Introduction
Este documento descreve o procedimento para configurar um AireOS Wireless LAN Controller (WLC) para autenticar clientes com um Lightweight Diretory Access Protocol (LDAP) Server como o banco de dados de usuários.
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Servidores Microsoft Windows
- Ative Diretory
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software:
- Software Cisco WLC 8.2.110.0
- Microsoft Windows Server 2012 R2
As informações neste documento foram criadas a partir de um ambiente de laboratório específico. All of the devices used in this document started with a cleared (default) configuration. Se a sua rede estiver ativa, certifique-se de que você entende o impacto potencial de qualquer comando ou alteração.
Informações de Apoio
Informações técnicas
- LDAP é um protocolo usado para acessar servidores de diretórios.
- Os servidores de diretório são bancos de dados hierárquicos orientados a objetos.
- Os objetos são organizados em contêineres como Unidades Organizacionais chamadas OU, Grupos ou Contêineres Microsoft padrão como CN=Usuários.
- A parte mais difícil dessa configuração é configurar os parâmetros do servidor LDAP corretamente na WLC.
Para obter informações mais detalhadas sobre esses conceitos, consulte a seção Introdução de Como configurar a autenticação do Wireless Lan Controller (WLC) para Lightweight Diretory Access Protocol (LDAP).
Perguntas mais freqüentes
- Qual nome de usuário deve ser usado para se vincular ao servidor LDAP?
Há duas maneiras de se vincular a um servidor LDAP, anônimo ou autenticado (consulte para entender a diferença entre os dois métodos). Este nome de usuário de associação precisa ter privilégios de Administrador para poder consultar outros nomes de usuário/senhas.
- Se autenticado, você precisa perguntar: o nome de usuário de associação está no mesmo contêiner do que todos os usuários?
A maneira de especificar o nome de usuário depende da resposta:
Se a resposta for Não, use todo o caminho. Por exemplo:
CN=Administrador,CN=Administradores de domínio,CN=Usuários,DC=labm,DC=cisco,DC=com
Se a resposta for Sim, use somente o nome de usuário. Por exemplo:
Administrador
- E se houver usuários em contêineres diferentes? Todos os usuários LDAP sem fio envolvidos precisam estar no mesmo contêiner?
Não, um DN base que inclui todos os contêineres necessários pode ser especificado.
- Que atributos a WLC deve procurar?
A WLC corresponde ao atributo de usuário e ao tipo de objeto especificados.
Note: sAMAccountName diferencia maiúsculas de minúsculas, mas a pessoa não. Portanto, sAMAccountName=RICARDO e sAMAccountName=ricardo são iguais e funcionam, enquanto samaccountingname=RICARDO e samaccountingname=ricardo não.
- Que métodos Extensible Authentication Protocol (EAP) podem ser usados?
EAP-FAST, PEAP-GTC e EAP-TLS apenas. Os solicitantes padrão Android, iOS e MacOS funcionam com o PEAP (Protected Extensible Authentication Protocol). Para o Windows, o AnyConnect Network Access Manager (NAM) ou o suplicante padrão do Windows com Cisco:PEAP deve ser usado em adaptadores sem fio suportados, como mostrado na imagem.

Observação: os plug-ins Cisco EAP para Windows incluem uma versão do Open Secure Socket Layer (OpenSSL 0.9.8k) que é afetada pelo CSCva09670, a Cisco não planeja emitir mais nenhuma versão dos plug-ins EAP para Windows e recomenda que os clientes usem o AnyConnect Secure Mobility Client.
- Por que a WLC não consegue encontrar usuários?
Os usuários dentro de um grupo não podem ser autenticados. Eles precisam estar dentro de um Contêiner Padrão (CN) ou de uma Unidade Organizacional (OU), como mostrado na imagem.

Configurar
Há cenários diferentes nos quais um servidor LDAP pode ser empregado, com autenticação 802.1x ou autenticação da Web. Para esse procedimento, somente usuários dentro da OU=SofiaLabOU devem ser autenticados. Para aprender a usar a ferramenta Label Distribution Protocol (LDP), configurar e solucionar problemas de LDAP, consulte o Guia de Configuração LDAP da WLC.
Criar WLAN Que Confie No Servidor LDAP Para Autenticar Usuários Através Do 802.1x
Diagrama de Rede
Neste cenário, o LDAP-dot1x da WLAN usa um servidor LDAP para autenticar os usuários com o uso de 802.1x.

Etapa 1. Crie um usuário User1 no membro do Servidor LDAP de SofiaLabOU e SofiaLabGroup, como mostrado nas imagens.



Etapa 2. Crie um perfil EAP na WLC com o método EAP desejado (use PEAP)conforme mostrado na imagem.

Etapa 3. Vincule a WLC ao servidor LDAP conforme mostrado na imagem.
Tip: Se o nome de usuário associado não estiver no DN base do usuário, você deverá gravar o caminho inteiro para o usuário Admin como mostrado na imagem. Caso contrário, basta inserir Administrador.

Etapa 4. Defina a Ordem de autenticação para ser definida como Usuários internos + LDAP ou LDAP somente como mostrado na imagem.

Etapa 5. Criar a WLAN LDAP-dot1xcomo mostrado nas imagens.


Etapa 6. Defina o método de segurança L2 como WPA2 + 802.1x e a segurança L3 como nenhumaconforme mostrado na imagem.

Passo 7. Habilitar autenticação EAP local e garantir que as opções de Servidores de Autenticação e Servidores de Contabilidade estejam desabilitadas e que o LDAP esteja habilitadoconforme mostrado na imagem.

Todas as outras configurações podem ser deixadas no padrão.
Notas:
Use a ferramenta LDP para confirmar os parâmetros de configuração.
A Base de Pesquisa não pode ser um Grupo (como SofiaLabGroup).
PEAP-GTC ou Cisco:PEAP devem ser usados em vez de Microsoft:PEAP no suplicante se for uma máquina Windows. Microsoft:PEAP funciona por padrão com MacOS/iOS/Android.
Criar WLAN que depende do servidor LDAP para autenticar usuários por meio do portal interno da Web da WLC
Diagrama de Rede
Neste cenário, o LDAP-Web da WLAN usa um servidor LDAP para autenticar os usuários com o Portal da Web da WLC interno.

Assegure as Etapas 1. através das Etapas 4. foram retirados do exemplo anterior. A partir daí, a configuração da WLAN é definida de forma diferente.
Etapa 1. Crie um usuário User1 no membro do Servidor LDAP do OU SofiaLabOU e do Grupo SofiaLabGroup.
Etapa 2. Crie um perfil EAP na WLC com o método EAP desejado (use PEAP).
Etapa 3. Vincule a WLC ao servidor LDAP.
Etapa 4. Defina a Ordem de autenticação como Usuários internos + LDAP.
Etapa 5. Crie a WLAN LDAP-Web como mostrado nas imagens.


Etapa 6. Defina a segurança L2 como nenhuma e a segurança L3 como política da Web - Autenticaçãocomo mostrado nas imagens.


Passo 7. Defina a ordem de prioridade Autenticação para que a autenticação da Web use LDAP e assegure-se de que as opções Servidores de Autenticação e Servidores de Contabilidade estejam desabilitadasconforme mostrado na imagem.

Todas as outras configurações podem ser deixadas no padrão.
Usar a ferramenta LDP para configurar e solucionar problemas de LDAP
Etapa 1. Abra a ferramenta LDP no servidor LDAP ou em um host com conectividade (a porta TCP 389 deve ter permissão para acessar o servidor)conforme mostrado na imagem.

Etapa 2. Navegue até Conexão > Vincular, faça login com um usuário Admin e selecione Vincular com as credenciais botão de opçãoconforme mostrado na imagem.

Etapa 3. Navegue para Exibir > Árvore e selecione OK no DN base como mostrado na imagem.

Etapa 4. Expanda a árvore para exibir a estrutura e procure o DN de base de pesquisa. Considere que ele pode ser qualquer tipo de contêiner, exceto Grupos. Pode ser o domínio inteiro, uma OU específica ou um CN como CN=Usersconforme mostrado na imagem.

Etapa 5. Expanda SofiaLabOU para ver quais usuários estão dentro dele. Há o Usuário1 que foi criado antesconforme mostrado na imagem.

Etapa 6. Tudo o que é necessário para configurar o LDAP éconforme mostrado na imagem.

Passo 7. Grupos como SofiaLabGroup não podem ser usados como um DN de pesquisa. Expanda o grupo e procure os usuários dentro dele, onde o Usuário1 criado anteriormente deve serconforme mostrado na imagem.

O usuário1 estava lá, mas o LDP não pôde encontrá-lo. Significa que a WLC não pode fazer isso também e é por isso que os grupos não são suportados como DN base de pesquisa.
Verificar
Use esta seção para confirmar se a sua configuração funciona corretamente.
(cisco-controller) >show ldap summary
Idx Server Address Port Enabled Secure
--- ------------------------- ------ ------- ------
1 10.88.173.121 389 Yes No
(cisco-controller) >show ldap 1
Server Index..................................... 1
Address.......................................... 10.88.173.121
Port............................................. 389
Server State..................................... Enabled
User DN.......................................... OU=SofiaLabOU,DC=labm,DC=cisco,DC=com
User Attribute................................... sAMAccountName
User Type........................................ Person
Retransmit Timeout............................... 2 seconds
Secure (via TLS)................................. Disabled
Bind Method ..................................... Authenticated
Bind Username.................................... CN=Administrator,CN=Domain Admins,CN=Users,DC=labm,DC=cisco,DC=com
Troubleshoot
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.
(cisco-controller) >debug client <MAC Address>
(cisco-controller) >debug aaa ldap enable
(cisco-controller) >show ldap statistics
Server Index..................................... 1
Server statistics:
Initialized OK................................. 0
Initialization failed.......................... 0
Initialization retries......................... 0
Closed OK...................................... 0
Request statistics:
Received....................................... 0
Sent........................................... 0
OK............................................. 0
Success........................................ 0
Authentication failed.......................... 0
Server not found............................... 0
No received attributes......................... 0
No passed username............................. 0
Not connected to server........................ 0
Internal error................................. 0
Retries........................................ 0
Informações Relacionadas