Este documento fornece uma diretriz para integrar o NAC Guest Server e os Controllers de LAN Wireless.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas nestas versões de software e hardware:
Cisco Wireless LAN Controller (WLC) 4.2.61.0
Catalyst 3560 com IOS® versão 12.2(25)SEE2
Cisco ADU versão 4.0.0.279
NAC Guest Server versão 1.0
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
O Cisco NAC Guest Server é um sistema completo de provisionamento e geração de relatórios que fornece acesso temporário à rede para convidados, visitantes, contratados, consultores ou clientes. O Servidor de Convidado trabalha em conjunto com o Cisco NAC Appliance ou o Cisco Wireless LAN Controller, que fornece o portal cativo e o ponto de aplicação para acesso de convidado.
O Cisco NAC Guest Server permite que qualquer usuário com privilégios crie facilmente contas de convidado temporárias e patrocine convidados. O Cisco NAC Guest Server realiza autenticação completa de patrocinadores, dos usuários que criam contas de convidados e permite que os patrocinadores forneçam detalhes da conta para o convidado por impressão, e-mail ou SMS. Toda a experiência, desde a criação de conta de usuário até o acesso à rede de convidado, é armazenada para auditoria e relatórios.
Quando as contas de convidado são criadas, elas são provisionadas no Cisco NAC Appliance Manager (Clean Access Manager) ou armazenadas no banco de dados interno no Cisco NAC Guest Server. Quando você usa o banco de dados interno do Servidor Convidado, os dispositivos de acesso à rede externa, como o Cisco Wireless LAN Controller, podem autenticar usuários em relação ao Servidor Convidado com o protocolo Remote Authentication Dial In User Service (RADIUS).
O Cisco NAC Guest Server provisiona a conta de convidado pelo tempo especificado quando a conta é criada. Ao expirar a conta, o Servidor Convidado exclui a conta diretamente do Cisco NAC Appliance Manager ou envia uma mensagem RADIUS que notifica o NAD (Network Access Device, dispositivo de acesso à rede) sobre o tempo válido restante para a conta antes que o NAD remova o usuário.
O Cisco NAC Guest Server oferece uma contabilidade vital de acesso à rede de convidados através da consolidação de toda a trilha de auditoria da criação de contas de convidado para o uso da conta de convidado, de modo que os relatórios possam ser executados através de uma interface central de gerenciamento.
Conceitos de acesso de convidado
O Cisco NAC Guest Server usa vários termos para explicar os componentes necessários para fornecer acesso de convidado.
Usuário convidado
O usuário convidado é a pessoa que precisa de uma conta de usuário para acessar a rede.
Patrocinador
O Patrocinador é a pessoa que cria a conta de usuário convidado. Essa pessoa é geralmente um funcionário da organização que fornece acesso à rede. Os patrocinadores podem ser específicos - 3 - indivíduos com determinadas funções de trabalho ou podem ser qualquer funcionário que possa se autenticar em um diretório corporativo, como o Microsoft Ative Diretory (AD).
Dispositivo de aplicação de rede
Esses dispositivos são os componentes da infraestrutura de rede que fornecem acesso à rede. Além disso, os dispositivos de aplicação da rede levam os usuários convidados para um portal cativo, onde eles podem inserir os detalhes da conta de convidado. Quando um convidado digita seu nome de usuário temporário e sua senha, o dispositivo de aplicação de rede verifica essas credenciais em relação às contas de convidado criadas pelo Servidor Convidado.
Servidor convidado
Este é o Cisco NAC Guest Server, que une todas as partes do acesso de convidado. O Servidor de Convidado une esses links: o patrocinador que cria a conta de convidado, os detalhes da conta passados para o convidado, a autenticação de convidado contra o dispositivo de aplicação da rede e a verificação do dispositivo de aplicação da rede do convidado com o Servidor de convidado. Além disso, o Cisco NAC Guest Server consolida informações de contabilidade de dispositivos de aplicação de rede para fornecer um único ponto de relatórios de acesso de convidado.
A documentação detalhada sobre o NGS está disponível no CCO.
http://www.cisco.com/en/US/docs/security/nac/guestserver/configuration_guide/10/nacguestserver.html
Visão geral da topologia do laboratório
Siga estas etapas para configurar a WLC:
Inicialize o controlador e o ponto de acesso.
Configure as interfaces do controlador.
Configure o RADIUS.
Defina as configurações de WLAN.
Para a configuração inicial, use uma conexão de console como o HyperTerminal e siga os prompts de configuração para preencher as informações de login e interface. O comando reset system também inicia esses prompts.
Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup System Name [Cisco_44:36:c3]: WLC Enter Administrative User Name (24 characters max): admin Enter Administrative Password (24 characters max): admin Service Interface IP Address Configuration [none][DHCP]: <ENTER> Enable Link Aggregation (LAG) [yes][NO]:no Management Interface IP Address: 10.10.51.2 Management Interface Netmask: 255.255.255.0 Management Interface Default Router: 10.10.51.1 Management Interface VLAN Identifier (0 = untagged): 0 Management Interface Port Num [1 to 2]: 1 Management Interface DHCP Server IP Address: 10.10.51.1 AP Transport Mode [layer2][LAYER3]: layer3 AP Manager Interface IP Address: 10.10.51.3 AP-Manager is on Management subnet, using same values AP Manager Interface DHCP Server (10.10.5<X>.1):<ENTER> Virtual Gateway IP Address: 1.1.1.1 Mobility/RF Group Name: mobile-1 Enable Symmetric Mobility Tunneling: No Network Name (SSID): wireless-1 Allow Static IP Addresses [YES][no]:<ENTER> Configure a RADIUS Server now? [YES][no]:<ENTER> Enter the RADIUS Server's Address: 10.1.1.12 Enter the RADIUS Server's Port [1812]:<ENTER> Enter the RADIUS Server's Secret: cisco Enter Country Code (enter 'help' for a list of countries) [US]:<ENTER> Enable 802.11b Network [YES][no]:<ENTER> Enable 802.11a Network [YES][no]:<ENTER> Enable 802.11g Network [YES][no]:<ENTER> Enable Auto-RF [YES][no]:<ENTER> Configure a NTP server now? [YES][no]: no Configure the system time now? [YES][no]: yes Enter the date in MM/DD/YY format: mm/dd/yy Enter the time in HH:MM:SS format: hh:mm:ss
O Cisco NAC Guest Server é uma solução de provisionamento e geração de relatórios que fornece acesso temporário à rede para clientes como convidados, contratados, etc. O Cisco NAC Guest Server trabalha com as soluções Cisco Unified Wireless Network ou Cisco NAC Appliance. Este documento apresenta as etapas para integrar o Cisco NAC Guest Server a um Cisco WLC, que cria uma conta de usuário convidado e verifica o acesso temporário à rede do convidado.
Siga estas etapas para concluir a integração:
Adicione o Cisco NAC Guest Server como um servidor de autenticação na WLC.
Navegue até a WLC (https://10.10.51.2, admin/admin) para configurar isso.
Escolha Segurança > RADIUS > Autenticação.
Escolha Novo.
Adicione o endereço IP (10.1.1.14) para o Cisco NAC Guest Server.
Adicione o segredo compartilhado.
Confirme o segredo compartilhado.
Escolha Aplicar.
Adicione o Cisco NAC Guest Server como um servidor de contabilidade na WLC.
Escolha Segurança > RADIUS >Contabilidade.
Escolha Novo.
Adicione o endereço IP (10.1.1.14) para o Cisco NAC Guest Server.
Adicione o segredo compartilhado.
Confirme o segredo compartilhado.
Escolha Aplicar.
Modifique a WLAN (wireless-x) para usar o NAC Guest Server.
Edite a WLAN (wireless-x).
Escolha a guia Segurança.
Altere a segurança da camada 2 para nenhuma e a segurança da camada 3 para usar a autenticação da Web.
Escolha os servidores AAA na guia Segurança.
Na caixa Server 1 (Servidor 1), escolha o servidor RADIUS (10.1.1.14).
Na caixa Servidor 1, escolha o Servidor de Contabilidade (10.1.1.14).
Escolha a guia Avançado.
Ative Permitir substituição de AAA. Isso permite que o tempo limite de sessão por cliente seja definido a partir do NAC Guest Appliance.
Observação: quando a substituição de AAA está habilitada no SSID, o tempo de vida restante do usuário convidado no NGS é enviado para o WLC como tempo limite da sessão no momento do login do usuário convidado.
Escolha Apply para salvar sua configuração de WLAN.
Verifique se a controladora foi adicionada como um cliente Radius no Cisco NAC Guest Server.
Navegue até NAC Guest Server (https://10.1.1.14/admin) para configurar isso.
Observação: você obterá a página de administração se especificar /admin no URL.
Escolha Clientes Radius.
Escolha Adicionar Raio.
Insira as informações do cliente Radius:
Insira um nome: Nome do sistema WLC.
Insira o endereço IP: Endereço IP da WLC (10.10.51.2).
Digite o mesmo segredo compartilhado que você inseriu na Etapa 1.
Confirme seu segredo compartilhado.
Insira uma descrição.
Escolha Adicionar cliente Radius.
Reinicie o serviço Radius para que as alterações tenham efeito.
Escolha Clientes Radius.
Escolha Reiniciar na caixa Reiniciar RADIUS.
Crie um usuário local, ou seja, Embaixador de Lobby, no Cisco NAC Guest Server.
Escolha Usuários locais.
Escolha Adicionar usuário.
Observação: você deve preencher todos os campos.
Insira um nome: lobby.
Insira um sobrenome: Embaixador.
Insira o nome de usuário: lobby.
Digite uma senha: senha.
Deixe Grupo como Padrão.
Insira o endereço de e-mail: lobby@xyz.com.
Escolha Adicionar usuário.
Faça login como o usuário local e crie uma conta de convidado.
Navegue até NAC Guest Server (https://10.1.1.14), faça login com o nome de usuário/senha que você criou na Etapa 5 e configure isto:
Escolha Criar para uma conta de usuário convidado.
Observação: você deve preencher todos os campos.
Insira um nome.
Digite um sobrenome.
Digite a empresa.
Digite o endereço de e-mail.
Observação: o endereço de e-mail é o nome de usuário.
Insira o fim da conta: Tempo.
Escolha Adicionar usuário.
Conecte-se à WLAN do convidado e faça login como o usuário convidado.
Conecte seu cliente sem fio à WLAN convidada (wireless-x).
Abra o navegador da Web para ser redirecionado à página de login Web-Auth.
Observação: como alternativa, digite https://1.1.1.1/login.html para ser redirecionado para a página Login.
Insira o Nome de usuário convidado que você criou na Etapa 6.
Digite a senha que foi gerada automaticamente na Etapa 6.
Faça Telnet para a WLC e verifique se o tempo limite da sessão foi definido com o comando show client detail.
Quando o tempo limite da sessão expira, o cliente convidado é desconectado e seu ping é interrompido.
Observação: para configurar a autenticação da Web do Wireless LAN Controller, WLC para o NAC Guest Server (NGS), é necessário usar a autenticação do modo PAP nas propriedades de autenticação da Web. Se a política de autenticação da Web estiver definida como CHAP, a autenticação falhará porque o CHAP não é suportado com o NGS.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
01-Aug-2008 |
Versão inicial |