웹 인증 프록시 컨피그레이션 예
소개
이 문서에서는 프록시 설정 작업을 위해 웹 인증을 구성하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- 무선 LAN 컨트롤러 기본 구성
- 웹 인증 보안
사용되는 구성 요소
이 문서의 정보는 Cisco Wireless LAN Controller 버전 7.0 이상을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
구성
네트워크에 프록시 서버가 있는 네트워크 관리자는 먼저 프록시 서버로 웹 트래픽을 전송하고, 이렇게 하면 트래픽이 인터넷으로 릴레이됩니다.클라이언트와 프록시 서버 간의 연결은 통신에 포트 80 이외의 TCP 포트를 사용할 수 있습니다.이 포트는 일반적으로 TCP 포트 3128 또는 8080입니다.기본적으로 웹 인증은 포트 80에서만 수신 대기합니다. 따라서 HTTP GET이 컴퓨터를 떠날 때 프록시 포트로 전송되지만 컨트롤러에서 삭제됩니다.
이 섹션에서는 프록시 설정 작업을 위해 웹 인증을 구성하는 방법에 대해 설명합니다.
- 프록시 포트에서 수신하도록 Cisco WLC(Wireless LAN Controller)를 구성합니다.
- 가상 IP 주소를 직접 반환하도록 PAC(Proxy Auto-Configuration) 파일을 구성합니다.
- 클라이언트가 웹 인증 전에 PAC 파일을 다운로드할 수 있도록 ACL(Preauthentication Access Control List)을 생성합니다.
빠른 해결 방법으로 웹 브라우저를 수동으로 구성하여 192.0.2.1을 반환할 수 있습니다.
이러한 각 프로세스에 대한 세부 정보는 다음 하위 섹션에 있습니다.
WLC 구성
이 절차에서는 컨트롤러가 프록시 서버가 수신 대기 중인 포트에서 수신 대기하는 포트를 변경하는 방법을 설명합니다.
- Controller(컨트롤러) > General(일반) 페이지로 이동합니다.
- WebAuth Proxy Redirection Port(WebAuth 프록시 리디렉션 포트) 필드에 WLC가 클라이언트 리디렉션에 대해 수신할 포트를 입력합니다.
- WebAuth Proxy Redirection Mode(웹 인증 프록시 리디렉션 모드) 드롭다운 목록에서 Disabled(비활성화됨) 또는 Enabled(활성화됨)를 선택합니다.
- Disabled(비활성화됨)를 선택하면 클라이언트에는 통과 또는 인증을 위한 일반 웹 인증 페이지가 표시됩니다.따라서 프록시를 사용하는 경우 모든 클라이언트 브라우저가 192.0.2.1(또는 WLC에서 사용하는 기타 가상 IP 주소)에 프록시를 사용하지 않도록 구성해야 합니다. 웹 브라우저 구성을 참조하십시오.
- Enabled(활성화)를 선택하면 WLC는 기본적으로 포트 80, 8080 및 3128에서 수신 대기하므로 WebAuth Proxy Redirection Port(WebAuth 프록시 리디렉션 포트) 텍스트 필드에 해당 포트를 입력하지 않아도 됩니다.클라이언트가 이러한 포트에서 HTTP GET을 보내면 프록시 설정을 자동으로 변경하라는 메시지가 표시되는 화면이 표시됩니다.
- Disabled(비활성화됨)를 선택하면 클라이언트에는 통과 또는 인증을 위한 일반 웹 인증 페이지가 표시됩니다.따라서 프록시를 사용하는 경우 모든 클라이언트 브라우저가 192.0.2.1(또는 WLC에서 사용하는 기타 가상 IP 주소)에 프록시를 사용하지 않도록 구성해야 합니다. 웹 브라우저 구성을 참조하십시오.
- 컨피그레이션을 저장합니다.
- 컨트롤러를 재부팅합니다.
요약하면, WLC가 수신 대기하는 포트를 정의하기 위해 WebAuth Proxy Redirection Port에 포트 번호를 입력합니다.리디렉션 모드가 활성화되면 클라이언트를 프록시 설정 화면으로 리디렉션하고 자동 프록시 컨피그레이션을 위해 WPAD(Web Proxy Auto-Discovery) 또는 PAC 파일을 동적으로 푸시해야 합니다.Disabled(비활성화됨)를 선택하면 클라이언트가 일반 웹 인증 페이지로 리디렉션됩니다.
PAC 파일 구성
웹 인증이 사용자를 올바르게 인증하려면 WLC의 가상 IP 주소를 'direct'로 반환해야 합니다.다이렉트는 프록시 서버가 요청을 프록시하지 않고 클라이언트가 IP 주소에 직접 연결할 수 있는 권한을 가지고 있음을 의미합니다.일반적으로 프록시 서버 관리자가 WPAD 또는 PAC 파일의 프록시 서버에 구성합니다.다음은 PAC 파일의 컨피그레이션의 예입니다.
function FindProxyForURL(url, host) {
// our local URLs from the domains below example.com don't need a proxy:
if (shExpMatch(host, "*.example.com"))
if (shExpMatch(host, "192.0.2.1")) <-- (Line states return 1.1.1 directly)
{
return "DIRECT";
}
// URLs within this network are accessed through
// port 8080 on fastproxy.example.com:
if (isInNet(host, "10.0.0.0", "255.255.248.0"))
{
return "PROXY fastproxy.example.com:8080";
}
// All other requests go through port 8080 of proxy.example.com.
// should that fail to respond, go directly to the WWW:
return "PROXY proxy.example.com:8080; DIRECT";
사전 인증 ACL 생성
클라이언트가 웹 인증에 로그인하기 전에 무선 클라이언트가 PAC 파일을 다운로드할 수 있도록 웹 인증 서비스 집합 식별자(SSID)에 사전 인증 ACL을 배치합니다.사전 인증 ACL은 PAC 파일이 있는 포트에 대한 액세스만 허용해야 합니다.프록시 포트에 액세스하면 클라이언트가 웹 인증 없이 인터넷에 연결할 수 있습니다.
- Security(보안) > Access Control List(액세스 제어 목록)로 이동하여 컨트롤러에서 ACL을 생성합니다.
- PAC 다운로드 포트의 트래픽을 양방향으로 프록시에 허용하는 규칙을 생성합니다.
- 컨트롤러의 WLAN 컨피그레이션에서 방금 생성한 ACL을 사전 인증 ACL로 선택하는 것을 잊지 마십시오.
빠른 수정:웹 브라우저 구성
이 절차에서는 클라이언트 웹 브라우저가 192.0.2.1에 직접 도달하도록 수동으로 예외를 구성하는 방법에 대해 설명합니다.
- Internet Explorer에서 도구 > 인터넷 옵션으로 이동합니다.
- Connections(연결) 탭을 클릭한 다음 LAN Settings(LAN 설정) 버튼을 클릭합니다.
- Proxy server(프록시 서버) 영역에서 Use a proxy server for your LAN(LAN에 프록시 서버 사용) 확인란을 선택하고 서버가 수신하는 (IP) 주소 및 포트를 입력합니다.
- Advanced(고급)를 클릭하고 Exceptions(예외) 영역에 WLC의 가상 IP 주소를 입력합니다.
다음을 확인합니다.
현재 이 구성에 대해 사용 가능한 확인 절차가 없습니다.
문제 해결
현재 이 컨피그레이션에 사용할 수 있는 특정 문제 해결 정보가 없습니다.
피드백