Настройка WLC с проверкой подлинности LDAP для сетей WLAN 802.1x и Web-Auth

Введение

В этом документе описана процедура настройки контроллера беспроводной локальной сети (WLC) AireOS для аутентификации клиентов с помощью сервера LDAP, используемого в качестве базы данных пользователей.

Предварительные условия

Требования

  

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

• Серверы Microsoft Windows
• Active Directory

Используемые компоненты

Сведения, содержащиеся в этом документе, касаются следующих версий программного обеспечения:

• Программное обеспечение Cisco WLC 8.2.110.0
• Microsoft Windows Server 2012 R2

Примеры в этом документе были подготовлены в определенной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. Если вы используете рабочую сеть, сначала оцените потенциальное воздействие на нее всех команд и изменения параметров.

Общие сведения

Техническая информация

  

• LDAP — это протокол для доступа к серверам каталогов.
• Серверы каталогов являются иерархическими, объектно ориентированными базами данных.
• Объекты распределены по контейнерам, таким как «Подразделения», которые называются OU, группами или контейнерами Microsoft по умолчанию как Cn=пользователи.
•  Самым сложным в этой конфигурации является правильная настройка параметров сервера LDAP в WLC.

Подробные сведения об этих принципах см. в вводном разделе статьи Настройка контроллера беспроводной сети (WLC) для аутентификации с использованием протокола LDAP, автор Винай Шарма (Vinay Sharma) (vinashar).

Вопросы и ответы

• Какое имя пользователя необходимо использовать для привязки к серверу LDAP?

 Существует два способа установить привязку к серверу LDAP: «Анонимный» или «С аутентификацией» (чтобы понять разницу между двумя этими методами, ознакомьтесь с ). Используемое для этой привязки имя пользователя должно обладать привилегиями администратора, чтобы иметь возможность запрашивать другие имена пользователей и пароли.

• При выборе варианта с аутентификацией необходимо выяснить следующее: находится ли имя пользователя, используемое для привязки, в том же контейнере, что и все пользователи?

Способ задания имени пользователя зависит от ответа на вопрос:

     Если ответ «Нет», используйте весь путь. Пример:

     CN=Administrator,CN=Domain Admins,CN=Users,DC=labm,DC=cisco,DC=com

     Если ответ «Да», то используйте только имя пользователя. Пример:

     Administrator

• А если существуют пользователи в других контейнерах? Должны ли все вовлеченные пользователи беспроводной среды LDAP быть в одном и том же контейнере?

Нет, может быть задан основной DN, в который входят все необходимые контейнеры.

• Какие атрибуты должен искать WLC?

 WLC сопоставляет указанные атрибут пользователя и тип объекта.

Примечание. sAMAccountName учитывается регистр символов, а в имени пользователя — нет. Поэтому sAMAccountName=RICARDO и sAMAccountName=ricardo являются одним и тем же значением, которое будет работать, тогда как samaccountname=RICARDO и samaccountname=ricardo — нет.  

• Какие методы протокола EAP могут использоваться?

Только EAP-FAST, PEAP-GTC и EAP-TLS. Запрашивающие устройства с Android, iOS и MacOS по умолчанию работают с протоколом PEAP. Как показано на рисунке, для Windows на поддерживаемых беспроводных адаптерах должен использоваться диспетчер сетевого доступа (NAM) Anyconnect или запрашивающее устройство Windows по умолчанию с Cisco:PEAP.

Примечание. подключаемых модулей Cisco EAP для Windows имеется версия Open Secure Socket Layer (OpenSSL 0.9.8k), на которую влияет CSCva09670. Cisco не планирует выпуск новых версий подключаемых модулей EAP для Windows, а заказчикам вместо них рекомендуется использовать клиент AnyConnect Secure Mobility Client. 

• Почему WLC не находит пользователей?

Нельзя аутентифицировать пользователей в группе. Они должны быть в контейнере по умолчанию (CN) или подразделении (OU), как показано на рисунке.

Настройка

Существуют другие варианты, в которых может задействоваться сервер LDAP либо с аутентификацией 802.1x, либо с веб-аутентификацией. Для выполнения этой процедуры аутентификация должна выполняться только для пользователей, находящихся в OU=SofiaLabOU. Сведения о том, как использовать программное средство Label Distribution Protocol (LDP), а также настраивать и устранять неполадки LDAP, см. в руководстве по настройке LDAP WLC.

Создайте сеть WLAN, которая использует сервер LDAP для аутентификации пользователей через 802.1x

Схема сети

 В этом сценарии в сети WLAN LDAP-dot1x сервер LDAP используется для аутентификации пользователей с помощью 802.1x.

Шаг 1. Создайте пользователя User1 на сервере LDAP, входящем в SofiaLabOU и SofiaLabGroup, как показано на рисунках.

  

Шаг 2. Создайте профиль EAP в контроллере беспроводной локальной сети Cisco с нужным методом EAP (используйте PEAP), как показано на рисунке.

  

Шаг 3. Свяжите WLC с сервером LDAP, как показано на рисунке.

Совет: Если имя пользователя, используемое для привязки, не находится в DN «База пользователей», необходимо будет написать весь путь к пользователю Admin, как показано на рисунке. В противном случае можно просто ввести Administrator.

Шаг 4. . Для параметра Authentication Order (Порядок аутентификации) задайте значение Internal Users + LDAP (Внутренние пользователи + LDAP) или только LDAP, как показано на рисунке.

  

Шаг 5. . Создайте сеть WLAN LDAP-dot1x,как показано на рисунках.

Шаг 6. Методу безопасности L2 задайте значение WPA2 + 802.1x, а для безопасности L3 установите значение None (Нет),как показано на рисунке.

Шаг 7.  Включите локальную аутентификацию EAP и убедитесь, что параметры Authentication Servers (Серверы аутентификации) и Accounting Servers (Серверы учета) отключены, а протокол LDAP включен,как показано на рисунке.

  

Для всех других параметров можно оставить значения, заданные по умолчанию.

Примечания:
С помощью программного средства LDP подтвердите параметры конфигурации.
База поиска не может быть группой (такой как SofiaLabGroup).
Если это компьютер под управлением Windows, то вместо Microsoft:PEAP необходимо использовать запрашивающее устройство PEAP-GTC или Cisco:PEAP. Microsoft:PEAP по умолчанию работает с MacOS/iOS/Android.

Создайте сеть WLAN, в которой для аутентификации пользователей через внутренний веб-портал WLC используется сервер LDAP

Схема сети

 В этом сценарии в сети WLAN LDAP-Web сервер LDAP используется для аутентификации пользователей с помощью внутреннего веб-портала WLC.

  

Шаги с 1. по 4 должны быть. взяты из предыдущего примера. После выполнения этих шагов настройка сети WLAN задается по-другому.

Шаг 1. Создайте пользователя User1 на сервере LDAP, который входит в OU SofiaLabOU и группу SofiaLabGroup.

Шаг 2. Создайте профиль EAP в WLC с нужным методом EAP (используйте PEAP).

Шаг 3. Свяжите WLC с сервером LDAP.

Шаг 4. . Параметру Authentication Order (Порядок аутентификации) установите значение Internal Users + LDAP (Внутренние пользователи + LDAP).

Шаг 5. . Создайте сеть WLAN LDAP-Web, как показано на рисунках.

Шаг 6. Параметру L2 Security (Безопасность L2) задайте значение None (Нет), а параметру L3 Security (Безопасность L3) — значение Web Policy – Authentication (Веб-политика — аутентификация),как показано на рисунках.

  

 Шаг 7.   Для порядка приоритета веб-аутентификации задайте использование LDAP и удостоверьтесь, что параметры Authentication Servers (Серверы аутентификации) и Accounting Servers (Серверы учета) отключены,как показано на рисунке.

Для всех других параметров можно оставить значения, заданные по умолчанию.

  

Используйте программное средство LDP для настройки и устранения неполадок LDAP

Шаг 1. Откройте программное средство LDP на сервере LDAP или на узле, подключенном к нему (на сервере должен быть разрешен порт TCP 389), как показано на рисунке.

Шаг 2.   Выберите Connection > Bind выполните вход от имени пользователя Admin и установите переключатель в положение Bind with credentialsкак показано на рисунке. 

Шаг 3.  Выберите View > Tree (Вид > Дерево) и выберите OK в базовом DN, как показано на рисунке.

Шаг 4. . Разверните это дерево, чтобы просмотреть его структуру, и найдите Search Base DN (База поиска DN).  Учтите, что это может быть контейнер любого типа, кроме групп. Это может быть домен целиком, определенное OU или CN, например CN=Users,как показано на рисунке.

Шаг 5. . Разверните SofiaLabOU и посмотрите, какие пользователи находятся в этом подразделении. Имеется пользователь User1, который был создан ранее,как показано на рисунке.

  

Шаг 6. Все, что нужно для настройки LDAP, — это, как показано на рисунке.

Шаг 7. Группы, такие как SofiaLabGroup, нельзя использовать в качестве DN поиска. Разверните группу и поищите в ней пользователей, среди которых должен быть ранее созданный пользователь User1beas, показанный на рисунке.

Пользователь User1 был там, но средство LDP не смогло найти его. Это означает, что и WLC не в состоянии сделать, что и является причиной того, что группы нельзя использовать в качества DN базы поиска.

Проверка

 Этот раздел позволяет убедиться, что конфигурация работает правильно.

 (cisco-controller) >show ldap summary

 

Idx Server Address Port Enabled Secure
--- ------------------------- ------ ------- ------
1 10.88.173.121 389 Yes No

 

(cisco-controller) >show ldap 1

Server Index..................................... 1
Address.......................................... 10.88.173.121
Port............................................. 389
Server State..................................... Enabled
User DN.......................................... OU=SofiaLabOU,DC=labm,DC=cisco,DC=com
User Attribute................................... sAMAccountName
User Type........................................ Person
Retransmit Timeout............................... 2 seconds
Secure (via TLS)................................. Disabled
Bind Method ..................................... Authenticated
Bind Username.................................... CN=Administrator,CN=Domain Admins,CN=Users,DC=labm,DC=cisco,DC=com

  

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

(cisco-controller) >debug client <MAC Address>

(cisco-controller) >debug aaa ldap enable 

(cisco-controller) >show ldap statistics

Server Index..................................... 1
Server statistics:
Initialized OK................................. 0   
Initialization failed.......................... 0
Initialization retries......................... 0
Closed OK...................................... 0
Request statistics:
Received....................................... 0
Sent........................................... 0
OK............................................. 0
Success........................................ 0
Authentication failed.......................... 0
Server not found............................... 0
No received attributes......................... 0
No passed username............................. 0
Not connected to server........................ 0
Internal error................................. 0
Retries........................................ 0

Дополнительные сведения

• Руководство по настройке LDAP — WLC 8.2
• Как настроить контроллер беспроводной локальной сети (WLC) для аутентификации с помощью протокола LDAP, автор Винай Шарма (Vinay Sharma)
• Пример настройки веб-аутентификации с использованием LDAP на контроллерах беспроводной локальной сети (WLC), авторы Яхья Джабер (Yahya Jaber) и Айман Алфарес (Ayman Alfares)
• Cisco Systems – техническая поддержка и документация