Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Autenticación web central

La autenticación web proporciona acceso a la red para los usuarios al redirigir el explorador web del cliente a un servidor de autenticación web central (servidor CWA), que maneja el proceso de inicio de sesión completo. La autenticación web también se puede usar como método de autenticación de reserva para usuarios normales de la red que tienen dispositivos habilitados para 802.1X, pero no se produce un error en la autenticación debido a otros problemas, como credenciales de red caducadas.

Descripción de la autenticación web central

La autenticación web redirige las solicitudes del explorador web a una página de inicio de sesión que requiere que el usuario ingrese un nombre de usuario y una contraseña. Tras una autenticación correcta, el usuario tiene acceso a la red. La autenticación web es útil para proporcionar acceso a la red a usuarios temporales, como los visitantes de un sitio corporativo, que intentan tener acceso a la red mediante dispositivos que no están habilitados para 802.1X. La autenticación web también se puede usar como método de autenticación de reserva para usuarios normales de la red que tienen dispositivos habilitados para 802.1X, pero no se produce un error en la autenticación debido a otros problemas, como credenciales de red caducadas.

La autenticación web se puede realizar localmente en el conmutador mediante el portal cautivo, pero esto requiere que las páginas del portal web estén configuradas en cada conmutador utilizado como dispositivo de acceso a la red. La autenticación web central (CWA) proporciona beneficios de eficiencia y escalabilidad al redirigir el explorador web del cliente a un servidor de autenticación web central (servidor CWA), que maneja el proceso de inicio de sesión completo.

Nota:

CWA solo es compatible con la autenticación MAC RADIUS. CWA no es compatible con la autenticación 802.1X.

Proceso central de autenticación web

La autenticación Web central se invoca después de que un host haya fallado en la autenticación MAC RADIUS. El host puede intentar la autenticación utilizando primero la autenticación 802.1X, pero luego debe intentar la autenticación MAC RADIUS antes de intentar la autenticación web central. El conmutador, que funciona como autenticador, intercambia mensajes RADIUS con el servidor de autenticación, autorización y auditoría (AAA). Cuando falla la autenticación MAC RADIUS, el conmutador recibe un mensaje de aceptación de acceso del servidor AAA. Este mensaje incluye un filtro de firewall dinámico y una URL de redireccionamiento para la autenticación web central. El conmutador aplica el filtro, que permite que el host reciba una dirección IP, y utiliza la dirección URL para redirigir el host a la página de autenticación Web.

Se solicitan al host las credenciales de inicio de sesión y también se le puede pedir que acepte una política de uso aceptable. Si la autenticación Web se realiza correctamente, el servidor AAA envía un mensaje de cambio de autorización (CoA), que actualiza los términos de la sesión autorizada en curso. Esto permite que el autenticador actualice el filtro o la asignación de VLAN aplicada al puerto controlado para permitir que el host acceda a la LAN.

La secuencia de eventos en la autenticación Web central es la siguiente (consulte Figura 1):

  1. Un host conectado al conmutador (autenticador) inicia la autenticación MAC RADIUS.

  2. Se produce un error en la autenticación MAC RADIUS. En lugar de enviar un mensaje de rechazo de acceso al conmutador, el servidor AAA envía un mensaje de aceptación de acceso que incluye un filtro de firewall dinámico y una URL de redireccionamiento CWA.

  3. Los términos del filtro permiten al host enviar solicitudes DHCP.

  4. El host recibe una dirección IP e información DNS del servidor DHCP. El servidor AAA inicia una nueva sesión que tiene un ID de sesión único.

  5. El host abre un explorador web.

  6. El autenticador envía la URL de redireccionamiento CWA al host.

  7. El host es redirigido al servidor CWA y se le solicitan las credenciales de inicio de sesión.

  8. El host proporciona el nombre de usuario y la contraseña.

  9. Después de una autenticación web exitosa, el servidor AAA envía un mensaje CoA para ejecutar el filtro o la asignación de VLAN aplicada en el puerto controlado, lo que permite que el host acceda a la LAN.

  10. El autenticador responde con un mensaje CoA-ACK y envía una solicitud de autenticación MAC RADIUS al servidor AAA.

  11. El servidor AAA hace coincidir el ID de sesión con la política de acceso adecuada y envía un mensaje de aceptación de acceso para autenticar el host.

Figura 1: Proceso central de autenticación webProceso central de autenticación web

Filtros de firewall dinámicos para la autenticación web central

La autenticación web central utiliza filtros de firewall dinámicos, que se definen de forma centralizada en el servidor AAA y se aplican dinámicamente a los suplicantes que solicitan autenticación a través de ese servidor. El filtro permite que el host obtenga una dirección IP dinámicamente mediante DHCP. Los filtros se definen mediante atributos RADIUS, que se incluyen en los mensajes de acceso-aceptación enviados desde el servidor. Los filtros se pueden definir mediante el atributo Juniper-Switching-Filter, que es un atributo específico del proveedor (VSA), o el atributo Filter-ID, que es un atributo IETF RADIUS.

Para utilizar Juniper-Switching-Filter VSA para la autenticación web central, debe configurar el filtro con los términos correctos que permitan la dirección IP de destino del servidor CWA. Esta configuración se realiza directamente en el servidor AAA. Para utilizar el atributo Filter-ID para la autenticación web central, introduzca el valor como JNPR_RSVD_FILTER_CWA en el servidor AAA. Los términos de filtro para este atributo se definen internamente para la autenticación Web central, por lo que no se requiere ninguna configuración adicional. Para obtener más información acerca de cómo configurar filtros de firewall dinámicos para la autenticación web central, consulte Configuración de la autenticación web central.

URL de redireccionamiento para la autenticación web central

En la autenticación web central, el autenticador redirige la solicitud del explorador web del host al servidor CWA mediante una URL de redireccionamiento. Después de la redirección, el servidor CWA completa el proceso de inicio de sesión. La URL de redireccionamiento para la autenticación web central se puede configurar en el servidor AAA o en el autenticador. La URL de redireccionamiento, junto con el filtro de firewall dinámico, debe estar presente para activar el proceso de autenticación web central después del error de autenticación MAC RADIUS.

La URL de redireccionamiento se puede definir de forma centralizada en el servidor AAA mediante el VSA Juniper-CWA-Redirect, que es el atributo número 50 en el diccionario RADIUS de Juniper. La URL se reenvía desde el servidor AAA al conmutador en el mismo mensaje de aceptación de acceso RADIUS que contiene el filtro de firewall dinámico. También puede configurar la URL de redireccionamiento localmente en la interfaz de host mediante la instrucción CLI en el nivel de jerarquía [].redirect-urledit protocols dot1x authenticator interface interface-name Para obtener más información acerca de cómo configurar la dirección URL de redireccionamiento, consulte Configuración de la autenticación web central.Configuración de la autenticación web central

Consulte también

Configuración de la autenticación web central

La autenticación web central es un método de autenticación de reserva en el que el explorador web del host se redirige a un servidor de autenticación web central (CWA). El servidor CWA proporciona un portal web donde el usuario puede introducir un nombre de usuario y una contraseña. Si el servidor CWA valida estas credenciales, el usuario se autentica y se le permite el acceso a la red.

La autenticación Web central se invoca después de que un host haya fallado en la autenticación MAC RADIUS. El conmutador, que funciona como autenticador, recibe un mensaje de aceptación de acceso RADIUS del servidor AAA que incluye un filtro de firewall dinámico y una URL de redireccionamiento para la autenticación web central. El filtro de firewall dinámico y la URL de redireccionamiento deben estar presentes para que se active el proceso de autenticación web central.

Configuración de filtros de firewall dinámicos para la autenticación web central

Los filtros de firewall dinámicos se utilizan en la autenticación web central para permitir que el host obtenga una dirección IP de un servidor DHCP, lo que permite al host acceder a la red. Los filtros se definen en el servidor AAA mediante atributos RADIUS, que se envían al autenticador en un mensaje Access-Accept. Puede definir el filtro mediante el atributo Juniper-Switching-Filter, que es un atributo específico del proveedor (VSA), o el atributo Filter-ID, que es un atributo IETF RADIUS.

  • Para utilizar el VSA Juniper-Switching-Filter para la autenticación web central, debe configurar los términos del filtro directamente en el servidor AAA. El filtro debe incluir un término para que coincida la dirección IP de destino del servidor CWA con la acción .allow

    Por ejemplo:

    Nota:

    El modificador no resuelve las consultas DNS para la URL de redireccionamiento. Debe configurar el atributo Juniper-Switching-Filter para permitir la dirección IP de destino del servidor CWA.

  • Para utilizar el atributo Filter-ID para la autenticación web central, escriba JNPR_RSVD_FILTER_CWA como valor del atributo en el servidor AAA. Los términos de filtro para este atributo se definen internamente para la autenticación Web central, por lo que no se requiere ninguna configuración adicional.

    Por ejemplo:

Para obtener más información acerca de cómo configurar filtros de firewall dinámicos en el servidor AAA, consulte la documentación del servidor AAA.

Configuración de la dirección URL de redireccionamiento para la autenticación web central

En la autenticación web central, el autenticador redirige la solicitud del explorador web del host al servidor CWA mediante una URL de redireccionamiento. La URL de redireccionamiento para la autenticación web central se puede configurar en el servidor AAA o localmente en la interfaz de host.

  • Para configurar la URL de redireccionamiento en el servidor AAA, use el VSA Juniper-CWA-Redirect, que es el atributo número 50 en el diccionario RADIUS de Juniper. La URL se reenvía desde el servidor AAA al conmutador en el mismo mensaje de aceptación de acceso RADIUS que contiene el filtro de firewall dinámico.

    Por ejemplo:

    Nota:

    Cuando se utiliza el atributo especial Filter-ID JNPR_RSVD_FILTER_CWA para el filtro de firewall dinámico, la URL de redireccionamiento debe incluir la dirección IP del servidor AAA, por ejemplo, .https://10.10.10.10

  • Para configurar la URL de redireccionamiento localmente en la interfaz de host, use la siguiente instrucción de CLI:

    Por ejemplo:

Directrices para configurar la autenticación web central

La autenticación web central se activa después de un error de autenticación MAC RADIUS cuando la URL de redireccionamiento y el filtro de firewall dinámico están presentes. La URL de redireccionamiento y el filtro de firewall dinámico se pueden configurar en cualquiera de las siguientes combinaciones:

  1. El servidor AAA envía tanto la URL de redireccionamiento CWA como el filtro de firewall dinámico al autenticador. La URL de redireccionamiento se configura en el servidor AAA mediante el VSA Juniper-CWA-Redirect y el filtro de firewall dinámico se configura en el servidor AAA mediante el VSA Juniper-Switching-Filter. El filtro debe configurarse para permitir la dirección IP de destino del servidor CWA en este caso.

  2. El servidor AAA envía el filtro de firewall dinámico al autenticador y la URL de redireccionamiento se configura localmente en el puerto de host. La URL de redireccionamiento se configura en el autenticador mediante la instrucción CLI y el filtro de firewall dinámico se configura en el servidor AAA mediante el VSA Juniper-Switching-Filter.redirect-url El filtro debe configurarse para permitir la dirección IP de destino del servidor CWA en este caso.

  3. El servidor AAA envía tanto la URL de redireccionamiento CWA como el filtro de firewall dinámico al autenticador. La URL de redireccionamiento se configura en el servidor AAA mediante el VSA Juniper-CWA-Redirect y el filtro de firewall dinámico se configura en el servidor AAA mediante el atributo Filter-ID con el valor JNPR_RSVD_FILTER_CWA. La URL de redireccionamiento debe contener la dirección IP del servidor CWA en este caso.

  4. El servidor AAA envía el filtro de firewall dinámico al autenticador y la URL de redireccionamiento se configura localmente en el puerto de host. La dirección URL de redireccionamiento se configura en el autenticador mediante la instrucción CLI y el filtro de firewall dinámico se configura en el servidor AAA mediante el atributo Filter-ID con el valor JNPR_RSVD_FILTER_CWA.redirect-url La URL de redireccionamiento debe contener la dirección IP del servidor CWA en este caso.

    Nota:

    La instrucción command es necesaria en la CLI solo si el servidor RADIUS no envía la URL de redireccionamiento en el VSA "Juniper-CWA-Redirect".redirect-url

Temas relacionados