Este documento descreve como configurar políticas de autorização no Cisco Identity Services Engine (ISE) para distinguir entre diferentes Service Set Identifiers (SSIDs). É muito comum uma organização ter vários SSIDs em sua rede sem fio para várias finalidades. Uma das finalidades mais comuns é ter um SSID corporativo para funcionários e um SSID de convidado para visitantes da organização.
Este guia pressupõe que:
A controladora Wireless LAN (WLC) está configurada e funciona para todos os SSIDs envolvidos.
A autenticação funciona em todos os SSIDs envolvidos no ISE.
Outros documentos nesta série
Exemplo de Configuração da Autenticação Central da Web com um Switch e um Identity Services Engine
Exemplo de configuração da autenticação da Web central no WLC e no ISE
Exemplo de Configuração de Contas de Convidado do ISE para Autenticação RADIUS/802.1x
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas nestas versões de software e hardware:
Controlador de LAN sem fio versão 7.3.101.0
Identity Services Engine versão 1.1.2.145
As versões anteriores também têm esses dois recursos.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.
Este documento utiliza as seguintes configurações:
Método 1: Airespace-Wlan-Id
Método 2: ID da estação chamada
Somente um método de configuração deve ser usado de cada vez. Se ambas as configurações forem implementadas simultaneamente, a quantidade processada pelo ISE aumenta e afeta a legibilidade das regras. Este documento analisa as vantagens e desvantagens de cada método de configuração.
Método 1: Airespace-Wlan-Id
Cada rede local sem fio (WLAN) criada na WLC tem uma ID de WLAN. O ID da WLAN é exibido na página de resumo da WLAN.
Quando um cliente se conecta ao SSID, a solicitação RADIUS ao ISE contém o atributo Airespace-WLAN-ID. Esse atributo simples é usado para tomar decisões de política no ISE. Uma desvantagem desse atributo é se o ID da WLAN não corresponder em um SSID espalhado por vários controladores. Se isso descrever sua implantação, continue com o Método 2.
Nesse caso, Airespace-Wlan-Id é usado como uma condição. Ele pode ser usado como uma condição simples (por si só) ou em uma condição composta (em conjunto com outro atributo) para alcançar o resultado desejado. Este documento abrange ambos os casos de uso. Com os dois SSIDs acima, essas duas regras podem ser criadas.
A) Os usuários convidados devem fazer login no SSID convidado.
B) Os usuários corporativos devem estar no grupo AD (Ative Diretory, diretório ativo) "Usuários do domínio" e devem fazer login no SSID corporativo.
Regra A
A regra A tem apenas um requisito, portanto, você pode criar uma condição simples (com base nos valores acima):
No ISE, vá para Policy > Policy Elements > Conditions > Authorization > Simple Conditions e crie uma nova condição.
No campo Nome, insira um nome de condição
No campo Descrição, insira uma descrição (opcional).
Na lista suspensa Atributo, escolha Airespace > Airespace-Wlan-Id—[1].
Na lista suspensa Operador, escolha Igual a.
Na lista suspensa Valor, escolha 2.
Click Save.
Regra B
A regra B tem dois requisitos, portanto, você pode criar uma condição composta (com base nos valores acima):
No ISE, vá para Policy > Policy Elements > Conditions > Authorization > Compound Conditions e crie uma nova condição.
No campo Nome, insira um nome de condição.
No campo Descrição, insira uma descrição (opcional).
Escolha Criar Nova Condição (Opção Avançar).
Na lista suspensa Atributo, escolha Airespace > Airespace-Wlan-Id—[1].
Na lista suspensa Operador, escolha Igual a.
Na lista suspensa Valor, escolha 1.
Clique na engrenagem à direita e escolha Adicionar atributo/valor.
Na lista suspensa Atributo, escolha AD1 > Grupos externos.
Na lista suspensa Operador, escolha Igual a.
Na lista suspensa Valor, selecione o grupo necessário. Neste exemplo, ele é definido como Usuários do domínio.
Click Save.
Observação: neste documento, usamos perfis de autorização simples configurados em Policy > Policy Elements > Results > Authorization > Authorization Profiles. Eles são definidos como Permitir acesso, mas podem ser adaptados para atender às necessidades da sua implantação.
Agora que temos as condições, podemos aplicá-las a uma Política de Autorização. Vá para Política > Autorização. Determine onde inserir a regra na lista ou edite a regra existente.
Regra de Convidado
Clique na seta para baixo à direita de uma regra existente e escolha Inserir uma nova regra.
Digite um nome para a regra de convidado e deixe o campo de grupos de identidade definido como Qualquer.
Em Condições, clique no sinal de mais e clique em Selecionar condição existente na biblioteca.
Em Nome da condição, escolha Condição simples > GuestSSID.
Em Permissões, escolha o perfil de autorização apropriado para seus usuários convidados.
Clique em Concluído.
Regra corporativa
Clique na seta para baixo à direita de uma regra existente e escolha Inserir uma nova regra.
Insira um nome para a regra corporativa e deixe o campo de grupos de identidade definido como Qualquer.
Em Condições, clique no sinal de mais e clique em Selecionar condição existente na biblioteca.
Em Nome da condição, escolha Condição composta > CorporateSSID.
Em Permissões, escolha o perfil de autorização apropriado para seus usuários corporativos.
Clique em Concluído.
Observação: até você clicar em Salvar na parte inferior da Lista de políticas, nenhuma alteração feita nesta tela será aplicada à sua implantação.
Método 2: ID da estação chamada
A WLC pode ser configurada para enviar o nome SSID no atributo RADIUS Called-Station-ID, que, por sua vez, pode ser usado como uma condição no ISE. A vantagem desse atributo é que ele pode ser usado independentemente do ID da WLAN definido na WLC. Por padrão, a WLC não envia o SSID no atributo Called-Station-ID. Para habilitar esse recurso na WLC, vá para Security > AAA > RADIUS > Authentication e defina o Call Station ID Type como AP MAC Address:SSID. Isso define o formato do ID da estação chamada para <MAC do AP ao qual o usuário está se conectando>:<SSID Name>.
Você pode ver qual nome SSID será enviado na página de resumo da WLAN.
Como o atributo Called-Station-Id também contém o endereço MAC do AP, uma Expressão Regular (REGEX) é usada para corresponder ao nome SSID na política do ISE. O operador 'Matches' na configuração de condição pode ler um REGEX do campo Value.
Exemplos de REGEX
'Começa com' — por exemplo, use o valor REGEX de ^(Acme).* — essa condição é configurada como CERTIFICATE:Organization MATCHES 'Acme' (qualquer correspondência com uma condição que comece com "Acme").
'Termina com' — por exemplo, use o valor REGEX de .*(mktg)$ — essa condição é configurada como CERTIFICATE:Organization MATCHES 'mktg' (qualquer correspondência com uma condição que termine com "mktg").
'Contém' — por exemplo, use o valor REGEX de .*(1234).*—essa condição é configurada como CERTIFICATE:Organization MATCHES '1234' (qualquer correspondência com uma condição que contenha "1234", como Eng1234, 1234Dev e Corp1234Mktg).
'Não começa com' — por exemplo, use o valor REGEX de ^(?!LDAP).* — essa condição é configurada como CERTIFICATE:Organization MATCHES 'LDAP' (qualquer correspondência com uma condição que não comece com "LDAP", como usLDAP ou CorpLDAPmktg).
O ID da estação chamada termina com o nome SSID, portanto, o REGEX a ser usado neste exemplo é .*(:<NOME SSID>)$. Lembre-se disso ao executar a configuração.
Com os dois SSIDs acima, você pode criar duas regras com estes requisitos:
A) Os usuários convidados devem fazer login no SSID convidado.
B) Os usuários corporativos devem estar no grupo AD "Usuários do domínio" e devem fazer login no SSID corporativo.
Regra A
A regra A tem apenas um requisito, portanto, você pode criar uma condição simples (com base nos valores acima):
No ISE, vá para Policy > Policy Elements > Conditions > Authorization > Simple Conditions e crie uma nova condição.
No campo Nome, insira um nome de condição.
No campo Descrição, insira uma descrição (opcional).
Na lista suspensa Atributo, escolha Radius -> Called-Station-ID—[30].
Na lista suspensa Operador, escolha Correspondências.
Na lista suspensa Valor, escolha .*(:Guest)$. Isso diferencia maiúsculas de minúsculas.
Click Save.
Regra B
A regra B tem dois requisitos, portanto, você pode criar uma condição composta (com base nos valores acima):
No ISE, vá para Policy > Policy Elements > Conditions > Authorization > Compound Conditions e crie uma nova condição.
No campo Nome, insira um nome de condição.
No campo Descrição, insira uma descrição (opcional).
Escolha Criar Nova Condição (Opção Avançar).
Na lista suspensa Atributo, escolha Radius -> Called-Station-Id—[30].
Na lista suspensa Operador, escolha Correspondências.
Na lista suspensa Valor, escolha .*(:Corporate)$. Isso diferencia maiúsculas de minúsculas.
Clique na engrenagem à direita e escolha Adicionar atributo/valor.
Na lista suspensa Atributo, escolha AD1 > Grupos externos.
Na lista suspensa Operador, escolha Igual a.
Na lista suspensa Valor, selecione o grupo necessário. Neste exemplo, ele é definido como Usuários do domínio.
Click Save.
Observação: neste documento, usamos perfis de autorização simples configurados em Política > Elementos de política > Resultados > Autorização > Perfis de autorização. Eles são definidos como Permitir acesso, mas podem ser adaptados para atender às necessidades da sua implantação.
Agora que as condições estão configuradas, aplique-as a uma Política de Autorização. Vá para Política > Autorização. Insira a regra na lista no local apropriado ou edite uma regra existente.
Regra de Convidado
Clique na seta para baixo à direita de uma regra existente e escolha Inserir uma nova regra.
Digite um nome para a regra de convidado e deixe o campo de grupos de identidade definido como Qualquer.
Em Condições, clique no sinal de mais e clique em Selecionar condição existente na biblioteca.
Em Nome da condição, escolha Condição simples > GuestSSID
Em Permissões, escolha o perfil de autorização apropriado para seus usuários convidados.
Clique em Concluído.
Regra corporativa
Clique na seta para baixo à direita de uma regra existente e escolha Inserir uma nova regra.
Insira um nome para a regra corporativa e deixe o campo de grupos de identidade definido como Qualquer.
Em Condições, clique no sinal de mais e clique em Selecionar condição existente na biblioteca.
Em Nome da condição, escolha Condição composta > CorporateSSID.
Em Permissões, escolha o perfil de autorização apropriado para seus usuários corporativos.
Clique em Concluído.
Clique em Save na parte inferior da lista Policy.
Observação: até você clicar em Salvar na parte inferior da Lista de políticas, nenhuma alteração feita nesta tela será aplicada à sua implantação.
No momento, não há procedimento de verificação disponível para esta configuração.
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.
Para descobrir se a política foi criada corretamente e para certificar-se de que o ISE está recebendo os atributos adequados, revise o relatório de autenticação detalhado para uma autenticação aprovada ou com falha para o usuário. Escolha Operations > Authentications e clique no ícone Details para obter uma autenticação.
Primeiro, verifique o Resumo de autenticação. Mostra os fundamentos da autenticação, que incluem qual perfil de autorização foi fornecido ao usuário.
Se a política estiver incorreta, os detalhes de autenticação mostrarão qual Airespace-Wlan-Id e qual Called-Station-Id foi enviado da WLC. Ajuste as regras de acordo. A Regra de correspondência de política de autorização confirma se a autenticação está ou não correspondendo à regra desejada.
Essas regras são normalmente configuradas incorretamente. Para revelar o problema de configuração, compare a regra com o que é visto nos detalhes da autenticação. Se você não vir os atributos no campo Other Attributes, certifique-se de que a WLC esteja configurada corretamente.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
19-Dec-2012 |
Versão inicial |