本文档旨在向您展示如何在WAP571或WAP571E上配置Active Directory访客身份验证。
Microsoft提供Windows Active Directory服务,即内部Active Directory(AD)。 它存储网络的所有基本信息,包括用户、设备和策略。管理员将AD用作创建和管理网络的单一位置。AD访客身份验证允许客户端使用AD配置强制网络门户基础设施以进行身份验证。强制网络门户(CP)是允许管理员向连接到无线接入点(WAP)的预定义用户授予访问权限的功能。 客户端在连接到网络之前会被引导到用于身份验证和访问条件的网页。CP验证适用于网络的访客和经过身份验证的用户。此功能利用Web浏览器并将其转换为身份验证设备。
CP实例是一组定义的配置,用于验证WAP网络上的客户端。实例可配置为在用户尝试访问相关虚拟接入点(VAP)时以不同方式对用户做出响应,这些虚拟接入点模拟一个物理WAP设备内的多个接入点。要了解有关VAP及其配置步骤的详细信息,请单击此处。
强制网络门户通常在Wi-Fi热点位置使用,以确保用户同意条款和条件,并在访问互联网之前提供安全凭证。对于某些组织,他们为加入的用户提供了将来与他们联系了解品牌的机会。此功能有许多营销使用案例。为支持AD身份验证,WAP需要与一到三个Windows域控制器(也称为服务器)通信以提供身份验证。通过从不同的AD域选择域控制器,它可以支持多个域进行身份验证。
WAP571
WAP571E
1.1.0.3
步骤1.通过输入用户名和密码登录WAP的Web配置实用程序。默认用户名和密码为cisco/cisco。如果已配置新的用户名或密码,请输入这些凭证。单击 Login。
注意:本文使用WAP571E来演示AD访客身份验证的配置。菜单选项可能会根据设备型号稍有不同。
步骤2.选择Access Control > Guest Access。
步骤3.在“访客访问实例表”中,可以选择加号图标添加新的访客访问实例,或者选择铅笔和纸笔图标编辑现有实例。WAP571或WAP571E接入点的访客接入功能为设备范围内的临时无线客户端提供无线连接。接入点将广播特定于访客网络的服务集标识符(SSID)。然后,访客被重定向到CP,在该CP中,访客需要输入其凭证。实际上,这可以保证主网络的安全,同时仍允许访客访问Internet。
CP的设置在WAP基于Web的实用程序的访客访问实例表中配置。Guest Access功能在酒店和办公室大堂、餐馆和商场中特别有用。
在本示例中,通过单击加号图标来添加新的访客访问实例。
步骤4.命名访客访问实例。在本例中,它名为AD_Test。
步骤5.从下拉菜单中选择Protocol,以便在验证过程中使用CP实例。
HTTP — 在验证期间不使用加密。
HTTPS — 使用安全套接字层(SSL),该层要求证书提供加密。证书在连接时提供给用户。
注意:客户端将强制网络门户页面配置为使用HTTPS而不是HTTP非常重要,因为前者更加安全。如果客户端选择HTTP,则它们可能会以未加密的明文形式传输用户名和密码,从而不经意地暴露用户名和密码。最好使用HTTPS强制网络门户页面。
步骤6.选择Authentication Method作为Active Directory Service。
步骤7.单击Authentication Method列中Active Directory Service旁边的蓝眼图标配置AD服务器的IP地址。
步骤8.将打开一个新的浏览器窗口。输入AD服务器的IP地址。在本示例中,使用的主机IP地址是172.16.1.35。单击“确定”。
注意:作为可选步骤,您可以单击Test以验证AD服务器的IP地址是否有效。有关验证步骤的详细信息,请单击此处。最多可以添加3个AD服务器。
步骤9.单击“应用”保存更改。
步骤10.转到Menu(菜单)并选择Wireless(无线)> Networks(网络)。
步骤11.选择网络并指定它将选择AD作为访客访问实例进行身份验证。在本例中,网络为WAP571_test。
步骤12.单击“应用”。
您现在已成功在WAP571或WAP571E上配置Active Directory访客身份验证。
有关使用AD身份验证连接到访客无线网络并验证其功能的步骤,请参阅在WAP125或WAP581上配置Active Directory访客身份验证上的文章。