Autenticação externa da Web usando um servidor RADIUS

Introduction

Este documento explica como executar a autenticação de web externa usando um servidor RADIUS externo.

Prerequisites

Requirements

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

• Conhecimento básico da configuração de LAPs (Lightweight Access Points) e WLCs da Cisco

• Conhecimento de como configurar e configurar um servidor Web externo

• Conhecimento de como configurar o Cisco Secure ACS

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Controlador de LAN sem fio que executa o Firmware versão 5.0.148.0

• LAP Cisco 1232 Series

• Adaptador de cliente sem fio Cisco 802.11a/b/g 3.6.0.61

• Servidor Web externo que hospeda a página de login da autenticação da Web

• Versão do Cisco Secure ACS que executa o firmware versão 4.1.1.24

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Estes são os endereços IP usados neste documento:

• A WLC usa o endereço IP 10.77.244.206

• O LAP está registrado no WLC com o endereço IP 10.77.244.199

• O Servidor Web usa o endereço IP 10.77.244.210

• O servidor Cisco ACS usa o endereço IP 10.77.244.196

• O cliente recebe um endereço IP da Interface de Gerenciamento que é mapeado para a WLAN - 10.77.244.208

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Autenticação da Web externa

A autenticação da Web é um mecanismo de autenticação da camada 3 usado para autenticar usuários convidados para acesso à Internet. Os usuários autenticados usando esse processo não poderão acessar a Internet até que concluam com êxito o processo de autenticação. Para obter informações completas sobre o processo de autenticação da Web externa, leia a seção Processo de Autenticação da Web Externa do documento Exemplo de Configuração de Autenticação da Web Externa com Controladores Wireless LAN.

Neste documento, observamos um exemplo de configuração, no qual a autenticação da Web externa é executada usando um servidor RADIUS externo.

Configurar o WLC

Neste documento, supomos que a WLC já está configurada e tem um LAP registrado na WLC. Este documento pressupõe ainda que a WLC está configurada para operação básica e que os LAPs estão registrados na WLC. Se você for um novo usuário que está tentando configurar o WLC para operação básica com LAPs, consulte Registro do LAP (Lightweight AP) em um WLC (Wireless LAN Controller). Para visualizar os LAPs registrados na WLC, navegue para Wireless > All APs.

Quando a WLC estiver configurada para operação básica e tiver um ou mais LAPs registrados nela, você poderá configurar a WLC para autenticação da Web externa usando um servidor Web externo. Em nosso exemplo, estamos usando um Cisco Secure ACS versão 4.1.1.24 como o servidor RADIUS. Primeiro, configuraremos a WLC para este servidor RADIUS e, em seguida, observaremos a configuração necessária no Cisco Secure ACS para esta configuração.

Configurar a WLC para o Cisco Secure ACS

Execute estas etapas para adicionar o servidor RADIUS na WLC:

1. Na GUI da WLC, clique no menu SECURITY.

2. No menu AAA, navegue até o submenu Radius > Authentication.

3. Clique em New e insira o endereço IP do servidor RADIUS. Neste exemplo, o endereço IP do servidor é 10.77.244.196.

4. Insira o segredo compartilhado na WLC. O segredo compartilhado deve ser configurado da mesma forma na WLC.

5. Escolha ASCII ou Hex para o formato de segredo compartilhado. O mesmo formato precisa ser escolhido na WLC.

6. 1812 é o Número de Porta usado para autenticação RADIUS.

7. Verifique se a opção Status do servidor está definida como Ativado.

8. Marque a caixa Network User Enable para autenticar os usuários da rede.

9. Clique em Apply.

   

Configurar a WLAN na WLC para autenticação da Web

A próxima etapa é configurar a WLAN para autenticação da Web em WLC. Execute estas etapas para configurar a WLAN na WLC:

1. Clique no menu WLANs na GUI do controlador e escolha New.

2. Escolha WLAN para Tipo.

3. Insira um nome de perfil e um SSID de WLAN de sua escolha e clique em Apply (Aplicar).

   Observação: o SSID da WLAN faz distinção entre maiúsculas e minúsculas.

   

4. Na guia Geral, verifique se a opção Habilitado está marcada para Status e SSID de Broadcast.

   Configuração da WLAN

   

5. Escolha uma interface para a WLAN. Geralmente, uma interface configurada em uma VLAN exclusiva é mapeada para a WLAN de modo que o cliente receba um endereço IP nessa VLAN. Neste exemplo, usamos o gerenciamento para a Interface.

6. Escolha a guia Segurança.

7. No menu Layer 2, escolha None for Layer 2 Security.

8. No menu Layer 3, escolha None for Layer 3 Security. Marque a caixa de seleção Política da Web e escolha Autenticação.

   

9. No menu servidores AAA, para Servidor de Autenticação, escolha o servidor RADIUS configurado nesta WLC. Outros menus devem permanecer em valores padrão.

   

Configurar as informações do servidor Web no WLC

O servidor Web que hospeda a página de autenticação da Web deve ser configurado na WLC. Execute estas etapas para configurar o servidor Web:

1. Clique na guia Security. Vá para Web Auth > Web Login Page.

2. Defina o Tipo de autenticação da Web como Externo.

3. No campo Endereço IP do Servidor Web, digite o endereço IP do servidor que hospeda a página de Autenticação Web e clique em Adicionar Servidor Web. Neste exemplo, o endereço IP é 10.77.244.196, exibido em Servidores Web externos.

4. Insira o URL da página Autenticação da Web (neste exemplo, http://10.77.244.196/login.html) no campo URL.

   

Configurar o Cisco Secure ACS

Neste documento, presumimos que o Cisco Secure ACS Server já está instalado e em execução em uma máquina. Para obter mais informações sobre como configurar o Cisco Secure ACS, consulte o Guia de configuração do Cisco Secure ACS 4.2.

Configurar as informações do usuário no Cisco Secure ACS

Execute estas etapas para configurar usuários no Cisco Secure ACS:

1. Escolha User Setup na GUI do Cisco Secure ACS, insira um nome de usuário e clique em Add/Edit. Neste exemplo, o usuário é user1.

   

2. Por padrão, o PAP é usado para autenticar clientes. A senha do usuário é inserida em User Setup > Password Authentication > Cisco Secure PAP. Certifique-se de escolher o banco de dados interno ACS para a autenticação de senha.

   

3. O usuário precisa receber um grupo ao qual o usuário pertence. Escolha o Grupo padrão.

4. Clique em Submit.

Configurar as informações de WLC no Cisco Secure ACS

Execute estas etapas para configurar as informações de WLC no Cisco Secure ACS:

1. Na GUI do ACS, clique na guia Network Configuration e clique em Add Entry.

2. A tela Add AAA client (Adicionar cliente AAA) é exibida.

3. Digite o nome do cliente. Neste exemplo, usamos WLC.

4. Insira o endereço IP do cliente. O endereço IP da WLC é 10.77.244.206.

5. Insira a chave Shared Secret e o formato da chave. Isso deve corresponder à entrada feita no menu Segurança da WLC.

6. Escolha ASCII para o formato de entrada de chave, que deve ser o mesmo na WLC.

7. Escolha RADIUS (Cisco Airespace) para Autenticar usando para definir o protocolo usado entre o WLC e o servidor RADIUS.

8. Clique em Enviar + Aplicar.

   

Processo de autenticação do cliente

Configuração do Cliente

Neste exemplo, usamos o Cisco Aironet Desktop Utility para executar a autenticação da Web. Execute estas etapas para configurar o Aironet Desktop Utility.

1. Abra o Aironet Desktop Utility em Start > Cisco Aironet > Aironet Desktop Utility.

2. Clique na guia Gerenciamento de perfis.

   

3. Escolha o perfil Padrão e clique em Modificar.

   1. Clique na guia Geral.

      1. Configure um nome de perfil. Neste exemplo, é usado Default.

      2. Configure o SSID em Network Names (Nomes de rede). Neste exemplo, a WLAN1 é usada.

         

         Observação: o SSID diferencia maiúsculas de minúsculas e deve corresponder à WLAN configurada na WLC.

   2. Clique na guia Security.

      Escolha Nenhum como Segurança para autenticação da Web.

      

   3. Clique na guia Advanced.

      1. No menu Wireless Mode, escolha a frequência na qual o cliente sem fio se comunica com o LAP.

      2. No nível de potência de transmissão, escolha a potência configurada na WLC.

      3. Deixe o valor padrão para Modo de economia de energia.

      4. Escolha Infrastructure como o Network Type.

      5. Defina o preâmbulo 802.11b como curto e longo para melhor compatibilidade.

      6. Click OK.

         

4. Quando o perfil é configurado no software cliente, o cliente é associado com êxito e recebe um endereço IP do pool de VLANs configurado para a interface de gerenciamento.

Processo de login do cliente

Esta seção explica como ocorre o login do cliente.

1. Abra uma janela do navegador e digite qualquer URL ou endereço IP. Com isso, a página de autenticação da Web é levada ao cliente. Se a controladora estiver executando uma versão anterior à 3.0, o usuário deve inserir https://1.1.1.1/login.html para exibir a página de autenticação da Web. Uma janela de alerta de segurança é exibida.

2. Clique Yes para continuar.

3. Quando a janela Login for exibida, digite o nome de usuário e a senha configurados no servidor RADIUS. Se seu login for bem-sucedido, você verá duas janelas do navegador. A janela maior indica o login bem-sucedido, e você pode usar essa janela para navegar na Internet. Use a janela menor para encerrar a sessão quando seu uso da rede guest estiver concluído.

   

Verificar

Para obter uma autenticação da Web bem-sucedida, você precisa verificar se os dispositivos estão configurados de maneira apropriada. Esta seção explica como verificar os dispositivos usados no processo.

Verificar o ACS

1. Clique em User Setup e, em seguida, clique em List All Users na GUI do ACS.

   

   Verifique se o Status do usuário está Habilitado e se o grupo Padrão está mapeado para o usuário.

   

2. Clique na guia Network Configuration e procure na tabela AAA Clients para verificar se a WLC está configurada como um cliente AAA.

   

Verificar a WLC

1. Clique no menu WLANs na GUI da WLC.

   1. Verifique se a WLAN usada para autenticação da Web está listada na página.

   2. Verifique se o status Admin da WLAN está Habilitado.

   3. Verifique se a política de segurança para a WLAN mostra Web-Auth.

      

2. Clique no menu SECURITY na GUI da WLC.

   1. Verifique se o Cisco Secure ACS (10.77.244.196) está listado na página.

   2. Verifique se a caixa Network User (Usuário de rede) está marcada.

   3. Verifique se a porta é 1812 e se o status Admin é Habilitado.

      

Troubleshoot

Há muitas razões pelas quais a autenticação da Web não é bem-sucedida. O documento Troubleshooting Web Authentication on a Wireless LAN Controller (WLC) explica claramente esses motivos em detalhes.

Comandos para Troubleshooting

Observação: consulte Informações Importantes sobre Comandos de Depuração antes de usar esses comandos debug.

Faça Telnet na WLC e emita estes comandos para solucionar problemas de autenticação:

• debug aaa all enable

  Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Successful transmission of Authentic
  ation Packet (id 1) to 10.77.244.196:1812, proxy state 00:40:96:ac:dd:05-00:01
  Fri Sep 24 13:59:52 2010: 00000000: 01 01 00 73 00 00 00 00  00 00 00 00 00 00 0
  0 00  ...s............
  Fri Sep 24 13:59:52 2010: 00000010: 00 00 00 00 01 07 75 73  65 72 31 02 12 93 c
  3 66  ......user1....f
  Fri Sep 24 13:59:52 2010: 00000030: 75 73 65 72 31
        user1
  Fri Sep 24 13:59:52 2010: ****Enter processIncomingMessages: response code=2
  Fri Sep 24 13:59:52 2010: ****Enter processRadiusResponse: response code=2
  Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Access-Accept received from RADIUS s
  erver 10.77.244.196 for mobile 00:40:96:ac:dd:05 receiveId = 0
  Fri Sep 24 13:59:52 2010: AuthorizationResponse: 0x12238db0
  Fri Sep 24 13:59:52 2010:       structureSize................................89
  Fri Sep 24 13:59:52 2010:       resultCode...................................0
  Fri Sep 24 13:59:52 2010:       protocolUsed.................................0x0
  0000001
  Fri Sep 24 13:59:52 2010:       proxyState...................................00:
  40:96:AC:DD:05-00:00
  Fri Sep 24 13:59:52 2010:       Packet contains 2 AVPs:
  Fri Sep 24 13:59:52 2010:           AVP[01] Framed-IP-Address...................
  .....0xffffffff (-1) (4 bytes)
  Fri Sep 24 13:59:52 2010:           AVP[02] Class...............................
  .....CACS:0/5183/a4df4ce/user1 (25 bytes)
  Fri Sep 24 13:59:52 2010: Authentication failed for user1, Service Type: 0
  Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Applying new AAA override for statio
  n 00:40:96:ac:dd:05
  Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Override values for station 00:40:96
  :ac:dd:05
                  source: 48, valid bits: 0x1
          qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
  
  dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                  vlanIfName: '',
  aclName:
  Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Unable to apply override policy for
  station 00:40:96:ac:dd:05 - VapAllowRadiusOverride is FALSE
  Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Sending Accounting request (0) for s
  tation 00:40:96:ac:dd:05
  Fri Sep 24 13:59:52 2010: AccountingMessage Accounting Start: 0x1500501c
  Fri Sep 24 13:59:52 2010:       Packet contains 12 AVPs:
  Fri Sep 24 13:59:52 2010:           AVP[01] User-Name...........................
  .....user1 (5 bytes)
  Fri Sep 24 13:59:52 2010:           AVP[02] Nas-Port............................
  .....0x00000002 (2) (4 bytes)
  Fri Sep 24 13:59:52 2010:           AVP[03] Nas-Ip-Address......................
  .....0x0a4df4ce (172881102) (4 bytes)
  Fri Sep 24 13:59:52 2010:           AVP[04] Framed-IP-Address...................
  .....0x0a4df4c7 (172881095) (4 bytes)

• debug aaa detail enable

Tentativas de autenticação com falha estão listadas no menu localizado em Relatórios e Atividade > Tentativas com falha.

Informações Relacionadas

• Exemplo de configuração de autenticação da Web para o controlador da LAN sem fio
• Solução de problemas de autenticação da Web em controladores de LAN sem fio (WLC)
• Exemplo de configuração de autenticação de web externa com Wireless LAN Controllers
• Exemplo de configuração da autenticação da Web usando LDAP em controladores de LAN sem fio (WLCs)
• Suporte Técnico e Documentação - Cisco Systems

Histórico de revisões