Configurar o WLC com autenticação LDAP para o 802.1x e o Web-AUTH WLAN
Índice
Introdução
Este documento descreve o procedimento para configurar um controlador do Wireless LAN de AireOS (WLC) a fim autenticar clientes com um server do Lightweight Directory Access Protocol (LDAP) como o base de dados de usuários.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Server de Microsoft Windows
- Diretório ativo
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software:
- Software WLC 8.2.110.0 de Cisco
- Microsoft Windows server 2012 R2
A informação neste documento foi criada de um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se sua rede está viva, certifique-se de que você compreende o impacto potencial do comando any ou mude-se.
Informações de Apoio
Fundo técnico
- O LDAP é um protocolo usado para alcançar servidores de diretório.
- Os servidores de diretório são bases de dados hierárquicos, orientados ao objeto.
- Os objetos são organizados em uns recipientes tais como as unidades organizacionais chamadas OU, grupos ou recipientes de Microsoft do padrão como cn=Users.
- A maioria de parte difícil desta instalação é configurar corretamente os parâmetros do servidor ldap no WLC.
Para informações mais detalhadas sobre destes conceitos, refira a seção da introdução de como configurar o controlador do Wireless LAN (WLC) para a autenticação do Lightweight Directory Access Protocol (LDAP).
Perguntas mais freqüentes
- Que username deve ser usado para ligar com o servidor ldap?
Há duas maneiras de ligar contra um servidor ldap, anônimo ou autenticado (refira a fim compreender a diferença entre ambos os métodos). Este username do ligamento precisa de ter privilégios do administrado poder perguntar para outros nomes de usuário/senhas.
- Se autenticado, você precisa de pedir: é o username do ligamento dentro do mesmo recipiente do que todos os usuários?
A maneira de especificar o username depende da resposta:
Se a resposta é nenhuma, use o caminho inteiro. Por exemplo:
CN=Administrator, CN=Domain Admins, cn=Users, DC=labm, dc=cisco, dc=com
Se a resposta é sim, a seguir use o username somente. Por exemplo:
Administrador
- Que se há usuários em uns recipientes diferentes? Faz toda a necessidade de usuários involvida do Sem fio LDAP de estar no mesmo recipiente?
Não, uma base DN que inclua todos os recipientes necessários pode ser especificado.
- Que atributos deve o WLC procurar?
O WLC combina o atributo de usuário e o tipo de objeto especificados.
- Que métodos do Extensible Authentication Protocol (EAP) podem ser usados?
EAP-FAST, PEAP-GTC e EAP-TLS somente. Android, o iOS e do padrão MacOS suplicantes trabalham com protocolo extensible authentication protegido (PEAP). Para Windows, o gerente do acesso de rede de Anyconnect (NAM) ou o suplicante das janelas padrão com Cisco: O PEAP deve ser usado em adaptadores Wireless apoiados segundo as indicações da imagem.
- Por que não pode o WLC encontrar usuários?
Os usuários dentro de um grupo não podem ser autenticados. Precisam de ser dentro de um recipiente do padrão (CN) ou de uma unidade organizacional (OU) segundo as indicações da imagem.
Configurar
Há as encenações diferentes em que um servidor ldap pode ser empregado, com autenticação do 802.1x ou autenticação da Web. Para este procedimento, somente os usuários dentro do OU=SofiaLabOU devem ser autenticados. A fim aprender como usar a ferramenta do protocolo de distribuição de rótulo (LDP), para configurar e pesquisar defeitos o LDAP, refere o guia de configuração ldap WLC.
Crie o WLAN que confia no servidor ldap para autenticar usuários com o 802.1x
Diagrama de Rede
Nesta encenação, o WLAN LDAP-dot1x usa um servidor ldap para autenticar os usuários com o uso do 802.1x.
Etapa 1. Crie um usuário1 do usuário no membro do servidor ldap do SofiaLabOU e do SofiaLabGroup segundo as indicações das imagens.
Etapa 2. Crie um perfil EAP no WLC com o método de EAP desejado (uso PEAP) segundo as indicações da imagem.
Etapa 3. Ligue o WLC com o servidor ldap segundo as indicações da imagem.
Etapa 4. Ajuste a ordem da autenticação a ser ajustada aos usuários internos + ao LDAP ou ao LDAP somente segundo as indicações da imagem.
Etapa 5. Crie o LDAP-dot1x WLANAS mostrado nas imagens.
Etapa 6. Ajuste o método de segurança L2 a WPA2 + 802.1x e ajuste a Segurança L3 aos noneas mostrados na imagem.
Etapa 7. Permita a autenticação de EAP local e assegure-se de que opções dos Authentication Server e dos servidores de contabilidade estejam desabilitados e o LDAP seja enabledas mostrados na imagem.
Todos ajustes restantes podem ser deixados em padrões.
Crie o WLAN que confia no servidor ldap para autenticar usuários através do portal da web interno WLC
Diagrama de Rede
Nesta encenação, a LDAP-Web WLAN usa um servidor ldap para autenticar os usuários com o portal da web interno WLC.
Assegure-se de que as etapas 1. etapas diretas 4. estejam tomadas do exemplo anterior. De lá, a configuração WLAN é ajustada diferentemente.
Etapa 1. Crie um usuário1 do usuário no membro do servidor ldap do OU SofiaLabOU e o grupo SofiaLabGroup.
Etapa 2. Crie um perfil EAP no WLC com o método de EAP desejado (uso PEAP).
Etapa 3. Ligue o WLC com o servidor ldap.
Etapa 4. Ajuste a ordem da autenticação a ser ajustada aos usuários internos + ao LDAP.
Etapa 5. Crie a LDAP-Web WLAN segundo as indicações das imagens.
Etapa 6. Ajuste a Segurança L2 a nenhuns e a Segurança L3 à política da Web – Authenticationas mostrado nas imagens.
Etapa 7. Ajuste a ordem da prioridade da autenticação para que o Web-AUTH use o LDAP e para assegurar opções dos Authentication Server e dos servidores de contabilidade seja disabledas mostrados na imagem.
Todos ajustes restantes podem ser deixados em padrões.
Use a ferramenta LDP para configurar e pesquisar defeitos o LDAP
Etapa 1. Abra a ferramenta LDP no servidor ldap ou em um host com Conectividade (a porta TCP 389 deve ser permitida ao server) segundo as indicações da imagem.
Etapa 2. Navegue à conexão > ao ligamento, entre com um usuário admin e selecione o ligamento com os buttonas de rádio das credenciais mostrados na imagem.
Etapa 3. Navegue para ver > árvore e para selecionar ESTÁ BEM na base DN segundo as indicações da imagem.
Etapa 4. Expanda a árvore para ver a estrutura e para procurar a base DN da busca. Considere que pode ser qualquer tipo do recipiente exceto grupos. Pode ser o domínio inteiro, um OU específico ou um CN como CN=Usersas mostrado na imagem.
Etapa 5. Expanda o SofiaLabOU a fim ver que usuários são para dentro dele. Há o usuário1 que era beforeas criados mostrados na imagem.
Etapa 6. Tudo precisou de configurar os isas LDAP mostrados na imagem.
Etapa 7. Os grupos como SofiaLabGroup não podem ser usados como uma busca DN. Expanda o grupo e procure os usuários dentro dele, onde o usuário1 criado previamente deve beas mostrado na imagem.
O usuário1 estava lá mas o LDP não podia encontrá-lo. Significa que o WLC não pode o fazer também e que é porque os grupos não são apoiados como uma base DN da busca.
Verificar
Use esta seção para confirmar se a sua configuração funciona corretamente.
(cisco-controller) >show ldap summary Idx Server Address Port Enabled Secure --- ------------------------- ------ ------- ------ 1 10.88.173.121 389 Yes No (cisco-controller) >show ldap 1 Server Index..................................... 1 Address.......................................... 10.88.173.121 Port............................................. 389 Server State..................................... Enabled User DN.......................................... OU=SofiaLabOU,DC=labm,DC=cisco,DC=com User Attribute................................... sAMAccountName User Type........................................ Person Retransmit Timeout............................... 2 seconds Secure (via TLS)................................. Disabled Bind Method ..................................... Authenticated Bind Username.................................... CN=Administrator,CN=Domain Admins,CN=Users,DC=labm,DC=cisco,DC=com
Troubleshooting
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.
(cisco-controller) >debug client <MAC Address> (cisco-controller) >debug aaa ldap enable (cisco-controller) >show ldap statistics Server Index..................................... 1 Server statistics: Initialized OK................................. 0 Initialization failed.......................... 0 Initialization retries......................... 0 Closed OK...................................... 0 Request statistics: Received....................................... 0 Sent........................................... 0 OK............................................. 0 Success........................................ 0 Authentication failed.......................... 0 Server not found............................... 0 No received attributes......................... 0 No passed username............................. 0 Not connected to server........................ 0 Internal error................................. 0 Retries........................................ 0
Informações Relacionadas
- LDAP - Manual de configuração WLC 8.2
- Como configurar o controlador do Wireless LAN (WLC) para a autenticação do Lightweight Directory Access Protocol (LDAP) - por Vinay Sharma
- Autenticação da Web usando o LDAP no exemplo de configuração dos controladores do Wireless LAN (WLC) - por Yahya Jaber e por Ayman Alfares
- Suporte Técnico e Documentação - Cisco Systems
FeedbackDeixe-nos ajudar
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)