Configurazione dell'autenticazione Web del controller LAN wireless
Sommario
Introduzione Prerequisiti Requisiti
Componenti usati Convenzioni
Autenticazione Web
Processo di autenticazione Web Installazione della rete
Configurare il controller per l'autenticazione Web Creazione di un'interfaccia VLAN
Configura WLC per autenticazione Web interna Aggiungi istanza WLAN
Tre modi per autenticare gli utenti nell'autenticazione Web
Configurazione del client WLAN per l'utilizzo dell'autenticazione Web Configurazione client
Accesso client
Risoluzione dei problemi di autenticazione Web Risoluzione dei problemi di ACS
Autenticazione Web con bridging IPv6 Informazioni correlate
Introduzione
Questo documento spiega come Cisco implementa l'autenticazione Web e mostra come configurare un Cisco Wireless LAN (WLAN) Controller (WLC) serie 4400 per supportare l'autenticazione Web interna.
Prerequisiti
Requisiti
per le successive spiegazioni, si presume che il modello 4400 WLC sia già dotato di una configurazione iniziale.
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Un WLC serie 4400 con versione 7.0.116.0
●
Cisco Secure Access Control Server (ACS) versione 4.2 installato su un server Microsoft®
Windows 2003
●
Cisco Aironet serie 1131AG Light Weight Access Point
●
Cisco Aironet 802.11 a/b/g CardBus Wireless Adapter con versione 4.0
●
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali
conseguenze derivanti dall'uso dei comandi.
Convenzioni
Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.
Autenticazione Web
L'autenticazione Web è una funzione di sicurezza di livello 3 che impedisce al controller di autorizzare il traffico IP (ad eccezione dei pacchetti relativi a DHCP e DNS) da un determinato client fino a quando il client non ha fornito correttamente un nome utente e una password validi. Si tratta di un semplice metodo di autenticazione senza la necessità di un'utilità supplicant o client.
L'autenticazione Web viene in genere utilizzata dai clienti che desiderano distribuire una rete di accesso guest. Le implementazioni tipiche possono includere "aree calde" come T-Mobile o Starbucks.
Tenere presente che l'autenticazione Web non fornisce la crittografia dei dati. L'autenticazione Web viene generalmente utilizzata come semplice accesso guest per un "hot spot" o un'atmosfera di campus in cui l'unica preoccupazione è la connettività.
L'autenticazione Web può essere eseguita utilizzando:
Finestra di accesso predefinita sul WLC
●
Versione modificata della finestra di accesso predefinita sul WLC
●
Finestra di accesso personalizzata configurata su un server Web esterno (autenticazione Web esterna)
●
Una finestra di accesso personalizzata da scaricare sul controller
●
In questo documento è stato configurato Wireless LAN Controller per l'autenticazione Web interna.
Processo di autenticazione Web
Questo è ciò che accade quando un utente si connette a una WLAN configurata per l'autenticazione Web:
L'utente apre un browser Web e immette un URL, ad esempio http://www.cisco.com. Il client invia una richiesta DNS per questo URL per ottenere l'IP per la destinazione. Il WLC ignora la richiesta DNS e il server DNS risponde con una risposta DNS, che contiene l'indirizzo IP della
●
destinazione www.cisco.com. che a sua volta viene inoltrato ai client wireless.
Il client tenta quindi di aprire una connessione TCP con l'indirizzo IP di destinazione. Invia un pacchetto TCP SYN destinato all'indirizzo IP di www.cisco.com.
●
Il WLC ha delle regole configurate per il client e può quindi fungere da proxy per
www.cisco.com. Invia un pacchetto TCP SYN-ACK al client con origine come indirizzo IP di www.cisco.com. Il client restituisce un pacchetto TCP ACK per completare l'handshake TCP a tre vie e la connessione TCP viene stabilita completamente.
●
Il client invia un pacchetto HTTP GET destinato a www.cisco.com. Il WLC intercetta questo pacchetto e lo invia per la gestione del reindirizzamento. Il gateway applicazioni HTTP prepara un corpo HTML e lo invia come risposta al comando HTTP GET richiesto dal client.
Con questo codice HTML il client passa all'URL predefinito della pagina Web del WLC, ad esempio http://<Virtual-Server-IP>/login.html.
●
Il client chiude la connessione TCP con l'indirizzo IP, ad esempio www.cisco.com.
●
Ora il cliente vuole andare su http://1.1.1.1/login.html. Pertanto, il client tenta di aprire una connessione TCP con l'indirizzo IP virtuale del WLC. Invia un pacchetto TCP SYN per 1.1.1.1 al WLC.
●
Il WLC risponde con un TCP SYN-ACK e il client restituisce un TCP ACK al WLC per completare l'handshake.
●
Il client invia una richiesta HTTP GET per /login.html destinata alla versione 1.1.1.1 per richiedere la pagina di accesso.
●
Questa richiesta è consentita fino al server Web del WLC e il server risponde con la pagina di accesso predefinita. Il client riceve la pagina di login nella finestra del browser dove l'utente può procedere ed eseguire il login.
●
Di seguito è riportato un collegamento a un video disponibile sul sito della Cisco Support Community in cui viene illustrato il processo di autenticazione Web:
Autenticazione Web sui Cisco Wireless LAN Controller (WLC)
Installazione della rete
Nel documento viene usata questa impostazione di rete:
Configurare il controller per l'autenticazione Web
In questo documento, una WLAN è configurata per l'autenticazione Web e mappata a una VLAN dedicata. Di seguito viene riportata la procedura necessaria per configurare una WLAN per l'autenticazione Web:
Creazione di un'interfaccia VLAN
●
Configura WLC per autenticazione Web interna
●
Aggiungi istanza WLAN
●
Configura tipo di autenticazione (tre modi per autenticare gli utenti nell'autenticazione Web)
●
In questa sezione vengono presentate le informazioni necessarie per configurare il controller per l'autenticazione Web.
Di seguito vengono riportati gli indirizzi IP utilizzati nel documento:
L'indirizzo IP del WLC è 10.77.244.204.
●
L'indirizzo IP del server ACS è 10.77.244.196.
●
Creazione di un'interfaccia VLAN
Attenersi alla seguente procedura:
Dall'interfaccia utente del controller LAN wireless, scegliere Controller dal menu in alto, Interfacce dal menu a sinistra e fare clic su New in alto a destra nella finestra per creare una nuova interfaccia dinamica.Viene visualizzata la finestra Interfacce > Nuovo. In questo esempio viene usato il nome dell'interfaccia vlan90 con un ID VLAN di
90:
1.
Per creare l'interfaccia VLAN, fare clic su Apply (Applica).Viene visualizzata la finestra Interfacce > Modifica in cui viene richiesto di specificare le informazioni specifiche dell'interfaccia.
2.
Nel documento vengono usati i seguenti parametri:Indirizzo IP—10.10.10.2Maschera di rete—255.255.255.0 (24 bit)Gateway—10.10.10.1Numero porta—2Server DHCP
principale—10.77.244.204Nota: questo parametro deve corrispondere all'indirizzo IP del server RADIUS o DHCP. Nell'esempio, l'indirizzo di gestione del WLC viene usato come server DHCP perché l'ambito DHCP interno è configurato sul WLC.Server DHCP
secondario: 0.0.0.0Nota: nell'esempio non è presente un server DHCP secondario, quindi viene utilizzato 0.0.0.0. Se nella configurazione è presente un server DHCP secondario, aggiungere l'indirizzo IP del server in questo campo.Nome ACL -
Nessuno 3.
Per salvare le modifiche, fare clic su Apply (Applica).
4.
Configura WLC per autenticazione Web interna
Il passaggio successivo è configurare il WLC per l'autenticazione Web interna. L'autenticazione Web interna è il tipo di autenticazione Web predefinito nei WLC. Se questo parametro non è stato modificato, non è necessaria alcuna configurazione per abilitare l'autenticazione Web interna. Se il parametro di autenticazione Web è stato modificato in precedenza, completare i seguenti
passaggi per configurare il WLC per l'autenticazione Web interna:
Dalla GUI del controller, selezionare Security > Web Auth > Web Login Page (Protezione >
Web Auth > Pagina di accesso Web) per accedere alla pagina di accesso Web.
1.
Dalla casella di riepilogo a discesa Tipo di autenticazione Web, scegliere Autenticazione Web interna.
2.
Nel campo Reindirizza URL dopo l'accesso, immettere l'URL della pagina a cui l'utente finale verrà reindirizzato dopo
l'autenticazione.
Nota: nelle versioni WLC 5.0 e successive, è possibile personalizzare anche la pagina di disconnessione per l'autenticazione Web. Per ulteriori informazioni su come configurare il controller WLAN, consultare la sezione Assign Login , Login failure and Logout pages of Wireless LAN Controller Configuration Guide,5.2 (Assegna login, Login failure and Logout pages per WLAN Controller Configuration Guide).
3.
Aggiungi istanza WLAN
Ora che l'autenticazione Web interna è stata abilitata e che esiste un'interfaccia VLAN dedicata per l'autenticazione Web, è necessario fornire una nuova WLAN/SSID per supportare gli utenti dell'autenticazione Web.
Per creare una nuova WLAN/SSID, completare i seguenti passaggi:
Dall'interfaccia utente del WLC, fare clic su WLAN nel menu in alto, quindi fare clic su New (Nuovo) nella parte superiore destra.Nel campo Type (Tipo), selezionare WLAN. Scegliere un nome di profilo e un SSID WLAN per l'autenticazione Web. In questo esempio viene utilizzato Guest per il nome del profilo e l'SSID della
WLAN.
1.
Fare clic su Apply (Applica).Viene visualizzata una nuova finestra WLAN >
Modifica.
2.
Per abilitare la WLAN, controllare la casella di stato della WLAN. Dal menu Interface
(Interfaccia), selezionare il nome dell'interfaccia VLAN creata in precedenza. Nell'esempio, il nome dell'interfaccia è vlan90.Nota: lasciare il valore predefinito per gli altri parametri in questa schermata.
3.
Fare clic sulla scheda Protezione.Per configurare l'autenticazione Web, completare i seguenti passaggi:Fare clic sulla scheda Layer 2 e impostare la protezione su None
(Nessuno).Nota: non è possibile configurare la trasmissione Web come protezione di livello 3 con 802.1x o WPA/WPA2 come protezione di livello 2 per una WLAN. Per ulteriori
informazioni sulla compatibilità della sicurezza con il layer 2 e il layer 3 del controller LAN wireless, fare riferimento alla matrice di compatibilità della sicurezza del layer 2 del controller 4.
LAN wireless.Fare clic sulla scheda Layer 3. Selezionare la casella Criteri Web e scegliere l'opzione Autenticazione, come mostrato di
seguito:
Per salvare la WLAN, fare clic su Apply (Applica).Viene visualizzata di nuovo la finestra di riepilogo WLAN. Verificare che Web-Auth sia abilitato nella colonna Criteri di sicurezza della tabella WLAN per il guest SSID.
Tre modi per autenticare gli utenti nell'autenticazione Web
Esistono tre modi per autenticare gli utenti quando si utilizza l'autenticazione Web.
L'autenticazione locale consente di autenticare l'utente nel WLC di Cisco. È inoltre possibile utilizzare un server RADIUS esterno o un server LDAP come database back-end per autenticare gli utenti.
In questo documento viene fornito un esempio di configurazione per tutti e tre i metodi.
Autenticazione locale
Il database utenti per gli utenti guest viene archiviato nel database locale del WLC. Gli utenti vengono autenticati dal WLC in relazione a questo database.
Dall'interfaccia utente del WLC, scegliere Security.
1.
Fare clic su Local Net Users nel menu AAA a sinistra.
2.
Per creare un nuovo utente, fare clic su New (Nuovo).Viene visualizzata una nuova finestra in cui vengono richiesti il nome utente e la password.
3.
Immettere un Nome utente e una Password per creare un nuovo utente, quindi confermare la password che si desidera utilizzare.In questo esempio viene creato l'utente User1.
4.
Se lo si desidera, aggiungere una descrizione.In questo esempio viene utilizzato Guest User1.
5.
Per salvare la nuova configurazione utente, fare clic su Apply (Applica).
6.
Ripetere i passaggi da 3 a 6 per aggiungere altri utenti al database.
7.
Server RADIUS per autenticazione Web
In questo documento viene usato un ACS wireless su Windows 2003 Server come server RADIUS. È possibile utilizzare qualsiasi server RADIUS disponibile attualmente distribuito nella rete.
Nota: ACS può essere configurato sia su Windows NT che su Windows 2000 Server. Per scaricare gli ACS da Cisco.com, consultare il documento Software Center (Download) - Cisco Secure Software (solo utenti registrati). È necessario un account Web Cisco per scaricare il software.
La sezione Configurazione di ACS mostra come configurare ACS per RADIUS. È necessario disporre di una rete completamente funzionante con un DNS (Domain Name System) e un server RADIUS.
Configurazione di ACS
In questa sezione vengono presentate le informazioni necessarie per impostare ACS per RADIUS.
Configurare ACS sul server e quindi completare la procedura seguente per creare un utente per l'autenticazione:
Quando ACS chiede se si desidera aprire ACS in una finestra del browser da configurare, fare clic su sì.Nota: dopo aver configurato ACS, sul desktop è presente anche un'icona.
1.
Nel menu a sinistra, fare clic su User Setup (Impostazione utente).Verrà visualizzata la schermata Configurazione utente, come illustrato di
seguito:
2.
Immettere l'utente da utilizzare per l'autenticazione Web e fare clic su Aggiungi/Modifica.Una volta creato l'utente, viene visualizzata una seconda finestra come illustrato di
seguito:
3.
Accertarsi che la casella Account disabilitato nella parte superiore non sia selezionata.
4.
Selezionare ACS Internal Database (Database interno ACS) per l'opzione Password Authentication (Autenticazione password).
5.
Immettere la password. L'amministratore ha la possibilità di configurare l'autenticazione PAP/CHAP o MD5-CHAP durante l'aggiunta di un utente nel database interno ACS. PAP è il tipo di autenticazione predefinito per gli utenti di autenticazione Web sui controller.
L'amministratore ha la flessibilità di modificare il metodo di autenticazione in chap/md5-chap utilizzando questo comando CLI:
config custom-web radiusauth <auth method>
6.
Fare clic su Invia.
7.
Immettere le informazioni sul server RADIUS nel WLC di Cisco
Attenersi alla seguente procedura:
Fare clic su Protezione nel menu nella parte superiore.
1.
Fare clic su Autenticazione RADIUS nel menu a sinistra.
2.
Fare clic su Nuovo e immettere l'indirizzo IP del server ACS/RADIUS. Nell'esempio, l'indirizzo IP del server ACS è 10.77.244.196.
3.
Immettere il segreto condiviso per il server RADIUS. Accertarsi che la chiave segreta sia uguale a quella immessa nel server RADIUS per il WLC.
4.
Lasciare il numero di porta predefinito, 1812.
5.
Verificare che l'opzione Stato server sia attivata.
6.
Selezionare la casella Abilita utente di rete in modo che il server RADIUS venga utilizzato per autenticare gli utenti della rete wireless.
7.
Fare clic su Apply (Applica).
8.
Verificare che la casella Network User (Utente di rete) sia selezionata e che Admin Status (Stato amministratore) sia Enabled (Attivato).
Configurazione della WLAN con il server RADIUS
Ora che il server RADIUS è configurato sul WLC, è necessario configurare la WLAN in modo che utilizzi questo server RADIUS per l'autenticazione Web. Completare questa procedura per
configurare la WLAN con il server RADIUS.
Aprire il browser WLC e fare clic su WLAN. In questo modo viene visualizzato l'elenco delle WLAN configurate sul WLC. Fare clic sul guest WLAN creato per l'autenticazione Web.
1.
Nella pagina WLAN > Modifica fare clic sul menu Sicurezza. Fare clic sulla scheda Server AAA in Protezione. Selezionare quindi il server RADIUS 10.77.244.196 nell'esempio 2.
seguente:
Fare clic su Apply (Applica).
3.
Verifica ACS
Quando si configura l'ACS, ricordarsi di scaricare tutte le patch correnti e il codice più recente.
Questo dovrebbe risolvere problemi imminenti. Se si utilizza l'autenticazione RADIUS, verificare che il WLC sia elencato come uno dei client AAA. Per verificare questa condizione, fare clic sul menu Network Configuration (Configurazione rete) sul lato sinistro. Fare clic sul client AAA, quindi verificare la password e il tipo di autenticazione configurati. Per ulteriori informazioni su come configurare un client AAA, consultare la sezione Configurazione dei client AAA della Guida dell'utente di Cisco Secure Access Control Server 4.2.
Quando si sceglie Configurazione utente, verificare nuovamente che gli utenti esistano
effettivamente. Fare clic su Elenca tutti gli utenti. Viene visualizzata una finestra come illustrato.
Verificare che l'utente creato sia presente nell'elenco.
Server LDAP
In questa sezione viene illustrato come configurare un server LDAP (Lightweight Directory Access Protocol) come database back-end, simile a un database RADIUS o utente locale. Un database backend LDAP consente al controller di eseguire una query su un server LDAP per ottenere le credenziali (nome utente e password) di un utente specifico. Queste credenziali vengono quindi utilizzate per autenticare l'utente.
Completare la procedura seguente per configurare LDAP mediante l'interfaccia utente grafica del controller:
Per aprire i server LDAP, fare clic su Security > AAA > LDAP.In questa pagina sono elencati tutti i server LDAP già configurati.Se si desidera eliminare un server LDAP esistente,
spostare il cursore sulla freccia a discesa di colore blu relativa al server e scegliere Rimuovi.Per verificare che il controller sia in grado di raggiungere un determinato server, posizionare il cursore sulla freccia di selezione blu del server e scegliere Ping.
1.
Eseguire una delle operazioni seguenti:Per modificare un server LDAP esistente, fare clic sul numero di indice del server. Viene visualizzata la pagina Server LDAP > Modifica.Per
aggiungere un server LDAP, fare clic su Nuovo. Viene visualizzata la pagina Server LDAP >
Nuovo.
2.
Se si sta aggiungendo un nuovo server, scegliere un numero dalla casella a discesa Indice server (priorità) per specificare l'ordine di priorità di questo server rispetto agli altri server LDAP configurati. È possibile configurare fino a diciassette server. Se il controller non riesce a raggiungere il primo server, proverà con il secondo dall'elenco e così via.
3.
Se si sta aggiungendo un nuovo server, immettere l'indirizzo IP del server LDAP nel campo Indirizzo IP server.
4.
Se si sta aggiungendo un nuovo server, immettere il numero di porta TCP del server LDAP nel campo Numero porta. L'intervallo valido è compreso tra 1 e 65535 e il valore predefinito è 389.
5.
Selezionare la casella di controllo Abilita stato server per abilitare il server LDAP oppure deselezionarla per disabilitarlo. Il valore predefinito è disattivato.
6.
Dalla casella di riepilogo a discesa Associazione semplice, scegliere Anonimo o Autenticato per specificare il metodo di associazione dell'autenticazione locale per il server LDAP. Il metodo Anonymous consente l'accesso anonimo al server LDAP, mentre il metodo Authenticated richiede l'immissione di un nome utente e di una password per l'accesso sicuro. Il valore predefinito è Anonimo.
7.
Se nel passaggio 7 è stata scelta l'opzione Autenticato, effettuare le seguenti operazioni:Nel campo Associa nome utente immettere un nome utente da utilizzare per l'autenticazione locale al server LDAP.Nei campi Password binding e Conferma password binding, immettere una password da utilizzare per l'autenticazione locale al server LDAP.
8.
Nel campo DN base utente immettere il nome distinto (DN) della sottostruttura nel server LDAP che contiene un elenco di tutti gli utenti. Ad esempio, ou=unità organizzativa, ou=unità organizzativa successiva e o=corporation.com. Se la struttura contenente gli utenti è il DN di base, digitare o=corporation.com o dc=corporation, dc=com.
9.
Nel campo Attributo utente immettere il nome dell'attributo nel record utente che contiene il nome utente. È possibile ottenere questo attributo dal server delle directory.
10.
Nel campo Tipo oggetto utente immettere il valore dell'attributo objectType LDAP che identifica il record come utente. I record utente dispongono spesso di diversi valori per l'attributo objectType, alcuni dei quali sono univoci per l'utente e altri sono condivisi con altri tipi di oggetto.
11.
Nel campo Timeout server immettere il numero di secondi che devono intercorrere tra le ritrasmissioni. L'intervallo valido è compreso tra 2 e 30 secondi e il valore predefinito è 2 secondi.
12.
Fare clic su Applica per eseguire il commit delle modifiche.
13.
Fare clic su Salva configurazione per salvare le modifiche.
14.
Completare questi passaggi se si desidera assegnare server LDAP specifici a una
WLAN:Fare clic su WLAN per aprire la pagina WLAN.Fare clic sul numero ID della WLAN desiderata.Quando viene visualizzata la pagina WLAN > Modifica, fare clic sulla scheda Sicurezza > Server AAA per aprire la pagina WLAN > Modifica (Sicurezza > Server AAA).
Dall'elenco a discesa Server LDAP, scegliere i server LDAP da utilizzare con la WLAN. È possibile scegliere fino a tre server LDAP, che verranno utilizzati in ordine di priorità.Fare clic su Applica per eseguire il commit delle modifiche.Fare clic su Salva configurazione per salvare le modifiche.
15.
Configurazione del client WLAN per l'utilizzo dell'autenticazione Web
Dopo aver configurato il WLC, il client deve essere configurato correttamente per l'autenticazione Web. In questa sezione vengono presentate le informazioni necessarie per configurare il sistema Windows per l'autenticazione Web.
Configurazione client
La configurazione del client wireless Microsoft rimane per lo più invariata per questo sottoscrittore.
È sufficiente aggiungere le informazioni di configurazione WLAN/SSID appropriate. Attenersi alla seguente procedura:
Dal menu Start di Windows, scegliere Impostazioni > Pannello di controllo > Rete e connessioni Internet.
1.
Fare clic sull'icona Connessioni di rete.
2.
Fare clic con il pulsante destro del mouse sull'icona Connessione LAN e scegliere Disabilita.
3.
Fare clic con il pulsante destro del mouse sull'icona Connessione wireless e scegliere Attiva.
4.
Fare di nuovo clic con il pulsante destro del mouse sull'icona Connessione wireless e scegliere Proprietà.
5.
Nella finestra Proprietà Connessione rete senza fili fare clic sulla scheda Reti senza fili.
6.
Per configurare il SSID di autenticazione Web, fare clic su Add (Aggiungi) nell'area delle reti preferite.
7.
Nella scheda Associazione immettere il valore Nome di rete (WLAN/SSID) che si desidera utilizzare per l'autenticazione
Web.
Nota: per impostazione predefinita, la crittografia dei dati è WEP (Wired Equivalent Privacy).
Per il corretto funzionamento dell'autenticazione Web, disattivare la crittografia dei dati.
8.
Per salvare la configurazione, fare clic su OK nella parte inferiore della finestra.Quando si comunica con la WLAN, viene visualizzata l'icona di un beacon nella casella Rete preferita.
9.
La connessione wireless all'autenticazione Web è riuscita. Il WLC ha fornito al client Windows wireless un indirizzo IP.
Nota: se il client wireless è anche un endpoint VPN e l'autenticazione Web è configurata come funzione di sicurezza per la WLAN, il tunnel VPN non viene stabilito finché non si esegue il processo di autenticazione Web descritto di seguito. Per stabilire un tunnel VPN, il client deve prima passare attraverso il processo di autenticazione Web con esito positivo. Solo in questo caso il tunneling VPN ha successo.
Nota: se dopo un accesso riuscito i client wireless sono inattivi e non comunicano con altri dispositivi, l'autenticazione del client viene annullata dopo un periodo di timeout di inattività. Per impostazione predefinita, il periodo di timeout è 300 secondi e può essere modificato con questo comando CLI: config network usertimeout <secondi>. In questo caso, la voce client viene rimossa dal controller. Se il client viene associato nuovamente, tornerà allo stato Webauth_Reqd.
Nota: se i client sono attivi dopo il corretto accesso, vengono deautenticati e l'immissione può ancora essere rimossa dal controller dopo il periodo di timeout della sessione configurato sulla WLAN (ad esempio, 1800 secondi per impostazione predefinita e può essere modificata usando questo comando CLI: config wlan session-timeout <ID WLAN> <secondi>). In questo caso, la voce client viene rimossa dal controller. Se il client viene associato nuovamente, verrà ripristinato lo stato Webauth_Reqd.
Se i client sono nello stato Webauth_Reqd, indipendentemente dal fatto che siano attivi o inattivi, i client verranno deautenticati dopo un periodo di timeout richiesto per l'autenticazione Web (ad esempio, 300 secondi e questa volta non è configurabile dall'utente). Tutto il traffico proveniente dal client (autorizzato tramite ACL di pre-autenticazione) verrà interrotto. Se il client viene
associato nuovamente, tornerà allo stato Webauth_Reqd.
Accesso client
Attenersi alla seguente procedura:
Aprire una finestra del browser e immettere un URL o un indirizzo IP. La pagina di autenticazione Web viene visualizzata sul client.Se sul controller è in esecuzione una versione precedente alla 3.0, l'utente deve immettere https://1.1.1.1/login.html per visualizzare la pagina di autenticazione Web.Viene visualizzata una finestra di avviso di protezione.
1.
Per continuare, fare clic su Sì.
2.
Quando viene visualizzata la finestra Accesso, immettere il nome utente e la password dell'utente di rete locale
creato.
Se l'accesso ha esito positivo, vengono visualizzate due finestre del browser. La finestra ingrandita indica che l'accesso è riuscito e questa finestra consente di navigare in Internet.
Utilizzare la finestra più piccola per disconnettersi al termine dell'utilizzo della rete guest.Nella schermata viene mostrato un reindirizzamento riuscito per l'autenticazione Web.Nello screenshot successivo viene visualizzata la finestra Accesso riuscito, che viene
visualizzata quando si verifica l'autenticazione.
3.
I controller Cisco 4404/WiSM possono supportare 125 accessi simultanei Web Auth Users e scalare fino a 5.000 client Web Auth.
I controller Cisco 5500 possono supportare 150 accessi simultanei Web Auth Users.
Risoluzione dei problemi di autenticazione Web
Risoluzione dei problemi di ACS
In caso di problemi con l'autenticazione tramite password, fare clic su Report e attività nella parte inferiore sinistra di ACS per aprire tutti i report disponibili. Dopo aver aperto la finestra dei report, è possibile aprire l'accounting RADIUS, i tentativi di accesso non riusciti, le autenticazioni passate, gli utenti connessi e altri report. Questi report sono file con estensione csv ed è possibile aprirli localmente nel computer. I report consentono di individuare i problemi relativi all'autenticazione, ad esempio nomi utente e/o password non corretti. ACS include inoltre la documentazione online. Se non si è connessi a una rete attiva e non è stata definita la porta di servizio, ACS utilizzerà
l'indirizzo IP della porta Ethernet per la porta di servizio. Se la rete non è connessa, è molto probabile che venga visualizzato l'indirizzo IP predefinito di Windows 169.254.x.x.
Nota: se si digita un URL esterno, il WLC consente automaticamente la connessione alla pagina di autenticazione Web interna. Se la connessione automatica non funziona, è possibile immettere l'indirizzo IP di gestione del WLC nella barra dell'URL per risolvere il problema. Osservare nella parte superiore del browser il messaggio che indica di reindirizzare per l'autenticazione Web.
Per ulteriori informazioni sulla risoluzione dei problemi di autenticazione Web, fare riferimento a Risoluzione dei problemi di autenticazione Web su un controller WLC.
Autenticazione Web con bridging IPv6
Per configurare una WLAN per il bridging IPv6, dalla GUI del controller passare alle WLAN.
Quindi, selezionare la WLAN desiderata e scegliere Avanzate dalla pagina WLAN > Modifica.
Selezionare la casella di controllo Abilita IPv6 per consentire ai client che si connettono a questa WLAN di accettare pacchetti IPv6. In caso contrario, lasciare deselezionata la casella di controllo, che rappresenta il valore predefinito. Se si disattiva o deseleziona la casella di controllo IPv6, IPv6 sarà consentito solo dopo l'autenticazione. L'attivazione di IPv6 significa che il controller può passare il traffico IPv6 senza autenticazione client.
Per informazioni più dettagliate sul bridging IPv6 e le linee guida per l'utilizzo di questa funzionalità, fare riferimento alla sezione Configurazione del bridging IPv6 della guida di configurazione di Cisco Wireless LAN Controller, versione 7.0.
Informazioni correlate
Esempio di configurazione dell'autenticazione Web esterna con i controller LAN wireless
●
Risoluzione dei problemi di autenticazione Web su un controller WLC
●
Cisco Wireless LAN
●
Esempio di configurazione dell'accesso guest a reti cablate tramite i controller WLAN Cisco
●
Guida alla configurazione di Cisco Wireless LAN Controller, versione 7.0 - Gestione degli account utente
●
Autenticazione dell'amministratore della sala di attesa del controller LAN wireless tramite server RADIUS
●
Documentazione e supporto tecnico – Cisco Systems
●
