Cisco WLC 5508: Web Authentifizierung mittels RADIUS und Active Directory

Neben der Möglichkeit, Benutzer für ein Gäste-WLAN lokal auf dem Wireless LAN Controller zu pflegen, kann die Authentifizierung auch über einen RADIUS Server mit z.B. Active Directory als Benutzerdatenbank realisiert werden. Als RADIUS Server eignet sich z.B. der in Windows Server 2008 R2 enthaltene Network Policy Server (NPS).

Nach der Installation des NPS als zusätzliche Rolle auf dem Server steht die entsprechende MMC unter „Administrative Tools“ bereit:

Als erstes wird in der Dropdownliste der Punkt „RADIUS server für 802.1X Wireless or Wired Connections“ gewählt und mit einem Klick auf „Configure 802.1X“ der Assistent zur Konfiguration gestartet. Im folgenden Fenster wird als Typ „Secure Wireless Connections“ ausgewählt und ein Name für die Richtlinie eingegeben:

Im nächsten Schritt wird der Wireless LAN Controller als RADIUS Client hinzugefügt und ein PSK vergeben:

Das nächste Fenster zur Auswahl der Authentifizierungsmethode wird mit einem Klick auf „Next“ übersprungen und man gelangt zur Auswahl der Elemente, denen die Anmeldung am WLAN über die Web Authentifizierung gewährt werden soll – in diesem Fall einer Windows-Gruppe aus dem Active Directory:

Das darauffolgende Fenster „Configure Traffic Controls“ wird ebenfalls mit einem Klick auf „Next“ übersprungen und der Assistent im Anschluss mit einem Klick auf „Finish“ beendet:

Anschließend wird die soeben erstellte Network Policy im linken Bereich der MMC mit der rechten Maustaste angeklickt und in den Eigenschaften der Punkt „Constraints“ aufgerufen. Unter „Authentication Methods“ werden alle Punkte bis auf „Unencrypted Authentication (PAP, SPAP)“ deaktiviert:

Außerdem muss auf der Karteikarte „Settings“ unter „RADIUS Attributes“ das Attribut „Service-Type“ mit dem Wert „Framed“ entfernt werden:

Entfernt man das Attribut nicht, funktioniert die Authentifizierung zwar trotzdem, es wird dabei aber folgende Syslog Meldung protokolliert:

    02-03-2012 16:47:21 Local0.Notice wlc-5508-01 WLC-5508-01: *emWeb: Feb 03 16:47:22.054: %AAA-5-AAA_AUTH_NETWORK_USER: aaa.c:1368 Authentication failed for network user ‚layer9‘

Die Einrichtung des Network Policy Servers ist damit abgeschlossen und es folgen die Einstellungen auf dem Wireless LAN Controller. Zunächst muss der NPS bzw. RADIUS-Server auf dem WLC unter „Security“ hinzugefügt werden:

Anschließend wird der RADIUS-Server auch in den Sicherheitseinstellungen des entsprechenden WLANs hinterlegt:

Optional wird unter „Advanced“ der Timeout für Session auf einen höheren Wert als die standardmäßig eingestellten 1800 Sekunden gesetzt:

Wird der Wert nicht angepasst, muss sich der Client nach 30 Minuten erneut per Web Authentifizierung anmelden [1]:

    […] If the WLAN session timeout expires before the guest account lifetime, the client experiences a recurring session timeout that requires reauthentication.

Interessant auch in diesem Zusammenhang: Cisco WLC 5508 keeping web auth persistent.

Als nächstes sollte in den Eigenschaften des Controllers geprüft werden, ob der Punkt „Web Radius Authentication“ analog zu den Einstellungen des NPS auf „PAP“ steht:

Alternativ kann als Authentifizierung auch das sicherere Protokoll CHAP verwenden werden. Allerdings muss hierfür die entsprechende Option im NPS ausgewählt werden und für die Benutzer im Active Directory muss die Option „Store password using reversible encryption“ aktiviert sein. Ist Letzteres nicht aktiviert, wird im Eventlog des Network Policy Servers das Event 6273 protokolliert:

Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
	Security ID:			NULL SID
	Account Name:			layer9
	Account Domain:			layer9
	Fully Qualified Account Name:	layer9\layer9

Client Machine:
	Security ID:			NULL SID
	Account Name:			-
	Fully Qualified Account Name:	-
	OS-Version:			-
	Called Station Identifier:		192.168.110.10
	Calling Station Identifier:		192.168.115.12

NAS:
	NAS IPv4 Address:		192.168.110.10
	NAS IPv6 Address:		-
	NAS Identifier:			WLC-5508-02
	NAS Port-Type:			Wireless - IEEE 802.11
	NAS Port:			1

RADIUS Client:
	Client Friendly Name:		wlc-5508-02
	Client IP Address:			192.168.110.10

Authentication Details:
	Connection Request Policy Name:	Web Auth for LAYER9-GUESTS
	Network Policy Name:		-
	Authentication Provider:		Windows
	Authentication Server:		nps.layer9.intern
	Authentication Type:		MD5-CHAP
	EAP Type:			-
	Account Session Identifier:		-
	Logging Results:			Accounting information was written to the local log file.
	Reason Code:			19
	Reason:				The user could not be authenticated using Challenge Handshake Authentication Protocol (CHAP). A reversibly encrypted password does not exist for this user account. To ensure that reversibly encrypted passwords are enabled, check either the domain password policy or the password settings on the user account.

…und die Authentifizierung schlägt fehl:

    *radiusTransportThread: Feb 06 11:07:16.616: 00:1b:77:70:94:ce Returning AAA Error ‚Authentication Failed‘ (-4) for mobile 00:1b:77:70:94:ce
    *radiusTransportThread: Feb 06 11:07:16.616: AuthorizationResponse: 0x3c3fd8b4

Damit ist die Einrichtung abgeschlossen und Mitglieder der auf dem NPS bzw. RADIUS-Server hinterlegten Windows-Gruppe sollten sich per Web Authentication am entsprechenden WLAN anmelden können:

Klappt alles, wird folgende Meldung im Syslog protokolliert:

    02-03-2012 15:45:49 Local0.Notice wlc-5508-01 WLC-5508-01: *emWeb: Feb 03 15:45:49.955: %AAA-5-AAA_AUTH_NETWORK_USER: aaa.c:1363 Authentication succeeded for network user ‚layer9‘

Sollte es bei der Authentifizierung Probleme geben, hilft in der Regel ein Blick ins Eventlog des Network Policy Servers sowie eine SSH Verbindung zur Konsole des Controllers und ein Debugging der Authentifizierung durch folgenden Befehl:

    debug aaa all enable

Neben der Authentifizierung über den RADIUS bzw. NPS kann übrigens auch ein Accounting darüber erfolgen. Das ist praktisch, da so einfach festgestellt werden kann, z.B. welcher Benutzer wie lange und mit welcher IP-Adresse das WLAN genutzt hat. Dazu wird auf dem NPS der Punkt „Accounting“ angeklickt und konfiguriert, an welchem Ort entsprechende Daten protokolliert werden sollen. In kleineren Umgebungen reicht das Logging in Textdateien im einfachen IAS-Format:

Auf dem WLC wird der NPS zusätzlich als RADIUS Accounting Server angelegt:

Anschließend wird der Accounting Server auch in den Eigenschaften des WLANs hinterlegt:

Ist das Accounting eingerichtet, kann die vom NPS generierte Logdatei mit einem Viewer wie z.B. dem IAS Log Viewer ausgewertet werden, so dass Informationen wie Anmeldeversuche, Verbindungsdauer, Client-IP Adresse und Datenvolumen sichtbar werden:

Wer ein Gäste WLAN einrichtet, sollte sich nach Möglichkeit übrigens ein offizielles SSL Zertifikat beschaffen und dieses an den Controller binden. So wird vermieden, dass Benutzer durch eine Sicherheitswarnung ihres Browsers verwirrt werden. Hilfreich in diesem Zusammenhang ist der Artikel Generate CSR for Third-Party Certificates and Download Chained Certificates to the WLC von Cisco.

Generell empfehlenswert sind außerdem die Artikel Wireless LAN Controller Web Authentication Configuration Example und Wireless Guest Access FAQ.

[1] Cisco Wireless LAN Controller Configuration Guide, Release 7.0

3 Responses to “Cisco WLC 5508: Web Authentifizierung mittels RADIUS und Active Directory”


  1. 1 Michael Februar 10, 2012 um 10:56 am

    Guter Beitrag!
    Kann der NPS auch gegen ein LDAP (z.B. openLDAP) authentifizieren oder wird nur AD unterstützt?


  1. 1 InterVLAN Routing für mehrere SSIDs mit Cisco 881 Security Router und WAP4410N Access Points « layer9. Trackback zu März 5, 2012 um 11:58 am

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s





%d Bloggern gefällt das: