Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autenticación Web central

La autenticación web proporciona acceso a la red para los usuarios mediante la redirección del navegador Web del cliente a un servidor central de autenticación Web (servidor CWA), el cual controla el proceso de inicio de sesión completo. La autenticación Web también se puede usar como método de autenticación de reserva para los usuarios de red habituales que tienen dispositivos habilitados para 802.1 X, pero producen errores de autenticación debido a otros problemas, como credenciales de red caducadas.

Descripción de la autenticación Web central

La autenticación web redirige las solicitudes del explorador Web a una página de inicio de sesión que requiere que el usuario escriba un nombre de usuario y una contraseña. Tras una autenticación correcta, se permite que el usuario tenga acceso a la red. La autenticación Web es útil para proporcionar acceso de red a usuarios temporales, como los visitantes de un sitio corporativo, que intentan tener acceso a la red mediante dispositivos que no están habilitados para 802.1 X. La autenticación Web también se puede usar como método de autenticación de reserva para los usuarios de red habituales que tienen dispositivos habilitados para 802.1 X, pero producen errores de autenticación debido a otros problemas, como credenciales de red caducadas.

La autenticación Web se puede llevar a cabo de forma local en el conmutador mediante un portal cautivo, pero esto requiere que las páginas del portal web se configuren en cada conmutador que se utiliza como dispositivo de acceso a la red. La autenticación web central (CWA) proporciona eficiencia y ventajas de escalabilidad mediante la redirección del navegador web del cliente a un servidor de autenticación Web central (servidor CWA), el cual se encarga de todo el proceso de inicio de sesión.

Proceso de autenticación Web central

La autenticación Web central se invoca después de que un host haya fallado la autenticación de MAC RADIUS. El host puede intentar en primer lugar la autenticación mediante autenticación 802.1 X, pero entonces debe intentar que MAC RADIUS la autenticación antes de intentar la autenticación Web central. El conmutador, que funciona como el autenticador, intercambia mensajes RADIUS con el servidor de autenticación, autorización y control de cuentas (AAA). Después de producirse un error en la autenticación de MAC RADIUS, el conmutador recibe un mensaje de aceptación de acceso del servidor AAA. Este mensaje incluye un filtro de Firewall dinámico y una dirección URL de redireccionamiento para la autenticación Web central. El conmutador aplica el filtro, lo que permite que el host reciba una dirección IP y utiliza la dirección URL para redirigir el host a la página de autenticación Web.

Al host se le piden las credenciales de inicio de sesión y es posible que también se le pida que acepte una directiva de uso aceptable. Si la autenticación Web se realiza correctamente, el servidor AAA envía un mensaje de cambio de autorización (CoA), que actualiza los términos de la sesión autorizada en curso. Esto permite al autenticador actualizar la asignación de filtro o VLAN aplicada al puerto controlado, para permitir que el host tenga acceso a la LAN.

La secuencia de sucesos en la autenticación Web central es la Figura 1siguiente (consulte):

  1. Un host conectado al conmutador (autenticador) inicia MAC RADIUS autenticación.

  2. Error en la autenticación de RADIUS MAC. En lugar de enviar un mensaje de rechazo de acceso al conmutador, el servidor de AAA envía un mensaje de aceptación de acceso que incluye un filtro de Firewall dinámico y una dirección URL de redireccionamiento de CWA.

  3. El host está permitido por los términos del filtro para enviar solicitudes DHCP.

  4. El host recibe una dirección IP e información de DNS del servidor DHCP. El servidor AAA inicia una nueva sesión que tiene un identificador de sesión único.

  5. El host abre un navegador web.

  6. El autenticador envía la URL de redireccionamiento de CWA al host.

  7. El host se redirige al servidor de CWA y se le pide que indique las credenciales de inicio de sesión.

  8. El host proporciona el nombre de usuario y la contraseña.

  9. Una vez realizada correctamente la autenticación Web, el servidor de AAA envía un mensaje de CoA a UDPATE para que la asignación de filtro o de VLAN se aplique en el puerto controlado, lo que permite que el host tenga acceso a la LAN.

  10. El autenticador responde con un mensaje de confirmación de certificado y envía una solicitud de autenticación de MAC RADIUS al servidor AAA.

  11. El servidor AAA coincide con el identificador de sesión con la Directiva de acceso adecuada y envía un mensaje de aceptación de acceso para autenticar el host.

Figura 1: Proceso de autenticación Web centralProceso de autenticación Web central

Filtros dinámicos de Firewall para autenticación Web central

La autenticación Web central utiliza filtros dinámicos del firewall, que se definen de forma centralizada en el servidor AAA y se aplican dinámicamente a los suplicantes que solicitan autenticación a través de ese servidor. El filtro permite al host obtener una dirección IP dinámicamente mediante DHCP. Los filtros se definen mediante atributos RADIUS, que se incluyen en los mensajes de aceptación de acceso enviados desde el servidor. Los filtros se pueden definir con el atributo de filtro de conmutación de Juniper, que es un atributo específico del proveedor (VSA) o el atributo Filter-ID, que es un atributo de RADIUS IETF.

Para usar el VSA de filtro de conmutación Juniper para la autenticación Web central, debe configurar el filtro con los términos correctos que permitan la dirección IP de destino de CWA Server. Esta configuración se realiza directamente en el servidor AAA. Para utilizar el atributo Filter-ID en la autenticación Web central, escriba el valor JNPR_RSVD_FILTER_CWA en el servidor AAA. Las condiciones del filtro de este atributo se definen internamente para la autenticación Web central, ya que no se requiere ninguna configuración adicional. Para obtener más información sobre cómo configurar filtros dinámicos de Firewall para la autenticación Web central, consulte Configuring Web Authentication.

Dirección URL de redireccionamiento para la autenticación Web central

En la autenticación Web central, el autenticador redirige la solicitud del navegador Web del host al servidor de CWA mediante una URL de redirección. Después de la redirección, el CWA Server completa el proceso de inicio de sesión. La dirección URL de redireccionamiento para la autenticación Web central puede configurarse en el servidor AAA o en el autenticador. La dirección URL de redireccionamiento, junto con el filtro de Firewall dinámico, debe estar presente para desencadenar el proceso de autenticación Web central después del error de autenticación de RADIUS en MAC.

La dirección URL de redireccionamiento puede definirse de forma centralizada en el servidor de AAA mediante el Juniper-CWA-redirigir VSA, que es el número de atributo 50 en el Diccionario RADIUS Juniper. La dirección URL se reenvía del servidor AAA al conmutador, en el mismo mensaje RADIUS aceptación de acceso que contiene el filtro de Firewall dinámico. También puede configurar la dirección URL de redireccionamiento localmente en la interfaz de host utilizando la redirect-url declaración de laedit protocols dot1x authenticator interface interface-nameCLI en el nivel de jerarquía []. Para obtener más información acerca de la configuración de la URL de redireccionamiento, consulte Configuración de la autenticación Web central.

Configuración de la autenticación Web central

La autenticación Web central es un método de autenticación de reserva en el cual el navegador Web del host se redirige a un servidor de autenticación Web central (CWA). CWA Server proporciona un portal web en el que el usuario puede introducir un nombre de usuario y una contraseña. Si el servidor de CWA valida estas credenciales, el usuario se autentica y se le permite acceder a la red.

La autenticación Web central se invoca después de que un host haya fallado la autenticación de MAC RADIUS. El conmutador, que funciona como el autenticador, recibe un mensaje de aceptación de acceso RADIUS desde el servidor AAA que incluye un filtro de Firewall dinámico y una dirección URL de redireccionamiento para la autenticación Web central. El filtro del firewall dinámico y la dirección URL de redireccionamiento deben estar presentes para que se desencadene el proceso de autenticación de web central.

Configuración de filtros dinámicos de Firewall para la autenticación Web central

Los filtros dinámicos de Firewall se utilizan en la autenticación Web central para permitir que el host obtenga una dirección IP de un servidor DHCP, lo que permite que el host tenga acceso a la red. Los filtros se definen en el servidor AAA mediante atributos de RADIUS, que se envían al autenticador en un mensaje de aceptación de acceso. Puede definir el filtro mediante el atributo de filtro de conmutación por Juniper, que es un atributo específico del proveedor (VSA), o el atributo Filter-ID, que es un atributo de RADIUS IETF.

  • Para usar el VSA de filtro de conmutación de Juniper para la autenticación Web central, debe configurar los términos de filtro directamente en el servidor AAA. El filtro debe incluir un término para hacer coincidir la dirección IP de destino del CWA Server con allowla acción.

    Por ejemplo:

    Nota:

    El modificador no resuelve las consultas DNS para la dirección URL de redireccionamiento. Debe configurar el atributo de filtro de conmutación de Juniper para permitir la dirección IP de destino de CWA Server.

  • Para utilizar el atributo Filter-ID en la autenticación Web central, escriba JNPR_RSVD_FILTER_CWA como valor para el atributo en el servidor AAA. Las condiciones del filtro de este atributo se definen internamente para la autenticación Web central, ya que no se requiere ninguna configuración adicional.

    Por ejemplo:

Para obtener más información acerca de cómo configurar filtros dinámicos del firewall en el servidor de AAA, consulte la documentación del servidor AAA.

Configuración de la dirección URL de redireccionamiento para la autenticación Web central

En la autenticación Web central, el autenticador redirige la solicitud del navegador Web del host al servidor de CWA mediante una URL de redirección. La dirección URL de redireccionamiento para la autenticación Web central puede configurarse en el servidor AAA o localmente en la interfaz de host.

  • Para configurar la dirección URL de redireccionamiento en el servidor de AAA, utilice Juniper-CWA-redireccionar VSA, que es el número de atributo 50 en el Diccionario de RADIUS Juniper. La dirección URL se reenvía del servidor AAA al conmutador, en el mismo mensaje RADIUS aceptación de acceso que contiene el filtro de Firewall dinámico.

    Por ejemplo:

    Nota:

    Si se utiliza el atributo Special-ID del filtro JNPR_RSVD_FILTER_CWA para el filtro del cortafuegos dinámico, la URL de redireccionamiento debe incluir la dirección IP del servidor AAA https://10.10.10.10, por ejemplo,.

  • Para configurar la dirección URL de redireccionamiento localmente en la interfaz de host, utilice la siguiente instrucción de la CLI:

    Por ejemplo:

Directrices para configurar la autenticación Web central

La autenticación Web central se activa después del error de autenticación de MAC RADIUS cuando ambos están presentes en la dirección URL de redireccionamiento y el filtro de Firewall dinámico. La URL de redireccionamiento y el filtro de cortafuegos dinámicos pueden configurarse en cualquiera de las siguientes combinaciones:

  1. El servidor AAA envía los filtros URL de redireccionamiento de CWA y firewall dinámico al autenticador. La dirección URL de redireccionamiento se configura en el servidor de AAA mediante el VSA Juniper-CWA-Redirect de redirección y el filtro dinámico de Firewall se configura en el servidor AAA con el VSA del filtro de conmutación Juniper. En este caso, el filtro debe estar configurado para permitir la dirección IP de destino de CWA Server.

  2. El servidor AAA envía el filtro de Firewall dinámico al autenticador y la dirección URL de redireccionamiento se configura localmente en el puerto de host. La dirección URL de redireccionamiento se configura en el autenticador redirect-url mediante el uso de la instrucción de la CLI y el filtro de Firewall dinámico se configura en el servidor AAA mediante el VSA del filtro de conmutación de Juniper. En este caso, el filtro debe estar configurado para permitir la dirección IP de destino de CWA Server.

  3. El servidor AAA envía los filtros URL de redireccionamiento de CWA y firewall dinámico al autenticador. La dirección URL de redireccionamiento se configura en el servidor de AAA mediante los VSA Juniper-CWA-Redirect de redirección y firewall dinámico que se configura en el servidor AAA mediante el atributo de ID. de filtro con el valor JNPR_RSVD_FILTER_CWA. En este caso, la URL de redireccionamiento debe contener la dirección IP de CWA Server.

  4. El servidor AAA envía el filtro de Firewall dinámico al autenticador y la dirección URL de redireccionamiento se configura localmente en el puerto de host. La dirección URL de redireccionamiento se configura en el autenticador redirect-url mediante el uso de la instrucción CLI y el filtro Dynamic Firewall se configura en el servidor AAA utilizando el atributo Filter-ID con el valor JNPR_RSVD_FILTER_CWA. En este caso, la URL de redireccionamiento debe contener la dirección IP de CWA Server.