认证如何查看隐藏文件

无线局域网控制器Web认证配置举例文档编号:69340介绍前提要求使用的设备惯例Web方式认证在控制器上配置Web方式认证创建一个VLAN接口添加WLAN实例在WLC上配置DHCP及DNS重启WLCWeb认证下两种认证用户的方式在你的Windows计算机上配置使用Web认证客户端配置客户端登录内部Web认证配置的核对及排障核对ACS配置核对内部Web认证配置ACS排障内部Web认证排障在WLAN上没有配置认证服务器时Web认证依然向外部认证服务器发送认证请求微软IE因为缓存重定向到Web认证登录页面定制Web认证页面原则定制Web认证成功或者Web认证登录页面在WLC上定制Web认证成功或者Web认证登录页面在WCS上定制Web认证成功或者Web认证登录页面在WLAN上分配登录,登录失败,登出页面基于802.
1x认证的有条件的Web重定向相关信息介绍本文介绍了如何配置思科4400系列无线局域网控制器(WLC)支持web方式的客户端认证.
前提要求本文需要你已经掌握4400WLC的初始化配置.
使用的设备本文的内容是基于以下的硬件平台与软件版本的:y4400系列无线局域网控制器,软件版本为5.
0.
148.
0y思科4.
2版本的ACS软件,安装在微软Windows2003服务器上y思科Aironet1230系列轻型无线接入点y思科Aironet802.
11a/b/gCardBus无线网卡,软件版本为3.
6本文的内容是基于特殊的实验室环境而产生的.
所有设备都是从默认配置开始配置的.
如果你的网络正在运行中,请确保理解这些配置可能对你的网络造成的潜在影响.
惯例对更多文档惯例的信息,请参见思科技术提示惯例.
Web方式认证Web方式认证是一个三层的安全特性,在无线客户端输入正确的用户名口令之前,控制器不接受该用户的IP数据(除了DHCP相关的数据包).
Web认证可以通过WLC本地认证,也可以通过RADIUS服务器.
通常在部署访客网络时,使用Web方式认证.
典型的部署模式包括"热点"区域,例如TMobile或者星巴克.
Web方式认证提供了不需要802.
1x认证请求方或者客户端工具的简单的认证方式.
记住Web方式认证不提供数据加密.
Web认证通常被用在"热点"或者仅考虑连接性的园区环境.
本文中创建了一个新的VLAN接口和一个新的用作Web认证的WLAN.
这个VLAN接口被分配到这个WLAN上,因此接入这个WLAN的用户是在一个独立的子网.
在那些你不希望用独立子网的场合,你可以把WLAN关联到Management接口.
本文中控制器的Web认证配置包含了新建一个VLAN接口的过程.
在控制器上配置Web方式认证下文介绍了如何在控制器上配置Web方式的认证.
本文使用以下IP地址:y无线局域网控制器的IP地址是10.
77.
244.
204.
yACS服务器的地址是10.
77.
244.
196.
创建一个VLAN接口完成以下步骤:1.
在控制器的主页上,选择最上方的Controller菜单,选择左边的Interfaces栏,点击窗口右上方的New.
图1的窗口出现了.
本例中接口名字是vlan90,VLAN号是90:图12.
点击Apply,创建该VLAN接口.
一个新的窗口出现,需要你填入相关信息.
3.
本文采用以下参数:yIPAddress:10.
10.
10.
2yNetmask:255.
255.
255.
0(24bits)yGateway:10.
10.
10.
1yPortNumber:2yPrimaryDHCPServer:10.
77.
244.
204注意:这个参数应该填写DHCP服务器地址.
在本例中WLC的管理地址被用来当作DHCP服务器的地址,因为在WLC启用的DHCP功能.
ySecondaryDHCPServer:0.
0.
0.
0注意:本文不使用dier1DHCP服务器,所以使用0.
0.
0.
0.
如果你有第二台DHCP服务器,需要在这里填写地址.
yACLName:None图2显示了这些配置:图24.
点击Apply,保存配置.
添加WLAN实例现在一个VLAN接口已经配置好,你需要提供一个WLAN/SSID来支持Web认证的用户.
通过以下方式,创建一个新的WLAN/SSID:1.
打开WLC页面,点击最上方WLAN菜单,点击右上方的New.
会弹出类似图3的画面.
将类型选为WLAN.
为这个WLANSSID选择一个名字.
本例中Profile和WLAN都是Guest.
图32.
点击Apply.
出现一个新的WLAN>Edit窗口,如图4所示.
图43.
钩选WLAN的状态栏,激活该WLAN.
在接口栏,选择先前创建的VLAN接口.
在本例中,接口的名字是vlan90.
注意:其他参数不做修改,都是初始设置.
4.
点击Security栏.
出现图5.
图5通过以下步骤,完成Web认证配置:a)点击Layer2栏,选择None.
注意:当某个WLAN的二层安全策略使用802.
1xorWPA/WPA2时,你的三层安全策略不可以配置成webpassthrough.
关于控制器上二层和三层安全策略的兼容问题,参见WirelessLANControllerLayer2Layer3SecurityCompatibilityMatrix一文.
b)点击Layer3栏.
如图5所示,钩选WebPolicy框,选择Authentication选项c)点击Apply,保存配置.
d)这个时候你回到了WLAN概要页面.
确认你的Web认证选项在SSIDGuest下已经配置.
在WLC上配置DHCP及DNS完成以下步骤:1.
点击菜单页面上方的Controller.
2.
点击菜单左面的InternalDHCPServer.
3.
点击New,创建一个DHCP池.
4.
键入你需要分配给客户端的DHCP地址池.
如图6所示.
图65.
点击Apply.
6.
出现DHCPScope>Edit窗口.
7.
键入地址池的起始及终止地址.
.
在本例中,DHCP地址池是从10.
10.
10.
3到10.
10.
10.
10.
8.
键入默认网关的地址,是10.
10.
10.
1.
9.
键入DNS域名和DNS服务器的地址.
确认Status是激活的.
图7给了一个例子:图710.
点击Apply.
重启WLC由于不能在系统工作的时候完成一个或者更多的WLAN上的改变,你需要重启WLC.
修改需要在启动前或者启动中完成.
完成以下步骤来重启WLC:1.
在控制器的主界面上,选择菜单最上方的Commands.
2.
在新的窗口下,选择左边菜单上的Reboot.
如果在你的配置中有未保存的部分,你需要保存配置然后重启.
3.
点击SaveandReboot,保存配置然后重启设备.
4.
通过console连接监控设备的重启过程.
当WLC启动完毕,你可以创建你的Web认证用户了.
Web认证下两种认证用户的方式当你使用Web认证的时候,有两种认证用户的方式.
本地认证允许你使用WLC的用户去认证.
你也可以使用RADIUS服务器认证用户.
配置WLC的本地认证,完成以下步骤:本地认证用户名和密码存放在控制器的本地数据库.
用户通过WLC的这个数据库来认证.
以下步骤描述了如何在WLC上创建用户名和密码:1.
在菜单上方点击Security,进入WLC的安全配置窗口.
2.
在左边AAA菜单里,选择LocalNetUsers图8给出了例子.
图83.
点击右上方的New,创建一个新的用户.
会出现一个新的窗口,需要你填写用户名和密码.
4.
填入用户名和密码,确认密码.
本例中创建的用户是webuser1.
5.
核对你的用户是否分配到正确的WLAN上.
该动作确保这个用户只能在特定的WLAN认证使用.
本例中,WLANProfile是,Guest,该WLAN用作Web方式的认证.
6.
如果你需要,添加一个描述.
本例中使用WebAuth.
7.
点击Apply,保存用户配置.
图9给出了例子:图9RADIUS服务器的Web认证本文使用安装在Windows2003服务器上的ACS作为RADIUS服务器.
你可以使用你网络中部属的可用的RADIUS服务器.
注意:ACS可以在WindowsNT或者Windows2000服务器上安装.
关于在思科网站下载ACS,通过SoftwareCenter(Downloads)CiscoSecureSoftware(限注册用户使用).
你需要一个思科网站的帐号去下载软件.
当Web认证是通过RADIUS服务器的时候,第一个认证的询问是发给WLC本地的.
如果WLC没有回答,第二个询问发到RADIUS服务器.
ACS建立部分介绍了如何配置ACS.
你需要有DNS和RADIUS服务器.
ACS建立下文将告诉你如何建立一个ACS作为RADIUS服务器.
在你的服务器上建立ACS,然后通过以下步骤来创建认证用户:1.
当ACS问你是否需要打开ACS页面来配置的时候,点击yes.
注意:在你安装完ACS后,在你的桌面会有一个快捷图标.
2.
在左边菜单里,点击UserSetup.
这个动作把你带到了用户建立的页面,如图10所示.
图103.
键入你想用来Web认证的用户,点击Add/Edit.
在用户建立之后,会出现另一个窗口,如图11所示.
图114.
确认最上方的AccountDisabled框没有钩选,如图11所示.
5.
在PasswordAuthentication选项里,选择ACSInternalDatabase.
6.
输入2次密码.
7.
点击ClickSubmit.
在思科WLC上输入RADIUS服务器信息Enter完成以下步骤:1.
在上方的菜单中点击Security.
2.
在左边菜单里点击RadiusAuthentication.
3.
点击New,键入ACS/RADIUS服务器的地址.
本例中,ACS的地址是10.
77.
244.
196.
4.
键入Radius服务器的共享密钥.
确保密钥和在Radius服务器上为WLC配置的密钥一致.
5.
Portnumber保持默认,1812.
6.
确保ServerStatus选项是Enabled.
7.
钩选NetworkUserEnable框,这样Radius服务器就用来认证无线网络的用户了.
8.
点击Apply.
图12给了一个例子:图12图13显示了一个配置好的RADIUS服务器.
确保NetworkUser框是钩选的,AdminStatus是Enabled.
图13配置WLAN上的RADIUS服务器到目前,RADIUS服务器已经在WLC配置好了,你需要在WLAN上使用这个RADIUS服务器作Web认证.
通过以下步骤,完成WLAN上RADIUS服务器的配置.
1.
打开WLC页面,点击WLANs.
该页面显示了WLC上已配置的WLAN的列表.
点击Guest这个WLAN.
2.
在WLANs>Edit页面,点击Security菜单.
点击安全菜单下的AAAServers一栏.
如图14所示,选择Radius服务器,本例中为10.
77.
244.
196.
图143.
点击Apply.
在你的Windows计算机上配置使用Web认证一旦WLC完成了配置,客户端需要正确配置Web方式的认证.
下文介绍了如何在Windows系统上配置Web认证.
客户端配置微软无线客户端配置基本保持不变.
你只需要添加相应的WLAN/SSID配置.
完成以下步骤:1.
通过Windows的Start菜单,选择Settings>ControlPanel>NetworkandInternetConnections.
2.
点击NetworkConnection图标.
3.
右键单击LANConnection图标,选择Disable.
4.
右键单击WirelessConnection图标,选择Enable.
5.
再次右键单击WirelessConnection图标,选择Properties.
6.
从无线网络连接属性窗口,点击WirelessNetworks栏.
7.
在优选网络中,点击Add,添加Web认证的SSID.
8.
在关联栏下,键入网络名称(WLAN/SSID).
图15给出了一个例子:图15注意:数据加密选项默认为WiredEquivalentPrivacy(WEP).
为了支持Web认证,关闭数据加密.
9.
点击窗口底部的OK,保存配置.
当你连接这个WLAN的时候,你会在优选网络框中看见一个信标的图标.
图16显示了一个成功的Web认证的连接.
WLC分配给你的Windows客户端一个IP地址.
图16注意:如果你的无线客户端同时也是以VPN终端,同时你配置WLAN的Web认证的特性,除非通过了Web认证,不然VPN隧道不会建立.
只有通过了Web认证,VPN隧道才会建立.
只有那个时候,VPN隧道建立才会成功.
注意:在成功的登录之后,如果无线客户端并没有和其他设备通信,该客户端会在过了WLAN上配置的会话超时周期后断开关联.
当这样的情况发生后,该客户端处在Webauth_Reqd的状态,除非你断开连接重新打开浏览器建立连接,不然无法恢复.
当会话超时周期到达之后,这个是预计的行为.
客户端登录完成以下步骤:1.
打开浏览器,键入你所设置用来的本地认证的virtualIP地址.
使用https://1.
1.
1.
1/login.
html.
这个步骤在3.
0版本以前是非常重要的.
在之后的版本,打开任何URL都会把你重定向到web认证的页面.
同时,在所有最近的控制器软件版本中,支持通过http的web认证登录.
这个和控制器管理登录联系在一起.
为了支持这个功能,需要关闭https登录,只打开http管理.
如果现在你打开web认证,将使用http方式的登录.
出现一个安全告警窗口.
2.
点击Yes.
3.
当登录窗口出现后,键入所创建的本地用户的用户名和密码.
如果登录成功,你会看见两个浏览器窗口.
大的表示登录成功,你可以用这个窗口浏览internet.
当你的访客接入完成后,使用小的窗口登出.
图17显示了一个成功的web认证的重定向.
图17注意:这个默认的Web认证页面是由思科提供的.
这个页面也可以定制.
如何定制页面,参见本文订制Web认证通过或者Web认证登录页面的部分.
图18显示了当认证在ACS中发生时的一个登录成功的窗口图18内部Web认证配置的核对及排障核对ACS配置当你建立ACS时,记住要下载所有的补丁及最新的软件.
这样会解决一些发生过的问题.
在你使用Radius认证的时候,确保WLC配置成AAA客户端,如图19所示.
点击左手边的NetworkConfiguration菜单,进行检查.
点击AAA客户端,核对密码及认证方式.
更多关于如何配置AAA客户端的信息,参见思科ACS4.
3用户手册的配置AAA客户端章节.
图19当你选择建立用户时,核对你是否确实建立了用户.
点击ListAllUsers.
如图20所示,会出现一个窗口.
确保所创建的用户在这个列表中.
图20核对内部Web认证配置下文介绍如何检查内部web认证的配置是否工作正常.
Web认证的配置相对较为简单.
牢记要在你的客户端上的无线连接检查配置属性.
在无线网络栏下,检查UseWindowstoConfigureMyWirelessNetwork配置.
如果你使用的是Windows零配置方式,确保这个选项是钩选的.
如果你使用的是其它的客户端,请参见相关的配置文档.
确保virtual接口在Controller>Interfaces页面上配置正确.
同时,检查WLAN/SSID配置,确保你激活了这个WLAN/SSID并且正确配置了web方式认证.
ACS排障如果你有密码认证的问题,点击ACS左下方的ReportsandActivity,打开所有报告.
在你打开了报告窗口后,你可以选择打开RADIUSAccounting,FailedAttemptsforlogin,PassedAuthentications,LoggedinUsers,以及其他报告.
这些报告是.
csv文件格式的,你可以在本地打开这些文件.
看图21.
报告帮助发现认证的问题所在,比如错误的用户名密码.
ACS同样支持在线的文档.
如果你没有接入工作着的网络,或者没有定义服务端口,ACS用使用你的以太端口的IP地址作为你的服务端口.
如果你没有网络连接,你很有可能获得Windows的默认地址,类似169.
254.
x.
x.
图21注意:如果你键入了任意的外部URL,WLC自动的将你转到内部的web认证页面.
如果自动的重定向不工作,你可以输入WLC的管理地址进行排障.
查看浏览器的顶部的消息是否显示重定向到web认证.
内部Web认证排障为了在你的PC上对无线连接进行排障,带上思科Aironet350无线网卡.
某些早期的PC机带有不合规范的无线适配器.
确保带有一块可信的网卡.
记住这个网络配置是用在访客接入的环境下的.
牢记数据流是明文的.
唯一的安全措施是在web认证时候使用的用户名及密码.
Web认证经常被提及的一个问题就是页面重定向出现问题.
完成以下检查:1.
在WLC的版本早于3.
2.
150.
10时,用户必须手工键入https://1.
1.
1.
1/login.
html来连接web认证的窗口.
但如果这样的问题发生在3.
2.
150.
10以后的版本,这就和DNS解析有关.
当一个该SSID下的用户连接Internet的时候,控制器的管理地址会做一个DNS询问,查看这个URL是否合法.
如果合法,就会出现带有虚拟接口地址的认证页面.
在用户成功登录之后,原来的请求就会允许送回给客户端.
因此,确认DNS服务器是否正确配置.
你可以通过nslookup命令来查看DNS是否工作正常.
更多信息,参见思科bug号CSCsc68105(限注册用户).
2.
有时候是因为客户端的计算机安装了防火墙,阻挡了Web认证页面.
在你尝试连接登录页面前,关闭防火墙.
当web认证完成之后可以再打开防火墙.
3.
另外一个web认证不工作的原因是客户端的IP地址.
确认客户端获得的地址是合法地址段内的.
4.
在使用访客接入时,在客户端浏览器上关闭代理设置.
注意:当WLC重定向用户去进行web认证时,你可以使用域名解析代替虚拟IP地址.
你需要配置DNS名字并且在DNS上注册.
这个配置是在控制器的虚拟接口下做的.
你可以看见一个填写DNS的区域.
完成这个配置后,重定向显示的是域名而不是1.
1.
1.
1.
在WLAN上没有配置认证服务器时Web认证依然向外部认证服务器发送认证请求这个问题发生在WLAN上配置的是web认证使用本地认证,同时配置了一个默认网络RADIUS服务器.
如果客户端web认证失败,同时控制器上配置了外部的认证服务器,web认证就会把凭证发到外部认证服务器去确认.
这个是由于思科bug号CSCsh35098(限注册用户).
解决的方法是将webRADIUS认证的方法从PAP改到CHAP(ControllerGeneral).
通过这个改变,活动的数据库将拒绝认证.
默认配置下,AD只使用PAP,无法理解CHAP的hash过的密码.
微软IE因为缓存重定向到Web认证登录页面当用户使用Web认证,并且输入了用户名和密码成功登录后,浏览器会把用户重定向到登录页面而不是提供网络接入.
下面是实践发生的顺序:1.
用户选择一个WLAN并且通过认证(获得IP地址).
2.
用户打开了指向他们主页的web浏览器.
3.
浏览器自动重定向到虚拟接口地址(1.
1.
1.
1).
4.
虚拟接口地址拥有Web认证的登录页面,页面会要求一个email地址(或者用户名/密码).
5.
用户输入自己的信息.
6.
虚拟接口重定向到一个特定的web页面.
7.
用户点击首页键,页面再次重定向到虚拟接口地址,再次要求输入登录信息.
不过这次输入完之后没有重定向(一次又一次显示登录页面).
这个是由于思科bug号CSCse90894(限注册用户)造成的.
你可以下载定制Web认证页面或者升级软件到4.
0.
206.
0或者以后版本来解决这个问题.
下面是定制HTML的例子:WebAuthenticationWebAuthenticationfunctionsubmitAction(){varlink=document.
location.
href;varsearchString="redirect=";varequalIndex=link.
indexOf(searchString);varredirectUrl="";varurlStr="";if(equalIndex>0){equalIndex+=searchString.
length;urlStr=link.
substring(equalIndex);if(urlStr.
length>0){redirectUrl+=urlStr;if(redirectUrl.
length>255)redirectUrl=redirectUrl.
substring(0,255);document.
forms[0].
redirect_url.
value=redirectUrl;}}document.
forms[0].
buttonClicked.
value=4;document.
forms[0].
submit();}functionloadAction(){varurl=window.
location.
href;varargs=newObject();varquery=location.
search.
substring(1);varpairs=query.
split("&");for(vari=0;i WebAuthenticationUserName   Password