martes, 7 de marzo de 2017

CISCO–GuestAccess_LDAP_WebAuth

Detalles de CISCO–GuestAccess_LDAP_WebAuth
Como leer e interpretar las líneas de comando
              En el presente manual se usan las siguientes convenciones para comandos a ingresar en la interfaz de lineas de configuracion (CLI).
Comando para ingresar al modo de configuracion global:
                 configure terminal
Comando para especificar el valor de una varible:
                 ntp server 172.18.58.200
Comando cuya variable usted debe definir:   
                 Class-map [highest class name]
Comando para ingresar al modo de configuracion privilegiado y campos universales imperativos      :
                 Router>enable
Las comandos de configuracion muy largos y que ocupan varias lineas se subrayan
                 police rate 10000 pps burst 10000 packets conform-action
Las variables que se muestran como salida de respuesta a peticiones en CLI son sombreadas
interface Van64   
 ip address 10.5.204.5 255.255.255.0

Introducción
          Anteriormente habiamos comentado acerca de algunas posibles maneras de autenticar y autorizar usuarios invitados dentro de una red local (1), por ejemplo con Cisco ISE, ahora bien y en la misma linea que servidores de autenticación, traemos un diseño que permite autenticar usuarios invitados a través del portal interno de un Cisco WLC pero con una base de datos de usuarios de Active Directory, usando LDAP. Tambien se habia tocado este punto en algun momento (2).

(1)   Acceso Invitado sobre Cisco ISE v2.1
URL: https://librerianetworking.blogspot.com/2016/11/acceso-invitado-sobre-cisco-ise-v21.html

(2)   Wireless Network - Integración AD y LDAP - Cisco WLC 8.2.130.0
URL: https://librerianetworking.blogspot.com/2016/12/wireless-network-integracion-ad-y-ldap.html
Proceso 1: Configurando Portal Local de Autenticación
Paso 1: Usando credenciales asignadas ingrese y autentíquese en el portal de administración de su WLC.
Paso 2: En configuración avanzada, navegue a través de la ruta Security > Web Auth > Web Login Page.
Paso 3: En la sección derecha en el campo Web Authentication Type, opte por Internal (Default).
Paso 4: En caso de ser necesario, indique un URL para redirección luego de una autenticación exitosa en el campo Redirect URL after login.
Paso 5: Personalice su criterio los campos Cisco Logo, Headline y Message. Validar Figura1.

Figura1.: Configurando Portal Local de Autenticación

Proceso 2: Configurando Lista de Acceso de Pre-autenticación
                 No olvidemos que una ACL de preatenticación retringirá al usuario a tener solo acceso al servicios DHCP, DNS y autenticación a través del portal interno de nuestro WLC.
Paso 1: Usando credenciales asignadas ingrese y autentíquese en el portal de administración de su WLC, en caso de ser necesario
Paso 2: En configuración avanzada, navegue a través de la ruta Security >  Access Control Lists > Access Control Lists.
Paso 3: En la sección derecha haga click en New, llene el campo Access Control List Name (por ejemplo: PreAuth_Invitado) y escoja dirección IPv4 o IPv6 según convenga. Luego haga click en Apply.
Paso 4: Una vez de nuevo en la ruta Security >  Access Control Lists > Access Control Lists, haga click sobre la lista de acceso creada (por ejemplo: PreAuth_Invitado) en el Paso 3, y comience la edición. Recuerde que: se debe restringir al nuevo usuario intivitado a tener solo acceso al servicios DHCP, DNS y autenticación a través del portal interno de nuestro WLC. Validar Figura2.

Figura2.: Configurando Lista de Acceso de Pre-autenticación

Proceso 3: Insertando datos de un servidor LDAP en el WLC
                 El servidor LDAP por lo general es el controlador de domonio o aquel que haga las veces, roles y caracterísitcas de Active Directory
Paso 1: Usando credenciales asignadas ingrese y autentíquese en el portal de administración de su WLC, en caso de ser necesario
Paso 2: En configuración avanzada, navegue a través de la ruta Security >  AAA > LDAP.
Paso 3: En la sección derecha haga click en New, llene los campos Server Address (Ipv4/Ipv6) (colocar dirección IP del servidores LDAP), Bind Username (con la ruta del usuario que usara el WLC para consultar al servidor, ejemplo: CN=guestuserwifi,CN=Users,DC=cvalasmercedes,DC=local), Bind Password y Confirm Bind Password (con la contraseña del que usara el WLC para consultar al servidor), User Base DN (con la ruta en AD de usuarios considerados como invitados y que usará el WLC para consultar al servidor, ejemplo: OU=LDAP-WIFI-AUTH,DC=cvalasmercedes,DC=local), el campo User Attribute con atributos sAMAccountName y User Object Type con el atributo Person. Validar Figura3.

Figura 3.: Insertando datos de un servidor LDAP en el WLC

Proceso 4: Creando Interfaz de conexión para usuarios de una WLAN en el WLC
                 No olvidemos que en un WLC por lo general se establece una interfaz capa 3 para la interconexión de usuarios con el resto de la LAN.
Paso 1: Usando credenciales asignadas ingrese y autentíquese en el portal de administración de su WLC, en caso de ser necesario
Paso 2: En configuración avanzada, navegue a través de la ruta Controller >  Interfaces.
Paso 3: En la sección derecha hacer click en New, llenar el campo Interface Name con el nombre designado para la interfaz y el campo VLAN Id con el valor del encapsulamiento 802.1q asignado dentro de la LAN para este conjunto de usuarios. Click en Apply.
Paso 4: Llenar los datos de los campos Port Number, IP Address, Netmask, Gateway, Primary DHCP Server y Secondary DHCP Server, según diseño planteado. Validar Figura4.

Figura4.: Creando Interfaz de conexión para usuarios de una WLAN en el WLC

Proceso 5: Creando una WLAN  de conexión para usuarios invitados en el WLC
Aquí se creará el famoso SSID con la cual identificamos la red inalámbrica, además de asociar la interfaz de capa 3 creada en el Proceso 4 y se especificará la autenticación via web y el origen de los usuarios en el servidor LDAP.
Paso 1: Usando credenciales asignadas ingrese y autentíquese en el portal de administración de su WLC, en caso de ser necesario
Paso 2: En configuración avanzada, navegue a través de la ruta Wlans >  Wlans.
Paso 3: Sobre la sección derecha y el menú de opciones único, optar por Create New y hacer click en Go.
Paso 4: Coloque el nombre de la Wlan en el campo Profile Name y el identifcador visible de la red inalámbrica o SSID. Click sobre Apply.
Paso 5: En pantalla emergente, confirme los datos introducidos en el paso anterior y haga click sobre la casilla Enabled del campo Status. Validar Figura5.
Paso 6: En el campo Interface/Interface Group(G) opte por la interfaz de capa 3 creada en el Proceso 4.

Figura5.: Creando una WLAN  de conexión para usuarios invitados en el WLC

Paso 7: Click sobre la pestaña Security, luego en la subpestaña Layer 2 y optar por None en el campo Layer 2 Security. La casilla MAC Filtering no debe estar marcada al igual que Fast Transition. Validar Figura6.
Figura6.: Creando una WLAN  de conexión para usuarios invitados en el WLC, pestaña Security Layer2

Paso 8: Click sobre la pestaña Security, luego en la subpestaña Layer 3 y optar por Web Policy en el campo Layer 3 Security, marcar la opción Authentication y en el campo Preautentication ACL IPv4 optar por la lista de acceso creada en el Proceso 2. Validar Figura7.
Figura7.: Creando una WLAN  de conexión para usuarios invitados en el WLC, pestaña Security Layer3

Paso 9: Click sobre la pestaña Security, luego en la subpestaña AAA Servers. Aquí desmarcar la casilla RADIUS Server Overwrite interface, optar por el servidor LDAP configurado en el Proceso 3,  Validar Figura8.
Figura8.: Creando una WLAN  de conexión para usuarios invitados en el WLC, pestaña Security AAA Servers

Paso 10: Click sobre la pestaña Security, luego en la subpestaña AAA Servers, ubicar la última sección llamada Authentication priority order for web-auth user y dejar LDAP como primer y/o único origen de credenciales de usuario. Validar Figura9.
Figura9.: Creando una WLAN  de conexión para usuarios invitados en el WLC, pestaña Security AAA Servers, LDAP

Proceso 6: Comprobando éxito de la configuración realizada.
              Paso 1: Crear un usuario dentro del contenedor o Unidad Organizativa (OU) de Active Directory destinado para usuarios Invitados. Validar Figura10.
Figura10.: Creando un usuario dentro del contenedor o Unidad Organizativa (OU) de Active Directory

                 Paso 2: Conectar un dispositivo al SSID o WLAN invitados creada en el Proceso 5, esperar la redirección al portal de invitados y otorgar las credenciales creadas en el paso anterior, esperar que se confirme la autenticación exitosa.
Paso 4: Usando credenciales asignadas ingrese y autentíquese en el portal de administración de su WLC, en caso de ser necesario
Paso 5: En configuración avanzada, navegue a través de la ruta Monitor >  Clients  y haga clic sobre la MAC Address del dispositivo usado para la conexión en el Paso 2. Allí podrá verificar entre otras cosas, las credenciales usadas para la conexión en el dispositivo, la dirección IP tomada por el dispositivo y el AP más cercano donde se ha registrado el cliente. Validar Figura11.

Figura11.: Verificación de conexión del cliente y datos de relevancia

Referencias
Cisco: Troubleshooting Web Authentication on WLC. Julio 2011.
Cisco: Web Authentication WLC Guide. Diciembre 2014.
Cisco: Web Authentication Configuration. Octubre 2016.

Cisco: Campus Wireless LAN. Techmology Design. Agosto 2014.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)