웹 인증을 통한 HTTPS 리디렉션 구성
소개
이 문서에서는 HTTPS를 통한 웹 인증 리디렉션에 대한 컨피그레이션에 대해 설명합니다.이 기능은 Cisco CUWN(Unified Wireless Network) 릴리스 8.0에 도입된 기능입니다.
사전 요구 사항
요구 사항
Cisco에서는 다음 주제에 대해 알고 있는 것이 좋습니다.
- WLC(Wireless LAN Controller) 웹 인증에 대한 기본 지식
- 웹 인증을 위해 WLC를 구성하는 방법.
사용되는 구성 요소
이 문서의 정보는 CUWN 펌웨어 버전 8.0을 실행하는 Cisco 5500 Series WLC를 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
웹 인증은 레이어 3 보안 기능입니다.무선 클라이언트가 유효한 사용자 이름과 비밀번호를 제공할 때까지 특정 클라이언트에서 DHCP 관련 패킷/DNS 관련 패킷을 제외한 모든 IP/데이터 트래픽을 차단합니다.웹 인증은 일반적으로 게스트 액세스 네트워크를 구축하려는 고객이 사용합니다.웹 인증은 컨트롤러가 클라이언트에서 첫 번째 TCP HTTP(포트 80) GET 패킷을 가로채면 시작됩니다.
클라이언트의 웹 브라우저가 이 범위를 충족하려면 클라이언트가 먼저 IP 주소를 얻고 웹 브라우저의 URL-IP 주소 변환(DNS 확인)을 수행해야 합니다.이렇게 하면 웹 브라우저에서 HTTP GET을 전송할 IP 주소를 알 수 있습니다. 클라이언트가 첫 번째 HTTP GET을 TCP 포트 80으로 전송하면 컨트롤러는 처리를 위해 클라이언트를 https:<virtual IP>/login.html으로 리디렉션합니다.이 프로세스는 로그인 웹 페이지를 표시합니다.
CUWN 8.0 이전 릴리스(즉, 최대 7.6) 이전에는 무선 클라이언트가 HTTPS 페이지(TCP 443)를 표시할 경우 페이지가 웹 인증 포털로 리디렉션되지 않습니다.점점 더 많은 웹 사이트에서 HTTPS를 사용하기 시작하면서 이 기능은 CUWN 8.0 이상 릴리스에 포함되어 있습니다.이 기능을 사용하여 무선 클라이언트가 https://<website>를 시도할 경우 웹 인증 로그인 페이지로 리디렉션됩니다.또한 이 기능은 브라우저가 아닌 애플리케이션으로 https 요청을 보내는 디바이스에 매우 유용합니다.
인증서 오류
"인증서가 신뢰할 수 있는 인증 기관에서 발급되지 않았습니다." 경고 메시지 는 https-redirect 기능을 구성한 후 브라우저에 나타납니다. 이는 그림 1 및 그림 2와 같이 컨트롤러에 유효한 루트 또는 체인으로 연결된 인증서가 있는 경우에도 나타납니다. 이유는 컨트롤러에 설치한 인증서가 가상 IP 주소에 발급되기 때문입니다.
클라이언트가 HTTPS://<web-site>를 시도하면 브라우저는 DNS에 의해 확인된 사이트의 IP 주소에 발급된 인증서를 기대합니다.그러나 WLC의 내부 웹 서버(가상 IP 주소)에 발급된 인증서가 수신되며, 이로 인해 브라우저에서 경고가 발생합니다.이는 전적으로 HTTPS 작동 방식 때문이며 웹 인증 리디렉션이 작동하기 위해 HTTPS 세션을 가로채려고 시도할 경우 항상 발생합니다.
서로 다른 브라우저에 여러 인증서 오류 메시지가 표시될 수 있지만 모두 앞서 설명한 것과 같은 문제와 관련이 있습니다.
그림 1
다음은 Chrome에 오류가 표시되는 방법의 예입니다.
그림 2
구성
HTTPS 리디렉션을 위한 WLC 구성
이 컨피그레이션에서는 레이어 3 웹 인증 보안을 위해 무선 LAN(WLAN)이 이미 구성되어 있다고 가정합니다.이 웹 인증 WLAN에서 HTTPS 리디렉션을 활성화 또는 비활성화하려면
(WLC)>config wlan security web-auth enable 10
(WLC)>config network web-auth https-redirect enable
WARNING! - You have chosen to enable https-redirect.
This might impact performance significantly
예시 컨피그레이션에서 보여주는 것처럼, 이는 HTTPS 리디렉션의 처리량에 영향을 줄 수 있지만 HTTP 리디렉션은 영향을 받지 않습니다
웹 인증 WLAN의 컨피그레이션 및 자세한 내용은 WLAN 컨트롤러의 웹 인증을 참조하십시오.
다음을 확인합니다.
이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.
Output Interpreter 도구(등록된 고객만 해당)는 특정 show 명령을 지원합니다.show 명령 출력의 분석을 보려면 [출력 인터프리터 도구]를 사용합니다.
(WLC)>show network summary
Web Auth Secure Web ....................... Enable
Web Auth Secure Redirection ............... Enable
- 다음 디버깅 사용:
(WLC) debug client
(WLC)> debug web-auth redirect enable - 디버깅 확인:
(WLC) >show debug
MAC Addr 1.................................. 24:77:03:52:56:80
Debug Flags Enabled:
webauth redirect enabled. - 클라이언트를 웹 인증 활성화 SSID에 연결합니다.
- 다음 디버그를 찾습니다.
*webauthRedirect: Jan 16 03:35:35.678: 24:77:3:52:56:80- received connection.
client socket = 9
*webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- trying to read on socket 95
*webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- calling parser with bytes = 204
*webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- bytes parsed = 204
*webauthRedirect: Jan 16 03:35:35.679: captive-bypass detection enabled,
checking for wispr in HTTP GET, client mac=24:77:3:52:56:80
*webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- Preparing redirect
URL according to configured Web-Auth type
*webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- got the hostName
for virtual IP(wirelessguest.test.com)
*webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- Checking custom-web
config for WLAN ID:10
*webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- Global status is
enabled, checking on web-auth type
*webauthRedirect: Jan 16 03:35:35.679: 24:77:3:52:56:80- Web-auth type Customized,
using URL:https://wirelessguest.test.com/fs/customwebauth/login.html
문제 해결
현재 이 컨피그레이션에 사용할 수 있는 특정 문제 해결 정보가 없습니다.
피드백