Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.
В этом документе описана процедура настройки контроллера беспроводной локальной сети (WLC) AireOS для аутентификации клиентов с помощью сервера LDAP, используемого в качестве базы данных пользователей.
Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:
Сведения, содержащиеся в этом документе, касаются следующих версий программного обеспечения:
Примеры в этом документе были подготовлены в определенной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. Если вы используете рабочую сеть, сначала оцените потенциальное воздействие на нее всех команд и изменения параметров.
Существует два способа установить привязку к серверу LDAP: «Анонимный» или «С аутентификацией» (чтобы понять разницу между двумя этими методами, ознакомьтесь с ). Используемое для этой привязки имя пользователя должно обладать привилегиями администратора, чтобы иметь возможность запрашивать другие имена пользователей и пароли.
Способ задания имени пользователя зависит от ответа на вопрос:
Если ответ «Нет», используйте весь путь. Пример:
CN=Administrator,CN=Domain Admins,CN=Users,DC=labm,DC=cisco,DC=com
Если ответ «Да», то используйте только имя пользователя. Пример:
Administrator
Нет, может быть задан основной DN, в который входят все необходимые контейнеры.
WLC сопоставляет указанные атрибут пользователя и тип объекта.
Примечание. sAMAccountName учитывается регистр символов, а в имени пользователя — нет. Поэтому sAMAccountName=RICARDO и sAMAccountName=ricardo являются одним и тем же значением, которое будет работать, тогда как samaccountname=RICARDO и samaccountname=ricardo — нет.
Только EAP-FAST, PEAP-GTC и EAP-TLS. Запрашивающие устройства с Android, iOS и MacOS по умолчанию работают с протоколом PEAP. Как показано на рисунке, для Windows на поддерживаемых беспроводных адаптерах должен использоваться диспетчер сетевого доступа (NAM) Anyconnect или запрашивающее устройство Windows по умолчанию с Cisco:PEAP.
Примечание. подключаемых модулей Cisco EAP для Windows имеется версия Open Secure Socket Layer (OpenSSL 0.9.8k), на которую влияет CSCva09670. Cisco не планирует выпуск новых версий подключаемых модулей EAP для Windows, а заказчикам вместо них рекомендуется использовать клиент AnyConnect Secure Mobility Client.
Нельзя аутентифицировать пользователей в группе. Они должны быть в контейнере по умолчанию (CN) или подразделении (OU), как показано на рисунке.
Существуют другие варианты, в которых может задействоваться сервер LDAP либо с аутентификацией 802.1x, либо с веб-аутентификацией. Для выполнения этой процедуры аутентификация должна выполняться только для пользователей, находящихся в OU=SofiaLabOU. Сведения о том, как использовать программное средство Label Distribution Protocol (LDP), а также настраивать и устранять неполадки LDAP, см. в руководстве по настройке LDAP WLC.
В этом сценарии в сети WLAN LDAP-dot1x сервер LDAP используется для аутентификации пользователей с помощью 802.1x.
Шаг 1. Создайте пользователя User1 на сервере LDAP, входящем в SofiaLabOU и SofiaLabGroup, как показано на рисунках.
Шаг 2. Создайте профиль EAP в контроллере беспроводной локальной сети Cisco с нужным методом EAP (используйте PEAP), как показано на рисунке.
Шаг 3. Свяжите WLC с сервером LDAP, как показано на рисунке.
Совет: Если имя пользователя, используемое для привязки, не находится в DN «База пользователей», необходимо будет написать весь путь к пользователю Admin, как показано на рисунке. В противном случае можно просто ввести Administrator.
Шаг 4. . Для параметра Authentication Order (Порядок аутентификации) задайте значение Internal Users + LDAP (Внутренние пользователи + LDAP) или только LDAP, как показано на рисунке.
Шаг 5. . Создайте сеть WLAN LDAP-dot1x,как показано на рисунках.
Шаг 6. Методу безопасности L2 задайте значение WPA2 + 802.1x, а для безопасности L3 установите значение None (Нет),как показано на рисунке.
Шаг 7. Включите локальную аутентификацию EAP и убедитесь, что параметры Authentication Servers (Серверы аутентификации) и Accounting Servers (Серверы учета) отключены, а протокол LDAP включен,как показано на рисунке.
Для всех других параметров можно оставить значения, заданные по умолчанию.
Примечания:
С помощью программного средства LDP подтвердите параметры конфигурации.
База поиска не может быть группой (такой как SofiaLabGroup).
Если это компьютер под управлением Windows, то вместо Microsoft:PEAP необходимо использовать запрашивающее устройство PEAP-GTC или Cisco:PEAP. Microsoft:PEAP по умолчанию работает с MacOS/iOS/Android.
В этом сценарии в сети WLAN LDAP-Web сервер LDAP используется для аутентификации пользователей с помощью внутреннего веб-портала WLC.
Шаги с 1. по 4 должны быть. взяты из предыдущего примера. После выполнения этих шагов настройка сети WLAN задается по-другому.
Шаг 1. Создайте пользователя User1 на сервере LDAP, который входит в OU SofiaLabOU и группу SofiaLabGroup.
Шаг 2. Создайте профиль EAP в WLC с нужным методом EAP (используйте PEAP).
Шаг 3. Свяжите WLC с сервером LDAP.
Шаг 4. . Параметру Authentication Order (Порядок аутентификации) установите значение Internal Users + LDAP (Внутренние пользователи + LDAP).
Шаг 5. . Создайте сеть WLAN LDAP-Web, как показано на рисунках.
Шаг 6. Параметру L2 Security (Безопасность L2) задайте значение None (Нет), а параметру L3 Security (Безопасность L3) — значение Web Policy – Authentication (Веб-политика — аутентификация),как показано на рисунках.
Шаг 7. Для порядка приоритета веб-аутентификации задайте использование LDAP и удостоверьтесь, что параметры Authentication Servers (Серверы аутентификации) и Accounting Servers (Серверы учета) отключены,как показано на рисунке.
Для всех других параметров можно оставить значения, заданные по умолчанию.
Шаг 1. Откройте программное средство LDP на сервере LDAP или на узле, подключенном к нему (на сервере должен быть разрешен порт TCP 389), как показано на рисунке.
Шаг 2. Выберите Connection > Bind выполните вход от имени пользователя Admin и установите переключатель в положение Bind with credentialsкак показано на рисунке.
Шаг 3. Выберите View > Tree (Вид > Дерево) и выберите OK в базовом DN, как показано на рисунке.
Шаг 4. . Разверните это дерево, чтобы просмотреть его структуру, и найдите Search Base DN (База поиска DN). Учтите, что это может быть контейнер любого типа, кроме групп. Это может быть домен целиком, определенное OU или CN, например CN=Users,как показано на рисунке.
Шаг 5. . Разверните SofiaLabOU и посмотрите, какие пользователи находятся в этом подразделении. Имеется пользователь User1, который был создан ранее,как показано на рисунке.
Шаг 6. Все, что нужно для настройки LDAP, — это, как показано на рисунке.
Шаг 7. Группы, такие как SofiaLabGroup, нельзя использовать в качестве DN поиска. Разверните группу и поищите в ней пользователей, среди которых должен быть ранее созданный пользователь User1beas, показанный на рисунке.
Пользователь User1 был там, но средство LDP не смогло найти его. Это означает, что и WLC не в состоянии сделать, что и является причиной того, что группы нельзя использовать в качества DN базы поиска.
Этот раздел позволяет убедиться, что конфигурация работает правильно.
(cisco-controller) >show ldap summary Idx Server Address Port Enabled Secure --- ------------------------- ------ ------- ------ 1 10.88.173.121 389 Yes No (cisco-controller) >show ldap 1 Server Index..................................... 1 Address.......................................... 10.88.173.121 Port............................................. 389 Server State..................................... Enabled User DN.......................................... OU=SofiaLabOU,DC=labm,DC=cisco,DC=com User Attribute................................... sAMAccountName User Type........................................ Person Retransmit Timeout............................... 2 seconds Secure (via TLS)................................. Disabled Bind Method ..................................... Authenticated Bind Username.................................... CN=Administrator,CN=Domain Admins,CN=Users,DC=labm,DC=cisco,DC=com
В этом разделе описывается процесс устранения неполадок конфигурации.
(cisco-controller) >debug client <MAC Address> (cisco-controller) >debug aaa ldap enable (cisco-controller) >show ldap statistics Server Index..................................... 1 Server statistics: Initialized OK................................. 0 Initialization failed.......................... 0 Initialization retries......................... 0 Closed OK...................................... 0 Request statistics: Received....................................... 0 Sent........................................... 0 OK............................................. 0 Success........................................ 0 Authentication failed.......................... 0 Server not found............................... 0 No received attributes......................... 0 No passed username............................. 0 Not connected to server........................ 0 Internal error................................. 0 Retries........................................ 0