设为首页收藏本站language→→ 语言切换

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

查看: 3938|回复: 10
收起左侧

CISCO WLC和ISE上的中央Web身份验证配置

[复制链接]
 成长值: 62830
发表于 2022-12-15 09:37:33 | 显示全部楼层 |阅读模式
配置
Web身份验证的第一种方法是本地Web身份验证。在这种情况下,WLC将HTTP流量重定向到内部或外部服务器,在该服务器中系统会提示用户进行身份验证。然后,WLC获取凭证(在外部服务器的情况下通过HTTP GET请求发回)并进行RADIUS身份验证。对于访客用户,需要外部服务器(如身份服务引擎(ISE)),因为门户提供设备注册和自助调配等功能。该流程包括以下步骤:

用户与Web身份验证服务集标识符(SSID)关联。

用户打开浏览器。

WLC在输入URL后立即重定向到访客门户(如ISE)。

用户在门户上进行身份验证。

访客门户使用输入的凭证重定向回WLC。

WLC通过RADIUS对访客用户进行身份验证。

WLC重定向回原始URL。
此流程包括多个重定向。新方法是使用CWA。该流程包括以下步骤:

用户关联到Web身份验证SSID,该SSID实际上是开放的。无第2层和第3层安全,仅启用Mac过滤。

用户打开浏览器。

WLC重定向到访客门户。

用户在门户上进行身份验证。

ISE发送RADIUS授权更改(CoA - UDP端口1700)以向控制器指示用户有效,并最终推送RADIUS属性,如访问控制列表(ACL)。

系统将提示用户重试原始URL。
使用的设置为:



WLC 配置
WLC配置相当简单。使用特技(与交换机上的特技相同)从ISE获取动态身份验证URL(因为它使用授权更改(CoA),因此必须创建会话,并且会话ID是URL的一部分)。 配置SSID以使用MAC过滤。配置ISE以返回access-accept,即使找不到MAC地址,它也会为所有用户发送重定向URL。

除此之外,必须启用ISE网络准入控制(NAC)和身份验证、授权和记帐(AAA)覆盖。ISE NAC允许ISE发送CoA请求,该请求指示用户现在已通过身份验证并能够访问网络。它还用于状态评估,在这种情况下,ISE根据状态结果更改用户配置文件。

确保RADIUS服务器已启用CoA支持(默认情况下)。



游客,如果您要查看本帖隐藏内容请回复


发表于 2024-10-26 00:00:50 | 显示全部楼层
is good data
11# 2024-10-26 00:00:50 回复 收起回复
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2024-12-26 04:53 , Processed in 0.114356 second(s), 13 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表