L'autenticazione guest di Active Directory (AD) consente a un client di configurare un'infrastruttura di portale vincolata per l'utilizzo del servizio directory di Windows interno per l'autenticazione. Captive Portal è una funzionalità che consente a un amministratore di bloccare i client che si connettono alla rete WAP (Wireless Access Point) finché non viene loro concesso l'accesso alla rete. I client vengono indirizzati a una pagina Web per l'autenticazione e le condizioni di accesso prima di potersi connettere alla rete. La verifica di Captive Portal è sia per i guest che per gli utenti autenticati della rete. Questa funzionalità utilizza il browser Web e lo trasforma in un dispositivo di autenticazione.
Le istanze di Captive Portal sono un insieme definito di configurazioni utilizzate per autenticare i client sulla rete WAP. È possibile configurare le istanze in modo che rispondano agli utenti in modi diversi quando tentano di accedere ai punti di accesso virtuali associati. I portali vincolati vengono spesso utilizzati presso gli hotspot Wi-Fi per garantire che gli utenti accettino i termini e le condizioni e forniscano credenziali di sicurezza prima di ottenere l'accesso a Internet.
Per il supporto dell'autenticazione AD, WAP dovrà comunicare con uno o tre controller di dominio di Windows per fornire l'autenticazione. Può supportare più domini per l'autenticazione scegliendo controller di dominio da domini AD diversi.
L'obiettivo di questo documento è mostrare come configurare l'autenticazione guest di Active Directory su WAP125 o WAP581.
Passaggio 1. Accedere all'utility di configurazione Web di WAP immettendo il nome utente e la password. Il nome utente e la password predefiniti sono cisco/cisco. Se sono stati configurati un nuovo nome utente o password, immettere queste credenziali. Fare clic su Login.
NOTA: In questo articolo viene utilizzato il protocollo WAP125 per dimostrare la configurazione dell'autenticazione guest di Active Directory. Le opzioni del menu possono variare leggermente a seconda del modello del dispositivo.
Passaggio 2. Scegliere Controllo accesso > Accesso guest.
Passaggio 3. Nella tabella Istanza di accesso guest, è possibile aggiungere una nuova istanza di accesso guest o modificarne una esistente. La funzionalità Accesso guest del punto di accesso WAP125 o WAP581 fornisce connettività wireless ai client wireless temporanei entro la portata del dispositivo. Il punto di accesso trasmette due SSID (Service Set Identifier) diversi: uno per la rete principale e l'altro per la rete guest. Gli ospiti vengono quindi reindirizzati a un Portale vincolato in cui è necessario immettere le credenziali. In questo modo la rete principale è al sicuro e gli utenti possono accedere a Internet.
Le impostazioni del Captive Portal vengono configurate nella tabella delle istanze di accesso guest dell'utility basata sul Web del punto di accesso globale (WAP). La funzione Guest Access è particolarmente utile nelle hall di hotel e uffici, nei ristoranti e nei centri commerciali.
In questo esempio, viene aggiunta una nuova istanza di Guest Access facendo clic sull'icona più.
Passaggio 4. Assegnare un nome all'istanza di Accesso guest. In questo esempio viene denominata AD_authentication.
Passaggio 5. Scegliere il metodo di autenticazione come servizio Active Directory.
Passaggio 6. Dopo aver scelto Servizio Active Directory come metodo di autenticazione, il protocollo passa da HTTP (Hyper Text Transfer Protocol) a HTTPS (Hyper Text Transfer Protocol Secure).
NOTA: È molto importante che un client configuri la pagina del portale vincolato in modo che utilizzi HTTPS e non HTTP, in quanto il primo è più sicuro. Se un client sceglie HTTP, può inavvertitamente esporre nomi utente e password trasmettendoli in testo non crittografato. È consigliabile utilizzare una pagina del portale captive HTTPS.
Passaggio 7. Configurare l'indirizzo IP del server AD facendo clic sull'icona con l'occhio blu accanto al servizio Active Directory nella colonna Metodo di autenticazione.
Passaggio 8. Viene visualizzata una nuova finestra. Immettere l'indirizzo IP del server AD. Nell'esempio, l'indirizzo IP dell'host utilizzato è 172.16.1.35. Come passaggio facoltativo, è possibile fare clic su Test per verificarne la validità.
Passaggio 9. (Facoltativo) Dopo aver fatto clic su Test nel passaggio precedente, viene visualizzata un'altra finestra popup in cui è possibile immettere il nome utente e la password dell'utente in Active Directory e fare clic su Begin test.
Se è valido, supererà il test e verrà visualizzata la schermata seguente. Ciò conferma che è possibile connettersi al controller di dominio e autenticarsi.
NOTA: È possibile aggiungere fino a 3 server AD.
Passaggio 10. Salvare le modifiche.
Passaggio 11. Andare al Menu e scegliere Wireless > Reti
Passaggio 12. Scegliere la rete e specificare che AD verrà scelto come istanza di accesso guest per l'autenticazione. Fare clic su Salva.
Passaggio 13. Per connettersi alla rete wireless guest utilizzando l'autenticazione AD, selezionare l'opzione wireless nel computer personale (PC), selezionare la rete configurata per l'autenticazione AD e fare clic su Connetti.
Passaggio 14. Dopo la connessione, viene visualizzata una finestra del browser Web con l'avviso del certificato di sicurezza standard. Fai clic su Vai alla pagina Web.
NOTA: È possibile che la schermata venga visualizzata in modo diverso a seconda del browser in uso.
Passaggio 15. Viene visualizzata la pagina Portale vincolato. Selezionare la casella Criteri di utilizzo accettazione per accettare il criterio e immettere il Nome utente e la Password dell'utente in Active Directory. Fare clic su Connetti per connettersi alla rete.
NOTA: Se sono presenti più domini, il nome utente includerà il nome di dominio omeutente. Nell'esempio, questo valore è ciscotest\test1.
Passaggio 16. L'utente è stato autenticato e dispone di accesso a Internet.
A questo punto è necessario configurare correttamente l'autenticazione guest di Active Directory su WAP125 o WAP581 e verificarne la funzionalità.