Para parceiros
Este documento descreve como configurar a característica de redirecionamento da página de abertura nos Controllers de LAN Wireless.
Certifique-se de atender a estes requisitos antes de tentar esta configuração:
Conhecimento das soluções de segurança LWAPP
Conhecimento de como configurar o Cisco Secure ACS
As informações neste documento são baseadas nestas versões de software e hardware:
Cisco 4400 Series Wireless LAN Controller (WLC) que executa a versão de firmware 5.0
Access Point (LAP) leve Cisco 1232 Series
Adaptador de cliente sem fio Cisco Aironet 802.a/b/g que executa o firmware versão 4.1
Servidor Cisco Secure ACS que executa a versão 4.1
Qualquer servidor Web externo de terceiros
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
O redirecionamento da Web da página inicial é um recurso introduzido com o Wireless LAN Controller Version 5.0. Com esse recurso, o usuário é redirecionado para uma página da Web específica depois que a autenticação 802.1x é concluída. O redirecionamento ocorre quando o usuário abre um navegador (configurado com uma página inicial padrão) ou tenta acessar um URL. Após a conclusão do redirecionamento para a página da Web, o usuário tem acesso total à rede.
Você pode especificar a página de redirecionamento no servidor RADIUS (Remote Authentication Dial-In User Service). O servidor RADIUS deve ser configurado para retornar o atributo RADIUS de redirecionamento de url de par av da Cisco para o controlador de LAN sem fio após a autenticação 802.1x bem-sucedida.
O recurso de redirecionamento da Web da página inicial está disponível somente para WLANs configuradas para segurança de Camada 2 802.1x ou WPA/WPA2.
Neste exemplo, uma WLC Cisco 4404 e um LAP Cisco 1232 Series são conectados por meio de um switch de Camada 2. O servidor Cisco Secure ACS (que atua como um servidor RADIUS externo) também está conectado ao mesmo switch. Todos os dispositivos estão na mesma sub-rede.
O LAP é inicialmente registrado no controlador. Você deve criar duas WLANs: um para os usuários do Departamento Administrativo e outro para os usuários do Departamento de Operações. As duas LANs sem fio usam WPA2/AES (EAP-FAST é usado para autenticação). As duas WLANs usam o recurso Redirecionamento de página inicial para redirecionar os usuários para os URLs apropriados da página inicial (em servidores Web externos).
Este documento utiliza a seguinte configuração de rede:
A próxima seção explica como configurar os dispositivos para essa configuração.
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.
Conclua estes passos para configurar os dispositivos para usar o recurso de redirecionamento de página inicial:
Configure a WLC para autenticação RADIUS através do servidor Cisco Secure ACS.
Configure as WLANs para os departamentos de Administração e Operações.
Configure o Cisco Secure ACS para suportar o recurso de redirecionamento da página inicial.
A WLC precisa ser configurada para encaminhar as credenciais do usuário a um servidor RADIUS externo.
Conclua estes passos para configurar a WLC para um servidor RADIUS externo:
Escolha Segurança e Autenticação RADIUS na GUI do controlador para exibir a página Servidores de Autenticação RADIUS.
Clique em New para definir um servidor RADIUS.
Defina os parâmetros do servidor RADIUS na página RADIUS Authentication Servers > New.
Esses parâmetros incluem:
Endereço IP do servidor RADIUS
shared secret
número da porta
Status do servidor
Este documento usa o servidor ACS com um endereço IP 10.77.244.196.
Clique em Apply.
Nesta etapa, você configura as duas WLANs (uma para o departamento Admin e outra para o departamento de Operações) que os clientes usarão para se conectarem à rede sem fio.
O SSID da WLAN para o departamento Admin será Admin. O SSID da WLAN para o departamento de Operações será Operações.
Use a autenticação EAP-FAST para habilitar o WPA2 como mecanismo de segurança de Camada 2 em WLANs e na política da Web - recurso de redirecionamento da Web de Página de abertura como o método de segurança de Camada 3.
Conclua estes passos para configurar a WLAN e seus parâmetros relacionados:
Clique em WLANs na GUI do controlador para exibir a página WLANs.
Esta página lista as WLANs que existem na controladora.
Clique em New para criar uma nova WLAN.
Insira o nome SSID da WLAN e o nome do perfil na página WLANs > New.
Clique em Apply.
Primeiro, vamos criar a WLAN para o departamento administrativo.
Quando você cria uma nova WLAN, a página WLAN > Edit da nova WLAN é exibida. Nesta página, você pode definir vários parâmetros específicos para esta WLAN. Isso inclui políticas gerais, políticas de segurança, políticas de QOS e parâmetros avançados.
Em Políticas gerais, marque a caixa de seleção Status para habilitar a WLAN.
Clique na guia Segurança e clique na guia Camada 2.
Escolha WPA+WPA2 na lista suspensa Segurança de Camada 2.
Esta etapa habilita a autenticação WPA para a WLAN.
Em WPA+WPA2 Parameters, marque as caixas de seleção WPA2 Policy e AES Encryption.
Escolha 802.1x na lista suspensa Gerenciamento de chaves de autenticação. Esta opção habilita a WPA2 com autenticação 802.1x/EAP e criptografia AES para a WLAN.
Clique na guia Layer 3 Security.
Marque a caixa Web Policy e clique no botão de opção Splash Page Web Redirect.
Essa opção ativa o recurso Redirecionamento da Web da página inicial.
Clique na guia Servidores AAA.
Em Authentication Servers (Servidores de autenticação), escolha o endereço IP do servidor apropriado na lista suspensa Server 1 (Servidor 1).
Neste exemplo, 10.77.244.196 é usado como o servidor RADIUS.
Clique em Apply.
Repita as etapas de 2 a 15 para criar a WLAN para o departamento de Operações.
A página WLANs lista as duas WLANs que você criou.
Observe que as políticas de segurança incluem o redirecionamento da página inicial.
A próxima etapa é configurar o servidor RADIUS para esse recurso. O servidor RADIUS precisa executar a autenticação EAP-FAST para validar as credenciais do cliente e, após a autenticação bem-sucedida, redirecionar o usuário para a URL (no servidor Web externo) especificada no atributo RADIUS url-redirect do par de av da Cisco.
Configurar o Cisco Secure ACS para autenticação EAP-FAST
Observação: este documento pressupõe que o Wireless LAN Controller é adicionado ao Cisco Secure ACS como um cliente AAA.
Conclua estes passos para configurar a autenticação EAP-FAST no servidor RADIUS:
Clique em Configuração do sistema na GUI do servidor RADIUS e escolha Configuração de autenticação global na página Configuração do sistema.
Na página de configuração da autenticação global, clique em EAP-FAST Configuration para ir para a página de configurações EAP-FAST.
Na página Definições EAP-FAST, marque a caixa de verificação Permitir EAP-FAST para ativar EAP-FAST no servidor RADIUS.
Configure os valores TTL (Time-to-Live) da chave mestra Ativa/Aposentada conforme desejado ou defina-o para o valor padrão como mostrado neste exemplo.
O campo Informações de ID da Autoridade representa a identidade textual deste servidor ACS, que um usuário final pode usar para determinar em qual servidor ACS deve ser autenticado. O preenchimento neste campo é obrigatório.
O campo de mensagem de exibição inicial do cliente especifica uma mensagem a ser enviada aos usuários que se autenticam com um cliente EAP-FAST. O comprimento máximo é de 40 caracteres. Um usuário verá a mensagem inicial somente se o cliente do usuário final suportar a exibição.
Se desejar que o ACS execute o provisionamento de PAC dentro da banda anônima, marque a caixa de seleção Permitir provisionamento de PAC dentro da banda anônima.
A opção Allowed inner methods determina quais métodos EAP internos podem ser executados dentro do túnel TLS EAP-FAST. Para provisionamento em banda anônima, você deve habilitar EAP-GTC e EAP-MS-CHAP para compatibilidade com versões anteriores. Se você selecionar Permitir provisionamento de PAC em banda anônima, deverá selecionar EAP-MS-CHAP (fase zero) e EAP-GTC (fase dois).
Clique em Submit.
Observação: para obter informações detalhadas e exemplos sobre como configurar o EAP FAST com provisionamento PAC em banda anônima e provisionamento em banda autenticado, consulte Exemplo de Configuração de Autenticação EAP-FAST com Controladores LAN sem fio e Servidor RADIUS externo.
Configure o banco de dados do usuário e defina o atributo RADIUS url-redirect
Este exemplo configura o nome de usuário e a senha do cliente sem fio como User1 e User1, respectivamente.
Conclua estes passos para criar um banco de dados de usuário:
Na GUI do ACS na barra de navegação, escolha User Setup.
Crie um novo usuário sem fio e clique em Adicionar/Editar para ir para a página Editar deste usuário.
Na página User Setup Edit (Editar configuração do usuário), configure Real Name (Nome real) e Description (Descrição), bem como as configurações de Password (Senha), como mostrado neste exemplo.
Este documento usa o banco de dados interno ACS para autenticação de senha.
Role para baixo na página para modificar os atributos RADIUS.
Marque a caixa de seleção [009\001] cisco-av-pair.
Insira este par de av da Cisco na caixa de edição [009\001] do par de av da Cisco para especificar o URL para o qual o usuário é redirecionado:
url-redirect=http://10.77.244.196/Admin-Login.html
Esta é a página inicial dos usuários do departamento administrativo.
Clique em Submit.
Repita esse procedimento para adicionar Usuário2 (Usuário do departamento de operações).
Repita as etapas de 1 a 6 para adicionar mais usuários do departamento de Administração e usuários do departamento de Operações ao banco de dados.
Observação: os atributos RADIUS podem ser configurados no nível do usuário ou no nível do grupo no Cisco Secure ACS.
Para verificar a configuração, associe um cliente de WLANs do departamento Admin e do departamento de Operações às WLANs apropriadas.
Quando um usuário do departamento Admin se conecta ao Wireless LAN Admin, o usuário é solicitado a fornecer credenciais 802.1x (credenciais EAP-FAST em nosso caso). Quando o usuário fornece as credenciais, a WLC passa essas credenciais para o servidor Cisco Secure ACS. O servidor Cisco Secure ACS valida as credenciais do usuário em relação ao banco de dados e, após a autenticação bem-sucedida, retorna o atributo url-redirect ao Wireless LAN Controller. A autenticação está concluída neste estágio.
Quando o usuário abre um navegador da Web, ele é redirecionado para o URL da página inicial do departamento Admin. (Essa URL é retornada à WLC por meio do atributo cisco-av-pair). Após o redirecionamento, o usuário tem acesso total à rede. Aqui estão as capturas de tela:
As mesmas sequências de eventos ocorrem quando um usuário do departamento de Operações se conecta às Operações da WLAN.
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.
Nota:Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.
Você pode usar os seguintes comandos para solucionar problemas de sua configuração.
show wlan wlan_id — Exibe o status dos recursos de redirecionamento da Web para uma WLAN específica.
Aqui está um exemplo:
WLAN Identifier.................................. 1 Profile Name..................................... Admin Network Name (SSID).............................. Admin ... Web Based Authentication......................... Disabled Web-Passthrough.................................. Disabled Conditional Web Redirect......................... Disabled Splash-Page Web Redirect......................... Enabled
debug dot1x events enable —Habilita a depuração de mensagens de pacote 802.1x.
Aqui está um exemplo:
Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Sending EAP Request from AAA to mobile 00:40:96:ac:dd:05 (EAP Id 16) Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Received EAPOL EAPPKT from mobile 00:40:96:ac:dd:05 Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Received EAP Response from mobile 00:40:96:ac:dd:05 (EAP Id 16, EAP Type 43) Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Processing Access-Challenge for mobile 00:40:96:ac:dd:05 Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Setting re-auth timeout to 1800 seconds, got from WLAN config. Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Station 00:40:96:ac:dd:05 setting dot1x reauth timeout = 1800 Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Creating a new PMK Cache Entry for station 00:40:96:ac:dd:05 (RSN 2) Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Adding BSSID 00:1c:58:05:e9:cf to PMKID cache for station 00:40:96:ac:dd:05 Fri Feb 29 10:27:16 2008: New PMKID: (16) Fri Feb 29 10:27:16 2008: [0000] 79 ee 88 78 9c 71 41 f0 10 7d 31 ca fb fa 8e 3c Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Disabling re-auth since PMK lifetime can take care of same. Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Sending EAP-Success to mobile 00:40:96:ac:dd:05 (EAP Id 17) Fri Feb 29 10:27:16 2008: Including PMKID in M1 (16) Fri Feb 29 10:27:16 2008: [0000] 79 ee 88 78 9c 71 41 f0 10 7d 31 ca fb fa 8e 3c Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Sending EAPOL-Key Message to mobile 00:40:96:ac:dd:05 state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00 Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Received Auth Success while in Authenticating state for mobile 00:40:96:ac:dd:05
debug aaa events enable — Ativa a saída de depuração de todos os eventos aaa.
Aqui está um exemplo:
Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 Successful transmission of Authentication Packet (id 103) to 10.77.244.196:1812, proxy state 00:40:96:ac:dd:05-00:00 Thu Feb 28 07:55:18 2008: ****Enter processIncomingMessages: response code=11 Thu Feb 28 07:55:18 2008: ****Enter processRadiusResponse: response code=11 Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 Access-Challenge received from RADIUS server 10.77.244.196 for mobile 00:40:96:ac:dd:05 receiveId = 3 Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 Successful transmission of Authentication Packet (id 104) to 10.77.244.196:1812, proxy state 00:40:96:ac:dd:05-00:00 Thu Feb 28 07:55:18 2008: ****Enter processIncomingMessages: response code=2 Thu Feb 28 07:55:18 2008: ****Enter processRadiusResponse: response code=2 Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 Access-Accept received from RADIUS server 10.77.244.196 for mobile 00:40:96:ac:dd:05 receiveId = 3 Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 AAA Override Url-Redirect 'http://10.77.244.196/Admin-login.html' set Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 Applying new AAA override for station 00:40:96:ac:dd:05 Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 Override values for station 00:40:96:ac:dd:05 source: 4, valid bits: 0x0 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1 vlanIfName: '', aclName: '
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
29-Feb-2008 |
Versão inicial |