使用融合接入配置外部Web身份驗證(5760/3650/3850)

下載選項

  • PDF     (716.4 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (624.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (570.0 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2017 年 9 月 11 日
文件 ID:212039

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案定義了如何使用融合存取控制器設定外部Web驗證。在此示例中,訪客門戶頁面和憑證身份驗證都位於身份服務引擎(ISE)上。 

    必要條件

    需求

    思科建議您瞭解以下主題:

    1.思科融合接入控制器。

    2. Web驗證

    3.思科ISE

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    1. Cisco 5760控制器(下圖中的NGWC),03.06.05E

    2. ISE 2.2

    設定

    網路圖表

    CLI組態

    控制器上的RADIUS配置

    第1步:定義外部RADIUS伺服器

    radius server ISE.161
address ipv4 10.48.39.161 auth-port 1812 acct-port 1813
timeout 10
retransmit 5
key Cisco123

    第2步:。定義AAA radius組並指定要使用的radius伺服器

    aaa group server radius ISE-Group
server name ISE.161
deadtime 10

    步驟3.定義指向radius組的方法清單並將其對映到WLAN下。

    aaa authentication login webauth group ISE-Group

    引數對映配置

    步驟4.使用外部和內部webauth所需的虛擬ip地址配置全域性引數對映。註銷按鈕使用虛擬IP。配置不可路由的虛擬IP始終是一種很好的做法。

    parameter-map type webauth global
type webauth
virtual-ip ipv4 1.1.1.1

    第5步:配置命名引數對映。它將像一種webauth方法一樣工作。這將會在WLAN配置下呼叫。

    parameter-map type webauth web
type webauth
redirect for-login https://10.48.39.161:8443/portal/PortalSetup.action?portal=0c712cd0-6d90-11e5-978e-005056bf2f0a
redirect portal ipv4 10.48.39.161


    預先驗證ACL。這也會在WLAN下稱為。

    第6步:配置Preauth_ACL,允許在身份驗證結束之前訪問ISE、DHCP和DNS

    ip access-list extended Preauth_ACL
permit ip any host 10.48.39.161
permit ip host 10.48.39.161 any
permit udp any eq bootps any
permit udp any any eq bootpc
permit udp any eq bootpc any
permit udp any eq domain any
permit udp any any eq domain

    WLAN配置

    第7步:設定WLAN

    wlan ext-webauth 7 ext-webauth
client vlan vlan232
ip access-group web Preauth_ACL
no security wpa
no security wpa akm dot1x
no security wpa wpa2
no security wpa wpa2 ciphers aes
security web-auth
security web-auth authentication-list webauth
security web-auth parameter-map web
session-timeout 1800
no shutdown

    第8步:開啟http伺服器。 

    ip http server  

ip http secure-server (for secure web-auth, use 'no' to disable secure web)

    GUI配置

    我們在此採取的步驟與上文相同。螢幕截圖只是供交叉參考。

    第1步:定義外部radius伺服器

     第2步:。定義AAA radius組並指定要使用的radius伺服器

    步驟3.定義指向radius組的方法清單並將其對映到WLAN下。

    引數對映配置

    步驟4.使用外部和內部webauth所需的虛擬ip地址配置全域性引數對映。註銷按鈕使用虛擬IP。配置不可路由的虛擬IP始終是一種很好的做法。

    第5步:配置命名引數對映。它將像一種webauth方法一樣工作。這將會在WLAN配置下呼叫。

    預先驗證ACL。這也會在WLAN下稱為。

    第6步:配置Preauth_ACL,允許在身份驗證結束之前訪問ISE、DHCP和DNS

    WLAN配置

    第7步:設定WLAN

    驗證

    連線使用者端,並確保如果您開啟瀏覽器,使用者端將重新導向到您的登入入口頁面。以下螢幕截圖說明ISE訪客門戶頁面。

    提交正確的憑證後,將顯示成功頁面:

    ISE伺服器將報告兩個身份驗證:一次在訪客頁面上(底部僅包含使用者名稱),另一次在WLC透過radius驗證提供相同使用者名稱/密碼後進行驗證(只有此驗證才能使使用者端進入成功階段)。 如果沒有執行radius驗證(將mac位址和WLC詳細資料作為NAS),則需驗證radius組態。

    TAC Authored

    由思科工程師貢獻

    • Ritin Mahajan
      Cisco TAC

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品