Configurar a autenticação do web externa com acesso convirgido (5760/3650/3850)

Opções de download

  • PDF     (779.9 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (675.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (577.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:11 de setembro de 2017
ID do documento:212039

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento define como configurar a autenticação da Web externa com controladores de acesso convergente. A página do portal do convidado e a autenticação de credenciais estão no Identity Services Engine (ISE) neste exemplo. 

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    1. Controladores de acesso convergente da Cisco.

    2. Autenticação na Web

    3. Cisco ISE

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    1. Controlador Cisco 5760 (NGWC no diagrama abaixo), 03.06.05E

    2. ISE 2.2

    Configurar

    Diagrama de Rede

    Configuração de CLI

    Configuração do raio no controlador

    etapa 1: Definir servidor radius externo

    radius server ISE.161
address ipv4 10.48.39.161 auth-port 1812 acct-port 1813
timeout 10
retransmit 5
key Cisco123

    etapa 2:. Defina o grupo de raio AAA e especifique o servidor de raio a ser usado

    aaa group server radius ISE-Group
server name ISE.161
deadtime 10

    etapa 3. Defina a lista de métodos que aponta para o grupo radius e a mapeie sob a WLAN.

    aaa authentication login webauth group ISE-Group

    Configuração do Mapa de Parâmetros

    etapa 4. Configure o mapa de parâmetros globais com o endereço IP virtual, que é necessário para a autenticação da Web externa e interna. O botão de logoff usa IP virtual. É sempre uma boa prática configurar um IP virtual não roteável.

    parameter-map type webauth global
type webauth
virtual-ip ipv4 1.1.1.1

    etapa 5: Configure um mapa de parâmetros nomeado. Ele agirá como um tipo de método webauth. Isso será chamado na configuração da WLAN.

    parameter-map type webauth web
type webauth
redirect for-login https://10.48.39.161:8443/portal/PortalSetup.action?portal=0c712cd0-6d90-11e5-978e-005056bf2f0a
redirect portal ipv4 10.48.39.161


    Pré-autenticação ACL. Isso também será chamado na WLAN.

    Etapa 6: Configure Preauth_ACL, que permite acesso ao ISE, DHCP e DNS antes do fim da autenticação

    ip access-list extended Preauth_ACL
permit ip any host 10.48.39.161
permit ip host 10.48.39.161 any
permit udp any eq bootps any
permit udp any any eq bootpc
permit udp any eq bootpc any
permit udp any eq domain any
permit udp any any eq domain

    configuração de WLAN

    etapa 7: configurar a WLAN

    wlan ext-webauth 7 ext-webauth
client vlan vlan232
ip access-group web Preauth_ACL
no security wpa
no security wpa akm dot1x
no security wpa wpa2
no security wpa wpa2 ciphers aes
security web-auth
security web-auth authentication-list webauth
security web-auth parameter-map web
session-timeout 1800
no shutdown

    etapa 8: Ative o servidor http. 

    ip http server  

ip http secure-server (for secure web-auth, use 'no' to disable secure web)

    Configuração de GUI

    Estamos seguindo aqui as mesmas etapas descritas acima. As capturas de tela são apenas fornecidas para referência cruzada.

    etapa 1: Definir um servidor radius externo

     etapa 2:. Defina o grupo de raio AAA e especifique o servidor de raio a ser usado

    etapa 3. Defina a lista de métodos que aponta para o grupo radius e a mapeie sob a WLAN.

    Configuração do Mapa de Parâmetros

    etapa 4. Configure o mapa de parâmetros globais com o endereço IP virtual, que é necessário para a autenticação da Web externa e interna. O botão de logoff usa IP virtual. É sempre uma boa prática configurar um IP virtual não roteável.

    etapa 5: Configure um mapa de parâmetros nomeado. Ele agirá como um tipo de método webauth. Isso será chamado na configuração da WLAN.

    Pré-autenticação ACL. Isso também será chamado na WLAN.

    Etapa 6: Configure Preauth_ACL, que permite acesso ao ISE, DHCP e DNS antes do fim da autenticação

    configuração de WLAN

    etapa 7: configurar a WLAN

    Verificar

    Conecte um cliente e certifique-se de que, se você abrir um navegador, o cliente será redirecionado para sua página do portal de login. A captura de tela abaixo ilustra a página do portal para convidados do ISE.

    Depois que as credenciais apropriadas forem enviadas, a página de sucesso será mostrada:

    O servidor ISE reportará duas autenticações: uma na própria página de convidado (o resultado final com apenas o nome de usuário) e uma segunda autenticação quando a WLC fornecer o mesmo nome de usuário/senha através da autenticação radius (somente esta autenticação fará com que o cliente passe para a fase de sucesso). Se a autenticação radius (com endereço mac e detalhes de WLC como NAS) não ocorrer, a configuração radius deverá ser verificada.

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Ritin Mahajan
      Tac Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos