Aumentare il timeout di autenticazione Web sul controller LAN wireless

Opzioni per il download

  • PDF     (149.6 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (99.8 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (88.7 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:26 maggio 2015
ID documento:118963

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come configurare Web-auth Service Set Identifier (SSID) in modo da consentire a un utente VPN l'accesso senza autenticazione completa e senza disconnessione in pochi minuti. A tale scopo, è necessario aumentare il timeout di autenticazione Web (Web-auth) sul controller WLC.

Prerequisiti

Requisiti

Cisco consiglia di sapere come configurare il WLC per il funzionamento di base e l'autenticazione Web.

Componenti usati

Per la stesura del documento, è stato usato un Cisco serie 5500 WLC con firmware versione 8.0.100.0.

Nota La configurazione e la spiegazione Web-auth illustrate in questo documento sono valide per tutti i modelli WLC e per tutte le immagini di Cisco Unified Wireless Network versione 8.0.100.0 e successive.

Premesse

In molte configurazioni di rete dei clienti, sono presenti impostazioni che consentono a un gruppo di utenti aziendali o ospiti di accedere tramite VPN a determinati indirizzi IP senza la necessità di passare alla protezione tramite autenticazione Web. Questi utenti ricevono un indirizzo IP e si connettono direttamente alla VPN senza la necessità di credenziali per ottenere l'autenticazione tramite la sicurezza Web-auth. Questo SSID potrebbe essere utilizzato da un altro gruppo di utenti che eseguono anche la normale e completa autenticazione Web per ottenere l'accesso a Internet. Questo scenario è possibile tramite un ACL di preautenticazione configurato sull'SSID che consente le connessioni degli utenti agli indirizzi IP VPN prima che passino l'autenticazione. Il problema per questi utenti VPN è che scelgono l'indirizzo IP ma non finiscono mai l'autenticazione Web completa. Pertanto, il timer di timeout per l'autenticazione Web viene attivato e il client viene deautenticato:

*apfReceiveTask: Sep 03 12:01:55.694: 00:24:d7:cd:ac:30 172.30.0.118 WEBAUTH_REQD (8)
 Web-Auth Policy timeout

*apfReceiveTask: Sep 03 12:01:55.694: 00:24:d7:cd:ac:30 172.30.0.118 WEBAUTH_REQD (8)
 Pem timed out, Try to delete client in 10 secs.

Il valore di questo timeout è 5 minuti e nelle versioni WLC è un valore fisso precedente alla 7.6. Questa breve durata del timeout rende la rete wireless quasi inutilizzabile per questo tipo di utenti. La capacità di modificare questo valore è stata aggiunta al WLC versione 8.0, che consente agli utenti di accedere alla VPN tramite il traffico autorizzato tramite ACL di pre-autenticazione.

Configurazione

Nota: per ulteriori informazioni sui comandi menzionati in questa sezione, usare lo strumento di ricerca dei comandi (solo utenti registrati).

Completare questi passaggi per aumentare il timeout di Web-auth sul WLC:

  1. Creare un ACL che autorizzi il traffico verso l'indirizzo IP della VPN.

  2. Applicare l'ACL come ACL di preautenticazione sulla configurazione LAN wireless (WLAN) in Sicurezza di layer 3.

  3. Accedere dalla CLI e immettere il comando config wlan security web-auth timeout per aumentare il valore del timeout di Web-auth: 
    (WLC)>config wlan security web-auth timeout ?
    <value> Configures Web authentication Timeout (300-14400 seconds).

    (WLC)>config wlan security web-auth timeout 3600

Verifica

Per verificare che la configurazione funzioni correttamente, consultare questa sezione.

Il valore di timeout della sessione di autenticazione Web per la WLAN viene visualizzato come mostrato nell'output di esempio:

(WLC)>show wlan 10
Web Based Authentication...................... Enabled
 Web Authentication Timeout.................... 3600

Risoluzione dei problemi

Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.

Immettere il comando debug client <indirizzo-mac>per avviare il timer di Web-auth per l'utente che si connette alla VPN senza autenticazione.

TAC Authored

Contributo dei tecnici Cisco

  • Dhiresh Yadav
    Cisco TAC Engineer

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti