Introdução
Este documento define como configurar o AUTH do web externa com os controladores convirgidos do acesso. A autenticação portal da página e das credenciais do convidado é ambos no Identity Services Engine (ISE) neste exemplo.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
1. Cisco convirgiu controladores do acesso.
2. Autenticação da Web
3. Cisco ISE
As informações neste documento são baseadas nestas versões de software e hardware:
1. Controlador de Cisco 5760 (NGWC no diagrama abaixo), 03.06.05E
2. ISE 2.2
Configurar
Diagrama de Rede

Configuração de CLI
Configuração RADIUS no controlador
etapa 1: Defina o servidor de raio externo
radius server ISE.161
address ipv4 10.48.39.161 auth-port 1812 acct-port 1813
timeout 10
retransmit 5
key Cisco123
etapa 2:. Defina o grupo dos radius AAA e especifique o servidor Radius a ser usado
aaa group server radius ISE-Group
server name ISE.161
deadtime 10
etapa 3. Defina a lista de método que aponta ao grupo do raio e trace-a sob o WLAN.
aaa authentication login webauth group ISE-Group
Configuração de mapa do parâmetro
etapa 4. Configurar o mapa do parâmetro global com endereço IP de Um ou Mais Servidores Cisco ICM NT virtual que é exigido para o webauth externo e interno. O botão Logout Button usa o IP virtual. Seu sempre uma boa prática configurar um IP virtual não-roteável.
parameter-map type webauth global
type webauth
virtual-ip ipv4 1.1.1.1
etapa 5: Configurar um mapa Nomeado do parâmetro. Atuará como um tipo de método do webauth. Isto será chamado sob a configuração WLAN.
parameter-map type webauth web
type webauth
redirect for-login https://10.48.39.161:8443/portal/PortalSetup.action?portal=0c712cd0-6d90-11e5-978e-005056bf2f0a
redirect portal ipv4 10.48.39.161
Pre autenticação ACL. Isto será chamado igualmente sob o WLAN.
etapa 6: Configurar Preauth_ACL que permite o acesso ao ISE, ao DHCP e ao DNS antes que a autenticação se acabe
ip access-list extended Preauth_ACL
permit ip any host 10.48.39.161
permit ip host 10.48.39.161 any
permit udp any eq bootps any
permit udp any any eq bootpc
permit udp any eq bootpc any
permit udp any eq domain any
permit udp any any eq domain
Configuração WLAN
etapa 7: configurar o WLAN
wlan ext-webauth 7 ext-webauth
client vlan vlan232
ip access-group web Preauth_ACL
no security wpa
no security wpa akm dot1x
no security wpa wpa2
no security wpa wpa2 ciphers aes
security web-auth
security web-auth authentication-list webauth
security web-auth parameter-map web
session-timeout 1800
no shutdown
etapa 8: Gire sobre o server HTTP.
ip http server
ip http secure-server (for secure web-auth, use 'no' to disable secure web)
Configuração GUI
Nós somos seguintes aqui as mesmas etapas que acima. Os screenshots são fornecidos apenas para a referência.
etapa 1: Defina um servidor de raio externo

etapa 2:. Defina o grupo dos radius AAA e especifique o servidor Radius a ser usado

etapa 3. Defina a lista de método que aponta ao grupo do raio e trace-a sob o WLAN.

Configuração de mapa do parâmetro
etapa 4. Configurar o mapa do parâmetro global com endereço IP de Um ou Mais Servidores Cisco ICM NT virtual que é exigido para o webauth externo e interno. O botão Logout Button usa o IP virtual. Seu sempre uma boa prática configurar um IP virtual não-roteável.
etapa 5: Configurar um mapa Nomeado do parâmetro. Atuará como um tipo de método do webauth. Isto será chamado sob a configuração WLAN.

Pre autenticação ACL. Isto será chamado igualmente sob o WLAN.
etapa 6: Configurar Preauth_ACL que permite o acesso ao ISE, ao DHCP e ao DNS antes que a autenticação se acabe


Configuração WLAN
etapa 7: configurar o WLAN

Verificar
Conecte um cliente e certifique-se de que se você abre um navegador, o cliente estará reorientado a sua página do portal do início de uma sessão. O tiro de tela abaixo ilustra a página do portal do convidado ISE.

Uma vez que as credenciais apropriadas são submetidas, a página do sucesso estará mostrada:

O server ISE relatará a dois a autenticação: um na página própria do convidado (a linha inferior com somente o username) e em uma segunda autenticação uma vez que o WLC fornece o mesmo nome de usuário/senha com a autenticação RADIUS (somente esta autenticação fará o cliente mover-se para a fase do sucesso). Se a autenticação RADIUS (com MAC address e detalhes WLC como o NAS) não ocorre, a configuração RADIUS deve ser verificada.
