toegestaan op Windows 2012-controllers. Voer deze stappen uit om de functie Anonymous Bind in te schakelen:

1. Start het ADSI-gereedschap door te typen: ADSIEdit.msc in Windows PowerShell. Dit gereedschap maakt deel uit van de Windows 2012-ondersteuningstools.
   
   

2. In het venster ADSI Bewerken, voudig het root domein uit (Configuration [WIN-A0V2BU68LR9.CISCOSYSTEMS.local]).

   Navigeer naar CN=Services > CN=Windows NT > CN=Directory Service. Klik met de rechtermuisknop op de container CN=Directory Service en kies Properties uit het contextmenu, zoals in de afbeelding weergegeven:
   
   

3. In het venster CN=Directory Service Properties, onder Attributes, klikt u op de dsHeuristics-eigenschap onder het veld Eigenschappen en kiest u Bewerken. Voer in het venster Lijst-editor van deze eigenschap de waarde 000002 in; klik op Toepassen en OK, zoals in de afbeelding wordt weergegeven. De functie Anonymous Bind is ingeschakeld op de Windows 2012-server.

   Opmerking: Het laatste (zevende) teken is het teken dat de manier bepaalt waarop u aan de LDAP-service kunt binden. 0 (nul) of geen zevende karakter betekent dat anonieme LGO-bewerkingen worden uitgeschakeld. Als u het zevende teken op 2 instelt, wordt de functie Anonymous Bind ingeschakeld.

   

IEMAND LOGON TOEGANG TOT DE GEBRUIKER GEVEN

De volgende stap is het verlenen van ANONYMOUS LOGON toegang tot de gebruiker Gebruiker1. Voltooi deze stappen om dit te bereiken:

1. Gebruikers en computers openen in de map.
   
   

2. Zorg ervoor dat de optie Geavanceerde functies bekijken is ingeschakeld.
   
   

3. Navigeer naar gebruiker user1 en klik met de rechtermuisknop op de interface. Kies Eigenschappen in het contextmenu. Deze gebruiker wordt geïdentificeerd met de voornaam Gebruiker1.
   
   

   

4. Klik op het tabblad Beveiliging, zoals in de afbeelding:
   
   
   
   

5. Klik op Toevoegen in het resulterende venster.
   
   

6. Voer ANONYMOUS LOGON in onder de Voer de objectnamen in om het dialoogvenster te selecteren en te erkennen, zoals in de afbeelding:
   
   
   
   

7. In ACL, merk op dat ANONYMOUS LOGON toegang heeft tot sommige eigenschappen van de gebruiker. Klik op OK. De ANONYMOUS LOGON-toegang wordt aan deze gebruiker verleend, zoals in de afbeelding wordt getoond:

Toestemming voor subsidielijst op de OU

De volgende stap is het verlenen van minstens toestemming van de Inhoud van de Lijst aan de ANONYMOUS LOGON op de OU waar de gebruiker zich bevindt. In dit voorbeeld bevindt Gebruiker1 zich op de OU LDAP-GEBRUIKERS. Voltooi deze stappen om dit te bereiken:

1. In Actieve Gebruikers en Computers van de Map, klikt u met de rechtermuisknop op de OU LDAP-GEBRUIKERS en kiest u Eigenschappen, zoals in de afbeelding wordt weergegeven:
   
   

   

2. Klik op Beveiliging.
   
   

3. Klik op Toevoegen. Typ in het dialoogvenster dat nu wordt weergegeven een ANALYSE-ON en bevestig het dialoogvenster zoals in de afbeelding:
   
   

   

Geautomatiseerde band

Voer de stappen in dit gedeelte uit om een gebruiker voor lokale authenticatie aan de LDAP server te configureren.

1. Windows PowerShell en type openen servermanager.exe
   
   
2. Klik in het venster Server Manager op AD DS. Klik vervolgens met de rechtermuisknop op de te kiezen servernaam Gebruikers en computers van actieve mappen.
   
   
3. Klik met de rechtermuisknop op Gebruikers. Navigeer naar Nieuw > Gebruiker van de resulterende contextmenu om een nieuwe gebruiker te maken.
   
   
   
   

4. Vul de gewenste velden in zoals in dit voorbeeld. Dit voorbeeld heeft WLC-admin in het veld Gebruikersnaam. Dit is de gebruikersnaam die gebruikt moet worden voor lokale authenticatie aan de LDAP server. Klik op Volgende.
   
   

5. Voer een wachtwoord in en bevestig het wachtwoord. Kies het Wachtwoord nooit vervalt optie en klik op Volgende.
   
   

6. Klik op Voltooien.

   Er wordt een nieuwe gebruiker WLC-admin aangemaakt onder de gebruikershandleiding. Dit zijn de gebruikersreferenties:

   • username: WLC-beheer

   • wachtwoord: Admin123

Administrator-rechten geven aan WLC-beheerder

Nu de lokale gebruikers van de authenticatie wordt gecreëerd, moeten we de beheerder privépagina's geven. Voltooi deze stappen om dit te bereiken:

1. Gebruikers en computers openen in de map.
   
   

2. Zorg ervoor dat de optie Geavanceerde functies bekijken is ingeschakeld.
   
   

3. Navigeer naar de WLC-beheerder en klik met de rechtermuisknop op de gebruiker. Kies Eigenschappen in het contextmenu, zoals in de afbeelding. Deze gebruiker wordt geïdentificeerd met de voornaam WLC-admin.
   
   
   
   

4. Klik op het tabblad Memeber van het tabblad, zoals in de afbeelding:
   
   
   :
5. Klik op Toevoegen. Typ in het dialoogvenster dat nu wordt weergegeven beheerders en klik vervolgens op OK, zoals in de afbeelding:
   
   

Gebruik LDP om de gebruikerskenmerken te identificeren

Dit GUI-gereedschap is een LDAP-client waarmee gebruikers bewerkingen kunnen uitvoeren, zoals aansluiten, binden, zoeken, wijzigen, toevoegen of verwijderen, met behulp van alle LDAP-compatibele mappen, zoals Active Directory. LDP wordt gebruikt om objecten te bekijken die in Actieve Map opgeslagen worden samen met hun metagegevens, zoals veiligheidsbeschrijvers en replicatiemetagegevens.

Het LDP GUI-gereedschap is inbegrepen bij het installeren van de Windows Server 2003 Support Tools van het product-CD. In deze sectie wordt uitgelegd hoe het LDP-hulpprogramma wordt gebruikt om de specifieke eigenschappen te identificeren die gekoppeld zijn aan de gebruiker User1. Sommige van deze eigenschappen worden gebruikt om de parameters voor de configuratie van de LDAP-server op de WLC in te vullen, zoals het type gebruikerskenmerk en het type gebruikersobject.

1. Open Windows PowerShell op de Windows 2012-server (zelfs op dezelfde LDAP-server) en voer LDP in om toegang te krijgen tot de browser LDP.
   
   

2. In het hoofdvenster van LDP, navigeer naar Connection > Connect en sluit u aan op de LDAP server wanneer u het IP-adres van de LDAP server invoert, zoals in de afbeelding wordt getoond.
   
   

   
   

3. Selecteer Beeld in het hoofdmenu en klik vervolgens op Boom, zoals in de afbeelding:
   
   

   
   

4. Voer in het resulterende venster Tree View de BaseDN van de gebruiker in. In dit voorbeeld, staat User1 onder de OU "LDAP-USERS" onder het domein CISCOSYSTEMS.local. Klik op OK, zoals in de afbeelding wordt weergegeven:
   
   

   
   

5. De linkerkant van de browser LDP toont de gehele boom die onder de gespecificeerde BaseDN verschijnt (OU=LDAP-USERS, dc=CISCOSYSTEMS, dc=local). Uitbreidt de boom om de gebruiker Gebruiker1 te vinden. Deze gebruiker kan worden geïdentificeerd met de GN-waarde die de voornaam van de gebruiker representeert. In dit voorbeeld is het CN=User1. Dubbelklik op CN=User1. In het rechter deelvenster van de LDP-browser geeft LDP alle eigenschappen weer die aan Gebruiker1 zijn gekoppeld, zoals in de afbeelding wordt getoond:
   
   

   
   

6. Wanneer u de WLC voor de LDAP-server configureren geeft u in het veld Gebruikersnaam de naam van de eigenschap in op het gebruikersrecord dat de gebruikersnaam bevat. Vanuit deze LDP-uitvoer kunt u zien dat sAMAaccountName één eigenschap is die de gebruikersnaam "User1" bevat, zodat u de eigenschap sAMAcountName invoert die overeenkomt met het veld User Attribution op de WLC.
   
   

7. Wanneer u de WLC voor de LDAP server aanpast, voer in het veld Gebruiker Objecttype de waarde in van de LDAP objectType-eigenschap die de opname als gebruiker identificeert. Vaak hebben gebruikersrecords verschillende waarden voor het objectType-kenmerk, waarvan sommige uniek zijn voor de gebruiker en andere met andere objecttypen. In de LDP-uitvoer is CN=Person één waarde die de opname als een gebruiker identificeert, dus specificeert u de persoon als de gebruikersobject-eigenschap op de WLC.

   De volgende stap is het configureren van de WLC voor de LDAP server.

WLC configureren voor LDAP server

Nu de LDAP server is ingesteld, wordt de volgende stap gezet door de WLC te configureren met informatie over de LDAP server. Volg deze stappen op de WLC GUI:

Opmerking: dit document gaat ervan uit dat de WLC is ingesteld voor een eenvoudige bediening en dat de LAP's zijn geregistreerd op de WLC. Als u een nieuwe gebruiker bent die de WLC voor basisbediening met LAP's wilt instellen, raadpleegt u Lichtgewicht AP (LAP) Registratie aan een draadloze LAN-controller (WLC).

1. Selecteer in de beveiligingspagina van de WLC de optie AAA > LDAP in het linker taakvenster om naar de lidaf-serverconfiguratie te gaan.

   

   Klik op Nieuw om een LDAP-server toe te voegen. De LDAP servers > Nieuwe pagina verschijnt.

2. Specificeer in de pagina LDAP-servers de details van de LDAP-server, zoals het IP-adres van de LDAP-server, het poortnummer, de serverstatus inschakelen enzovoort.

   • Kies een nummer uit het uitrolvak Server Index (Prioriteit) om de prioriteitsvolgorde van deze server te specificeren in vergelijking met andere geconfigureerde LDAP-servers. U kunt maximaal zeventien servers configureren. Als de controller niet de eerste server kan bereiken, probeert hij de tweede server in de lijst enzovoort.

   • Voer het IP-adres van de LDAP-server in het veld IP-adres van de server.

   • Voer het TCP poortnummer van de LDAP server in in het veld Port Number. Het geldige bereik is 1 tot 65535 en de standaardwaarde is 389.

   • voor Simple bind, gebruikten we Authenticated, voor de bind gebruikersnaam die de locatie van de WLC admin gebruiker is die gebruikt zal worden om toegang te krijgen tot de LDAP server en zijn wachtwoord

   • Voer in het veld Gebruiker Base DN de naam (DN) van de subboom in in de LDAP server die een lijst van alle gebruikers bevat. Bijvoorbeeld, ou=organisatorische eenheid, .ou=volgende organisatorische eenheid, en o=corporation.com. Als de boom die gebruikers bevat de basis DN is, voer dan o=corporation.com of dc=corporation in, dc=com.

     In dit voorbeeld bevindt de gebruiker zich onder de Organisatorische Eenheid (OU) LDAP-GEBRUIKERS, die op zijn beurt gecreëerd wordt als deel van het lab.wireless-domein.

     De gebruikersbasis DN moet het volledige pad wijzen waar de gebruikersinformatie (gebruikersgecrediteerd volgens de MAP-FAST verificatiemethode) zich bevindt. In dit voorbeeld bevindt de gebruiker zich onder de basis DNA OU=LDAP-GEBRUIKERS, DC=CISCOSYSTEMS, DC=local.

   • Typ in het veld Gebruikersnaam de naam van de eigenschap in het gebruikersrecord dat de gebruikersnaam bevat.

     Voer in het veld Type gebruikersobject de waarde in van de eigenschap LDAP-objectType die de opname als gebruiker identificeert. Vaak hebben gebruikersrecords verschillende waarden voor het objectType-kenmerk, waarvan sommige uniek zijn voor de gebruiker en andere met andere objecttypen

     U kunt de waarde van deze twee velden van uw telefoongids server verkrijgen met de LDAP browser die als onderdeel van de Windows 2012 support tools komt. Dit Microsoft LDAP-browser wordt LDP genoemd. Met hulp van dit gereedschap kunt u de velden Gebruikerspatroon, Gebruikerspatroon, Gebruikerspatroon en Gebruikerspatroon van deze specifieke gebruiker kennen. Gedetailleerde informatie over het gebruik van LDP om deze gebruikersspecifieke eigenschappen te kennen, wordt besproken in het gebruik van LDP om de sectie gebruikerskenmerken van dit document te identificeren.

   • Voer in het veld Time-out server het aantal seconden tussen terugzendingen in. Het geldige bereik is 2 tot 30 seconden, en de standaardwaarde is 2 seconden.

   • Controleer de optie Server Status inschakelen om deze LDAP-server in te schakelen of trek deze uit om het uit te schakelen. De standaardwaarde is uitgeschakeld.

   • Klik op Toepassen om de wijzigingen aan te geven. Dit is een voorbeeld dat al met deze informatie is ingesteld:

   

3. Nu de details over de LDAP server zijn ingesteld op de WLC, is de volgende stap een WLAN te configureren voor webverificatie.

Configureren van WLAN voor webverificatie

De eerste stap is het maken van een WLAN voor de gebruikers. Voer de volgende stappen uit:

1. Klik op WLAN’s van de controller GUI om een WLAN-functie te maken.

   Het WLAN-venster verschijnt. Dit venster toont de WLAN’s die op de controller zijn geconfigureerd.

2. Klik op New om een nieuwe WLAN te configureren.

   In dit voorbeeld, wordt WLAN genoemd Web-Auth.

   

3. Klik op Toepassen.

4. In het venster WLAN > Bewerken definieert u de parameters die specifiek zijn voor WLAN.

   

   • Controleer het dialoogvenster Status om het WLAN in te schakelen.

   • Kies voor de WLAN-functie de juiste interface in het veld Interfacenaam.

     Dit voorbeeld brengt de beheersinterface in kaart die aan de WLAN Web-Auth verbindt.

5. Klik op het tabblad Beveiliging. In het veld Layer 3 security controleert u het vakje Web Policy en kiest u de optie Verificatie.

   

   Deze optie wordt gekozen omdat de web authenticatie wordt gebruikt om de draadloze clients te authenticeren. Controleer het aanvinkvakje Global Config negeren om per de WLAN-webverificatie mogelijk te maken. Kies het juiste web authenticatietype in het Web Auth type vervolgkeuzemenu. Dit voorbeeld gebruikt Interne Webverificatie.

   Opmerking: Webverificatie wordt niet ondersteund door 802.1x-verificatie. Dit betekent dat u geen 802.1x of een WAP/WAP2 met 802.1x kunt kiezen als Layer 2 beveiliging wanneer u web authenticatie gebruikt. Webverificatie wordt ondersteund door alle andere Layer 2-beveiligingsparameters.

6. Klik op het tabblad AAA-servers. Kies de geconfigureerde LDAP-server in het keuzemenu van de LDAP-server. Als u een lokale database of een RADIUS-server gebruikt, kunt u de echtheidsprioriteit instellen onder de verificatieprioriteit voor een gebruikersveld voor webauth.

   

7. Klik op Toepassen.

   Opmerking: In dit voorbeeld worden Layer 2 security methoden om gebruikers voor authentiek te verklaren niet gebruikt, dus kies Geen in het veld Layer 2 Security.

Verifiëren

Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

Om deze instelling te verifiëren, sluit u een draadloze client aan en controleer of de configuratie werkt zoals verwacht.

De draadloze client komt naar voren en de gebruiker voert de URL in, zoals www.yahoo.com, in de webbrowser. Omdat de gebruiker niet voor echt is bevonden, stuurt de WLC de gebruiker terug naar de interne URL voor weblogaanmelding.

De gebruiker wordt gevraagd naar de gebruikersreferenties. Nadat de gebruiker de gebruikersnaam en het wachtwoord heeft opgegeven, neemt de inlogpagina de inloginloginreferenties en stuurt hij het verzoek terug naar het http://1.1.1.1/login.html van de WLC-webserver, . Dit wordt geleverd als een invoerparameter voor de klant om URL door te sturen, waar 1.1.1.1 het Virtuele Interface Adres op de switch is.

De WLC authenticeert de gebruiker aan de LDAP gebruikersdatabase. Na succesvolle verificatie stuurt de WLC-webserver de gebruiker door naar de geconfigureerde URL of naar de URL waarmee de client is gestart, zoals www.yahoo.com.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Gebruik deze opdrachten om de configuratie van het probleem op te lossen:

• debug mac addr <client-MAC-adres xx:xx:xx:xx:xx:xx:xx>

• debug a allen activeren

• debug van de toestand van peers

• debug pem-gebeurtenissen activeren

• debug-bericht van DHCP

• debug van TCP-pakketjes

Dit is een voorbeelduitvoer van de opdrachten debug mac addr cc:fa:00:f7:32:35

                                                                                  automatisch detecteren van gegevensbestanden

(Cisco_Controller) >*pemReceiveTask: Dec 24 03:45:23.089: cc:fa:00:f7:32:35 Sent an XID frame
*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Processing assoc-req station:cc:fa:00:f7:32:35 AP:00:23:eb:e5:04:10-01 thread:18ec9330
*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Association received from mobile on BSSID 00:23:eb:e5:04:1f AP AP1142-1
*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Global 200 Clients are allowed to AP radio

*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Max Client Trap Threshold: 0  cur: 1

*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Rf profile 600 Clients are allowed to AP wlan

*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 override for default ap group, marking intgrp NULL
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Applying Interface policy on Mobile, role Local. Ms NAC State 2 Quarantine Vlan 0 Access Vlan 16

*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Re-applying interface policy for client

*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Changing IPv4 ACL 'none' (ACL ID 255) ===> 'none' (ACL ID 255) --- (caller apf_policy.c:2699)
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Changing IPv6 ACL 'none' (ACL ID 255) ===> 'none' (ACL ID 255) --- (caller apf_policy.c:2720)
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 apfApplyWlanPolicy: Apply WLAN Policy over PMIPv6 Client Mobility Type, Tunnel User - 0
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 In processSsidIE:6246 setting Central switched to TRUE
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 In processSsidIE:6249 apVapId = 1 and Split Acl Id = 65535
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Applying site-specific Local Bridging override for station cc:fa:00:f7:32:35 - vapId 1, site 'default-group', interface 'management'
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Applying Local Bridging Interface Policy for station cc:fa:00:f7:32:35 - vlan 16, interface id 0, interface 'management'
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 processSsidIE  statusCode is 0 and status is 0
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 processSsidIE  ssid_done_flag is 0 finish_flag is 0
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 STA - rates (3): 24 164 48 0 0 0 0 0 0 0 0 0 0 0 0 0
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 suppRates  statusCode is 0 and gotSuppRatesElement is 1
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 AID 2 in Assoc Req from flex AP 00:23:eb:e5:04:10 is same as in mscb cc:fa:00:f7:32:35
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 apfMs1xStateDec
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Change state to START (0) last state WEBAUTH_REQD (8)

*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 pemApfAddMobileStation2: APF_MS_PEM_WAIT_L2_AUTH_COMPLETE = 0.
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 START (0) Initializing policy
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 START (0) Change state to AUTHCHECK (2) last state START (0)

*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4) last state AUTHCHECK (2)

*pemReceiveTask: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 Removed NPU entry.
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Not Using WMM Compliance code qosCap 00
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 00:23:eb:e5:04:10 vapId 1 apVapId 1 flex-acl-name:
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 L2AUTHCOMPLETE (4) Change state to WEBAUTH_REQD (8) last state L2AUTHCOMPLETE (4)

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) pemApfAddMobileStation2 3802, Adding TMP rule
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Adding Fast Path rule
  type = Airespace AP Client - ACL passthru
  on AP 00:23:eb:e5:04:10, slot 1, interface = 1, QOS = 0
  IPv4 ACL I
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 15206, IntfId = 0  Local Bridging Vlan = 16, Local Bridging intf id = 0
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) pemApfAddMobileStation2 3911, Adding TMP rule
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Replacing Fast Path rule
  type = Airespace AP Client - ACL passthru
  on AP 00:23:eb:e5:04:10, slot 1, interface = 1, QOS = 0
  IPv4 AC
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 15206, IntfId = 0  Local Bridging Vlan = 16, Local Bridging intf id = 0
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 apfPemAddUser2 (apf_policy.c:359) Changing state for mobile cc:fa:00:f7:32:35 on AP 00:23:eb:e5:04:10 from Associated to Associated

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 apfPemAddUser2:session timeout forstation cc:fa:00:f7:32:35 - Session Tout 1800, apfMsTimeOut '1800' and sessionTimerRunning flag is  1
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 Scheduling deletion of Mobile Station:  (callerId: 49) in 1800 seconds
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 Func: apfPemAddUser2, Ms Timeout = 1800, Session Timeout = 1800

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 Sending assoc-resp with status 0 station:cc:fa:00:f7:32:35 AP:00:23:eb:e5:04:10-01 on apVapId 1
*apfMsConnTask_1: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 Sending Assoc Response to station on BSSID 00:23:eb:e5:04:1f (status 0) ApVapId 1 Slot 1
*apfMsConnTask_1: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 apfProcessAssocReq (apf_80211.c:10187) Changing state for mobile cc:fa:00:f7:32:35 on AP 00:23:eb:e5:04:10 from Associated to Associated

*pemReceiveTask: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 172.16.16.122 Added NPU entry of type 2, dtlFlags 0x0
*pemReceiveTask: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 Sent an XID frame
*pemReceiveTask: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 172.16.16.122 Added NPU entry of type 2, dtlFlags 0x0
*pemReceiveTask: Dec 24 03:45:43.558: cc:fa:00:f7:32:35 Sent an XID frame
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP received op BOOTREQUEST (1) (len 322,vlan 16, port 1, encap 0xec03, xid 0x62743488)
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP (encap type 0xec03) mstype 0ff:ff:ff:ff:ff:ff
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP selecting relay 1 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 255.255.254.0,
                        dhcpGateway: 172.16.16.1, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP mscbVapLocalAddr=172.16.16.25 mscbVapLocalNetMask= 255.255.254.0 mscbdhcpRelay=172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP selected relay 1 - 172.16.16.25 (local address 172.16.16.25, gateway 172.16.16.25, VLAN 16, port 1)
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selecting relay 2 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 255.255.254.0,
                        dhcpGateway: 172.16.16.1, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selected relay 2 - NONE
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selecting relay 1 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 0.0.0.0,
                        dhcpGateway: 0.0.0.0, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP mscbVapLocalAddr=172.16.16.25 mscbVapLocalNetMask= 255.255.254.0 mscbdhcpRelay=172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selected relay 1 - 172.16.16.25 (local address 172.16.16.25, gateway 172.16.16.25, VLAN 16, port 1)
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP transmitting DHCP DISCOVER (1)
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 1
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   xid: 0x62743488 (1651782792), secs: 0, flags: 0
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   chaddr: cc:fa:00:f7:32:35
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   ciaddr: 0.0.0.0,  yiaddr: 0.0.0.0
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   siaddr: 0.0.0.0,  giaddr: 172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selecting relay 2 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 0.0.0.0,
                        dhcpGateway: 0.0.0.0, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selected relay 2 - NONE
*DHCP Proxy Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP received op BOOTREPLY (2) (len 572,vlan 0, port 0, encap 0x0, xid 0x62743488)
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP sending REPLY to STA (len 418, port 1, vlan 16)
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP transmitting DHCP OFFER (2)
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   xid: 0x62743488 (1651782792), secs: 0, flags: 0
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   chaddr: cc:fa:00:f7:32:35
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   ciaddr: 0.0.0.0,  yiaddr: 172.16.16.122
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   siaddr: 0.0.0.0,  giaddr: 0.0.0.0
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   server id: 1.1.1.1  rcvd server id: 172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP received op BOOTREQUEST (1) (len 334,vlan 16, port 1, encap 0xec03, xid 0x62743488)
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP (encap type 0xec03) mstype 0ff:ff:ff:ff:ff:ff
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP selecting relay 1 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 0.0.0.0,
                        dhcpGateway: 0.0.0.0, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP mscbVapLocalAddr=172.16.16.25 mscbVapLocalNetMask= 255.255.254.0 mscbdhcpRelay=172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP selected relay 1 - 172.16.16.25 (local address 172.16.16.25, gateway 172.16.16.25, VLAN 16, port 1)
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP transmitting DHCP REQUEST (3)
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP   op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 1
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP   xid: 0x62743488 (1651782792), secs: 0, flags: 0
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP   chaddr: cc:fa:00:f7:32:35
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   ciaddr: 0.0.0.0,  yiaddr: 0.0.0.0
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   siaddr: 0.0.0.0,  giaddr: 172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   requested ip: 172.16.16.122
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   server id: 172.16.16.25  rcvd server id: 1.1.1.1
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP selecting relay 2 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 0.0.0.0,
                        dhcpGateway: 0.0.0.0, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP selected relay 2 - NONE
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP received op BOOTREPLY (2) (len 572,vlan 0, port 0, encap 0x0, xid 0x62743488)
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP setting server from ACK (mscb=0x40e64b88 ip=0xac10107a)(server 172.16.16.25, yiaddr 172.16.16.122)
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP sending REPLY to STA (len 418, port 1, vlan 16)
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP transmitting DHCP ACK (5)
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   xid: 0x62743488 (1651782792), secs: 0, flags: 0
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   chaddr: cc:fa:00:f7:32:35
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   ciaddr: 0.0.0.0,  yiaddr: 172.16.16.122
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   siaddr: 0.0.0.0,  giaddr: 0.0.0.0
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   server id: 1.1.1.1  rcvd server id: 172.16.16.25
*ewmwebWebauth1: Dec 24 03:46:01.222: cc:fa:00:f7:32:35 Username entry (User1) created for mobile, length = 7
*ewmwebWebauth1: Dec 24 03:46:01.222: cc:fa:00:f7:32:35 Username entry (User1) created in mscb for mobile, length = 7
*aaaQueueReader: Dec 24 03:46:01.222: AuthenticationRequest: 0x2b6bdc3c


*aaaQueueReader: Dec 24 03:46:01.222:   Callback.....................................0x12088c50

*aaaQueueReader: Dec 24 03:46:01.222:   protocolType.................................0x00000002

*aaaQueueReader: Dec 24 03:46:01.222:   proxyState...................................CC:FA:00:F7:32:35-00:00

*aaaQueueReader: Dec 24 03:46:01.222:   Packet contains 15 AVPs (not shown)

*LDAP DB Task 1: Dec 24 03:46:01.222: ldapTask [1] received msg 'REQUEST' (2) in state 'IDLE' (1)
*LDAP DB Task 1: Dec 24 03:46:01.222: LDAP server 1 changed state to INIT
*LDAP DB Task 1: Dec 24 03:46:01.223: LDAP_OPT_REFERRALS = -1

*LDAP DB Task 1: Dec 24 03:46:01.223: ldapInitAndBind [1] called lcapi_init (rc = 0 - Success)
*LDAP DB Task 1: Dec 24 03:46:01.225: ldapInitAndBind [1] configured Method Authenticated lcapi_bind (rc = 0 - Success)
*LDAP DB Task 1: Dec 24 03:46:01.225: LDAP server 1 changed state to CONNECTED
*LDAP DB Task 1: Dec 24 03:46:01.225: disabled LDAP_OPT_REFERRALS

*LDAP DB Task 1: Dec 24 03:46:01.225: LDAP_CLIENT: UID Search (base=CN=Users,DC=CISCOSYSTEMS,DC=local, pattern=(&(objectclass=Person)(sAMAccountName=User1)))
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: ldap_search_ext_s returns 0 -5
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Returned 2 msgs including 0 references
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Returned msg 1 type 0x64
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Received 1 attributes in search entry msg
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Returned msg 2 type 0x65
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT : No matched DN
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT : Check result error 0 rc 1013
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Received no referrals in search result msg
*LDAP DB Task 1: Dec 24 03:46:01.226: ldapAuthRequest [1] 172.16.16.200 - 389 called lcapi_query base="CN=Users,DC=CISCOSYSTEMS,DC=local" type="Person" attr="sAMAccountName" user="User1" (rc = 0 - Success)
*LDAP DB Task 1: Dec 24 03:46:01.226: Attempting user bind with username CN=User1,CN=Users,DC=CISCOSYSTEMS,DC=local
*LDAP DB Task 1: Dec 24 03:46:01.228: LDAP ATTR> dn = CN=User1,CN=Users,DC=CISCOSYSTEMS,DC=local (size 45)
*LDAP DB Task 1: Dec 24 03:46:01.228: Handling LDAP response Success
*LDAP DB Task 1: Dec 24 03:46:01.228: Authenticated bind : Closing the binded session

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Change state to WEBAUTH_NOL3SEC (14) last state WEBAUTH_REQD (8)

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 apfMsRunStateInc
*LDAP DB Task 1: Dec 24 03:46:01.228: ldapClose [1] called lcapi_close (rc = 0 - Success)
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_NOL3SEC (14) Change state to RUN (20) last state WEBAUTH_NOL3SEC (14)

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 Stopping deletion of Mobile Station: (callerId: 74)
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 Setting Session Timeout to 1800 sec - starting session timer for the mobile
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Reached PLUMBFASTPATH: from line 6972
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Replacing Fast Path rule
  type = Airespace AP Client
  on AP 00:23:eb:e5:04:10, slot 1, interface = 1, QOS = 0
  IPv4 ACL ID = 255, IPv6 ACL ID
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 15206, IntfId = 0  Local Bridging Vlan = 16, Local Bridging intf id = 0
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*ewmwebWebauth1: Dec 24 03:46:01.229: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
*pemReceiveTask: Dec 24 03:46:01.229: cc:fa:00:f7:32:35 172.16.16.122 Added NPU entry of type 1, dtlFlags 0x0


(Cisco_Controller) >show client detail cc:fa:00:f7:32:35
Client MAC Address............................... cc:fa:00:f7:32:35
Client Username ................................. User1
AP MAC Address................................... 00:23:eb:e5:04:10
AP Name.......................................... AP1142-1
AP radio slot Id................................. 1
Client State..................................... Associated
Client User Group................................ User1
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 1
Wireless LAN Network Name (SSID)................. LDAP-TEST
Wireless LAN Profile Name........................ LDAP-TEST
Hotspot (802.11u)................................ Not Supported
BSSID............................................ 00:23:eb:e5:04:1f
Connected For ................................... 37 secs
Channel.......................................... 36
IP Address....................................... 172.16.16.122
Gateway Address.................................. 172.16.16.1
Netmask.......................................... 255.255.254.0
Association Id................................... 2
Authentication Algorithm......................... Open System
Reason Code...................................... 1
Status Code...................................... 0

--More or (q)uit current module or <ctrl-z> to abort
Session Timeout.................................. 1800
Client CCX version............................... No CCX support
QoS Level........................................ Silver
Avg data Rate.................................... 0
Burst data Rate.................................. 0
Avg Real time data Rate.......................... 0
Burst Real Time data Rate........................ 0
802.1P Priority Tag.............................. disabled
CTS Security Group Tag........................... Not Applicable
KTS CAC Capability............................... No
Qos Map Capability............................... No
WMM Support...................................... Enabled
  APSD ACs.......................................  BK  BE  VI  VO
Current Rate..................................... m7
Supported Rates.................................. 12.0,18.0,24.0
Mobility State................................... Local
Mobility Move Count.............................. 0
Security Policy Completed........................ Yes
Policy Manager State............................. RUN
Audit Session ID................................. ac10101900000005567b69f8
AAA Role Type.................................... none
Local Policy Applied............................. none
IPv4 ACL Name.................................... none

--More or (q)uit current module or <ctrl-z> to abort
FlexConnect ACL Applied Status................... Unavailable
IPv4 ACL Applied Status.......................... Unavailable
IPv6 ACL Name.................................... none
IPv6 ACL Applied Status.......................... Unavailable
Layer2 ACL Name.................................. none
Layer2 ACL Applied Status........................ Unavailable
Client Type...................................... SimpleIP
mDNS Status...................................... Enabled
mDNS Profile Name................................ default-mdns-profile
No. of mDNS Services Advertised.................. 0
Policy Type...................................... N/A
Encryption Cipher................................ None
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... Unknown
FlexConnect Data Switching....................... Central
FlexConnect Dhcp Status.......................... Central
FlexConnect Vlan Based Central Switching......... No
FlexConnect Authentication....................... Central
FlexConnect Central Association.................. No
Interface........................................ management
VLAN............................................. 16
Quarantine VLAN.................................. 0

--More or (q)uit current module or <ctrl-z> to abort
Access VLAN...................................... 16
Local Bridging VLAN.............................. 16
Client Capabilities:
      CF Pollable................................ Not implemented
      CF Poll Request............................ Not implemented
      Short Preamble............................. Not implemented
      PBCC....................................... Not implemented
      Channel Agility............................ Not implemented
      Listen Interval............................ 10
      Fast BSS Transition........................ Not implemented
      11v BSS Transition......................... Not implemented
Client Wifi Direct Capabilities:
      WFD capable................................ No
      Manged WFD capable......................... No
      Cross Connection Capable................... No
      Support Concurrent Operation............... No
Fast BSS Transition Details:
Client Statistics:
      Number of Bytes Received................... 16853
      Number of Bytes Sent....................... 31839
      Total Number of Bytes Sent................. 31839
      Total Number of Bytes Recv................. 16853
      Number of Bytes Sent (last 90s)............ 31839

--More or (q)uit current module or <ctrl-z> to abort
      Number of Bytes Recv (last 90s)............ 16853
      Number of Packets Received................. 146
      Number of Packets Sent..................... 92
      Number of Interim-Update Sent.............. 0
      Number of EAP Id Request Msg Timeouts...... 0
      Number of EAP Id Request Msg Failures...... 0
      Number of EAP Request Msg Timeouts......... 0
      Number of EAP Request Msg Failures......... 0
      Number of EAP Key Msg Timeouts............. 0
      Number of EAP Key Msg Failures............. 0
      Number of Data Retries..................... 2
      Number of RTS Retries...................... 0
      Number of Duplicate Received Packets....... 0
      Number of Decrypt Failed Packets........... 0
      Number of Mic Failured Packets............. 0
      Number of Mic Missing Packets.............. 0
      Number of RA Packets Dropped............... 0
      Number of Policy Errors.................... 0
      Radio Signal Strength Indicator............ -48 dBm
      Signal to Noise Ratio...................... 41 dB
Client Rate Limiting Statistics:
      Number of Data Packets Received............ 0
      Number of Data Rx Packets Dropped.......... 0

--More or (q)uit current module or <ctrl-z> to abort
      Number of Data Bytes Received.............. 0
      Number of Data Rx Bytes Dropped............ 0
      Number of Realtime Packets Received........ 0
      Number of Realtime Rx Packets Dropped...... 0
      Number of Realtime Bytes Received.......... 0
      Number of Realtime Rx Bytes Dropped........ 0
      Number of Data Packets Sent................ 0
      Number of Data Tx Packets Dropped.......... 0
      Number of Data Bytes Sent.................. 0
      Number of Data Tx Bytes Dropped............ 0
      Number of Realtime Packets Sent............ 0
      Number of Realtime Tx Packets Dropped...... 0
      Number of Realtime Bytes Sent.............. 0
      Number of Realtime Tx Bytes Dropped........ 0
Nearby AP Statistics:
      AP1142-1(slot 0)
        antenna0: 25 secs ago.................... -37 dBm
        antenna1: 25 secs ago.................... -37 dBm
      AP1142-1(slot 1)
        antenna0: 25 secs ago.................... -44 dBm
        antenna1: 25 secs ago.................... -57 dBm
DNS Server details:
      DNS server IP ............................. 0.0.0.0

--More or (q)uit current module or <ctrl-z> to abort
      DNS server IP ............................. 0.0.0.0
Assisted Roaming Prediction List details:


Client Dhcp Required:     False