Segurança : Cisco Identity Services Engine

Autenticação da Web central no exemplo de configuração WLC e ISE

1 Agosto 2013 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (2 Janeiro 2014) | Feedback

ID do Documento: 115732

Atualizado em: julho 11, 2013

Contribuído por Nicolas Darchis, engenheiro de TAC da Cisco.

Introdução

Este documento descreve os métodos múltiplos para terminar a autenticação da Web central no controlador do Wireless LAN (WLC).

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Software Release 1.1.1.268 do Cisco Identity Services Engine
  • Software Release 7.2.110.0 do controlador de LAN do Cisco Wireless

Configurar

O primeiro método é autenticação da Web local. Neste caso, o WLC reorienta o tráfego de HTTP a um interno ou a um servidor interno onde o usuário seja alertado autenticar. O WLC então busca as credenciais (enviadas para trás através de um pedido HTTP GET no caso do servidor interno) e faz uma autenticação RADIUS. No caso de um usuário convidado, um servidor interno (tal como o server do Identity Services Engine (ISE) ou do convidado NAC (NG)) é exigido enquanto o portal fornece características tais como se registrar e auto-abastecimento do dispositivo. O fluxo inclui estas etapas:

  1. Os associados do usuário ao Service Set Identifier (SSID) da autenticação da Web.
  2. O usuário abre seu navegador.
  3. O WLC reorienta ao portal do convidado (tal como o ISE ou os NG) assim que uma URL for incorporada.
  4. O usuário autentica no portal.
  5. O portal do convidado reorienta de volta ao WLC com as credenciais incorporadas.
  6. O WLC autentica o usuário convidado através do RAIO.
  7. O WLC reorienta de volta à URL original.

Isto inclui muita reorientação. A aproximação nova é usar a autenticação da Web central. Isto trabalha com ISE (versões mais tarde de 1,1) e WLC (versões mais tarde de 7,2). O fluxo inclui estas etapas:

  1. Os associados do usuário à autenticação da Web SSID.
  2. O usuário abre seu navegador.
  3. O WLC reorienta ao portal do convidado.
  4. O usuário autentica no portal.
  5. O ISE envia uma mudança do RAIO da autorização (CoA - porta 3799 UDP) indicar ao controlador que o usuário é válido, e empurra eventualmente atributos RADIUS tais como o Access Control List (ACL).
  6. O usuário é alertado experimentar de novo a URL original.

A instalação usada é:

Configuração de WLC

A configuração WLC é relativamente simples. Um “truque” é usado (mesmos que no Switches) para obter a autenticação dinâmica URL do ISE (desde que usa a mudança da autorização (CoA), uma sessão precisa de ser criada e o ID de sessão é parte da URL). O SSID é configurado para usar a filtração MAC. O ISE é configurado para retornar uma aceitação de acesso mesmo se o MAC address não é encontrado, de modo que envie a reorientação URL para todos os usuários. 

Além do que isto, o Network Admission Control (NAC) do RAIO e a ultrapassagem do Authentication, Authorization, and Accounting (AAA) devem ser permitidos. O RAIO NAC permite que o ISE envie um pedido CoA que indique o usuário está autenticado agora e pode alcançar a rede. Está usado igualmente para a avaliação da postura, neste caso o ISE muda o perfil de usuário baseado no resultado da postura.

Assegure-se de que o servidor Radius tenha o RFC3576 (CoA) permitido, que é à revelia.

A etapa final é criar uma reorientação ACL. Este ACL é provido na aceitação de acesso do ISE e define que tráfego deve ser reorientado (negado pelo ACL) e que tráfego não deve ser reorientado (permitido pelo ACL). Basicamente, o DNS e o tráfego para/desde o ISE precisam de ser permitidos.

A configuração está agora completa no WLC.

Configuração ISE

No ISE, o perfil da autorização deve ser criado. Então, a authentication e autorização é configurada. O WLC deve já ser configurado como um dispositivo de rede.

No perfil da autorização, dê entrada com o nome do ACL criado mais cedo no WLC.

Assegure-se de que o ISE aceite todas as autenticações de MAC do WLC e retorne o perfil.

Use a condição wireless incorporado do desvio da autenticação de MAC (MAB), que combina:

  • Raio: Tipo de serviço: Verificação do atendimento (verificação do atendimento do uso da autorização do Mac no WLC e no Switches)
  • Raio: NAS-Porta-tipo: Sem fio - IEEE 802.11

Configurar a autorização. Um importante a compreender é que há duas autenticações/autorizações:

  • O primeiro é quando o usuário associa ao SSID e quando o perfil central da autenticação da Web está retornado.
  • O segundo é quando o usuário autentica no portal da web. Este combina a regra de padrão (usuários internos) nesta configuração (pode ser configurado para cumprir suas exigências). É importante que a peça da autorização não combina o perfil central da autenticação da Web outra vez. Se não, haverá um laço da reorientação. Acesso de rede do atributo “: O fluxo do convidado dos iguais de UseCase” pode ser usado para combinar esta segunda autenticação. O resultado olha como este:

Encenação Âncora-estrangeira

Esta instalação pode igualmente trabalhar com a característica da auto-âncora dos WLC. A única captura é aquela desde que este método de autenticação da Web é a camada 2, você tem que estar ciente que será o WLC estrangeiro que faz todo o trabalho do RAIO. Somente o WLC estrangeiro contacta o ISE e a obrigação da reorientação ACL esta presente igualmente no WLC estrangeiro.

Apenas como em outras encenações, o WLC estrangeiro mostra rapidamente o cliente para estar no estado da “CORRIDA” qual não é inteiramente verdadeiro. Apenas significa que o tráfego está enviado à âncora de lá sobre. O estado do cliente “real” pode ser considerado na âncora onde deve indicar “CENTRAL_WEBAUTH_REQD”.

Note que a instalação âncora-estrangeira com CWA trabalha somente a liberação em 7,3 ou em mais atrasado.

Verificar

Uma vez que o usuário é associado ao SSID, a autorização está indicada na página ISE.

Os detalhes do cliente no WLC mostram que a reorientação URL e ACL é aplicada.

Agora em que todo o endereço é aberto no cliente, o navegador é reorientado ao ISE. Assegure-se de que o Domain Name System (DNS) se estabeleça corretamente.

O acesso de rede é concedido depois que o usuário aceita as políticas.

Segundo as indicações do exemplo ISE, a autenticação, a mudança da autorização, e o perfil aplicado são permitAccess.

No controlador, no estado do gerente da política e em mudanças de estado do RAIO NAC de “POSTURE_REQD” “A SER EXECUTADO”.

Note isso a liberação 7,3 ou em mais atrasado, o estado não é chamado “POSTURE_RED” anymore, mas é chamado agora “CENTRAL_WEBAUTH_REQD”.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Atualizado em: julho 11, 2013
ID do Documento: 115732

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 115732