WLC con los ejemplos de configuración de la autenticación Idap para el 802.1x y el Red-auth WLAN Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Antecedentes Formación técnica Preguntas Frecuentes Configurar Cree una red inalámbrica (WLAN) que confíe en un servidor LDAP para autenticar a los usuarios que usan el 802.1x Diagrama de la red Configuraciones Cree un SSID que confíe en un servidor LDAP para autenticar a los usuarios que usan el portal web interno del WLC Diagrama de la red Configuraciones Utilice la herramienta LDP para configurar y para resolver problemas el LDAP Verificación Troubleshooting Información Relacionada Introducción Este documento describe el procedimiento para configurar un regulador del Wireless LAN de AireOS (WLC) para autenticar a los clientes que usan un servidor del Lightweight Directory Access Protocol (LDAP) como la base de datos de usuarios. Prerrequisitos Requisitos Cisco recomienda que tenga conocimiento sobre estos temas: Servidores de Microsoft Windows Active Directory
Componentes Utilizados La información que contiene este documento se basa en estas versiones de software: Software WLC 8.2.110.0 de Cisco R2 del Microsoft Windows server 2012 La información en este documento fue creada de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si su red está viva, aseegurese que usted entiende el impacto potencial del comando any o cambia. Antecedentes Formación técnica El LDAP es un protocolo usado para acceder a los Servidores del directorio. Los Servidores del directorio son bases de datos jerárquicas, orientadas al objeto. Los objetos se ordenan en los envases tales como unidades organizativas llamadas OU, los grupos o los envases predeterminados de Microsoft como cn=users. La mayoría de la parte difícil de esta configuración es configurar los parámetros del servidor LDAP correctamente en el WLC. Para información más detallada sobre estos conceptos, refiera a la sección de la introducción de cómo configurar el regulador del Wireless LAN (WLC) para la autenticación del Lightweight Directory Access Protocol (LDAP). Preguntas Frecuentes Q. Qué nombre de usuario se debe utilizar para atar con el servidor LDAP? A.There son dos maneras de atar contra un servidor LDAP, anónimo o autenticado (refiérase para entender la diferencia entre ambos métodos). Este nombre de usuario del lazo necesita tener privilegios de administrador de poder preguntar para otros nombres de usuario/contraseñas. Q. Si está autenticado, usted necesita pedir: es el nombre de usuario del lazo dentro del mismo envase que todos los usuarios? A. La manera de especificar el nombre de usuario depende de la respuesta: Si la respuesta es NINGUNA, utilice la ruta de acceso completa. Por ejemplo: CN=Administrator, CN=Domain Admins, cn=users, DC=labm, dc=cisco, dc=com Si la respuesta es YE, después utilice el nombre de usuario solamente. Por ejemplo:
Administrador Q. Qué si hay usuarios en diversos envases? Hace toda la necesidad de usuarios implicada de la Tecnología inalámbrica LDAP de estar en el mismo envase? A. No, una base DN que incluya todos los envases necesarios puede ser especificado. Q. Qué atribuye debe el WLC buscar? A. El WLC hará juego el atributo de usuario y el tipo de objeto especificados. Nota: el samaccountname es con diferenciación entre mayúsculas y minúsculas pero la persona no es. Por lo tanto, el samaccountname=ricardo y el samaccountname=ricardo son lo mismo y trabajarán mientras que el samaccountname=ricardo y el samaccountname=ricardo no. Q. Qué métodos EAP pueden ser utilizados? A. EAP-FAST, PEAP-GTC y EAP-TLS solamente. Android, el IOS y el MacOS omiten a los suplicantes trabajan con el PEAP. Para Windows, Anyconnect NAM o el supplicant de las ventanas predeterminadas con Cisco: El PEAP se debe utilizar en los adaptadores de red inalámbrica soportados como se muestra abajo.
Q. Por qué no puede el WLC encontrar a los usuarios? A. Los usuarios dentro de un grupo no pueden ser autenticados. Necesitan ser interior al envase predeterminado (CN) o una unidad organizativa (OU) como se muestra abajo. Configurar Hay diversos escenarios en los cuales un servidor LDAP puede ser empleado, con la autenticación del 802.1x o la autenticación Web. Para este procedimiento, solamente los usuarios dentro del OU=SofiaLabOU deben ser autenticados. Para aprender cómo utilizar la herramienta
LDP, la configuración y el Troubleshooting LDAP, refieren a la guía de Configuración LDAP del WLC. Cree una red inalámbrica (WLAN) que confíe en un servidor LDAP para autenticar a los usuarios que usan el 802.1x Diagrama de la red En este escenario, la red inalámbrica (WLAN) LDAP-dot1x utiliza a un servidor LDAP para autenticar a los usuarios que usan el 802.1x. Configuraciones Paso 1. Cree un user1 del usuario en el miembro del servidor LDAP del SofiaLabOU y del SofiaLabGroup.
Paso 2. Cree un perfil EAP en el WLC con el método EAP deseado (uso el PEAP)
Paso 3. Ate el WLC con el servidor LDAP. Consejo: Si el nombre de usuario del lazo no está en la Base del usuario DN usted tiene que escribir la trayectoria entera al Usuario administrador como se muestra abajo. Si no usted puede ingresar simplemente al administrador Paso 4. Fije la orden de la autenticación que se fijará a los usuarios internos + al LDAP o al LDAP solamente.
Paso 5. Cree la red inalámbrica (WLAN) LDAP-dot1x.
Paso 6. Fije el método de seguridad L2 a WPA2 + 802.1x y fije la Seguridad L3 a ningunos.
Paso 7. Habilite la autenticación EAP local y asegúrese que las opciones de la autenticación AAA y de las estadísticas están inhabilitadas y el LDAP está habilitado.
El resto de las configuraciones se pueden dejar en los valores por defecto. Notas: Utilice la herramienta LDP para confirmar los parámetros de la configuración. La base de la búsqueda NO PUEDE ser un grupo (tal como SofiaLabGroup). PEAP-GTC o Cisco: El PEAP tiene que ser utilizado en vez de Microsoft: PEAP en el supplicant si es una máquina de Windows. Microsoft: El PEAP trabaja por abandono con el MacOS/IOS/Android. Cree un SSID que confíe en un servidor LDAP para autenticar a los usuarios que usan el portal web interno del WLC Diagrama de la red En este escenario, la LDAP-red de la red inalámbrica (WLAN) utiliza a un servidor LDAP para autenticar a los usuarios que usan el portal web interno del WLC.
Configuraciones Asegúrese que las medidas 1 a 4 se hayan tomado como en el ejemplo anterior. De allí, la configuración de la red inalámbrica (WLAN) se fija diferentemente. Paso 1. Cree un user1 del usuario en el miembro del servidor LDAP del OU SofiaLabOU y el grupo SofiaLabGroup. Paso 2. Cree un perfil EAP en el WLC con el método EAP deseado (uso el PEAP) Paso 3. Ate el WLC con el servidor LDAP. Paso 4. Fije la orden de la autenticación que se fijará a los usuarios internos + al LDAP. Paso 5. Cree la red inalámbrica (WLAN) de la LDAP-red.
Paso 6. Fije la Seguridad L2 a ningunos y la Seguridad L3 a la directiva de la red autenticación.
Paso 7. Fije la orden de la prioridad de la autenticación para que el red-auth utilice el LDAP y asegurar la autenticación AAA se inhabilita.
El resto de las configuraciones se pueden dejar en los valores por defecto. Utilice la herramienta LDP para configurar y para resolver problemas el LDAP Paso 1. Abra la herramienta LDP en el servidor LDAP o en un host con la Conectividad (el puerto TCP 389 se debe permitir al servidor) Paso 2. Haga clic en el lazo y el login con un Usuario administrador. Paso 3. Haga clic en la visión - > árbol y selecciónela OK en la base DN. Paso 4. Amplíe el árbol para ver la estructura y para buscar la base DN de la búsqueda. Considere que puede ser cualquier tipo del envase excepto los grupos. Puede ser la totalidad del dominio, un OU específico o un CN como el cn=users.
Paso 5. Amplíe el SofiaLabOU para ver qué usuarios están dentro de él. Hay el user1 que fue creado antes. Paso 6. Todo necesario para configurar el LDAP está aquí:
Paso 7. Los grupos como SofiaLabGroup no pueden ser utilizados como búsqueda DN. Amplíe al grupo y busque a los usuarios dentro de él, donde el user1 creado previamente debe estar. El user1 estaba allí pero el LDP no podía encontrarlo. Eso significa que el WLC no es poder hacerlo también y por eso no soportan a los grupos como base DN de la búsqueda. Verificación resumen del ldap del >show (del Cisco-regulador) El puerto de la dirección del servidor de Idx habilitado asegura --- ------------------------- ------ ------- ------ 1 10.88.173.121 389 sí ningún ldap 1 del >show (del Cisco-regulador) Índice del servidor... 1
Direccionamiento... 10.88.173.121 Puerto... 389 Estado del servidor... Habilitado Usuario DN... OU=SofiaLabOU, DC=labm, dc=cisco, dc=com Atributo de usuario... samaccountname Tipo de usuario... Persona Retransmita el descanso... 2 segundos Asegure (vía TLS)... Inhabilitado Método bind... autenticado Nombre de usuario del lazo... CN=Administrator, CN=Domain Admins, cn=users, DC=labm, dc=cisco, dc=com Troubleshooting cliente < dirección MAC > del >debug (del Cisco-regulador) permiso del ldap aaa del >debug (del Cisco-regulador) estadísticas del ldap del >show (del Cisco-regulador) Índice del servidor... 1 Estadísticas del servidor: Inicializado OK... 0 Inicialización fallada... 0 La inicialización revisa... 0 AUTORIZACIÓN cerrada... 0 Estadísticas de la petición: Recibido... 0 Enviado... 0 AUTORIZACIÓN... 0 Éxito... 0 Autenticación fallada... 0 Servidor no encontrado... 0 Ningunos atributos recibidos... 0 Ningún nombre de usuario pasajero... 0 No conectado con el servidor... 0 Error interno... 0 Retries... 0 Información Relacionada LDAP - Guía de configuración del WLC 8.2 Cómo configurar el regulador del Wireless LAN (WLC) para la autenticación del Lightweight Directory Access Protocol (LDAP) - por Vinay Sharma Autenticación Web usando el LDAP en el ejemplo de configuración de los reguladores del Wireless LAN (WLCs) - por Yahya Jaber y Ayman Alfares