CISCO WLC和ISE上的中央Web身份验证配置
配置Web身份验证的第一种方法是本地Web身份验证。在这种情况下,WLC将HTTP流量重定向到内部或外部服务器,在该服务器中系统会提示用户进行身份验证。然后,WLC获取凭证(在外部服务器的情况下通过HTTP GET请求发回)并进行RADIUS身份验证。对于访客用户,需要外部服务器(如身份服务引擎(ISE)),因为门户提供设备注册和自助调配等功能。该流程包括以下步骤:
用户与Web身份验证服务集标识符(SSID)关联。
用户打开浏览器。
WLC在输入URL后立即重定向到访客门户(如ISE)。
用户在门户上进行身份验证。
访客门户使用输入的凭证重定向回WLC。
WLC通过RADIUS对访客用户进行身份验证。
WLC重定向回原始URL。
此流程包括多个重定向。新方法是使用CWA。该流程包括以下步骤:
用户关联到Web身份验证SSID,该SSID实际上是开放的。无第2层和第3层安全,仅启用Mac过滤。
用户打开浏览器。
WLC重定向到访客门户。
用户在门户上进行身份验证。
ISE发送RADIUS授权更改(CoA - UDP端口1700)以向控制器指示用户有效,并最终推送RADIUS属性,如访问控制列表(ACL)。
系统将提示用户重试原始URL。
使用的设置为:
WLC 配置
WLC配置相当简单。使用特技(与交换机上的特技相同)从ISE获取动态身份验证URL(因为它使用授权更改(CoA),因此必须创建会话,并且会话ID是URL的一部分)。 配置SSID以使用MAC过滤。配置ISE以返回access-accept,即使找不到MAC地址,它也会为所有用户发送重定向URL。
除此之外,必须启用ISE网络准入控制(NAC)和身份验证、授权和记帐(AAA)覆盖。ISE NAC允许ISE发送CoA请求,该请求指示用户现在已通过身份验证并能够访问网络。它还用于状态评估,在这种情况下,ISE根据状态结果更改用户配置文件。
确保RADIUS服务器已启用CoA支持(默认情况下)。
**** Hidden Message *****
{:6_299:} {:6_269:}{:6_267:} 看看 {:6_267:} {:6_267:} {:6_267:} {:6_267:} {:6_267:} {:6_267:} is good data
页:
[1]