Ejemplo de configuración de autenticación Web externa con controladores para redes LAN inalámbricas Contenido Introducción Requisitos previos Requerimientos Componentes utilizados Convenciones Antecedentes Proceso de autenticación Web externa Configuración de la red Configuración Creación de una base de datos local en el WLC para usuarios invitados Creación de una ACL de autenticación previa (solamente para los WLC de la serie 2000) Creación de una Interfaz dinámica para los usuarios invitados Configuración de WLAN para usuarios invitados Configuración de WLC para la autenticación Web externa Verificación Resolución de problemas El logotipo personalizado para la autenticación/transferencia Web no se carga tras la vista previa Los clientes redireccionados al servidor externo de autenticación Web reciben una advertencia de certificado Introducción Este documento explica cómo utilizar un servidor Web externo para configurar un controlador para redes LAN inalámbricas (WLC) para la autenticación Web. Requisitos previos Requerimientos Asegúrese de que cumple estos requerimientos antes de intentar esta configuración: Tener conocimiento básico de la configuración de puntos de acceso ligeros (LAP) y WLC de Cisco Tener conocimiento básico del protocolo de punto de acceso ligero (LWAPP) Tener conocimiento sobre la configuración y establecimiento de un servidor Web externo Tener conocimiento sobre la configuración y establecimiento de servidores DHCP y DNS Componentes utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware: WLC 2006 de Cisco que ejecuta firmware versión 4.0 LAP de la serie 1000 de Cisco Adaptador de cliente inalámbrico 802.11a/b/g de Cisco que ejecuta firmware versión 2.6 Servidor Web externo que aloja la página de conexión de la autenticación Web Servidores DNS y DHCP para resolución de direcciones y asignación de direcciones IP a clientes inalámbricos La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Convenciones Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento. Antecedentes La autenticación Web es una función de seguridad de capa 3 que origina que el controlador no permita tráfico IP (excepto los paquetes relacionados con DHCP) de un cliente determinado hasta que dicho cliente proporcione un nombre de usuario y contraseña válidos. Cuando se utiliza la autenticación Web para autenticar clientes, debe establecer un nombre de usuario y una contraseña para cada cliente. Cuando los clientes intentan conectarse a la LAN inalámbrica (WLAN), los usuarios deben introducir el nombre de usuario y la contraseña cuando así se solicite en una ventana de conexión. Utilice estas funciones para realizar la autenticación Web en el WLC: Ventana de conexión predeterminada Versión modificada de la ventana de conexión predeterminada Ventana de conexión personalizada configurada por el usuario en un servidor Web externo (autenticación Web externa) Ventana de conexión personalizada que se puede descargar al controlador Este documento proporciona un ejemplo de configuración que explica cómo configurar el WLC a fin de utilizar una secuencia de comandos de conexión desde un servidor Web externo. Proceso de autenticación Web externa Ésta es la secuencia de eventos que se produce cuando un cliente inalámbrico intenta acceder a una red WLAN que tiene la autenticación Web externa activada: 1. El cliente (usuario final) abre un explorador Web con una URL, como www.yahoo.com. 2. Si no se autentica el cliente, el WLC transmite la solicitud al servidor Web del WLC para recopilar las credenciales de autenticación del cliente. 3. Debido a que se utiliza la autenticación Web externa, el WLC redirecciona el usuario a la URL del servidor Web externo. La URL de conexión de autenticación Web externa se agrega con parámetros como AP_Mac_Address, client_url (www.yahoo.com) y action_URL que el cliente necesita para ponerse en contacto con el servidor Web del switch. 4. La URL del servidor Web externo dirige al usuario a una página de conexión. En este momento, el usuario puede utilizar una lista de control de acceso (ACL) de autenticación previa para acceder al servidor web del switch. 5. La página de conexión toma la entrada de información de las credenciales del usuario y devuelve la solicitud al ejemplo de action_URL, http://1.1.1.1/login.html, del servidor Web del WLC. Esto se proporciona como parámetro de entrada a la URL de redireccionamiento del cliente, donde 1.1.1.1 es la dirección de la interfaz virtual del switch. 6. El servidor Web del WLC envía el nombre de usuario y la contraseña para su autenticación. 7. El WLC inicia la solicitud de servidor RADIUS o utiliza la base de datos local del WLC y autentica al usuario. 8. Si la autenticación es correcta, el servidor Web del WLC envía el usuario a la URL de redireccionamiento configurada o a la URL con la que comenzó el cliente, como www.yahoo.com. 9. Si la autenticación falla, el servidor Web del WLC redirige al usuario a la URL de conexión del cliente. Configuración de la red El ejemplo de configuración utiliza esta configuración. Se registra un LAP en el WLC. Debe configurar una WLAN de invitados para los usuarios invitados y activar la autenticación Web para los usuarios. También debe asegurarse de que el controlador redirecciona el usuario a la URL del servidor Web externo (autenticación Web externa). El servidor Web externo aloja la página Web de conexión que se utiliza para la autenticación. Las credenciales del usuario se deben validar en la base de datos local que se encuentra en el controlador. Tras una autenticación correcta, debería permitirse el acceso de los usuarios a la WLAN para invitados. Debe configurar el controlador y otros dispositivos para realizar esta configuración. Nota: En este documento se asume que los servidores DHCP, DNS y Web externo están configurados. Consulte la documentación apropiada de terceros para obtener información sobre cómo configurar el servidor DHCP, DNS y Web externo. Configuración Antes de configurar el WLC para la autenticación Web externa, debe configurar el WLC para su funcionamiento básico y registrar los LAP en el WLC. En este documento se asume que el WLC está configurado para el funcionamiento básico y que los LAP están registrados en el WLC. Consulte Registro de AP ligero (LAP) en un controlador para redes LAN inalámbricas (WLC) (en inglés) si es un usuario nuevo que intenta configurar el WLC para su funcionamiento básico con LAP. Siga estos pasos para configurar los LAP y el WLC para esta configuración: 1. 2. 3. 4. 5. Creación de una base de datos local en el WLC para usuarios invitados Creación de una ACL de autenticación previa (solamente para los WLC de la serie 2000) Creación de una Interfaz dinámica para los usuarios invitados Configuración de WLAN para usuarios invitados Configuración de WLC para la autenticación Web externa Creación de una base de datos local en el WLC para usuarios invitados La autenticación local permite la autenticación local del usuario en el WLC. Debe crear un usuario de red local y establecer una contraseña para la conexión del cliente de autenticación Web. Siga estos pasos para crear la base de datos de usuarios en el WLC: 1. En la interfaz gráfica de usuario del WLC, elija Security (Seguridad). 2. Haga clic en Local Net Users (Usuarios de red local) en el menú AAA de la izquierda. 3. Haga clic en New (Nuevo) para crear un usuario nuevo. Aparece una ventana nueva que solicita la información de nombre de usuario y contraseña. 4. Introduzca un nombre de usuario y una contraseña para crear un nuevo usuario y, a continuación, confirme la contraseña que desea utilizar. En este ejemplo se crea el usuario User1. 5. Agregue una descripción, si lo desea. En este ejemplo se utiliza Guest User. 6. Haga clic en Apply (Aplicar) para guardar la nueva configuración de usuario. 7. Repita los pasos 3-6 para agregar más usuarios a la base de datos. Nota: También se puede utilizar un servidor RADIUS, como Cisco Secure ACS o cualquier otro servidor RADIUS, para crear una base de datos de usuarios. Consulte la documentación del servidor RADIUS para obtener instrucciones sobre cómo crear la base de datos de usuarios. Creación de una ACL de autenticación previa (solamente para los WLC de la serie 2000) Para los WLC de la serie 2000, debe configurar una ACL de preautenticación en la WLAN para permitir el redireccionamiento de los clientes inalámbricos a la URL de conexión del servidor Web externo. Esta ACL debe establecerse como la ACL de autenticación previa de la WLAN bajo Web Policy (Política de Web). Siga estos pasos para configurar la ACL de autenticación previa para la WLAN: 1. En la interfaz gráfica de usuario del WLC, seleccione Security > Access Control Lists (Seguridad > Listas de control de acceso). Esta ventana le permite ver las ACL actuales similares a las ACL de firewall estándar. 2. Haga clic en New (Nueva) para crear una ACL nueva. 3. Introduzca el nombre de la ACL y haga clic en Apply (Aplicar). En este ejemplo, la ACL se denomina Preauthentication-ACL. 4. Para la nueva ACL creada, haga clic en Edit (Editar). Aparece la ventana ACL > Edit (ACL > Editar). Esta ventana permite al usuario definir nuevas reglas o modificar reglas de la ACL existente. 5. Haga clic en Add New Rule (Agregar nueva regla). 6. Defina una regla de ACL que permita a los clientes acceder al servidor Web externo. En este ejemplo, 172.16.1.92 es la dirección IP del servidor Web externo. 7. Haga clic en Apply (Aplicar) para procesar los cambios. Nota: No es necesario configurar ninguna ACL de autenticación previa para los WLC de la serie 4100 o 4400 de Cisco. Creación de una Interfaz dinámica para los usuarios invitados Siga estos pasos para crear una interfaz dinámica para usuarios invitados: 1. En la interfaz gráfica de usuario del WLC, seleccione Controllers > Interfaces (Controladores > Interfaces). Aparece la ventana Interfaces. Esta ventana muestra las interfaces que se configuran en el controlador. Esto incluye las interfaces predeterminadas, que son la interfaz de administración, la interfaz de administrador de AP, la interfaz virtual y la interfaz de puerto de servicio, así como las interfaces dinámicas definidas por el usuario. 2. Haga clic en New (Nueva) para crear una interfaz dinámica nueva. 3. En la ventana Interfaces > New (Interfaces > Nueva), introduzca el nombre de la interfaz y la ID de VLAN. A continuación, haga clic en Apply (Aplicar). En este ejemplo, la interfaz dinámica se denomina guest y como ID de VLAN se asigna 10. 4. En la ventana Interfaces > Edit (Interfaces > Editar), introduzca para la interfaz dinámica la dirección IP, la máscara de subred y la puerta de enlace predeterminada. Asígnela a un puerto físico del WLC e introduzca la dirección IP del servidor DHCP. A continuación, haga clic en Apply (Aplicar). Configuración de WLAN para usuarios invitados El siguiente paso es crear varias WLAN para usuarios invitados. Asimismo, se deben definir los métodos de seguridad utilizados para autenticar a los usuarios invitados e inalámbricos. Complete estos pasos: 1. Haga clic en WLANs en la interfaz gráfica de usuario del controlador para crear una WLAN. Aparece la ventana de WLAN. Esta ventana enumera las WLAN configuradas en el controlador. 2. Haga clic en New (Nueva) para configurar una WLAN nueva. En este ejemplo, la WLAN se llama Guest y el ID de la misma es 1. 3. Haga clic en Apply (Aplicar). 4. En la ventana WLANs > Edit (WLANs > Editar), defina los parámetros específicos de la WLAN. a. Para WLAN de invitado, seleccione la interfaz apropiada del campo Interface Name (Nombre de interfaz). En este ejemplo se asigna la interfaz dinámica guest que se creó con anterioridad al invitado de la WLAN. b. En el campo Layer 3 Security (Seguridad de capa 3), active la casilla de verificación Web Policy (Política Web) y seleccione la opción Authentication (Autenticación). Esta opción se elije porque la autenticación Web se utiliza para autenticar a los clientes invitados inalámbricos. c. Seleccione la ACL de autenticación previa apropiada del menú desplegable. En este ejemplo, se utiliza la ACL de autenticación previa creada previamente. d. Haga clic en Apply (Aplicar). Nota: En este ejemplo no se utilizan los métodos de seguridad de capa 2 para autenticar a los usuarios invitados. Por tanto, seleccione None (Ninguno) en el campo Layer 2 Security (Seguridad de capa 2). De forma predeterminada, la opción de Layer 2 Security (Seguridad de capa 2) es 802.1x. Configuración de WLC para la autenticación Web externa El paso final consiste en configurar el WLC para la autenticación Web externa. Complete estos pasos: 1. En la interfaz gráfica de usuario del controlador, elija Security > Web Login Page (Seguridad > Página de conexión Web) para acceder a la página de conexión Web. 2. En el cuadro desplegable Web Authentication Type (Tipo de autenticación Web), elija External (Redirect to external server) (Externa (redirigir a servidor externo)). 3. En el campo URL, introduzca la URL de la ventana de conexión de autenticación Web en el servidor Web. Puede introducir hasta 252 caracteres. Ya están configurados todos los dispositivos. Puede intentar conectar un cliente inalámbrico y comprobar si la configuración funciona según lo esperado. Verificación Aparece el cliente inalámbrico y el usuario introduce la URL en el explorador Web; por ejemplo, www.yahoo.com. Debido a que no se ha autenticado al usuario, el WLC le redirecciona a la URL de conexión Web externa. Se solicitan al usuario las credenciales de usuario. Una vez que el usuario envía el nombre de usuario y la contraseña, la página de conexión acepta la información de las credenciales de usuario y envía la solicitud al ejemplo de action_URL, http://1.1.1.1/login.html, del servidor Web del WLC. Esto se proporciona como parámetro de entrada a la URL de redireccionamiento del cliente, donde 1.1.1.1 es la dirección de la interfaz virtual del switch. El WLC autentica al usuario utilizando la base de datos local configurada en el WLC. Tras la autenticación correcta, el servidor Web del WLC envía el usuario a la URL de redireccionamiento configurada o a la URL con la que comenzó el cliente, como www.yahoo.com. Resolución de problemas Utilice esta sección para la resolución de problemas de la configuración. El logotipo personalizado para la autenticación/transferencia Web no se carga tras la vista previa Esto de debe al error de funcionamiento de Cisco CSCsg45847 (sólo para clientes registrados). Cuando utiliza la página de conexión interna (predeterminada) en el WLC para autenticación/transferencia Web, la página de vista previa (disponible en Security > Web login page (Seguridad > Página Web de conexión del WLC)) se carga sin problema. Sin embargo, cuando un cliente personaliza el logotipo en la página de autenticación Web (disponible internamente en el controlador), la función de vista previa no funciona. La página de autenticación/transferencia Web carga correctamente el logotipo Web personalizado cuando los clientes inalámbricos intentan realizar la autenticación en la red inalámbrica. Solamente no funciona la función de vista previa. Este error de funcionamiento se ha solucionado en el código 4.0.206.0. Los clientes redireccionados al servidor externo de autenticación Web reciben una advertencia de certificado Problema: Cuando los clientes se redirigen al servidor de autenticación Web externa de Cisco, reciben una advertencia de certificado. Existe un certificado válido en el servidor y si se conecta directamente al servidor de autenticación Web externa, no se recibe la advertencia de certificado. ¿Esto se debe a que la dirección IP virtual (1.1.1.1) del WLC se presenta al cliente en vez de la dirección IP real del servidor de autenticación Web externa asociada al certificado? Solución: Sí. Independientemente de si realiza la autenticación Web local o externa, se conecta al servidor Web interno del controlador. Aún cuando se realiza un direccionamiento a un servidor Web externo, recibirá la advertencia de certificado del controlador a menos que disponga de un certificado válido en el controlador. Si el redireccionamiento se realiza a https, recibe la advertencia de certificado del controlador y del servidor Web externo, a menos que ambos tengan un certificado válido. Para librarse de todas las advertencias de certificado, debe tener un certificado raíz publicado y descargado en su controlador. El certificado se publica para un nombre de host que debe introducir en el cuadro de nombre de host de DNS, en la interfaz virtual del controlador. También debe agregar el nombre de host al servidor DNS local y apuntarlo a la dirección IP virtual (1.1.1.1) del WLC. Consulte Generación de solicitud de firma de certificado (CSR) para un certificado de terceros en un controlador para redes WLAN (WLC) (en inglés) para obtener más información. © 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 18 Abril 2008 http://www.cisco.com/cisco/web/support/LA/7/77/77772_ext-web-auth-wlc.html