CISCO WLC和ISE上的中央Web身份验证配置

小乔

配置
Web身份验证的第一种方法是本地Web身份验证。在这种情况下，WLC将HTTP流量重定向到内部或外部服务器，在该服务器中系统会提示用户进行身份验证。然后，WLC获取凭证（在外部服务器的情况下通过HTTP GET请求发回）并进行RADIUS身份验证。对于访客用户，需要外部服务器(如身份服务引擎(ISE))，因为门户提供设备注册和自助调配等功能。该流程包括以下步骤：

用户与Web身份验证服务集标识符(SSID)关联。

用户打开浏览器。

WLC在输入URL后立即重定向到访客门户（如ISE）。

用户在门户上进行身份验证。

访客门户使用输入的凭证重定向回WLC。

WLC通过RADIUS对访客用户进行身份验证。

WLC重定向回原始URL。
此流程包括多个重定向。新方法是使用CWA。该流程包括以下步骤：

用户关联到Web身份验证SSID，该SSID实际上是开放的。无第2层和第3层安全，仅启用Mac过滤。

用户打开浏览器。

WLC重定向到访客门户。

用户在门户上进行身份验证。

ISE发送RADIUS授权更改（CoA - UDP端口1700）以向控制器指示用户有效，并最终推送RADIUS属性，如访问控制列表(ACL)。

系统将提示用户重试原始URL。
使用的设置为：



WLC 配置
WLC配置相当简单。使用特技（与交换机上的特技相同）从ISE获取动态身份验证URL(因为它使用授权更改(CoA)，因此必须创建会话，并且会话ID是URL的一部分)。 配置SSID以使用MAC过滤。配置ISE以返回access-accept，即使找不到MAC地址，它也会为所有用户发送重定向URL。

除此之外，必须启用ISE网络准入控制(NAC)和身份验证、授权和记帐(AAA)覆盖。ISE NAC允许ISE发送CoA请求，该请求指示用户现在已通过身份验证并能够访问网络。它还用于状态评估，在这种情况下，ISE根据状态结果更改用户配置文件。

确保RADIUS服务器已启用CoA支持（默认情况下）。

游客，如果您要查看本帖隐藏内容请回复

thamky

yang11

fy1221

看看

cyber-sam

cyber-sam

cyber-sam

cyber-sam

cyber-sam

cyber-sam

Sky_Kuo

is good data