小乔 发表于 2022-12-15 09:37:33

CISCO WLC和ISE上的中央Web身份验证配置

配置
Web身份验证的第一种方法是本地Web身份验证。在这种情况下,WLC将HTTP流量重定向到内部或外部服务器,在该服务器中系统会提示用户进行身份验证。然后,WLC获取凭证(在外部服务器的情况下通过HTTP GET请求发回)并进行RADIUS身份验证。对于访客用户,需要外部服务器(如身份服务引擎(ISE)),因为门户提供设备注册和自助调配等功能。该流程包括以下步骤:

用户与Web身份验证服务集标识符(SSID)关联。

用户打开浏览器。

WLC在输入URL后立即重定向到访客门户(如ISE)。

用户在门户上进行身份验证。

访客门户使用输入的凭证重定向回WLC。

WLC通过RADIUS对访客用户进行身份验证。

WLC重定向回原始URL。
此流程包括多个重定向。新方法是使用CWA。该流程包括以下步骤:

用户关联到Web身份验证SSID,该SSID实际上是开放的。无第2层和第3层安全,仅启用Mac过滤。

用户打开浏览器。

WLC重定向到访客门户。

用户在门户上进行身份验证。

ISE发送RADIUS授权更改(CoA - UDP端口1700)以向控制器指示用户有效,并最终推送RADIUS属性,如访问控制列表(ACL)。

系统将提示用户重试原始URL。
使用的设置为:



WLC 配置
WLC配置相当简单。使用特技(与交换机上的特技相同)从ISE获取动态身份验证URL(因为它使用授权更改(CoA),因此必须创建会话,并且会话ID是URL的一部分)。 配置SSID以使用MAC过滤。配置ISE以返回access-accept,即使找不到MAC地址,它也会为所有用户发送重定向URL。

除此之外,必须启用ISE网络准入控制(NAC)和身份验证、授权和记帐(AAA)覆盖。ISE NAC允许ISE发送CoA请求,该请求指示用户现在已通过身份验证并能够访问网络。它还用于状态评估,在这种情况下,ISE根据状态结果更改用户配置文件。

确保RADIUS服务器已启用CoA支持(默认情况下)。



**** Hidden Message *****

thamky 发表于 2022-12-15 09:53:39

{:6_299:}

yang11 发表于 2022-12-15 10:18:56

{:6_269:}{:6_267:}

fy1221 发表于 2024-8-13 17:14:11

看看

cyber-sam 发表于 2024-9-10 22:44:48

{:6_267:}

cyber-sam 发表于 2024-9-10 22:44:57

{:6_267:}

cyber-sam 发表于 2024-9-10 22:45:07

{:6_267:}

cyber-sam 发表于 2024-9-10 22:45:14

{:6_267:}

cyber-sam 发表于 2024-9-10 22:45:21

{:6_267:}

cyber-sam 发表于 2024-9-10 22:45:29

{:6_267:}

Sky_Kuo 发表于 2024-10-26 00:00:50

is good data
页: [1]
查看完整版本: CISCO WLC和ISE上的中央Web身份验证配置