Este documento explica como executar a autenticação de web externa usando um servidor RADIUS externo.
Certifique-se de atender a estes requisitos antes de tentar esta configuração:
Conhecimento básico da configuração de LAPs (Lightweight Access Points) e WLCs da Cisco
Conhecimento de como configurar e configurar um servidor Web externo
Conhecimento de como configurar o Cisco Secure ACS
As informações neste documento são baseadas nestas versões de software e hardware:
Controlador de LAN sem fio que executa o Firmware versão 5.0.148.0
LAP Cisco 1232 Series
Adaptador de cliente sem fio Cisco 802.11a/b/g 3.6.0.61
Servidor Web externo que hospeda a página de login da autenticação da Web
Versão do Cisco Secure ACS que executa o firmware versão 4.1.1.24
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Este documento utiliza a seguinte configuração de rede:
Estes são os endereços IP usados neste documento:
A WLC usa o endereço IP 10.77.244.206
O LAP está registrado no WLC com o endereço IP 10.77.244.199
O Servidor Web usa o endereço IP 10.77.244.210
O servidor Cisco ACS usa o endereço IP 10.77.244.196
O cliente recebe um endereço IP da Interface de Gerenciamento que é mapeado para a WLAN - 10.77.244.208
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
A autenticação da Web é um mecanismo de autenticação da camada 3 usado para autenticar usuários convidados para acesso à Internet. Os usuários autenticados usando esse processo não poderão acessar a Internet até que concluam com êxito o processo de autenticação. Para obter informações completas sobre o processo de autenticação da Web externa, leia a seção Processo de Autenticação da Web Externa do documento Exemplo de Configuração de Autenticação da Web Externa com Controladores Wireless LAN.
Neste documento, observamos um exemplo de configuração, no qual a autenticação da Web externa é executada usando um servidor RADIUS externo.
Neste documento, supomos que a WLC já está configurada e tem um LAP registrado na WLC. Este documento pressupõe ainda que a WLC está configurada para operação básica e que os LAPs estão registrados na WLC. Se você for um novo usuário que está tentando configurar o WLC para operação básica com LAPs, consulte Registro do LAP (Lightweight AP) em um WLC (Wireless LAN Controller). Para visualizar os LAPs registrados na WLC, navegue para Wireless > All APs.
Quando a WLC estiver configurada para operação básica e tiver um ou mais LAPs registrados nela, você poderá configurar a WLC para autenticação da Web externa usando um servidor Web externo. Em nosso exemplo, estamos usando um Cisco Secure ACS versão 4.1.1.24 como o servidor RADIUS. Primeiro, configuraremos a WLC para este servidor RADIUS e, em seguida, observaremos a configuração necessária no Cisco Secure ACS para esta configuração.
Execute estas etapas para adicionar o servidor RADIUS na WLC:
Na GUI da WLC, clique no menu SECURITY.
No menu AAA, navegue até o submenu Radius > Authentication.
Clique em New e insira o endereço IP do servidor RADIUS. Neste exemplo, o endereço IP do servidor é 10.77.244.196.
Insira o segredo compartilhado na WLC. O segredo compartilhado deve ser configurado da mesma forma na WLC.
Escolha ASCII ou Hex para o formato de segredo compartilhado. O mesmo formato precisa ser escolhido na WLC.
1812 é o Número de Porta usado para autenticação RADIUS.
Verifique se a opção Status do servidor está definida como Ativado.
Marque a caixa Network User Enable para autenticar os usuários da rede.
Clique em Apply.
A próxima etapa é configurar a WLAN para autenticação da Web em WLC. Execute estas etapas para configurar a WLAN na WLC:
Clique no menu WLANs na GUI do controlador e escolha New.
Escolha WLAN para Tipo.
Insira um nome de perfil e um SSID de WLAN de sua escolha e clique em Apply (Aplicar).
Observação: o SSID da WLAN faz distinção entre maiúsculas e minúsculas.
Na guia Geral, verifique se a opção Habilitado está marcada para Status e SSID de Broadcast.
Configuração da WLAN
Escolha uma interface para a WLAN. Geralmente, uma interface configurada em uma VLAN exclusiva é mapeada para a WLAN de modo que o cliente receba um endereço IP nessa VLAN. Neste exemplo, usamos o gerenciamento para a Interface.
Escolha a guia Segurança.
No menu Layer 2, escolha None for Layer 2 Security.
No menu Layer 3, escolha None for Layer 3 Security. Marque a caixa de seleção Política da Web e escolha Autenticação.
No menu servidores AAA, para Servidor de Autenticação, escolha o servidor RADIUS configurado nesta WLC. Outros menus devem permanecer em valores padrão.
O servidor Web que hospeda a página de autenticação da Web deve ser configurado na WLC. Execute estas etapas para configurar o servidor Web:
Clique na guia Security. Vá para Web Auth > Web Login Page.
Defina o Tipo de autenticação da Web como Externo.
No campo Endereço IP do Servidor Web, digite o endereço IP do servidor que hospeda a página de Autenticação Web e clique em Adicionar Servidor Web. Neste exemplo, o endereço IP é 10.77.244.196, exibido em Servidores Web externos.
Insira o URL da página Autenticação da Web (neste exemplo, http://10.77.244.196/login.html) no campo URL.
Neste documento, presumimos que o Cisco Secure ACS Server já está instalado e em execução em uma máquina. Para obter mais informações sobre como configurar o Cisco Secure ACS, consulte o Guia de configuração do Cisco Secure ACS 4.2.
Execute estas etapas para configurar usuários no Cisco Secure ACS:
Escolha User Setup na GUI do Cisco Secure ACS, insira um nome de usuário e clique em Add/Edit. Neste exemplo, o usuário é user1.
Por padrão, o PAP é usado para autenticar clientes. A senha do usuário é inserida em User Setup > Password Authentication > Cisco Secure PAP. Certifique-se de escolher o banco de dados interno ACS para a autenticação de senha.
O usuário precisa receber um grupo ao qual o usuário pertence. Escolha o Grupo padrão.
Clique em Submit.
Execute estas etapas para configurar as informações de WLC no Cisco Secure ACS:
Na GUI do ACS, clique na guia Network Configuration e clique em Add Entry.
A tela Add AAA client (Adicionar cliente AAA) é exibida.
Digite o nome do cliente. Neste exemplo, usamos WLC.
Insira o endereço IP do cliente. O endereço IP da WLC é 10.77.244.206.
Insira a chave Shared Secret e o formato da chave. Isso deve corresponder à entrada feita no menu Segurança da WLC.
Escolha ASCII para o formato de entrada de chave, que deve ser o mesmo na WLC.
Escolha RADIUS (Cisco Airespace) para Autenticar usando para definir o protocolo usado entre o WLC e o servidor RADIUS.
Clique em Enviar + Aplicar.
Neste exemplo, usamos o Cisco Aironet Desktop Utility para executar a autenticação da Web. Execute estas etapas para configurar o Aironet Desktop Utility.
Abra o Aironet Desktop Utility em Start > Cisco Aironet > Aironet Desktop Utility.
Clique na guia Gerenciamento de perfis.
Escolha o perfil Padrão e clique em Modificar.
Clique na guia Geral.
Configure um nome de perfil. Neste exemplo, é usado Default.
Configure o SSID em Network Names (Nomes de rede). Neste exemplo, a WLAN1 é usada.
Observação: o SSID diferencia maiúsculas de minúsculas e deve corresponder à WLAN configurada na WLC.
Clique na guia Security.
Escolha Nenhum como Segurança para autenticação da Web.
Clique na guia Advanced.
No menu Wireless Mode, escolha a frequência na qual o cliente sem fio se comunica com o LAP.
No nível de potência de transmissão, escolha a potência configurada na WLC.
Deixe o valor padrão para Modo de economia de energia.
Escolha Infrastructure como o Network Type.
Defina o preâmbulo 802.11b como curto e longo para melhor compatibilidade.
Click OK.
Quando o perfil é configurado no software cliente, o cliente é associado com êxito e recebe um endereço IP do pool de VLANs configurado para a interface de gerenciamento.
Esta seção explica como ocorre o login do cliente.
Abra uma janela do navegador e digite qualquer URL ou endereço IP. Com isso, a página de autenticação da Web é levada ao cliente. Se a controladora estiver executando uma versão anterior à 3.0, o usuário deve inserir https://1.1.1.1/login.html para exibir a página de autenticação da Web. Uma janela de alerta de segurança é exibida.
Clique Yes para continuar.
Quando a janela Login for exibida, digite o nome de usuário e a senha configurados no servidor RADIUS. Se seu login for bem-sucedido, você verá duas janelas do navegador. A janela maior indica o login bem-sucedido, e você pode usar essa janela para navegar na Internet. Use a janela menor para encerrar a sessão quando seu uso da rede guest estiver concluído.
Para obter uma autenticação da Web bem-sucedida, você precisa verificar se os dispositivos estão configurados de maneira apropriada. Esta seção explica como verificar os dispositivos usados no processo.
Clique em User Setup e, em seguida, clique em List All Users na GUI do ACS.
Verifique se o Status do usuário está Habilitado e se o grupo Padrão está mapeado para o usuário.
Clique na guia Network Configuration e procure na tabela AAA Clients para verificar se a WLC está configurada como um cliente AAA.
Clique no menu WLANs na GUI da WLC.
Verifique se a WLAN usada para autenticação da Web está listada na página.
Verifique se o status Admin da WLAN está Habilitado.
Verifique se a política de segurança para a WLAN mostra Web-Auth.
Clique no menu SECURITY na GUI da WLC.
Verifique se o Cisco Secure ACS (10.77.244.196) está listado na página.
Verifique se a caixa Network User (Usuário de rede) está marcada.
Verifique se a porta é 1812 e se o status Admin é Habilitado.
Há muitas razões pelas quais a autenticação da Web não é bem-sucedida. O documento Troubleshooting Web Authentication on a Wireless LAN Controller (WLC) explica claramente esses motivos em detalhes.
Observação: consulte Informações Importantes sobre Comandos de Depuração antes de usar esses comandos debug.
Faça Telnet na WLC e emita estes comandos para solucionar problemas de autenticação:
debug aaa all enable
Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Successful transmission of Authentic ation Packet (id 1) to 10.77.244.196:1812, proxy state 00:40:96:ac:dd:05-00:01 Fri Sep 24 13:59:52 2010: 00000000: 01 01 00 73 00 00 00 00 00 00 00 00 00 00 0 0 00 ...s............ Fri Sep 24 13:59:52 2010: 00000010: 00 00 00 00 01 07 75 73 65 72 31 02 12 93 c 3 66 ......user1....f Fri Sep 24 13:59:52 2010: 00000030: 75 73 65 72 31 user1 Fri Sep 24 13:59:52 2010: ****Enter processIncomingMessages: response code=2 Fri Sep 24 13:59:52 2010: ****Enter processRadiusResponse: response code=2 Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Access-Accept received from RADIUS s erver 10.77.244.196 for mobile 00:40:96:ac:dd:05 receiveId = 0 Fri Sep 24 13:59:52 2010: AuthorizationResponse: 0x12238db0 Fri Sep 24 13:59:52 2010: structureSize................................89 Fri Sep 24 13:59:52 2010: resultCode...................................0 Fri Sep 24 13:59:52 2010: protocolUsed.................................0x0 0000001 Fri Sep 24 13:59:52 2010: proxyState...................................00: 40:96:AC:DD:05-00:00 Fri Sep 24 13:59:52 2010: Packet contains 2 AVPs: Fri Sep 24 13:59:52 2010: AVP[01] Framed-IP-Address................... .....0xffffffff (-1) (4 bytes) Fri Sep 24 13:59:52 2010: AVP[02] Class............................... .....CACS:0/5183/a4df4ce/user1 (25 bytes) Fri Sep 24 13:59:52 2010: Authentication failed for user1, Service Type: 0 Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Applying new AAA override for statio n 00:40:96:ac:dd:05 Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Override values for station 00:40:96 :ac:dd:05 source: 48, valid bits: 0x1 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1 vlanIfName: '', aclName: Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Unable to apply override policy for station 00:40:96:ac:dd:05 - VapAllowRadiusOverride is FALSE Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Sending Accounting request (0) for s tation 00:40:96:ac:dd:05 Fri Sep 24 13:59:52 2010: AccountingMessage Accounting Start: 0x1500501c Fri Sep 24 13:59:52 2010: Packet contains 12 AVPs: Fri Sep 24 13:59:52 2010: AVP[01] User-Name........................... .....user1 (5 bytes) Fri Sep 24 13:59:52 2010: AVP[02] Nas-Port............................ .....0x00000002 (2) (4 bytes) Fri Sep 24 13:59:52 2010: AVP[03] Nas-Ip-Address...................... .....0x0a4df4ce (172881102) (4 bytes) Fri Sep 24 13:59:52 2010: AVP[04] Framed-IP-Address................... .....0x0a4df4c7 (172881095) (4 bytes)
debug aaa detail enable
Tentativas de autenticação com falha estão listadas no menu localizado em Relatórios e Atividade > Tentativas com falha.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
28-Sep-2010 |
Versão inicial |