使用融合接入配置外部Web身份驗證(5760/3650/3850)

下載選項

  • PDF     (862.7 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (669.4 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (569.6 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2017 年 9 月 11 日
文件 ID:212039

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文定義如何使用整合存取控制器設定外部Web驗證。在本例中,訪客門戶頁面和憑證身份驗證都位於身份服務引擎(ISE)上。 

    必要條件

    需求

    思科建議您瞭解以下主題:

    1. 思科融合接入控制器。

    2. Web驗證

    3. 思科ISE

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    1. Cisco 5760控制器(下圖中的NGWC),03.06.05E

    2. ISE 2.2

    設定

    網路圖表

    CLI配置

    控制器上的RADIUS配置

    第1步:定義外部RADIUS伺服器

    radius server ISE.161
address ipv4 10.48.39.161 auth-port 1812 acct-port 1813
timeout 10
retransmit 5
key Cisco123

    步驟2:。定義AAA radius組並指定要使用的radius伺服器

    aaa group server radius ISE-Group
server name ISE.161
deadtime 10

    步驟 3.定義指向RADIUS組的方法清單並將其對映到WLAN下。

    aaa authentication login webauth group ISE-Group

    引數對應組態

    步驟 4.使用外部和內部webauth所需的虛擬ip位址設定全域引數對應。註銷按鈕使用虛擬IP。配置不可路由的虛擬IP始終是一種好的做法。

    parameter-map type webauth global
type webauth
virtual-ip ipv4 1.1.1.1

    步驟5:設定具名引數對應。其作用類似於webauth方法型別。此操作將在WLAN配置下呼叫。

    parameter-map type webauth web
type webauth
redirect for-login https://10.48.39.161:8443/portal/PortalSetup.action?portal=0c712cd0-6d90-11e5-978e-005056bf2f0a
redirect portal ipv4 10.48.39.161


    預先驗證ACL。這也會在WLAN下被稱作。

    第6步:配置Preauth_ACL,在身份驗證結束之前允許訪問ISE、DHCP和DNS

    ip access-list extended Preauth_ACL
permit ip any host 10.48.39.161
permit ip host 10.48.39.161 any
permit udp any eq bootps any
permit udp any any eq bootpc
permit udp any eq bootpc any
permit udp any eq domain any
permit udp any any eq domain

    WLAN配置

    第7步:配置WLAN

    wlan ext-webauth 7 ext-webauth
client vlan vlan232
ip access-group web Preauth_ACL
no security wpa
no security wpa akm dot1x
no security wpa wpa2
no security wpa wpa2 ciphers aes
security web-auth
security web-auth authentication-list webauth
security web-auth parameter-map web
session-timeout 1800
no shutdown

    第8步:打開http伺服器。 

    ip http server  

ip http secure-server (for secure web-auth, use 'no' to disable secure web)

    GUI配置

    我們在這裡採取與上述相同的步驟。螢幕截圖僅供參考。

    第1步:定義外部RADIUS伺服器

     步驟2:。定義AAA radius組並指定要使用的radius伺服器

    步驟 3.定義指向RADIUS組的方法清單並將其對映到WLAN下。

    引數對應組態

    步驟 4.使用外部和內部webauth所需的虛擬ip位址設定全域引數對應。註銷按鈕使用虛擬IP。配置不可路由的虛擬IP始終是一種好的做法。

    步驟5:設定具名引數對應。其作用類似於webauth方法型別。此操作將在WLAN配置下呼叫。

    預先驗證ACL。這也會在WLAN下被稱作。

    第6步:配置Preauth_ACL,在身份驗證結束之前允許訪問ISE、DHCP和DNS

    WLAN配置

    第7步:配置WLAN

    驗證

    連線使用者端,並確定如果您開啟瀏覽器,使用者端將會重新導向至您的登入入口網站頁面。以下螢幕截圖顯示了ISE訪客門戶頁面。

    提交正確的憑證後,將顯示成功頁面:

    ISE伺服器將報告兩個身份驗證:一個在訪客頁面本身(底線僅包含使用者名稱),另一個在WLC透過RADIUS身份驗證提供相同使用者名稱/密碼後進行身份驗證(只有此身份驗證才能使客戶端進入成功階段)。如果未進行RADIUS身份驗證(使用MAC地址和WLC詳細資訊作為NAS),將驗證RADIUS配置。

    TAC Authored

    由思科工程師貢獻

    • Ritin Mahajan
      Cisco TAC

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品