Configurer l'authentification Web locale avec l'authentification externe

Introduction

Ce document décrit comment configurer l'authentification Web locale avec l'authentification externe sur un WLC 9800 et ISE.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Configuration des contrôleurs LAN sans fil (WLC) du 9800
• Points d'accès légers (LAP)
• Comment configurer et configurer un serveur Web externe Identity Services Engine (ISE).
• Comment configurer et configurer les serveurs DHCP et DNS.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• WLC 9800-L Cisco IOS® XE, version 17.9.3
• Identity Services Engine (ISE), version 2.6, correctif 10

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Authentification Web

L'authentification Web est une fonctionnalité de sécurité de couche 3 qui permet aux utilisateurs invités d'accéder au réseau.

Cette fonctionnalité est conçue pour fournir un accès invité facile et sécurisé aux SSID ouverts, sans avoir besoin de configurer un profil utilisateur, et elle peut également fonctionner avec des méthodes de sécurité de couche 2.

L'objectif de l'authentification Web est de permettre à des périphériques non approuvés (invités) d'accéder au réseau avec des privilèges d'accès au réseau limités, via un WLAN invité qui peut être configuré avec des mécanismes de sécurité, et la sécurité du réseau n'est pas compromise. Pour que les utilisateurs invités aient accès au réseau, ils doivent s'authentifier correctement, c'est-à-dire fournir les informations d'identification correctes ou accepter la stratégie d'utilisation acceptable (AUP) pour accéder au réseau.

L'authentification Web est un avantage pour les entreprises, car elle favorise la fidélité des utilisateurs, rend l'entreprise conforme à l'utilisation d'une clause de non-responsabilité que l'utilisateur invité doit accepter et permet à l'entreprise de communiquer avec les visiteurs.

Pour déployer l'authentification Web, il faut tenir compte de la manière dont le portail invité et l'authentification sont gérés. Il existe deux méthodes courantes :

• Authentification Web locale (LWA) : méthode de redirection d'utilisateurs invités vers un portail directement à partir du WLC. La redirection et la liste de contrôle d'accès pré-WebAuth sont configurées localement sur le WLC.
• Authentification Web centralisée (CWA) : méthode de redirection d'utilisateurs invités dans laquelle l'URL de redirection et la liste de contrôle d'accès de redirection sont configurées de manière centralisée sur un serveur externe (par exemple ISE) et communiquées au WLC via RADIUS. Dans l'authentification Web centrale, l'URL de redirection et la liste de contrôle d'accès de redirection sont situées de manière centrale sur un serveur externe (tel que RADIUS). Le serveur RADIUS est celui qui gère l'authentification, il envoie des instructions au WLC. Dans CWA, le WLC ne nécessite pas de certificat d'authentification Web local, un seul certificat est nécessaire sur le portail Web central et nécessite un serveur d'authentification central, tel qu'ISE. Pour lire CWA plus en détail, accédez à Configurer l'authentification Web centrale (CWA) sur Catalyst 9800 WLC et ISE.

Dans l'authentification Web locale, le portail Web peut être présent sur le WLC ou sur un serveur externe. Dans LWA avec authentification externe, le portail Web est présent sur le WLC. Dans LWA avec un serveur Web externe, le portail Web est présent sur un serveur externe (comme les espaces DNA). Un exemple de LWA avec un serveur Web externe est décrit en détail à : Configure DNA Spaces Captive Portal with Catalyst 9800 WLC.

Schéma des différentes méthodes d'authentification Web :

Schéma des différentes méthodes d'authentification Web

Types d'authentification

Il existe quatre types d'authentification pour authentifier l'utilisateur invité :

• Webauth : saisissez le nom d'utilisateur et le mot de passe.
• Consent (Web-passthrough) : Accepter AUP.
• Authbypass : authentification basée sur l'adresse MAC du périphérique utilisateur invité.
• Webconsent : mélange entre le nom d'utilisateur/mot de passe et l'acceptation de AUP.

Quatre types d'authentification pour authentifier l'utilisateur invité

Base de données pour authentification

Les informations d'identification pour l'authentification peuvent être stockées sur un serveur LDAP, localement sur le WLC ou sur le serveur RADIUS.

• Base de données locale : les informations d'identification (nom d'utilisateur et mot de passe) sont stockées localement sur le WLC.
• Base de données LDAP : les informations d'identification sont stockées dans la base de données principale LDAP. Le WLC interroge le serveur LDAP pour les informations d'identification d'un utilisateur particulier dans la base de données.
• Base de données RADIUS : les informations d'identification sont stockées dans la base de données principale RADIUS. Le WLC interroge le serveur RADIUS pour les informations d'identification d'un utilisateur particulier dans la base de données.

Authentification Web locale

Dans l'authentification Web locale, l'utilisateur invité est redirigé vers un portail Web directement à partir du WLC.

Le portail Web peut se trouver dans le WLC ou dans un autre serveur. Ce qui rend local est le fait que l'URL de redirection et l'ACL qui correspond au trafic doivent être sur le WLC (et non l'emplacement du portail Web). Dans LWA, lorsqu'un utilisateur invité se connecte au WLAN invité, le WLC intercepte la connexion de l'utilisateur invité et les redirige vers l'URL du portail Web, où l'utilisateur invité est invité à s'authentifier. Lorsque l'utilisateur invité entre des informations d'identification (nom d'utilisateur et mot de passe), le WLC capture les informations d'identification. Le WLC authentifie l'utilisateur invité avec un serveur LDAP, un serveur RADIUS ou une base de données locale (base de données présente localement sur le WLC). Dans le cas d'un serveur RADIUS (un serveur externe tel qu'ISE), il peut être utilisé non seulement pour stocker des informations d'identification, mais également pour fournir des options d'enregistrement de périphérique et d'auto-approvisionnement. Dans le cas d'un serveur Web externe, tel que DNA Spaces, le portail Web est présent. Dans LWA, il y a un certificat sur le WLC et un autre sur le portail web.

L'image représente la topologie générique de LWA :

Topologie générique de LWA

Périphériques de la topologie réseau de LWA :

• Client : envoie des requêtes au serveur DHCP et DNS, demande l'accès au WLAN invité et répond aux requêtes du WLC.
• Point d'accès : connecté à un commutateur, diffuse le WLAN invité et fournit une connexion sans fil aux périphériques des utilisateurs invités. Il autorise également les paquets DHCP et DNS avant l'authentification de l'utilisateur invité (avant d'entrer des informations d'identification valides).
• WLC : gère les points d'accès et les clients. Le WLC héberge l'URL de redirection et la liste de contrôle d'accès qui correspond au trafic. Intercepte les requêtes HTTP des utilisateurs invités, les redirige vers un portail Web (page de connexion) où les utilisateurs invités doivent s'authentifier. Il capture les informations d'identification et authentifie les utilisateurs invités, et envoie des demandes d'accès à un serveur externe, un serveur LDAP ou une base de données locale pour confirmer la validité des informations d'identification.
• Authentication server : répond aux demandes d'accès du WLC avec acceptation/rejet d'accès. Le serveur d'authentification valide les informations d'identification de l'utilisateur invité et avertit le WLC si les informations d'identification sont valides ou non valides. Si les informations d'identification sont valides, l'utilisateur invité est autorisé à accéder au réseau (le serveur d'authentification fournit des options pour l'enregistrement des périphériques et l'auto-approvisionnement). Si les informations d'identification ne sont pas valides, l'accès au réseau est refusé à l'utilisateur invité.

Flux LWA :

• L'utilisateur invité s'associe à un point d'accès qui diffuse le WLAN invité.
• L'utilisateur invité passe par le processus DHCP afin d'obtenir une adresse IP.
• L'utilisateur invité souhaite effectuer une vérification de la connectivité Internet au portail captif. S'il s'agit d'un appareil Apple, il tente le portail captif Apple ; s'il s'agit d'un appareil Android, il tente le portail captif Android ; s'il s'agit d'un appareil Windows, il tente le portail de test de connexion Windows.
• L'utilisateur invité envoie une requête DNS pour demander l'adresse IP du portail captif. Le serveur DNS répond à la requête avec l’adresse IP correspondante.
• L'utilisateur invité envoie un message HTTP GET à l'adresse IP du portail captif.
• Le WLC intercepte ce message et répond à l'utilisateur invité avec HTTP 200 OK et l'URL de redirection.
• L'utilisateur invité envoie un message GET HTTPS à l'IP virtuelle du WLC et le WLC répond avec le portail Web.
• L'utilisateur invité est invité à saisir les informations d'authentification sur le portail Web.
• Le portail Web redirige l'utilisateur vers le WLC avec les informations d'identification fournies (si un portail Web externe est utilisé).
• Le WLC authentifie l'utilisateur invité via une base de données locale, ou il envoie une requête au serveur RADIUS ou LDAP, pour confirmer si les informations d'identification sont correctes (si le type d'authentification est webconsentement ou webauth).
• Si les informations d'identification sont correctes, le WLC authentifie l'utilisateur invité et passe à l'état d'exécution. Si les informations d'identification sont incorrectes, le WLC supprime l'utilisateur invité.
• Le WLC redirige le client vers l'URL d'origine qui a été entrée dans le navigateur Web.

Flux LWA

Authentification Web locale avec authentification externe

Topologie générique de LWA-EA

LWA-EA est une méthode de LWA où le portail Web et l'URL de redirection sont situés sur le WLC et les informations d'identification sont stockées sur un serveur externe, tel qu'ISE. Le WLC capture les informations d'identification et authentifie le client via un serveur RADIUS externe. Lorsque l'utilisateur invité entre des informations d'identification, le WLC vérifie les informations d'identification par rapport à RADIUS, il envoie une demande d'accès RADIUS et reçoit un message d'acceptation/de refus d'accès RADIUS du serveur RADIUS. Ensuite, si les informations d'identification sont correctes, l'utilisateur invité passe à l'état EXÉCUTÉ. Si les informations d'identification sont incorrectes, l'utilisateur invité est supprimé par le WLC.

Flux LWA-EA

Configurer

Diagramme du réseau

Diagramme du réseau

Configurer l'authentification Web locale avec l'authentification externe sur l'interface CLI

Configure AAA Server and Server Group

9800WLC> enable
9800WLC# configure terminal
9800WLC(config)#radius server RADIUS
9800WLC(config-radius-server)#address ipv4 
    
    
      auth-port 1812 acct-port 1813 
     
9800WLC(config-radius-server)#key cisco 
     
9800WLC(config-radius-server)#exit 
     
9800WLC(config)#aaa group server radius RADIUSGROUP 
     
9800WLC(config-sg-radius)#server name RADIUS 
     
9800WLC(config-sg-radius)#end 
    

Configure Local Authentication and Authorization

9800WLC> enable
9800WLC# configure terminal
9800WLC(config)#aaa new-model
9800WLC(config)#aaa authentication login LWA_AUTHENTICATION group RADIUSGROUP
9800WLC(config)#aaa authorization network LWA_AUTHORIZATION group RADIUSGROUP
9800WLC(config)#end

Configure Parameter Maps

9800WLC> enable
9800WLC# configure terminal
9800WLC(config)# parameter-map type webauth global
9800WLC(config-params-parameter-map)#virtual-ip ipv4 192.0.2.1
9800WLC(config-params-parameter-map)#trustpoint 
    
     
     
9800WLC(config-params-parameter-map)#webauth-http-enable 
     
9800WLC(config-params-parameter-map)#end 
    

Configure WLAN Security Parameters

9800WLC> enable
9800WLC# configure terminal
9800WLC(config)#wlan LWA_EA 1 LWA_EA
9800WLC(config-wlan)#no security wpa
9800WLC(config-wlan)#no security wpa wpa2
9800WLC(config-wlan)#no security wpa wpa2 ciphers aes
9800WLC(config-wlan)#no security wpa akm dot1x 
9800WLC(config-wlan)#security web-auth
9800WLC(config-wlan)#security web-auth authentication-list LWA_AUTHENTICATION
9800WLC(config-wlan)#security web-auth parameter-map global
9800WLC(config-wlan)#no shutdown
9800WLC(config-wlan)#end

Create Wireless Policy Profile

9800WLC> enable
9800WLC# configure terminal
9800WLC(config)#wireless profile policy POLICY_PROFILE
9800WLC(config-wireless-policy)#vlan 
    
     
     
9800WLC(config-wireless-policy)#no shutdown 
     
9800WLC(config-wireless-policy)#end 
    

Create a Policy Tag

9800WLC> enable
9800WLC# configure terminal
9800WLC(config)#wireless tag policy POLICY_TAG
9800WLC(config-policy-tag)#wlan LWA_EA policy POLICY_PROFILE
9800WLC(config-policy-tag)# end

Assign a Policy Tag to an AP

9800WLC> enable
9800WLC# configure terminal
9800WLC(config)#ap 
    
    
      > 
     
9800WLC(config-ap-tag)#policy-tag POLICY_TAG 
     
9800WLC(config-ap-tag)#end 
    

Pour terminer la configuration côté ISE, accédez à la section Configuration ISE.

Configurer l'authentification Web locale avec l'authentification externe sur l'interface utilisateur Web

Configuration AAA sur un contrôleur WLC 9800

Étape 1. Ajoutez le serveur ISE à la configuration du WLC 9800.

Accédez à Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > + Add et entrez les informations du serveur RADIUS comme indiqué dans l'image :

Configuration AAA sur un contrôleur WLC 9800

Étape 2. Ajoutez le groupe de serveurs RADIUS.

Accédez à Configuration > Security > AAA > Servers/Groups > RADIUS > Servers Group > + Add et entrez les informations du groupe de serveurs RADIUS :

Ajouter le groupe de serveurs RADIUS

Étape 3. Créez une liste de méthodes d'authentification.

Accédez à Configuration > Security > AAA > AAA Method List > Authentication > + Add:

Créer une liste de méthodes d'authentification

Étape 4. Créez une liste de méthodes d’autorisation.

Accédez à Configuration > Security > AAA > AAA Method List > Authorization > + Add:

Créez une liste de méthodes d’autorisation

Configuration de WebAuth

Créez ou modifiez une correspondance de paramètres. Sélectionnez le type webauth, l'adresse IPv4 virtuelle doit être une adresse non utilisée sur le réseau pour éviter les conflits d'adresses IP, et ajoutez un point de confiance.

Accédez à Configuration > Security > Web Auth > + Add ou sélectionnez une carte de paramètre :

Configuration de WebAuth

Configuration d’un réseau local sans fil (WLAN)

Étape 1. Créez le WLAN.

Allez à Configuration > Tags & Profiles > WLANs > +Add (configuration > balises et profils > WLAN > +ajouter) et configurez le réseau selon vos besoins.

Créez le WLAN.

Étape 2. Naviguez jusqu'à Security > Layer2 et sur Layer 2 Security Mode sélectionnez None.

Création de la sécurité WLAN

Étape 3. Naviguez jusqu'à Security > Layer3 et sur Web Policy cochez la case, sur Web Auth Parameter Map sélectionnez le nom du paramètre, et sur Authentication List sélectionnez la liste d'authentification créée précédemment.

Créer la liste d'authentification WLAN

Le WLAN est affiché dans la liste WLAN :

WLAN créé

Configuration du profil des politiques

Dans un profil de stratégie, vous pouvez sélectionner le VLAN qui attribue les clients, entre autres paramètres.

Vous pouvez soit utiliser votre profil de politique par défaut, soit en créer un nouveau.

Étape 1. Créez un nouveau profil de politique.

Accédez à Configuration > Tags & Profiles > Policy et configurez votre profil de stratégie par défaut ou créez-en un nouveau.

Assurez-vous que le profil est activé.

Créer un nouveau profil de stratégie

Étape 2. Sélectionner le réseau VLAN.

Rendez-vous à l’onglet Access Policies (politiques d’accès) et sélectionnez le nom du réseau VLAN dans la liste déroulante ou entrez manuellement son ID.

Sélectionner le réseau VLAN

Configuration des balises des politiques

Vous pouvez associer votre SSID à votre profil de politiques dans la balise de politiques. Vous pouvez soit créer une nouvelle balise de politiques, soit utiliser la balise de politique par défaut.

Allez à Configuration > Tags & Profiles > Tags > Policy (configuration > balises et profils > balises > politiques) et ajoutez-en une nouvelle si nécessaire, comme illustré dans l’image.

Sélectionnez + Add et liez votre profil WLAN au profil de stratégie souhaité.

Configuration des balises des politiques

Affectation des balises des politiques

Affectez la balise de politiques aux points d’accès nécessaires.

Pour attribuer la balise à un point d’accès, allez à Configuration > Wireless > Access Points > AP Name > General Tags (configuration > sans fil > points d’accès > nom des points d’accès > balises générales), effectuez l’affectation nécessaire, puis cliquez sur Update & Apply to Device (mettre à jour et appliquer à l’appareil).

Affectation des balises des politiques

Configuration ISE

Ajouter un contrôleur WLC 9800 à ISE

Étape 1. Allez à Administration > Network Resources > Network Devices (gestion > ressources réseau > appareils réseau) comme indiqué sur l’image.

Ajouter un contrôleur WLC 9800 à ISE

Étape 2. Cliquez sur + Ajouter.

Ajouter des périphériques réseau

Il peut s’agir d’un nom de modèle, d’une version logicielle, d’une description et d’une affectation de groupes d’appareils réseau en fonction des types d’appareils, de l’emplacement ou des contrôleurs WLC.

Pour plus d'informations sur les groupes de périphériques réseau, consultez le guide d'administration d'ISE ISE - Groupes de périphériques réseau.

Étape 3. Saisissez les paramètres WLC du 9800 comme indiqué dans l'image. Entrez la même clé RADIUS définie lors de la création du serveur côté WLC. Cliquez ensuite sur Envoyer.

Paramètres WLC du 9800

Étape 4. Accédez à Administration > Network Resources > Network Devices, vous pouvez voir la liste des périphériques réseau.

Liste des périphériques réseau

Créer un nouvel utilisateur sur ISE

Étape 1. Accédez à Administration > Identity Management > Identities > Users > Add. Saisissez le nom d'utilisateur et le mot de passe de l'utilisateur invité, puis cliquez sur Submit.

Créer un nouvel utilisateur sur ISE

Étape 2. Accédez à Administration > Identity Management > Identities > Users, vous pouvez voir la liste des utilisateurs.

Liste des utilisateurs d'accès réseau

Créer un profil d’autorisation

Le profil de politiques est le résultat attribué à un client selon ses paramètres (comme son adresse MAC, ses informations d’authentification, le réseau WLAN utilisé, etc.). Il est possible de lui affecter des paramètres précis comme un réseau local virtuel (VLAN), des listes de contrôle d’accès (ACL), des redirections d’URL (Uniform Resource Locator), etc. 

Ces étapes montrent comment créer le profil d’autorisation nécessaire pour rediriger le client vers le portail d’authentification. Notez que dans les versions récentes d’ISE, un résultat d’autorisation Cisco_Webauth existe déjà. Ici, vous pouvez le modifier pour modifier le nom de la liste de contrôle d’accès de redirection afin qu’il corresponde à ce que vous avez configuré sur le contrôleur WLC.

Étape 1. Allez à Policy > Policy Elements > Results > Authorization > Authorization Profiles (politique > éléments de politique > résultats > autorisation > profils d’autorisation). Cliquez sur add afin de créer le profil d'autorisation LWA_EA_AUTHORIZATION. Les détails des attributs doivent être Access Type=ACCESS_ACCEPT. Cliquez sur Submit.

Créer un profil d’autorisation

Étape 2. Naviguez jusqu'à Policy > Policy Elements > Results > Authorization > Authorization Profiles, vous pouvez voir les profils d'autorisation.

Liste des profils d'autorisation

Configurer une règle d’authentification

Étape 1. Rendez-vous à Policy > Policy Sets (Politique > Ensembles de politiques). Sélectionnez Ajouter et tapez le nom du jeu de stratégies LWA_EA_POLICY. Cliquez sur la colonne Conditions, et cette fenêtre apparaît.

Configurer une règle d’authentification

Étape 2. Dans Dictionnaire, sélectionnez Accès réseau.

Accès réseau dictionnaire

Étape 3. Dans Attribut, sélectionnez Nom d'utilisateur.

Attribut Nom utilisateur

Étape 4. Définissez Equals et tapez guest dans la zone de texte (le nom d'utilisateur défini dans Administration > Identity Management > Identities > Users).

Nom d'utilisateur Invité

Étape 5. Cliquez sur Save (enregistrer) pour enregistrer vos modifications.

Étape 6. Rendez-vous à Policy > Policy Sets (Politique > Ensembles de politiques). Dans l'ensemble de stratégies que vous avez créé, dans la colonne Protocoles autorisés/Séquence de serveur, sélectionnez Accès réseau par défaut.

Ensembles de stratégies

Étape 7. Cliquez sur Save (enregistrer) pour enregistrer vos modifications.

Configurer les règles d’autorisation

La règle d’autorisation est celle qui détermine quelles autorisations (quel profil d’autorisation) s’appliquent au client.

Étape 1. Rendez-vous à Policy > Policy Sets (Politique > Ensembles de politiques). Cliquez sur l'icône en forme de flèche du jeu de stratégies que vous avez créé.

Flèche Jeu de stratégies

Étape 2. Sur la même page Policy set, développez Authorization Policy comme indiqué dans l'image. Dans la colonne Profiles, supprimez DenyAccess et ajoutez LWA_EA_AUTHORIZATION.

Politique d'autorisation

Étape 3. Cliquez sur Save (enregistrer) pour enregistrer vos modifications.

Modifier la stratégie d'autorisation

Connecter le client invité

Étape 1. Sur votre ordinateur/téléphone, accédez aux réseaux Wi-Fi, recherchez le SSID LWA_EA et sélectionnez Connect.

Connecter le client invité

Étape 2. Une fenêtre de navigateur s'affiche avec la page de connexion. L'URL de redirection se trouve dans la zone URL, et vous devez taper le nom d'utilisateur et le mot de passe pour accéder au réseau. Sélectionnez ensuite Envoyer.

Page de connexion avec URL de redirection

Remarque : l'URL présentée a été fournie par le WLC. Il contient l'IP virtuelle du WLC et la redirection pour l'URL de test de connexion Windows.

Étape 3. Accédez à Operations > RADIUS > Live Logs. Le périphérique client est authentifié.

Journaux Radius Live

Vérifier

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Show WLAN Summary

9800WLC#show wlan summary

Number of WLANs: 3
ID Profile Name SSID Status Security 
-------------------------------------------------
1 WLAN1 WLAN1 DOWN [WPA2][802.1x][AES] 
2 WLAN2 WLAN2 UP [WPA2][PSK][AES],MAC Filtering 
34 LWA_EA LWA_EA UP [open],[Web Auth]

9800WLC#show wlan name LWA_EA

WLAN Profile Name : LWA_EA
================================================
Identifier : 34
Description : 
Network Name (SSID) : LWA_EA
Status : Enabled
Broadcast SSID : Enabled
Advertise-Apname : Disabled
Universal AP Admin : Disabled
(...)
Accounting list name : 
802.1x authentication list name : Disabled
802.1x authorization list name : Disabled
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
OWE Transition Mode : Disabled
OSEN : Disabled
FT Support : Adaptive
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Disabled
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
Web Based Authentication : Enabled
IPv4 ACL : Unconfigured
IPv6 ACL : Unconfigured
Conditional Web Redirect : Disabled
Splash-Page Web Redirect : Disabled
Webauth On-mac-filter Failure : Disabled
Webauth Authentication List Name : LWA_AUTHENTICATION
Webauth Authorization List Name : Disabled
Webauth Parameter Map : global
Band Select : Disabled
Load Balancing : Disabled
(...)

Show Parameter Map Configuration

9800WLC#show running-config | section parameter-map type webauth global

parameter-map type webauth global
type webauth
virtual-ip ipv4 192.0.2.1
trustpoint 9800-17-3-3_WLC_TP
webauth-http-enable

Show AAA Information

9800WLC#show aaa method-lists authentication

authen queue=AAA_ML_AUTHEN_LOGIN
name=default valid=TRUE id=0 :state=ALIVE : LOCAL 
name=LWA_AUTHENTICATION valid=TRUE id=E0000007 :state=ALIVE : SERVER_GROUP RADIUSGROUP
authen queue=AAA_ML_AUTHEN_ENABLE
authen queue=AAA_ML_AUTHEN_PPP
authen queue=AAA_ML_AUTHEN_SGBP
(...)

9800WLC#show aaa method-lists authorization

author queue=AAA_ML_AUTHOR_SHELL
name=default valid=TRUE id=0 :state=ALIVE : LOCAL 
author queue=AAA_ML_AUTHOR_NET
name=default valid=TRUE id=0 :state=ALIVE : LOCAL 
name=rq-authoAAA valid=TRUE id=83000009 :state=ALIVE : SERVER_GROUP RADIUSGROUP
name=LWA_AUTHORIZATION valid=TRUE id=DB00000A :state=ALIVE : SERVER_GROUP RADIUSGROUP
author queue=AAA_ML_AUTHOR_CONN
author queue=AAA_ML_AUTHOR_IPMOBILE
author queue=AAA_ML_AUTHOR_RM
(...)

9800WLC#show aaa servers

RADIUS: id 3, priority 1, host 10.48.39.247, 
auth-port 1812, acct-port 1813, hostname RADIUS
State: current UP, duration 171753s, previous duration 0s
Dead: total time 0s, count 0
Platform State from SMD: current UP, duration 171753s, previous duration 0s
SMD Platform Dead: total time 0s, count 0
Platform State from WNCD (1) : current UP
(...)

Dépannage

Problèmes courants

Voici plusieurs guides sur la façon de résoudre les problèmes d'authentification Web, tels que :

• Les utilisateurs ne peuvent pas authentifier.
• Problèmes de certificat.
• L'URL de redirection ne fonctionne pas.
• Les utilisateurs invités ne peuvent pas se connecter au WLAN invité.
• Les utilisateurs n'obtiennent pas d'adresse IP.
• La redirection vers la page de connexion d'authentification Web échoue.
• Une fois l'authentification réussie, les utilisateurs invités ne parviennent pas à accéder à Internet.

Ces guides décrivent en détail les étapes de dépannage :

• Dépannage des problèmes courants d'authentification Web
• Autres situations à dépanner

Débogage conditionnel et suivi actif radio et capture de paquets intégrée

Vous pouvez activer le débogage conditionnel et capturer la trace Radio Active (RA), qui fournit des traces de niveau de débogage pour tous les processus qui interagissent avec la condition spécifiée (l'adresse MAC du client dans ce cas). Afin d'activer le débogage conditionnel, utilisez les étapes dans le guide, Débogage conditionnel et RadioActive trace.

Vous pouvez également collecter des données EPC (Embedded Packet capture). EPC est une fonction de capture de paquets qui permet de visualiser les paquets destinés aux WLC Catalyst 9800, provenant de ceux-ci et transitant par ceux-ci, à savoir les paquets DHCP, DNS et HTTP GET dans LWA. Ces captures peuvent être exportées pour une analyse hors ligne avec Wireshark. Pour des étapes détaillées sur la façon de faire ceci, référez-vous à Capture de paquets incorporée.

Exemple d'une tentative réussie

Il s'agit de la sortie de RA_traces pour une tentative réussie d'identifier chacune des phases lors du processus d'association/authentification, tout en étant connecté à un SSID invité avec un serveur RADIUS.

Association/authentification 802.11 :

[client-orch-sm] [17062] : (remarque) : MAC : 0c0e.766c.0e97 Association reçue. BSSID cc70.edcf.552f, WLAN LWA_EA, point d'accès du logement 1 cc70.edcf.5520, DO_NOT_MOVE.Static_AP1
[client-orch-sm] [17062] : (debug) : MAC : 0c0e.766c.0e97 Requête d'association Dot11 reçue. Traitement démarré, SSID : LWA_EA, Profil de stratégie : POLICY_PROFILE, Nom du point d'accès : DO_NOT_MOVE.Static_AP1, Adresse MAC du point d'accès : cc70.edcf.5520BSSID MAC0000.0000.0000ID de réseau local sans fil : 1RSSI : -49, NUJ : 46
[client-orch-state] [17062] : (remarque) : MAC : 0c0e.766c.0e97 Transition d'état du client : S_CO_INIT -> S_CO_ASSOCIATING
[dot11-validate] [17062] : (info) : MAC : 0c0e.766c.0e97 Dot11 ie validate ext/supp rates. Validation réussie pour les taux pris en charge radio_type 2
[dot11-validate] [17062] : (info) : MAC : 0c0e.766c.0e97 WiFi direct : Dot11 validate P2P IE. IE P2P absent.
[dot11] [17062] : (debug) : MAC : 0c0e.766c.0e97 dot11 send association response. Réponse d'association de tramage avec resp_status_code : 0
[dot11] [17062] : (debug) : MAC : 0c0e.766c.0e97 Dot11 Informations de capacité octet1 1, octet2 : 11
[dot11-frame] [17062] : (info) : MAC : 0c0e.766c.0e97 WiFi direct : skip build Assoc Resp with P2P IE : Wifi direct policy disabled
[dot11] [17062] : (info) : MAC : 0c0e.766c.0e97 dot11 send association response. Envoi d'une réponse d'assoc de longueur : 130 avec resp_status_code : 0, DOT11_STATUS : DOT11_STATUS_SUCCESS
[dot11] [17062] : (remarque) : MAC : 0c0e.766c.0e97 Association réussie. AID 1, Itinérance = Faux, WGB = Faux, 11r = Faux, 11w = Faux Itinérance rapide = Faux
[dot11] [17062] : (info) : MAC : 0c0e.766c.0e97 Transition d'état DOT11 : S_DOT11_INIT -> S_DOT11_ASSOCIATED
[client-orch-sm] [17062] : (debug) : MAC : 0c0e.766c.0e97 L'association de la station Dot11 a réussi.

Processus d'apprentissage IP :

[client-orch-state] [17062] : (remarque) : MAC : 0c0e.766c.0e97 Transition d'état du client : S_CO_DPATH_PLUMB_IN_PROGRESS -> S_CO_IP_LEARN_IN_PROGRESS
[client-apprentissage] [17062] : (info) : MAC : 0c0e.766c.0e97 Transition d'état IP-apprentissage : S_IPLEARN_INIT -> S_IPLEARN_IN_PROGRESS
[client-auth] [17062] : (info) : MAC : 0c0e.766c.0e97 Transition d'état de l'interface d'authentification du client : S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_L2_WEBAUTH_DONE
[client-ip earn] [17062] : (remarque) : MAC : 0c0e.766c.0e97 Apprentissage de l'adresse IP du client réussi. Méthode : DHCP IP : 10.48.39.243
[client-apprentissage] [17062] : (info) : MAC : 0c0e.766c.0e97 Transition d'état IP-apprentissage : S_IPLEARN_IN_PROGRESS -> S_IPLEARN_COMPLETE
[client-orch-sm] [17062] : (debug) : MAC : 0c0e.766c.0e97 Réception de la réponse d'apprentissage IP. méthode : IPLEARN_METHOD_DHCP

Authentification de couche 3 :

[client-orch-sm] [17062] : (debug) : MAC : 0c0e.766c.0e97 Authentification C3 déclenchée. état = 0x0, Réussite
[client-orch-state] [17062] : (remarque) : MAC : 0c0e.766c.0e97 Transition d'état du client : S_CO_IP_LEARN_IN_PROGRESS -> S_CO_L3_AUTH_IN_PROGRESS
[client-auth] [17062] : (remarque) : MAC : 0c0e.766c.0e97 L3 Authentification initiée. LOI
[auth-client] [17062] : (info) : MAC : 0c0e.766c.0e97 Transition d'état de l'interface d'authentification du client : S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING

[webauth-httpd] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]GET rcvd en état LOGIN
[webauth-httpd] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Requête HTTP GET
[webauth-httpd] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Parse GET, src [10.48.39.243] dst [10.107.221.82] url [http://firefox detect portal/]
[webauth-httpd] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Lecture terminée : parse_request return 8
[webauth-io] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56538/219 LECTURE DE L'ÉTAT DES E/S -> ÉCRITURE
[webauth-io] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56538/219 ÉTAT DES E/S ÉCRITURE -> LECTURE
[webauth-io] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 État des E/S NOUVEAU -> LECTURE
[webauth-io] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 Lire l'événement, Message prêt
[webauth-httpd] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]POST rcvd en état LOGIN

Authentification de couche 3 réussie, déplacez le client à l'état d'exécution :

[auth-mgr] [17062] : (info) : [0c0e.766c.0e97 : capwap_90000004] Nom d'utilisateur invité reçu pour le client 0c0e.766c.0e97
[auth-mgr] [17062] : (info) : [0c0e.766c.0e97 : capwap_90000004] une notification d'ajout/de modification d'attributs auth mgr est reçue pour attr auth-domain(954)
[auth-mgr] [17062] : (info) : [0c0e.766c.0e97 : capwap_90000004] L'état de la méthode webauth passe de 'En cours d'exécution' à 'Authentification réussie'
[auth-mgr] [17062] : (info) : [0c0e.766c.0e97 : capwap_90000004] Modification de l'état du contexte de 'En cours d'exécution' à 'Authentification réussie'
[auth-mgr] [17062] : (info) : [0c0e.766c.0e97 : capwap_90000004] une notification d'ajout/de modification d'attributs auth mgr est reçue pour la méthode attr(757)
[auth-mgr] [17062] : (info) : [0c0e.766c.0e97:capwap_90000004] Événement déclenché AUTHZ_SUCCESS (11)
[auth-mgr] [17062] : (info) : [0c0e.766c.0e97 : capwap_90000004] Modification de l'état du contexte de 'Authc Success' à 'Authz Success'
[webauth-acl] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Application de la liste de contrôle d'accès de déconnexion IPv4 via SVM, nom : IP-Adm-V4-LOGOUT-ACL, priorité : 51, IIF-ID : 0
[webauth-sess] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Param-map utilisé : global
[webauth-state] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Param-map utilisé : global
[webauth-state] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]State AUTHC_SUCCESS -> AUTHZ
[webauth-page] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Page de réussite de l'envoi de Webauth
[webauth-io] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 AUTHENTIFICATION DE L'ÉTAT DES E/S -> ÉCRITURE
[webauth-io] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 ÉTAT DES E/S ÉCRITURE -> FIN
[webauth-httpd] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56539/218 Supprimez l'E/S ctx et fermez le socket, id [99000029]
[client-auth] [17062] : (remarque) : MAC : Authentification L3 0c0e.766c.0e97 réussie. ACL :[]
[client-auth] [17062] : (info) : MAC : 0c0e.766c.0e97 Transition d'état de l'interface d'authentification du client : S_AUTHIF_WEBAUTH_PENDING -> S_AUTHIF_WEBAUTH_DONE
[webauth-httpd] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56538/219 Supprimer l'E/S ctx et fermer le socket, id [D7000028]
[errmsg] [17062] : (info) : %CLIENT_ORCH_LOG-6-CLIENT_ADDED_TO_RUN_STATE : R0/0 : wncd : entrée de nom d'utilisateur (invité) jointe à ssid (LWA_EA) pour le périphérique avec MAC : 0c0e.766c.0e97
[aaa-attr-inf] [17062] : (info) : [ Attribut appliqué : bsn-vlan-interface-name 0 "VLAN0039" ]
[aaa-attr-inf] [17062] : (info) : [ Attribut appliqué : timeout 0 1800 (0x708) ]
[aaa-attr-inf] [17062] : (info) : [ Attribut appliqué : url-redirect-acl 0 "IP-Adm-V4-LOGOUT-ACL" ]
[ewlc-qos-client] [17062] : (info) : MAC : 0c0e.766c.0e97 Gestionnaire d'état d'exécution QoS du client
[rog-proxy-capwap] [17062] : (debug) : notification d'état d'exécution du client géré : 0c0e.766c.0e97
[client-orch-state] [17062] : (remarque) : MAC : 0c0e.766c.0e97 Transition d'état du client : S_CO_L3_AUTH_IN_PROGRESS -> S_CO_RUN

Informations connexes

• Assistance technique et téléchargements Cisco