在WAP125或WAP581上配置Active Directory訪客身份驗證

下載選項

  • PDF     (1.3 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (1.3 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (901.7 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2018 年 12 月 12 日
文件 ID:SMB5834

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於翻譯

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。

在WAP125或WAP581上配置Active Directory訪客身份驗證

目標

Active Directory(AD)訪客身份驗證允許客戶端配置強制網路門戶基礎設施,以使用其內部Windows Directory服務進行身份驗證。強制網路門戶是一種功能,允許管理員阻止客戶端連線到無線接入點(WAP)網路,直到他們獲得網路訪問許可權。在客戶端能夠連線到網路之前,會將其定向到用於身份驗證和訪問條件的網頁。強制網路門戶驗證適用於網路的訪客和經過身份驗證的使用者。此功能使用Web瀏覽器並將其轉換為身份驗證裝置。

強制網路門戶例項是一組已定義的配置,用於對WAP網路上的客戶端進行身份驗證。例項可以配置為在使用者嘗試訪問關聯的虛擬接入點時以不同方式響應使用者。強制網路門戶通常用於Wi-Fi熱點位置,以確保使用者同意條款和條件,並在訪問網際網路之前提供安全認證。

為了支援AD身份驗證,WAP需要與一個到三個Windows域控制器通訊以提供身份驗證。它可以通過從不同的AD域中選擇域控制器來支援多個域進行身份驗證。

本文檔的目標是向您展示如何在WAP125或WAP581上配置AD訪客身份驗證。

適用裝置

  • WAP125
  • WAP581

軟體版本

  • 1.0.1

配置Active Directory訪客身份驗證

步驟1.通過輸入使用者名稱和密碼登入到WAP的Web配置實用程式。預設使用者名稱和密碼為cisco/cisco。如果您已配置新的使用者名稱或密碼,請改為輸入憑據。按一下「Login」。

附註:在本文中,WAP125用於演示AD訪客身份驗證的配置。選單選項可能會略有不同,具體取決於裝置的型號。

步驟2.選擇Access Control > Guest Access

步驟3.在Guest Access Instance表中,您可以新增新的Guest Access Instance或編輯現有的例項。WAP125或WAP581接入點的訪客接入功能為裝置範圍內的臨時無線客戶端提供無線連線。它的工作原理是讓接入點廣播兩個不同的服務集識別符號(SSID):一個用於主網路,另一個用於訪客網路。然後,訪客將被重定向到強制網路門戶,要求他們輸入其憑證。實際上,這可以保護主網路的安全,同時仍然允許訪客訪問Internet。

強制網路門戶的設定在WAP基於Web的實用程式的訪客訪問例項表中配置。Guest Access功能在酒店和辦公大堂、餐館和商場中特別有用。

在本示例中,通過按一下加號圖標,新增了一個新的Guest Access例項

步驟4.命名訪客接入例項。在本示例中,它稱為AD_authentication

步驟5.選擇Authentication Method作為Active Directory服務

步驟6.選擇Active Directory服務作為身份驗證方法後,協定將從超文本傳輸協定(HTTP)更改為超文本傳輸協定安全(HTTPS)。

附註:客戶端應將強制網路門戶頁面配置為使用HTTPS而不是HTTP,這一點非常重要,因為前者更安全。如果客戶端選擇HTTP,則可以通過以未加密的明文傳輸使用者名稱和密碼,無意中暴露使用者名稱和密碼。最佳做法是使用HTTPS強制網路門戶頁面。

步驟7.在Authentication Method列中按一下Active Directory服務旁邊的藍眼圖示,配置AD伺服器的IP地址。

步驟8.開啟一個新視窗。輸入AD伺服器的IP地址。在本例中,使用的主機IP地址為172.16.1.35。作為可選步驟,可以按一下測試以驗證其有效性。

步驟9。(可選)按一下上一步中的測試後,將開啟另一個彈出視窗,您可以在AD中輸入使用者的UsernamePassword,然後按一下Begin test

如果有效,它將通過測試並顯示以下螢幕。這確認您可以連線到域控制器並進行身份驗證。

附註:最多可新增3個AD伺服器。

步驟10.儲存更改。

步驟11.前往功能表並選擇無線>網路

步驟12.選擇網路,並指定其會選擇AD作為Guest Access Instance以進行驗證。按一下「Save」。

步驟13.要使用AD身份驗證連線到訪客無線網路,請轉至個人電腦(PC)上的無線選項,並選擇已配置用於AD身份驗證的網路,然後按一下連線。

步驟14.連線後,Web瀏覽器視窗將開啟,並顯示標準安全證書警告。按一下Go on the webpage

附註:根據您使用的瀏覽器,螢幕的顯示可能有所不同。

步驟15.啟動強制網路門戶頁面。選中Acceptance Use Policy框接受該策略,並在AD中輸入使用者的UsernamePassword。按一下Connect以連線到網路。

附註:如果有多個域,則使用者名稱將包括域名\使用者名稱。在本例中,它是ciscotest\test1。

步驟16.您現在已經通過身份驗證且可以訪問Internet。

結論

現在,您應該已經在WAP125或WAP581上成功配置了Active Directory訪客身份驗證並驗證了其功能。

這份文件是否有所幫助?

Feedback意見

讓思科協助您