Lokale Webauthentifizierung mit externer Authentifizierung konfigurieren

Aktualisiert:20. April 2023
Dokument-ID:220405

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie die lokale Webauthentifizierung mit externer Authentifizierung auf einem 9800 WLC und der ISE konfigurieren.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Konfiguration der 9800 Wireless LAN Controller (WLC)
    • Lightweight Access Points (LAP)
    • Einrichten und Konfigurieren einer externen Webserver-Identity Services Engine (ISE).
    • Einrichten und Konfigurieren von DHCP- und DNS-Servern

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • 9800-L WLC Cisco IOS® XE, Version 17.9.3
    • Identity Services Engine (ISE), Version 2.6 Patch 10

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Webauthentifizierung

    Die Webauthentifizierung ist eine Sicherheitsfunktion auf Layer 3, die Gastbenutzern den Zugriff auf das Netzwerk ermöglicht.

    Diese Funktion bietet einfachen und sicheren Gastzugriff auf offene SSIDs, ohne dass ein Benutzerprofil konfiguriert werden muss. Sie kann auch mit Layer-2-Sicherheitsmethoden verwendet werden.

    Der Zweck der Webauthentifizierung besteht darin, nicht vertrauenswürdigen Geräten (Gästen) den Zugriff auf das Netzwerk mit eingeschränkten Netzwerkzugriffsberechtigungen über ein Gast-WLAN zu ermöglichen, das mit Sicherheitsmechanismen konfiguriert werden kann, und die Sicherheit des Netzwerks nicht zu beeinträchtigen. Damit Gastbenutzer auf das Netzwerk zugreifen können, müssen sie sich erfolgreich authentifizieren, d. h., sie müssen die richtigen Anmeldeinformationen angeben oder die Richtlinie für akzeptable Nutzung (AUP) akzeptieren, um Zugriff auf das Netzwerk zu erhalten.

    Die Web-Authentifizierung ist ein Vorteil für Unternehmen, da sie die Loyalität der Benutzer fördert, das Unternehmen zur Einhaltung der Vorschriften verpflichtet, einen Haftungsausschluss zu verwenden, den der Gastbenutzer akzeptieren muss, und dem Unternehmen ermöglicht, mit Besuchern in Kontakt zu treten.

    Bei der Bereitstellung der Webauthentifizierung muss berücksichtigt werden, wie das Gastportal und die Authentifizierung gehandhabt werden. Es gibt zwei gängige Methoden:

    • Lokale Webauthentifizierung (LWA): Eine Methode zur Umleitung von Gastbenutzern zu einem Portal direkt vom WLC. Die Umleitung und die Pre-WebAuth-ACL werden lokal auf dem WLC konfiguriert.
    • Zentrale Webauthentifizierung (CWA): Ein Verfahren zur Umleitung von Gastbenutzern, bei dem die Umleitungs-URL und die Umleitungs-ACL zentral auf einem externen Server (z. B. der ISE) konfiguriert und über RADIUS an den WLC übermittelt werden. Bei der zentralen Webauthentifizierung befinden sich die Umleitungs-URL und die Umleitungs-ACL zentral auf einem externen Server (z. B. RADIUS). Der RADIUS-Server ist derjenige, der die Authentifizierung übernimmt. Er sendet Anweisungen an den WLC. In CWA benötigt der WLC kein lokales Web-Authentifizierungszertifikat, sondern nur ein Zertifikat auf dem zentralen Webportal und einen zentralen Authentifizierungsserver wie die ISE. Um CWA genauer zu lesen, navigieren Sie zu Configure Central Web Authentication (CWA) on Catalyst 9800 WLC and ISE.

    Bei der lokalen Webauthentifizierung kann das Webportal auf dem WLC oder auf einem externen Server vorhanden sein. Im LWA mit External Authentication ist das Webportal auf dem WLC vorhanden. In LWA mit External Web Server befindet sich das Webportal auf einem externen Server (z. B. DNA Spaces). Ein Beispiel für LWA mit externem Webserver finden Sie unter: Konfigurieren von DNA Spaces Captive Portal mit Catalyst 9800 WLC.

    Darstellung der verschiedenen Web-Authentifizierungsmethoden:

    Diagram of the Different Web Authentication MethodsDiagramm der verschiedenen Web-Authentifizierungsmethoden

    Authentifizierungstypen

    Zur Authentifizierung des Gastbenutzers gibt es vier Authentifizierungstypen:

    • Webauth: Geben Sie Benutzername und Passwort ein.
    • Consent (Web-Passthrough) (Zustimmung): AUP akzeptieren.
    • Authbypass: Authentifizierung auf Basis der MAC-Adresse des Gastbenutzergeräts.
    • Webkonformität: Ein Mix aus Benutzername/Passwort und der Akzeptanz von AUP.

    Four Types of Authentication to Authenticate the Guest UserVier Authentifizierungstypen zur Authentifizierung des Gastbenutzers

    Datenbank für die Authentifizierung

    Die Anmeldeinformationen für die Authentifizierung können auf einem LDAP-Server, lokal auf dem WLC oder auf dem RADIUS-Server gespeichert werden.

    • Lokale Datenbank: Die Anmeldedaten (Benutzername und Passwort) werden lokal auf dem WLC gespeichert.
    • LDAP-Datenbank: Die Anmeldeinformationen werden in der LDAP-Back-End-Datenbank gespeichert. Der WLC fragt den LDAP-Server nach den Anmeldeinformationen eines bestimmten Benutzers in der Datenbank ab.
    • RADIUS-Datenbank: Die Anmeldeinformationen werden in der RADIUS-Back-End-Datenbank gespeichert. Der WLC fragt den RADIUS-Server nach den Anmeldeinformationen eines bestimmten Benutzers in der Datenbank ab.

    Lokale Webauthentifizierung

    Bei der lokalen Web-Authentifizierung wird der Gastbenutzer direkt vom WLC auf ein Web-Portal umgeleitet.

    Das Webportal kann sich im WLC oder auf einem anderen Server befinden. Lokal wird die Tatsache, dass sich die Umleitungs-URL und die ACL, die den Datenverkehr abgleicht, auf dem WLC befinden müssen (nicht der Standort des Webportals). Wenn ein Gastbenutzer in LWA eine Verbindung mit dem Gast-WLAN herstellt, fängt der WLC die Verbindung des Gastbenutzers ab und leitet sie zur Webportal-URL um, über die der Gastbenutzer sich authentifizieren soll. Wenn der Gastbenutzer Anmeldeinformationen (Benutzername und Kennwort) eingibt, erfasst der WLC die Anmeldeinformationen. Der WLC authentifiziert den Gastbenutzer über einen LDAP-Server, einen RADIUS-Server oder eine lokale Datenbank (die Datenbank ist lokal auf dem WLC vorhanden). Im Fall eines RADIUS-Servers (ein externer Server wie die ISE) kann er nicht nur zum Speichern von Anmeldeinformationen verwendet werden, sondern bietet auch Optionen für die Geräteregistrierung und die benutzerseitige Bereitstellung. Bei einem externen Webserver, wie z.B. DNA Spaces, ist dort das Webportal vorhanden. Im LWA befindet sich ein Zertifikat auf dem WLC und ein weiteres im Webportal.

    Das Bild stellt die generische LWA-Topologie dar:

    Generic Topology of LWAAllgemeine Topologie des LWA

    Geräte in der Netzwerktopologie von LWA:

    • Client: Sendet Anfragen an DHCP- und DNS-Server, fordert Zugriff auf das Gast-WLAN an und antwortet auf Anfragen vom WLC.
    • Access Point: Ist mit einem Switch verbunden, überträgt das Gast-WLAN und stellt eine Wireless-Verbindung zu Geräten von Gastbenutzern her. Außerdem werden DHCP- und DNS-Pakete zugelassen, bevor der Gastbenutzer authentifiziert wird (bevor gültige Anmeldeinformationen eingegeben werden).
    • WLC: Verwaltet die APs und Clients. Der WLC hostet die Umleitungs-URL und die ACL, die mit dem Datenverkehr übereinstimmt. Abfangen von HTTP-Anfragen von Gastbenutzern, Weiterleitung an ein Webportal (Anmeldeseite), in dem sich Gastbenutzer authentifizieren müssen Es erfasst die Anmeldeinformationen und authentifiziert die Gastbenutzer und sendet Zugriffsanfragen an einen externen Server, LDAP-Server oder eine lokale Datenbank, um die Gültigkeit der Anmeldeinformationen zu bestätigen.
    • Authentication Server (Authentifizierungsserver): Reagiert auf Zugriffsanforderungen vom WLC mit Annahme/Ablehnung des Zugriffs. Der Authentifizierungsserver überprüft die Anmeldeinformationen des Gastbenutzers und benachrichtigt den WLC, wenn die Anmeldeinformationen gültig oder ungültig sind. Wenn die Anmeldeinformationen gültig sind, wird der Gastbenutzer für den Zugriff auf das Netzwerk autorisiert (der Authentifizierungsserver bietet Optionen für die Geräteregistrierung und die benutzerseitige Bereitstellung). Wenn die Anmeldeinformationen ungültig sind, wird dem Gastbenutzer der Zugriff auf das Netzwerk verweigert.

    LWA-Fluss:

    • Der Gastbenutzer ist einem AP zugeordnet, der das Gast-WLAN überträgt.
    • Der Gastbenutzer durchläuft den DHCP-Prozess, um eine IP-Adresse zu erhalten.
    • Der Gastbenutzer möchte eine Prüfung der Internetverbindung zum Captive Portal durchführen. Wenn es sich um ein Apple-Gerät handelt, probiert es das Captive Portal von Apple aus. Wenn es sich um ein Android-Gerät handelt, probiert es das Captive Portal von Android aus. Wenn es sich um ein Windows-Gerät handelt, probiert es das Connect-Testportal von Windows aus.
    • Der Gastbenutzer sendet eine DNS-Abfrage, um nach der IP-Adresse des Captive Portals zu fragen. Der DNS-Server antwortet auf die Abfrage mit der entsprechenden IP-Adresse.
    • Der Gastbenutzer sendet eine HTTP GET-Nachricht an die IP-Adresse des Captive Portals.
    • Der WLC fängt diese Nachricht ab und antwortet dem Gastbenutzer mit HTTP 200 OK und der Umleitungs-URL.
    • Der Gastbenutzer sendet eine HTTPS-GET-Nachricht an die virtuelle WLC-IP, und der WLC antwortet mit dem Webportal.
    • Der Gastbenutzer wird aufgefordert, die Anmeldeinformationen für die Authentifizierung im Webportal einzugeben.
    • Das Webportal leitet den Benutzer mit den bereitgestellten Anmeldeinformationen zurück zum WLC (sofern ein externes Webportal verwendet wird).
    • Der WLC authentifiziert den Gastbenutzer über eine lokale Datenbank oder sendet eine Abfrage an den RADIUS- oder LDAP-Server, um zu bestätigen, ob die Anmeldeinformationen korrekt sind (wenn der Authentifizierungstyp "webagree" oder "webauth" ist).
    • Wenn die Anmeldeinformationen korrekt sind, authentifiziert der WLC den Gastbenutzer und wechselt in den RUN-Status. Wenn die Anmeldeinformationen falsch sind, löscht der WLC den Gastbenutzer.
    • Der WLC leitet den Client zurück auf die ursprüngliche URL, die in den Webbrowser eingegeben wurde.

    LWA FlowLWA-Fluss

    Lokale Webauthentifizierung mit externer Authentifizierung

    Generic Topology of LWA-EAAllgemeine Topologie von LWA-EA

    LWA-EA ist eine Methode des LWA, bei der sich das Webportal und die Umleitungs-URL auf dem WLC befinden und die Anmeldeinformationen auf einem externen Server wie der ISE gespeichert werden. Der WLC erfasst die Anmeldeinformationen und authentifiziert den Client über einen externen RADIUS-Server. Wenn ein Gastbenutzer Anmeldeinformationen eingibt, vergleicht der WLC die Anmeldeinformationen mit RADIUS, sendet eine RADIUS-Zugriffsanforderung und erhält vom RADIUS-Server eine RADIUS-Zugriffsgenehmigung bzw. -ablehnung. Wenn die Anmeldeinformationen korrekt sind, wechselt der Gastbenutzer in den Status "RUN". Wenn die Anmeldeinformationen falsch sind, wird der Gastbenutzer vom WLC gelöscht.

    LWA-EA FlowLWA-EA-Fluss

    Konfigurieren

    Netzwerkdiagramm

    Network DiagramNetzwerkdiagramm

    note-icon

    Hinweis: Dieses Konfigurationsbeispiel bezieht sich nur auf zentrales Switching/Authentifizierung. Die Flex Local Switching-Konfiguration stellt geringfügig andere Anforderungen für die Konfiguration der Webauthentifizierung.

    Konfiguration der lokalen Webauthentifizierung mit externer Authentifizierung über die CLI

    Configure AAA Server and Server Group

    9800WLC> enable
    9800WLC# configure terminal
    9800WLC(config)#radius server RADIUS
    9800WLC(config-radius-server)#address ipv4 
    
    
      auth-port 1812 acct-port 1813 
     
    9800WLC(config-radius-server)#key cisco 
     
    9800WLC(config-radius-server)#exit 
     
    9800WLC(config)#aaa group server radius RADIUSGROUP 
     
    9800WLC(config-sg-radius)#server name RADIUS 
     
    9800WLC(config-sg-radius)#end

    Configure Local Authentication and Authorization

    9800WLC> enable
    9800WLC# configure terminal
    9800WLC(config)#aaa new-model
    9800WLC(config)#aaa authentication login LWA_AUTHENTICATION group RADIUSGROUP
    9800WLC(config)#aaa authorization network LWA_AUTHORIZATION group RADIUSGROUP
    9800WLC(config)#end

    Configure Parameter Maps

    9800WLC> enable
    9800WLC# configure terminal
    9800WLC(config)# parameter-map type webauth global
    9800WLC(config-params-parameter-map)#virtual-ip ipv4 192.0.2.1
    9800WLC(config-params-parameter-map)#trustpoint 
    
     
     
    9800WLC(config-params-parameter-map)#webauth-http-enable 
     
    9800WLC(config-params-parameter-map)#end

    Configure WLAN Security Parameters

    9800WLC> enable
    9800WLC# configure terminal
    9800WLC(config)    #wlan LWA_EA 1 LWA_EA
    9800WLC(config-wlan)#no security wpa
    9800WLC(config-wlan)#no security wpa wpa2
    9800WLC(config-wlan)#no security wpa wpa2 ciphers aes
    9800WLC(config-wlan)#no security wpa akm dot1x 
    9800WLC(config-wlan)#security web-auth
    9800WLC(config-wlan)#security web-auth authentication-list LWA_AUTHENTICATION
    9800WLC(config-wlan)#security web-auth parameter-map global
    9800WLC(config-wlan)#no shutdown
    9800WLC(config-wlan)#end

    Create Wireless Policy Profile

    9800WLC> enable
    9800WLC# configure terminal
    9800WLC(config)#wireless profile policy POLICY_PROFILE
    9800WLC(config-wireless-policy)#vlan 
    
     
     
    9800WLC(config-wireless-policy)#no shutdown 
     
    9800WLC(config-wireless-policy)#end

    Create a Policy Tag

    9800WLC> enable
    9800WLC# configure terminal
    9800WLC(config)#wireless tag policy POLICY_TAG
    9800WLC(config-policy-tag)#wlan LWA_EA policy POLICY_PROFILE
    9800WLC(config-policy-tag)# end

    Assign a Policy Tag to an AP

    9800WLC> enable
    9800WLC# configure terminal
    9800WLC(config)#ap 
    
    
      > 
     
    9800WLC(config-ap-tag)#policy-tag POLICY_TAG 
     
    9800WLC(config-ap-tag)#end

    Wechseln Sie zum Abschnitt "ISE-Konfiguration", um die ISE-Konfiguration abzuschließen.

    Lokale Webauthentifizierung mit externer Authentifizierung auf der WebUI konfigurieren

    AAA-Konfiguration auf dem 9800 WLC

    Schritt 1: Fügen Sie den ISE-Server der 9800 WLC-Konfiguration hinzu.

    Navigieren Sie zu Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add (Konfiguration > Sicherheit > AAA > Server/Gruppen > RADIUS > Server > + Hinzufügen), und geben Sie die RADIUS-Serverinformationen wie im Bild dargestellt ein:

    AAA Configuration on 9800 WLCAAA-Konfiguration auf dem 9800 WLC

    Schritt 2: Fügen Sie die RADIUS-Servergruppe hinzu.

    Navigieren Sie zu Configuration > Security > AAA > Servers/Groups > RADIUS > Servers Group > + Add, und geben Sie die Informationen zur RADIUS-Servergruppe ein:

    Add the RADIUS Server GroupRADIUS-Servergruppe hinzufügen

    Schritt 3: Erstellen Sie eine Liste der Authentifizierungsmethoden.

    Navigieren Sie zu Configuration > Security > AAA > AAA Method List > Authentication > + Add:

    Create an Authentication Method ListListe der Authentifizierungsmethoden erstellen

    Schritt 4: Erstellen Sie eine Liste mit Autorisierungsmethoden.

    Navigieren Sie zu Configuration > Security > AAA > AAA Method List > Authorization > + Add:

    Create an Authorization Method ListErstellen Sie eine Liste mit Autorisierungsmethoden

    WebAuth-Konfiguration

    Erstellen oder bearbeiten Sie eine Parameterzuordnung. Wählen Sie den Typ als Webauthentifizierung aus, die virtuelle IPv4-Adresse muss eine Adresse sein, die im Netzwerk nicht verwendet wird, um IP-Adresskonflikte zu vermeiden, und fügen Sie einen Vertrauenspunkt hinzu.

    Navigieren Sie zu Configuration > Security > Web Auth > + Add, oder wählen Sie eine Parameterzuordnung aus:

    WebAuth ConfigurationWebAuth-Konfiguration

    WLAN-Konfiguration

    Schritt 1: WLAN erstellen.

    Navigieren Sie zu Configuration > Tags & Profiles > WLANs > + Add  (Konfiguration > Tags und Profile > WLANs > +Hinzufügen) und konfigurieren Sie das Netzwerk nach Bedarf.

    Create the WLANWLAN erstellen

    Schritt 2: Navigieren Sie zu Security > Layer2, und wählen Sie im Layer 2 Security Mode die Option None aus.

    Create the WLAN SecurityErstellen der WLAN-Sicherheit

    Schritt 3: Navigieren Sie zu Security > Layer3, und aktivieren Sie auf Web Policy (Webrichtlinie) das Kontrollkästchen, wählen Sie auf Web Auth Parameter Map (Webauthentifizierungsparameterzuordnung) den Parameternamen aus, und wählen Sie auf Authentifizierungsliste die zuvor erstellte Authentifizierungsliste aus.

    Create the WLAN Authentication ListErstellen der Liste für die WLAN-Authentifizierung

    Das WLAN wird in der WLAN-Liste angezeigt:

    Created WLANErstelltes WLAN

    Richtlinienprofilkonfiguration

    In einem Richtlinienprofil können Sie neben anderen Einstellungen das VLAN auswählen, dem die Clients zugewiesen sind.

    Sie können entweder Ihr Standardrichtlinienprofil verwenden oder ein neues erstellen.

    Schritt 1: Erstellen Sie ein neues Richtlinienprofil.

    Navigieren Sie zu Configuration > Tags & Profiles > Policy, und konfigurieren Sie Ihr Standard-Richtlinienprofil, oder erstellen Sie ein neues.

    Stellen Sie sicher, dass das Profil aktiviert ist.

    Create a New Policy ProfileNeues Richtlinienprofil erstellen

    Schritt 2: Wählen Sie das VLAN aus.

    Navigieren Sie zur Registerkarte Access Policies (Zugriffsrichtlinien) und wählen Sie den VLAN-Namen aus der Dropdown-Liste aus, oder geben Sie die VLAN-ID manuell ein.

    Select the VLANWählen Sie das VLAN aus

    Richtlinien-Tag-Konfiguration

    Sie verbinden Ihre SSID innerhalb des Richtlinien-Tags mit Ihrem Richtlinienprofil. Sie können entweder ein neues Richtlinien-Tag erstellen oder das Standard-Richtlinien-Tag verwenden.

    Navigieren Sie zu Configuration > Tags & Profiles > Tags > Policy (Konfiguration > Tags und Profile > Tags > Richtlinie) und fügen Sie bei Bedarf eine neue Richtlinie hinzu, wie in der Abbildung dargestellt.

    Wählen Sie + Hinzufügen, und verknüpfen Sie Ihr WLAN-Profil mit dem gewünschten Richtlinienprofil.

    Policy Tag ConfigurationRichtlinien-Tag-Konfiguration

    Richtlinien-Tag-Zuweisung

    Weisen Sie den erforderlichen APs das Richtlinien-Tag zu.

    Um das Tag einem AP zuzuweisen, navigieren Sie zu Configuration > Wireless > Access Points > AP Name > General Tags, (Konfiguration > Wireless > Access Points > AP-Name > Allgemeine Tags), nehmen Sie die erforderliche Zuweisung vor, und klicken Sie dann auf Update & Apply to Device (Aktualisieren und auf Gerät anwenden).

    Policy Tag AssignmentRichtlinien-Tag-Zuweisung

    ISE-Konfiguration

    Hinzufügen von 9800 WLC zu ISE

    Schritt 1: Navigieren Sie zu Administration > Network Resources > Network Devices (Administration > Netzwerkressourcen > Netzwerkgeräte), wie in der Abbildung dargestellt.

    Add 9800 WLC to ISEHinzufügen von 9800 WLC zu ISE

    Schritt 2: Klicken Sie auf +Hinzufügen.

    Add Network DevicesNetzwerkgeräte hinzufügen

    Optional können ein angegebener Modellname, eine Softwareversion und eine Beschreibung angegeben und Netzwerkgerätegruppen basierend auf Gerätetypen, Standort oder WLCs zugewiesen werden.

    Weitere Informationen zu Netzwerkgerätegruppen finden Sie im ISE-Administrationsleitfaden ISE - Network Device Groups.

    Schritt 3: Geben Sie die 9800 WLC-Einstellungen wie im Bild dargestellt ein. Geben Sie den gleichen RADIUS-Schlüssel ein, der bei der Servererstellung auf der WLC-Seite definiert wurde. Klicken Sie dann auf Senden.

    9800 WLC SettingsEinstellungen des 9800 WLC

    Schritt 4: Navigieren Sie zu Administration > Network Resources > Network Devices (Verwaltung > Netzwerkressourcen > Netzwerkgeräte), um die Liste der Netzwerkgeräte anzuzeigen.

    Network Devices ListListe der Netzwerkgeräte

    Neuen Benutzer auf ISE erstellen

    Schritt 1: Navigieren Sie zu Administration > Identity Management > Identities > Users > Add. Geben Sie den Benutzernamen und das Kennwort für den Gastbenutzer ein, und klicken Sie auf Submit (Senden).

    Create New User on ISENeuen Benutzer auf ISE erstellen

    Schritt 2: Navigieren Sie zu Administration > Identity Management > Identities > Users, um die Benutzerliste anzuzeigen.

    Network Access Users ListListe der Netzwerkzugriffsbenutzer

    Erstellen des Autorisierungsprofils

    Das Richtlinienprofil ist das Ergebnis, das einem Client basierend auf seinen Parametern (wie MAC-Adresse, Anmeldeinformationen, verwendetes WLAN usw.) zugewiesen wird. Es kann bestimmte Einstellungen wie Virtual Local Area Network (VLAN), Access Control Lists (ACLs), URL-Umleitungen (Uniform Resource Locator) usw. zuweisen. 

    Diese Schritte zeigen, wie das für die Umleitung des Clients an das Authentifizierungsportal erforderliche Autorisierungsprofil erstellt wird. Beachten Sie, dass in aktuellen Versionen der ISE bereits ein Autorisierungsergebnis von Cisco_Webauth vorhanden ist. Hier können Sie es bearbeiten und den Namen der Umleitungs-ACL so ändern, dass er mit der Konfiguration im WLC übereinstimmt.

    Schritt 1: Navigieren Sie zu Policy > Policy Elements > Results > Authorization > Authorization Profiles (Richtlinie > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile). Klicken Sie auf Hinzufügen, um das Autorisierungsprofil LWA_EA_AUTHORIZATION zu erstellen. Bei den Attributdetails muss es sich um Access Type=ACCESS_ACCEPT handeln. Klicken Sie auf Senden.

    Create Authorization ProfileErstellen des Autorisierungsprofils

    Schritt 2: Navigieren Sie zu Richtlinie > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile, um die Autorisierungsprofile anzuzeigen.

    Authorization Profiles ListListe der Autorisierungsprofile

    Konfiguration der Authentifizierungsregel

    Schritt 1: Navigieren Sie zu Policy > Policy Sets (Richtlinie > Richtliniensätze). Wählen Sie Add aus, und geben Sie den Namen des Richtliniensatzes LWA_EA_POLICY ein. Klicken Sie auf die Spalte Bedingungen, um das Fenster zu öffnen.

    Configure Authentication RuleKonfiguration der Authentifizierungsregel

    Schritt 2: Wählen Sie im Wörterbuch die Option Netzwerkzugriff aus.

    Dicionary Network AccessWörterbuch-Netzwerkzugriff

    Schritt 3: Wählen Sie für Attribut die Option Benutzername aus.

    Attribute UsernameAttributbenutzername

    Schritt 4: Legen Sie Equals fest, und geben Sie guest in das Textfeld ein (der unter Administration > Identity Management > Identities > Users definierte Benutzername).

    Username GuestBenutzername Gast

    Schritt 5: Klicken Sie auf Save (Speichern), um die Änderungen zu speichern.

    Schritt 6: Navigieren Sie zu Policy > Policy Sets (Richtlinie > Richtliniensätze). Wählen Sie im von Ihnen erstellten Richtliniensatz in der Spalte Zugelassene Protokolle/Serversequenz die Option Standard-Netzwerkzugriff aus.

    Policy SetsPolicy Sets

    Schritt 7. Klicken Sie auf Save (Speichern), um die Änderungen zu speichern.

    Konfiguration der Authentifizierungsregeln

    Die Autorisierungsregel bestimmt, welche Berechtigungen (welches Autorisierungsprofil) auf den Client angewendet werden.

    Schritt 1: Navigieren Sie zu Policy > Policy Sets (Richtlinie > Richtliniensätze). Klicken Sie auf den Pfeil des erstellten Richtliniensatzes.

    Policy Set ArrowPfeil für Richtliniensatz

    Schritt 2: Erweitern Sie auf derselben Seite mit dem Richtliniensatz die Option Autorisierungsrichtlinie, wie im Bild dargestellt. Löschen Sie in der Spalte Profile DenyAccess, und fügen Sie LWA_EA_AUTHORIZATION hinzu.

    Authorization PolicyAutorisierungsrichtlinie

    Schritt 3: Klicken Sie auf Save (Speichern), um die Änderungen zu speichern.

    Change Authorization PolicyAutorisierungsrichtlinie ändern

    Gastclient verbinden

    Schritt 1: Navigieren Sie auf Ihrem Computer/Telefon zu den Wi-Fi-Netzwerken, suchen Sie die SSID LWA_EA, und wählen Sie Verbinden.

    Connect Guest ClientGastclient verbinden

    Schritt 2: Ein Browserfenster mit der Anmeldeseite wird angezeigt. Die Umleitungs-URL befindet sich im URL-Feld, und Sie müssen den Benutzernamen und das Kennwort eingeben, um Zugriff auf das Netzwerk zu erhalten. Wählen Sie dann Senden.

    Login Page with Redirect URLAnmeldeseite mit Umleitungs-URL

    Hinweis: Die angegebene URL wurde vom WLC bereitgestellt. Sie enthält die virtuelle WLC-IP und die Umleitung für die Windows-Verbindungstest-URL.

    Schritt 3: Navigieren Sie zu Operations > RADIUS > Live Logs. Sie können sehen, dass das Client-Gerät authentifiziert wurde.

    Radius Live LogsRadius Live-Protokolle

    Überprüfung

    Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    Show WLAN Summary

    9800WLC#show wlan summary

    Number of WLANs: 3
    ID Profile Name SSID Status Security 
    -------------------------------------------------
    1 WLAN1 WLAN1 DOWN [WPA2][802.1x][AES] 
    2 WLAN2 WLAN2 UP [WPA2][PSK][AES],MAC Filtering 
    34 LWA_EA LWA_EA UP [open],[Web Auth]

    9800WLC#show wlan name LWA_EA

    WLAN Profile Name : LWA_EA
    ================================================
    Identifier : 34
    Description : 
    Network Name (SSID) : LWA_EA
    Status : Enabled
    Broadcast SSID : Enabled
    Advertise-Apname : Disabled
    Universal AP Admin : Disabled
    (...)
    Accounting list name : 
    802.1x authentication list name : Disabled
    802.1x authorization list name : Disabled
    Security
    802.11 Authentication : Open System
    Static WEP Keys : Disabled
    Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
    OWE Transition Mode : Disabled
    OSEN : Disabled
    FT Support : Adaptive
    FT Reassociation Timeout (secs) : 20
    FT Over-The-DS mode : Disabled
    PMF Support : Disabled
    PMF Association Comeback Timeout (secs): 1
    PMF SA Query Time (msecs) : 200
    Web Based Authentication : Enabled
    IPv4 ACL : Unconfigured
    IPv6 ACL : Unconfigured
    Conditional Web Redirect : Disabled
    Splash-Page Web Redirect : Disabled
    Webauth On-mac-filter Failure : Disabled
    Webauth Authentication List Name : LWA_AUTHENTICATION
    Webauth Authorization List Name : Disabled
    Webauth Parameter Map : global
    Band Select : Disabled
    Load Balancing : Disabled
    (...)

    Show Parameter Map Configuration

    9800WLC#show running-config | section parameter-map type webauth global

    parameter-map type webauth global
    type webauth
    virtual-ip ipv4 192.0.2.1
    trustpoint 9800-17-3-3_WLC_TP
    webauth-http-enable

    Show AAA Information

    9800WLC#show aaa method-lists authentication

    authen queue=AAA_ML_AUTHEN_LOGIN
    name=default valid=TRUE id=0 :state=ALIVE : LOCAL 
    name=LWA_AUTHENTICATION valid=TRUE id=E0000007 :state=ALIVE : SERVER_GROUP RADIUSGROUP
    authen queue=AAA_ML_AUTHEN_ENABLE
    authen queue=AAA_ML_AUTHEN_PPP
    authen queue=AAA_ML_AUTHEN_SGBP
    (...)

    9800WLC#show aaa method-lists authorization

    author queue=AAA_ML_AUTHOR_SHELL
    name=default valid=TRUE id=0 :state=ALIVE : LOCAL 
    author queue=AAA_ML_AUTHOR_NET
    name=default valid=TRUE id=0 :state=ALIVE : LOCAL 
    name=rq-authoAAA valid=TRUE id=83000009 :state=ALIVE : SERVER_GROUP RADIUSGROUP
    name=LWA_AUTHORIZATION valid=TRUE id=DB00000A :state=ALIVE : SERVER_GROUP RADIUSGROUP
    author queue=AAA_ML_AUTHOR_CONN
    author queue=AAA_ML_AUTHOR_IPMOBILE
    author queue=AAA_ML_AUTHOR_RM
    (...)

    9800WLC#show aaa servers

    RADIUS: id 3, priority 1, host 10.48.39.247, 
    auth-port 1812, acct-port 1813, hostname RADIUS
    State: current UP, duration 171753s, previous duration 0s
    Dead: total time 0s, count 0
    Platform State from SMD: current UP, duration 171753s, previous duration 0s
    SMD Platform Dead: total time 0s, count 0
    Platform State from WNCD (1) : current UP
    (...)

    Fehlerbehebung

    Häufige Probleme

    Nachfolgend finden Sie eine Reihe von Anleitungen zur Behebung von Web-Authentifizierungsproblemen, wie z. B.:

    • Benutzer können sich nicht authentifizieren.
    • Zertifikatprobleme.
    • Die Umleitungs-URL funktioniert nicht.
    • Gastbenutzer können keine Verbindung zum Gast-WLAN herstellen.
    • Benutzer erhalten keine IP-Adresse.
    • Die Umleitung zur Seite "Web Authentication Log in Page" ist fehlgeschlagen.
    • Nach erfolgreicher Authentifizierung erhalten Gastbenutzer keinen Zugriff auf das Internet.

    In diesen Handbüchern werden die einzelnen Schritte zur Fehlerbehebung ausführlich beschrieben:

    Bedingtes Debuggen und Radio Active Trace und eingebettete Paketerfassung

    Sie können bedingtes Debuggen aktivieren und die Radio Active (RA)-Ablaufverfolgung erfassen, die Ablaufverfolgungen auf Debugebene für alle Prozesse bereitstellt, die mit der angegebenen Bedingung interagieren (in diesem Fall Client-MAC-Adresse). Um das bedingte Debuggen zu aktivieren, verwenden Sie die Schritte im Handbuch, Conditional Debug und RadioActive trace.

    Sie können auch Embedded Packet Capture (EPC) sammeln. EPC ist eine Paketerfassungseinrichtung, die einen Überblick über Pakete ermöglicht, die an die Catalyst 9800 WLCs gerichtet sind, von diesen stammen und diese durchlaufen, nämlich DHCP-, DNS- und HTTP GET-Pakete in LWA. Diese Aufzeichnungen können zur Offline-Analyse mit Wireshark exportiert werden. Weitere Informationen hierzu finden Sie unter Embedded Packet Capture.

    Beispiel eines erfolgreichen Versuchs

    Dies ist die Ausgabe von RA_traces für einen erfolgreichen Versuch, jede der Phasen beim Zuordnungs-/Authentifizierungsprozess in Verbindung mit einer Gast-SSID mit dem RADIUS-Server zu identifizieren.

    802.11-Zuordnung/Authentifizierung:

    [client-orch-sm] [17062]: (Hinweis): MAC: 0c0e.766c.0e97 Zuordnung erhalten. BSSID cc70.edcf.552f, WLAN LWA_EA, Steckplatz 1 AP cc70.edcf.5520, DO_NOT_MOVE.Static_AP1
    [client-orch-sm] [17062]: (debug): MAC: 0c0e.766c.0e97 Erhaltene Dot11-Zuordnungsanfrage. Verarbeitung gestartet, SSID: LWA_EA, Richtlinienprofil: POLICY_PROFILE, AP-Name: DO_NOT_MOVE.Static_AP1, AP MAC-Adresse: cc70.edcf.5520BSSID MAC000.000.0000wlan ID: 1RSSI: -49, SNR: 46
    [client-orch-state] [17062]: (Hinweis): MAC: 0c0e.766c.0e97 Client-Zustandsübergang: S_CO_INIT -> S_CO_ASSOCIATING
    [dot11-validate] [17062]: (info): MAC: 0c0e.766c.0e97 Dot11 ie Validierung der ext/supp-Raten. Validierung für unterstützte Raten durchlaufen radio_type 2
    [dot11-validate] [17062]: (info): MAC: 0c0e.766c.0e97 WiFi direct: Dot11 validate P2P IE. P2P IE nicht vorhanden.
    [dot11] [17062]: (debug): MAC: 0c0e.766c.0e97 dot11 Antwort der Zuordnung senden. Framing-Zuordnungsantwort mit resp_status_code: 0
    [dot11] [17062]: (debug): MAC: 0c0e.766c.0e97 Dot11 Capability Info Byte1 1, Byte2: 11
    [dot11-frame] [17062]: (info): MAC: 0c0e.766c.0e97 WiFi direct: Build überspringen Assoc Resp with P2P IE: Wifi direct policy disabled
    [dot11] [17062]: (info): MAC: 0c0e.766c.0e97 dot11 Antwort der Zuordnung senden. ASSOC-Antwort der Länge: 130 mit resp_status_code: 0, DOT11_STATUS: DOT11_STATUS_SUCCESS wird gesendet
    [dot11] [17062]: (Hinweis): MAC: 0c0e.766c.0e97 Zuordnungserfolg. AID 1, Roaming = Falsch, WGB = Falsch, 11r = Falsch, 11w = Falsch Schnelles Roaming = Falsch
    [dot11] [17062]: (info): MAC: 0c0e.766c.0e97 DOT11 Statusübergang: S_DOT11_INIT -> S_DOT11_ASSOCIATED
    [client-orch-sm] [17062]: (debug): MAC: 0c0e.766c.0e97 Station Dot11-Zuordnung erfolgreich.

    IP-Lernprozess:

    [client-orch-state] [17062]: (Hinweis): MAC: 0c0e.766c.0e97 Client-Statusübergang: S_CO_DPATH_PLUMB_IN_PROGRESS -> S_CO_IP_LEARN_IN_PROGRESS
    [client-iplearn] [17062]: (info): MAC: 0c0e.766c.0e97 Zustandsübergang IP-Learn: S_IPLEARN_INIT -> S_IPLEARN_IN_PROGRESS
    [client-auth] [17062]: (info): MAC: 0c0e.766c.0e97 Zustandsübergang der Client-Auth-Schnittstelle: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_L2_WEBAUTH_DONE
    [client-iplearn] [17062]: (Hinweis): MAC: 0c0e.766c.0e97 Client-IP-Schulung erfolgreich. Methode: DHCP-IP: 10.48.39.243
    [client-iplearn] [17062]: (info): MAC: 0c0e.766c.0e97 Zustandsübergang IP-Learn: S_IPLEARN_IN_PROGRESS -> S_IPLEARN_COMPLETE
    [client-orch-sm] [17062]: (debug): MAC: 0c0e.766c.0e97 Empfangene IP-Lernantwort. Methode: IPLEARN_METHOD_DHCP

    Layer-3-Authentifizierung:

    [client-orch-sm] [17062]: (debug): MAC: 0c0e.766c.0e97 Ausgelöste L3-Authentifizierung. status = 0x0, Success
    [client-orch-state] [17062]: (Hinweis): MAC: 0c0e.766c.0e97 Client-Statusübergang: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_L3_AUTH_IN_PROGRESS
    [client-auth] [17062]: (Hinweis): MAC: 0c0e.766c.0e97 L3-Authentifizierung initiiert. LWA
    [client-auth] [17062]: (info): MAC: 0c0e.766c.0e97 Zustandsübergang der Client-Auth-Schnittstelle: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING

    [webauth-httpd] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]GET rcvd when in LOGIN state (Anmeldestatus)
    [webauth-httpd] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]HTTP GET-Anforderung
    [webauth-httpd] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]GET analysieren, src [10.48.39.243] dst [10.107.2 21.82] url [http://firefox portal erkennen/]
    [webauth-httpd] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Read complete: parse_request return 8
    [webauth-io] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56538/219 E/A-Zustand LESEN -> SCHREIBEN
    [webauth-io] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56538/219 E/A-Zustand SCHREIBEN -> LESEN
    [webauth-io] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 E/A-Zustand NEU -> LESEN
    [webauth-io] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 Ereignis lesen, Nachricht bereit
    [webauth-httpd] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]POST rcvd when in LOGIN state

    Layer-3-Authentifizierung erfolgreich. Verschieben Sie den Client in den RUN-Status:

    [auth-mgr] [17062]: (info): [0c0e.766c.0e97:capwap_90000004] Gast-Benutzername für Client 0c0e.766c.0e97 empfangen
    [auth-mgr] [17062]: (info): [0c0e.766c.0e97:capwap_90000004] auth mgr attr add/change notification is received for attr auth-domain(954)
    [auth-mgr] [17062]: (info): [0c0e.766c.0e97:capwap_90000004] Methode webauth change state from 'Running' to 'Authc Success'
    [auth-mgr] [17062]: (info): [0c0e.766c.0e97:capwap_90000004] Kontext ändert Status von 'Wird ausgeführt' in 'Erfolg authentifizieren'
    [auth-mgr] [17062]: (info): [0c0e.766c.0e97:capwap_90000004] auth mgr attr add/change notification is received for attr method(757)
    [auth-mgr] [17062]: (info): [0c0e.766c.0e97:capwap_90000004] Ausgelöstes Ereignis AUTHZ_SUCCESS (11)
    [auth-mgr] [17062]: (info): [0c0e.766c.0e97:capwap_90000004] Kontext wechselt den Status von 'Authc Success' zu 'Authz Success'
    [webauth-acl] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Anwenden der IPv4-Abmelde-ACL über SVM, Name: IP-Adm-V4-LOGOUT-ACL, Priorität: 51, IIF-ID 0:
    [webauth-sess] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Verwendete Param-Map: global
    [webauth-state] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Verwendete Param-Map: global
    [webauth-state] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Status AUTHC_SUCCESS -> AUTHZ
    [webauth-page] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Senden der Website-Erfolgsseite
    [webauth-io] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 E/A-Zustand AUTHENTIFIZIEREN -> SCHREIBEN
    [webauth-io] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 E/A-Zustand SCHREIBEN -> ENDE
    [webauth-httpd] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 Entfernen Sie IO ctx und schließen Sie den Sockel, ID [99000029]
    [client-auth] [17062]: (Hinweis): MAC: 0c0e.766c.0e97 L3-Authentifizierung erfolgreich. ACL:[]
    [client-auth] [17062]: (info): MAC: 0c0e.766c.0e97 Zustandsübergang der Client-Auth-Schnittstelle: S_AUTHIF_WEBAUTH_PENDING -> S_AUTHIF_WEBAUTH_DONE
    [webauth-httpd] [17062]: (info): capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56538/219 Entfernen Sie IO ctx und schließen Sie den Sockel, ID [D7000028]
    [errmsg] [17062]: (info): %CLIENT_ORCH_LOG-6-CLIENT_ADDED_TO_RUN_STATE: R0/0: wncd: Benutzernamen-Eintrag (guest) verbunden mit ssid (LWA_EA) für Gerät mit MAC: 0c0e.766c.0e97
    [aaa-attr-inf] [17062]: (info): [ Applied attribute :bsn-vlan-interface-name 0 "VLAN0039" ]
    [aaa-attr-inf] [17062]: (info): [ Applied attribute : timeout 0 1800 (0x708) ]
    [aaa-attr-inf] [17062]: (info): [ Applied attribute : url-redirect-acl 0 "IP-Adm-V4-LOGOUT-ACL" ]
    [ewlc-qos-client] [17062]: (info): MAC: 0c0e.766c.0e97 Client QoS-Ausführungsstatushandler
    [rog-proxy-capwap] [17062]: (debug): Benachrichtigung über den Status des verwalteten Client-RUN: 0c0e.766c.0e97
    [client-orch-state] [17062]: (Hinweis): MAC: 0c0e.766c.0e97 Client-Statusübergang: S_CO_L3_AUTH_IN_PROGRESS -> S_CO_RUN

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    20-Apr-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Marta Coelho
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.