Configurer l'authentification Web locale avec l'authentification à distance (2023)

Introduction

Ce document décrit comment configurer l'authentification Web locale avec l'authentification à distance sur WLC 9800 et ISE.

Conditions

Exigences

Cisco vous recommande de prendre en compte les rubriques suivantes :

• Configuration des contrôleurs LAN sans fil 9800 (WLC).
• Points d'accès légers (LAP)
• Comment installer et configurer un serveur Web distant Identity Services Engine (ISE).
• Comment installer et configurer les serveurs DHCP et DNS.

Ingrédients utilisés

Les informations contenues dans ce document sont basées sur les versions matérielles et logicielles suivantes :

• WLC 9800-L Cisco IOS® XE, version 17.9.3
• Correctif 10 de la version 2.6 du moteur de services d'identité (ISE)

Les informations contenues dans ce document ont été créées à partir d'appareils dans un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration supprimée (par défaut). Le fait de savoir que vous êtes au courant vous protégera des incidents potentiels d'effraction.

Certification Web

L'authentification Web est une fonction de sécurité de couche 3 qui permet aux utilisateurs invités d'accéder au réseau.

Cette fonctionnalité est conçue pour fournir un accès invité facile et sécurisé aux SSID ouverts sans avoir à configurer un profil utilisateur, et peut également fonctionner avec les méthodes de sécurité de couche 2.

Le but de l'authentification Web est de permettre aux appareils non fiables (invités) d'accéder au réseau avec des droits d'accès au réseau limités, via un WLAN hébergé qui peut être configuré avec des mécanismes de sécurité et la sécurité du réseau ne semble pas compromise. Pour accéder au réseau, les utilisateurs invités doivent s'authentifier correctement, c'est-à-dire fournir les informations d'identification correctes ou accepter la politique d'utilisation acceptable (AUP) pour accéder au réseau.

L'authentification Web profite aux entreprises car elle favorise l'engagement des utilisateurs, aligne l'entreprise sur l'utilisation d'une clause de non-responsabilité que l'utilisateur visiteur doit accepter et permet à l'entreprise de communiquer avec les visiteurs.

Pour mettre en œuvre l'authentification Web, vous devez réfléchir à la manière dont le portail invité et l'authentification sont gérés. Il existe deux méthodes couramment utilisées :

• Authentification Web locale (LWA) : méthode permettant de diriger les utilisateurs visiteurs vers un portail directement à partir du WLC. La redirection et l'ACL avant WebAuth sont configurées localement sur le WLC.
• Authentification Web centrale (CWA) : méthode de redirection des utilisateurs invités où l'URL de redirection et la liste de contrôle d'accès de redirection sont configurées de manière centralisée sur un serveur distant (par exemple, ISE) et transmises au WLC via RADIUS. Dans l'authentification Web centralisée, l'URL de redirection et l'ACL de redirection résident de manière centralisée sur un serveur distant (tel que RADIUS). Le serveur RADIUS est celui qui gère l'authentification, il envoie des instructions au WLC. Dans CWA, le WLC ne nécessite pas de certificat d'authentification Web local, il n'a besoin que d'un certificat sur le portail Web central et nécessite un serveur d'authentification central tel qu'ISE. Pour lire le CWA plus en détail, rendez-vous surConfigurez l'authentification Web centrale (CWA) sur le Catalyst 9800 WLC et ISE.

Avec l'authentification Web locale, la passerelle Web peut résider sur le WLC ou sur un serveur distant. Dans LWA avec authentification externe, le portail Web est présent sur le WLC. Dans LWA avec un serveur Web distant, le portail Web réside sur un serveur distant (comme les salles ADN). Un exemple de LWA avec un serveur web distant est détaillé dans :Configurez le portail captif DNA Spaces avec le Catalyst 9800 WLC.

Schéma des différentes méthodes d'authentification Web :

Schéma des différentes méthodes d'authentification Web

Types d'authentification

Il existe quatre types d'authentification pour l'authentification des utilisateurs invités :

• Webauth : saisissez le nom d'utilisateur et le mot de passe.
• Acceptation (Web-passthrough) : AUP acceptée.
• Authbypass : Authentification basée sur l'adresse MAC de l'appareil de l'utilisateur invité.
• Consentement Web : combinaison nom d'utilisateur/mot de passe et consentement AUP.

Quatre types d'authentification pour authentifier les utilisateurs invités

Base de données pour l'authentification

Les informations d'identification pour l'authentification peuvent être stockées sur un serveur LDAP, localement sur le WLC ou sur le serveur RADIUS.

• Base de données locale : les informations d'identification (nom d'utilisateur et mot de passe) sont stockées localement sur le WLC.
• Base de données LDAP – Les informations d'identification sont stockées dans la base de données LDAP principale. Le WLC demande au serveur LDAP les informations d'identification d'un utilisateur spécifique dans la base de données.
• Base de données RADIUS – Les informations d'identification sont stockées dans la base de données RADIUS principale. Le WLC demande au serveur RADIUS les informations d'identification d'un utilisateur spécifique dans la base de données.

authentification Web locale

Avec l'authentification Web locale, l'utilisateur visiteur est redirigé directement du WLC vers un portail Web.

Le portail Web peut se trouver sur le WLC ou sur un autre serveur. Ce qui le rend local est le fait que l'URL de redirection et l'ACL qui correspondent au trafic doivent se trouver sur le WLC (et non sur l'emplacement du portail Web). Dans LWA, lorsqu'un utilisateur invité se connecte au WLAN invité, le WLC intercepte la connexion de l'utilisateur invité et la redirige vers l'URL du portail, où l'authentification de l'utilisateur invité est demandée. Lorsque l'utilisateur invité entre les informations d'identification (nom d'utilisateur et mot de passe), le WLC enregistre les informations d'identification. Le WLC authentifie l'utilisateur invité avec un serveur LDAP, un serveur RADIUS ou une base de données locale (base de données située localement sur le WLC). Dans le cas d'un serveur RADIUS (un serveur externe comme ISE), il peut être utilisé non seulement pour stocker les informations d'identification, mais également pour fournir des options d'auto-approvisionnement et d'enregistrement de périphérique. Dans le cas d'un serveur web externe comme Espaces ADN, il y a le portail web. Dans LWA, il y a un certificat sur le WLC et un sur le portail Web.

La figure représente la topologie générale LWA :

Topologie générale de LWA

Dispositifs de topologie de réseau LWA :

• Client : envoie des requêtes au serveur DHCP et DNS, demande l'accès au WLAN invité et répond aux requêtes du WLC.
• Point d'accès – Se connecte à un commutateur, diffuse le WLAN invité et fournit une connexion sans fil aux appareils des utilisateurs invités. Il autorise également les paquets DHCP et DNS avant l'authentification de l'invité (avant de saisir des informations d'identification valides).
• WLC : gestion des points d'accès et des clients. Le WLC héberge l'URL de redirection et l'ACL correspondante pour le trafic. Surveille les requêtes HTTP des utilisateurs visiteurs, les redirige vers un portail Web (page de connexion) où les utilisateurs visiteurs doivent s'authentifier. Capture les informations d'identification et vérifie les visiteurs des utilisateurs et envoie les demandes d'accès à un serveur distant, un serveur LDAP ou une base de données locale pour confirmer les informations d'identification valides.
• Serveur d'authentification : répond aux demandes d'accès du WLC en acceptant/refusant l'accès. Le serveur d'authentification valide les informations d'identification de l'utilisateur invité et informe le WLC si les informations d'identification sont valides ou non. Si les informations d'identification sont valides, l'utilisateur invité peut accéder au réseau (le serveur d'authentification fournit des options pour l'inscription de l'appareil et le libre-service). Si les informations d'identification ne sont pas valides, l'utilisateur invité se voit refuser l'accès au réseau.

Salle LWA :

• L'utilisateur invité est associé à un point d'accès qui diffuse le WLAN invité.
• L'utilisateur invité passe par le processus DHCP pour obtenir une adresse IP.
• L'utilisateur invité souhaite vérifier la connexion Internet sur le portail captif. S'il s'agit d'un appareil Apple, vous testez le portail Apple uniquement. S'il s'agit d'un appareil Android, essayez Android Engagement Gateway. s'il s'agit d'un appareil Windows, essayez la passerelle de test de connexion Windows.
• L'utilisateur invité envoie une requête DNS pour obtenir l'adresse IP de la passerelle dédiée. Le serveur DNS répond à la requête avec l'adresse IP correspondante.
• L'utilisateur visiteur envoie un message HTTP GET à l'adresse IP de la passerelle dédiée.
• Le WLC intercepte ce message et répond à l'utilisateur visiteur avec un HTTP 200 OK et l'URL de redirection.
• L'utilisateur invité envoie un message HTTPS GET à l'adresse IP virtuelle du WLC, et le WLC répond avec le portail Web.
• L'utilisateur visiteur est invité à entrer ses informations d'identification dans le portail Web.
• Le portail Web redirige l'utilisateur vers le WLC avec les informations d'identification fournies (si un portail Web externe est utilisé).
• Le WLC authentifie l'utilisateur invité via une base de données locale ou interroge le serveur RADIUS ou LDAP pour confirmer que les informations d'identification sont correctes (si le type d'authentification est webconsent ou webauth).
• Si les informations d'identification sont correctes, le WLC authentifie l'utilisateur invité et entre dans l'état actif. Si les informations d'identification sont incorrectes, le WLC supprimera l'utilisateur invité.
• Le WLC redirige le client vers l'URL d'origine entrée dans le navigateur Web.

LWA Flujo

Authentification Web locale avec authentification à distance

Topologie générale LWA-EA

LWA-EA est une méthode LWA dans laquelle le portail Web et l'URL de redirection résident sur le WLC et les informations d'identification sont stockées sur un serveur distant tel qu'ISE. Le WLC capture les informations d'identification et authentifie le client via un serveur RADIUS distant. Lorsque l'utilisateur invité entre les informations d'identification, le WLC vérifie les informations d'identification par rapport à RADIUS, envoie une demande d'accès RADIUS et reçoit un message d'acceptation/de refus d'accès RADIUS du serveur RADIUS. Si les informations d'identification sont correctes, l'utilisateur invité entrera dans l'état RUN. Si les informations d'identification sont incorrectes, l'utilisateur invité sera supprimé du WLC.

Flujo LWA-EA

Installer

Schéma du réseau

Schéma du réseau

Configurer l'authentification Web locale avec l'authentification à distance dans la CLI

Configurer le serveur AAA et le pool de serveurs

9800WLC> Activer
terminal de configuration 9800WLC#
9800WLC(config)#radiusserver RADIO
9800WLC(config-radius-server)#adresse ipv4port d'authentification 1812 port de compte 1813 ;
9800WLC (serveur-radio-configuration) # clé Cisco
9800WLC(config-radius-server)#exit
9800WLC(config)#aaa serveur de groupe radio RADIUSGROUP
9800WLC(config-sg-radius)#servernaam RADIO
9800WLC(config-sg-radius)#einde

Configuration de l'authentification et de l'autorisation locales

9800WLC> Activer
terminal de configuration 9800WLC#
9800WLC(config)#aaa nouveau modèle
9800WLC(config)#aaa connexion d'authentification LWA_AUTHENTICATION groupe RADIUSGROUP
9800WLC(config)#aaa autorisation réseau LWA_AUTHORIZATION groupe RADIUSGROUP
9800WLC(config)#einde

Configurer les mappages de paramètres

9800WLC> Activer
terminal de configuration 9800WLC#
9800WLC(config)#global-map-webauth-type-parameter
9800WLC(config-params-parameter-map)#virtual-ipipv4192.0.2.1
9800WLC(config-params-parameter-map)#point de confiance 
9800WLC(config-params-parameter-map)#webauth-http-enable
9800WLC(config-params-parameter-map)#end

Configuration des paramètres de sécurité WLAN

9800WLC> Activer
terminal de configuration 9800WLC#
9800WLC (configuration)#wlan LWA_EA 1 LWA_EA
9800WLC (configuration WLAN)#pas de sécurité wpa
9800WLC (configuration WLAN)#pas de sécurité wpa wpa2
9800WLC (configuration WLAN)#pas de sécurité wpa wpa2 chiffres aes
9800WLC (configuration WLAN)#pas de sécurité wpa akm dot1x
9800WLC (configuration WLAN)#autorisation web de sécurité
9800WLC (configuration WLAN)#liste d'authentification Web de sécurité LWA_AUTHENTICATION
9800WLC(config-wlan)#security web-auth parameter-map global
9800WLC (configuration WLAN)#sans fermeture
9800WLC (configuration WLAN)#ailette

Créer un profil de stratégie sans fil

9800WLC> Activer
terminal de configuration 9800WLC#
9800WLC(config)#politique de profil sans filPOLICY_PROFILE
9800WLC(config-wireless-policy)#vlan 
9800WLC(config-wireless-policy)#noshutdown
9800WLC (politique de configuration sans fil)#end

Créer un tag avec stratégie

9800WLC> Activer
terminal de configuration 9800WLC#
Stratégie de balise 9800WLC(config)#sans fil POLICY_TAG
9800WLC (balise de stratégie de configuration) #wlan LWA_EA-beleid POLICY_PROFILE
9800WLC (balise de stratégie de configuration) # einde

Attribuer un tag de stratégie à un point d'accès

9800WLC> Activer
terminal de configuration 9800WLC#
9800WLC(config)#ap>
9800WLC(config-ap-tag)#policy-tag POLICY_TAG
9800WLC(config-ap-tag)#einde

Aller à la section pour terminer la configuration côté ISEConfiguration ISE.

Configurer l'authentification Web locale avec l'authentification à distance dans l'interface utilisateur Web

Configuration AAA sur le contrôleur WLC9800

Étape 1. Ajoutez le serveur ISE à la configuration du WLC 9800.

Je vais avec toiConfiguration > Sécurité > AAA > Serveurs/Groupes > RADIUS > Serveurs > + Ajouteret écrivez les informations de serveur de RADIUS suivant les indications de l'image :

Configuration AAA sur le contrôleur WLC9800

Étape 2. Ajoutez le groupe de serveurs RADIUS.

Je vais avec toiConfiguration > Sécurité > AAA > Serveurs/Groupes > RADIUS > Groupe de serveurs > + Ajouteret entrez les informations du groupe de serveurs RADIUS :

Ajouter un groupe de serveurs RADIUS

Étape 3. Répertoriez les méthodes d'authentification.

Je vais avec toiParamètres > Sécurité > AAA > Liste des méthodes AAA > Authentification > + Ajouter :

Créer une liste de méthodes d'authentification

Étape 4. Répertoriez les méthodes d'autorisation.

Je vais avec toiParamètres > Sécurité > AAA > Liste des méthodes AAA > Autorisation > + Ajouter :

Créer une liste de méthodes d'autorisation

Configuration d'authentification Web

Créer ou modifier un mappage de paramètres. sélectionner le genrenous bâtissons, JEAdresse virtuelle IPv4doit être une adresse inutilisée sur le réseau pour éviter les conflits d'adresse IP et ajouter un pointconfiance.

Je vais avec toiParamètres > Sécurité > Authentification Web > + Ajouterou sélectionnez une carte de paramètres :

Configuration d'authentification Web

Configuration d'un réseau local sans fil (WLAN).

Étape 1. Créez le WLAN.

Je vais avec toiParamètres > Balises et profils > WLAN > +Ajouter(Paramètres > Balises et profils > WLAN > +Ajouter) et configurez le réseau selon vos besoins.

Ah le WLAN.

Étape 2. Accédez àSécurité > Niveau 2En outreFonction de sécurité de niveau 2SélectionNon.

Créer une sécurité WLAN

Étape 3. Accédez àSécurité > Couche3En outrepolitique WebSélectionnez la case,Présentation des paramètres d'authentification Websélectionner le nom du paramètre et plusliste d'authentificationsélectionnez la liste de contrôle d'authentification créée ci-dessus.

Créer la liste d'authentification WLAN

Le WLAN apparaît dans la liste WLAN :

wlan créé

Configuration du profil de stratégie

Dans un profil de stratégie, vous pouvez sélectionner, entre autres, le VLAN que les clients attribuent.

Vous pouvez utiliser votre profil de stratégie par défaut ou en créer un nouveau.

Étape 1. Créez-en un nouveauprofil de politique.

Je vais avec toiParamètres > Balises et profils > Politiqueset définissez votre profil de stratégie par défaut ou créez-en un nouveau.

Assurez-vous que le profil est activé.

Créer un nouveau profil de stratégie

Étape 2. Sélectionnez NetworkVLAN.

aller à l'ongletPolitique d'accès(stratégie d'accès) et sélectionnez le nom du VLAN dans la liste déroulante ou saisissez l'ID manuellement.

Sélectionnez RedVLAN

Configuration des balises avec stratégie

Vous pouvez associer votre SSID à votre profil de stratégie sur l'étiquette de la stratégie. Vous pouvez créer un nouveau tag avec stratégie ou utiliser le tag avec stratégie par défaut.

Je vais avec toiParamètres > Balises et profils > Balises > Politiques(Paramètres > Balises et profils > Balises > Politiques) et ajoutez-en une nouvelle si nécessaire, comme indiqué dans l'image.

Choisir+ Ajouteret associez votre profil WLAN au profil de stratégie souhaité.

Configuration des balises avec stratégie

Attribuer un tag avec stratégie

Attribuez la balise de stratégie aux points d'accès nécessaires.

Aller à pour affecter la balise à un point d'accèsParamètres > Sans fil > Points d'accès > Nom du point d'accès > Balises globales(Paramètres > Sans fil > Points d'accès > Noms des points d'accès > Étiquettes globales), effectuez l'affectation nécessaire, puis cliquez surMettre à jour et appliquer à l'appareil.

Attribuer un tag avec stratégie

ise configuration

Ajoutez le contrôleur WLC9800 à ISE

Étape 1. Allez àGestion > Ressources réseau > Périphériques réseau(Administration > Ressources réseau > Périphériques réseau) comme indiqué dans l'image.

Ajoutez le contrôleur WLC9800 à ISE

Étape 2. Cliquez sur +Ajout.

Ajouter des périphériques réseau

Il peut s'agir d'un nom de modèle, d'une version de logiciel, d'une description et d'un mappage de groupe de périphériques réseau en fonction des types de périphériques, de l'emplacement ou des WLC.

Pour plus d'informations surgroupes de périphériques réseau, voir le manuel d'administration ISEISE - Groupes de périphériques réseau.

Étape 3. Écrivez la configuration WLC du 9800 suivant les indications de l'image.Entrez la même clé RADIUSdéfini lors de la création du serveur côté WLC. puis cliquemener.

Configuration du WLC 9800

Étape 4. Allez àGestion > Ressources réseau > Périphériques réseau, vous verrez la liste des périphériques réseau.

Liste des périphériques réseau

Créer un nouvel utilisateur dans ISE

Étape 1. Allez àAdministration > Gestion des identités > Identités > Utilisateurs > Ajouter. Entrez le nom d'utilisateur et le mot de passe de l'utilisateur invité, puis cliquez surlivrer.

Créer un nouvel utilisateur dans ISE

Étape 2. Allez àAdministration > Gestion des identités > Identités > Utilisateurs, vous pouvez voir la liste des utilisateurs.

Liste des utilisateurs d'accès au réseau

Créer un profil d'autorisation

Le profil de politique est le résultat attribué à un client en fonction de ses paramètres (tels que l'adresse MAC, les informations d'authentification, le WLAN utilisé, etc.). Vous pouvez lui attribuer des paramètres spécifiques, tels que le réseau local virtuel (VLAN), les listes de contrôle d'accès (ACL), les redirections d'URL (Uniform Resource Locator), etc.

Ces étapes vous montrent comment créer le profil d'autorisation nécessaire pour rediriger le client vers la passerelle d'authentification. Notez qu'il existe déjà un effet d'autorisation Cisco_Webauth dans les versions récentes d'ISE. Ici, vous pouvez le modifier pour renommer l'ACL de redirection afin qu'elle corresponde à celle que vous avez configurée sur le WLC.

Étape 1. Allez àStratégies > Stratégies > Résultats > Autorisation > Profils d'autorisation.cliquez sur ajouterpour créer le profil d'autorisationLWA_EA_AUTHORIZATION. Les détails de l'attribut doivent être Access Type=ACCESS_ACCEPT. Cliquez sur Soumettre.

Créer un profil d'autorisation

Étape 2. Accédez àPolitiques > Politiques > Résultats > Autorisation > Profil d'autorisation,vous pouvez afficher les profils d'autorisation.

Liste des profils d'autorisation

Configurer une règle d'authentification

Étape 1. Allez àStratégies > Ensembles de stratégies.Sélectionnez Ajouter et saisissez le nom de l'ensemble de règlesLWA_EA_POLICY. Cliquez sur la colonneConditionset cette fenêtre apparaît.

Configurer une règle d'authentification

Étape 2. À l'intérieurDictionnaire, sélectionnerl'accès au réseau.

Dictionnaire d'accès au réseau

Étape 3. À l'intérieurFonctionnalité, sélectionnerNom d'utilisateur.

propriété de nom d'utilisateur

Étape 4. Voilàégal àune espèceestomacdans la zone de texte (le nom d'utilisateur défini dansAdministration > Gestion des identités > Identités > Utilisateurs).

Nom d'utilisateur invité

Étape 5. Cliquez surRougir(enregistrer) pour enregistrer les modifications.

Étape 6. Réunion àStratégies > Ensembles de stratégies.Dans l'ensemble de règles que vous avez créé, dans la colonneProtocoles autorisés/ordre des serveurs,SélectionAccès réseau standard.

Ensembles de règles

Étape 7. Cliquez surRougir(enregistrer) pour enregistrer les modifications.

Configurer les règles d'autorisation

La règle d'autorisation est ce qui détermine quelles autorisations (quel profil d'autorisation) s'appliquent au client.

Étape 1. Allez àStratégies > Ensembles de stratégies.Cliquez sur l'icône de flèche pour l'ensemble de stratégies que vous avez créé.

Flèche Stratégiespel

Étape 2. Sur la même page, développez Policy Setpolitique d'autorisationComme le montre l'image. dans la colonneProfil, supprimerAccès refuséet ajouterLWA_EA_AUTHORIZATION.

politique d'autorisation

Étape 3. Cliquez surRougir(enregistrer) pour enregistrer les modifications.

Modifier la politique d'autorisation

connexion client invité

Étape 1. Sur votre ordinateur/téléphone, accédez aux réseaux Wi-Fi et recherchez le SSIDLWA_EAet sélectionnezje me connecte.

connexion client invité

Étape 2. Une fenêtre de navigateur apparaîtra avec la page de connexion. L'URL de redirection se trouve dans la zone URL et vous en avez besoinNom d'utilisateuryMot de passepour accéder au réseau. Alors choisimener.

Page de connexion avec URL de redirection

Remarqué: L'URL présentée est fournie par le WLC. Contient l'adresse IP virtuelle du WLC et la redirection pour l'URL de test de connexion Windows.

Étape 3. Allez àFonctions > RADIUS > Journaux en direct. Le périphérique client a été authentifié.

Enregistrements radio en direct

compte

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Afficher le résumé du WLAN

9800WLC#Afficher le résumé du WLAN
Numéro Wi-Fi : 3
ID de profil Nom État SSID Sécurité
--------------------------------------------------
1 WLAN1 WLAN1 APAGADO [WPA2][802.1x][AES]
2 WLAN2 WLAN2 UP [WPA2][PSK][AES], filtré MAC
34 LWA_EA LWA_EA UP [ouvert], [Vérification Web]9800WLC#toon wlan-naam LWA_EANom du profil WLAN : LWA_EA
==============================================
Numéro d'identité : 34
Description :
Nom du réseau (SSID) : LWA_EA
Statut : Activé
Diffusion SSID : Activé
Enregistrement des annonces : désactivé
Gestionnaire AP universel : désactivé
(...)
Nom de la liste comptable :
Nom de la liste d'authentification 802.1x : désactivé
Nom de la liste d'autorisation 802.1x : désactivé
Sécurité
Authentification 802.11 : système ouvert
Clés WEP statiques : désactivées
Accès Wi-Fi protégé (WPA/WPA2/WPA3) : désactivé
Mode de transition OWE : désactivé
OSEN : désactivé
Prise en charge FT : adaptative
Délai de reconnexion FT (sec) : 20
Mode FT Over-The-DS : désactivé
Prise en charge PMF : désactivée
PMF Association Comeback Time-out (seg): 1
Temps de recherche PMF SA (ms): 200
Authentification Web : Activé
ACL IPv4 : non configuré
ACL IPv6 : non configuré
Redirection Web conditionnelle : désactivée
Redirection Web de la page d'accueil : désactivée
Erreur de filtre Webauth On-mac : désactivé
Nom de la liste d'authentification Webauth : LWA_AUTHENTICATION
Nom de la liste d'autorisation Webauth : désactivé
Carte des paramètres Webauth : global
Sélectionner la bande : désactivé
Équilibrage de charge : désactivé
(...)

Afficher la carte des paramètres de configuration

9800WLC#configuration d'exécution de toon | section global webauth type map-parameter
mappage global des types de paramètres WebAuth
type webau
IP virtuel IPv4 192.0.2.1
point de confiance 9800-17-3-3_WLC_TP
habilitar webauth-http

Afficher les informations AAA

9800WLC#afficher l'authentification de la liste de méthodes aaa
file d'attente d'authentification=AAA_ML_AUTHEN_LOGIN
nom=valide par défaut=TRUE id=0:state=ALIVE:LOCAL
name=LWA_AUTHENTICATION valid=TRUE id=E0000007:state=ALIVE:SERVER_GROUP RADIUSGROUP
file d'attente d'authentification=AAA_ML_AUTHEN_ENABLE
file d'attente d'authentification=AAA_ML_AUTHEN_PPP
file d'attente d'authentification=AAA_ML_AUTHEN_SGBP
(...)
9800WLC#afficher les listes de méthodes aaa ok
auteurswachtrij=AAA_ML_AUTHOR_SHELL
nom=valide par défaut=TRUE id=0:state=ALIVE:LOCAL
auteurswachtrij=AAA_ML_AUTHOR_NET
nom=valide par défaut=TRUE id=0:state=ALIVE:LOCAL
nom=rq-authoAAA valid=TRUE id=83000009:status=ALIVE:SERVER_GROUP RADIUSGROUP
name=LWA_AUTHORIZATION valid=TRUE id=DB00000A:status=ALIVE:SERVER_GROUP RADIUSGROUPi
code auteur=AAA_ML_AUTHOR_CONN
auteurswachtrij=AAA_ML_AUTHOR_IPMOBILE
chien de garde de l'auteur=AAA_ML_AUTHOR_RM
(...)
9800WLC#serveurs toon aaa
RADIUS : id 3, priorité 1, hôte 10.48.39.247,
port d'authentification 1812, port de compte 1813, nom d'hôte RADIUS
Statut : actuel UP, durée 171753s, durée précédente 0s
Décès : temps total 0 sec, compte 0
État de la plate-forme SMD : UP actuel, durée 171 753 s, durée précédente 0 s
Plate-forme SMD morte : temps total 0, compte 0
État de la plate-forme WNCD (1) : actuel UP
(...)

Réparer

Problèmes communs

Voici plusieurs guides de dépannage de l'authentification Web, notamment :

• Les utilisateurs ne peuvent pas s'authentifier.
• Problèmes de certificat.
• L'URL de redirection ne fonctionne pas.
• Les utilisateurs invités ne peuvent pas se connecter au WLAN invité.
• Les utilisateurs ne reçoivent pas d'adresse IP.
• Impossible de rediriger vers la page de connexion d'authentification Web.
• Une fois l'authentification réussie, les utilisateurs invités ne pourront pas accéder à Internet.

Ces guides décrivent les étapes de dépannage :

• Résoudre les problèmes courants d'authentification Web
• Autres situations de dépannage

Épuration conditionnelle et trace radioactive et capture de paquets intégrée

Vous pouvez activer le débogage conditionnel et capturer le suivi radio actif (RA), qui fournit des suivis de niveau débogage pour tous les processus qui interagissent avec la condition spécifiée (dans ce cas, l'adresse MAC du client). Utilisez les étapes de l'assistant pour activer le débogage conditionnel,Purification conditionnelle et détection radioactive.

Vous pouvez également collecter des données Embedded Packet Capture (EPC). EPC est une fonctionnalité de capture de paquets qui vous permet d'afficher les paquets destinés, émis et envoyés via un Catalyst 9800 WLC.ken dePaquets DHCP, DNS et HTTP GET vers LWA. Ces enregistrements peuvent être exportés pour une analyse hors ligne avec Wireshark. Voir les étapes détaillées sur la façon de procéderJournalisation des paquets intégrée.

Un exemple d'effort réussi

Il s'agit de la sortie de RA_traces pour une tentative réussie d'identification de chacune des étapes du processus de connexion/authentification tout en étant connecté à un SSID invité avec un serveur RADIUS.

Association/Authentification 802.11 :

[client-orch-sm][17062] : (opérations) : MAC : 0c0e.766c.0e97 Koppeling ontvangen. BSSID cc70.edcf.552f, WLAN LWA_EA, Υποδοχή 1 AP cc70.edcf.5520, NO_MOVER.Static_AP1
[client-orch-sm] [17062] : (débogage) : MAC : 0c0e.766c.0e97 Requête de connexion Dot11 reçue. Traitement lancé, SSID : LWA_EA, profil de stratégie : POLICY_PROFILE, nom du point d'accès : DO_NOT_MOVE.Static_AP1, adresse MAC du point d'accès : cc70.edcf.5520BSSID MAC0000.0000.0000.0000 LAN 41RS4U
[cliente-orch-state] [17062] : (opération) : MAC : 0c0e.766c.0e97 Clientstatusovergang : S_CO_INIT -> S_CO_ASSOCIATING
[dot11-validate] [17062] : (info) : MAC : 0c0e.766c.0e97 Dot11, c'est-à-dire valider les tarifs ext/supp. Validation réussie pour les valeurs supportées radio_type 2
[dot11-validate] [17062] : (info) : MAC : 0c0e.766c.0e97 WiFi direct : Dot11 valide P2P IE. IE P2P est manquant.
[dot11] [17062] : (débogage) : MAC : 0c0e.766c.0e97 dot11 envoie une réponse d'association. Réponse de mappage de trame avec resp_status_code : 0
[dot11] [17062] : (foutopsporing) : MAC : 0c0e.766c.0e97 dot11 capaciteitinformatie byte1 1, byte2 : 11
[dot11-frame] [17062] : (info) : MAC : 0c0e.766c.0e97 Wi-Fi Direct : Ignore Resp Assoc creation with P2P IE : Politique Wi-Fi Direct désactivée
[dot11] [17062] : (info) : MAC : 0c0e.766c.0e97 dot11 envoie une réponse d'association. Envoyer la longueur de la réponse associée : 130 avec resp_status_code : 0, DOT11_STATUS : DOT11_STATUS_SUCCESS
[dot11] [17062] : (commentaire) : MAC : 0c0e.766c.0e97 Couplage réussi. AID 1, Roam=False, WGB=False, 11r=False, 11w=False Fast Roam=False
[dot11] [17062] : (information) : MAC : 0c0e.766c.0e97 Overgang DOT11 : S_DOT11_INIT -> S_DOT11_ASSOCIATED
[client-orch-sm] [17062] : (débogage) : MAC : 0c0e.766c.0e97 Montage du lecteur Dot11 réussi.

Processus d'apprentissage IP :

[client-orch-state] [17062] : (opération) : MAC : 0c0e.766c.0e97 Transition d'état client : S_CO_DPATH_PLUMB_IN_PROGRESS -> S_CO_IP_LEARN_IN_PROGRESS
[apprentissage client] [17062] : (πληροφορίες) : MAC : 0c0e.766c.0e97 Transition d'apprentissage IP : S_IPLEARN_INIT -> S_IPLEARN_IN_PROGRESS
[authentification client] [17062] : (πληροφορίες) : MAC : 0c0e.766c.0e97 État de l'interface d'authentification client sur le groupe : S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_L2_WEBAUTH_DONE
[Client IP Gains] [17062] : (commentaire) : MAC : 0c0e.766c.0e97 Apprentissage de l'adresse IP du client. Méthode : IP DHCP : 10.48.39.243
[apprentissage client] [17062] : (πληροφορίες) : MAC : 0c0e.766c.0e97 Transition depuis IP-learning : S_IPLEARN_IN_PROGRESS -> S_IPLEARN_COMPLETE
[client-orch-sm] [17062] : (débogage) : MAC : 0c0e.766c.0e97 Réponse d'apprentissage IP reçue. méthode : IPLEARN_METHOD_DHCP

Authentification de niveau 3 :

[client-orch-sm] [17062] : (débogage) : MAC : 0c0e.766c.0e97 Authentification C3 activée. statut = 0x0 , Succès
[client-orch-state] [17062] : (opération) : MAC : 0c0e.766c.0e97 Transition d'état client : S_CO_IP_LEARN_IN_PROGRESS -> S_CO_L3_AUTH_IN_PROGRESS
[authentification client][17062] : (commentaire) : MAC : 0c0e.766c.0e97 L'authentification L3 a démarré. loi
[client d'authentification] [17062] : (πληροφορίες) : MAC : 0c0e.766c.0e97 Interface d'authentification du client d'état sur le groupe : S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING

[webauth-httpd] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]GET rcvd dans l'état LOGIN
[webauth-httpd] [17062] : (infos) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Requête HTTP GET
[webauth-httpd] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243] Résolution GET, src [10.48.39.243] dst [10.10.17] dst [10.48.39.243]http://firefox detecta portal/]
[webauth-httpd] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243] Classe complète : parse_request return 8
[webauth-io][17062] :(info) :capwap_90000004[0c0e.766c.0e97][10.48.39.243]56538/219 LIRE L'ÉTAT DES E/S -> ÉCRIRE
[weauth-io][17062] :(info) :capwap_90000004[0c0e.766c.0e97][10.48.39.243]56538/219 I/O STATUS WRITE -> READ
[webauth-io][17062]:(info):capwap_90000004[0c0e.766c.0e97][10.48.39.243]56539/218 I/O Status NEW -> READ
[webauth-io][17062] :(info) :capwap_90000004[0c0e.766c.0e97][10.48.39.243]56539/218 Événement de lecture, prêt pour le message
[weauth-httpd][17062] :(info) :capwap_90000004[0c0e.766c.0e97][10.48.39.243]MAIL reçu dans l'état LOGIN

Authentification de couche 3 réussie, passez le client à l'état actif :

[auth-mgr][17062]:(info):[0c0e.766c.0e97:capwap_90000004] Nom d'utilisateur invité reçu pour le client 0c0e.766c.0e97
[auth-mgr] [17062] : (info) : [0c0e.766c.0e97 : capwap_90000004] notification d'ajout/de modification de l'attribut auth mgr pour attr auth-domain (954)
[auth-mgr][17062] :(info) :[0c0e.766c.0e97:capwap_90000004] Modification de l'état de la méthode d'authentification Web de « En cours d'exécution » à « Authentification complète »
[auth-mgr][17062] :(info) :[0c0e.766c.0e97:capwap_90000004] Changement de l'état de l'environnement de « En cours d'exécution » à « Authentification réussie »
[auth-mgr] [17062] : (info) : [0c0e.766c.0e97 : capwap_90000004] ajouter/modifier l'avertissement d'attribut du gestionnaire d'authentification pour la méthode attr(757)
[auth-mgr][17062]:(info):[0c0e.766c.0e97:capwap_90000004] Événement activé AUTHZ_SUCCESS(11)
[auth-mgr][17062]:(info):[0c0e.766c.0e97:capwap_90000004] L'état du contexte est passé de "Authc Success" à "Authz Success"
[webauth-acl][17062] :(πλ. ID : 0
[webauth-sess] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Répertoire des paramètres utilisés : global
[webauth-state] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]Carte des paramètres utilisée : globale
[statut webauth] [17062] : (info) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]AUTHC_SUCCESS Status -> AUTHZ
[page webauth][17062] :(info) :capwap_90000004[0c0e.766c.0e97][10.48.39.243]Page de réussite de la soumission Webauth
[weauth-io][17062] :(info) :capwap_90000004[0c0e.766c.0e97][10.48.39.243]56539/218 STATUT ENREGISTREMENT ENTRÉE -> ENREGISTREMENT
[weauth-io][17062] :(info) :capwap_90000004[0c0e.766c.0e97][10.48.39.243]56539/218 ÉCRITURE D'ÉTAT D'E/S -> FIN
[webauth-httpd][17062]:(info):capwap_90000004[0c0e.766c.0e97][10.48.39.243]56539/218 Supprimer I/O ctx et fermer le socket, id [99000029]
[authentification client][17062] : (commentaire) : MAC : authentification L3 0c0e.766c.0e97 réussie. LCA :[]
[authentification client] [17062] : (info) : MAC : 0c0e.766c.0e97 Transition d'état de l'interface d'authentification client : S_AUTHIF_WEBAUTH_PENDING -> S_AUTHIF_WEBAUTH_DONE
[webauth-httpd] [17062] : (πληροφορίες) : capwap_90000004[0c0e.766c.0e97][ 10.48.39.243]56538/219 Supprimer le socket de fermeture d'E/S ctx, 2000 [D8] ;
[errmsg] [17062] : (info) : %CLIENT_ORCH_LOG-6-CLIENT_ADDED_TO_RUN_STATE : R0/0 : wncd : nom d'utilisateur (invité) associé au ssid (LWA_EA) pour l'appareil avec MAC : 0c0e.766c.0e97
[aaa-attr-inf] [17062] : (info) : [Attribut appliqué : bsn-vlan-interface-name 0 "VLAN0039"] .
[aaa-attr-inf] [17062] : (info) : [Attribut d'application : Délai d'expiration 0 1800 (0x708)]
[aaa-attr-inf] [17062] : (informations) : [Appliquer les attributs : url-redirect-acl 0 "IP-Adm-V4-LOGOUT-ACL"]
[ewlc-qos-client] [17062] : (πληροφορίες) : MAC : 0c0e.766c.0e97 Gestionnaire d'état d'exécution QoS client
[rog-proxy-capwap] [17062] : (débogage) : notification de l'état d'exécution de la gestion des clients : 0c0e.766c.0e97
[cliente-orch-state] [17062] : (opération) : MAC : 0c0e.766c.0e97 Clientstatusovergang : S_CO_L3_AUTH_IN_PROGRESS -> S_CO_RUN

Les informations pertinentes

• Assistance et téléchargements Cisco