Web认证使用LDAP无线局域网控制器WLCs配置示例.docx

Web认证使用LDAP无线局域网控制器（WLCs）配置示例 文件编号：108008 目录 简介 先决条件       需求       使用的组件       公约 Web认证过程 配置       网络图       配置       配置LDAP服务器       配置LDAP服务器WLC的       配置Web认证的WLAN 验证 疑难解答 相关信息 简介 本文档介绍了如何设置Web认证的无线局域网控制器（WLC）。这 文件还介绍了如何配置作为一种轻型目录访问协议（LDAP）服务器 后端数据库的Web身份验证，以检索用户凭据，验证用户。 先决条件 需求 您尝试这种配置之前，确保你满足这些要求： • 知识和思科轻型接入点的配置（LAPS）WLCs • 知识轻量级接入点协议（LWAPP） • 如何设置和配置LDAP，Active Directory和域控制器的知识 使用的组件 在这个文件中的信息是基于这些软件和硬件版本： • 思科4400 WLC的运行固件版本5.1 • 思科1232系列的LAP • 思科802.11a/b/g无线客户端适配器，运行固件版本4.2 • 微软Windows2003服务器执行LDAP服务器中的作用 在这个文件中的信息是从在一个特定的实验室环境的设备。所有的 在这个文件中使用的设备，开始与清零（默认）配置。如果您的网络生活，确保 您了解所有命令的潜在影响。 公约 关于文件惯例的更多信息，请参阅Cisco技术提示惯例。 Web认证过程 Web身份验证是第3层安全功能，使控制器禁止IP流量（除 DHCP相关的数据包从一个特定的客户端，直到该客户端）已经正确地提供了一个有效的用户名和 密码。当您使用网络身份验证来验证客户端，你必须定义一个用户名和密码 为每一个客户。然后，当客户端尝试加入无线局域网，用户必须输入用户名 和密码登录页面提示时。 当启用了Web认证（在第3层安全），用户有时会收到一个网页浏览器 安全警报的第一次，他们试图访问一个网址 用户点击后是继续执行，或如果theclient浏览器不显示安全警报，网络 认证系统的客户端重定向到登录页面 默认登录页包含一个Cisco徽标和思科特定的文字。您可以选择网页 认证系统显示下列操作之一： • 默认登录页 • 一个修改后的版本的默认登录页 • 一个定制的登录页面上配置外部Web服务器 • 一个定制的登录页面，你下载到控制器 当用户的Web认证登录页面上输入有效的用户名和密码，点击提交， 根据递交全权证书和身份验证成功，验证用户身份。网页 认证系统，然后显示一个成功的登录页面和身份验证的客户端重定向 请求的URL。 默认成功登录页面包含一个虚拟网关地址URL的指针： https://1.1.1.1/logout.html。控制器的虚拟接口设置的IP地址作为重定向 登录页面的地址。 本文档介绍了如何使用Web身份验证的内部网页上WLC。这个例子 使用轻型目录访问协议（LDAP）作为后端数据库服务器Web认证 检索用户凭据，验证用户身份。 配置 在本节中，您提交的信息来配置本文档中描述的功能。 注意：使用命令查找工具（只对注册客户），以获得更多关于命令的详细信息 在本节中使用。 网络图 本文使用的网络设置： 配置 按顺序完成这些步骤，成功地实施这种设置： • 配置LDAP服务器。 • 配置WLC LDAP服务器。 • 配置Web认证的WLAN。 配置LDAP服务器 第一步是配置LDAP服务器，作为后端数据库，存储用户凭据 无线客户端。在这个例子中，微软Windows 2003服务器使用LDAP服务器。 在配置LDAP服务器的第一步是创建一个LDAP服务器上的用户数据库，以便 在WLC上可以查询这个数据库来验证用户。 创建域控制器上的用户 组织单位（OU）中包含多个组，携带在个人条目 PersonProfile。一个人可以是多个组的成员。所有对象类和属性定义 LDAP模式默认。每个组都包含它属于每个人的提述（DN）。 在这个例子中，LDAP的用户创建一个新的OU，和用户USER1这个OU下创建的。当你 配置此LDAP访问的用户，WLC可以查询此用户认证LDAP数据库。 在这个例子中使用的域lab.wireless。 创建一个OU下的用户数据库   本节介绍如何创建您的域的一个新的OU，这个OU上创建一个新用户。 1。在域控制器上，单击开始>程序>管理工具> Active Directory用户 为了电脑启动Active Directory用户和计算机管理控制台。 2。右键单击您的域名，这是lab.wireless在这个例子中，然后选择New> 从上下文菜单中的组织单位，以创建一个新的OU。 3。指定一个名称，这个OU，然后单击确定。 LDAP的用户在LDAP服务器上创建新的OU，现在，下一个步骤是创建用户user1 根据这个OU。为了实现这一目标，完成下列步骤： 1。右键单击创建新的OU。从由此产生的上下文菜单中选择“新建”>用户以 创建一个新用户。 2。在“用户设置”页上，填写所需的领域如这个例子所示。这个例子User1的在 用户登录名“字段。 这是在LDAP数据库中验证，以验证客户端的用户名。这个例子 在第一名称和姓名等领域使用User1的。单击“下一步”。 3。输入密码并确认密码。选择“密码永不过期”选项，然后单击 下一步。 4。单击“完成”。 OU的LDAP的用户下创建一个新的用户user1。这些都是用户凭据： ♦ 用户名：user1 ♦ 密码：Laptop123 现在，用户创建一个OU下，下一步就是配置LDAP访问的用户。 配置LDAP访问的用户 执行本节中的步骤，以配置LDAP访问的用户。 启用Windows 2003 Server的的匿名绑定功能 对于任何第三方应用程序（在本例中WLC）的访问在LDAP的Windows2003 AD， 匿名绑定功能，必须启用Windows 2003上。默认情况下，匿名LDAP操作 不允许在Windows 2003域控制器。执行这些步骤，以便使匿名 绑定功能： 1。启动ADSI编辑工具从该位置开始>运行>类型：ADSI Edit.msc。这个工具是 在Windows2003支持工具。 2。在ADSI编辑“窗口中，展开根域（配置[tsweb.lab.wireless]）。 展开CN =服务>“CN = Windows NT的> CN=目录服务。右键单击 CN= Directory服务容器中，并从上下文菜单中选择“属性”。 3。在该CN =目录服务属性“窗口，”属性“下，单击dsHeuristics属性 根据属性字段，然后选择编辑。在字符串属性，这个属性编辑器“窗口，输入 价值0000002;点击应用和确定。匿名绑定功能是在Windows中启用 2003服务器。 注：最后字符（第七届）是一个控制的方式，您可以绑定到LDAP服务。 “0” 或没有第七个字符意味着匿名LDAP操作被禁止。如果设置第七 字符“2”，它允许匿名绑定功能。 允许匿名登录访问用户“USER1” 下一步是授予匿名登录访问，以用户USER1。为了完成这些步骤 实现这一目标：   1。打开Active Directory用户和计算机。 2。确保检查，查看高级功能。 3。导航到用户USER1，并右键单击它。从上下文菜单中选择属性。此用户 确定的第一个名字“USER1。” 4。单击“安全”选项卡。 5。在结果窗口中，单击添加。 6。输入匿名登录，输入对象名称来选择框，并承认 对话框。 7。在ACL中，请注意，匿名登录访问的用户设置一些属性。点击 确定。被授予此用户的匿名登录访问。 格兰特列表内容权限的OU 下一步是授予OU上至少列出内容权限的匿名登录 用户所在。在这个例子中，“USER1”位于OU“LDAP的用户。”完成以下步骤 为了实现这一目标： 1。在Active Directory用户和计算机，右键单击该OU的LDAP用户和选择 属性。 2。单击“安全性，然后高级。 3。单击“添加”。在打开的对话框中中，输入匿名登录。 4。确认对话框。这将打开一个新的对话框窗口。 5。在应用到下拉框中，选择“仅此对象。启用列表内容允许检查 框。 使用LDP来识别用户的属性 此GUI工具是一个LDAP客户端，使用户能够执行的操作，如连接，绑定，搜索，修改， 添加或删除，反对任何LDAP兼容的目录，如Active Directory。自民党是用来查看 随着它们的元数据存储在Active Directory中的对象，如安全描述符， 复制元数据。 当您安装的Windows Server 2003支持工具，从产品，包括自民党GUI工具 光盘。本节说明如何使用LDP实用工具，以确定用户相关的特定属性 为user1。其中一些属性是用来填补在LDAP服务器在WLC上配置参数， 如用户的属性类型和用户对象类型。 1。在Windows 2003服务器（即使在同一个LDAP服务器），单击“开始”>“运行”并输入自民党在 为了获得自民党浏览器。 2。在自民党主窗口，单击“连接”>“连接并连接到LDAP服务器，当您 输入LDAP服务器的IP地址。 3。一旦连接到LDAP服务器，从主菜单中选择“查看”，单击“树”。 4。在结果树视图“窗口，输入用户BaseDN中。在这个例子中，User1位于 OU下的“LDAP用户”域下LAB.wireless。点击“确定”。 5。自民党浏览器的左侧显示整个树，在指定的BaseDN中出现 （OU = LDAP的用户，DC =，DC =无线劳顾会“）。展开树找到用户USER1。该用户可以 确定与CN值，表示用户的名字。在这个例子中，它是 CN= User1的。双击CN= User1的。自民党在自民党浏览器的右侧窗格中，显示所有 与User1的关联的属性。这个例子说明了这一步： 6。当您的LDAP服务器的配置WLC在用户属性字段，输入的名称   属性中包含的用户名用户记录。从这个自民党输出，你可以看到， sAMAccountName赋是一个属性，它包含用户名“USER1”，所以进入 sAMAccountName属性对应到WLC上的用户属性字段。 7。当您配置WLC的LDAP服务器，在用户对象类型“字段中，输入值 LDAP的ObjectType属性标识为用户记录。通常情况下，用户记录有几个 的ObjectType属性值，其中有一些独特的用户，其中有一些 与其他类型的对象共享。在自民党输出，CN=人是一个值，标识记录 作为一个用户，所以WLC上的用户对象类型属性指定的人。 下一步是配置WLC的LDAP服务器。 配置LDAP服务器WLC的 现在，LDAP服务器的配置，下一步是在WLC上配置的LDAP的详细信息 服务器。 WLC的GUI上完成下列步骤： 注：本文档假定，WLC配置的基本操作和注册了几圈 到WLC。如果你是一个新的用户谁愿意WLC的设置与圈的基本操作，请参阅 轻量级AP（LAP）的注册到无线局域网控制器（WLC）。 1。在WLC的安全性“页面，选择”AAA级>从左侧的任务窗格中的LDAP，以推动 LDAP服务器的配置页面。 为了添加一个LDAP服务器，然后单击新建。 LDAP服务器>新的页面出现。 2。在LDAP服务器的编辑页面中，指定LDAP服务器的详细信息，如IP地址， LDAP服务器，端口号，启用服务器的状态，等等。 ♦ 选择从服务器指数（优先权）“下拉框指定的优先 为了这台服务器的任何其他LDAP服务器配置。最多可配置 十七个服务器。如果控制器不能达到的第一台服务器，它试图在第二个 名单等。 ♦ LDAP服务器中的服务器IP地址“字段中输入IP地址。 ♦ 在LDAP服务器的端口号字段中输入TCP端口号。有效范围是 1到65535，默认值是389。 ♦ 在用户基本DN“字段中，输入在LDAP子树的专有名称（DN）   服务器，它包含了所有用户的列表。例如，OU =组织单位，OU =未来 组织单位，O = 。如果树包含用户的基本DN， 输入O = 或DC =公司，DC = COM。 在这个例子中，根据用户所在的组织单位（OU）LDAP的用户， 这反过来，是创建lab.wireless域的一部分。 用户群DN必须点的完整路径，用户信息（按用户凭据 位于EAP - FAST验证方法）。在这个例子中，用户是位于下 基本DN OU = LDAP的用户，DC =实验室，直流=无线。 ♦ 在用户属性字段中，输入属性名称中包含的用户记录 用户名。 在用户对象类型“字段中，输入LDAP的ObjectType属性的值，标识 作为用户的记录。通常情况下，用户记录有几个值的ObjectType属性，一些 其中独特的用户，其中一些是与其他类型的对象共享 您可以取得这两个领域的价值与LDAP目录服务器 浏览器工具的Windows 2003支持工具的一部分。此Microsoft LDAP 浏览器的工具被称为自民党。有了这个工具的帮助下，你就可以知道用户基本DN，用户 这个特殊的用户属性，用户对象类型的字段。关于如何详细信息 使用LDP知道这些用户的特定属性是讨论以确定在使用LDP 用户属性节本文件。 ♦ 在“服务器超时”字段中，输入重传之间的秒。有效的 范围是2至30秒，默认值是2秒。 ♦ 检查启用服务器状态“复选框启用此LDAP服务器，或取消选中它 禁用它。默认值是禁用。 ♦ 点击Apply提交更改。这是这个已配置为例 信息： 3。现在WLC上配置LDAP服务器的详细信息，下一步就是配置 无线局域网为Web身份验证。 配置Web认证的WLAN 第一步是为用户创造一个无线局域网。完成以下步骤： 1。点击无线局域网控制器的GUI，以创建一个无线局域网。 WLAN的窗口出现。此窗口列出了无线局域网控制器上的配置。 2。单击“新建”，为了配置一个新的WLAN。 在这个例子中，WLAN是一个名为Web- AUTH。 3。点击“应用”。 4。在WLAN>“编辑”窗口，定义的参数，具体到WLAN。 ♦ 检查“状态”复选框以启用WLAN。 ♦ 为WLAN，选择相应的接口的接口名称“字段中。 这个例子地图的管理接口连接到WLAN网络验证。 5。单击“安全”选项卡。在第3层安全领域，检查Web策略复选框，并选择 身份验证选项。 选择此选项，因为Web身份验证是用来验证无线客户端。检查 覆盖全球配置“复选框，使每WLAN网络的身份验证配置。 从网络验证类型下拉菜单中选择相应的Web身份验证类型。这 例如使用内部Web认证。 注：Web身份验证是不支持802.1x认证。这意味着你不能选择 802.1x或WPA/WPA2与802.1x的第2层安全，当您使用Web认证。网站 支持身份验证，与所有其他的第2层安全参数。 6。点击“AAA服务器。从LDAP服务器下拉选择配置的LDAP服务器 菜单。如果您使用一个本地数据库或RADIUS服务器，可以设置根据认证优先 验证网络AUTH userfield的优先顺序。 7。点击“应用”。 注：在这个例子中，第2层安全来验证用户身份的方法都没有用，所以选择“无”在 第2层安全领域。 验证 为了验证此设置，无线客户端连接，并检查配置是否如预期般运作。 无线客户端，用户在Web浏览器，如网址，进入。 由于用户尚未经过身份验证，WLC将用户重定向到内部Web登录网址。 提示用户输入用户凭据。一旦用户提交的用户名和密码，登录 页面需要输入用户凭据，并提交后，将请求发送回action_URL例如， http://1.1.1.1/login.html，WLC的Web服务器。这是作为输入参数，向客户提供 重定向URL，其中1.1.1.1是交换机上的虚拟接口地址。 WLC的LDAP用户数据库对用户进行身份验证。验证成功后，WLC Web服务器，无论是转发的配置重定向URL或URL的用户与客户端 开始，如如。 Troubleshoot This section provides information you can use to troubleshoot your configuration. Use these commands to Troubleshoot your configuration: · debug mac addr <client−MAC−address xx:xx:xx:xx:xx:xx> · debug aaa all enable · debug pem state enable · debug pem events enable · debug dhcp message enable · debug dhcp packet enable This is a sample output from the debug aaa all enable command. *Sep 19 15:16:10.286: AuthenticationRequest: 0x152c8e78 *Sep 19 15:16:10.286: Callback.....................................0x10567ae0 *Sep 19 15:16:10.286: protocolType.................................0x00000002 *Sep 19 15:16:10.286: proxyState...................................00:40:96:AF:3E:93−00:00 *Sep 19 15:16:10.286: Packet contains 8 AVPs (not shown) *Sep 19 15:16:10.287: ldapTask [1] received msg 'REQUEST' (2) in state 'IDLE' (1) *Sep 19 15:16:10.287: LDAP server 1 changed state to INIT *Sep 19 15:16:10.287: ldapInitAndBind [1] called lcapi_init (rc = 0 − Success) *Sep 19 15:16:10.296: ldapInitAndBind [1] configured Method Anonymous lcapi_bind (rc = 0 − Success) *Sep 19 15:16:10.297: LDAP server 1 changed state to CONNECTED *Sep 19 15:16:10.297: LDAP_CLIENT: UID Search (base=OU=LDAP−USERS, DC=LAB,DC=WIRELESS, pattern=(&(objectclass=Person) (sAMAccountName=User1))) *Sep 19 15:16:10.308: LDAP_CLIENT: Returned 2 msgs *Sep 19 15:16:10.308: LDAP_CLIENT: Returned msg 1 type 0x64 *Sep 19 15:16:10.308: LDAP_CLIENT: Received 1 attributes in search entry msg *Sep 19 15:16:10.308: LDAP_CLIENT: Returned msg 2 type 0x65 *Sep 19 15:16:10.308: LDAP_CLIENT : No matched DN *Sep 19 15:16:10.308: LDAP_CLIENT : Check result error 0 rc 1013 *Sep 19 15:16:10.309: ldapAuthRequest [1] called lcapi_query base= "OU=LDAP−USERS,DC=LAB,DC=WIRELESS" type="Person" attr="sAMAccountName" user="User1" (rc = 0 − Success) *Sep 19 15:16:10.309: Attempting user bind with username CN=User1,OU=LDAP−USERS,DC=lab,DC=wireless *Sep 19 15:16:10.335: LDAP ATTR> dn = CN=User1,OU=LDAP−USERS, DC=lab,DC=wireless (size 41) *Sep 19 15:16:10.335: Handling LDAP response Success *Sep 19 15:16:10.335: 00:40:96:af:3e:93 Returning AAA Success for mobile 00:40:96:af:3e:93 *Sep 19 15:16:10.335: AuthorizationResponse: 0x3fbf7b40 *Sep 19 15:16:10.336: structureSize..........................137 *Sep 19 15:16:10.336: resultCode.............................0 *Sep 19 15:16:10.336: protocolUsed...........................0x00000002 *Sep 19 15:16:10.336: proxyState............................... 00:40:96:AF:3E:93−00:00 *Sep 19 15:16:10.336: Packet contains 3 AVPs: *Sep 19 15:16:10.336: AVP[01] Unknown Attribute 0.......... CN=User1,OU=LDAP−USERS,DC=lab,DC=wireless (41 bytes) *Sep 19 15:16:10.336: AVP[02] User−Name............ User1 (5 bytes) *Sep 19 15:16:10.336: AVP[03] User−Password....[...] *Sep 19 15:16:10.336: Authentication failed for User1, Service Type: 0 *Sep 19 15:16:10.336: 00:40:96:af:3e:93 Applying new AAA override for station 00:40:96:af:3e:93 *Sep 19 15:16:10.336: 00:40:96:af:3e:93 Override values for station 00:40:96:af:3e:93 source: 48, valid bits: 0x1 qosLevel: −1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: −1 dataAvgC: −1, rTAvg *Sep 19 15:16:10.337: 00:40:96:af:3e:93 Unable to apply override policy for station 00:40:96:af:3e:93 − VapAllowRadiusOverride is FALSE *Sep 19 15:16:10.339: 00:40:96:af:3e:93 Sending Accounting request (0) for station 00:40:96:af:3e:93 *Sep 19 15:16:10.339: AccountingMessage Accounting Start: 0x152d9778 *Sep 19 15:16:10.339: Packet contains 11 AVPs: *Sep 19 15:16:10.339: AVP[01] User−Name.......................User1 (5 bytes) *Sep 19 15:16:10.339: AVP[02] Nas−Port........................0x00000002 (2) (4 bytes) *Sep 19 15:16:10.339: AVP[03] Nas−Ip−Address..................0x0a4df4cc (172881100) (4 bytes) *Sep 19 15:16:10.339: AVP[04] Framed−IP−Address...............0x0a4df4c6 (172881094) (4 bytes) *Sep 19 15:16:10.339: AVP[05] NAS−Identifier..................WLC−4400 (8 bytes) *Sep 19 15:16:10.339: AVP[06] Airespace / WLAN−Identifier.....0x00000001 (1) (4 bytes) *Sep 19 15:16:10.340: AVP[07] Acct−Session−Id................. 48d3c23a/00:40:96:af:3e:93/162 (30 bytes) *Sep 19 15:16:10.340: AVP[08] Acct−Authentic..................0x00000003 (3) (4 bytes) *Sep 19 15:16:10.340: AVP[09] Acct−Status−Type................0x00000001 (1) (4 bytes) *Sep 19 15:16:10.340: AVP[10] Calling−Station−Id..............10.77.244.198 (13 bytes) *Sep 19 15:16:10.340: AVP[11] Called−Station−Id...............10.77.244.204 (13 bytes) Related Information · Lightweight AP (LAP) Registration to a Wireless LAN Controller (WLC) · Wireless LAN Controller Web Authentication Configuration Example · External Web Authentication with Wireless LAN Controllers Configuration Example · Technical Support & Documentation − Cisco Systems Contacts & Feedback | Help | Site Map © 2009 − 2010 Cisco Systems, Inc. All rights reserved. Terms & Conditions | Privacy Statement | Cookie Policy | Trademarks of Cisco Systems, Inc