Introduzione
In questo documento viene descritto come configurare l'autenticazione Web per l'utilizzo di una configurazione proxy.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Configurazione di base del controller LAN wireless
- Sicurezza autenticazione Web
Componenti usati
Per questo documento, è stato usato un Cisco Wireless LAN Controller versione 7.0 e successive.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
Gli amministratori di rete che dispongono di un server proxy sulla rete inviano il traffico Web prima al server proxy, che quindi inoltra il traffico a Internet. Le connessioni tra il client e il server proxy possono utilizzare per la comunicazione una porta TCP diversa dalla porta 80. Questa porta è in genere la porta TCP 3128 o 8080. Per impostazione predefinita, l'autenticazione Web è in ascolto solo sulla porta 80. Pertanto, quando un HTTP GET esce dal computer, viene inviato alla porta proxy ma viene eliminato dal controller.
In questa sezione viene descritto come configurare l'autenticazione Web per l'utilizzo di una configurazione proxy:
- Configurare il Cisco Wireless LAN Controller (WLC) per eseguire l'ascolto sulla porta proxy.
- Configurare il file di configurazione automatica del proxy (PAC) in modo che restituisca direttamente l'indirizzo IP virtuale.
- Creare un ACL (Access Control List) di preautenticazione per consentire al client di scaricare il file PAC prima dell'autenticazione Web.
Come soluzione rapida, è possibile configurare manualmente il browser Web in modo che restituisca 192.0.2.1.
I dettagli relativi a ciascuno di questi processi sono riportati nelle sottosezioni seguenti.
Configurare il WLC
In questa procedura viene descritto come modificare la porta di ascolto del controller sulla porta su cui è in ascolto il server proxy.
- Passare alla pagina Controller > Generale.
- Nel campo Porta di reindirizzamento proxy WebAuth, immettere la porta su cui si desidera che il WLC sia in ascolto per il reindirizzamento del client.
- Selezionare Disabilitato o Abilitato dall'elenco a discesa Modalità di reindirizzamento proxy WebAuth:
- Se si sceglie Disabilitato, ai client viene visualizzata la normale pagina di autenticazione Web per il passthrough o l'autenticazione. Pertanto, se si utilizza un proxy, è necessario configurare tutti i browser client in modo che non utilizzino il proxy per 192.0.2.1 (o un altro indirizzo IP virtuale utilizzato dal WLC). Vedere Configurazione del browser.
- Se si sceglie Enabled, il WLC rimane in ascolto sulle porte 80, 8080 e 3128 per impostazione predefinita, quindi non è necessario immettere tali porte nel campo di testo WebAuth Proxy Redirection Port. Se un client invia un comando HTTP GET su queste porte, verrà visualizzata una schermata in cui viene richiesto di modificare le impostazioni del proxy su automatico.
- Salvare la configurazione.
- Riavviare il controller.
In sintesi, immettere un numero di porta in Porta di reindirizzamento proxy WebAuth per definire la porta su cui il WLC è in ascolto. Quando la modalità di reindirizzamento è attivata, reindirizza il client alla schermata di impostazione del proxy e prevede di eseguire il push dinamico di un file WPAD (Web Proxy Auto-Discovery) o PAC per la configurazione automatica del proxy. Quando è disattivato, il client viene reindirizzato alla normale pagina di autenticazione Web.
Configurazione del file PAC
Affinché l'autenticazione Web possa autenticare correttamente gli utenti, è necessario che l'indirizzo IP virtuale del WLC venga restituito 'direct'. Diretto indica che il server proxy non invia la richiesta tramite proxy e che il client dispone delle autorizzazioni necessarie per accedere direttamente all'indirizzo IP. Questa impostazione viene in genere configurata sul server proxy nel file WPAD o PAC dall'amministratore del server proxy. Questa è una configurazione di esempio per un file PAC:
function FindProxyForURL(url, host) {
// our local URLs from the domains below example.com don't need a proxy:
if (shExpMatch(host, "*.example.com"))
if (shExpMatch(host, "192.0.2.1")) <-- (Line states return 1.1.1 directly)
{
return "DIRECT";
}
// URLs within this network are accessed through
// port 8080 on fastproxy.example.com:
if (isInNet(host, "10.0.0.0", "255.255.248.0"))
{
return "PROXY fastproxy.example.com:8080";
}
// All other requests go through port 8080 of proxy.example.com.
// should that fail to respond, go directly to the WWW:
return "PROXY proxy.example.com:8080; DIRECT";
Crea ACL di preautenticazione
Inserire un ACL di preautenticazione nell'SSID (Web Authentication Service Set Identifier) in modo che i client wireless possano scaricare il file PAC prima di accedere ad Autenticazione Web. L'ACL di preautenticazione deve consentire l'accesso solo alla porta su cui si trova il file PAC. L'accesso alla porta proxy consente ai client di raggiungere Internet senza autenticazione Web.
- Per creare un ACL sul controller, selezionare Security > Access Control List (Protezione > Lista di controllo di accesso).
- Creare regole per consentire al traffico sulla porta di download della PAC di raggiungere il proxy in entrambe le direzioni.
Nota:non consentire la porta HTTP proxy.
- Nella configurazione WLAN del controller, non dimenticare di scegliere l'ACL appena creato come ACL di preautenticazione.
Correzione rapida: Configura browser
In questa procedura viene descritto come configurare manualmente un'eccezione in modo che un browser Web client raggiunga direttamente 192.0.2.1.
- In Internet Explorer, selezionare Strumenti > Opzioni Internet.
- Fare clic sulla scheda Connessioni, quindi sul pulsante Impostazioni LAN.
- Nell'area Server proxy selezionare la casella di controllo Utilizza un server proxy per la rete LAN e immettere l'indirizzo (IP) e la porta su cui il server è in ascolto.
- Fare clic su Advanced (Avanzate) e immettere l'indirizzo IP virtuale del WLC nell'area Exceptions (Eccezioni).
Verifica
Attualmente non è disponibile una procedura di verifica per questa configurazione.
Risoluzione dei problemi
Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.