Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Autenticação central da Web

A autenticação da Web oferece acesso à rede para usuários redirecionando o navegador da Web do cliente para um servidor central de autenticação web (servidor CWA), que lida com o processo de login completo. A autenticação da Web também pode ser usada como um método de autenticação de fallback para usuários regulares de rede que têm dispositivos habilitados para 802.1X, mas falham na autenticação por causa de outros problemas, como credenciais de rede expiradas.

Entendendo a autenticação central da Web

A autenticação da Web redireciona as solicitações do navegador da Web para uma página de login que exige que o usuário insira um nome de usuário e senha. Após a autenticação bem-sucedida, o usuário pode acessar a rede. A autenticação da Web é útil para fornecer acesso à rede a usuários temporários, como visitantes de um site corporativo, que tentam acessar a rede usando dispositivos que não estão habilitados para o 802.1X. A autenticação da Web também pode ser usada como um método de autenticação de fallback para usuários regulares de rede que têm dispositivos habilitados para 802.1X, mas falham na autenticação por causa de outros problemas, como credenciais de rede expiradas.

A autenticação da Web pode ser feita localmente no switch usando portal cativo, mas isso exige que as páginas do portal da Web sejam configuradas em cada switch usado como um dispositivo de acesso à rede. A autenticação central da Web (CWA) oferece benefícios de eficiência e escalabilidade redirecionando o navegador da Web do cliente para um servidor central de autenticação web (servidor CWA), que lida com o processo de login completo.

Nota:

A CWA é compatível apenas com a autenticação MAC RADIUS. A CWA não tem suporte para autenticação 802.1X.

Processo central de autenticação da Web

A autenticação central da Web é invocada após um host falhar na autenticação MAC RADIUS. O host pode tentar autenticação usando a autenticação 802.1X primeiro, mas depois deve tentar a autenticação MAC RADIUS antes de tentar a autenticação central da Web. O switch, operando como autenticador, troca mensagens RADIUS com o servidor de autenticação, autorização e contabilidade (AAA). Após a autenticação MAC RADIUS falhar, o switch recebe uma mensagem de aceitação de acesso do servidor AAA. Essa mensagem inclui um filtro dinâmico de firewall e uma URL de redirecionamento para autenticação central da Web. O switch aplica o filtro, que permite que o host receba um endereço IP e usa a URL para redirecionar o host para a página de autenticação da Web.

O host é solicitado a obter credenciais de login e também pode ser solicitado a concordar com uma política de uso aceitável. Se a autenticação da Web for bem sucedida, o servidor AAA envia uma mensagem de Mudança de Autorização (CoA), que atualiza os termos da sessão autorizada em andamento. Isso permite que o autenticador atualize o filtro ou a atribuição de VLAN aplicada à porta controlada, para permitir que o host acesse a LAN.

A sequência de eventos na autenticação central da Web é a seguinte (veja Figura 1):

  1. Um host conectado ao switch (autenticador) inicia a autenticação MAC RADIUS.

  2. A autenticação MAC RADIUS falha. Em vez de enviar uma mensagem de rejeição de acesso ao switch, o servidor AAA envia uma mensagem de aceitação de acesso que inclui um filtro de firewall dinâmico e uma URL de redirecionamento da CWA.

  3. O host é permitido pelos termos do filtro para enviar solicitações de DHCP.

  4. O host recebe um endereço IP e informações de DNS do servidor DHCP. O servidor AAA inicia uma nova sessão que tem um ID de sessão exclusivo.

  5. O host abre um navegador web.

  6. O autenticador envia a URL de redirecionamento da CWA para o host.

  7. O host é redirecionado para o servidor CWA e é solicitado para obter credenciais de login.

  8. O host fornece o nome de usuário e a senha.

  9. Após a autenticação bem-sucedida da Web, o servidor AAA envia uma mensagem de CoA para udpate o filtro ou atribuição de VLAN aplicado na porta controlada, permitindo que o host acesse a LAN.

  10. O autenticador responde com uma mensagem CoA-ACK e envia uma solicitação de autenticação MAC RADIUS ao servidor AAA.

  11. O servidor AAA combina a ID da sessão com a política de acesso apropriada e envia uma mensagem de aceitação de acesso para autenticar o host.

Figura 1: Processo central de autenticação da WebProcesso central de autenticação da Web

Filtros dinâmicos de firewall para autenticação central da Web

A autenticação central da Web usa filtros dinâmicos de firewall, que são definidos centralmente no servidor AAA e aplicados dinamicamente a suplicantes que solicitam autenticação por meio desse servidor. O filtro permite que o host obtenha um endereço IP dinamicamente usando DHCP. Você define os filtros usando atributos RADIUS, que estão incluídos nas mensagens de aceitação de acesso enviadas do servidor. Os filtros podem ser definidos usando o atributo Juniper-Switching-Filter, que é um atributo específico do fornecedor (VSA) ou o atributo ID do filtro, que é um atributo IETF RADIUS.

Para usar o VSA do filtro de comutação da Juniper para autenticação central da Web, você deve configurar o filtro com os termos corretos que permitem o endereço IP de destino do servidor CWA. Essa configuração é feita diretamente no servidor AAA. Para usar o atributo ID do filtro para autenticação central da web, digite o valor como JNPR_RSVD_FILTER_CWA no servidor AAA. Os termos do filtro para este atributo são definidos internamente para autenticação central da Web, devido à qual nenhuma configuração adicional é necessária. Para obter mais informações sobre a configuração de filtros dinâmicos de firewall para autenticação central da web, consulte Configurando a autenticação central da Web.

Redirecione a URL para a autenticação central da Web

Na autenticação central da Web, o autenticador redireciona a solicitação do navegador Web do host para o servidor CWA usando uma URL de redirecionamento. Após o redirecionamento, o servidor CWA conclui o processo de login. A URL de redirecionamento para autenticação central da Web pode ser configurada no servidor AAA ou no autenticador. A URL de redirecionamento, juntamente com o filtro dinâmico de firewall, deve estar presente para desencadear o processo central de autenticação da Web após a falha da autenticação MAC RADIUS.

A URL de redirecionamento pode ser definida centralmente no servidor AAA usando o Juniper-CWA-Redirecionamento VSA, que é atributo número 50 no firewall RADIUS da Juniper. A URL é encaminhada do servidor AAA para o switch na mesma mensagem RADIUS Access-Accept que contém o filtro dinâmico de firewall. Você também pode configurar a URL de redirecionamento local na interface do host usando a declaração CLI no nível [] de hierarquia.redirect-urledit protocols dot1x authenticator interface interface-name Para obter mais informações sobre a configuração da URL de redirecionamento, consulte Configurando a autenticação central da Web.Configuração da autenticação central da Web

Consulte também

Configuração da autenticação central da Web

A autenticação central da Web é um método de autenticação de recuo no qual o navegador da Web do host é redirecionado para um servidor central de autenticação da Web (CWA). O servidor CWA fornece um portal web onde o usuário pode inserir um nome de usuário e senha. Se essas credenciais forem validadas pelo servidor CWA, o usuário será autenticado e poderá acessar a rede.

A autenticação central da Web é invocada após um host falhar na autenticação MAC RADIUS. O switch, operando como autenticador, recebe uma mensagem RADIUS Access-Accept do servidor AAA que inclui um filtro de firewall dinâmico e uma URL de redirecionamento para autenticação central da Web. O filtro dinâmico de firewall e a URL de redirecionamento devem estar presentes para que o processo central de autenticação da Web seja acionado.

Configuração de filtros dinâmicos de firewall para autenticação central da Web

Os filtros dinâmicos de firewall são usados na autenticação central da Web para permitir que o host obtenha um endereço IP de um servidor DHCP, o que permite que o host acesse a rede. Os filtros são definidos no servidor AAA usando atributos RADIUS, que são enviados ao autenticador em uma mensagem de aceitação de acesso. Você pode definir o filtro usando o atributo Juniper-Switching-Filter, que é um atributo específico do fornecedor (VSA) ou o atributo ID do filtro, que é um atributo IETF RADIUS.

  • Para usar o VSA do filtro de comutação da Juniper para autenticação central da Web, você deve configurar os termos do filtro diretamente no servidor AAA. O filtro deve incluir um termo para combinar o endereço IP de destino do servidor CWA com a ação .allow

    Por exemplo:

    Nota:

    O switch não resolve as consultas de DNS para o URL de redirecionamento. Você deve configurar o atributo Juniper-Switching-Filter para permitir o endereço IP de destino do servidor CWA.

  • Para usar o atributo ID do filtro para autenticação central da Web, digite JNPR_RSVD_FILTER_CWA como o valor do atributo no servidor AAA. Os termos do filtro para este atributo são definidos internamente para autenticação central da Web, devido à qual nenhuma configuração adicional é necessária.

    Por exemplo:

Para obter mais informações sobre a configuração de filtros de firewall dinâmicos no servidor AAA, consulte a documentação para o seu servidor AAA.

Configurando a URL de redirecionamento para autenticação central da Web

Na autenticação central da Web, o autenticador redireciona a solicitação do navegador Web do host para o servidor CWA usando uma URL de redirecionamento. A URL de redirecionamento para autenticação central da Web pode ser configurada no servidor AAA ou localmente na interface do host.

  • Para configurar a URL de redirecionamento no servidor AAA, use o Juniper-CWA-Redirecionar VSA, que é atributo número 50 no firewall RADIUS da Juniper. A URL é encaminhada do servidor AAA para o switch na mesma mensagem RADIUS Access-Accept que contém o filtro dinâmico de firewall.

    Por exemplo:

    Nota:

    Quando o atributo especial ID de filtro JNPR_RSVD_FILTER_CWA for usado para o filtro dinâmico de firewall, a URL de redirecionamento deve incluir o endereço IP do servidor AAA, por exemplo .https://10.10.10.10

  • Para configurar a URL de redirecionamento local na interface do host, use a seguinte declaração de CLI:

    Por exemplo:

Diretrizes para configurar a autenticação central da Web

A autenticação central da Web é desencadeada após a falha da autenticação MAC RADIUS quando a URL redirecionada e o filtro de firewall dinâmico estão ambos presentes. A URL redirecionada e o filtro de firewall dinâmico podem ser configurados em qualquer uma das seguintes combinações:

  1. O servidor AAA envia tanto a URL de CWA quanto o filtro de firewall dinâmico para o autenticador. A URL de redirecionamento é configurada no servidor AAA usando o Juniper-CWA-Redirect VSA e o filtro de firewall dinâmico é configurado no servidor AAA usando o Juniper-Switching-Filter VSA. O filtro deve ser configurado para permitir o endereço IP de destino do servidor CWA neste caso.

  2. O servidor AAA envia o filtro de firewall dinâmico para o autenticador e a URL de redirecionamento é configurada localmente na porta do host. A URL de redirecionamento é configurada no autenticador usando a declaração CLI e o filtro de firewall dinâmico é configurado no servidor AAA usando o Juniper-Switching-Filter VSA.redirect-url O filtro deve ser configurado para permitir o endereço IP de destino do servidor CWA neste caso.

  3. O servidor AAA envia tanto a URL de CWA quanto o filtro de firewall dinâmico para o autenticador. A URL de redirecionamento é configurada no servidor AAA usando o Juniper-CWA-Redirect VSA e o filtro de firewall dinâmico é configurado no servidor AAA usando o atributo ID do filtro com o valor JNPR_RSVD_FILTER_CWA. A URL de redirecionamento deve conter o endereço IP do servidor CWA neste caso.

  4. O servidor AAA envia o filtro de firewall dinâmico para o autenticador e a URL de redirecionamento é configurada localmente na porta do host. A URL de redirecionamento é configurada no autenticador usando a declaração CLI e o filtro de firewall dinâmico é configurado no servidor AAA usando o atributo ID do filtro com o valor JNPR_RSVD_FILTER_CWA.redirect-url A URL de redirecionamento deve conter o endereço IP do servidor CWA neste caso.

    Nota:

    A declaração de comando é necessária no CLI apenas se o servidor RADIUS não estiver enviando a URL de redirecionamento no VSA "Juniper-CWA-Redirecionamento".redirect-url

Tópicos relacionados