Autenticação da Web usando o LDAP no exemplo de configuração dos controladores do Wireless LAN (WLC)

Introdução

Este documento descreve como setup um controlador do Wireless LAN (WLC) para a autenticação da Web. Explica como configurar um server do Lightweight Directory Access Protocol (LDAP) como o base de dados backend para que a autenticação da Web recupere credenciais do usuário e autentique o usuário.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Conhecimento da configuração do Lightweight Access Points (regaços) e do Cisco WLC

• Conhecimento do controle e do abastecimento do protocolo do ponto de acesso Wireless (CAPWAP)

• Conhecimento de como estabelecer e configurar o Lightweight Directory Access Protocol (LDAP), o diretório ativo e os controladores de domínio

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco 5508 WLC que executa a versão de firmware 8.2.100.0

• REGAÇO do Cisco 1142 Series

• Adaptador de cliente Wireless de Cisco 802.11a/b/g.

• Servidor de fundamentos de Microsoft Windows 2012 que executa o papel do servidor ldap

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Processo de autenticação da Web

A autenticação da Web é uns recursos de segurança da camada 3 que façam com que o controlador recuse o tráfego IP (exceto o DHCP e pacotes DNS-relacionados) de um cliente específico até que esse cliente forneça corretamente um nome de usuário válido e uma senha. Quando você usa a autenticação da Web para autenticar clientes, você deve definir um nome de usuário e senha para cada cliente. Então, quando os clientes tentam se juntar ao Wireless LAN, devem incorporar o nome de usuário e senha quando alertados por uma página de login.

Quando a autenticação da Web estiver permitida (sob a Segurança da camada 3), os usuários recebem ocasionalmente uma alerta de segurança do web browser a primeira vez que tentem alcançar uma URL.

Dica: Para remover este aviso do certificado, reverta por favor de volta ao seguinte guia em como instalar um http://www.cisco.com/c/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/109597-csr-chained-certificates-wlc-00.html do certificado confiável da 3ª parte

Depois que você clica sim para continuar (ou para continuar mais precisamente a este Web site (não recomendado) para o navegador de Firefox por exemplo), ou se o navegador do cliente não indica uma alerta de segurança, o sistema de autenticação da Web reorienta o cliente a uma página de login, segundo as indicações da imagem:

A página de login do padrão contém um logotipo Cisco e um texto específico da Cisco. Você pode escolher ter o indicador um do sistema de autenticação da Web destes:

• A página de login do padrão

• Uma versão modificada da página de login do padrão

• Uma página de login personalizada que você configure em um servidor de Web externo

• Uma página de login personalizada que você transfira ao controlador

Quando você incorpora um nome de usuário válido e a senha na página de login e no clique da autenticação da Web se submete, você está autenticado baseou nas credenciais submetidas e em uma autenticação bem sucedida do base de dados backend (LDAP neste caso). O sistema de autenticação da Web então indica uma página do login bem-sucedido e reorienta o cliente autenticado à URL pedida.

A página do login bem-sucedido do padrão contém um ponteiro a um endereço de gateway virtual URL: https://1.1.1.1/logout.html. O endereço IP de Um ou Mais Servidores Cisco ICM NT que você ajusta para a interface virtual do controlador serve como o endereço da reorientação para a página de login.

Este documento explica como usar o página da web interno no WLC para a autenticação da Web. Este exemplo usa um servidor ldap como o base de dados backend para que a autenticação da Web recupere credenciais do usuário e autentique o usuário.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Configurações

Termine estas etapas a fim executar com sucesso esta instalação:

• Configurar o servidor ldap.

• Configurar o WLC para o servidor ldap.

• Configurar o WLAN para a autenticação da Web.

Configurar o servidor ldap

A primeira etapa é configurar o servidor ldap, que serve como um base de dados backend para armazenar credenciais do usuário dos clientes Wireless. Neste exemplo, o servidor de fundamentos de Microsoft Windows 2012 é usado como o servidor ldap.

A primeira etapa na configuração do servidor ldap é criar uma base de dados de usuário no servidor ldap de modo que o WLC possa perguntar este base de dados para autenticar o usuário.

Crie usuários no controlador de domínio

Uma unidade organizacional (OU) contém os grupos múltiplos que levam referências às entradas pessoais em um PersonProfile. Uma pessoa pode ser um membro dos grupos múltiplos. Todas as definições de classe e de atributo de objeto são padrão do esquema LDAP. Cada grupo contém as referências (dn) para cada pessoa que lhe pertence.

Neste exemplo, um OU novo LDAP-USERS é criado, e o usuário1 do usuário é criado sob este OU. Quando você configura este usuário para o acesso LDAP, o WLC pode perguntar este base de dados LDAP para a autenticação de usuário.

O domínio usado neste exemplo é CISCOSYSTEMS.local.

Crie uma base de dados de usuário sob um OU

Esta seção explica como criar um OU novo em seu domínio e criar um novo usuário neste OU.

1. Janelas aberta PowerShell e tipo servermanager.exe

2. Na janela do gerenciador do servidor, clique sobre AD DS. Clicar com o botão direito então seu nome do servidor para escolher usuários e computadores de diretório ativo.

3. Clicar com o botão direito seu Domain Name, que é CISCOSYSTEMS.local neste exemplo, e navegue então a novo > unidade organizacional do menu do contexto a fim criar um OU novo.
   
   

   

4. Atribua um nome a este OU e clique a APROVAÇÃO, segundo as indicações da imagem:

Agora que o OU novo LDAP-USERS é criado no servidor ldap, a próxima etapa é criar o usuário1 do usuário sob este OU. A fim conseguir isto, termine estas etapas:

1. Clicar com o botão direito o OU novo criado. Navegue a LDAP-USERS> novo > usuário dos menus resultantes do contexto a fim criar um novo usuário, segundo as indicações da imagem:
   
   

2. Na página da instalação de usuário, preencha os campos requerido segundo as indicações deste exemplo. Este exemplo tem o usuário1 no campo de nome de logon do usuário.

   Este é o username que é verificado no base de dados LDAP para autenticar o cliente. Este exemplo usa o usuário1 nos campos do nome e de nome completo. Clique em Next.
   
   

   
   

3. Incorpore uma senha e confirme a senha. Escolha a senha nunca expira opção e clicam em seguida.
   
   

   
   

4. Clique em Finish.

   Um usuário1 do novo usuário é criado sob o OU LDAP-USERS. Estas são as credenciais do usuário:

   • nome de usuário: Usuário1

   • senha: Laptop123
     
     

     

   Agora que o usuário é criado sob um OU, a próxima etapa é configurar este usuário para o acesso LDAP.

Configurar o usuário para o acesso LDAP

Você pode escolher anônimo ou autenticado para especificar o método do ligamento da autenticação local para o servidor ldap. O método anônimo permite o acesso anônimo ao servidor ldap. O método autenticado exige que um nome de usuário e senha a ser entrado ao acesso seguro. O valor padrão é anônimo.

Esta seção explica como configurar métodos anônimos e autenticados.

Ligamento anônimo

Nota: Usar o ligamento anônimo não é recomendada. Um servidor ldap que permita o ligamento anônimo não exige nenhum tipo de autenticação credenciado. Um atacante podia aproveitar-se da entrada anônima do ligamento para ver arquivos no diretor LDAP.

Execute as etapas nesta seção a fim configurar o usuário anônimo para o acesso LDAP.

Permita a característica anônima do ligamento no servidor de fundamentos de Windows 2012

Para todos os aplicativos de terceiros (em nosso caso WLC) alcançar Windows 2012 AD no LDAP, a característica anônima do ligamento deve ser permitida em Windows 2012. À revelia, as operações de LDAP anônimas não são permitidas em Windows 2012 controladores de domínio. Execute estas etapas a fim permitir a característica anônima do ligamento:

1. Lance o ADSI editam a ferramenta datilografando: ADSIEdit.msc em Windows PowerShell. Esta ferramenta é parte de Windows 2012 ferramentas de suporte.
   
   

2. No ADSI edite o indicador, expandem o domínio da raiz (configuração [WIN-A0V2BU68LR9.CISCOSYSTEMS.local]).

   Navegue a CN=Services > a Windows NT CN= > a serviço de CN=Directory. Clicar com o botão direito o recipiente do serviço de CN=Directory, e escolha propriedades do menu do contexto, segundo as indicações da imagem:
   
   

3. No CN=Directory preste serviços de manutenção à janela de propriedades, sob atributos, clique o atributo do dsHeuristics sob o campo do atributo e escolha-a editam. Na janela de editor do atributo da corda deste atributo, incorpore o valor 0000002; o clique aplica-se e APROVA-SE, segundo as indicações da imagem. A característica anônima do ligamento é permitida no server de Windows 2012.

   Nota: O último (sétimo) caráter é esse que controla a maneira que você pode ligar ao serviço LDAP. 0 (zero) ou nenhuns sétimos caractere significam que as operações de LDAP anônimas estão desabilitadas. Se você ajusta o sétimo caractere a 2, permite a característica anônima do ligamento.

   

Concedendo o acesso ANÔNIMO do FAZER LOGON ao usuário

A próxima etapa é conceder o acesso ANÔNIMO do FAZER LOGON ao usuário1 do usuário. Termine estas etapas a fim conseguir isto:

1. Abra usuários e computadores de diretório ativo.
   
   

2. Assegure-se de que os recursos avançados da vista estejam verificados.
   
   

3. Navegue ao usuário1 do usuário e clicar-lo com o botão direito. Escolha propriedades do menu do contexto. Este usuário é identificado com o usuário1 do nome.
   
   

   

4. Clique a ABA de segurança, segundo as indicações da imagem:
   
   
   
   

5. O clique adiciona no indicador resultante.
   
   

6. Incorpore o FAZER LOGON ANÔNIMO sob a entrada os nomes de objeto para selecionar a caixa e reconhecer o diálogo, segundo as indicações da imagem:
   
   
   
   

7. No ACL, observe que o FAZER LOGON ANÔNIMO tem o acesso a alguns grupos da propriedade do usuário. Clique em OK. O acesso ANÔNIMO do FAZER LOGON é concedido a este usuário, segundo as indicações da imagem:

A lista de Grant satisfaz a permissão no OU

A próxima etapa é conceder pelo menos a permissão dos índices da lista ao FAZER LOGON ANÔNIMO no OU em que o usuário é ficado situado. Neste exemplo, o usuário1 é ficado situado no OU LDAP-USERS. Termine estas etapas a fim conseguir isto:

1. Em usuários e em computadores de diretório ativo, clicar com o botão direito o OU LDAP-USERS e escolha propriedades, segundo as indicações da imagem:
   
   

   

2. Segurança do clique.
   
   

3. Clique em Add. No diálogo que abre, incorpore o FAZER LOGON ANÔNIMO e reconheça o diálogo, segundo as indicações da imagem:
   
   

   

Ligamento autenticado

Execute as etapas nesta seção a fim configurar um usuário para a autenticação local ao servidor ldap.

1. Janelas aberta PowerShell e tipo servermanager.exe
   
   
2. Na janela do gerenciador do servidor, clique sobre AD DS. Clicar com o botão direito então seu nome do servidor para escolher usuários e computadores de diretório ativo.
   
   
3. Clique com o botão direito em Users. Navegue a novo > usuário dos menus resultantes do contexto a fim criar um novo usuário.
   
   
   
   

4. Na página da instalação de usuário, preencha os campos requerido segundo as indicações deste exemplo. Este exemplo tem o WLC-admin no campo de nome de logon do usuário. Este é o username a ser usado para a autenticação local ao servidor ldap. Clique em Next.
   
   

5. Incorpore uma senha e confirme a senha. Escolha a senha nunca expira opção e clicam em seguida.
   
   

6. Clique em Finish.

   Um novo usuário WLC-admin é criado sob o recipiente de usuários. Estas são as credenciais do usuário:

   • nome de usuário: WLC-admin

   • senha: Admin123

Concedendo privilages do administrador ao WLC-admin

Agora que o usuário da autenticação local é criado, nós precisamos de conceder-lhe privilages do administrador. Termine estas etapas a fim conseguir isto:

1. Abra usuários e computadores de diretório ativo.
   
   

2. Assegure-se de que os recursos avançados da vista estejam verificados.
   
   

3. Navegue ao usuário WLC-admin e clicar-la com o botão direito. Escolha propriedades do menu do contexto, segundo as indicações da imagem. Este usuário é identificado com o nome WLC-admin.
   
   
   
   

4. Clique o membro da aba, segundo as indicações da imagem:
   
   
   ::
5. Clique em Add. No diálogo que abre, inscreva administradores e clique a APROVAÇÃO, segundo as indicações da imagem:
   
   

Use o LDP para identificar os atributos de usuário

Esta ferramenta GUI é um cliente de LDAP que permita que os usuários executem operações, tais como conectem, liga, procura, altera, adiciona, ou suprime, contra todo o diretório LDAP-compatível, tal como o diretório ativo. O LDP é usado aos objetos de vista que são armazenados no diretório ativo junto com seus metadata, tais como descritores de segurança e metadata da replicação.

A ferramenta LDP GUI é incluída quando você instala Windows Server 2003 ferramentas de suporte do CD do produto. Esta seção explica como usar a utilidade LDP para identificar os atributos específicos associados ao usuário1 do usuário. Alguns destes atributos são usados para preencher os parâmetros de configuração do servidor ldap no WLC, tal como o tipo do atributo de usuário e o tipo de objeto do usuário.

1. No server de Windows 2012 (mesmo no mesmo servidor ldap), abra Windows PowerShell e incorpore o LDP a fim alcançar o navegador LDP.
   
   

2. Na janela principal LDP, navegue à conexão > conectam e conectam ao servidor ldap quando você incorpora o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor ldap, segundo as indicações da imagem.
   
   

   
   

3. Conectado uma vez ao servidor ldap, escolha a vista do menu principal e clique a árvore, segundo as indicações da imagem:
   
   

   
   

4. No indicador resultante da vista de árvore, entre no BaseDN do usuário. Neste exemplo, o usuário1 é ficado situado sob o OU “LDAP-USERS” sob o domínio CISCOSYSTEMS.local. APROVAÇÃO do clique, segundo as indicações da imagem:
   
   

   
   

5. O lado esquerdo do navegador LDP indica a árvore inteira que aparece sob o BaseDN especificado (OU=LDAP-USERS, dc=CISCOSYSTEMS, dc=local). Expanda a árvore para encontrar o usuário1 do usuário. Este usuário pode ser identificado com o valor do CN que representa o nome do usuário. Neste exemplo, é CN=User1. Clique duas vezes CN=User1. Na placa do lado direito do navegador LDP, o LDP indica todos os atributos associados com o usuário1, segundo as indicações da imagem:
   
   

   
   

6. Quando você configura o WLC para o servidor ldap, no campo do atributo de usuário, dê entrada com o nome do atributo no registro de usuário que contém o username. Desta saída LDP, você pode ver que o sAMAccountName é um atributo que contém o username "User1," assim que incorpora o atributo do sAMAccountName que corresponde ao campo do atributo de usuário no WLC.
   
   

7. Quando você configura o WLC para o servidor ldap, no tipo de objeto do usuário campo, incorpore o valor do atributo do objectType LDAP que identifica o registro como um usuário. Frequentemente, os registros de usuário têm diversos valores para o atributo do objectType, alguns de que são originais ao usuário e alguns de que são compartilhados com outros tipos de objeto. Na saída LDP, CN=Person é um valor que identifica o registro como um usuário, assim que especifica a pessoa como o tipo atributo do objeto do usuário no WLC.

   A próxima etapa é configurar o WLC para o servidor ldap.

Configurar o WLC para o servidor ldap

Agora que o servidor ldap é configurado, a próxima etapa é configurar o WLC com detalhes do servidor ldap. Termine estas etapas no WLC GUI:

Nota: Este documento supõe que o WLC está configurado para a operação básica e que os regaços estão registrados ao WLC. Se você é um novo usuário que queira setup o WLC para a operação básica com regaços, refira o registro de pouco peso AP (REGAÇO) a um controlador do Wireless LAN (WLC).

1. Na página da Segurança do WLC, escolha AAA > LDAP à esquerda da placa da tarefa a fim mover-se para a página de configuração do servidor ldap.

   

   A fim adicionar um servidor ldap, clique novo. Os servidores ldap > página nova aparecem.

2. Nos servidores ldap edite a página, especificam os detalhes do servidor ldap, tais como o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor ldap, número de porta, permitem o status de servidor, e assim por diante.

   • Escolha um número da caixa suspensa do deslocamento predeterminado do server (prioridade) especificar a ordem da prioridade deste server com relação a todos os outros servidores ldap configurados. Você pode configurar até dezessete server. Se o controlador não pode alcançar o primeiro server, tenta segundo na lista e assim por diante.

   • Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor ldap ao campo de endereço IP do servidor.

   • Inscreva o número de porta de TCP do servidor ldap no campo de número de porta. O intervalo válido é 1 a 65535, e o valor padrão é 389.

   • para o ligamento simples, nós usamo-nos autenticado, para o username do ligamento que é o lugar do usuário admin WLC que será usado para alcançar o servidor ldap e sua senha

   • No campo da base do usuário DN, dê entrada com o nome destacado (DN) do subtree no servidor ldap que contém uma lista de todos os usuários. Por exemplo, unidade do ou=organizational, unidade organizacional .ou=next, e o=corporation.com. Se a árvore que contém usuários é a base DN, entre no=corporation.com ou em dc=corporation, dc=com.

     Neste exemplo, o usuário é ficado situado sob a unidade organizacional (OU) LDAP-USERS, que, é criada por sua vez como parte do domínio lab.wireless.

     A base do usuário DN deve apontar o caminho cheio onde a informação sobre o usuário (credenciais do usuário conforme o método de autenticação EAP-FAST) é encontrada. Neste exemplo, o usuário é ficado situado sob a base DN OU=LDAP-USERS, DC=CISCOSYSTEMS, DC=local.

   • No campo do atributo de usuário, dê entrada com o nome do atributo no registro de usuário que contém o username.

     No tipo de objeto do usuário campo, incorpore o valor do atributo do objectType LDAP que identifica o registro como um usuário. Frequentemente, os registros de usuário têm diversos valores para o atributo do objectType, alguns de que são originais ao usuário e alguns de que são compartilhados com outros tipos de objeto

     Você pode obter o valor destes dois campos de seu servidor de diretório com a utilidade do navegador LDAP que vem como parte de Windows 2012 ferramentas de suporte. Esta ferramenta do navegador de Microsoft LDAP é chamada LDP. Com a ajuda desta ferramenta, você pode conhecer a base do usuário DN, o atributo de usuário, e o tipo de objeto do usuário campos deste usuário particular. A informação detalhada em como usar o LDP para conhecer estes atributos específicos do usuário é discutida no LDP de utilização para identificar a seção dos atributos de usuário deste documento.

   • No campo do timeout de servidor, incorpore o número de segundos entre retransmissões. O intervalo válido é 2 a 30 segundos, e o valor padrão é 2 segundos.

   • Verifique a caixa de verificação do status de servidor da possibilidade para permitir este servidor ldap, ou desmarcar-la para desabilitá-la. O valor padrão é desabilitado.

   • O clique aplica-se para comprometer suas mudanças. Este é um exemplo já configurado com esta informação:

   

3. Agora que os detalhes sobre o servidor ldap são configurados no WLC, a próxima etapa é configurar um WLAN para a autenticação da Web.

Configurar o WLAN para a autenticação da Web

A primeira etapa é criar um WLAN para os usuários. Conclua estes passos:

1. Clique WLAN do controlador GUI a fim criar um WLAN.

   A janela WLANs aparece. Este indicador alista os WLAN configurados no controlador.

2. Clique novo a fim configurar um WLAN novo.

   Neste exemplo, o WLAN é nomeado Web-AUTH.

   

3. Clique em Apply.

4. No o WLAN > edita o indicador, define os parâmetros específicos ao WLAN.

   

   • Verifique a caixa de verificação de status para permitir o WLAN.

   • Para o WLAN, escolha a relação apropriada do campo de nome da relação.

     Este exemplo traça a interface de gerenciamento que conecta ao Web-AUTH WLAN.

5. Clique na guia Security. No campo de Segurança da camada 3, verifique a caixa de verificação de Política da web, e escolha a opção de autenticação.

   

   Esta opção é escolhida porque a autenticação da Web é usada para autenticar os clientes Wireless. Verifique a caixa de verificação do config global da ultrapassagem para permitir pela configuração da autenticação da Web WLAN. Escolha o tipo apropriado da autenticação da Web do tipo menu suspenso do AUTH da Web. Este exemplo usa a autenticação do web interna.

   Nota: A autenticação da Web não é apoiada com autenticação do 802.1x. Isto significa que você não pode escolher o 802.1x ou um WPA/WPA2 com o 802.1x como a Segurança da camada 2 quando você usa a autenticação da Web. A autenticação da Web é apoiada com todos parâmetros de segurança restantes da camada 2.

6. Clique a aba dos servidores AAA. Escolha o servidor ldap configurado do menu de destruição do servidor ldap. Se você usa um base de dados local ou um servidor Radius, você pode ajustar a prioridade da autenticação sob a ordem da prioridade da autenticação para o userfield do Web-AUTH.

   

7. Clique em Apply.

   Nota: Neste exemplo, mergulhe 2 métodos de segurança para autenticar usuários não são usados, assim que não escolha nenhuns no campo de Segurança da camada 2.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A fim verificar esta instalação, conecte um cliente Wireless e verifique se a configuração trabalha como esperado.

O cliente Wireless vem acima, e o usuário incorpora a URL, tal como www.yahoo.com, ao navegador da Web. Porque o usuário não foi autenticado, o WLC reorienta o usuário ao início de uma sessão URL do web interna.

O usuário é alertado para as credenciais do usuário. Uma vez que o usuário submete o nome de usuário e senha, a página de login toma a entrada das credenciais do usuário e, em cima submete, envia o pedido de volta ao exemplo do action_URL, http://1.1.1.1/login.html, do servidor de Web WLC. Isto é fornecido enquanto um parâmetro de entrada ao cliente reorienta a URL, onde 1.1.1.1 é o endereço da interface virtual no interruptor.

O WLC autentica o usuário contra a base de dados de usuário LDAP. Após a autenticação bem sucedida, o servidor de Web WLC qualquer um para a frente o usuário ao configurado reorienta a URL ou à URL com que o cliente começou, como www.yahoo.com.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Use estes comandos pesquisar defeitos sua configuração:

• debugar o <client-MAC-endereço xx do ADDR do Mac: xx: xx: xx: xx: xx>

• debug aaa all enable

• debugar o estado PEM permitem

• debugar eventos PEM permitem

• debugar o mensagem DHCP permitem

• debugar o pacote DHCP permitem

Este é um exemplo de saída dos comandos debug mac addr cc:fa:00:f7:32:35

                                                                                  debugar o ldap aaa permitem

(Cisco_Controller) >*pemReceiveTask: Dec 24 03:45:23.089: cc:fa:00:f7:32:35 Sent an XID frame
*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Processing assoc-req station:cc:fa:00:f7:32:35 AP:00:23:eb:e5:04:10-01 thread:18ec9330
*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Association received from mobile on BSSID 00:23:eb:e5:04:1f AP AP1142-1
*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Global 200 Clients are allowed to AP radio

*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Max Client Trap Threshold: 0  cur: 1

*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 Rf profile 600 Clients are allowed to AP wlan

*apfMsConnTask_1: Dec 24 03:45:43.554: cc:fa:00:f7:32:35 override for default ap group, marking intgrp NULL
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Applying Interface policy on Mobile, role Local. Ms NAC State 2 Quarantine Vlan 0 Access Vlan 16

*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Re-applying interface policy for client

*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Changing IPv4 ACL 'none' (ACL ID 255) ===> 'none' (ACL ID 255) --- (caller apf_policy.c:2699)
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Changing IPv6 ACL 'none' (ACL ID 255) ===> 'none' (ACL ID 255) --- (caller apf_policy.c:2720)
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 apfApplyWlanPolicy: Apply WLAN Policy over PMIPv6 Client Mobility Type, Tunnel User - 0
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 In processSsidIE:6246 setting Central switched to TRUE
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 In processSsidIE:6249 apVapId = 1 and Split Acl Id = 65535
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Applying site-specific Local Bridging override for station cc:fa:00:f7:32:35 - vapId 1, site 'default-group', interface 'management'
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Applying Local Bridging Interface Policy for station cc:fa:00:f7:32:35 - vlan 16, interface id 0, interface 'management'
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 processSsidIE  statusCode is 0 and status is 0
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 processSsidIE  ssid_done_flag is 0 finish_flag is 0
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 STA - rates (3): 24 164 48 0 0 0 0 0 0 0 0 0 0 0 0 0
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 suppRates  statusCode is 0 and gotSuppRatesElement is 1
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 AID 2 in Assoc Req from flex AP 00:23:eb:e5:04:10 is same as in mscb cc:fa:00:f7:32:35
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 apfMs1xStateDec
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Change state to START (0) last state WEBAUTH_REQD (8)

*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 pemApfAddMobileStation2: APF_MS_PEM_WAIT_L2_AUTH_COMPLETE = 0.
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 START (0) Initializing policy
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 START (0) Change state to AUTHCHECK (2) last state START (0)

*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 AUTHCHECK (2) Change state to L2AUTHCOMPLETE (4) last state AUTHCHECK (2)

*pemReceiveTask: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 Removed NPU entry.
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 Not Using WMM Compliance code qosCap 00
*apfMsConnTask_1: Dec 24 03:45:43.555: cc:fa:00:f7:32:35 172.16.16.122 L2AUTHCOMPLETE (4) Plumbed mobile LWAPP rule on AP 00:23:eb:e5:04:10 vapId 1 apVapId 1 flex-acl-name:
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 L2AUTHCOMPLETE (4) Change state to WEBAUTH_REQD (8) last state L2AUTHCOMPLETE (4)

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) pemApfAddMobileStation2 3802, Adding TMP rule
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Adding Fast Path rule
  type = Airespace AP Client - ACL passthru
  on AP 00:23:eb:e5:04:10, slot 1, interface = 1, QOS = 0
  IPv4 ACL I
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 15206, IntfId = 0  Local Bridging Vlan = 16, Local Bridging intf id = 0
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) pemApfAddMobileStation2 3911, Adding TMP rule
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Replacing Fast Path rule
  type = Airespace AP Client - ACL passthru
  on AP 00:23:eb:e5:04:10, slot 1, interface = 1, QOS = 0
  IPv4 AC
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 15206, IntfId = 0  Local Bridging Vlan = 16, Local Bridging intf id = 0
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 apfPemAddUser2 (apf_policy.c:359) Changing state for mobile cc:fa:00:f7:32:35 on AP 00:23:eb:e5:04:10 from Associated to Associated

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 apfPemAddUser2:session timeout forstation cc:fa:00:f7:32:35 - Session Tout 1800, apfMsTimeOut '1800' and sessionTimerRunning flag is  1
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 Scheduling deletion of Mobile Station:  (callerId: 49) in 1800 seconds
*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 Func: apfPemAddUser2, Ms Timeout = 1800, Session Timeout = 1800

*apfMsConnTask_1: Dec 24 03:45:43.556: cc:fa:00:f7:32:35 Sending assoc-resp with status 0 station:cc:fa:00:f7:32:35 AP:00:23:eb:e5:04:10-01 on apVapId 1
*apfMsConnTask_1: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 Sending Assoc Response to station on BSSID 00:23:eb:e5:04:1f (status 0) ApVapId 1 Slot 1
*apfMsConnTask_1: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 apfProcessAssocReq (apf_80211.c:10187) Changing state for mobile cc:fa:00:f7:32:35 on AP 00:23:eb:e5:04:10 from Associated to Associated

*pemReceiveTask: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 172.16.16.122 Added NPU entry of type 2, dtlFlags 0x0
*pemReceiveTask: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 Sent an XID frame
*pemReceiveTask: Dec 24 03:45:43.557: cc:fa:00:f7:32:35 172.16.16.122 Added NPU entry of type 2, dtlFlags 0x0
*pemReceiveTask: Dec 24 03:45:43.558: cc:fa:00:f7:32:35 Sent an XID frame
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP received op BOOTREQUEST (1) (len 322,vlan 16, port 1, encap 0xec03, xid 0x62743488)
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP (encap type 0xec03) mstype 0ff:ff:ff:ff:ff:ff
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP selecting relay 1 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 255.255.254.0,
                        dhcpGateway: 172.16.16.1, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP mscbVapLocalAddr=172.16.16.25 mscbVapLocalNetMask= 255.255.254.0 mscbdhcpRelay=172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.708: cc:fa:00:f7:32:35 DHCP selected relay 1 - 172.16.16.25 (local address 172.16.16.25, gateway 172.16.16.25, VLAN 16, port 1)
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selecting relay 2 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 255.255.254.0,
                        dhcpGateway: 172.16.16.1, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selected relay 2 - NONE
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selecting relay 1 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 0.0.0.0,
                        dhcpGateway: 0.0.0.0, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP mscbVapLocalAddr=172.16.16.25 mscbVapLocalNetMask= 255.255.254.0 mscbdhcpRelay=172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selected relay 1 - 172.16.16.25 (local address 172.16.16.25, gateway 172.16.16.25, VLAN 16, port 1)
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP transmitting DHCP DISCOVER (1)
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 1
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   xid: 0x62743488 (1651782792), secs: 0, flags: 0
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   chaddr: cc:fa:00:f7:32:35
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   ciaddr: 0.0.0.0,  yiaddr: 0.0.0.0
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP   siaddr: 0.0.0.0,  giaddr: 172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selecting relay 2 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 0.0.0.0,
                        dhcpGateway: 0.0.0.0, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP selected relay 2 - NONE
*DHCP Proxy Task: Dec 24 03:45:43.709: cc:fa:00:f7:32:35 DHCP received op BOOTREPLY (2) (len 572,vlan 0, port 0, encap 0x0, xid 0x62743488)
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP sending REPLY to STA (len 418, port 1, vlan 16)
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP transmitting DHCP OFFER (2)
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   xid: 0x62743488 (1651782792), secs: 0, flags: 0
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   chaddr: cc:fa:00:f7:32:35
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   ciaddr: 0.0.0.0,  yiaddr: 172.16.16.122
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   siaddr: 0.0.0.0,  giaddr: 0.0.0.0
*DHCP Proxy Task: Dec 24 03:45:43.710: cc:fa:00:f7:32:35 DHCP   server id: 1.1.1.1  rcvd server id: 172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP received op BOOTREQUEST (1) (len 334,vlan 16, port 1, encap 0xec03, xid 0x62743488)
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP (encap type 0xec03) mstype 0ff:ff:ff:ff:ff:ff
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP selecting relay 1 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 0.0.0.0,
                        dhcpGateway: 0.0.0.0, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP mscbVapLocalAddr=172.16.16.25 mscbVapLocalNetMask= 255.255.254.0 mscbdhcpRelay=172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP selected relay 1 - 172.16.16.25 (local address 172.16.16.25, gateway 172.16.16.25, VLAN 16, port 1)
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP transmitting DHCP REQUEST (3)
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP   op: BOOTREQUEST, htype: Ethernet, hlen: 6, hops: 1
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP   xid: 0x62743488 (1651782792), secs: 0, flags: 0
*DHCP Socket Task: Dec 24 03:45:43.714: cc:fa:00:f7:32:35 DHCP   chaddr: cc:fa:00:f7:32:35
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   ciaddr: 0.0.0.0,  yiaddr: 0.0.0.0
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   siaddr: 0.0.0.0,  giaddr: 172.16.16.25
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   requested ip: 172.16.16.122
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   server id: 172.16.16.25  rcvd server id: 1.1.1.1
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP selecting relay 2 - control block settings:
                        dhcpServer: 172.16.16.25, dhcpNetmask: 0.0.0.0,
                        dhcpGateway: 0.0.0.0, dhcpRelay: 172.16.16.25  VLAN: 16
*DHCP Socket Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP selected relay 2 - NONE
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP received op BOOTREPLY (2) (len 572,vlan 0, port 0, encap 0x0, xid 0x62743488)
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP setting server from ACK (mscb=0x40e64b88 ip=0xac10107a)(server 172.16.16.25, yiaddr 172.16.16.122)
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP sending REPLY to STA (len 418, port 1, vlan 16)
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP transmitting DHCP ACK (5)
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   op: BOOTREPLY, htype: Ethernet, hlen: 6, hops: 0
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   xid: 0x62743488 (1651782792), secs: 0, flags: 0
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   chaddr: cc:fa:00:f7:32:35
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   ciaddr: 0.0.0.0,  yiaddr: 172.16.16.122
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   siaddr: 0.0.0.0,  giaddr: 0.0.0.0
*DHCP Proxy Task: Dec 24 03:45:43.715: cc:fa:00:f7:32:35 DHCP   server id: 1.1.1.1  rcvd server id: 172.16.16.25
*ewmwebWebauth1: Dec 24 03:46:01.222: cc:fa:00:f7:32:35 Username entry (User1) created for mobile, length = 7
*ewmwebWebauth1: Dec 24 03:46:01.222: cc:fa:00:f7:32:35 Username entry (User1) created in mscb for mobile, length = 7
*aaaQueueReader: Dec 24 03:46:01.222: AuthenticationRequest: 0x2b6bdc3c


*aaaQueueReader: Dec 24 03:46:01.222:   Callback.....................................0x12088c50

*aaaQueueReader: Dec 24 03:46:01.222:   protocolType.................................0x00000002

*aaaQueueReader: Dec 24 03:46:01.222:   proxyState...................................CC:FA:00:F7:32:35-00:00

*aaaQueueReader: Dec 24 03:46:01.222:   Packet contains 15 AVPs (not shown)

*LDAP DB Task 1: Dec 24 03:46:01.222: ldapTask [1] received msg 'REQUEST' (2) in state 'IDLE' (1)
*LDAP DB Task 1: Dec 24 03:46:01.222: LDAP server 1 changed state to INIT
*LDAP DB Task 1: Dec 24 03:46:01.223: LDAP_OPT_REFERRALS = -1

*LDAP DB Task 1: Dec 24 03:46:01.223: ldapInitAndBind [1] called lcapi_init (rc = 0 - Success)
*LDAP DB Task 1: Dec 24 03:46:01.225: ldapInitAndBind [1] configured Method Authenticated lcapi_bind (rc = 0 - Success)
*LDAP DB Task 1: Dec 24 03:46:01.225: LDAP server 1 changed state to CONNECTED
*LDAP DB Task 1: Dec 24 03:46:01.225: disabled LDAP_OPT_REFERRALS

*LDAP DB Task 1: Dec 24 03:46:01.225: LDAP_CLIENT: UID Search (base=CN=Users,DC=CISCOSYSTEMS,DC=local, pattern=(&(objectclass=Person)(sAMAccountName=User1)))
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: ldap_search_ext_s returns 0 -5
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Returned 2 msgs including 0 references
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Returned msg 1 type 0x64
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Received 1 attributes in search entry msg
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Returned msg 2 type 0x65
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT : No matched DN
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT : Check result error 0 rc 1013
*LDAP DB Task 1: Dec 24 03:46:01.226: LDAP_CLIENT: Received no referrals in search result msg
*LDAP DB Task 1: Dec 24 03:46:01.226: ldapAuthRequest [1] 172.16.16.200 - 389 called lcapi_query base="CN=Users,DC=CISCOSYSTEMS,DC=local" type="Person" attr="sAMAccountName" user="User1" (rc = 0 - Success)
*LDAP DB Task 1: Dec 24 03:46:01.226: Attempting user bind with username CN=User1,CN=Users,DC=CISCOSYSTEMS,DC=local
*LDAP DB Task 1: Dec 24 03:46:01.228: LDAP ATTR> dn = CN=User1,CN=Users,DC=CISCOSYSTEMS,DC=local (size 45)
*LDAP DB Task 1: Dec 24 03:46:01.228: Handling LDAP response Success
*LDAP DB Task 1: Dec 24 03:46:01.228: Authenticated bind : Closing the binded session

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_REQD (8) Change state to WEBAUTH_NOL3SEC (14) last state WEBAUTH_REQD (8)

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 apfMsRunStateInc
*LDAP DB Task 1: Dec 24 03:46:01.228: ldapClose [1] called lcapi_close (rc = 0 - Success)
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 WEBAUTH_NOL3SEC (14) Change state to RUN (20) last state WEBAUTH_NOL3SEC (14)

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 Stopping deletion of Mobile Station: (callerId: 74)
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 Setting Session Timeout to 1800 sec - starting session timer for the mobile
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Reached PLUMBFASTPATH: from line 6972
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Replacing Fast Path rule
  type = Airespace AP Client
  on AP 00:23:eb:e5:04:10, slot 1, interface = 1, QOS = 0
  IPv4 ACL ID = 255, IPv6 ACL ID
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Fast Path rule (contd...) 802.1P = 0, DSCP = 0, TokenID = 15206, IntfId = 0  Local Bridging Vlan = 16, Local Bridging intf id = 0
*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*ewmwebWebauth1: Dec 24 03:46:01.228: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Fast Path rule (contd...) AVC Ratelimit:  AppID = 0 ,AppAction = 4, AppToken = 15206  AverageRate = 0, BurstRate = 0

*ewmwebWebauth1: Dec 24 03:46:01.229: cc:fa:00:f7:32:35 172.16.16.122 RUN (20) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255)
*pemReceiveTask: Dec 24 03:46:01.229: cc:fa:00:f7:32:35 172.16.16.122 Added NPU entry of type 1, dtlFlags 0x0


(Cisco_Controller) >show client detail cc:fa:00:f7:32:35
Client MAC Address............................... cc:fa:00:f7:32:35
Client Username ................................. User1
AP MAC Address................................... 00:23:eb:e5:04:10
AP Name.......................................... AP1142-1
AP radio slot Id................................. 1
Client State..................................... Associated
Client User Group................................ User1
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 1
Wireless LAN Network Name (SSID)................. LDAP-TEST
Wireless LAN Profile Name........................ LDAP-TEST
Hotspot (802.11u)................................ Not Supported
BSSID............................................ 00:23:eb:e5:04:1f
Connected For ................................... 37 secs
Channel.......................................... 36
IP Address....................................... 172.16.16.122
Gateway Address.................................. 172.16.16.1
Netmask.......................................... 255.255.254.0
Association Id................................... 2
Authentication Algorithm......................... Open System
Reason Code...................................... 1
Status Code...................................... 0

--More or (q)uit current module or <ctrl-z> to abort
Session Timeout.................................. 1800
Client CCX version............................... No CCX support
QoS Level........................................ Silver
Avg data Rate.................................... 0
Burst data Rate.................................. 0
Avg Real time data Rate.......................... 0
Burst Real Time data Rate........................ 0
802.1P Priority Tag.............................. disabled
CTS Security Group Tag........................... Not Applicable
KTS CAC Capability............................... No
Qos Map Capability............................... No
WMM Support...................................... Enabled
  APSD ACs.......................................  BK  BE  VI  VO
Current Rate..................................... m7
Supported Rates.................................. 12.0,18.0,24.0
Mobility State................................... Local
Mobility Move Count.............................. 0
Security Policy Completed........................ Yes
Policy Manager State............................. RUN
Audit Session ID................................. ac10101900000005567b69f8
AAA Role Type.................................... none
Local Policy Applied............................. none
IPv4 ACL Name.................................... none

--More or (q)uit current module or <ctrl-z> to abort
FlexConnect ACL Applied Status................... Unavailable
IPv4 ACL Applied Status.......................... Unavailable
IPv6 ACL Name.................................... none
IPv6 ACL Applied Status.......................... Unavailable
Layer2 ACL Name.................................. none
Layer2 ACL Applied Status........................ Unavailable
Client Type...................................... SimpleIP
mDNS Status...................................... Enabled
mDNS Profile Name................................ default-mdns-profile
No. of mDNS Services Advertised.................. 0
Policy Type...................................... N/A
Encryption Cipher................................ None
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... Unknown
FlexConnect Data Switching....................... Central
FlexConnect Dhcp Status.......................... Central
FlexConnect Vlan Based Central Switching......... No
FlexConnect Authentication....................... Central
FlexConnect Central Association.................. No
Interface........................................ management
VLAN............................................. 16
Quarantine VLAN.................................. 0

--More or (q)uit current module or <ctrl-z> to abort
Access VLAN...................................... 16
Local Bridging VLAN.............................. 16
Client Capabilities:
      CF Pollable................................ Not implemented
      CF Poll Request............................ Not implemented
      Short Preamble............................. Not implemented
      PBCC....................................... Not implemented
      Channel Agility............................ Not implemented
      Listen Interval............................ 10
      Fast BSS Transition........................ Not implemented
      11v BSS Transition......................... Not implemented
Client Wifi Direct Capabilities:
      WFD capable................................ No
      Manged WFD capable......................... No
      Cross Connection Capable................... No
      Support Concurrent Operation............... No
Fast BSS Transition Details:
Client Statistics:
      Number of Bytes Received................... 16853
      Number of Bytes Sent....................... 31839
      Total Number of Bytes Sent................. 31839
      Total Number of Bytes Recv................. 16853
      Number of Bytes Sent (last 90s)............ 31839

--More or (q)uit current module or <ctrl-z> to abort
      Number of Bytes Recv (last 90s)............ 16853
      Number of Packets Received................. 146
      Number of Packets Sent..................... 92
      Number of Interim-Update Sent.............. 0
      Number of EAP Id Request Msg Timeouts...... 0
      Number of EAP Id Request Msg Failures...... 0
      Number of EAP Request Msg Timeouts......... 0
      Number of EAP Request Msg Failures......... 0
      Number of EAP Key Msg Timeouts............. 0
      Number of EAP Key Msg Failures............. 0
      Number of Data Retries..................... 2
      Number of RTS Retries...................... 0
      Number of Duplicate Received Packets....... 0
      Number of Decrypt Failed Packets........... 0
      Number of Mic Failured Packets............. 0
      Number of Mic Missing Packets.............. 0
      Number of RA Packets Dropped............... 0
      Number of Policy Errors.................... 0
      Radio Signal Strength Indicator............ -48 dBm
      Signal to Noise Ratio...................... 41 dB
Client Rate Limiting Statistics:
      Number of Data Packets Received............ 0
      Number of Data Rx Packets Dropped.......... 0

--More or (q)uit current module or <ctrl-z> to abort
      Number of Data Bytes Received.............. 0
      Number of Data Rx Bytes Dropped............ 0
      Number of Realtime Packets Received........ 0
      Number of Realtime Rx Packets Dropped...... 0
      Number of Realtime Bytes Received.......... 0
      Number of Realtime Rx Bytes Dropped........ 0
      Number of Data Packets Sent................ 0
      Number of Data Tx Packets Dropped.......... 0
      Number of Data Bytes Sent.................. 0
      Number of Data Tx Bytes Dropped............ 0
      Number of Realtime Packets Sent............ 0
      Number of Realtime Tx Packets Dropped...... 0
      Number of Realtime Bytes Sent.............. 0
      Number of Realtime Tx Bytes Dropped........ 0
Nearby AP Statistics:
      AP1142-1(slot 0)
        antenna0: 25 secs ago.................... -37 dBm
        antenna1: 25 secs ago.................... -37 dBm
      AP1142-1(slot 1)
        antenna0: 25 secs ago.................... -44 dBm
        antenna1: 25 secs ago.................... -57 dBm
DNS Server details:
      DNS server IP ............................. 0.0.0.0

--More or (q)uit current module or <ctrl-z> to abort
      DNS server IP ............................. 0.0.0.0
Assisted Roaming Prediction List details:


Client Dhcp Required:     False