مثال تكوين وكيل مصادقة الويب

المقدمة

يوضح هذا المستند كيفية تكوين مصادقة الويب للعمل باستخدام إعداد وكيل.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• التكوين الأساسي لوحدة تحكم الشبكة المحلية (LAN) اللاسلكية
• أمان مصادقة الويب

المكونات المستخدمة

أسست المعلومة في هذا وثيقة على cisco لاسلكي lan جهاز تحكم، صيغة 7.0 ومتأخر.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

يرسل مسؤولو الشبكة الذين لديهم خادم وكيل على شبكتهم حركة مرور ويب أولا إلى الخادم الوكيل، الذي يقوم بعد ذلك بترحيل حركة مرور البيانات إلى الإنترنت. يمكن أن تستخدم الاتصالات بين العميل والخادم الوكيل منفذ TCP بخلاف المنفذ 80 للاتصالات. عادة ما يكون هذا المنفذ هو منفذ TCP 3128 أو 8080. بشكل افتراضي، تستمع مصادقة الويب فقط إلى المنفذ 80. وبالتالي، عندما يترك HTTP GET الكمبيوتر، يتم إرساله إلى منفذ الوكيل ولكن يتم إسقاطه بواسطة وحدة التحكم.

يوضح هذا القسم كيفية تكوين مصادقة الويب للعمل باستخدام إعداد وكيل:

1. قم بتكوين وحدة التحكم في شبكة LAN اللاسلكية (WLC) من Cisco للاستماع على منفذ الوكيل.
2. قم بتكوين ملف التكوين التلقائي للوكيل (PAC) لإرجاع عنوان IP الظاهري مباشرة.
3. قم بإنشاء قائمة تحكم في الوصول إلى ما قبل المصادقة (ACL) للسماح للعميل بتنزيل ملف PAC قبل مصادقة الويب.

كحل سريع، يمكنك تكوين مستعرض الويب يدويا لإرجاع 192.0.2.1.

وترد تفاصيل كل من هذه العمليات في الأقسام الفرعية التالية.

تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)

يوضح هذا الإجراء كيفية تغيير المنفذ الذي تستمع إليه وحدة التحكم إلى المنفذ الذي يستمع إليه الخادم الوكيل.

1. انتقل إلى وحدة التحكم > صفحة عامة.
   
   
2. في حقل منفذ إعادة توجيه وكيل WebAuth، أدخل المنفذ الذي تريد أن يستمع إليه عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لإعادة توجيه العميل.
   
   
3. أختر "معطل" أو "ممكن" من القائمة المنسدلة وضع إعادة توجيه وكيل WebAuth:
   
   
   1. إذا أخترت معطل، فإن العملاء يقدمون صفحة مصادقة الويب العادية للمصادقة أو المرور. لذلك، إذا كنت تستخدم وكيلا، فأنت بحاجة إلى تكوين جميع مستعرضات العملاء لعدم إستخدام الوكيل ل 192.0.2.1 (أو أي عنوان IP ظاهري آخر يستخدمه عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)). راجع تكوين مستعرض الويب.
      
      
   2. إن يختار أنت يمكن، ال WLC يستمع على ميناء 80، 8080، و 3128 افتراضيا، لذلك أنت لا يضطر أن يدخل أن ميناء في WebAuth وكيل redirection ميناء نص مجال. إذا أرسل عميل HTTP GET على هذه المنافذ، فسيرى شاشة تطلب منه تغيير إعدادات الوكيل الخاصة به إلى الوضع تلقائي.
      
      
4. قم بحفظ التكوين.
   
   
5. أعد تمهيد وحدة التحكم.

في ملخص، أدخل رقم منفذ في منفذ إعادة توجيه وكيل WebAuth من أجل تحديد المنفذ الذي تستمع إليه WLC. عند تمكين وضع إعادة التوجيه، فإنه يعيد توجيه العميل إلى شاشة إعداد الوكيل ويتوقع دفع ملف الاكتشاف التلقائي لوكيل الويب (WPAD) أو ملف مسوغات الوصول المحمي (PAC) بشكل ديناميكي من أجل تكوين الوكيل التلقائي. عند تعطيل هذا الخيار، تتم إعادة توجيه العميل إلى صفحة مصادقة الويب العادية.

تكوين ملف PAC

يحتاج عنوان IP الظاهري الخاص ب WLC إلى إرجاعه 'مباشرة' لكي تتمكن مصادقة الويب من مصادقة المستخدمين بشكل صحيح. يعني Direct أن الخادم الوكيل لا يقوم بوكيل الطلب، وأن العميل لديه أذونات للوصول مباشرة إلى عنوان IP. يتم تكوين هذا عادة على الخادم الوكيل في ملف WPAD أو PAC بواسطة مسؤول الخادم الوكيل. هذا مثال لتكوين ملف PAC:

function FindProxyForURL(url, host) {
      // our local URLs from the domains below example.com don't need a proxy:
      if (shExpMatch(host, "*.example.com"))
      if (shExpMatch(host, "192.0.2.1"))   <-- (Line states return 1.1.1 directly)
      {
         return "DIRECT";
      }

      // URLs within this network are accessed through
      // port 8080 on fastproxy.example.com:
      if (isInNet(host, "10.0.0.0",  "255.255.248.0"))
      {
         return "PROXY fastproxy.example.com:8080";
      }

      // All other requests go through port 8080 of proxy.example.com.
      // should that fail to respond, go directly to the WWW:
      return "PROXY proxy.example.com:8080; DIRECT";

إنشاء قائمة التحكم في الوصول (ACL) للمصادقة المسبقة

ضع قائمة تحكم بالوصول (ACL) لما قبل المصادقة على معرف مجموعة خدمة مصادقة الويب (SSID) حتى يتمكن العملاء اللاسلكيون من تنزيل ملف PAC قبل تسجيل العملاء في مصادقة الويب. تحتاج قائمة التحكم في الوصول (ACL) للمصادقة المسبقة إلى السماح بالوصول فقط إلى المنفذ الذي يتم تشغيل ملف PAC فيه. يسمح الوصول إلى منفذ الوكيل للعملاء بالوصول إلى الإنترنت دون مصادقة الويب.

1. انتقل إلى الأمان > قائمة التحكم في الوصول لإنشاء قائمة تحكم في الوصول (ACL) على وحدة التحكم.
2. قم بإنشاء قواعد للسماح بحركة المرور على منفذ تنزيل PAC إلى الوكيل في كلا الاتجاهين.
   
   
   
   

   ملاحظة: لا تسمح بمنفذ HTTP للوكيل.

3. في تكوين شبكة WLAN على وحدة التحكم، لا تنس إختيار قائمة التحكم في الوصول (ACL) التي قمت بإنشائها فقط كقائمة تحكم في الوصول (ACL) للمصادقة السابقة.
   
   

الإصلاح السريع: تكوين مستعرض ويب

يوضح هذا الإجراء كيفية تكوين إستثناء يدويا حتى يصل مستعرض ويب العميل مباشرة إلى 192.0.2.1.

1. في Internet Explorer، انتقل إلى أدوات>خيارات الإنترنت.
   
   
2. انقر فوق علامة التبويب إتصالات، ثم فوق الزر إعدادات LAN.
   
   
3. في منطقة الخادم الوكيل، حدد خانة الاختيار إستخدام خادم وكيل لشبكة LAN الخاصة بك، وأدخل عنوان (IP) وقم بالمنفذ الذي يستمع إليه الخادم.
   
   
   
   
4. طقطقت متقدم وأدخل الفعلي عنوان من ال WLC في الاستثناء منطقة.
   

التحقق من الصحة

لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

استكشاف الأخطاء وإصلاحها

لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.