Erhöhen Sie das Timeout für die Webauthentifizierung auf dem Wireless LAN-Controller.

Download-Optionen

  • PDF     (183.3 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (102.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (91.8 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:26. Mai 2015
Dokument-ID:118963

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Dieses Dokument enthält die erforderlichen Schritte, damit der Web-Authentifizierungs-Service Set Identifier (SSID) einen VPN-Benutzerzugriff ohne vollständige Authentifizierung und ohne Verbindungstrennung alle paar Minuten ermöglicht. Um dies zu erreichen, muss der Benutzer das Timeout für die Webauthentifizierung (Webauthentifizierung) auf dem Wireless LAN Controller (WLC) erhöhen.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie wissen, wie der WLC für den Basisbetrieb und die Webauthentifizierung konfiguriert wird.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf einem Cisco WLC der Serie 5500, auf dem die Firmware-Version 8.0.100.0 ausgeführt wird.

Hinweis Die Erläuterung der Konfiguration und Webauthentifizierung in diesem Dokument gilt für alle WLC-Modelle und alle Cisco Unified Wireless Network-Images der Version 8.0.100.0 und höher.

Hintergrundinformationen

In vielen Kundennetzwerkumgebungen gibt es Einstellungen, die einer Gruppe von Firmenbenutzern oder Gästen den VPN-Zugriff auf bestimmte IP-Adressen ermöglichen, ohne dass die Web-Authentifizierungssicherheit übergeben werden muss. Diese Benutzer erhalten eine IP-Adresse und stellen eine direkte Verbindung zum VPN her, ohne dass Anmeldeinformationen erforderlich sind, um über Web-Authentifizierungssicherheit authentifiziert zu werden. Diese SSID wird möglicherweise von einer anderen Gruppe von Benutzern verwendet, die ebenfalls eine normale und vollständige Webauthentifizierung durchlaufen, um auf das Internet zuzugreifen. Dieses Szenario ist über eine auf der SSID konfigurierte Pre-Authentication ACL möglich, die Benutzerverbindungen zu VPN-IP-Adressen ermöglicht, bevor diese die Authentifizierung bestehen. Das Problem dieser VPN-Benutzer besteht darin, dass sie die IP-Adresse auswählen, jedoch niemals die vollständige Webauthentifizierung beenden. Aus diesem Grund wird der Timeout-Timer für die Webauthentifizierung aktiviert und der Client deauthentifiziert:

*apfReceiveTask: Sep 03 12:01:55.694: 00:24:d7:cd:ac:30 172.30.0.118 WEBAUTH_REQD (8)
 Web-Auth Policy timeout

*apfReceiveTask: Sep 03 12:01:55.694: 00:24:d7:cd:ac:30 172.30.0.118 WEBAUTH_REQD (8)
 Pem timed out, Try to delete client in 10 secs.

Der Wert dieses Timeouts beträgt 5 Minuten und hat in WLC-Versionen vor 7.6 einen festen Wert. Diese kurze Zeitüberschreitung führt dazu, dass das Wireless-Netzwerk für diese Art von Benutzern nahezu unbrauchbar ist. Die Möglichkeit, diesen Wert zu ändern, wird in WLC Version 8.0 hinzugefügt, wodurch Benutzer über vorauthentifizierten ACL-zulässigen Datenverkehr auf das VPN zugreifen können.

Konfigurieren

Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Gehen Sie wie folgt vor, um die Web-Auth-Zeitüberschreitung im WLC zu erhöhen:

  1. Erstellen Sie eine ACL, die den Datenverkehr zur VPN-IP-Adresse zulässt.

  2. Wenden Sie die ACL unter "Layer-3-Sicherheit" als Voreinstellungs-ACL in der WLAN-Konfiguration an.

  3. Melden Sie sich über die CLI an, und geben Sie den Befehl config wlan security web-auth timeout ein, um den Wert für Web-Auth-Timeout zu erhöhen: 
    (WLC)>config wlan security web-auth timeout ?
    <value> Configures Web authentication Timeout (300-14400 seconds).

    (WLC)>config wlan security web-auth timeout 3600

Überprüfen

In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Der Timeoutwert für Webauth-Sitzungen im WLAN wird angezeigt, wie die folgende Ausgabe zeigt:

(WLC)>show wlan 10
Web Based Authentication...................... Enabled
 Web Authentication Timeout.................... 3600

Fehlerbehebung

Dieser Abschnitt enthält Informationen zur Fehlerbehebung in Ihrer Konfiguration.

Geben Sie den Befehl debug client <mac-address> ein, um den Start des Webauth-Timers für den Benutzer anzuzeigen, der ohne Authentifizierung eine Verbindung zum VPN herstellt.

TAC Authored

Beiträge von Cisco Ingenieuren

  • Dhiresh Yadav
    Cisco TAC-Techniker

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.