فهم مصادقة الويب على وحدات التحكم في الشبكة المحلية اللاسلكية AireOS

خيارات التنزيل

  • PDF     (325.6 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (96.5 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (102.0 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١ أغسطس ٢٠٢٢
معرّف المستند:115951

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة
المتطلبات الأساسية
المتطلبات
المكونات المستخدمة
العمليات الداخلية لمصادقة الويب
موضع مصادقة الويب كميزة أمان
كيفية عمل WebAuth
كيفية جعل WebAuth داخلي (محلي) يعمل مع صفحة داخلية
كيفية تكوين مصادقة ويب محلية مخصصة باستخدام صفحة مخصصة
تجاوز تقنية التكوين العام
مسألة إعادة التوجيه
كيفية جعل مصادقة ويب خارجية (محلية) تعمل مع صفحة خارجية
مرور الويب
إعادة توجيه الويب الشرطي
إعادة توجيه صفحة البداية على الويب
فشل WebAuth على عامل تصفية MAC
المصادقة المركزية للويب
مصادقة المستخدم الخارجي (RADIUS)
كيفية تعيين شبكة WLAN سلكية للضيف
شهادات لصفحة تسجيل الدخول
تحميل شهادة لمصادقة ويب لوحدة التحكم
جهة منح الشهادة وغيرها من الشهادات على وحدة التحكم
كيفية جعل الشهادة تطابق عنوان URL
أستكشاف أخطاء الشهادة وإصلاحها
كيفية التحقق
ما يجب فحصه
حالات أخرى لاستكشاف الأخطاء وإصلاحها
خادم وكيل HTTP وكيف يعمل
مصادقة الويب على HTTP بدلا من HTTPS
معلومات ذات صلة

    المقدمة

    يصف هذا المستند عمليات مصادقة الويب على وحدات التحكم في الشبكة المحلية اللاسلكية (WLC). 

    المتطلبات الأساسية

    المتطلبات

    cisco يوصي أن يتلقى أنت معرفة أساسي من WLC تشكيل.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى جميع نماذج أجهزة WLC باستخدام AireOS 8.x .

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    العمليات الداخلية لمصادقة الويب

    موضع مصادقة الويب كميزة أمان

    مصادقة الويب (WebAuth) هي أمان الطبقة 3. وهو يسمح بميزات أمان سهلة الاستخدام تعمل على أية محطة تشغل متصفح.

    يمكن دمجه مع أي أمان مفتاح مشترك مسبقا (PSK) (سياسة أمان الطبقة 2).

    على الرغم من أن مجموعة WebAuth و PSK تقلل من الجزء سهل الاستخدام، إلا أنها تتميز بتشفير حركة مرور بيانات العميل.

    WebAuth هو أسلوب مصادقة بدون تشفير.

    لا يمكن تكوين WebAuth باستخدام 802.1x/RADIUS (خدمة مصادقة طلب اتصال المستخدم البعيد) حتى يتم تثبيت برنامج WLC الإصدار 7.4 وتكوينه في نفس الوقت.

    يجب أن يمر العملاء عبر كل من dot1x ومصادقة الويب. وهو مصمم لإضافة بوابة على الشبكة للموظفين (الذين يستخدمون 802.1x) وليس للضيوف.

    لا يوجد معرف مجموعة خدمة متعدد الإمكانات (SSID) ل dot1x للموظفين أو مدخل ويب للضيوف.

    كيفية عمل WebAuth

    عملية مصادقة 802.11 مفتوحة، بحيث يمكنك المصادقة والإقران دون أي مشاكل. بعد ذلك، أنت مرتبط، لكن ليس في RUN حالة WLC.

    مع تمكين مصادقة الويب، يتم الاحتفاظ بك في WEBAUTH_REQD مكان لا يمكنك فيه الوصول إلى أي مورد شبكة.

    يجب أن تتلقى عنوان DHCP IP بعنوان خادم DNS في الخيارات.

    اكتب عنوان URL صالح في المستعرض. يقوم العميل بحل URL من خلال بروتوكول DNS. ثم يرسل العميل طلب HTTP الخاص به إلى عنوان IP الخاص بموقع الويب.

    تعترض عنصر التحكم في الشبكة المحلية اللاسلكية ذلك الطلب وتعيد صفحة تسجيل الدخول webauth ، والتي تحاكي عنوان IP لموقع الويب. باستخدام مصادقة ويب خارجية، يرد عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) باستجابة HTTP تتضمن عنوان IP لموقع الويب الخاص بك وتذكر أن الصفحة قد تم نقلها.

    تم نقل الصفحة إلى خادم ويب الخارجي المستخدم من قبل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). عندما تتم مصادقتك، تحصل على الوصول إلى كل موارد الشبكة وتتم إعادة توجيهك إلى URL المطلوب في الأصل بشكل افتراضي (ما لم يتم تكوين إعادة توجيه إجباري على WLC).

    في الملخص، تسمح عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) للعميل بحل DNS والحصول على عنوان IP تلقائيا في WEBAUTH_REQD الحالة.

    لمراقبة منفذ آخر بدلا من المنفذ 80، أستخدم config network web-auth-port لإنشاء إعادة توجيه على هذا المنفذ أيضا.

    والمثال على ذلك هو واجهة الويب الخاصة بخادم التحكم في الوصول (ACS)، والتي يتم تشغيلها على المنفذ 2002 أو التطبيقات المماثلة الأخرى.

    ملاحظة حول إعادة توجيه HTTPS: بشكل افتراضي، لم تقم وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) بإعادة توجيه حركة مرور بيانات HTTPS. هذا يعني أنه إذا قمت بكتابة عنوان HTTPS في المستعرض الخاص بك، فلن يحدث أي شيء. يجب كتابة عنوان HTTP لإعادة التوجيه إلى صفحة تسجيل الدخول التي تم تقديمها في HTTPS.

    في الإصدار 8.0 والإصدارات الأحدث، يمكنك تمكين إعادة توجيه حركة مرور HTTPS باستخدام أمر CLI config network web-auth https-redirect enable.

    يستخدم هذا الأمر الكثير من الموارد لمركز التحكم في الشبكة المحلية اللاسلكية (WLC) في الحالات التي يتم فيها إرسال العديد من طلبات HTTPS. لا ينصح باستخدام هذه الميزة قبل WLC الإصدار 8.7 حيث تم تحسين قابلية توسع هذه الميزة. لاحظ أيضا أن تحذير الشهادة لا يمكن تجنبه في هذه الحالة. إذا طلب العميل أي عنوان URL (مثل https://www.cisco.com)، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يقدم شهادته الخاصة الصادرة لعنوان IP للواجهة الظاهرية. لا يتطابق هذا مطلقا مع عنوان URL/IP الذي يطلبه العميل ولا تكون الشهادة موثوق بها ما لم يفرض العميل الاستثناء في المستعرض الخاص به.

    انخفاض الأداء الإرشادي لإصدار برنامج WLC قبل قياس 8. 7 :

    ويب أوث معدل الإنجاز
    3 عناوين URL - HTTP 140 / ثانية

    عنوان URL الأول - HTTP

    عناوين URL الثانية والثالثة - HTTPS

    		 20 / ثانية

    3 عناوين URL - HTTPS (عملية نشر كبيرة)

    		 < 1 / ثانية

    3 عناوين URL - HTTPS (بحد أقصى 100 عميل)

    		 10 / ثانية

    في جدول الأداء هذا، يشار إلى عناوين URL الثلاثة على أنها:

    • عنوان URL الأصلي الذي قام المستخدم النهائي بإدخاله
    • عنوان URL الذي تقوم WLC بإعادة توجيه المستعرض إليه
    • تقديم وثائق التفويض النهائية

    يوفر جدول الأداء أداء عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) في حالة ما إذا كانت عناوين URL الثلاثة جميعها HTTP، في حالة ما إذا كانت عناوين URL الثلاثة جميعها HTTPS، أو إذا انتقل العميل من HTTP إلى HTTPS (بشكل نموذجي).

    كيفية جعل WebAuth داخلي (محلي) يعمل مع صفحة داخلية

    لتكوين شبكة WLAN باستخدام واجهة ديناميكية تشغيلية، يتلقى العملاء أيضا عنوان IP لخادم DNS من خلال DHCP.

    قبل تعيين أي webauth ، تأكد من أن شبكة WLAN تعمل بشكل صحيح، ويمكن حل طلبات DNS (nslookup)، ويمكن إستعراض صفحات الويب.

    اضبط مصادقة الويب كميزات أمان الطبقة 3. قم بإنشاء مستخدمين في قاعدة البيانات المحلية أو على خادم RADIUS خارجي.

    ارجع إلى مستند مثال تكوين مصادقة الويب لوحدة تحكم الشبكة المحلية اللاسلكية.

    كيفية تكوين مصادقة ويب محلية مخصصة باستخدام صفحة مخصصة

    يمكن webauth  تكوين مخصص باستخدام redirectUrl من علامة Security التبويب. هذا يفرض إعادة التوجيه إلى صفحة ويب معينة تقوم بإدخالها.

    عندما تتم مصادقة المستخدم، فإنه يتخطى عنوان URL الأصلي الذي طلبه العميل ويعرض الصفحة التي تم تعيين إعادة التوجيه لها.

    تسمح لك الميزة المخصصة باستخدام صفحة HTML مخصصة بدلا من صفحة تسجيل الدخول الافتراضية. قم بتحميل html وملفات الصور إلى وحدة التحكم.

    في صفحة التحميل، ابحث webauth bundle عن ذلك بتنسيق tar. يقوم PicoZip بإنشاء حزم تعمل بشكل متوافق مع عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

    على سبيل المثال من حزمة WebAuth، ارجع إلى صفحة تنزيل البرامج لحزم WebAuth لوحدة التحكم اللاسلكية. حدد الإصدار المناسب ل WLC الخاص بك.

    يوصى بتخصيص حزمة موجودة؛ لا يخلق حزمة جديد.

    هناك بعض القيود على custom webauth التي تختلف مع الإصدارات والأخطاء. 

    • حجم ملف .tar (لا يزيد عن 5 ميغابايت)
    • عدد الملفات في .tar
    • طول اسم الملف للملفات (لا يزيد عن 30 حرف)

    إذا لم تعمل الحزمة، حاول إستخدام حزمة مخصصة بسيطة. قم بإضافة الملفات والتعقيد بشكل فردي للوصول إلى الحزمة التي حاول المستخدم إستخدامها. يساعد ذلك على تحديد المشكلة.

    لتكوين صفحة مخصصة، ارجع إلى إنشاء صفحة تسجيل دخول مصادقة ويب مخصصة، وهو قسم ضمن دليل تكوين وحدة تحكم الشبكة المحلية اللاسلكية من Cisco، الإصدار 7.6.

    تجاوز تقنية التكوين العام

    قم بالتكوين باستخدام الأمر override global config وقم بتعيين نوع WebAuth لكل WLAN. هذا يسمح ب WebAuth داخلي/افتراضي مع WebAuth مخصص داخلي/افتراضي ل WLAN آخر.

    وهذا يسمح بتكوين صفحات مخصصة مختلفة لكل شبكة محلية لاسلكية (WLAN).

    قم بدمج جميع الصفحات في نفس الحزمة وتحميلها إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

    قم بتعيين الصفحة المخصصة الخاصة بك باستخدام الأمر override global config على كل شبكة محلية لاسلكية (WLAN) وحدد الملف الذي يمثل صفحة تسجيل الدخول من جميع الملفات داخل الحزمة.

    أخترت مختلف login صفحة داخل الحزمة ل كل WLAN.

    مسألة إعادة التوجيه

    هناك متغير ضمن حزمة HTML أن يسمح ال redirection. لا تضع عنوان URL لإعادة التوجيه الإجباري هناك.

    لمعالجة مشاكل إعادة التوجيه في مصادقة الويب المخصصة، توصي Cisco بالتحقق من الحزمة.

    إذا قمت بإدخال عنوان URL معاد التوجيه مع += في واجهة المستخدم الرسومية (GUI) الخاصة بواجهة مستخدم الرسومات (WLC)، فقد يؤدي ذلك إلى الكتابة فوق أو إضافة إلى عنوان URL المحدد داخل الحزمة.

    على سبيل المثال، في واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC)، يتم تعيين redirectURL الحقل على www.cisco.com؛ على أي حال، في الحزمة يظهر: redirectURL+= '(عنوان URL لموقع الويب)'. يقوم += بإعادة توجيه المستخدمين إلى عنوان URL غير صالح.

    كيفية جعل مصادقة ويب خارجية (محلية) تعمل مع صفحة خارجية

    إستخدام خادم WebAuth خارجي هو مجرد مستودع خارجي لصفحة تسجيل الدخول. لا تزال بيانات اعتماد المستخدم مصدق عليها من قبل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). لا يسمح خادم الويب الخارجي إلا بصفحة تسجيل دخول خاصة أو مختلفة.

    الخطوات التي تم تنفيذها ل WebAuth خارجي:

    1. يفتح العميل (المستخدم النهائي) مستعرض ويب ويدخل عنوان URL.

    2. في حالة عدم مصادقة العميل واستخدام مصادقة الويب الخارجية، يقوم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بإعادة توجيه المستخدم إلى عنوان URL الخاص بخادم الويب الخارجي. يرسل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إعادة توجيه HTTP إلى العميل باستخدام عنوان IP المقلد ويشير إلى عنوان IP للخادم الخارجي. يتم إلحاق عنوان URL لتسجيل الدخول لمصادقة الويب الخارجية بمعلمات مثل AP_Mac_Address، client_url (عنوان URL للعميلaction_URL والعامل المطلوب للاتصال بخادم ويب المحول.

    3. يرسل عنوان URL الخاص بخادم الويب الخارجي المستخدم إلى صفحة تسجيل دخول. يمكن للمستخدم إستخدام قائمة تحكم في الوصول (ACL) قبل المصادقة للوصول إلى الخادم.

    4. ترسل صفحة تسجيل الدخول طلب بيانات اعتماد المستخدم مرة أخرى إلى action_URL، مثل http://192.0.2.1/login.html، لخادم ويب WLC. يتم توفير هذا كمعلمة إدخال إلى عنوان URL لإعادة التوجيه، حيث يكون 192.0.2.1 هو عنوان الواجهة الظاهرية على المحول.

    5. يرسل خادم ويب WLC اسم المستخدم وكلمة المرور للمصادقة.

    6. يقوم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ببدء طلب خادم RADIUS أو إستخدام قاعدة البيانات المحلية على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، ثم يقوم بمصادقة المستخدم.

    7. في حالة نجاح المصادقة، يقوم خادم ويب WLC إما بإعادة توجيه المستخدم إلى URL الذي تم تكوينه لإعادة التوجيه أو إلى URL الذي أدخله العميل.

    8. في حالة فشل المصادقة، يقوم خادم ويب WLC بإعادة توجيه المستخدم مرة أخرى إلى عنوان URL لتسجيل دخول المستخدم.

    ملاحظة : نستخدم الإصدار 192.0.2.1 كمثال على بروتوكول الإنترنت الظاهري في هذا المستند. ينصح باستخدام نطاق 192.0.2.x ل IP الظاهري لأنه غير قابل للتوجيه. من المحتمل أن تشير الوثائق الأقدم إلى "1.1.1.x" أو لا تزال ما تم تكوينه في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) حيث كان هذا هو الإعداد الافتراضي. ومع ذلك، لاحظ أن عنوان IP هذا أصبح الآن عنوان IP صالحا للتوجيه وبالتالي يتم نصح الشبكة الفرعية 192.0.2.x بدلا من ذلك.

    إذا كانت نقاط الوصول (AP) في وضع FlexConnect، فإن قائمة التحكم في الوصول (preauthACL) تكون غير ذات صلة. يمكن إستخدام قوائم التحكم في الوصول (ACL) المرنة للسماح بالوصول إلى خادم الويب للعملاء الذين لم تتم مصادقتهم.

    ارجع إلى مصادقة الويب الخارجية باستخدام مثال تكوين وحدات تحكم الشبكة المحلية (LAN) اللاسلكية.

    مرور الويب

    كلمة مرور ويب هي تباين لمصادقة ويب الداخلية. يعرض صفحة بها جملة تحذير أو تنبيه، لكنه لا يطلب بيانات اعتماد.

    ثم يقوم المستخدم بالنقر فوق موافق. قم بتمكين إدخال البريد الإلكتروني ويمكن للمستخدم إدخال عنوان البريد الإلكتروني الخاص به والذي يصبح اسم المستخدم الخاص به.

    عند اتصال المستخدم، تحقق من قائمة العملاء النشطين وتحقق من إدراج المستخدم بعنوان البريد الإلكتروني الذي أدخله كاسم مستخدم.

    أحلت ل كثير معلومة، اللاسلكي lan جهاز تحكم 5760/3850 web كلمة تشكيل مثال.

    إعادة توجيه الويب الشرطي

    إذا قمت بتمكين إعادة توجيه ويب شرطي، تتم إعادة توجيه المستخدم بشروط إلى صفحة ويب معينة بعد إكمال مصادقة 802.1x بنجاح.

    يمكنك تعيين صفحة إعادة التوجيه والشروط التي يتم فيها إعادة التوجيه على خادم RADIUS.

    يمكن أن تتضمن الشروط كلمة المرور عندما تصل إلى تاريخ انتهاء الصلاحية أو عندما يحتاج المستخدم إلى دفع فاتورة لاستمرار الاستخدام/الوصول.

    إذا قام خادم RADIUS بإرجاع زوج Cisco AV، url-redirectفسيتم إعادة توجيه المستخدم إلى عنوان URL المحدد عند فتح مستعرض.

    إذا قام الخادم أيضا بإرجاع زوج url-redirect-aclAV من Cisco، فسيتم تثبيت قائمة التحكم في الوصول (ACL) المحددة كقائمة تحكم في الوصول (ACL) سابقة للمصادقة لهذا العميل.

    لا يعتبر العميل مخولا بالكامل في هذه النقطة ولا يمكنه سوى تمرير حركة المرور المسموح بها بواسطة قائمة التحكم في الوصول (ACL) الخاصة بالمصادقة السابقة. بعد أن يقوم العميل بإكمال عملية معينة في عنوان URL المحدد (على سبيل المثال، تغيير كلمة المرور أو دفع الفاتورة)، يجب على العميل إعادة المصادقة.

    عندما لا يرجع خادم RADIUS url-redirectحركة مرور، يعتبر العميل مخولا بالكامل ويسمح له بتمرير حركة مرور البيانات.

    ملاحظة: تتوفر ميزة إعادة توجيه الويب المشروط فقط لشبكات WLAN التي تم تكوينها لتأمين 802.1x أو WPA+WPA2 من الطبقة 2.

    بعد تكوين خادم RADIUS، قم بتكوين إعادة توجيه الويب المشروط على وحدة التحكم باستخدام واجهة المستخدم الرسومية (GUI) أو واجهة سطر الأوامر (CLI) لوحدة التحكم. ارجع إلى هذه الأدلة خطوة بخطوة: تكوين إعادة توجيه الويب (GUI) وتكوين إعادة توجيه الويب (CLI).

    إعادة توجيه صفحة البداية على الويب

    إذا قمت بتمكين إعادة توجيه صفحة البداية على الويب، تتم إعادة توجيه المستخدم إلى صفحة ويب معينة بعد إكمال مصادقة 802.1x بنجاح. بعد إعادة التوجيه، يتمتع المستخدم بحق الوصول الكامل إلى الشبكة.

    يمكنك تعيين صفحة إعادة التوجيه على خادم RADIUS الخاص بك. إذا قام خادم RADIUS بإرجاع زوج Cisco AV، url-redirectفسيتم إعادة توجيه المستخدم إلى عنوان URL المحدد عند فتح مستعرض.

    يعتبر العميل مخولا بالكامل في هذه النقطة ويسمح له بتمرير حركة المرور، حتى إذا لم يرجع خادم RADIUS url-redirect.

    ملاحظة: تتوفر ميزة إعادة توجيه صفحة البداية فقط لشبكات WLAN التي تم تكوينها لتأمين 802.1x أو WPA+WPA2 من الطبقة 2.

    بعد تكوين خادم RADIUS، قم بتكوين إعادة توجيه صفحة البداية على الويب على وحدة التحكم باستخدام واجهة المستخدم الرسومية (GUI) أو واجهة سطر الأوامر (CLI) لوحدة التحكم.

    فشل WebAuth على عامل تصفية MAC

    يتطلب WebAuth على مرشح MAC Filter منك تكوين مرشحات MAC على قائمة تأمين الطبقة 2.

    في حالة التحقق من صحة المستخدمين باستخدام عناوين MAC الخاصة بهم بنجاح، فإنهم يتوجهون مباشرة إلى run الحالة.

    وإذا لم تكن كذلك، فإنها تنتقل إلى WEBAUTH_REQD الحالة وتحدث مصادقة الويب العادية.

    ملاحظة: لا يتم دعم هذا مع مرور الويب.للحصول على مزيد من المعلومات، لاحظ النشاط في طلب التحسين معرف تصحيح الأخطاء من Cisco CSCtw73512

    المصادقة المركزية للويب

    تشير مصادقة الويب المركزية إلى سيناريو لم تعد فيه وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) تستضيف أي خدمات. يتم إرسال العميل مباشرة إلى بوابة ISE على الويب ولا يمر عبر 192.0.2.1 على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). يتم وضع صفحة تسجيل الدخول والمدخل بالكامل في وضع خارجي.

    تحدث المصادقة المركزية للويب عندما يكون لديك التحكم في الدخول إلى شبكة RADIUS (NAC) ممكن في الإعدادات المتقدمة من مرشحات WLAN و MAC الممكنة.

    يرسل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) مصادقة RADIUS (عادة لعامل تصفية MAC) إلى ISE، والتي ترد باستخدام زوج redirect-url قيمة السمة (AV).

    وبعد ذلك، يتم وضع المستخدم في POSTURE_REQD حالة حتى تقوم ISE بإعطاء التفويض مع طلب تغيير التخويل (CoA). يحدث نفس السيناريو في Posture أو Central WebAuth.

    لا يتوافق WebAuth المركزي مع WPA-Enterprise/802.1x لأن مدخل الضيف لا يمكنه إرجاع مفاتيح جلسة العمل للتشفير كما هو الحال مع بروتوكول المصادقة المتوسع (EAP).

    مصادقة المستخدم الخارجي (RADIUS)

    مصادقة المستخدم الخارجي (RADIUS) صالحة فقط ل WebAuth المحلي عندما يعالج WLC بيانات الاعتماد، أو عندما يتم تمكين نهج ويب للطبقة 3. مصادقة المستخدمين محليا أو على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) أو خارجيا عبر بروتوكول RADIUS.

    هناك أمر يتحقق فيه عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) من بيانات اعتماد المستخدم.

    1. على أي حال، تبحث أولا في قاعدة بياناتها الخاصة.

    2. إذا لم يعثر على المستخدمين هناك، فإنه يذهب إلى خادم RADIUS المكون في شبكة WLAN الضيف (إذا كان هناك واحد مكون).

    3. ثم يتم التحقق من قائمة خادم RADIUS العمومية مقابل خوادم RADIUS حيث network user تم تحديدها.

    تجيب النقطة الثالثة على سؤال من لا يشكل RADIUS للشبكة المحلية اللاسلكية (WLAN)، لكن لاحظ أنها مازالت تتحقق مقابل RADIUS عندما لا يكون المستخدم موجودا على وحدة التحكم.

    وذلك لأنه network user يتم التحقق من خوادم RADIUS الخاصة بك الموجودة في القائمة العمومية.

    يمكن WLC مصادقة المستخدمين إلى خادم RADIUS باستخدام بروتوكول مصادقة كلمة المرور (PAP) أو بروتوكول المصادقة لتأكيد الاتصال بقيمة التحدي (CHAP) أو EAP-MD5 (ملخص الرسالة 5).

    هذه معلمة عمومية وقابلة للتكوين من GUI أو CLI:

    من واجهة المستخدم الرسومية: انتقل إلى Controller > Web RADIUS Authentication

    من واجهة سطر الأوامر: أدخِل config custom-web RADIUSauth

    ملاحظة: يستخدم خادم NAC Guest PAP فقط.

    كيفية تعيين شبكة WLAN سلكية للضيف

    تكوين Wired Guest WLAN مماثل لتكوين Wireless Guest. يمكن تكوينها باستخدام وحدة تحكم أو وحدتي تحكم (فقط إذا كانت إحداها مرتبطة تلقائيا).

    أختر شبكة VLAN كشبكة VLAN للمستخدمين الضيوف السلكيين، على سبيل المثال، على شبكة VLAN رقم 50. عندما يريد ضيف سلكي الوصول إلى الإنترنت، قم بتوصيل الكمبيوتر المحمول بمنفذ على محول تم تكوينه لشبكة VLAN رقم 50.

    هذا VLAN 50 ينبغي كنت سمحت وحاضر على الممر من خلال ال WLC شنطة ميناء.

    في حالة إثنين WLCs (واحد ربط وواحد أجنبي)، هذا ضيف VLAN ينبغي ذهبت إلى ال WLC خارجي (يعين WLC1) ولا إلى المرسى.

    عقب ذلك WLC1 يعتني بحركة مرور نفق إلى ال DMZ WLC (المرساة، يعين WLC2)، أي يطلق الحركة مرور في الشبكة الموجهة.

    فيما يلي الخطوات الخمس لتكوين الوصول السلكي للضيف:

    1. قم بتكوين واجهة ديناميكية (VLAN) لوصول المستخدم الضيف السلكي.

      على WLC1، قم بإنشاء واجهة VLAN50 ديناميكية. في interface configuration الصفحة، حدد Guest LAN المربع. ثم تختفي حقول مثل IP address و gateway . يحتاج عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى التعرف على توجيه حركة مرور البيانات من شبكة VLAN رقم 50. هؤلاء العملاء هم ضيوف سلكية.

    2. إنشاء شبكة LAN سلكية للوصول إلى المستخدم الضيف.

      على وحدة تحكم، يتم إستخدام واجهة عند اقترانها بشبكة WLAN. بعد ذلك، قم بإنشاء شبكة WLAN على وحدات التحكم بالمكتب الرئيسية لديك. انتقل إلى WLANs وانقر New. في WLAN Type، أختر Guest LAN.

      في اسم التوصيف وWLAN SSID، أدخل اسما يعرف شبكة WLAN هذه. يمكن أن تكون هذه الأسماء مختلفة، ولكن لا يمكن أن تحتوي على مسافات. يتم إستخدام المصطلح WLAN، ولكن توصيف الشبكة هذا غير مرتبط بتوصيف الشبكة اللاسلكية.

      توفر علامة General التبويب قائمتين منسدلة: Ingress و.Egress مدخل ال VLAN من أي مستعمل يأتي (VLAN 50)؛ المخرج هو شبكة VLAN التي تقوم بإرسالها إليها.

      من أجل Ingress، أختر VLAN50.

      لأنه Egressمختلف. إذا كان لديك وحدة تحكم واحدة فقط، فقم بإنشاء واجهة ديناميكية أخرى، وواجهة standard واحدة هذه المرة (وليس شبكة LAN للضيف)، وأرسل المستخدمين السلكيين إلى هذه الواجهة. في هذه الحالة، قم بإرسالها إلى وحدة التحكم في DMZ. لذلك، Egress أخترت للقارن، ال Management Interface.

      الوضع Security ل هذا الضيف LAN "WLAN" هو WebAuth، وهو مقبول. انقر Ok للتحقق من الصحة.

    3. قم بتكوين وحدة التحكم الخارجية (المكتب الرئيسي).

      من WLAN listخلال ذلك، انقر Mobility Anchor في نهاية Guest LAN السطر، واختر وحدة التحكم في DMZ الخاصة بك. من المفترض هنا أن كلا من وحدات التحكم يتعرف على الآخر. إذا لم تكن كذلك، انتقل إلى DMZWLC Controller > Mobility Management > Mobility groupوأضفه على WLC1. ثم أضف WLC1 على DMZ. يجب ألا تكون كلا وحدتي التحكم في نفس مجموعة التنقل. وبخلاف ذلك، يتم خرق القواعد الأمنية الأساسية.

    4. قم بتكوين وحدة التحكم في الإرساء (وحدة التحكم في DMZ).

      وحدة التحكم بالمكتب الرئيسية جاهزة. قم الآن بتجهيز وحدة التحكم في DMZ. افتح جلسة مستعرض ويب إلى وحدة التحكم في DMZ وانتقل إلى شبكات WLAN. إنشاء شبكة WLAN جديدة. في WLAN Type، أختر Guest LAN.

      في Profile Name وWLAN SSID، أدخل اسما يعرف شبكة WLAN هذه. أستخدم نفس القيم التي تم إدخالها في وحدة التحكم بالمكتب الرئيسية.

      الواجهة Ingress هنا هي None. لا يهم لأنه يتم تلقي حركة المرور من خلال نفق Ethernet عبر IP (EoIP). لا توجد حاجة لتحديد أي واجهة مدخل.

      الواجهة هي Egress المكان الذي سيتم إرسال العملاء إليه. مثلا، ال DMZ VLAN VLAN 9. خلقت قارن ديناميكي قياسي ل VLAN 9 على ك DMZWLC، بعد ذلك أخترت VLAN 9 كالمخرج قارن.

      قم بتكوين نهاية نفق Mobility Anchor. من قائمة الشبكة المحلية اللاسلكية (WLAN)، أختر Mobility Anchor for Guest LAN. أرسل حركة المرور إلى وحدة التحكم المحلية، DMZWLC. والآن أصبح كل من الغرضين على أهبة الاستعداد.

    5. ضبط شبكة LAN للضيف بدقة.

      يمكنك أيضا ضبط إعدادات WLAN بدقة على كلا النهايتين. يجب أن تكون الإعدادات متطابقة في كلا النهايتين. على سبيل المثال، إذا قمت بالنقر في WLAN Advanced علامة التبويب، Allow AAA override في WLC1، حدد نفس المربع على DMZWLC. إذا كانت هناك أي إختلافات في الشبكة المحلية اللاسلكية (WLAN) على أي من الجانبين، فينكسر النفق. يرفض DMZWLC حركة المرور؛ يمكنك أن ترى متى run debug mobility.

      تذكر أن كل القيم تم الحصول عليها بالفعل من DMZWLC: عناوين IP وقيم VLAN وما إلى ذلك. قم بتكوين جانب WLC1 بشكل متماثل، حتى يقوم بنقل الطلب إلى WLCDMZ.

    شهادات لصفحة تسجيل الدخول

    يوفر هذا القسم عمليات وضع الشهادة الخاصة بك على صفحة WebAuth، أو إخفاء عنوان URL ل 192.0.2.1 WebAuth وعرض عنوان URL مسمى.

    تحميل شهادة لمصادقة ويب لوحدة التحكم

    من خلال ال gui (WebAuth > Certificate) أو CLI (نقل نوع webauthcert) أنت يستطيع جلبت شهادة على الجهاز تحكم.

    سواء كانت شهادة تم إنشاؤها باستخدام المرجع المصدق (CA) أو شهادة رسمية من جهة خارجية، يجب أن تكون بتنسيق .pem.

    قبل الإرسال، يجب أيضا إدخال مفتاح الشهادة.

    بعد التحميل، يلزم إعادة التشغيل لكي تكون الشهادة في مكانها. بمجرد إعادة التشغيل، انتقل إلى صفحة شهادة WebAuth في واجهة المستخدم الرسومية (GUI) للعثور على تفاصيل الشهادة التي قمت بتحميلها (صحتها وما إلى ذلك).

    الحقل المهم هو الاسم الشائع (CN)، وهو الاسم الصادر للشهادة. تتم مناقشة هذا الحقل في هذا المستند ضمن القسم "المرجع المصدق والشهادات الأخرى على جهاز التحكم".

    بعد إعادة التشغيل والتحقق من تفاصيل الشهادة، يتم تقديم شهادة وحدة التحكم الجديدة إليك في صفحة تسجيل دخول WebAuth. ولكن يمكن ان تكون هنالك حالتان.

    1. إذا كانت شهادتك قد تم إصدارها بواسطة أحد المراجع المصدقة الرئيسية القليلة التي يثق بها كل جهاز كمبيوتر، فلا بأس بذلك. مثال على ذلك هو VeriSign ، لكنك عادة ما تكون موقعة من قبل Verisign subca وليس الجذر ca. يمكنك مراجعة مخزن شهادات المستعرض إذا كنت ترى المرجع المصدق المذكور هناك كمرجع مصدق ثقة.

    2. إذا حصلت على شهادتك من شركة/مرجع مصغر، فإن كل أجهزة الكمبيوتر لا تثق بها. قم بتوفير شهادة الشركة/المرجع المصدق للعميل أيضا، ثم يقوم أحد المراجع المصدقة الأساسية بإصدار تلك الشهادة. أخيرا، لديك سلسلة مثل "تم إصدار الشهادة من قبل CA X > CA X تم إصدارها من قبل CA Y > CA Y تم إصدار الشهادة من قبل CA الجذر الموثوق به هذا". الهدف النهائي هو الوصول إلى مرجع مصدق يثق به العميل.

    جهة منح الشهادة وغيرها من الشهادات على وحدة التحكم

    للتخلص من التحذير "هذه الشهادة غير موثوق بها"، أدخل شهادة المرجع المصدق التي أصدرت شهادة وحدة التحكم على وحدة التحكم.

    ثم تقدم وحدة التحكم كلا الشهادتين (شهادة وحدة التحكم وشهادة CA الخاصة بها). يجب أن تكون شهادة المرجع المصدق مصدق ثقة أو تحتوي على الموارد للتحقق من المرجع المصدق. يمكنك في الواقع بناء سلسلة من شهادات المرجع المصدق التي تؤدي إلى المرجع المصدق الموثوق به في الأعلى.

    ضع السلسلة بأكملها في نفس الملف. يحتوي الملف بعد ذلك على محتوى مثل هذا المثال:

    BEGIN CERTIFICATE ------ device certificate*   END CERTIFICATE ------ BEGIN 
    CERTIFICATE ------ intermediate CA certificate*   END CERTIFICATE ------ BEGIN 
    CERTIFICATE ------ Root CA certificate*   END CERTIFICATE ------

    كيفية جعل الشهادة تطابق عنوان URL

    تم تعيين عنوان URL ل WebAuth على 192.0.2.1 للمصادقة على نفسك وتم إصدار الشهادة (هذا هو حقل CN لشهادة WLC).

    لتغيير عنوان URL ل WebAuth إلى 'myWLC . com'، على سبيل المثال، انتقل إلى virtual interface configuration (واجهة 192.0.2.1) وهناك يمكنك إدخال virtual DNS hostname، مثل myWLC . com.

    يؤدي هذا إلى إستبدال 192.0.2.1 في شريط عنوان URL الخاص بك. يجب أن يكون هذا الاسم قابلا للحل أيضا. يظهر تتبع sniffer كيف يعمل كله، لكن عندما يرسل WLC صفحة تسجيل الدخول، WLC يبدي عنوان MYwlc . com، والعميل يحل هذا الاسم مع DNS.

    يجب حل هذا الاسم باسم 192.0.2.1. يعني هذا أنه إذا كنت تستخدم أيضا اسما لإدارة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، فاستخدم اسما مختلفا ل WebAuth.

    إذا كنت تستخدم MYwlc . com معين إلى عنوان IP الخاص بإدارة WLC، يجب عليك إستخدام اسم مختلف ل WebAuth، مثل myWLCwebauth.com.

    أستكشاف أخطاء الشهادة وإصلاحها

    يشرح هذا القسم كيفية التحقق من أستكشاف أخطاء الشهادة وإصلاحها وما هي هذه المشاكل.

    كيفية التحقق

    قم بتنزيل OpenSSL (ل Windows، ابحث عن OpenSSL Win32) وقم بتثبيته. بدون أي تكوين، يمكنك الانتقال إلى دليل الحاويات والمحاولة openssl s_client –connect (your web auth URL):443،

    إذا كان عنوان URL هذا هو عنوان URL الذي يتم فيه ربط صفحة WebAuth على DNS الخاص بك، ارجع إلى "What to Check" في القسم التالي من هذا المستند.

    إذا كانت الشهادات تستخدم مرجع مصدق خاص، ضع شهادة المرجع المصدق الجذر في دليل على جهاز محلي واستخدم خيار OpenSSL -CApath. إذا كان لديك مرجع مصدق متوسط، ضعه في نفس الدليل أيضا.

    للحصول على معلومات عامة عن الشهادة وفحصها، أستخدم:

    openssl x509 -in certificate.pem -noout -text
    openssl verify certificate.pem

    من المفيد أيضا تحويل التراخيص باستخدام OpenSSL:

    openssl x509 -in certificate.der -inform DER -outform PEM -out certificate.pem

    ما يجب فحصه

    يمكنك الاطلاع على الشهادات التي يتم إرسالها إلى العميل عند إتصاله. قراءة شهادة الجهاز — يجب أن يكون CN عنوان URL حيث يمكن الوصول إلى صفحة الويب.

    اقرأ السطر "الذي تم إصداره بواسطة" من شهادة الجهاز. يجب أن يتطابق هذا مع CN للشهادة الثانية. يجب أن تطابق هذه الشهادة الثانية، "الصادرة من"، CN للشهادة التالية، وهكذا. وإلا فإنها لا تشكل سلسلة حقيقية.

    في إخراج OpenSSL الظاهر هنا، لاحظ أنه openssl لا يستطيع التحقق من شهادة الجهاز لأن "صادر من قبل" لا يطابق اسم شهادة CA المقدمة.

    إخراج SSL

    Loading 'screen' into random state - done CONNECTED(00000760) depth=0 /O=
    <company>.ac.uk/OU=Domain Control Validated/CN=<company>.ac.uk verify error:
    num=20:unable to get local issuer certificate verify return:1 depth=0 /O=
    <company>.ac.uk/OU=Domain Control Validated/CN=<company>.ac.uk verify error:
    num=27:certificate not trusted verify return:1 depth=0 /O=<company>.ac.uk/OU=
    Domain Control Validated/CN=<company>.ac.uk verify error:num=21:
    unable to verify the first certificate verify return:1 --- Certificate chain
    0 s:/O=<company>.ac.uk/OU=
    Domain Control Validated/CN=<company>.ac.uki:/C=US/   ST=
    Arizona/L=Scottsdale/O=.com/OU=http://certificates.gocompany.com/repository/CN=
    Secure Certification Authority/serialNumber=079 
    692871 s:/C=US/O=Company/OU=Class 2 Certification Authority 
    i:/C=US/O=Company/OU=Class 2 Certification Authority --- Server certificate

    BEGIN CERTIFICATE-----
    MIIE/zCCA+egAwIBAgIDRc2iMA0GCSqGSIb3DQEBBQUAMIHKMQswCQYDVQQGEwJV
    output cut*
    YMaj/NACviEU9J3iot4sfreCQSKkBmjH0kf/Dg1l0kmdSbc=

    END CERTIFICATE-----
    subject=/O=<company>.ac.uk/OU=Domain Control Validated/CN=<company>c.ac.uk 
    issuer=/C=US/ST=Arizona/L=Scottsdale/O=.com/OU=http://certificates. 
    .com/repository/CN=Secure Certification Authority/serialNumber=0 
    7969287 --- No client certificate CA names sent --- SSL handshake has read 
    2476 bytes and written 322 bytes --- New, TLSv1/SSLv3, Cipher is AES256-SHA 
    Server public key is 1024 bit Compression: NONE Expansion: NONE SSL-Session:

    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: A32DB00A7AB7CD1CEF683980F3696C2BBA31A1453324F711F50EF4B86A4A7F03

    Session-ID-ctx:Master-Key: C95E1BDAC7B1A964ED7324955C985CAF186B92EA34CD69E10
       5F95D969D557E19
    939C6A77C72350AB099B3736D168AB22

       Key-Arg   : None
    Start Time: 1220282986
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
    ---

    هناك مشكلة أخرى محتملة وهي أنه لا يمكن تحميل الشهادة إلى وحدة التحكم. وفي هذه الحالة، ليس هناك أي شك في الصحة، CA، وما إلى ذلك.

    للتحقق من ذلك، تحقق من اتصال بروتوكول نقل الملفات المبسط (TFTP) وحاول نقل ملف تكوين. إذا قمت بإدخال debug transfer all enable الأمر، لاحظ أن المشكلة هي تثبيت الشهادة.

    قد يكون هذا بسبب المفتاح غير الصحيح المستخدم مع الشهادة. قد يكون أيضا أن الشهادة بتنسيق خاطئ أو تالفة.

    توصي Cisco بمقارنة محتوى الشهادة بشهادة معروفة وسليمة. يتيح لك ذلك معرفة ما إذا كانت هناك LocalkeyID سمة تظهر كل الأصفار (حدث بالفعل). إذا كان الأمر كذلك، فيجب إعادة تحويل الشهادة.

    هناك أمران باستخدام OpenSSL يتيحان لك العودة من .pem إلى .p12، ثم إعادة إصدار .pem باستخدام المفتاح الذي تختاره.

    إذا كنت قد تلقيت رسالة .pem تحتوي على شهادة متبوعة بمفتاح، قم بنسخ/لصق جزء المفتاح: ----BEGIN KEY ---- until ------- END KEY ------ من صفحة .pem إلى "key.pem".

    1. openssl pkcs12 -export -in certificate.pem -inkey key.pem -out newcert.p12 ؟ يتم مطالبتك بمفتاح؛ أدخِل check123.

    2. openssl pkcs12 -in newcert.p12 -out workingnewcert.pem -passin pass:check123 -passout pass:check123 يؤدي ذلك إلى .pem أثناء التشغيل باستخدام كلمة المرور check123.

    حالات أخرى لاستكشاف الأخطاء وإصلاحها

    على الرغم من أنه لم تتم مناقشة نقطة ربط قابلية التنقل في هذا المستند، إذا كنت في حالة ضيف مرتبط، فتأكد من حدوث تبادل التنقل بشكل صحيح ومن رؤية العميل يصل إلى نقطة الإرساء.

    تحتاج أي مشاكل أخرى في مصادقة الويب إلى أستكشاف الأخطاء وإصلاحها على نقطة الربط.

    فيما يلي بعض المشاكل الشائعة التي يمكنك أستكشاف الأخطاء وإصلاحها:

    • لا يمكن للمستخدمين الاقتران بشبكة WLAN الضيف.

      لا يتعلق هذا ب WebAuth. تحقق من تكوين العميل وإعدادات الأمان على شبكة WLAN إذا تم تمكينها وما إذا كانت أجهزة الراديو نشطة ونشطة وما إلى ذلك.

    • لا يحصل المستخدمون على عنوان IP.

      في حالة مرساة الضيف، يكون ذلك في أغلب الأحيان لأن المرسى الأجنبي لم يتم تكوينه بنفس الطريقة تماما. وإلا، تحقق من تكوين DHCP، والاتصال، وما إلى ذلك.
    • تأكيد ما إذا كان يمكن أن تستخدم شبكات WLAN الأخرى خادم DHCP نفسه بدون مشكلة أم لا. لا يزال هذا غير متعلق ب WebAuth.

    • لم تتم إعادة توجيه المستخدم إلى صفحة تسجيل الدخول.

      وهذا هو الأعراض الأكثر شيوعا، ولكنه أكثر دقة. هناك سيناريوهان محتملان.

      1. لم تتم إعادة توجيه المستخدم (يدخل المستخدم عنوان URL ولا يصل أبدا إلى صفحة WebAuth). لهذا الموقف، تحقق:

        • أنه تم تعيين خادم DNS صالح للعميل عبر DHCP (ipconfig /all

        • إمكانية الوصول إلى DNS من العميل (nslookup (website URL

        • أن المستخدم قام بإدخال عنوان URL صالح لكي تتم إعادة توجيهه،

        • أن المستخدم ذهب على HTTP URL على ميناء 80 (على سبيل المثال، للوصول إلى ACS مع http://localhost:2002 لا يعيد توجيهك بما أن أنت أرسلت على ميناء 2002 بدلا من 80).

      2. تتم إعادة توجيه المستخدم إلى 192.0.2.1 بشكل صحيح، ولكن الصفحة نفسها لا يتم عرضها.

        من المحتمل أن يكون هذا الموقف إما مشكلة WLC (خطأ) أو مشكلة من جانب العميل. قد يكون للعميل جدار حماية أو برنامج أو كتلة نهج. كما قد تكون هذه الأجهزة قد قامت بتكوين وكيل في مستعرض الويب الخاص بها.

        التوصية: قم بأخذ تتبع sniffer على الكمبيوتر العميل. لا توجد حاجة لبرامج لاسلكية خاصة، فقط Wireshark، الذي يعمل على المحول اللاسلكي ويريك إذا كانت وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) ترد وتحاول إعادة التوجيه. لديك إحتمالين: إما أنه لا توجد إستجابة من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، أو أن هناك خطأ ما في مصافحة SSL لصفحة WebAuth. بالنسبة لمشكلة مصافحة SSL، يمكنك التحقق مما إذا كان مستعرض المستخدم يسمح ب SSLv3 (يسمح البعض فقط SSLv2)، وما إذا كان التدقيق في الشهادة عدوانيا للغاية.

        إنها خطوة شائعة لإدخال http://192.0.2.1 للتحقق من ظهور صفحة الويب بدون DNS. في الواقع، يمكنك كتابة http://10.0.0.0 والحصول على نفس التأثير. يعيد عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) توجيه أي عنوان IP تدخله. لذلك، إذا قمت بإدخال http://192.0.2.1، فإنه لا يجعلك تعمل حول إعادة توجيه الويب. إذا قمت بإدخال https://192.0.2.1(آمن)، فهذا لا يعمل لأن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لا يقوم بإعادة توجيه حركة مرور HTTPS (بشكل افتراضي، هذا ممكن بالفعل في الإصدار 8.0 والإصدارات الأحدث). أفضل طريقة لتحميل الصفحة مباشرة دون إعادة توجيه هي إدخال https://192.0.2.1/login.html.

    • يتعذر على المستخدمين المصادقة.

      راجع قسم هذا المستند الذي يناقش المصادقة. تحقق من بيانات الاعتماد محليا على RADIUS.

    • يمكن للمستخدمين المصادقة بنجاح من خلال WebAuth، ولكن ليس لديهم إمكانية الوصول إلى الإنترنت بعد ذلك.

      يمكنك إزالة WebAuth من أمان الشبكة المحلية اللاسلكية (WLAN)، ثم لديك شبكة WLAN مفتوحة. يمكنك بعد ذلك محاولة الوصول إلى الويب و DNS وما إلى ذلك. إذا واجهت مشاكل هناك أيضا، فقم بإزالة إعدادات WebAuth بالكامل وفحص تكوين الواجهات.

    لمزيد من المعلومات، راجع: أستكشاف أخطاء مصادقة الويب وإصلاحها على وحدة تحكم شبكة محلية لاسلكية (WLC).

    خادم وكيل HTTP وكيف يعمل

    يمكنك إستخدام خادم وكيل HTTP. إذا كنت بحاجة إلى أن يضيف العميل إستثناء في المستعرض الخاص به بعدم مرور 192.0.2.1 من خلال الخادم الوكيل، فيمكنك جعل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ينصت لحركة مرور HTTP على منفذ الخادم الوكيل (عادة 8080).

    لفهم هذا السيناريو، يلزمك معرفة ما يقوم به وكيل HTTP. هو شيء تقوم بتكوينه على جانب العميل (عنوان ومنفذ IP) في المستعرض.

    السيناريو المعتاد عند زيارة المستخدم لموقع ويب هو حل الاسم إلى IP باستخدام DNS، ثم يطلب من صفحة الويب إلى خادم الويب. ترسل العملية دائما طلب HTTP للصفحة إلى الوكيل.

    يقوم الوكيل بمعالجة DNS، إذا لزم الأمر، ثم إعادة التوجيه إلى خادم الويب (إذا لم يتم تخزين الصفحة مؤقتا بالفعل على الوكيل). المناقشة عبارة عن عميل إلى وكيل فقط. لا علاقة للعميل بما إذا كان الوكيل سيحصل على صفحة ويب الحقيقية أم لا.

    فيما يلي عملية مصادقة الويب:

    • أنواع المستخدمين في URL.

    • يرسل كمبيوتر العميل إلى الخادم الوكيل.

    • واعتراض WLC لبروتوكول IP للخادم الوكيل وتقليده؛ يرد على الكمبيوتر بإعادة التوجيه إلى 192.0.2.1

    في هذه المرحلة، إذا لم يتم تكوين الكمبيوتر، فإنه يطلب صفحة 192.0.2.1 WebAuth إلى الوكيل حتى لا تعمل. يجب أن يقوم الكمبيوتر بإجراء إستثناء ل 192.0.2.1؛ ثم يقوم بإرسال طلب HTTP إلى 192.0.2.1 ويمضي مع WebAuth.

    عند المصادقة، يتم تمرير جميع الاتصالات من خلال الوكيل مرة أخرى. عادة ما يكون تكوين الاستثناء في المستعرض قريبا من تكوين الخادم الوكيل. ثم ترون الرسالة: "عدم إستخدام وكيل لعناوين IP هذه".

    مع WLC الإصدار 7.0 والإصدارات الأحدث، يمكن webauth proxy redirect تمكين الميزة في خيارات تكوين WLC العامة.

    عند تمكينها، يتحقق عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) من تكوين العملاء لاستخدام وكيل يدويا. في هذه الحالة، يقومون بإعادة توجيه العميل إلى صفحة تظهر لهم كيفية تعديل إعدادات الوكيل الخاصة بهم لجعل كل شيء يعمل.

    يمكن تكوين إعادة توجيه وكيل WebAuth للعمل على مجموعة متنوعة من المنافذ، كما أنه متوافق مع Central Web Authentication.

    على سبيل المثال في إعادة توجيه وكيل WebAuth، ارجع إلى وكيل مصادقة الويب على مثال تكوين وحدة تحكم شبكة محلية لاسلكية.

    مصادقة الويب على HTTP بدلا من HTTPS

    يمكنك تسجيل الدخول على مصادقة الويب على HTTP بدلا من HTTPS. إذا قمت بتسجيل الدخول على HTTP، فلن تتلقى تنبيهات الشهادة.

    بالنسبة للأسبق من كود WLC الإصدار 7.2، يجب تعطيل إدارة HTTPS الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) وترك إدارة HTTP. ومع ذلك، يتيح هذا فقط إدارة ويب الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) عبر HTTP.

    ل WLC إطلاق 7.2 رمز، استعملت الأمر config network web-auth secureweb disable أن يعجز. يؤدي هذا فقط إلى تعطيل HTTPS لمصادقة الويب وليس الإدارة. لاحظ أن هذا يتطلب إعادة تمهيد وحدة التحكم!

    في WLC الإصدار 7.3 والرمز الأحدث، يمكنك تمكين/تعطيل HTTPS ل WebAuth فقط عبر GUI و CLI.

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    3.0
    01-Aug-2022
    أقنعة ترجمة آلية مضافة (64 تكرارا). إعادة هيكلة الجمل المتتالية. لغة معاد صياغتها.
    1.0
    07-Feb-2014
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Nicolas Darchis
      Cisco TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا