Ejemplo de configuración de autenticación Web externa con

Anuncio
Ejemplo de configuración de autenticación Web externa con
controladores para redes LAN inalámbricas
Contenido
Introducción
Requisitos previos
Requerimientos
Componentes utilizados
Convenciones
Antecedentes
Proceso de autenticación Web externa
Configuración de la red
Configuración
Creación de una base de datos local en el WLC para usuarios invitados
Creación de una ACL de autenticación previa (solamente para los WLC de la serie 2000)
Creación de una Interfaz dinámica para los usuarios invitados
Configuración de WLAN para usuarios invitados
Configuración de WLC para la autenticación Web externa
Verificación
Resolución de problemas
El logotipo personalizado para la autenticación/transferencia Web no se carga tras la vista previa
Los clientes redireccionados al servidor externo de autenticación Web reciben una advertencia de certificado
Introducción
Este documento explica cómo utilizar un servidor Web externo para configurar un controlador para redes LAN inalámbricas (WLC) para la
autenticación Web.
Requisitos previos
Requerimientos
Asegúrese de que cumple estos requerimientos antes de intentar esta configuración:
Tener conocimiento básico de la configuración de puntos de acceso ligeros (LAP) y WLC de Cisco
Tener conocimiento básico del protocolo de punto de acceso ligero (LWAPP)
Tener conocimiento sobre la configuración y establecimiento de un servidor Web externo
Tener conocimiento sobre la configuración y establecimiento de servidores DHCP y DNS
Componentes utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware:
WLC 2006 de Cisco que ejecuta firmware versión 4.0
LAP de la serie 1000 de Cisco
Adaptador de cliente inalámbrico 802.11a/b/g de Cisco que ejecuta firmware versión 2.6
Servidor Web externo que aloja la página de conexión de la autenticación Web
Servidores DNS y DHCP para resolución de direcciones y asignación de direcciones IP a clientes inalámbricos
La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos
que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber
comprendido el impacto que puede tener cualquier comando.
Convenciones
Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.
Antecedentes
La autenticación Web es una función de seguridad de capa 3 que origina que el controlador no permita tráfico IP (excepto los paquetes
relacionados con DHCP) de un cliente determinado hasta que dicho cliente proporcione un nombre de usuario y contraseña válidos. Cuando se
utiliza la autenticación Web para autenticar clientes, debe establecer un nombre de usuario y una contraseña para cada cliente. Cuando los
clientes intentan conectarse a la LAN inalámbrica (WLAN), los usuarios deben introducir el nombre de usuario y la contraseña cuando así se
solicite en una ventana de conexión.
Utilice estas funciones para realizar la autenticación Web en el WLC:
Ventana de conexión predeterminada
Versión modificada de la ventana de conexión predeterminada
Ventana de conexión personalizada configurada por el usuario en un servidor Web externo (autenticación Web externa)
Ventana de conexión personalizada que se puede descargar al controlador
Este documento proporciona un ejemplo de configuración que explica cómo configurar el WLC a fin de utilizar una secuencia de comandos de
conexión desde un servidor Web externo.
Proceso de autenticación Web externa
Ésta es la secuencia de eventos que se produce cuando un cliente inalámbrico intenta acceder a una red WLAN que tiene la autenticación Web
externa activada:
1. El cliente (usuario final) abre un explorador Web con una URL, como www.yahoo.com.
2. Si no se autentica el cliente, el WLC transmite la solicitud al servidor Web del WLC para recopilar las credenciales de autenticación del
cliente.
3. Debido a que se utiliza la autenticación Web externa, el WLC redirecciona el usuario a la URL del servidor Web externo. La URL de
conexión de autenticación Web externa se agrega con parámetros como AP_Mac_Address, client_url (www.yahoo.com) y action_URL que
el cliente necesita para ponerse en contacto con el servidor Web del switch.
4. La URL del servidor Web externo dirige al usuario a una página de conexión. En este momento, el usuario puede utilizar una lista de
control de acceso (ACL) de autenticación previa para acceder al servidor web del switch.
5. La página de conexión toma la entrada de información de las credenciales del usuario y devuelve la solicitud al ejemplo de action_URL,
http://1.1.1.1/login.html, del servidor Web del WLC. Esto se proporciona como parámetro de entrada a la URL de redireccionamiento del
cliente, donde 1.1.1.1 es la dirección de la interfaz virtual del switch.
6. El servidor Web del WLC envía el nombre de usuario y la contraseña para su autenticación.
7. El WLC inicia la solicitud de servidor RADIUS o utiliza la base de datos local del WLC y autentica al usuario.
8. Si la autenticación es correcta, el servidor Web del WLC envía el usuario a la URL de redireccionamiento configurada o a la URL con la
que comenzó el cliente, como www.yahoo.com.
9. Si la autenticación falla, el servidor Web del WLC redirige al usuario a la URL de conexión del cliente.
Configuración de la red
El ejemplo de configuración utiliza esta configuración. Se registra un LAP en el WLC. Debe configurar una WLAN de invitados para los
usuarios invitados y activar la autenticación Web para los usuarios. También debe asegurarse de que el controlador redirecciona el usuario a la
URL del servidor Web externo (autenticación Web externa). El servidor Web externo aloja la página Web de conexión que se utiliza para la
autenticación.
Las credenciales del usuario se deben validar en la base de datos local que se encuentra en el controlador. Tras una autenticación correcta, debería
permitirse el acceso de los usuarios a la WLAN para invitados. Debe configurar el controlador y otros dispositivos para realizar esta
configuración.
Nota: En este documento se asume que los servidores DHCP, DNS y Web externo están configurados. Consulte la documentación apropiada de
terceros para obtener información sobre cómo configurar el servidor DHCP, DNS y Web externo.
Configuración
Antes de configurar el WLC para la autenticación Web externa, debe configurar el WLC para su funcionamiento básico y registrar los LAP en el
WLC. En este documento se asume que el WLC está configurado para el funcionamiento básico y que los LAP están registrados en el WLC.
Consulte Registro de AP ligero (LAP) en un controlador para redes LAN inalámbricas (WLC) (en inglés) si es un usuario nuevo que intenta
configurar el WLC para su funcionamiento básico con LAP.
Siga estos pasos para configurar los LAP y el WLC para esta configuración:
1.
2.
3.
4.
5.
Creación de una base de datos local en el WLC para usuarios invitados
Creación de una ACL de autenticación previa (solamente para los WLC de la serie 2000)
Creación de una Interfaz dinámica para los usuarios invitados
Configuración de WLAN para usuarios invitados
Configuración de WLC para la autenticación Web externa
Creación de una base de datos local en el WLC para usuarios invitados
La autenticación local permite la autenticación local del usuario en el WLC. Debe crear un usuario de red local y establecer una contraseña para
la conexión del cliente de autenticación Web. Siga estos pasos para crear la base de datos de usuarios en el WLC:
1. En la interfaz gráfica de usuario del WLC, elija Security (Seguridad).
2. Haga clic en Local Net Users (Usuarios de red local) en el menú AAA de la izquierda.
3. Haga clic en New (Nuevo) para crear un usuario nuevo.
Aparece una ventana nueva que solicita la información de nombre de usuario y contraseña.
4. Introduzca un nombre de usuario y una contraseña para crear un nuevo usuario y, a continuación, confirme la contraseña que desea utilizar.
En este ejemplo se crea el usuario User1.
5. Agregue una descripción, si lo desea.
En este ejemplo se utiliza Guest User.
6. Haga clic en Apply (Aplicar) para guardar la nueva configuración de usuario.
7. Repita los pasos 3-6 para agregar más usuarios a la base de datos.
Nota: También se puede utilizar un servidor RADIUS, como Cisco Secure ACS o cualquier otro servidor RADIUS, para crear una base de
datos de usuarios. Consulte la documentación del servidor RADIUS para obtener instrucciones sobre cómo crear la base de datos de
usuarios.
Creación de una ACL de autenticación previa (solamente para los WLC de la serie 2000)
Para los WLC de la serie 2000, debe configurar una ACL de preautenticación en la WLAN para permitir el redireccionamiento de los clientes
inalámbricos a la URL de conexión del servidor Web externo. Esta ACL debe establecerse como la ACL de autenticación previa de la WLAN
bajo Web Policy (Política de Web). Siga estos pasos para configurar la ACL de autenticación previa para la WLAN:
1. En la interfaz gráfica de usuario del WLC, seleccione Security > Access Control Lists (Seguridad > Listas de control de acceso).
Esta ventana le permite ver las ACL actuales similares a las ACL de firewall estándar.
2. Haga clic en New (Nueva) para crear una ACL nueva.
3. Introduzca el nombre de la ACL y haga clic en Apply (Aplicar).
En este ejemplo, la ACL se denomina Preauthentication-ACL.
4. Para la nueva ACL creada, haga clic en Edit (Editar).
Aparece la ventana ACL > Edit (ACL > Editar). Esta ventana permite al usuario definir nuevas reglas o modificar reglas de la ACL
existente.
5. Haga clic en Add New Rule (Agregar nueva regla).
6. Defina una regla de ACL que permita a los clientes acceder al servidor Web externo.
En este ejemplo, 172.16.1.92 es la dirección IP del servidor Web externo.
7. Haga clic en Apply (Aplicar) para procesar los cambios.
Nota: No es necesario configurar ninguna ACL de autenticación previa para los WLC de la serie 4100 o 4400 de Cisco.
Creación de una Interfaz dinámica para los usuarios invitados
Siga estos pasos para crear una interfaz dinámica para usuarios invitados:
1. En la interfaz gráfica de usuario del WLC, seleccione Controllers > Interfaces (Controladores > Interfaces).
Aparece la ventana Interfaces. Esta ventana muestra las interfaces que se configuran en el controlador. Esto incluye las interfaces
predeterminadas, que son la interfaz de administración, la interfaz de administrador de AP, la interfaz virtual y la interfaz de puerto de
servicio, así como las interfaces dinámicas definidas por el usuario.
2. Haga clic en New (Nueva) para crear una interfaz dinámica nueva.
3. En la ventana Interfaces > New (Interfaces > Nueva), introduzca el nombre de la interfaz y la ID de VLAN. A continuación, haga clic en
Apply (Aplicar).
En este ejemplo, la interfaz dinámica se denomina guest y como ID de VLAN se asigna 10.
4. En la ventana Interfaces > Edit (Interfaces > Editar), introduzca para la interfaz dinámica la dirección IP, la máscara de subred y la puerta
de enlace predeterminada. Asígnela a un puerto físico del WLC e introduzca la dirección IP del servidor DHCP. A continuación, haga clic
en Apply (Aplicar).
Configuración de WLAN para usuarios invitados
El siguiente paso es crear varias WLAN para usuarios invitados. Asimismo, se deben definir los métodos de seguridad utilizados para autenticar a
los usuarios invitados e inalámbricos. Complete estos pasos:
1. Haga clic en WLANs en la interfaz gráfica de usuario del controlador para crear una WLAN.
Aparece la ventana de WLAN. Esta ventana enumera las WLAN configuradas en el controlador.
2. Haga clic en New (Nueva) para configurar una WLAN nueva.
En este ejemplo, la WLAN se llama Guest y el ID de la misma es 1.
3. Haga clic en Apply (Aplicar).
4. En la ventana WLANs > Edit (WLANs > Editar), defina los parámetros específicos de la WLAN.
a. Para WLAN de invitado, seleccione la interfaz apropiada del campo Interface Name (Nombre de interfaz).
En este ejemplo se asigna la interfaz dinámica guest que se creó con anterioridad al invitado de la WLAN.
b. En el campo Layer 3 Security (Seguridad de capa 3), active la casilla de verificación Web Policy (Política Web) y seleccione la
opción Authentication (Autenticación).
Esta opción se elije porque la autenticación Web se utiliza para autenticar a los clientes invitados inalámbricos.
c. Seleccione la ACL de autenticación previa apropiada del menú desplegable.
En este ejemplo, se utiliza la ACL de autenticación previa creada previamente.
d. Haga clic en Apply (Aplicar).
Nota: En este ejemplo no se utilizan los métodos de seguridad de capa 2 para autenticar a los usuarios invitados. Por tanto,
seleccione None (Ninguno) en el campo Layer 2 Security (Seguridad de capa 2). De forma predeterminada, la opción de Layer 2
Security (Seguridad de capa 2) es 802.1x.
Configuración de WLC para la autenticación Web externa
El paso final consiste en configurar el WLC para la autenticación Web externa. Complete estos pasos:
1. En la interfaz gráfica de usuario del controlador, elija Security > Web Login Page (Seguridad > Página de conexión Web) para acceder a
la página de conexión Web.
2. En el cuadro desplegable Web Authentication Type (Tipo de autenticación Web), elija External (Redirect to external server) (Externa
(redirigir a servidor externo)).
3. En el campo URL, introduzca la URL de la ventana de conexión de autenticación Web en el servidor Web. Puede introducir hasta 252
caracteres.
Ya están configurados todos los dispositivos. Puede intentar conectar un cliente inalámbrico y comprobar si la configuración funciona
según lo esperado.
Verificación
Aparece el cliente inalámbrico y el usuario introduce la URL en el explorador Web; por ejemplo, www.yahoo.com. Debido a que no se ha
autenticado al usuario, el WLC le redirecciona a la URL de conexión Web externa.
Se solicitan al usuario las credenciales de usuario. Una vez que el usuario envía el nombre de usuario y la contraseña, la página de conexión
acepta la información de las credenciales de usuario y envía la solicitud al ejemplo de action_URL, http://1.1.1.1/login.html, del servidor Web del
WLC. Esto se proporciona como parámetro de entrada a la URL de redireccionamiento del cliente, donde 1.1.1.1 es la dirección de la interfaz
virtual del switch.
El WLC autentica al usuario utilizando la base de datos local configurada en el WLC. Tras la autenticación correcta, el servidor Web del WLC
envía el usuario a la URL de redireccionamiento configurada o a la URL con la que comenzó el cliente, como www.yahoo.com.
Resolución de problemas
Utilice esta sección para la resolución de problemas de la configuración.
El logotipo personalizado para la autenticación/transferencia Web no se carga tras la vista previa
Esto de debe al error de funcionamiento de Cisco CSCsg45847 (sólo para clientes registrados). Cuando utiliza la página de conexión interna
(predeterminada) en el WLC para autenticación/transferencia Web, la página de vista previa (disponible en Security > Web login page (Seguridad
> Página Web de conexión del WLC)) se carga sin problema. Sin embargo, cuando un cliente personaliza el logotipo en la página de
autenticación Web (disponible internamente en el controlador), la función de vista previa no funciona.
La página de autenticación/transferencia Web carga correctamente el logotipo Web personalizado cuando los clientes inalámbricos intentan
realizar la autenticación en la red inalámbrica. Solamente no funciona la función de vista previa. Este error de funcionamiento se ha solucionado
en el código 4.0.206.0.
Los clientes redireccionados al servidor externo de autenticación Web reciben una advertencia de certificado
Problema: Cuando los clientes se redirigen al servidor de autenticación Web externa de Cisco, reciben una advertencia de certificado. Existe un
certificado válido en el servidor y si se conecta directamente al servidor de autenticación Web externa, no se recibe la advertencia de certificado.
¿Esto se debe a que la dirección IP virtual (1.1.1.1) del WLC se presenta al cliente en vez de la dirección IP real del servidor de autenticación
Web externa asociada al certificado?
Solución: Sí. Independientemente de si realiza la autenticación Web local o externa, se conecta al servidor Web interno del controlador. Aún
cuando se realiza un direccionamiento a un servidor Web externo, recibirá la advertencia de certificado del controlador a menos que disponga de
un certificado válido en el controlador. Si el redireccionamiento se realiza a https, recibe la advertencia de certificado del controlador y del
servidor Web externo, a menos que ambos tengan un certificado válido.
Para librarse de todas las advertencias de certificado, debe tener un certificado raíz publicado y descargado en su controlador. El certificado se
publica para un nombre de host que debe introducir en el cuadro de nombre de host de DNS, en la interfaz virtual del controlador. También debe
agregar el nombre de host al servidor DNS local y apuntarlo a la dirección IP virtual (1.1.1.1) del WLC.
Consulte Generación de solicitud de firma de certificado (CSR) para un certificado de terceros en un controlador para redes WLAN (WLC) (en
inglés) para obtener más información.
© 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 18 Abril 2008
http://www.cisco.com/cisco/web/support/LA/7/77/77772_ext-web-auth-wlc.html
Descargar