Web认证使用LDAP无线局域网控制器WLCs配置示例.docx
《Web认证使用LDAP无线局域网控制器WLCs配置示例.docx》由会员分享,可在线阅读,更多相关《Web认证使用LDAP无线局域网控制器WLCs配置示例.docx(25页珍藏版)》请在冰豆网上搜索。
Web认证使用LDAP无线局域网控制器WLCs配置示例
Web认证使用LDAP无线局域网控制器(WLCs)配置示例
文件编号:
108008
目录
简介
先决条件
需求
使用的组件
公约
Web认证过程
配置
网络图
配置
配置LDAP服务器
配置LDAP服务器WLC的
配置Web认证的WLAN
验证
疑难解答
相关信息
简介
本文档介绍了如何设置Web认证的无线局域网控制器(WLC)。
这
文件还介绍了如何配置作为一种轻型目录访问协议(LDAP)服务器
后端数据库的Web身份验证,以检索用户凭据,验证用户。
先决条件
需求
您尝试这种配置之前,确保你满足这些要求:
•知识和思科轻型接入点的配置(LAPS)WLCs
•知识轻量级接入点协议(LWAPP)
•如何设置和配置LDAP,ActiveDirectory和域控制器的知识
使用的组件
在这个文件中的信息是基于这些软件和硬件版本:
•思科4400WLC的运行固件版本5.1
•思科1232系列的LAP
•思科802.11a/b/g无线客户端适配器,运行固件版本4.2
•微软Windows2003服务器执行LDAP服务器中的作用
在这个文件中的信息是从在一个特定的实验室环境的设备。
所有的
在这个文件中使用的设备,开始与清零(默认)配置。
如果您的网络生活,确保
您了解所有命令的潜在影响。
公约
关于文件惯例的更多信息,请参阅Cisco技术提示惯例。
Web认证过程
Web身份验证是第3层安全功能,使控制器禁止IP流量(除
DHCP相关的数据包从一个特定的客户端,直到该客户端)已经正确地提供了一个有效的用户名和
密码。
当您使用网络身份验证来验证客户端,你必须定义一个用户名和密码
为每一个客户。
然后,当客户端尝试加入无线局域网,用户必须输入用户名
和密码登录页面提示时。
当启用了Web认证(在第3层安全),用户有时会收到一个网页浏览器
安全警报的第一次,他们试图访问一个网址
用户点击后是继续执行,或如果theclient浏览器不显示安全警报,网络
认证系统的客户端重定向到登录页面
默认登录页包含一个Cisco徽标和思科特定的文字。
您可以选择网页
认证系统显示下列操作之一:
•默认登录页
•一个修改后的版本的默认登录页
•一个定制的登录页面上配置外部Web服务器
•一个定制的登录页面,你下载到控制器
当用户的Web认证登录页面上输入有效的用户名和密码,点击提交,
根据递交全权证书和身份验证成功,验证用户身份。
网页
认证系统,然后显示一个成功的登录页面和身份验证的客户端重定向
请求的URL。
默认成功登录页面包含一个虚拟网关地址URL的指针:
https:
//1.1.1.1/logout.html。
控制器的虚拟接口设置的IP地址作为重定向
登录页面的地址。
本文档介绍了如何使用Web身份验证的内部网页上WLC。
这个例子
使用轻型目录访问协议(LDAP)作为后端数据库服务器Web认证
检索用户凭据,验证用户身份。
配置
在本节中,您提交的信息来配置本文档中描述的功能。
注意:
使用命令查找工具(只对注册客户),以获得更多关于命令的详细信息
在本节中使用。
网络图
本文使用的网络设置:
配置
按顺序完成这些步骤,成功地实施这种设置:
•配置LDAP服务器。
•配置WLCLDAP服务器。
•配置Web认证的WLAN。
配置LDAP服务器
第一步是配置LDAP服务器,作为后端数据库,存储用户凭据
无线客户端。
在这个例子中,微软Windows2003服务器使用LDAP服务器。
在配置LDAP服务器的第一步是创建一个LDAP服务器上的用户数据库,以便
在WLC上可以查询这个数据库来验证用户。
创建域控制器上的用户
组织单位(OU)中包含多个组,携带在个人条目
PersonProfile。
一个人可以是多个组的成员。
所有对象类和属性定义
LDAP模式默认。
每个组都包含它属于每个人的提述(DN)。
在这个例子中,LDAP的用户创建一个新的OU,和用户USER1这个OU下创建的。
当你
配置此LDAP访问的用户,WLC可以查询此用户认证LDAP数据库。
在这个例子中使用的域lab.wireless。
创建一个OU下的用户数据库
本节介绍如何创建您的域的一个新的OU,这个OU上创建一个新用户。
1。
在域控制器上,单击开始>程序>管理工具>ActiveDirectory用户
为了电脑启动ActiveDirectory用户和计算机管理控制台。
2。
右键单击您的域名,这是lab.wireless在这个例子中,然后选择New>
从上下文菜单中的组织单位,以创建一个新的OU。
3。
指定一个名称,这个OU,然后单击确定。
LDAP的用户在LDAP服务器上创建新的OU,现在,下一个步骤是创建用户user1
根据这个OU。
为了实现这一目标,完成下列步骤:
1。
右键单击创建新的OU。
从由此产生的上下文菜单中选择“新建”>用户以
创建一个新用户。
2。
在“用户设置”页上,填写所需的领域如这个例子所示。
这个例子User1的在
用户登录名“字段。
这是在LDAP数据库中验证,以验证客户端的用户名。
这个例子
在第一名称和姓名等领域使用User1的。
单击“下一步”。
3。
输入密码并确认密码。
选择“密码永不过期”选项,然后单击
下一步。
4。
单击“完成”。
OU的LDAP的用户下创建一个新的用户user1。
这些都是用户凭据:
♦用户名:
user1
♦密码:
Laptop123
现在,用户创建一个OU下,下一步就是配置LDAP访问的用户。
配置LDAP访问的用户
执行本节中的步骤,以配置LDAP访问的用户。
启用Windows2003Server的的匿名绑定功能
对于任何第三方应用程序(在本例中WLC)的访问在LDAP的Windows2003AD,
匿名绑定功能,必须启用Windows2003上。
默认情况下,匿名LDAP操作
不允许在Windows2003域控制器。
执行这些步骤,以便使匿名
绑定功能:
1。
启动ADSI编辑工具从该位置开始>运行>类型:
ADSIEdit.msc。
这个工具是
在Windows2003支持工具。
2。
在ADSI编辑“窗口中,展开根域(配置[tsweb.lab.wireless])。
展开CN=服务>“CN=WindowsNT的>CN=目录服务。
右键单击
CN=Directory服务容器中,并从上下文菜单中选择“属性”。
3。
在该CN=目录服务属性“窗口,”属性“下,单击dsHeuristics属性
根据属性字段,然后选择编辑。
在字符串属性,这个属性编辑器“窗口,输入
价值0000002;点击应用和确定。
匿名绑定功能是在Windows中启用
2003服务器。
注:
最后字符(第七届)是一个控制的方式,您可以绑定到LDAP服务。
“0”
或没有第七个字符意味着匿名LDAP操作被禁止。
如果设置第七
字符“2”,它允许匿名绑定功能。
允许匿名登录访问用户“USER1”
下一步是授予匿名登录访问,以用户USER1。
为了完成这些步骤
实现这一目标:
1。
打开ActiveDirectory用户和计算机。
2。
确保检查,查看高级功能。
3。
导航到用户USER1,并右键单击它。
从上下文菜单中选择属性。
此用户
确定的第一个名字“USER1。
”
4。
单击“安全”选项卡。
5。
在结果窗口中,单击添加。
6。
输入匿名登录,输入对象名称来选择框,并承认
对话框。
7。
在ACL中,请注意,匿名登录访问的用户设置一些属性。
点击
确定。
被授予此用户的匿名登录访问。
格兰特列表内容权限的OU
下一步是授予OU上至少列出内容权限的匿名登录
用户所在。
在这个例子中,“USER1”位于OU“LDAP的用户。
”完成以下步骤
为了实现这一目标:
1。
在ActiveDirectory用户和计算机,右键单击该OU的LDAP用户和选择
属性。
2。
单击“安全性,然后高级。
3。
单击“添加”。
在打开的对话框中中,输入匿名登录。
4。
确认对话框。
这将打开一个新的对话框窗口。
5。
在应用到下拉框中,选择“仅此对象。
启用列表内容允许检查
框。
使用LDP来识别用户的属性
此GUI工具是一个LDAP客户端,使用户能够执行的操作,如连接,绑定,搜索,修改,
添加或删除,反对任何LDAP兼容的目录,如ActiveDirectory。
自民党是用来查看
随着它们的元数据存储在ActiveDirectory中的对象,如安全描述符,
复制元数据。
当您安装的WindowsServer2003支持工具,从产品,包括自民党GUI工具
光盘。
本节说明如何使用LDP实用工具,以确定用户相关的特定属性
为user1。
其中一些属性是用来填补在LDAP服务器在WLC上配置参数,
如用户的属性类型和用户对象类型。
1。
在Windows2003服务器(即使在同一个LDAP服务器),单击“开始”>“运行”并输入自民党在
为了获得自民党浏览器。
2。
在自民党主窗口,单击“连接”>“连接并连接到LDAP服务器,当您
输入LDAP服务器的IP地址。
3。
一旦连接到LDAP服务器,从主菜单中选择“查看”,单击“树”。
4。
在结果树视图“窗口,输入用户BaseDN中。
在这个例子中,User1位于
OU下的“LDAP用户”域下LAB.wireless。
点击“确定”。
5。
自民党浏览器的左侧显示整个树,在指定的BaseDN中出现
(OU=LDAP的用户,DC=,DC=无线劳顾会“)。
展开树找到用户USER1。
该用户可以
确定与CN值,表示用户的名字。
在这个例子中,它是
CN=User1的。
双击CN=User1的。
自民党在自民党浏览器的右侧窗格中,显示所有
与User1的关联的属性。
这个例子说明了这一步:
6。
当您的LDAP服务器的配置WLC在用户属性字段,输入的名称
属性中包含的用户名用户记录。
从这个自民党输出,你可以看到,
sAMAccountName赋是一个属性,它包含用户名“USER1”,所以进入
sAMAccountName属性对应到WLC上的用户属性字段。
7。
当您配置WLC的LDAP服务器,在用户对象类型“字段中,输入值
LDAP的ObjectType属性标识为用户记录。
通常情况下,用户记录有几个
的ObjectType属性值,其中有一些独特的用户,其中有一些
与其他类型的对象共享。
在自民党输出,CN=人是一个值,标识记录
作为一个用户,所以WLC上的用户对象类型属性指定的人。
下一步是配置WLC的LDAP服务器。
配置LDAP服务器WLC的
现在,LDAP服务器的配置,下一步是在WLC上配置的LDAP的详细信息
服务器。
WLC的GUI上完成下列步骤:
注:
本文档假定,WLC配置的基本操作和注册了几圈
到WLC。
如果你是一个新的用户谁愿意WLC的设置与圈的基本操作,请参阅
轻量级AP(LAP)的注册到无线局域网控制器(WLC)。
1。
在WLC的安全性“页面,选择”AAA级>从左侧的任务
升级会员 