Esempio di configurazione del proxy di autenticazione Web

Opzioni per il download

  • PDF     (421.8 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (380.9 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (240.7 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:27 agosto 2018
ID documento:116052

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come configurare l'autenticazione Web per l'utilizzo di una configurazione proxy.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Configurazione di base del controller LAN wireless
    • Sicurezza autenticazione Web

    Componenti usati

    Per questo documento, è stato usato un Cisco Wireless LAN Controller versione 7.0 e successive.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Gli amministratori di rete che dispongono di un server proxy sulla rete inviano il traffico Web prima al server proxy, che quindi inoltra il traffico a Internet. Le connessioni tra il client e il server proxy possono utilizzare per la comunicazione una porta TCP diversa dalla porta 80. Questa porta è in genere la porta TCP 3128 o 8080. Per impostazione predefinita, l'autenticazione Web è in ascolto solo sulla porta 80. Pertanto, quando un HTTP GET esce dal computer, viene inviato alla porta proxy ma viene eliminato dal controller.

    In questa sezione viene descritto come configurare l'autenticazione Web per l'utilizzo di una configurazione proxy:

    1. Configurare il Cisco Wireless LAN Controller (WLC) per eseguire l'ascolto sulla porta proxy.
    2. Configurare il file di configurazione automatica del proxy (PAC) in modo che restituisca direttamente l'indirizzo IP virtuale.
    3. Creare un ACL (Access Control List) di preautenticazione per consentire al client di scaricare il file PAC prima dell'autenticazione Web.

    Come soluzione rapida, è possibile configurare manualmente il browser Web in modo che restituisca 192.0.2.1.

    I dettagli relativi a ciascuno di questi processi sono riportati nelle sottosezioni seguenti.

    Configurare il WLC

    In questa procedura viene descritto come modificare la porta di ascolto del controller sulla porta su cui è in ascolto il server proxy.

    1. Passare alla pagina Controller > Generale.

    2. Nel campo Porta di reindirizzamento proxy WebAuth, immettere la porta su cui si desidera che il WLC sia in ascolto per il reindirizzamento del client.

    3. Selezionare Disabilitato o Abilitato dall'elenco a discesa Modalità di reindirizzamento proxy WebAuth:

      1. Se si sceglie Disabilitato, ai client viene visualizzata la normale pagina di autenticazione Web per il passthrough o l'autenticazione. Pertanto, se si utilizza un proxy, è necessario configurare tutti i browser client in modo che non utilizzino il proxy per 192.0.2.1 (o un altro indirizzo IP virtuale utilizzato dal WLC). Vedere Configurazione del browser.

      2. Se si sceglie Enabled, il WLC rimane in ascolto sulle porte 80, 8080 e 3128 per impostazione predefinita, quindi non è necessario immettere tali porte nel campo di testo WebAuth Proxy Redirection Port. Se un client invia un comando HTTP GET su queste porte, verrà visualizzata una schermata in cui viene richiesto di modificare le impostazioni del proxy su automatico.

    4. Salvare la configurazione.

    5. Riavviare il controller.

    In sintesi, immettere un numero di porta in Porta di reindirizzamento proxy WebAuth per definire la porta su cui il WLC è in ascolto. Quando la modalità di reindirizzamento è attivata, reindirizza il client alla schermata di impostazione del proxy e prevede di eseguire il push dinamico di un file WPAD (Web Proxy Auto-Discovery) o PAC per la configurazione automatica del proxy. Quando è disattivato, il client viene reindirizzato alla normale pagina di autenticazione Web.

    Configurazione del file PAC

    Affinché l'autenticazione Web possa autenticare correttamente gli utenti, è necessario che l'indirizzo IP virtuale del WLC venga restituito 'direct'. Diretto indica che il server proxy non invia la richiesta tramite proxy e che il client dispone delle autorizzazioni necessarie per accedere direttamente all'indirizzo IP. Questa impostazione viene in genere configurata sul server proxy nel file WPAD o PAC dall'amministratore del server proxy. Questa è una configurazione di esempio per un file PAC:

    function FindProxyForURL(url, host) {
          // our local URLs from the domains below example.com don't need a proxy:
          if (shExpMatch(host, "*.example.com"))
          if (shExpMatch(host, "192.0.2.1"))   <-- (Line states return 1.1.1 directly)
      {
             return "DIRECT";
          }
          // URLs within this network are accessed through
          // port 8080 on fastproxy.example.com:
          if (isInNet(host, "10.0.0.0",  "255.255.248.0"))
          {
             return "PROXY fastproxy.example.com:8080";
          }

          // All other requests go through port 8080 of proxy.example.com.
          // should that fail to respond, go directly to the WWW:
          return "PROXY proxy.example.com:8080; DIRECT";

    Crea ACL di preautenticazione

    Inserire un ACL di preautenticazione nell'SSID (Web Authentication Service Set Identifier) in modo che i client wireless possano scaricare il file PAC prima di accedere ad Autenticazione Web. L'ACL di preautenticazione deve consentire l'accesso solo alla porta su cui si trova il file PAC. L'accesso alla porta proxy consente ai client di raggiungere Internet senza autenticazione Web.

    1. Per creare un ACL sul controller, selezionare Security > Access Control List (Protezione > Lista di controllo di accesso).
    2. Creare regole per consentire al traffico sulla porta di download della PAC di raggiungere il proxy in entrambe le direzioni.



      Nota:non consentire la porta HTTP proxy.

    3. Nella configurazione WLAN del controller, non dimenticare di scegliere l'ACL appena creato come ACL di preautenticazione.

    Correzione rapida: Configura browser

    In questa procedura viene descritto come configurare manualmente un'eccezione in modo che un browser Web client raggiunga direttamente 192.0.2.1.

    1. In Internet Explorer, selezionare Strumenti > Opzioni Internet.

    2. Fare clic sulla scheda Connessioni, quindi sul pulsante Impostazioni LAN.

    3. Nell'area Server proxy selezionare la casella di controllo Utilizza un server proxy per la rete LAN e immettere l'indirizzo (IP) e la porta su cui il server è in ascolto.



    4. Fare clic su Advanced (Avanzate) e immettere l'indirizzo IP virtuale del WLC nell'area Exceptions (Eccezioni).

    Verifica

    Attualmente non è disponibile una procedura di verifica per questa configurazione.

    Risoluzione dei problemi

    Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.

    TAC Authored

    Contributo dei tecnici Cisco

    • Nick Tate
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci