Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Autenticación web central

La autenticación web proporciona acceso a la red para los usuarios al redirigir el navegador web del cliente a un servidor de autenticación web central (servidor CWA), que maneja el proceso completo de inicio de sesión. La autenticación web también se puede usar como un método de autenticación de reserva para usuarios de red regulares que tienen dispositivos habilitados con 802.1X, pero no se puede autenticar debido a otros problemas, como credenciales de red vencidas.

Descripción de la autenticación web central

La autenticación web redirige las solicitudes del navegador web a una página de inicio de sesión que requiere que el usuario introduzca un nombre de usuario y una contraseña. Si la autenticación se realiza correctamente, se le permite al usuario acceder a la red. La autenticación web es útil para proporcionar acceso a la red a usuarios temporales, como los visitantes de un sitio corporativo, que intentan acceder a la red mediante dispositivos que no están habilitados para 802.1X. La autenticación web también se puede usar como un método de autenticación de reserva para usuarios de red regulares que tienen dispositivos habilitados con 802.1X, pero no se puede autenticar debido a otros problemas, como credenciales de red vencidas.

La autenticación web se puede realizar localmente en el conmutador mediante el portal cautivo, pero esto requiere que las páginas del portal Web se configuren en cada conmutador utilizado como dispositivo de acceso a la red. La autenticación web central (CWA) proporciona eficiencia y beneficios de escalabilidad al redirigir el navegador web del cliente a un servidor de autenticación web central (servidor CWA), que maneja el proceso completo de inicio de sesión.

Nota:

CWA solo se admite con autenticación MAC RADIUS. CWA no se admite con la autenticación 802.1X.

Proceso central de autenticación web

La autenticación web central se invoca después de que un host falló la autenticación MAC RADIUS. El host puede intentar la autenticación mediante la autenticación 802.1X primero, pero debe intentar la autenticación MAC RADIUS antes de intentar la autenticación web central. El conmutador, que funciona como autenticador, intercambia mensajes RADIUS con el servidor de autenticación, autorización y contabilidad (AAA). Después de que se produce un error en la autenticación mac RADIUS, el conmutador recibe un mensaje de aceptación de acceso del servidor AAA. Este mensaje incluye un filtro de firewall dinámico y una URL de redirección para la autenticación web central. El conmutador aplica el filtro, que permite que el host reciba una dirección IP, y usa la dirección URL para redirigir el host a la página de autenticación Web.

Se le solicita al host las credenciales de inicio de sesión y también se le puede pedir que acepte una política de uso aceptable. Si la autenticación web se realiza correctamente, el servidor AAA envía un mensaje de cambio de autorización (CoA) que actualiza los términos de la sesión autorizada en curso. Esto permite que el autenticador actualice el filtro o la asignación de VLAN aplicada al puerto controlado, para permitir que el host acceda a la LAN.

La secuencia de eventos en la autenticación web central es la siguiente (consulte Figura 1):

  1. Un host conectado al conmutador (autenticador) inicia la autenticación MAC RADIUS.

  2. Se produce un error en la autenticación MAC RADIUS. En lugar de enviar un mensaje de rechazo de acceso al conmutador, el servidor AAA envía un mensaje de Access-Accept que incluye un filtro de firewall dinámico y una URL de redirección CWA.

  3. Los términos del filtro permiten que el host envíe solicitudes DHCP.

  4. El host recibe una dirección IP e información DNS del servidor DHCP. El servidor AAA inicia una nueva sesión que tiene un ID de sesión único.

  5. El host abre un navegador Web.

  6. El autenticador envía la DIRECCIÓN URL de redirección de CWA al host.

  7. El host se redirige al servidor CWA y se le solicita las credenciales de inicio de sesión.

  8. El host proporciona el nombre de usuario y la contraseña.

  9. Después de que la autenticación web se realiza correctamente, el servidor AAA envía un mensaje coA para udpar el filtro o la asignación de VLAN aplicada en el puerto controlado, lo que permite que el host acceda a la LAN.

  10. El autenticador responde con un mensaje CoA-ACK y envía una solicitud de autenticación MAC RADIUS al servidor AAA.

  11. El servidor AAA hace coincidir el ID de sesión con la política de acceso adecuada y envía un mensaje access-Accept para autenticar el host.

Figura 1: Proceso central de autenticación web Proceso central de autenticación web

Filtros de firewall dinámicos para autenticación web central

La autenticación web central usa filtros de firewall dinámicos, los cuales se definen centralmente en el servidor AAA y se aplican dinámicamente a los suplicantes que solicitan autenticación a través de ese servidor. El filtro permite que el host obtenga una dirección IP dinámicamente mediante DHCP. Los filtros se definen mediante el uso de atributos RADIUS, que se incluyen en los mensajes Access-Accept enviados desde el servidor. Los filtros se pueden definir utilizando el atributo Juniper-Switching-Filter, que es un atributo específico del proveedor (VSA), o el atributo Filter-ID, que es un atributo IETF RADIUS.

Para usar el VSA de Juniper-Switching-Filter para la autenticación web central, debe configurar el filtro con los términos correctos que permiten la dirección IP de destino del servidor CWA. Esta configuración se realiza directamente en el servidor AAA. Para usar el atributo Filter-ID para la autenticación web central, escriba el valor como JNPR_RSVD_FILTER_CWA en el servidor AAA. Los términos de filtro para este atributo se definen internamente para la autenticación web central, debido a lo cual no se requiere ninguna configuración adicional. Para obtener más información acerca de cómo configurar filtros de firewall dinámicos para la autenticación web central, consulte Configuración de la autenticación web central.

Redirección de URL para autenticación web central

En la autenticación web central, el autenticador redirige la solicitud del navegador web del host al servidor CWA mediante una DIRECCIÓN URL de redirección. Después de la redirección, el servidor CWA completa el proceso de inicio de sesión. La URL de redirección para la autenticación web central se puede configurar en el servidor AAA o en el autenticador. La URL de redirección, junto con el filtro de firewall dinámico, debe estar presente para activar el proceso de autenticación web central después de la falla de la autenticación MAC RADIUS.

La URL de redirección se puede definir centralmente en el servidor AAA mediante el VSA de redirección de Juniper-CWA, que es el atributo número 50 en el diccionario JUNIPER RADIUS. La dirección URL se reenvía desde el servidor AAA al conmutador en el mismo mensaje radius access-accept que contiene el filtro de firewall dinámico. También puede configurar la DIRECCIÓN URL de redireccionamiento localmente en la interfaz de host mediante la instrucción redirect-url CLI en el nivel de jerarquía [edit protocols dot1x authenticator interface interface-name]. Para obtener más información acerca de cómo configurar la dirección URL de redirección, consulte Configuración de la autenticación web central.

Consulte también

Configuración de la autenticación web central

La autenticación web central es un método de autenticación de reserva en el que el explorador Web del host se redirige a un servidor de autenticación web central (CWA). El servidor CWA proporciona un portal web en el que el usuario puede ingresar un nombre de usuario y una contraseña. Si el servidor CWA valida estas credenciales, el usuario se autentica y se le permite acceder a la red.

La autenticación web central se invoca después de que un host falló la autenticación MAC RADIUS. El conmutador, que funciona como autenticador, recibe un mensaje radius access-Accept del servidor AAA que incluye un filtro de firewall dinámico y una URL de redirección para la autenticación web central. El filtro de firewall dinámico y la URL de redirección deben estar presentes para que se active el proceso de autenticación web central.

Configuración de filtros de firewall dinámicos para la autenticación web central

Los filtros de firewall dinámicos se utilizan en la autenticación web central para permitir que el host obtenga una dirección IP de un servidor DHCP, lo que permite que el host acceda a la red. Los filtros se definen en el servidor AAA mediante atributos RADIUS, que se envían al autenticador en un mensaje de Access-Accept. Puede definir el filtro utilizando el atributo Juniper-Switching-Filter, que es un atributo específico del proveedor (VSA), o el filter-ID atributo, que es un atributo IETF RADIUS.

  • Para usar el VSA de Juniper-Switching-Filter para la autenticación web central, debe configurar los términos del filtro directamente en el servidor AAA. El filtro debe incluir un término para que coincida la dirección IP de destino del servidor CWA con la acción allow.

    Por ejemplo:

    Nota:

    El conmutador no resuelve las consultas DNS para la URL de redirección. Debe configurar el atributo Juniper-Switching-Filter para permitir la dirección IP de destino del servidor CWA.

  • Para usar el atributo Filter-ID para la autenticación web central, escriba JNPR_RSVD_FILTER_CWA como el valor del atributo en el servidor AAA. Los términos de filtro para este atributo se definen internamente para la autenticación web central, debido a lo cual no se requiere ninguna configuración adicional.

    Por ejemplo:

Para obtener más información acerca de cómo configurar filtros de firewall dinámico en el servidor AAA, consulte la documentación del servidor AAA.

Configuración de la URL de redirección para la autenticación web central

En la autenticación web central, el autenticador redirige la solicitud del navegador web del host al servidor CWA mediante una DIRECCIÓN URL de redirección. La DIRECCIÓN URL de redireccionamiento para la autenticación web central se puede configurar en el servidor AAA o localmente en la interfaz del host.

  • Para configurar la URL de redireccionamiento en el servidor AAA, use el VSA juniper-CWA-Redirect, que es el atributo número 50 en el diccionario Juniper RADIUS. La dirección URL se reenvía desde el servidor AAA al conmutador en el mismo mensaje radius access-accept que contiene el filtro de firewall dinámico.

    Por ejemplo:

    Nota:

    Cuando se utiliza el JNPR_RSVD_FILTER_CWA especial del atributo Filter-ID para el filtro de firewall dinámico, la DIRECCIÓN URL de redireccionamiento debe incluir la dirección IP del servidor AAA, por ejemplo, https://10.10.10.10.

  • Para configurar la DIRECCIÓN URL de redireccionamiento localmente en la interfaz de host, utilice la siguiente instrucción de CLI:

    Por ejemplo:

Directrices para configurar la autenticación web central

La autenticación web central se activa después de la falla de la autenticación MAC RADIUS cuando la URL de redirección y el filtro de firewall dinámico están presentes. La URL de redirección y el filtro de firewall dinámico se pueden configurar en cualquiera de las siguientes combinaciones:

  1. El servidor AAA envía la URL de redirección CWA y el filtro de firewall dinámico al autenticador. La URL de redirección se configura en el servidor AAA mediante el VSA juniper-CWA-Redirect y el filtro de firewall dinámico se configura en el servidor AAA mediante el VSA de conmutación de Juniper. El filtro debe configurarse para permitir la dirección IP de destino del servidor CWA en este caso.

  2. El servidor AAA envía el filtro de firewall dinámico al autenticador y la URL de redireccionamiento se configura localmente en el puerto de host. La URL de redirección se configura en el autenticador mediante el uso de la redirect-url instrucción cli y el filtro de firewall dinámico está configurado en el servidor AAA mediante el VSA de juniper-Switching-Filter. El filtro debe configurarse para permitir la dirección IP de destino del servidor CWA en este caso.

  3. El servidor AAA envía la URL de redirección CWA y el filtro de firewall dinámico al autenticador. La URL de redireccionamiento se configura en el servidor AAA mediante el VSA juniper-CWA-Redirect y el filtro de firewall dinámico se configura en el servidor AAA mediante el atributo Filter-ID con el valor JNPR_RSVD_FILTER_CWA. La URL de redirección debe contener la dirección IP del servidor CWA en este caso.

  4. El servidor AAA envía el filtro de firewall dinámico al autenticador y la URL de redireccionamiento se configura localmente en el puerto de host. La DIRECCIÓN URL de redireccionamiento se configura en el autenticador mediante la instrucción de la redirect-url CLI y el filtro de firewall dinámico se configura en el servidor AAA mediante el atributo Filter-ID con el valor JNPR_RSVD_FILTER_CWA. La URL de redirección debe contener la dirección IP del servidor CWA en este caso.

    Nota:

    La redirect-url instrucción de comando es necesaria en la CLI solo si el servidor RADIUS no envía la URL de redirección en el VSA "Juniper-CWA-Redirect".

Temas relacionados