為802.1X & Web-Auth WLAN配置WLC和LDAP身份驗證

簡介

本文檔介紹配置AireOS WLC的過程，以便使用LDAP伺服器作為使用者資料庫對客戶端進行身份驗證。

必要條件

需求

  

思科建議瞭解以下主題：

• Microsoft Windows伺服器
• Active Directory

採用元件

本檔案中的資訊是根據以下軟體版本：

• Cisco WLC軟體8.2.110.0
• Microsoft Windows Server 2012 R2

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

技術背景

  

• LDAP是用於訪問目錄伺服器的協定。
• 目錄伺服器是分層的、物件導向的資料庫。
• 對象以容器(如組織單位(OU)、組或預設的Microsoft Containers作為CN=Users)組織。
• 此設定最難的部分是在WLC上正確配置LDAP伺服器引數。

有關這些概念的更多詳細資訊，請參閱如何為輕量型目錄訪問協定(LDAP)身份驗證配置無線LAN控制器(WLC)的簡介部分。

常見問題

• 必須使用什麼使用者名稱與LDAP伺服器繫結？

針對LDAP伺服器進行繫結有兩種方法：Anonymous或Authenticated（為了瞭解兩種方法之間的區別，請參閱）。

此繫結使用者名稱需要具有管理員許可權，才能查詢其他使用者名稱/密碼。

• 如果通過身份驗證：繫結使用者名稱是否與所有使用者位於同一個容器中？

不：使用整個路徑。舉例來說：

CN=Administrator，CN=Domain Admins，CN=Users，DC=labm，DC=cisco，DC=com

是：僅使用使用者名稱。舉例來說：

管理員

• 如果使用者位於不同的容器中該怎麼辦？所有相關的無線LDAP使用者是否需要位於同一個容器中？

不能，可以指定一個包含所需所有容器的基本DN。

• WLC必須尋找哪些屬性？

WLC與指定的使用者屬性和對象型別相匹配。

注意:sAMAccountName區分大小寫，但person不區分大小寫。因此，sAMAccountName=RICARDO和sAMAccountName=ricardo是相同的，並且工作，而samaccountname=RICARDO和samaccountname=ricardo則不工作。

• 可以使用哪些可擴展身份驗證協定(EAP)方法？

僅限EAP-FAST、PEAP-GTC和EAP-TLS。Android、iOS和MacOS預設請求方與受保護的可擴展身份驗證協定(PEAP)配合使用。 

對於Windows，必須在受支援的無線介面卡上使用Anyconnect Network Access Manager(NAM)或帶有Cisco:PEAP的預設Windows請求方，如下圖所示。

註:Cisco EAP Plug-ins for Windows包括受Cisco錯誤ID CSCva09670影響的開放安全套接字層(OpenSSL 0.9.8k)版本，思科不計畫發佈任何其他版本的Windows EAP外掛，並建議客戶改用AnyConnect安全移動客戶端。

• 為什麼WLC找不到使用者？

組內的使用者無法通過身份驗證。它們需要位於預設容器(CN)或組織單位(OU)中，如下圖所示。

設定

有多種不同的方案可以採用LDAP伺服器，包括802.1x身份驗證或Web身份驗證。

對於此過程，只有OU=SofiaLabOU內的使用者必須經過身份驗證。

若要瞭解如何使用Label Distribution Protocol(LDP)工具，請配置LDAP並對其進行故障排除，請參閱WLC LDAP配置指南。

建立依賴LDAP伺服器通過802.1x驗證使用者身份的WLAN

網路圖表

在此方案中，WLAN LDAP-dot1x使用LDAP伺服器使用802.1x對使用者進行身份驗證。

步驟 1.在SofiaLabOU和SofiaLabGroup的LDAP伺服器成員中建立使用者User1。

  

步驟 2.使用所需的EAP方法在WLC上建立EAP配置檔案（使用PEAP）。

  

步驟 3.將WLC與LDAP伺服器繫結。

提示：如果繫結使用者名稱不在使用者基本DN中，則必須將整個路徑寫入管理員用戶，如下圖所示。否則，您只需輸入Administrator。

步驟 4.將Authentication Order設定為Internal Users + LDAP或僅限LDAP。

  

步驟 5.建立LDAP-dot1x WLAN。

步驟 6.將L2安全方法設定為WPA2 + 802.1x，並將L3安全設定為none。

步驟 7.啟用本地EAP身份驗證，並確保禁用身份驗證伺服器和記帳伺服器選項並啟用LDAP。

  

所有其他設定都可以保留為預設值。

附註：
使用LDP工具確認配置引數。
搜尋基礎不能是組（如SofiaLabGroup）。
如果是Windows電腦，則必須使用PEAP-GTC或Cisco:PEAP，而不是請求方的Microsoft:PEAP。Microsoft:PEAP預設情況下可與MacOS/iOS/Android配合使用。

建立依賴LDAP伺服器通過內部WLC Web門戶對使用者進行身份驗證的WLAN

網路圖表

在此案例中，WLAN LDAP-Web使用LDAP伺服器通過內部WLC Web門戶對使用者進行身份驗證。

  

確保步驟1到步驟4.已取自上一示例。從這裡開始，WLAN配置的設定將有所不同。

步驟 1.在OU SofiaLabOU和組SofiaLabGroup的LDAP伺服器成員中建立使用者User1。

步驟 2.使用所需的EAP方法在WLC上建立EAP配置檔案（使用PEAP）。

步驟 3.將WLC與LDAP伺服器繫結。

步驟 4.將Authentication Order設定為Internal Users + LDAP。

步驟 5.建立LDAP-Web WLAN，如圖所示。

步驟 6.如圖所示，將L2 Security設定為none，將L3 Security設定為Web Policy - Authentication。

  

 步驟7.將Web-auth的身份驗證優先順序順序設定為使用LDAP，並確保已禁用身份驗證伺服器和記帳伺服器選項。

所有其他設定都可以保留為預設值。

  

使用LDP工具對LDAP進行配置和故障排除

步驟 1.在LDAP伺服器或具有連線的主機開啟LDP工具（必須允許到伺服器的埠TCP 389）。

步驟 2. 導航到Connection > Bind，使用Admin使用者登入，然後選擇Bind with credentials單選按鈕。 

步驟 3.導覽至View > Tree，然後在基本DN中選擇OK。

步驟 4.展開樹以檢視結構並查詢Search Base DN。請考慮它可以是除「組」之外的任何容器型別。可以是整個域、特定OU或類似CN=Users的CN。

步驟 5.展開SofiaLabOU以檢視其內部使用者。這是之前建立的User1。

  

步驟 6.配置LDAP所需的全部資訊。

步驟 7.SofiaLabGroup等組不能用作搜尋DN。展開組並查詢組內的使用者，其中之前建立的User1必須如圖所示。

User1曾在那裡，但LDP找不到它。這表示WLC無法順利執行，因此不支援群組作為搜尋基礎DN。

驗證

 使用本節內容，確認您的組態是否正常運作。

 (cisco-controller) >show ldap summary

 

Idx Server Address Port Enabled Secure
--- ------------------------- ------ ------- ------
1 10.88.173.121 389 Yes No

 

(cisco-controller) >show ldap 1

Server Index..................................... 1
Address.......................................... 10.88.173.121
Port............................................. 389
Server State..................................... Enabled
User DN.......................................... OU=SofiaLabOU,DC=labm,DC=cisco,DC=com
User Attribute................................... sAMAccountName
User Type........................................ Person
Retransmit Timeout............................... 2 seconds
Secure (via TLS)................................. Disabled
Bind Method ..................................... Authenticated
Bind Username.................................... CN=Administrator,CN=Domain Admins,CN=Users,DC=labm,DC=cisco,DC=com

  

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

(cisco-controller) >debug client <MAC Address>

(cisco-controller) >debug aaa ldap enable 

(cisco-controller) >show ldap statistics

Server Index..................................... 1
Server statistics:
Initialized OK................................. 0   
Initialization failed.......................... 0
Initialization retries......................... 0
Closed OK...................................... 0
Request statistics:
Received....................................... 0
Sent........................................... 0
OK............................................. 0
Success........................................ 0
Authentication failed.......................... 0
Server not found............................... 0
No received attributes......................... 0
No passed username............................. 0
Not connected to server........................ 0
Internal error................................. 0
Retries........................................ 0

相關資訊

• LDAP - WLC 8.2配置指南
• 如何為輕量型目錄存取通訊協定(LDAP)驗證設定無線Lan控制器(WLC)- Vinay Sharma
• 在無線LAN控制器(WLC)上使用LDAP的Web驗證組態範例 — Yahya Jaber和Ayman Alfares
• 思科技術支援與下載