تكوين مصادقة ويب محلية بمصادقة خارجية

المقدمة

يوضح هذا المستند كيفية تكوين مصادقة الويب المحلية باستخدام المصادقة الخارجية على معيار 9800 WLC و ISE.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• تكوين وحدات التحكم في الشبكة المحلية (LAN) اللاسلكية 9800 (WLC)
• نقاط الوصول في الوضع Lightweight (LAPs)
• كيفية إعداد محرك خدمات تعريف خادم ويب الخارجي وتكوينه (ISE).
• كيفية إعداد خوادم DHCP و DNS وتكوينها.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• 9800-L WLC Cisco IOS® XE، الإصدار 17.9.3
• Identity Services Engine (ISE)، الإصدار 2.6 Patch 10

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

مصادقة الويب

مصادقة الويب هي ميزة أمان للطبقة 3 تسمح للمستخدمين الضيوف بالوصول إلى الشبكة.

وقد تم تصميم هذه الميزة لتوفير وصول آمن وسهل للزوار إلى مجموعات SSID المفتوحة، دون الحاجة إلى تكوين ملف تعريف المستخدم، كما يمكنها العمل باستخدام طرق تأمين الطبقة 2.

الغرض من مصادقة الويب هو السماح للأجهزة (الضيوف) غير الموثوق بها بالوصول إلى الشبكة ذات امتيازات الوصول المحدود للشبكة من خلال شبكة محلية لاسلكية (WLAN) للضيف يمكن تكوينها بآليات أمان وعدم أختراق أمان الشبكة. لكي يتمكن المستخدمون الضيوف من الوصول إلى الشبكة، يحتاجون إلى المصادقة بنجاح، أي أنهم يحتاجون إلى توفير بيانات الاعتماد الصحيحة أو قبول سياسة الاستخدام المقبول (AUP) للوصول إلى الشبكة.

تعد مصادقة الويب ميزة للشركات لأنها تعزز ولاء المستخدم، وتجعل الشركة متوافقة لاستخدام إخلاء المسؤولية الذي يجب أن يقبله المستخدم الضيف، وتسمح للشركة بالتواصل مع الزائرين.

لنشر مصادقة الويب، يجب مراعاة كيفية التعامل مع مدخل الضيوف والمصادقة. هناك طريقتان مشتركتان:

• مصادقة الويب المحلية (LWA): طريقة لإعادة توجيه المستخدمين الضيوف إلى بوابة مباشرة من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). تم تكوين قائمة التحكم في الوصول لما قبل WebAuth و ACL محليا على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).
• المصادقة المركزية للويب (CWA): طريقة لإعادة توجيه المستخدمين الضيوف حيث يتم تكوين عنوان URL لإعادة التوجيه وقوائم التحكم في الوصول (ACL) لإعادة التوجيه مركزيا على خادم خارجي (على سبيل المثال ISE) ويتم توصيلها إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) عبر RADIUS. في المصادقة المركزية للويب، يكون عنوان URL المعاد توجيهه وقوائم التحكم في الوصول (ACL) المعاد توجيهها موجودين مركزيا على خادم خارجي (مثل RADIUS). خادم RADIUS هو الذي يعالج المصادقة، ويرسل الإرشادات إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). في CWA، لا يتطلب عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) شهادة مصادقة ويب محلية، يلزم وجود شهادة واحدة فقط على مدخل الويب المركزي، ويتطلب خادم مصادقة مركزي، مثل ISE. لقراءة CWA بمزيد من التفاصيل، انتقل إلى تكوين مصادقة الويب المركزية (CWA) على Catalyst 9800 WLC و ISE.

في مصادقة الويب المحلية، يمكن أن تكون بوابة الويب موجودة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) أو على خادم خارجي. في LWa مع المصادقة الخارجية، يكون مدخل الويب موجودا على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). في LWA مع خادم ويب خارجي، توجد بوابة الويب على خادم خارجي (مثل مساحات DNA). يتم وصف مثال LWA مع خادم الويب الخارجي بالتفصيل في: تكوين البوابة المقيدة بمساحات DNA باستخدام Catalyst 9800 WLC.

الرسم التخطيطي للطرق المختلفة لمصادقة الويب:

الرسم التخطيطي للطرق المختلفة لمصادقة الويب

أنواع المصادقة

هناك أربعة أنواع من المصادقة لمصادقة المستخدم الضيف:

• WebAuth: أدخل اسم المستخدم وكلمة المرور.
• الموافقة (مرور الويب): قبول الشرطة الرسمية الأفغانية.
• Authbypass: مصادقة تستند إلى عنوان MAC الخاص بجهاز المستخدم الضيف.
• موافقة الويب: مزيج بين اسم المستخدم/كلمة المرور وقبول سياسة الاتحاد الأوروبي (AUP).

أربعة أنواع من المصادقة لمصادقة المستخدم الضيف

قاعدة بيانات للمصادقة

يمكن تخزين بيانات الاعتماد للمصادقة على خادم LDAP، محليا على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) أو على خادم RADIUS.

• قاعدة البيانات المحلية: يتم تخزين بيانات الاعتماد (اسم المستخدم وكلمة المرور) محليا على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).
• قاعدة بيانات LDAP: يتم تخزين بيانات الاعتماد في قاعدة بيانات LDAP الخلفية. يستعلم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) عن خادم LDAP لبيانات اعتماد مستخدم معين في قاعدة البيانات.
• قاعدة بيانات RADIUS: يتم تخزين بيانات الاعتماد في قاعدة بيانات RADIUS الخلفية. يستعلم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) عن خادم RADIUS لبيانات اعتماد مستخدم معين في قاعدة البيانات.

مصادقة الويب المحلية

في مصادقة الويب المحلية، تتم إعادة توجيه المستخدم الضيف إلى مدخل ويب مباشرة من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

يمكن أن تكون بوابة الويب في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) أو في خادم آخر. ما يجعله محليا هو حقيقة أن عنوان URL المعاد توجيهه وقائمة التحكم في الوصول التي تطابق حركة المرور يجب أن تكون على عنصر التحكم في الشبكة المحلية اللاسلكية (وليس موقع مدخل الويب). في LWa، عند اتصال مستخدم ضيف بشبكة WLAN الضيف، يعترض عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الاتصال من المستخدم الضيف ويعيد توجيهه إلى عنوان URL لبوابة الويب، حيث يطلب من المستخدم الضيف المصادقة. عندما يدخل المستخدم الضيف بيانات اعتماد (اسم المستخدم وكلمة المرور)، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يلتقط بيانات الاعتماد. تصادق WLC المستخدم الضيف باستخدام خادم LDAP أو خادم RADIUS أو قاعدة بيانات محلية (قاعدة بيانات موجودة محليا على WLC). في حالة خادم RADIUS (خادم خارجي مثل ISE)، يمكن إستخدامه ليس أيضا لتخزين بيانات الاعتماد، ولكن أيضا لتوفير خيارات تسجيل الأجهزة والإمداد الذاتي. وفي حالة وجود خادم خارجي على الشبكة، مثل "مساحات الحمض النووي"، تكون بوابة الشبكة موجودة هناك. في LWa توجد شهادة واحدة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) وشهادة أخرى على مدخل الويب.

تمثل الصورة المخطط العام ل LWA:

طبولوجيا عامة في LWA

الأجهزة الموجودة في مخطط الشبكة ل LWA:

• العميل: يرسل الطلبات إلى DHCP وخادم DNS، ويطلب الوصول إلى شبكة WLAN الضيف، ويستجيب للطلبات من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).
• نقطة الوصول: تتصل بمحول ما وتبث شبكة WLAN الضيف وتوفر اتصالا لاسلكيا بأجهزة المستخدمين الضيوف. كما يسمح أيضا بحزم DHCP و DNS قبل مصادقة المستخدم الضيف (قبل إدخال بيانات اعتماد صالحة).
• WLC: يدير نقاط الوصول والعملاء. يستضيف عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) عنوان URL المعاد توجيهه وقائمة التحكم في الوصول (ACL) التي تطابق حركة المرور. اعتراض طلبات HTTP من المستخدمين الضيوف، وإعادة توجيههم إلى مدخل ويب (صفحة تسجيل الدخول) حيث يجب على المستخدمين الضيوف المصادقة. إنه يلتقط بيانات الاعتماد ويصادق المستخدمين الضيوف، ويرسل طلبات الوصول إلى خادم خارجي أو خادم LDAP أو قاعدة بيانات محلية لتأكيد ما إذا كانت بيانات الاعتماد صحيحة.
• خادم المصادقة: يستجيب لطلبات الوصول من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) مع قبول/رفض الوصول. يتحقق خادم المصادقة من بيانات الاعتماد من المستخدم الضيف ويخطر عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إذا كانت بيانات الاعتماد صحيحة أو غير صالحة. إذا كانت بيانات الاعتماد صحيحة، فيتم تخويل المستخدم الضيف للوصول إلى الشبكة (يوفر خادم المصادقة خيارات تسجيل الأجهزة والإمداد الذاتي). إذا كانت بيانات الاعتماد غير صالحة، يتم رفض وصول المستخدم الضيف إلى الشبكة.

تدفق LWA:

• يرتبط المستخدم الضيف بنقطة وصول تبث شبكة WLAN الضيف.
• يمر المستخدم الضيف عبر عملية DHCP للحصول على عنوان IP.
• يرغب المستخدم الضيف في إجراء فحص لاتصال الإنترنت بالمدخل المأهول. إذا كان جهاز Apple، فإنه يحاول البوابة المقيدة لدى Apple، وإذا كان جهاز يعمل بنظام التشغيل Android، فإنه يحاول البوابة المقيدة لدى Android، وإذا كان جهاز يعمل بنظام التشغيل Windows، فإنه يحاول بوابة إختبار الاتصال الخاصة ب Windows.
• يرسل المستخدم الضيف استعلام DNS لطلب عنوان IP الخاص بالمدخل المتنقل. يستجيب خادم DNS للاستعلام باستخدام عنوان IP المراسل.
• يرسل المستخدم الضيف رسالة HTTP GET إلى عنوان IP الخاص بالمدخل المأهول.
• تعترض عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) تلك الرسالة والردود على المستخدم الضيف باستخدام HTTP 200 OK وعنوان URL لإعادة التوجيه.
• يرسل المستخدم الضيف رسالة HTTPS GET إلى عنوان IP الظاهري ل WLC وتستجيب WLC مع مدخل الويب.
• يطلب من المستخدم الضيف إدخال بيانات اعتماد المصادقة على بوابة الويب.
• تقوم بوابة الويب بإعادة توجيه المستخدم مرة أخرى إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) باستخدام بيانات الاعتماد المتوفرة (في حالة إستخدام مدخل ويب خارجي).
• يصادق عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) المستخدم الضيف من خلال قاعدة بيانات محلية، أو يرسل استعلاما إلى خادم RADIUS أو LDAP، لتأكيد ما إذا كانت بيانات الاعتماد صحيحة (إذا كان نوع المصادقة هو موافقة ويب أو مصادقة ويب).
• إذا كانت بيانات الاعتماد صحيحة، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يصادق المستخدم الضيف ويذهب إلى حالة التشغيل. إذا كانت بيانات الاعتماد خاطئة، فإن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يحذف المستخدم الضيف.
• تقوم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بإعادة توجيه العميل مرة أخرى إلى عنوان URL الأصلي الذي تم إدخاله في مستعرض الويب.

تدفق LWA

مصادقة ويب محلية بمصادقة خارجية

طبولوجيا عامة في LWA-EA

LWa هو طريقة خاصة ب LWa حيث يتواجد مدخل الويب وعنوان URL لإعادة التوجيه على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ويتم تخزين بيانات الاعتماد على خادم خارجي، مثل ISE. على قبض WLC بيانات الاعتماد ومصادقة العميل من خلال خادم RADIUS خارجي. عندما يدخل مستخدم ضيف بيانات اعتماد، يتحقق عنصر التحكم في الشبكة المحلية اللاسلكية من بيانات الاعتماد مقابل RADIUS، يرسل طلب وصول RADIUS ويستلم وصول RADIUS يقبل/يرفض من خادم RADIUS. ثم، إذا كانت بيانات الاعتماد صحيحة، ينتقل المستخدم الضيف إلى حالة "تشغيل". إذا كانت بيانات الاعتماد غير صحيحة، فسيتم حذف المستخدم الضيف بواسطة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

تدفق Lwa-EA

التكوين

الرسم التخطيطي للشبكة

الرسم التخطيطي للشبكة

تكوين مصادقة الويب المحلية باستخدام المصادقة الخارجية على CLI (واجهة سطر الأوامر)

Configure AAA Server and Server Group

9800WLC> enable
9800WLC# configure terminal
9800WLC(config)#radius server RADIUS
9800WLC(config-radius-server)#address ipv4 
    
    
      auth-port 1812 acct-port 1813 
     
9800WLC(config-radius-server)#key cisco 
     
9800WLC(config-radius-server)#exit 
     
9800WLC(config)#aaa group server radius RADIUSGROUP 
     
9800WLC(config-sg-radius)#server name RADIUS 
     
9800WLC(config-sg-radius)#end 
    

Configure Local Authentication and Authorization

9800WLC> enable
9800WLC# configure terminal
9800WLC(config)#aaa new-model
9800WLC(config)#aaa authentication login LWA_AUTHENTICATION group RADIUSGROUP
9800WLC(config)#aaa authorization network LWA_AUTHORIZATION group RADIUSGROUP
9800WLC(config)#end

Configure Parameter Maps

9800WLC> enable
9800WLC# configure terminal
9800WLC(config)# parameter-map type webauth global
9800WLC(config-params-parameter-map)#virtual-ip ipv4 192.0.2.1
9800WLC(config-params-parameter-map)#trustpoint 
    
     
     
9800WLC(config-params-parameter-map)#webauth-http-enable 
     
9800WLC(config-params-parameter-map)#end 
    

Configure WLAN Security Parameters

9800WLC> enable
9800WLC# configure terminal
9800WLC(config)#wlan LWA_EA 1 LWA_EA
9800WLC(config-wlan)#no security wpa
9800WLC(config-wlan)#no security wpa wpa2
9800WLC(config-wlan)#no security wpa wpa2 ciphers aes
9800WLC(config-wlan)#no security wpa akm dot1x 
9800WLC(config-wlan)#security web-auth
9800WLC(config-wlan)#security web-auth authentication-list LWA_AUTHENTICATION
9800WLC(config-wlan)#security web-auth parameter-map global
9800WLC(config-wlan)#no shutdown
9800WLC(config-wlan)#end

Create Wireless Policy Profile

9800WLC> enable
9800WLC# configure terminal
9800WLC(config)#wireless profile policy POLICY_PROFILE
9800WLC(config-wireless-policy)#vlan 
    
     
     
9800WLC(config-wireless-policy)#no shutdown 
     
9800WLC(config-wireless-policy)#end 
    

Create a Policy Tag

9800WLC> enable
9800WLC# configure terminal
9800WLC(config)#wireless tag policy POLICY_TAG
9800WLC(config-policy-tag)#wlan LWA_EA policy POLICY_PROFILE
9800WLC(config-policy-tag)# end

Assign a Policy Tag to an AP

9800WLC> enable
9800WLC# configure terminal
9800WLC(config)#ap 
    
    
      > 
     
9800WLC(config-ap-tag)#policy-tag POLICY_TAG 
     
9800WLC(config-ap-tag)#end 
    

لإنهاء التكوين على جانب ISE، الرجاء الانتقال إلى تكوين ISE للقسم.

تكوين مصادقة ويب محلية بمصادقة خارجية على WebUI

تكوين AAA على 9800 WLC

الخطوة 1. إضافة خادم ISE إلى تكوين 9800 WLC.

انتقل إلى التكوين > التأمين > AAA > الخوادم/المجموعات > RADIUS > الخوادم > + إضافة وإدخال معلومات خادم RADIUS كما هو موضح في الصورة:

تكوين AAA على 9800 WLC

الخطوة 2. إضافة مجموعة خوادم RADIUS.

انتقل إلى التكوين > التأمين > AAA > الخوادم/المجموعات > RADIUS > مجموعة الخوادم > إضافة وإدخال معلومات مجموعة خوادم RADIUS:

إضافة مجموعة خوادم RADIUS

الخطوة 3. إنشاء قائمة أساليب مصادقة.

انتقل إلى التكوين > التأمين > AAA > قائمة طرق AAA > المصادقة > + إضافة:

إنشاء قائمة أساليب المصادقة

الخطوة 4. إنشاء قائمة أساليب التخويل.

انتقل إلى التكوين > التأمين > AAA > قائمة طرق AAA > التفويض > + إضافة:

إنشاء قائمة أساليب التخويل

تكوين WebAuth

إنشاء خريطة معلمة أو تحريرها. حدد النوع كمصادقة ويب، يجب أن يكون عنوان IPv4 الظاهري عنوانا لا يتم إستخدامه على الشبكة لتجنب تعارض عناوين IP، وإضافة TrustPoint.

انتقل إلى التكوين > الأمان > مصادقة الويب > + إضافة أو تحديد خريطة معلمة:

تكوين WebAuth

تكوين شبكة WLAN

الخطوة 1. قم بإنشاء شبكة WLAN.

انتقل إلى التكوين > العلامات والملفات الشخصية > شبكات WLAN > + إضافة وتكوين الشبكة حسب الحاجة.

إنشاء شبكة WLAN

الخطوة 2. انتقل إلى التأمين > الطبقة 2 وفي وضع تأمين الطبقة 2 حدد لاشيء.

إنشاء أمان WLAN

الخطوة 3. انتقل إلى الأمان > الطبقة 3 وعلى نهج الويب حدد المربع، وعلى خريطة معلمات مصادقة الويب حدد اسم المعلمة، وعلى قائمة المصادقة حدد قائمة المصادقة التي تم إنشاؤها مسبقا.

إنشاء قائمة مصادقة WLAN

يتم عرض شبكة WLAN في قائمة شبكة WLAN:

تم إنشاء شبكة WLAN

تكوين ملف تعريف السياسة

داخل توصيف سياسة، يمكنك تحديد شبكة VLAN التي تعين العملاء، من بين إعدادات أخرى.

يمكنك إما استخدام ملف تعريف السياسة الافتراضي الخاص بك أو إنشاء ملف تعريف جديد.

الخطوة 1. إنشاء ملف تعريف نهج جديد.

انتقل إلى التكوين > علامات وملفات التعريف > السياسة وإما أن تقوم بتكوين ملف تعريف النهج الافتراضي أو إنشاء ملف تعريف جديد.

تأكد من تمكين ملف التعريف.

إنشاء ملف تعريف نهج جديد

الخطوة 2. حدد شبكة VLAN.

انتقل إلى علامة تبويب سياسات الوصول  وحدد اسم شبكة VLAN من القائمة المنسدلة أو اكتب معرف شبكة VLAN يدويًا.

حدد شبكة VLAN

تكوين علامة السياسة

داخل علامة السياسة هو المكان الذي تقوم فيه بربط SSID بملف تعريف السياسة الخاص بك. يمكنك إما إنشاء علامة سياسة جديدة أو استخدام علامة السياسة الافتراضية.

انتقل إلى  التكوين > العلامات وملفات التعريف > العلامات > السياسة وأضف واحدة جديدة إذا لزم الأمر كما هو موضح في الصورة.

حدد + إضافة وربط ملف تعريف الشبكة المحلية اللاسلكية (WLAN) بملف تعريف السياسة المرغوب.

تكوين علامة السياسة

تعيين علامة السياسة

قم بتعيين علامة السياسة لنقاط الوصول المطلوبة.

لتعيين العلامة لنقطة وصول واحدة، انتقل إلى التكوين > الشبكة اللاسلكية > نقاط الوصول > اسم نقطة الوصول > العلامات العامة،  وقم بإجراء التعيين المطلوب ثم انقر  فوق تحديث وتطبيق على الجهاز.

تعيين علامة السياسة

تكوين ISE

إضافة 9800 WLC إلى محرك خدمات كشف الهوية (ISE)

الخطوة 1. انتقل إلى إدارة > موارد الشبكة > أجهزة الشبكة كما هو موضح في الصورة.

إضافة 9800 WLC إلى محرك خدمات كشف الهوية (ISE)

الخطوة 2. طقطقة +يضيف.

إضافة أجهزة شبكة

وبشكل اختياري، يمكن أن يكون اسمًا محددًا للـ "طراز" وإصدار البرنامج والوصف وتعيين مجموعات "جهاز الشبكة" استنادًا إلى أنواع الأجهزة أو الموقع أو وحدات WLC.

لمزيد من المعلومات حول مجموعات أجهزة الشبكة، راجع دليل إدارة ISE - مجموعات أجهزة الشبكة.

الخطوة 3. دخلت ال 9800 WLC عملية إعداد كما هو موضح في الصورة. أدخل مفتاح RADIUS نفسه المعرف عند إنشاء الخادم على جانب عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). ثم انقر فوق إرسال.

إعدادات 9800 WLC

الخطوة 4. انتقل إلى إدارة > موارد الشبكة > أجهزة الشبكة، يمكنك أن ترى قائمة أجهزة الشبكة.

قائمة أجهزة الشبكة

إنشاء مستخدم جديد على ISE

الخطوة 1. انتقل إلى إدارة > إدارة الهوية > هويات > مستخدمين > إضافة. أدخل اسم المستخدم وكلمة المرور للمستخدم الضيف، وانقر فوق إرسال.

إنشاء مستخدم جديد على ISE

الخطوة 2. انتقل إلى إدارة > إدارة الهوية > هويات > مستخدمين، يمكنك أن ترى قائمة المستخدمين.

قائمة مستخدمي الوصول إلى الشبكة

إنشاء ملف تعريف التفويض

ملف تعريف السياسة هو النتيجة المعينة للعميل بناءً على المعلمات الخاصة به (مثل عنوان mac وبيانات الاعتماد وشبكة WLAN المستخدمة وما إلى ذلك). يمكنه تعيين إعدادات محددة مثل الشبكة المحلية الافتراضية (VLAN) وقوائم التحكم في الوصول (ACL) وعمليات إعادة توجيه محدد مواقع الموارد (URL) وما إلى ذلك.  

توضح هذه الخطوات كيفية إنشاء ملف تعريف التفويض اللازم لإعادة توجيه العميل إلى بوابة المصادقة. لاحظ أنه في الإصدارات الحديثة من ISE، توجد نتيجة تفويض Cisco_Webauth بالفعل. الآن يمكنك تحريره لتعديل اسم قائمة التحكم في الوصول (ACL) لإعادة التوجيه لمطابقة ما قمت بتكوينه على WLC.

الخطوة 1. انتقل إلى السياسة > عناصر السياسة > النتائج > التفويض > ملفات تخصيص التفويض. طقطقة يضيف in order to خلقت تخويل ملف تعريف LWA_EA_AUTHORIZATION. يجب أن تكون تفاصيل السمات هي Access Type=ACCESS_ACCEPT. انقر على إرسال.

إنشاء ملف تعريف التفويض

الخطوة 2. انتقل إلى السياسة > عناصر السياسة > النتائج > التخويل > توصيفات التخويل، يمكنك أن ترى ملفات تخصيص التخويل.

قائمة ملفات تعريف التخويل

تكوين قاعدة المصادقة

الخطوة 1. انتقل إلى السياسة > مجموعات السياسات. حدد إضافة واكتب اسم مجموعة النهج LWA_EA_POLICY. انقر فوق شروط العمود، ثم ينفتح هذا الإطار.

تكوين قاعدة المصادقة

الخطوة 2. حدد في القاموس الوصول إلى الشبكة.

الوصول إلى الشبكة الافتراضية

الخطوة 3. في السمة حدد اسم المستخدم.

اسم مستخدم السمة

الخطوة 4. ضبط يساوي واكتب ضيف على مربع النص (اسم المستخدم المعرف في الإدارة > إدارة الهوية > الهويات > المستخدمين).

اسم المستخدم Guest

الخطوة 5. انقر فوق حفظ لحفظ التغييرات.

الخطوة 6. انتقل إلى السياسة > مجموعات السياسات. في مجموعة النهج التي قمت بإنشائها، حدد Default Network Access في البروتوكولات/تسلسل الخادم المسموح بها للعمود.

مجموعات النهج

الخطوة 7. انقر فوق حفظ لحفظ التغييرات.

تكوين قواعد المصادقة

قاعدة التفويض هي القاعدة المسؤولة لتحديد أي نتيجة الأذونات (أي ملف تعريف تفويض) التي يتم تطبيقها على العميل.

الخطوة 1. انتقل إلى السياسة > مجموعات السياسات. انقر فوق رمز السهم في مجموعة النهج التي قمت بإنشائها.

سهم مجموعة النهج

الخطوة 2. في نفس صفحة مجموعة النهج، قم بتوسيع نهج التخويل كما هو موضح في الصورة. في توصيفات احذف عمود DenyAccess وأضف LWA_EA_AUTHORIZATION.

سياسة التخويل

الخطوة 3. انقر فوق حفظ لحفظ التغييرات.

تغيير نهج التخويل

اتصال عميل الضيف

الخطوة 1. على الكمبيوتر/الهاتف، انتقل إلى شبكات Wi-Fi، ابحث عن LWA_EA الخاص ب SSID وحدد Connect.

اتصال عميل الضيف

الخطوة 2. تظهر نافذة المستعرض، مع صفحة تسجيل الدخول. ال redirect URL في مربع URL، وأنت يضطر أن تكتب ال username و كلمة أن يحصل منفذ إلى الشبكة. ثم حدد إرسال.

صفحة تسجيل الدخول باستخدام URL لإعادة التوجيه

ملاحظة: تم توفير عنوان URL المقدم من قبل WLC. يحتوي على IP الظاهري الخاص ب WLC وإعادة التوجيه لعنوان URL الخاص باختبار Windows Connect.

الخطوة 3. انتقل إلى العمليات > RADIUS > السجلات المباشرة. يمكنك أن ترى جهاز العميل مصادقا.

سجلات RADIUS المباشرة

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

Show WLAN Summary

9800WLC#show wlan summary

Number of WLANs: 3
ID Profile Name SSID Status Security 
-------------------------------------------------
1 WLAN1 WLAN1 DOWN [WPA2][802.1x][AES] 
2 WLAN2 WLAN2 UP [WPA2][PSK][AES],MAC Filtering 
34 LWA_EA LWA_EA UP [open],[Web Auth]

9800WLC#show wlan name LWA_EA

WLAN Profile Name : LWA_EA
================================================
Identifier : 34
Description : 
Network Name (SSID) : LWA_EA
Status : Enabled
Broadcast SSID : Enabled
Advertise-Apname : Disabled
Universal AP Admin : Disabled
(...)
Accounting list name : 
802.1x authentication list name : Disabled
802.1x authorization list name : Disabled
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
OWE Transition Mode : Disabled
OSEN : Disabled
FT Support : Adaptive
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Disabled
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
Web Based Authentication : Enabled
IPv4 ACL : Unconfigured
IPv6 ACL : Unconfigured
Conditional Web Redirect : Disabled
Splash-Page Web Redirect : Disabled
Webauth On-mac-filter Failure : Disabled
Webauth Authentication List Name : LWA_AUTHENTICATION
Webauth Authorization List Name : Disabled
Webauth Parameter Map : global
Band Select : Disabled
Load Balancing : Disabled
(...)

Show Parameter Map Configuration

9800WLC#show running-config | section parameter-map type webauth global

parameter-map type webauth global
type webauth
virtual-ip ipv4 192.0.2.1
trustpoint 9800-17-3-3_WLC_TP
webauth-http-enable

Show AAA Information

9800WLC#show aaa method-lists authentication

authen queue=AAA_ML_AUTHEN_LOGIN
name=default valid=TRUE id=0 :state=ALIVE : LOCAL 
name=LWA_AUTHENTICATION valid=TRUE id=E0000007 :state=ALIVE : SERVER_GROUP RADIUSGROUP
authen queue=AAA_ML_AUTHEN_ENABLE
authen queue=AAA_ML_AUTHEN_PPP
authen queue=AAA_ML_AUTHEN_SGBP
(...)

9800WLC#show aaa method-lists authorization

author queue=AAA_ML_AUTHOR_SHELL
name=default valid=TRUE id=0 :state=ALIVE : LOCAL 
author queue=AAA_ML_AUTHOR_NET
name=default valid=TRUE id=0 :state=ALIVE : LOCAL 
name=rq-authoAAA valid=TRUE id=83000009 :state=ALIVE : SERVER_GROUP RADIUSGROUP
name=LWA_AUTHORIZATION valid=TRUE id=DB00000A :state=ALIVE : SERVER_GROUP RADIUSGROUP
author queue=AAA_ML_AUTHOR_CONN
author queue=AAA_ML_AUTHOR_IPMOBILE
author queue=AAA_ML_AUTHOR_RM
(...)

9800WLC#show aaa servers

RADIUS: id 3, priority 1, host 10.48.39.247, 
auth-port 1812, acct-port 1813, hostname RADIUS
State: current UP, duration 171753s, previous duration 0s
Dead: total time 0s, count 0
Platform State from SMD: current UP, duration 171753s, previous duration 0s
SMD Platform Dead: total time 0s, count 0
Platform State from WNCD (1) : current UP
(...)

استكشاف الأخطاء وإصلاحها

المشكلات الشائعة

هذه عدة أدلة حول كيفية أستكشاف أخطاء مصادقة الويب وإصلاحها، مثل:

• يتعذر على المستخدمين المصادقة.
• مشاكل الشهادة.
• عنوان URL لإعادة التوجيه لا يعمل.
• لا يمكن للمستخدمين الضيوف الاتصال بشبكة WLAN الضيف.
• لا يحصل المستخدمون على عنوان IP.
• فشل إعادة التوجيه إلى صفحة سجل مصادقة الويب.
• بعد المصادقة الناجحة، يفشل المستخدمون الضيوف في الوصول إلى الإنترنت.

تصف هذه الأدلة خطوات أستكشاف الأخطاء وإصلاحها بالتفصيل:

• أستكشاف المشاكل الشائعة لمصادقة الويب وإصلاحها
• حالات أخرى لاستكشاف الأخطاء وإصلاحها

تصحيح الأخطاء الشرطي والتتبع النشط للراديو والتقاط الحزم المضمن

يمكنك تمكين تصحيح الأخطاء الشرطي والتقاط تتبع Radio Active (RA)، والذي يوفر تتبع مستوى تصحيح الأخطاء لجميع العمليات التي تتفاعل مع الشرط المحدد (عنوان MAC للعميل في هذه الحالة). لتمكين تصحيح الأخطاء الشرطي، أستخدم الخطوات الواردة في الدليل وتصحيح الأخطاء الشرطي وتتبع RadioActive.

يمكنك أيضا تجميع التقاط الحزم المضمن (EPC). EPC هو تسهيل التقاط الحزم الذي يسمح بعرض الحزم الموجهة إلى الحزم الموجهة إلى الحزم المصدرها من الحزم المحلية اللاسلكية (WLCs) والمرور منها، أي DHCP وDNS و HTTP الحصول على الحزم في LWA. يمكن تصدير هذه الالتقاط للتحليل دون اتصال باستخدام Wireshark. للحصول على خطوات تفصيلية حول كيفية القيام بذلك، ارجع إلى التقاط الحزمة المضمنة.

مثال لمحاولة ناجحة

هذا هو مخرج RA_TRACE لمحاولة ناجحة لتعريف كل مرحلة من مراحل عملية الاقتران/المصادقة، أثناء التوصيل ب SSID ضيف مع خادم RADIUS.

802. 11 الاقتران/المصادقة:

[client-orch-sm] [17062]: (ملاحظة): MAC: 0c0e.766c.0e97 تم تلقي اقتران. BSSID cc70.edcf.552f، WLAN lwa_ea، شق 1 ap cc70.edcf.5520، DO_NOT_MOVE.STATIC_AP1
[client-orch-sm] [17062]: (debug): MAC: 0c0e.766c.0e97 تم تلقي طلب اقتران Dot11. بدأت المعالجة،SSID: LWA_EA، ملف تعريف النهج: Policy_profile، اسم نقطة الوصول: DO_NOT_MOVE.Static_AP1، عنوان MAC لنقطة الوصول: cc70.edcf.5520BSSID MAC000.000.0000wlan id: 1RSSI: -49، SNR: 46
[client-orch-state] [17062]: (ملاحظة): MAC: 0c0e.766c.0e97 Client State: S_CO_INIT -> S_CO_ASSOCIATION
[dot11-validate] [17062]: (معلومات): MAC: 0c0e.766c.0e97 dot11 ie تحقق من صحة معدلات الهاتف/الدعم. تم تمرير التحقق من الصحة للمعدلات المدعومة radio_type 2
[dot11-validate] [17062]: (معلومات): MAC: 0c0e.766c.0e97 WiFi Direct: Dot11 تحقق من P2P IE. P2P IE غير موجود.
[dot11] [17062]: (تصحيح الأخطاء): MAC: 0c0e.766c.0e97 dot11 إرسال إستجابة الاقتران. تكوين إستجابة اقتران باستخدام resp_status_code: 0
[dot11] [17062]: (تصحيح الأخطاء): MAC: 0c0e.766c.0e97 Dot11 معلومات القدرة بايت 1، بايت 2: 11
[dot11-frame] [17062]: (معلومات): MAC: 0c0e.766c.0e97 WiFi Direct: تخطي بناء Assoc Resp مع P2P IE: تعطيل نهج WiFi المباشر
[dot11] [17062]: (معلومات): MAC: 0c0e.766c.0e97 dot11 إرسال إستجابة الاقتران. إرسال إستجابة ASSOC ذات الطول: 130 مع resp_status_code: 0، dot11_status: dot11_status_success
[dot11] [17062]: (ملاحظة): MAC: 0c0e.766c.0e97 نجاح الاقتران. المساعدة 1، التجوال = false، WGB = false، 11r = false، 11w = false fast roam = false
[dot11] [17062]: (معلومات): MAC: 0c0e.766c.0e97 dot11 انتقال الحالة: S_DOT11_INIT -> S_DOT11_ASSOCIATED
[client-orch-sm] [17062]: (debug): MAC: 0c0e.766c.0e97 Station Dot11 ناجحة.

عملية التعرف على IP:

[client-orch-state] [17062]: (ملاحظة): MAC: 0c0e.766c.0e97 Client State: S_CO_DPATH_PLUMB_IN_PROGRESS -> S_CO_IP_LEARN_IN_PROGRESS
[client-iplearn] [17062]: (معلومات): MAC: 0c0e.766c.0e97 IP-Learn State Switch: S_IPLEARN_INIT -> S_IPLEARN_IN_PROGRESS
[client-auth] [17062]: (معلومات): MAC: 0c0e.766c.0e97 Client Auth-interface state switch: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_L2_WEBAUTH_DONE
[client-iplearn] [17062]: (ملاحظة): MAC: 0c0e.766c.0e97 Client IP نجح في التعلم. الطريقة: DHCP IP: 10.48.39.243
[client-iplearn] [17062]: (معلومات): MAC: 0c0e.766c.0e97 IP-Learn State Switch: S_IPLEARN_IN_PROGRESS -> S_IPLEARN_COMPLETE
[client-orch-sm] [17062]: (debug): MAC: 0c0e.766c.0e97 Received ip learn response. الطريقة: IPLEARN_METHOD_DHCP

مصادقة من المستوى الثالث:

[client-orch-sm] [17062]: (debug): MAC: 0c0e.766c.0e97 triggered مصادقة L3. الحالة = 0x0، النجاح
[client-orch-state] [17062]: (ملاحظة): MAC: 0c0e.766c.0e97 Client State: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_L3_AUTH_IN_PROGRESS
[client-auth] [17062]: (ملاحظة): MAC: 0c0e.766c.0e97 L3 بدأت المصادقة. لوا
[client-auth] [17062]: (معلومات): MAC: 0c0e.766c.0e97 Client Auth-interface state transstate: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING

[webAuth-httpd] [17062]: (معلومات): capwap_9000004[0c0e.766c.0e97][ 10.48.39.243]GET RCVD عند الدخول إلى الدولة
[webauth-httpd] [17062]: (معلومات): capwap_9000004[0c0e.766c.0e97][ 10.48.39.243]http طلب GET
[webauth-httpd] [17062]: (info): capwap_9000004[0c0e.766c.0e97][ 10.48.39.243]تحليل GET، src [10.48.39.243] dst [10.107.221.82] url [http://firefox يكشف البوابة/]
[webAuth-httpd] [17062]: (معلومات): capwap_9000004[0c0e.766c.0e97][ 10.48.39.243]قراءة كاملة: parse_request return 8
[webAuth-io] [17062]: (معلومات): capwap_9000004[0c0e.766c.0e97][ 10.48.39.243]56538/219 IO قراءة الحالة -> الكتابة
[webAuth-io] [17062]: (معلومات): capwap_9000004[0c0e.766c.0e97][ 10.48.39.243]56538/219 IO State Write -> Reading
[webAuth-io] [17062]: (معلومات): capwap_9000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 IO State New -> القراءة
[webAuth-io] [17062]: (معلومات): capwap_9000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 حدث قراءة، رسالة جاهزة
[webAuth-httpd] [17062]: (معلومات): capwap_9000004[0c0e.766c.0e97][ 10.48.39.243]POST RCVD عندما يكون في حالة تسجيل الدخول

نجحت مصادقة الطبقة 3، قم بنقل العميل إلى حالة RUN:

[auth-mgr] [17062]: (معلومات): [0c0e.766c.0e97:capwap_9000004] Received User-Name guest للعميل 0c0e.766c.0e97
[auth-mgr] [17062]: (معلومات): [0c0e.766c.0e97:capwap_9000004] تم تلقي إعلام وقت المصادقة للإضافة/التغيير ل attr auth-domain(954)
[auth-mgr] [17062]: (معلومات): [0c0e.766c.0e97:capwap_9000004] تغيير حالة مصادقة الويب للطريقة من "Running" إلى "Authc Success"
[auth-mgr] [17062]: (معلومات): [0c0e.766c.0e97:capwap_9000004] تغيير حالة السياق من 'Running' إلى 'Authc Success'
[auth-mgr] [17062]: (معلومات): [0c0e.766c.0e97:capwap_9000004] يتم تلقي إعلام AUTH mgr attr add/change لطريقة الفحص (757)
[auth-mgr] [17062]: (معلومات): [0c0e.766c.0e97:capwap_9000004] رفع الحدث AUTHZ_SUCCESS (11)
[auth-mgr] [17062]: (معلومات): [0c0e.766c.0e97:capwap_9000004] تغير حالة السياق من "نجاح المصادقة" إلى "نجاح المصادقة"
[webAuth-acl] [17062]: (معلومات): capwap_9000004[0c0e.766c.0e97][ 10.48.39.243]تطبيق قائمة التحكم في الوصول إلى تسجيل الخروج لبروتوكول IPv4 عبر SVM، الاسم: IP-ADM-V4-LOGOUT-ACL، الأولوية: 51، IIF-ID: 0
[webAuth-sess] [17062]: (معلومات): capwap_9000004[0c0e.766c.0e97][ 10.48.39.243]Param-map المستخدم: عام
[webauth-state] [17062]: (معلومات): capwap_9000004[0c0e.766c.0e97][ 10.48.39.243]Param-map المستخدم: global
[webAuth-state] [17062]: (معلومات): capwap_9000004[0c0e.766c.0e97][ 10.48.39.243]State AUTHC_SUCCESS -> AUTHZ
[webauth-page] [17062]: (معلومات): capwap_9000004[0c0e.766c.0e97][ 10.48.39.243]إرسال صفحة نجاح WebAuth
[webAuth-io] [17062]: (معلومات): capwap_9000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 IO State Authentication -> الكتابة
[webAuth-io] [17062]: (معلومات): capwap_9000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 IO State Write -> END
[webAuth-httpd] [17062]: (معلومات): capwap_9000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 قم بإزالة IO CTX ومقبس الإغلاق، id [99000029]
[client-auth] [17062]: (ملاحظة): MAC: 0c0e.766c.0e97 L3 نجحت المصادقة. قائمة التحكم في الوصول (ACL):[]
[client-auth] [17062]: (معلومات): MAC: 0c0e.766c.0e97 Client Auth-interface state switch: S_AUTHIF_WEBAUTH_PENDING -> S_AUTHIF_WEBAUTH_DONE
[webauth-httpd] [17062]: (معلومات): capwap_9000004[0c0e.766c.0e97][ 10.48.39.243]56538/219 قم بإزالة IO CTX ومقبس الإغلاق، id [D7000028]
[errmsg] [17062]: (معلومات): ٪CLIENT_ORCH_LOG-6-CLIENT_ADDED_TO_RUN_STATE: R0/0: wncd: إدخال اسم المستخدم (الضيف) مرتبط ب ssid (LWA_EA) للجهاز مع MAC: 0c0e.766c.0e97
[aaa-attr-inf] [17062]: (معلومات): [ السمة المطبقة: bsn-vlan-interface-name 0 "VLAN0039"]
[aaa-attr-inf] [17062]: (معلومات): [ السمة المطبقة: المهلة 0 1800 (0x708)]
[aaa-attr-inf] [17062]: (معلومات): [ السمة المطبقة: url-redirect-acl 0 "ip-adm-v4-logout-acl"]
[ewlc-qos-client] [17062]: (معلومات): MAC: 0c0e.766c.0e97 Client QoS يشغل معالج الحالة
[rog-proxy-capwap] [17062]: (debug): إعلام حالة تشغيل العميل المدار: 0c0e.766c.0e97
[client-orch-state] [17062]: (ملاحظة): MAC: 0c0e.766c.0e97 Client State: S_CO_L3_AUTH_IN_PROGRESS -> S_CO_RUN

معلومات ذات صلة

• الدعم التقني والتنزيلات من Cisco