Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Configurar WLC com autenticação LDAP para o 802.1x e o Web-AUTH WLAN

Opções de download

  • PDF     (2.3 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.1 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (2.3 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:17 de Dezembro de 2018
ID do documento:211277
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este original descreve o procedimento para configurar um controlador do Wireless LAN de AireOS (WLC) a fim autenticar clientes com um server do Lightweight Directory Access Protocol (LDAP) como o base de dados de usuários.

    Pré-requisitos

    Requisitos

      

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Server de Microsoft Windows
    • Diretório ativo

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software:

    • Software WLC 8.2.110.0 de Cisco
    • Microsoft Windows server 2012 R2

    A informação neste documento foi criada de um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se sua rede está viva, certifique-se de que você compreende o impacto potencial do comando any ou mude-se.

    Informações de Apoio

    Fundo técnico

      

    • O LDAP é um protocolo usado para alcançar servidores de diretório.
    • Os servidores de diretório são bases de dados hierárquicos, orientados ao objeto.
    • Os objetos são organizados em uns recipientes tais como as unidades organizacionais chamadas OU, grupos ou recipientes de Microsoft do padrão como cn=Users.
    • A maioria de parte difícil desta instalação é configurar corretamente os parâmetros do servidor ldap no WLC.

    Para informações mais detalhadas sobre destes conceitos, refira a seção da introdução de como configurar o controlador do Wireless LAN (WLC) para a autenticação do Lightweight Directory Access Protocol (LDAP).

    Perguntas mais freqüentes

    • Que username deve ser usado para ligar com o servidor ldap?

    Há duas maneiras de ligar contra um servidor ldap, anônimo ou autenticado (refira a fim compreender a diferença entre ambos os métodos). Este username do ligamento precisa de ter privilégios do administrado poder perguntar para outros nomes de usuário/senhas.

    • Se autenticado, você precisa de pedir: é o username do ligamento dentro do mesmo recipiente do que todos os usuários?

    A maneira de especificar o username depende da resposta:

          Se a resposta é nenhuma, use o caminho inteiro. Por exemplo:

          CN=Administrator, CN=Domain Admins, cn=Users, DC=labm, dc=cisco, DC=com

          Se a resposta é sim, a seguir use o username somente. Por exemplo:

          Administrador

    • Que se há usuários em uns recipientes diferentes? Faz toda a necessidade de usuários involvida do Sem fio LDAP de estar no mesmo recipiente?

    Não, uma base DN que inclua todos os recipientes necessários pode ser especificado.

    • Que atributos deve o WLC procurar?

    O WLC combina o atributo de usuário e o tipo de objeto especificados.

    Note: o sAMAccountName é diferenciando maiúsculas e minúsculas mas a pessoa não é. Consequentemente, o sAMAccountName=RICARDO e o sAMAccountName=ricardo são o mesmo e os trabalhos visto que o samaccountname=RICARDO e o samaccountname=ricardo não fazem.

    • Que métodos do Extensible Authentication Protocol (EAP) podem ser usados?

    EAP-FAST, PEAP-GTC e EAP-TLS somente. Android, o iOS e do padrão MacOS suplicantes trabalham com protocolo extensible authentication protegido (PEAP). Para Windows, o gerente do acesso de rede de Anyconnect (NAM) ou o suplicante das janelas padrão com Cisco: O PEAP deve ser usado em adaptadores Wireless apoiados segundo as indicações da imagem.

    NoteOs encaixes de Cisco EAP para Windows incluem uma versão Open Secure Socket Layer (OpenSSL 0.9.8k) que é afetado por CSCva09670, Cisco não planeiam emitir any more liberações dos encaixes EAP para Windows, e recomendam que os clientes usam pelo contrário o cliente seguro da mobilidade de AnyConnect.

    • Por que não pode o WLC encontrar usuários?

    Os usuários dentro de um grupo não podem ser autenticados. Precisam de ser dentro de um recipiente do padrão (NC) ou de uma unidade organizacional (OU) segundo as indicações da imagem.

    Configurar

    Há as encenações diferentes em que um servidor ldap pode ser empregado, com autenticação do 802.1x ou autenticação da Web. Para este procedimento, somente os usuários dentro do OU=SofiaLabOU devem ser autenticados. A fim aprender como usar a ferramenta do protocolo de distribuição de rótulo (LDP), para configurar e pesquisar defeitos o LDAP, refere o guia de configuração ldap WLC.

    Crie o WLAN que confia no servidor ldap para autenticar usuários com o 802.1x

    Diagrama de Rede

    Nesta encenação, o WLAN LDAP-dot1x usa um servidor ldap para autenticar os usuários com o uso do 802.1x.

    Etapa 1. Crie um usuário User1 no membro do servidor ldap do SofiaLabOU e do SofiaLabGroup segundo as indicações das imagens.

      

    Etapa 2. Crie um perfil EAP no WLC com o método de EAP desejado (uso PEAP) segundo as indicações da imagem.

      

    Etapa 3. Ligue o WLC com o servidor ldap segundo as indicações da imagem.

    Dica: Se o username do ligamento não está na base do usuário DN, você tem que escrever o trajeto inteiro ao usuário admin segundo as indicações da imagem. Se não, você pode simplesmente inscrever o administrador.

    Etapa 4. Ajuste a ordem da autenticação a ser ajustada aos usuários internos + ao LDAP ou ao LDAP somente segundo as indicações da imagem.

      

    Etapa 5. Crie o LDAP-dot1x WLANAS mostrado nas imagens.

    Etapa 6. Ajuste o método da Segurança L2 a WPA2 + 802.1x e ajuste a Segurança L3 aos noneas mostrados na imagem.

    Etapa 7. Permita a autenticação de EAP local e assegure-se de que opções dos Authentication Server e dos servidores de contabilidade estejam desabilitados e o LDAP seja enabledas mostrados na imagem.

      

    Todos ajustes restantes podem ser deixados em padrões.

    Notas:
    Use a ferramenta LDP para confirmar os parâmetros de configuração.
    A base da busca não pode ser um grupo (tal como SofiaLabGroup).
    PEAP-GTC ou Cisco: O PEAP tem que ser usado em vez de Microsoft: PEAP no suplicante se é uma máquina de Windows. Microsoft: O PEAP trabalha à revelia com MacOS/iOS/Android.

    Crie o WLAN que confia no servidor ldap para autenticar usuários através do portal da web interno WLC

    Diagrama de Rede

    Nesta encenação, a LDAP-Web WLAN usa um servidor ldap para autenticar os usuários com o portal da web interno WLC.

      

    Assegure-se de que as etapas 1. etapas diretas 4. estejam tomadas do exemplo anterior. De lá, a configuração WLAN é ajustada diferentemente.

    Etapa 1. Crie um usuário User1 no membro do servidor ldap do OU SofiaLabOU e o grupo SofiaLabGroup.

    Etapa 2. Crie um perfil EAP no WLC com o método de EAP desejado (uso PEAP).

    Etapa 3. Ligue o WLC com o servidor ldap.

    Etapa 4. Ajuste a ordem da autenticação a ser ajustada aos usuários internos + ao LDAP.

    Etapa 5. Crie a LDAP-Web WLAN segundo as indicações das imagens.

    Etapa 6. Ajuste a Segurança L2 a nenhuns e a Segurança L3 à política da Web – Authenticationas mostrado nas imagens.

      

     Etapa 7. Ajuste a ordem da prioridade da autenticação para que o Web-AUTH use o LDAP e para assegurar opções dos Authentication Server e dos servidores de contabilidade seja disabledas mostrados na imagem.

    Todos ajustes restantes podem ser deixados em padrões.

      

    Use a ferramenta LDP para configurar e pesquisar defeitos o LDAP

    Etapa 1. Abra a ferramenta LDP no servidor ldap ou em um host com Conectividade (a porta TCP 389 deve ser permitida ao server) segundo as indicações da imagem.

    Etapa 2. Navegue à conexão > ao ligamento, entre com um usuário admin e selecione o ligamento com os buttonas de rádio das credenciais mostrados na imagem

    Etapa 3. Navegue para ver > árvore e para selecionar ESTÁ BEM na base DN segundo as indicações da imagem.

    Etapa 4. Expanda a árvore para ver a estrutura e para procurar a base DN da busca. Considere que pode ser qualquer tipo do recipiente exceto grupos. Pode ser o domínio inteiro, um OU específico ou uma NC como CN=Usersas mostrado na imagem.

    Etapa 5. Expanda o SofiaLabOU a fim ver que usuários são para dentro dele. Há os User1 que eram beforeas criados mostrados na imagem.

      

    Etapa 6. Tudo precisou de configurar os isas LDAP mostrados na imagem.

    Etapa 7. Os grupos como SofiaLabGroup não podem ser usados como uma busca DN. Expanda o grupo e procure os usuários dentro dele, onde o User1 criado previamente deve beas mostrado na imagem.

    User1 estava lá mas o LDP não podia encontrá-lo. Significa que o WLC não pode o fazer também e que é porque os grupos não são apoiados como uma base DN da busca.

    Verificar

     Use esta seção para confirmar se a sua configuração funciona corretamente.

     (cisco-controller) >show ldap summary

 

Idx Server Address Port Enabled Secure
--- ------------------------- ------ ------- ------
1 10.88.173.121 389 Yes No

 

(cisco-controller) >show ldap 1

Server Index..................................... 1
Address.......................................... 10.88.173.121
Port............................................. 389
Server State..................................... Enabled
User DN.......................................... OU=SofiaLabOU,DC=labm,DC=cisco,DC=com
User Attribute................................... sAMAccountName
User Type........................................ Person
Retransmit Timeout............................... 2 seconds
Secure (via TLS)................................. Disabled
Bind Method ..................................... Authenticated
Bind Username.................................... CN=Administrator,CN=Domain Admins,CN=Users,DC=labm,DC=cisco,DC=com

      

    Troubleshooting

    Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

    (cisco-controller) >debug client <MAC Address>

(cisco-controller) >debug aaa ldap enable 

(cisco-controller) >show ldap statistics

Server Index..................................... 1
Server statistics:
Initialized OK................................. 0   
Initialization failed.......................... 0
Initialization retries......................... 0
Closed OK...................................... 0
Request statistics:
Received....................................... 0
Sent........................................... 0
OK............................................. 0
Success........................................ 0
Authentication failed.......................... 0
Server not found............................... 0
No received attributes......................... 0
No passed username............................. 0
Not connected to server........................ 0
Internal error................................. 0
Retries........................................ 0

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Jhosbell Verdesca
      Engenheiro de TAC da Cisco
    • Ricardo Garcia Duarte
      Engenheiro de TAC da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Discussões relacionadas com comunidade da Cisco

    Este documento se refere a estes produtos

    Sobre a Cisco
    Fale Conosco
    Trabalhe Conosco