Externe webverificatie met behulp van een RADIUS-server

Downloadopties

  • PDF     (1.0 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.0 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (960.0 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:28 september 2010
Document-id:112134

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document legt uit hoe u externe webverificatie kunt uitvoeren met behulp van een externe RADIUS-server.

Voorwaarden

Vereisten

Voordat u deze configuratie uitvoert, moet aan de volgende vereisten worden voldaan:

  • Basiskennis van de configuratie van Lichtgewicht access points (LAP’s) en Cisco WLC’s

  • Kennis van het instellen en configureren van een externe webserver

  • Kennis van de configuratie van Cisco Secure ACS

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Draadloze LAN-controller waarop firmware versie 5.0.148.0 wordt uitgevoerd

  • Cisco 1232 Series CLIP

  • Cisco 802.11a/b/g draadloze clientadapter 3.6.0.61

  • Externe webserver waarop de inlogpagina voor webverificatie wordt gehost

  • Cisco Secure ACS-versie waarop firmware-versie 4.1.1.24 wordt uitgevoerd

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

external-web-radius-01.gif

Dit zijn de IP-adressen die in dit document worden gebruikt:

  • WLC gebruikt het IP-adres 10.77.244.206

  • LAP is geregistreerd in WLC met IP-adres 10.77.244.199

  • Web Server gebruikt het IP-adres 10.7.244.210

  • Cisco ACS-server gebruikt het IP-adres 10.7.244.196

  • De client ontvangt een IP-adres van de beheerinterface die is toegewezen aan het WLAN - 10.7.24.208

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Externe webverificatie

Web Authenticatie is een Layer 3-authenticatiemechanisme dat wordt gebruikt om gastgebruikers te authenticeren voor internettoegang. Gebruikers die zijn geverifieerd met behulp van dit proces kunnen geen toegang tot het internet krijgen tot ze het verificatieproces met succes hebben voltooid. Voor volledige informatie over het externe web authenticatie proces, lees de sectie Externe Web Verificatie Proces van het document Externe Web Verificatie met Draadloze LAN Controllers Configuration Voorbeeld.

In dit document kijken we naar een configuratievoorbeeld, waarin de externe webverificatie wordt uitgevoerd met een externe RADIUS-server.

De WLC configureren

In dit document gaan we ervan uit dat de WLC al geconfigureerd is en een LAP geregistreerd heeft bij de WLC. Dit document veronderstelt verder dat WLC voor basisverrichting wordt gevormd en dat de LAPs aan WLC worden geregistreerd. Als u een nieuwe gebruiker bent die de WLC probeert in te stellen voor basisgebruik met LAP's, raadpleegt u Lichtgewicht AP (LAP)-registratie naar een draadloze LAN-controller (WLC). Om de LAPs te bekijken die aan WLC worden geregistreerd, navigeer aan Draadloos > Alle APs.

Zodra de WLC is geconfigureerd voor basisbediening en een of meer LAP's heeft geregistreerd, kunt u de WLC configureren voor externe webverificatie met behulp van een externe webserver. In ons voorbeeld gebruiken we een Cisco Secure ACS-versie 4.1.1.24 als RADIUS-server. Eerst configureren we de WLC voor deze RADIUS-server en vervolgens zoeken we de configuratie die vereist is op de Cisco Secure ACS voor deze installatie.

De WLC voor Cisco Secure ACS configureren

Voer deze stappen uit om de RADIUS-server aan de WLC toe te voegen:

  1. Klik vanuit de WLC GUI op het SECURITY menu.

  2. Navigeer onder het menu AAA naar het submenu Straal > Verificatie.

  3. Klik op Nieuw en voer het IP-adres van de RADIUS-server in. In dit voorbeeld is het IP-adres van de server 10.77.244.196.

  4. Voer het gedeelde geheim in de WLC in. Het gedeelde geheim zou het zelfde op WLC moeten worden gevormd.

  5. Kies ASCII of Hex voor gedeeld geheim formaat. Hetzelfde formaat moet worden gekozen op de WLC.

  6. 1812 is het poortnummer dat wordt gebruikt voor RADIUS-verificatie.

  7. Zorg ervoor dat de optie Serverstatus is ingesteld op Ingeschakeld.

  8. Selecteer het vakje Netwerkgebruiker inschakelen om de netwerkgebruikers te verifiëren.

  9. Klik op Apply (Toepassen).

    external-web-radius-02.gif

Configureer het WLAN op WLC voor webverificatie

De volgende stap is om WLAN voor webverificatie op WLC te configureren. Voer deze stappen uit om het WLAN op WLC te configureren:

  1. Klik op het menu WLAN’s van de controller-GUI en kies Nieuw.

  2. Kies WLAN voor type.

  3. Voer een profielnaam en een WLAN-SSID van uw keuze in en klik op Toepassen.

    Opmerking: de WLAN-SSID is hoofdlettergevoelig.

    external-web-radius-03.gif

  4. Zorg er onder het tabblad Algemeen voor dat de optie Ingeschakeld is ingeschakeld voor zowel de status als de broadcast-SSID.

    WLAN-configuratie

    external-web-radius-04.gif

  5. Kies een interface voor het WLAN. Een interface die in een uniek VLAN is geconfigureerd, wordt doorgaans aan het WLAN toegewezen, zodat de client een IP-adres in dat VLAN ontvangt. In dit voorbeeld gebruiken we beheer voor Interface.

  6. Kies het tabblad Beveiliging.

  7. Kies Geen in het menu Layer 2 voor Layer 2 Security.

  8. Kies in het menu Layer 3 Geen voor Layer 3 Security. Schakel het selectievakje Webbeleid in en kies Verificatie.

    external-web-radius-05.gif

  9. Kies in het menu AAA-servers voor de verificatieserver de RADIUS-server die op deze WLC is geconfigureerd. Andere menu's blijven standaard staan.

    external-web-radius-06.gif

De webserverinformatie over WLC configureren

De webserver waarop de webpagina voor webverificatie wordt gehost, moet op de WLC worden geconfigureerd. Voer de volgende stappen uit om de webserver te configureren:

  1. Klik op het tabblad Beveiliging. Ga naar Web Auth > Web Login Pagina.

  2. Stel het web verificatie type in als extern.

  3. Voer in het veld IP-adres van de webserver het IP-adres in van de server waarop de webpagina voor webverificatie is geïnstalleerd en klik op Webserver toevoegen. In dit voorbeeld is het IP-adres 10.77.244.196, dat wordt weergegeven onder Externe webservers.

  4. Voer de URL voor de webpagina voor webverificatie (in dit voorbeeld http://10.77.244.196/login.html) in het URL-veld in.

    external-web-radius-07.gif

De Cisco Secure ACS-software configureren

In dit document gaan we ervan uit dat Cisco Secure ACS Server al op een machine is geïnstalleerd en actief is. Raadpleeg voor meer informatie over het instellen van Cisco Secure ACS de Configuratiehandleiding voor Cisco Secure ACS 4.2.

De gebruikersinformatie over Cisco Secure ACS configureren

Voer deze stappen uit om gebruikers op Cisco Secure ACS te configureren:

  1. Kies Gebruikersinstelling van Cisco Secure ACS GUI, voer een gebruikersnaam in en klik op Toevoegen/Bewerken. In dit voorbeeld is de gebruiker user1.

    external-web-radius-08.gif

  2. Standaard wordt PAP gebruikt voor het authenticeren van clients. Het wachtwoord voor de gebruiker wordt ingevoerd onder Gebruikersinstelling > Wachtwoordverificatie > Cisco Secure PAP. Zorg ervoor dat u ACS Interne Database kiest voor Wachtwoordverificatie.

    external-web-radius-09.gif

  3. De gebruiker moet een groep toegewezen krijgen waartoe de gebruiker behoort. Kies de standaardgroep.

  4. Klik op Verzenden.

De WLC-informatie over Cisco Secure ACS configureren

Voer deze stappen uit om WLC-informatie over Cisco Secure ACS te configureren:

  1. In de ACS GUI, klik op het tabblad Netwerkconfiguratie en klik op Ingang toevoegen.

  2. Het scherm AAA-client toevoegen verschijnt.

  3. Voer de naam van de client in. In dit voorbeeld gebruiken we WLC.

  4. Voer het IP-adres van de client in. Het IP-adres van WLC is 10.77.244.2006.

  5. Voer de gedeelde geheime sleutel en de sleutelindeling in. Dit zou de ingang moeten aanpassen die in het menu van de Veiligheid WLC wordt gemaakt.

  6. Kies ASCII voor het Key Input Format, dat hetzelfde moet zijn op de WLC.

  7. Kies RADIUS (Cisco Aironet) voor Verifiëren met behulp van om het protocol in te stellen dat wordt gebruikt tussen de WLC en de RADIUS-server.

  8. Klik op Indienen + Toepassen.

    external-web-radius-10.gif

Clientverificatieproces

Clientconfiguratie

In dit voorbeeld gebruiken we Cisco Aironet Desktop Utility voor het uitvoeren van webverificatie. Voer deze stappen uit om het Aironet Desktop Utility te configureren.

  1. Open het Aironet Desktop Utility vanaf Start > Cisco Aironet > Aironet Desktop Utility.

  2. Klik op het tabblad Profielbeheer.

    external-web-radius-19.gif

  3. Kies het standaardprofiel en klik op Wijzigen.

    1. Klik op het tabblad Algemeen.

      1. Profielnaam configureren. In dit voorbeeld wordt Default gebruikt.

      2. Configureer de SSID onder Netwerknamen. In dit voorbeeld wordt WLAN1 gebruikt.

        external-web-radius-13.gif

        Opmerking: de SSID is hoofdlettergevoelig en moet overeenkomen met het WLAN dat op de WLC is geconfigureerd.

    2. Klik op het tabblad Beveiliging.

      Kies Geen als beveiliging voor webverificatie.

      external-web-radius-14.gif

    3. Klik op het tabblad Geavanceerd.

      1. Kies in het menu Draadloze modus de frequentie waarmee de draadloze client met de LAP communiceert.

      2. Kies onder het transmissieniveau de voeding die op de WLC is ingesteld.

      3. Laat de standaardwaarde voor de energiebesparende modus staan.

      4. Kies infrastructuur als netwerktype.

      5. Stel de 802.11b inleiding in als Short & Long voor een betere compatibiliteit.

      6. Klik op OK.

        external-web-radius-15.gif

  4. Zodra het profiel op de clientsoftware is geconfigureerd, wordt de client met succes gekoppeld en ontvangt een IP-adres van de VLAN-pool die voor de beheerinterface is geconfigureerd.

Aanmeldingsproces voor client

In deze sectie wordt uitgelegd hoe de client inlogt.

  1. Open een browservenster en voer een URL of IP-adres in. Dit brengt de web authenticatie pagina naar de client. Als de controller een release eerder dan 3.0 uitvoert, moet de gebruiker https://1.1.1.1/login.html invoeren om de web authenticatie pagina te openen. Er verschijnt een venster met een veiligheidswaarschuwing.

  2. Klik op Ja om verder te gaan.

  3. Wanneer het inlogvenster verschijnt, voert u de gebruikersnaam en het wachtwoord in die op de RADIUS-server zijn ingesteld. Als uw login succesvol is, ziet u twee browservensters. Het grotere venster geeft aan dat u met succes bent aangemeld en u kunt dit venster gebruiken om door het internet te bladeren. Gebruik het kleinere venster om uit te loggen wanneer uw gebruik van het gastennetwerk is voltooid.

    external-web-radius-12.gif

Verifiëren

Voor een succesvolle webverificatie moet u controleren of de apparaten op de juiste manier zijn geconfigureerd. In deze paragraaf wordt uitgelegd hoe u de in het proces gebruikte apparaten kunt controleren.

Controleer ACS

  1. Klik op Gebruikersinstelling en klik vervolgens op Lijst Alle gebruikers op de ACS GUI.

    external-web-radius-17.gif

    Zorg ervoor dat de status van de gebruiker Ingeschakeld is en dat de standaardgroep aan de gebruiker is toegewezen.

    external-web-radius-18.gif

  2. Klik op het tabblad Netwerkconfiguratie en kijk in de tabel AAA-clients om te verifiëren dat de WLC is geconfigureerd als een AAA-client.

    external-web-radius-20.gif

Controleer WLC

  1. Klik op het menu WLAN’s van de WLC GUI.

    1. Zorg ervoor dat het WLAN dat voor webverificatie wordt gebruikt, op de pagina is vermeld.

    2. Zorg ervoor dat de Admin Status voor het WLAN is ingeschakeld.

    3. Zorg ervoor dat het Beveiligingsbeleid voor het WLAN webautorisatie toont.

      external-web-radius-21.gif

  2. Klik op het menu SECURITY van de WLC GUI.

    1. Zorg ervoor dat Cisco Secure ACS (10.77.24.196) in de lijst op de pagina is vermeld.

    2. Controleer of het vakje Netwerkgebruiker is ingeschakeld.

    3. Zorg ervoor dat de poort 1812 is en dat de beheerstatus is ingeschakeld.

      external-web-radius-22.gif

Problemen oplossen

Er zijn vele redenen waarom een webverificatie niet succesvol is. De document Problemen oplossen Web Verification op een Draadloze LAN Controller (WLC) legt die redenen duidelijk in detail uit.

Opdrachten voor troubleshooting

N.B.: Raadpleeg Belangrijke informatie over debug-opdrachten voordat u deze debug-opdrachten gebruikt.

Telnet in de WLC en geeft deze opdrachten uit om de verificatie probleemoplossing uit te voeren:

  • debug aaa all enable 

    Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Successful transmission of Authentic
ation Packet (id 1) to 10.77.244.196:1812, proxy state 00:40:96:ac:dd:05-00:01
Fri Sep 24 13:59:52 2010: 00000000: 01 01 00 73 00 00 00 00  00 00 00 00 00 00 0
0 00  ...s............
Fri Sep 24 13:59:52 2010: 00000010: 00 00 00 00 01 07 75 73  65 72 31 02 12 93 c
3 66  ......user1....f
Fri Sep 24 13:59:52 2010: 00000030: 75 73 65 72 31
      user1
Fri Sep 24 13:59:52 2010: ****Enter processIncomingMessages: response code=2
Fri Sep 24 13:59:52 2010: ****Enter processRadiusResponse: response code=2
Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Access-Accept received from RADIUS s
erver 10.77.244.196 for mobile 00:40:96:ac:dd:05 receiveId = 0
Fri Sep 24 13:59:52 2010: AuthorizationResponse: 0x12238db0
Fri Sep 24 13:59:52 2010:       structureSize................................89
Fri Sep 24 13:59:52 2010:       resultCode...................................0
Fri Sep 24 13:59:52 2010:       protocolUsed.................................0x0
0000001
Fri Sep 24 13:59:52 2010:       proxyState...................................00:
40:96:AC:DD:05-00:00
Fri Sep 24 13:59:52 2010:       Packet contains 2 AVPs:
Fri Sep 24 13:59:52 2010:           AVP[01] Framed-IP-Address...................
.....0xffffffff (-1) (4 bytes)
Fri Sep 24 13:59:52 2010:           AVP[02] Class...............................
.....CACS:0/5183/a4df4ce/user1 (25 bytes)
Fri Sep 24 13:59:52 2010: Authentication failed for user1, Service Type: 0
Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Applying new AAA override for statio
n 00:40:96:ac:dd:05
Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Override values for station 00:40:96
:ac:dd:05
                source: 48, valid bits: 0x1
        qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1

dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                                vlanIfName: '',
aclName:
Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Unable to apply override policy for
station 00:40:96:ac:dd:05 - VapAllowRadiusOverride is FALSE
Fri Sep 24 13:59:52 2010: 00:40:96:ac:dd:05 Sending Accounting request (0) for s
tation 00:40:96:ac:dd:05
Fri Sep 24 13:59:52 2010: AccountingMessage Accounting Start: 0x1500501c
Fri Sep 24 13:59:52 2010:       Packet contains 12 AVPs:
Fri Sep 24 13:59:52 2010:           AVP[01] User-Name...........................
.....user1 (5 bytes)
Fri Sep 24 13:59:52 2010:           AVP[02] Nas-Port............................
.....0x00000002 (2) (4 bytes)
Fri Sep 24 13:59:52 2010:           AVP[03] Nas-Ip-Address......................
.....0x0a4df4ce (172881102) (4 bytes)
Fri Sep 24 13:59:52 2010:           AVP[04] Framed-IP-Address...................
.....0x0a4df4c7 (172881095) (4 bytes)

  • debug aaa detail inschakelen

Mislukte verificatiepogingen worden weergegeven in het menu Rapporten en activiteit > Mislukte pogingen.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
13-Sep-2010
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten