Exemplo de configuração de proxy de autenticação da Web

Opções de download

  • PDF     (422.4 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (380.8 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (240.5 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:27 de agosto de 2018
ID do documento:116052

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar a autenticação da Web para trabalhar com uma configuração de proxy.

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Configuração básica do Wireless LAN Controller
    • Segurança de autenticação da Web

    Componentes Utilizados

    As informações neste documento se referem ao Cisco Wireless LAN Controller, Versão 7.0 e posterior.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Configurar

    Os administradores de rede que têm um servidor proxy na rede enviam tráfego da Web primeiro para o servidor proxy, que depois retransmite o tráfego para a Internet. As conexões entre o cliente e o servidor proxy podem usar uma porta TCP diferente da porta 80 para comunicação. Essa porta geralmente é a porta TCP 3128 ou 8080. Por padrão, a autenticação da Web escuta apenas a porta 80. Assim, quando um HTTP GET deixa o computador, ele é enviado para a porta de proxy, mas é descartado pelo controlador.

    Esta seção descreve como configurar a autenticação da Web para trabalhar com uma configuração de proxy:

    1. Configure o Cisco Wireless LAN Controller (WLC) para ouvir na porta do proxy.
    2. Configure o arquivo de configuração automática de proxy (PAC) para retornar o endereço IP virtual direto.
    3. Crie uma lista de controle de acesso (ACL) de autenticação prévia para permitir que o cliente baixe o arquivo PAC antes da autenticação da Web.

    Como uma correção rápida, você pode configurar manualmente o navegador da Web para retornar 192.0.2.1.

    Nas próximas subseções, há detalhes sobre cada um desses processos.

    Configurar o WLC

    Este procedimento descreve como alterar a porta na qual o controlador ouve para a porta na qual o servidor proxy está ouvindo.

    1. Navegue até a página Controlador > Geral.

    2. No campo Porta de redirecionamento de proxy WebAuth, digite a porta na qual você deseja que o WLC ouça para o redirecionamento de cliente.

    3. Escolha Desativado ou Ativado na lista suspensa Modo de redirecionamento de proxy WebAuth:

      1. Se você escolher Desativado, os clientes visualizarão a página de autenticação da Web normal para passagem ou autenticação. Então, se você usar um proxy, configure todos os navegadores de cliente para que não usem o proxy para 192.0.2.1 (ou outro endereço IP virtual que o WLC utiliza). Consulte Configurar o navegador da Web.

      2. Caso você escolha Ativado, o WLC ouve nas portas 80, 8080 e 3128 por padrão, para que não seja necessário inserir essas portas no campo de texto Porta de redirecionamento de proxy WebAuth. Se um cliente enviar um HTTP GET nessas portas, elas visualizam uma tela que solicita a alteração das configurações de proxy para o modo automático.

    4. Salve a configuração.

    5. Reinicialize o controlador.

    Em resumo, insira um número da porta na Porta de redirecionamento de proxy WebAuth para definir a porta na qual o WLC ouve. Quando o modo de redirecionamento é Ativado, ele redireciona o cliente para a tela de configuração de proxy e espera enviar dinamicamente um arquivo de reconhecimento automático de proxy da Web (WPAD) ou PAC para a configuração automática do proxy. Quando Desativado, o cliente é redirecionado para a página de autenticação da Web normal.

    Configurar o arquivo PAC

    O endereço IP virtual do WLC precisa ser retornado "direto" para que o WebAuth autentique usuários corretamente. Direto significa que o servidor proxy não envia a solicitação por proxy, e o cliente tem permissões para alcançar diretamente o endereço IP. Isso é normalmente configurado no servidor proxy no arquivo WPAD ou PAC pelo administrador do servidor proxy. Este é um exemplo de configuração de um arquivo PAC:

    function FindProxyForURL(url, host) {
          // our local URLs from the domains below example.com don't need a proxy:
          if (shExpMatch(host, "*.example.com"))
          if (shExpMatch(host, "192.0.2.1"))   <-- (Line states return 1.1.1 directly)
      {
             return "DIRECT";
          }
          // URLs within this network are accessed through
          // port 8080 on fastproxy.example.com:
          if (isInNet(host, "10.0.0.0",  "255.255.248.0"))
          {
             return "PROXY fastproxy.example.com:8080";
          }

          // All other requests go through port 8080 of proxy.example.com.
          // should that fail to respond, go directly to the WWW:
          return "PROXY proxy.example.com:8080; DIRECT";

    Criar ACL de autenticação prévia

    Coloque uma ACL de autenticação prévia no identificador do conjunto de serviços (SSID) de autenticação da Web para que clientes de conectividade sem fio possam baixar o arquivo PAC antes de entrarem no WebAuth. A ACL de autenticação prévia precisa para permitir o acesso somente para a porta onde está o arquivo PAC. O acesso à porta do proxy permite que os clientes acessem a Internet sem autenticação da Web.

    1. Navegue até Segurança > Lista de controle de acesso para criar uma ACL no controlador.
    2. Crie regras para permitir o tráfego na porta de download do PAC para o proxy em ambas as direções.



      Nota:Não permita a porta HTTP do proxy.

    3. Na configuração de WLAN no controlador, não esqueça de escolher a ACL que você acabou de criar como uma ACL de autenticação prévia.

    Correção rápida: Configurar o navegador da Web

    Este procedimento descreve como configurar manualmente uma exceção para que um navegador da Web de cliente alcance diretamente 192.0.2.1.

    1. No Internet Explorer, navegue até Ferramentas > Opções da Internet.

    2. Clique na guia Conexões e no botão Configurações da LAN.

    3. Na área do servidor Proxy, marque a caixa de seleção Usar um servidor proxy para LAN e digite o endereço (IP) e a porta na qual o servidor escuta.



    4. Clique em Avançado e digite o endereço IP virtual do WLC na área de Exceções.

    Verificar

    No momento, não há procedimento de verificação disponível para esta configuração.

    Troubleshoot

    Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Nick Tate
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco