收藏 分销(赏)
立即下载 开通VIP

Web认证使用LDAP无线局域网控制器WLCs配置示例.docx

上传人:快乐****生活 文档编号:3396974 上传时间:2024-07-04 格式:DOCX 页数:23 大小:867.17KB
下载 相关 举报
Web认证使用LDAP无线局域网控制器WLCs配置示例.docx_第1页
第1页 / 共23页
Web认证使用LDAP无线局域网控制器WLCs配置示例.docx_第2页
第2页 / 共23页
Web认证使用LDAP无线局域网控制器WLCs配置示例.docx_第3页
第3页 / 共23页
Web认证使用LDAP无线局域网控制器WLCs配置示例.docx_第4页
第4页 / 共23页
Web认证使用LDAP无线局域网控制器WLCs配置示例.docx_第5页
第5页 / 共23页
点击查看更多>>
资源描述

1、Web认证使用LDAP无线局域网控制器(WLCs)配置示例文件编号:108008目录简介先决条件需求使用的组件公约Web认证过程配置网络图配置配置LDAP服务器配置LDAP服务器WLC的配置Web认证的WLAN验证疑难解答相关信息简介本文档介绍了如何设置Web认证的无线局域网控制器(WLC)。这文件还介绍了如何配置作为一种轻型目录访问协议(LDAP)服务器后端数据库的Web身份验证,以检索用户凭据,验证用户。先决条件需求您尝试这种配置之前,确保你满足这些要求: 知识和思科轻型接入点的配置(LAPS)WLCs 知识轻量级接入点协议(LWAPP) 如何设置和配置LDAP,Active Direct

2、ory和域控制器的知识使用的组件在这个文件中的信息是基于这些软件和硬件版本: 思科4400 WLC的运行固件版本5.1 思科1232系列的LAP 思科802.11a/b/g无线客户端适配器,运行固件版本4.2 微软Windows2003服务器执行LDAP服务器中的作用在这个文件中的信息是从在一个特定的实验室环境的设备。所有的在这个文件中使用的设备,开始与清零(默认)配置。如果您的网络生活,确保您了解所有命令的潜在影响。公约关于文件惯例的更多信息,请参阅Cisco技术提示惯例。Web认证过程Web身份验证是第3层安全功能,使控制器禁止IP流量(除DHCP相关的数据包从一个特定的客户端,直到该客户

3、端)已经正确地提供了一个有效的用户名和密码。当您使用网络身份验证来验证客户端,你必须定义一个用户名和密码为每一个客户。然后,当客户端尝试加入无线局域网,用户必须输入用户名和密码登录页面提示时。当启用了Web认证(在第3层安全),用户有时会收到一个网页浏览器安全警报的第一次,他们试图访问一个网址用户点击后是继续执行,或如果theclient浏览器不显示安全警报,网络认证系统的客户端重定向到登录页面默认登录页包含一个Cisco徽标和思科特定的文字。您可以选择网页认证系统显示下列操作之一: 默认登录页 一个修改后的版本的默认登录页 一个定制的登录页面上配置外部Web服务器 一个定制的登录页面,你下载

4、到控制器当用户的Web认证登录页面上输入有效的用户名和密码,点击提交,根据递交全权证书和身份验证成功,验证用户身份。网页认证系统,然后显示一个成功的登录页面和身份验证的客户端重定向请求的URL。默认成功登录页面包含一个虚拟网关地址URL的指针:https:/1.1.1.1/logout.html。控制器的虚拟接口设置的IP地址作为重定向登录页面的地址。本文档介绍了如何使用Web身份验证的内部网页上WLC。这个例子使用轻型目录访问协议(LDAP)作为后端数据库服务器Web认证检索用户凭据,验证用户身份。配置在本节中,您提交的信息来配置本文档中描述的功能。注意:使用命令查找工具(只对注册客户),以

5、获得更多关于命令的详细信息在本节中使用。网络图本文使用的网络设置:配置按顺序完成这些步骤,成功地实施这种设置: 配置LDAP服务器。 配置WLC LDAP服务器。 配置Web认证的WLAN。配置LDAP服务器第一步是配置LDAP服务器,作为后端数据库,存储用户凭据无线客户端。在这个例子中,微软Windows 2003服务器使用LDAP服务器。在配置LDAP服务器的第一步是创建一个LDAP服务器上的用户数据库,以便在WLC上可以查询这个数据库来验证用户。创建域控制器上的用户组织单位(OU)中包含多个组,携带在个人条目PersonProfile。一个人可以是多个组的成员。所有对象类和属性定义LDA

6、P模式默认。每个组都包含它属于每个人的提述(DN)。在这个例子中,LDAP的用户创建一个新的OU,和用户USER1这个OU下创建的。当你配置此LDAP访问的用户,WLC可以查询此用户认证LDAP数据库。在这个例子中使用的域lab.wireless。创建一个OU下的用户数据库本节介绍如何创建您的域的一个新的OU,这个OU上创建一个新用户。1。在域控制器上,单击开始程序管理工具 Active Directory用户为了电脑启动Active Directory用户和计算机管理控制台。2。右键单击您的域名,这是lab.wireless在这个例子中,然后选择New从上下文菜单中的组织单位,以创建一个新的

7、OU。3。指定一个名称,这个OU,然后单击确定。LDAP的用户在LDAP服务器上创建新的OU,现在,下一个步骤是创建用户user1根据这个OU。为了实现这一目标,完成下列步骤:1。右键单击创建新的OU。从由此产生的上下文菜单中选择“新建”用户以创建一个新用户。2。在“用户设置”页上,填写所需的领域如这个例子所示。这个例子User1的在用户登录名“字段。这是在LDAP数据库中验证,以验证客户端的用户名。这个例子在第一名称和姓名等领域使用User1的。单击“下一步”。3。输入密码并确认密码。选择“密码永不过期”选项,然后单击下一步。4。单击“完成”。OU的LDAP的用户下创建一个新的用户user1

8、。这些都是用户凭据: 用户名:user1 密码:Laptop123现在,用户创建一个OU下,下一步就是配置LDAP访问的用户。配置LDAP访问的用户执行本节中的步骤,以配置LDAP访问的用户。启用Windows 2003 Server的的匿名绑定功能对于任何第三方应用程序(在本例中WLC)的访问在LDAP的Windows2003 AD,匿名绑定功能,必须启用Windows 2003上。默认情况下,匿名LDAP操作不允许在Windows 2003域控制器。执行这些步骤,以便使匿名绑定功能:1。启动ADSI编辑工具从该位置开始运行类型:ADSI Edit.msc。这个工具是在Windows2003

9、支持工具。2。在ADSI编辑“窗口中,展开根域(配置tsweb.lab.wireless)。展开CN =服务“CN = Windows NT的 CN=目录服务。右键单击CN= Directory服务容器中,并从上下文菜单中选择“属性”。3。在该CN =目录服务属性“窗口,”属性“下,单击dsHeuristics属性根据属性字段,然后选择编辑。在字符串属性,这个属性编辑器“窗口,输入价值0000002;点击应用和确定。匿名绑定功能是在Windows中启用2003服务器。注:最后字符(第七届)是一个控制的方式,您可以绑定到LDAP服务。 “0”或没有第七个字符意味着匿名LDAP操作被禁止。如果设置

10、第七字符“2”,它允许匿名绑定功能。允许匿名登录访问用户“USER1”下一步是授予匿名登录访问,以用户USER1。为了完成这些步骤实现这一目标:1。打开Active Directory用户和计算机。2。确保检查,查看高级功能。3。导航到用户USER1,并右键单击它。从上下文菜单中选择属性。此用户确定的第一个名字“USER1。”4。单击“安全”选项卡。5。在结果窗口中,单击添加。6。输入匿名登录,输入对象名称来选择框,并承认对话框。7。在ACL中,请注意,匿名登录访问的用户设置一些属性。点击确定。被授予此用户的匿名登录访问。格兰特列表内容权限的OU下一步是授予OU上至少列出内容权限的匿名登录用户

11、所在。在这个例子中,“USER1”位于OU“LDAP的用户。”完成以下步骤为了实现这一目标:1。在Active Directory用户和计算机,右键单击该OU的LDAP用户和选择属性。2。单击“安全性,然后高级。3。单击“添加”。在打开的对话框中中,输入匿名登录。4。确认对话框。这将打开一个新的对话框窗口。5。在应用到下拉框中,选择“仅此对象。启用列表内容允许检查框。使用LDP来识别用户的属性此GUI工具是一个LDAP客户端,使用户能够执行的操作,如连接,绑定,搜索,修改,添加或删除,反对任何LDAP兼容的目录,如Active Directory。自民党是用来查看随着它们的元数据存储在Acti

12、ve Directory中的对象,如安全描述符,复制元数据。当您安装的Windows Server 2003支持工具,从产品,包括自民党GUI工具光盘。本节说明如何使用LDP实用工具,以确定用户相关的特定属性为user1。其中一些属性是用来填补在LDAP服务器在WLC上配置参数,如用户的属性类型和用户对象类型。1。在Windows 2003服务器(即使在同一个LDAP服务器),单击“开始”“运行”并输入自民党在为了获得自民党浏览器。2。在自民党主窗口,单击“连接”“连接并连接到LDAP服务器,当您输入LDAP服务器的IP地址。3。一旦连接到LDAP服务器,从主菜单中选择“查看”,单击“树”。4

13、。在结果树视图“窗口,输入用户BaseDN中。在这个例子中,User1位于OU下的“LDAP用户”域下LAB.wireless。点击“确定”。5。自民党浏览器的左侧显示整个树,在指定的BaseDN中出现(OU = LDAP的用户,DC =,DC =无线劳顾会“)。展开树找到用户USER1。该用户可以确定与CN值,表示用户的名字。在这个例子中,它是CN= User1的。双击CN= User1的。自民党在自民党浏览器的右侧窗格中,显示所有与User1的关联的属性。这个例子说明了这一步:6。当您的LDAP服务器的配置WLC在用户属性字段,输入的名称属性中包含的用户名用户记录。从这个自民党输出,你可以

14、看到,sAMAccountName赋是一个属性,它包含用户名“USER1”,所以进入sAMAccountName属性对应到WLC上的用户属性字段。7。当您配置WLC的LDAP服务器,在用户对象类型“字段中,输入值LDAP的ObjectType属性标识为用户记录。通常情况下,用户记录有几个的ObjectType属性值,其中有一些独特的用户,其中有一些与其他类型的对象共享。在自民党输出,CN=人是一个值,标识记录作为一个用户,所以WLC上的用户对象类型属性指定的人。下一步是配置WLC的LDAP服务器。配置LDAP服务器WLC的现在,LDAP服务器的配置,下一步是在WLC上配置的LDAP的详细信息服

15、务器。 WLC的GUI上完成下列步骤:注:本文档假定,WLC配置的基本操作和注册了几圈到WLC。如果你是一个新的用户谁愿意WLC的设置与圈的基本操作,请参阅轻量级AP(LAP)的注册到无线局域网控制器(WLC)。1。在WLC的安全性“页面,选择”AAA级从左侧的任务窗格中的LDAP,以推动LDAP服务器的配置页面。为了添加一个LDAP服务器,然后单击新建。 LDAP服务器新的页面出现。2。在LDAP服务器的编辑页面中,指定LDAP服务器的详细信息,如IP地址,LDAP服务器,端口号,启用服务器的状态,等等。 选择从服务器指数(优先权)“下拉框指定的优先为了这台服务器的任何其他LDAP服务器配置

16、。最多可配置十七个服务器。如果控制器不能达到的第一台服务器,它试图在第二个名单等。 LDAP服务器中的服务器IP地址“字段中输入IP地址。 在LDAP服务器的端口号字段中输入TCP端口号。有效范围是1到65535,默认值是389。 在用户基本DN“字段中,输入在LDAP子树的专有名称(DN)服务器,它包含了所有用户的列表。例如,OU =组织单位,OU =未来组织单位,O = 。如果树包含用户的基本DN,输入O = 或DC =公司,DC = COM。在这个例子中,根据用户所在的组织单位(OU)LDAP的用户,这反过来,是创建lab.wireless域的一部分。用户群DN必须点的完整路径,用户信息

17、(按用户凭据位于EAP - FAST验证方法)。在这个例子中,用户是位于下基本DN OU = LDAP的用户,DC =实验室,直流=无线。 在用户属性字段中,输入属性名称中包含的用户记录用户名。在用户对象类型“字段中,输入LDAP的ObjectType属性的值,标识作为用户的记录。通常情况下,用户记录有几个值的ObjectType属性,一些其中独特的用户,其中一些是与其他类型的对象共享您可以取得这两个领域的价值与LDAP目录服务器浏览器工具的Windows 2003支持工具的一部分。此Microsoft LDAP浏览器的工具被称为自民党。有了这个工具的帮助下,你就可以知道用户基本DN,用户这个

18、特殊的用户属性,用户对象类型的字段。关于如何详细信息使用LDP知道这些用户的特定属性是讨论以确定在使用LDP用户属性节本文件。 在“服务器超时”字段中,输入重传之间的秒。有效的范围是2至30秒,默认值是2秒。 检查启用服务器状态“复选框启用此LDAP服务器,或取消选中它禁用它。默认值是禁用。 点击Apply提交更改。这是这个已配置为例信息:3。现在WLC上配置LDAP服务器的详细信息,下一步就是配置无线局域网为Web身份验证。配置Web认证的WLAN第一步是为用户创造一个无线局域网。完成以下步骤:1。点击无线局域网控制器的GUI,以创建一个无线局域网。WLAN的窗口出现。此窗口列出了无线局域网

19、控制器上的配置。2。单击“新建”,为了配置一个新的WLAN。在这个例子中,WLAN是一个名为Web- AUTH。3。点击“应用”。4。在WLAN“编辑”窗口,定义的参数,具体到WLAN。 检查“状态”复选框以启用WLAN。 为WLAN,选择相应的接口的接口名称“字段中。这个例子地图的管理接口连接到WLAN网络验证。5。单击“安全”选项卡。在第3层安全领域,检查Web策略复选框,并选择身份验证选项。选择此选项,因为Web身份验证是用来验证无线客户端。检查覆盖全球配置“复选框,使每WLAN网络的身份验证配置。从网络验证类型下拉菜单中选择相应的Web身份验证类型。这例如使用内部Web认证。注:Web

20、身份验证是不支持802.1x认证。这意味着你不能选择802.1x或WPA/WPA2与802.1x的第2层安全,当您使用Web认证。网站支持身份验证,与所有其他的第2层安全参数。6。点击“AAA服务器。从LDAP服务器下拉选择配置的LDAP服务器菜单。如果您使用一个本地数据库或RADIUS服务器,可以设置根据认证优先验证网络AUTH userfield的优先顺序。7。点击“应用”。注:在这个例子中,第2层安全来验证用户身份的方法都没有用,所以选择“无”在第2层安全领域。验证为了验证此设置,无线客户端连接,并检查配置是否如预期般运作。无线客户端,用户在Web浏览器,如网址,进入。由于用户尚未经过身

21、份验证,WLC将用户重定向到内部Web登录网址。提示用户输入用户凭据。一旦用户提交的用户名和密码,登录页面需要输入用户凭据,并提交后,将请求发送回action_URL例如,http:/1.1.1.1/login.html,WLC的Web服务器。这是作为输入参数,向客户提供重定向URL,其中1.1.1.1是交换机上的虚拟接口地址。WLC的LDAP用户数据库对用户进行身份验证。验证成功后,WLCWeb服务器,无论是转发的配置重定向URL或URL的用户与客户端开始,如如。TroubleshootThis section provides information you can use to trou

22、bleshoot your configuration.Use these commands to Troubleshoot your configuration: debug mac addr debug aaa all enable debug pem state enable debug pem events enable debug dhcp message enable debug dhcp packet enableThis is a sample output from the debug aaa all enable command.*Sep 19 15:16:10.286:A

23、uthenticationRequest: 0x152c8e78*Sep 19 15:16:10.286: Callback.0x10567ae0*Sep 19 15:16:10.286: protocolType.0x00000002*Sep 19 15:16:10.286: proxyState.00:40:96:AF:3E:9300:00*Sep 19 15:16:10.286: Packet contains 8 AVPs (not shown)*Sep 19 15:16:10.287: ldapTask 1 received msg REQUEST (2) in state IDLE

24、 (1)*Sep 19 15:16:10.287: LDAP server 1 changed state to INIT*Sep 19 15:16:10.287: ldapInitAndBind 1 called lcapi_init (rc = 0 Success)*Sep 19 15:16:10.296: ldapInitAndBind 1 configured Method Anonymous lcapi_bind (rc = 0 Success)*Sep 19 15:16:10.297: LDAP server 1 changed state to CONNECTED*Sep 19

25、15:16:10.297: LDAP_CLIENT: UID Search (base=OU=LDAPUSERS, DC=LAB,DC=WIRELESS, pattern=(&(objectclass=Person) (sAMAccountName=User1)*Sep 19 15:16:10.308: LDAP_CLIENT: Returned 2 msgs*Sep 19 15:16:10.308: LDAP_CLIENT: Returned msg 1 type 0x64*Sep 19 15:16:10.308: LDAP_CLIENT: Received 1 attributes in

26、search entry msg*Sep 19 15:16:10.308: LDAP_CLIENT: Returned msg 2 type 0x65*Sep 19 15:16:10.308: LDAP_CLIENT : No matched DN*Sep 19 15:16:10.308: LDAP_CLIENT : Check result error 0 rc 1013*Sep 19 15:16:10.309:ldapAuthRequest 1 called lcapi_query base= OU=LDAPUSERS,DC=LAB,DC=WIRELESS type=Person attr

27、=sAMAccountName user=User1 (rc = 0 Success)*Sep 19 15:16:10.309:Attempting user bind with username CN=User1,OU=LDAPUSERS,DC=lab,DC=wireless*Sep 19 15:16:10.335:LDAP ATTR dn = CN=User1,OU=LDAPUSERS, DC=lab,DC=wireless (size 41)*Sep 19 15:16:10.335:Handling LDAP response Success*Sep 19 15:16:10.335:00

28、:40:96:af:3e:93 Returning AAA Success for mobile 00:40:96:af:3e:93*Sep 19 15:16:10.335: AuthorizationResponse: 0x3fbf7b40*Sep 19 15:16:10.336: structureSize.137*Sep 19 15:16:10.336: resultCode.0*Sep 19 15:16:10.336: protocolUsed.0x00000002*Sep 19 15:16:10.336: proxyState. 00:40:96:AF:3E:9300:00*Sep

29、19 15:16:10.336: Packet contains 3 AVPs:*Sep 19 15:16:10.336: AVP01 Unknown Attribute 0. CN=User1,OU=LDAPUSERS,DC=lab,DC=wireless (41 bytes)*Sep 19 15:16:10.336: AVP02 UserName. User1 (5 bytes)*Sep 19 15:16:10.336: AVP03 UserPassword.*Sep 19 15:16:10.336: Authentication failed for User1, Service Typ

30、e: 0*Sep 19 15:16:10.336: 00:40:96:af:3e:93 Applying new AAA override for station 00:40:96:af:3e:93*Sep 19 15:16:10.336: 00:40:96:af:3e:93 Override values for station 00:40:96:af:3e:93 source: 48, valid bits: 0x1 qosLevel: 1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: 1 dataAvgC: 1, rTA

31、vg*Sep 19 15:16:10.337: 00:40:96:af:3e:93 Unable to apply override policy for station 00:40:96:af:3e:93 VapAllowRadiusOverride is FALSE*Sep 19 15:16:10.339: 00:40:96:af:3e:93 Sending Accounting request (0) for station 00:40:96:af:3e:93*Sep 19 15:16:10.339: AccountingMessage Accounting Start: 0x152d9

32、778*Sep 19 15:16:10.339: Packet contains 11 AVPs:*Sep 19 15:16:10.339: AVP01 UserName.User1 (5 bytes)*Sep 19 15:16:10.339: AVP02 NasPort.0x00000002 (2) (4 bytes)*Sep 19 15:16:10.339: AVP03 NasIpAddress.0x0a4df4cc (172881100) (4 bytes)*Sep 19 15:16:10.339: AVP04 FramedIPAddress.0x0a4df4c6 (172881094)

33、 (4 bytes)*Sep 19 15:16:10.339: AVP05 NASIdentifier.WLC4400 (8 bytes)*Sep 19 15:16:10.339: AVP06 Airespace / WLANIdentifier.0x00000001 (1) (4 bytes)*Sep 19 15:16:10.340: AVP07 AcctSessionId. 48d3c23a/00:40:96:af:3e:93/162 (30 bytes)*Sep 19 15:16:10.340: AVP08 AcctAuthentic.0x00000003 (3) (4 bytes)*S

34、ep 19 15:16:10.340: AVP09 AcctStatusType.0x00000001 (1) (4 bytes)*Sep 19 15:16:10.340: AVP10 CallingStationId.10.77.244.198 (13 bytes)*Sep 19 15:16:10.340: AVP11 CalledStationId.10.77.244.204 (13 bytes)Related Information Lightweight AP (LAP) Registration to a Wireless LAN Controller (WLC) Wireless

35、LAN Controller Web Authentication Configuration Example External Web Authentication with Wireless LAN Controllers Configuration Example Technical Support & Documentation Cisco SystemsContacts & Feedback | Help | Site Map 2009 2010 Cisco Systems, Inc. All rights reserved. Terms & Conditions | Privacy Statement | Cookie Policy | Trademarks ofCisco Systems, Inc

展开阅读全文
部分上传会员的收益排行 01、路***(¥15400+),02、曲****(¥15300+),
03、wei****016(¥13200+),04、大***流(¥12600+),
05、Fis****915(¥4200+),06、h****i(¥4100+),
07、Q**(¥3400+),08、自******点(¥2400+),
09、h*****x(¥1400+),10、c****e(¥1100+),
11、be*****ha(¥800+),12、13********8(¥800+)。
相似文档                                   自信AI助手自信AI助手
百度文库年卡

猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服