Sécurité : Logiciel Cisco Identity Services Engine

Authentification Web centrale exemple sur WLC et ISE configuration

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit un exemple de configuration qui est utilisé afin de se terminer l'authentification Web centrale (CWA) sur le contrôleur LAN Sans fil (WLC).

Contribué par Nicolas Darchis, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version 1.2 de Cisco Identity Services Engine Software

  • Version de logiciel 7.3.102.0 de Cisco WLC

Configurez

La première méthode d'authentification Web est authentification Web locale. Dans ce cas, le WLC réoriente le trafic http à un interne ou à un serveur externe où l'utilisateur est incité à authentifier. Le WLC alors cherche les qualifications (renvoyées par l'intermédiaire d'une requête HTTP GET dans le cas d'un serveur externe) et fait une authentification de RAYON. Dans le cas d'un utilisateur d'invité, un serveur externe (tel que Cisco Identity Services Engine (ISE) ou NAC Guest Server (NGS)) est exigé parce que le portail fournit des caractéristiques telles que l'enregistrement et l'auto-ravitaillement de périphérique. L'écoulement inclut ces étapes :

  1. Les associés d'utilisateur à l'Identifiant SSID (Service Set Identifier) d'authentification Web.

  2. L'utilisateur ouvre le navigateur.

  3. Les redirect to WLC le portail d'invité (tel qu'ISE ou NGS) dès qu'un URL sera écrit.

  4. L'utilisateur authentifie sur le portail.

  5. Le portail d'invité réoriente de nouveau au WLC avec les qualifications entrées.

  6. Le WLC authentifie l'utilisateur d'invité par l'intermédiaire du RAYON.

  7. Le WLC réoriente de nouveau à l'URL d'original.

Cet écoulement inclut plusieurs redirections. La nouvelle approche est d'utiliser CWA. Cette méthode fonctionne avec ISE (versions plus tard que 1.1) et WLC (versions plus tard que 7.2). L'écoulement inclut ces étapes :

  1. L'utilisateur s'associe à l'authentification Web SSID, qui est en fait open+macfiltering et aucun degré de sécurité de la couche 3.

  2. L'utilisateur ouvre le navigateur.

  3. Les redirect to WLC le portail d'invité.

  4. L'utilisateur authentifie sur le portail.

  5. L'ISE envoie une modification de RAYON de l'autorisation (CoA - port UDP 1700) d'indiquer au contrôleur que l'utilisateur est valide, et pousse par la suite des attributs RADIUS tels que la liste de contrôle d'accès (ACL).

  6. L'utilisateur est incité à relancer l'URL d'original.

L'installation utilisée est :

central-web-auth-1.gif

Configuration WLC

La configuration WLC est assez simple. Une astuce est utilisée (mêmes que sur des Commutateurs) afin d'obtenir l'authentication url dynamique de l'ISE (puisqu'elle utilise la modification de l'autorisation (CoA), une session doit être créée et l'ID de session fait partie de l'URL). Le SSID est configuré afin d'utiliser le filtrage MAC. L'ISE est configuré afin de renvoyer un Access-recevoir même si l'adresse MAC n'est pas trouvée, de sorte qu'elle envoie l'URL de redirection pour tous les utilisateurs. 

En plus de ceci, le Contrôle d'admission au réseau (NAC) de RAYON et le dépassement d'Authentification, autorisation et comptabilité (AAA) doivent être activés. Le RAYON NAC permet à l'ISE pour envoyer une demande CoA qui indique que l'utilisateur est maintenant authentifié et peut accéder au réseau. Il est également utilisé pour l'estimation de posture, dans ce cas l'ISE change le profil utilisateur basé sur le résultat de posture.

Assurez-vous que le serveur de RAYON fait activer RFC3576 (CoA), qui est par défaut.

central-web-auth-02.png

central-web-auth-03.gif

central-web-auth-04.gif

central-web-auth-05.png

central-web-auth-06.gif

La dernière étape est de créer un ACL de réorientation. Cet ACL est mis en référence dans l'Access-recevoir de l'ISE et définit quel trafic devrait être réorienté (refusé par l'ACL) et quel trafic ne devrait pas être réorienté (autorisé par l'ACL). Voici que vous empêchez juste du trafic de redirection vers l'ISE. Vous pourriez vouloir être plus de particularité et empêcher seulement le trafic à/de l'ISE sur le port 8443 (portail d'invité), mais réorientez toujours si des essais d'un utilisateur pour accéder à l'ISE sur le port 80/443.

Remarque: Les versions antérieures du logiciel WLC comme 7.2 ou 7.3 n'ont pas exigé de vous de spécifier des DN mais de plus nouvelles versions de code exigent de vous de permettre le trafic DNS sur le ce réorientent l'ACL.

central-web-auth-07.png

La configuration est maintenant complète sur le WLC.

Configuration ISE

Créez le profil d'autorisation

Sur l'ISE, le profil d'autorisation doit être créé. Puis, l'authentification et les stratégies d'autorisation sont configurées. Le WLC devrait déjà être configuré comme périphérique de réseau.

Dans le profil d'autorisation, écrivez le nom de l'ACL créé plus tôt sur le WLC.

  1. Cliquez sur la stratégie, et puis cliquez sur les éléments de stratégie.

  2. Résultats de clic.

  3. Développez l'autorisation, et puis cliquez sur le profil d'autorisation.

  4. Cliquez sur le bouton d'ajouter afin de créer un nouveau profil d'autorisation pour le webauth central.

  5. Dans la zone d'identification, écrivez un nom pour le profil. Cet exemple utilise WLC_CWA.

  6. Choisissez ACCESS_ACCEPT de la liste déroulante de type d'Access.

  7. Cochez la case de redirection de Web, et choisissez le Web centralisé authentique de la liste déroulante.

  8. Dans le domaine d'ACL, écrivez le nom de l'ACL sur le commutateur qui définit le trafic à réorienter. Cet exemple utilise le cwa_redirect.

  9. Choisissez le par défaut de la liste déroulante de réorientation. (Choisissez quelque chose autre que le par défaut si vous utilisez un portail de coutume autre que le par défaut.)

central-web-auth-08.png

Créez une règle d'authentification

Assurez-vous que l'ISE reçoit toutes les authentifications MAC du WLC et assurez-vous qu'il poursuivra l'authentification même si l'utilisateur n'est pas trouvé.

Sous le menu de stratégie, authentification de clic.

La prochaine image affiche un exemple de la façon configurer la règle de stratégie d'authentification. Dans cet exemple, on configure une règle qui déclenche quand le MAB est détecté.

  • Écrivez un nom pour votre règle d'authentification. Cet exemple utilise le MAB, qui existe déjà par défaut sur la version 1.2 ISE.

  • Sélectionnez (+) l'icône plus dans si champ de condition.

  • Choisissez l'état composé, et puis choisissez Wired_MAB OU Wireless_MAB.

  • Cliquez sur la flèche localisée à côté de et… afin de développer la règle plus loin.

  • Cliquez sur + icône dans le domaine de source d'identité, et choisissez les points finaux internes.

  • Choisissez continuent du si liste déroulante non trouvée d'utilisateur.

central-web-auth-09.png

Créez une stratégie d'autorisation

Configurez la stratégie d'autorisation. Un point important à comprendre est qu'il y a deux authentifications/autorisations :

  • Le premier est quand l'utilisateur s'associe au SSID et quand le profil central d'authentification Web est retourné (adresse MAC inconnue, ainsi vous doit placer l'utilisateur pour la redirection).

  • Le deuxième est quand l'utilisateur authentifie sur le portail web. Celui-ci apparie la règle par défaut (utilisateurs internes) dans cette configuration (il peut être configuré afin de répondre à vos exigences). Il est important que la pièce d'autorisation n'apparie pas le profil central d'authentification Web de nouveau. Autrement, il y aura une boucle de redirection. L'accès au réseau : L'attribut d'écoulement d'invité d'égaux d'UseCase peut être utilisé afin d'apparier cette deuxième authentification. Le résultat ressemble à ceci :

central-web-auth-10.png

Remarque: Dans la version 1.3 ISE, dépendante sur le type d'authentification Web, le cas d'utilisation « d'écoulement d'invité » ne pourrait être frappé plus. La règle d'autorisation devrait alors contenir l'usergroup d'invité comme seul état possible.

Terminez-vous ces étapes afin de créer les règles d'autorisation suivant les indications des images précédentes :

  1. Créez une nouvelle règle, et écrivez un nom. Cet exemple utilise la redirection d'invité.

  2. Cliquez sur (+) l'icône plus dans le domaine de condition, et choisissez de créer un nouvel état.

  3. Développez la liste déroulante d'expression.

  4. Choisissez l'accès au réseau, et développez-le.

  5. Cliquez sur AuthenticationStatus, et choisissez l'opérateur d'égaux.

  6. Choisissez UnknownUser dans le domaine droit.

  7. À la page générale d'autorisation, choisissez WLC_CWA (profil d'autorisation) dans le domaine à la droite du mot alors.

    Cette étape permet à l'ISE pour continuer quoique l'utilisateur (ou l'adresse MAC) ne soit pas connu.

    Des utilisateurs inconnus sont maintenant présentés avec la page de connexion. Cependant, une fois qu'ils entrent dans leurs qualifications, qui est une authentification qui réussit si les qualifications de client sont valides en dépit de ce que vous avez configuré dans la stratégie d'authentification/autorisation. En date des versions 1.1 et 1.2 ISE, les authentifications portailes ne suivent pas les règles d'authentification/autorisation et réussissent si valides. Ainsi, il n'y a aucun besoin de créer une règle qu'accès d'autorisations sur la procédure de connexion portaile réussie.

  8. Cliquez sur les actions se boutonnent situé à la fin de la règle de redirection d'invité, et choisissent d'insérer une nouvelle règle avant elle.

    Remarque: Il est très important que cette nouvelle règle soit livré avant que la règle de redirection d'invité.



  9. Écrivez un nom pour la nouvelle règle. Cet exemple utilise authentique portail d'invité.

  10. Dans le domaine de condition, cliquez sur (+) l'icône plus, et choisissez de créer un nouvel état.

  11. Choisissez l'accès au réseau, et cliquez sur UseCase.

  12. Choisissez les égaux en tant qu'opérateur.

  13. Choisissez GuestFlow comme bon opérande. (Voyez la note, énumérée avant ces étapes, en vue de la version 1.3 ISE sur cette condition.)

  14. À la page d'autorisation, cliquez sur (+) l'icône plus (située à côté de puis) afin de choisir un résultat pour votre règle.

    Vous pouvez choisir une option d'Access d'autorisation ou créer un profil fait sur commande afin de renvoyer le VLAN ou les attributs ces vous aimez. Notez que sur si GuestFlow, vous peut ajouter plus de conditions afin de renvoyer de divers profils d'authz basés sur le groupe d'utilisateurs. Comme mentionné dans l'étape 7, les correspondances authentiques portailes de cette règle d'invité sur la deuxième authentification d'adresse MAC initiée après la procédure de connexion portaile réussie et après ISE ont envoyé un CoA afin d'authentifier à nouveau le client. La différence avec cette deuxième authentification est que, au lieu d'être livré à ISE avec simplement son adresse MAC, ISE se souvient le nom d'utilisateur donné dans le portail. Vous pouvez établir cette règle d'autorisation prendre en considération les qualifications entrées quelques millisecondes avant dans le portail d'invité.

Remarque: Si profilant des fonctions sont activés, des points finaux pourrait être inséré automatiquement dans la base de données, dans ce cas l'état inconnu d'utilisateur ne s'assortit pas. Dans ce cas, il vaut mieux d'apparier des demandes de Wireless_MAB (condition intégrée). Si vous utilisez l'authentification MAC sur votre contrôleur, vous pouvez ou utiliser des groupes de point final pour une autorisation plus spécifique, ou ajoutez une condition qui apparie l'invité SSID.

central-web-auth-10a.png

Activez le renouvellement IP (facultatif)

Si vous assignez un VLAN, la dernière étape est pour que le PC client renouvelle son adresse IP. Cette étape est réalisée par le portail d'invité pour des clients Windows. Si vous ne placiez pas un VLAN pour la 2ème règle AUTHENTIQUE plus tôt, vous pouvez ignorer cette étape.

Si vous assigniez un VLAN, terminez-vous ces étapes afin d'activer le renouvellement IP :

  1. Cliquez sur la gestion, et puis cliquez sur la Gestion d'invité.

  2. Configurations de clic.

  3. Développez l'invité, et puis développez la configuration Multi-portaile.

  4. Cliquez sur DefaultGuestPortal ou le nom d'un portail fait sur commande que vous avez créé.

  5. Cliquez sur la case de release DHCP VLAN.

    Remarque: Cette option fonctionne seulement pour des clients Windows.

Scénario Ancre-étranger

Cette installation peut également fonctionner avec la configuration d'auto-ancrage du WLCs. Le seul crochet est celui puisque cette méthode d'authentification Web est la couche 2, vous doivent se rendre compte que ce sera le WLC étranger qui effectue tout les travail de RAYON. Seulement le WLC étranger entre en contact avec l'ISE, et l'ACL de redirection doit être présent également sur le WLC étranger.

Juste comme dans d'autres scénarios, le WLC étranger affiche rapidement que le client était dans l'état de PASSAGE, qui n'est pas entièrement vrai. Il signifie simplement que le trafic est envoyé à l'ancre de là. Le vrai état de client peut être vu sur l'ancre où il devrait afficher CENTRAL_WEBAUTH_REQD.

Remarque: L'installation ancre-étrangère avec l'authentification Web centrale (CWA) fonctionne seulement dans des versions 7.3 ou plus tard.

Remarque: En raison de l'ID de bogue Cisco CSCuo56780 (même dans les versions qui incluent des difficultés), vous ne pouvez pas exécuter la comptabilité sur l'ancre et étranger parce qu'elle entraîne le profilage à devenir due inexact à un manque potentiel d'attache d'IP-à-MAC. Il crée également beaucoup de questions avec l'ID de session pour des portails d'invité. Si vous désirez configurer la comptabilité, alors configurez-la sur le contrôleur étranger.

Vérifiez

Une fois que l'utilisateur est associé au SSID, l'autorisation est affichée dans la page ISE.

Les petits groupes de client dans le WLC prouvent que l'URL de redirection et l'ACL sont appliqués.

central-web-auth-11.png

Maintenant où n'importe quelle adresse est ouverte sur le client, le navigateur est réorienté à l'ISE. Assurez-vous que le Système de noms de domaine (DNS) est installé correctement.

central-web-auth-12.png

On accorde l'accès au réseau après que l'utilisateur reçoive les stratégies.

central-web-auth-13.png

central-web-auth-14.png

Suivant les indications de l'exemple ISE, l'authentification, la modification de l'autorisation, et le profil appliqué est des permitAccess.

central-web-auth-15.gif

Le tir d'écran précédent est pris de la version 1.1.x ISE où chaque étape simple d'authentification affiche clairement.

Le tir d'écran suivant est pris de la version 1.2 ISE où ISE récapitule plusieurs authentifications exécutées par le même client dans une ligne. Bien que plus pratique dans la vraie vie, le tir d'écran de version 1.1.x affiche plus clair ce qui se produit exactement dans l'intérêt de la clarté dans cet exemple.

central-web-auth-16.png

Sur le contrôleur, l'état de Policy Manager et des modifications d'état du RAYON NAC de POSTURE_REQD À S'EXÉCUTER.

Remarque: Dans la version 7.3 ou plus tard, l'état ne s'appelle plus le POSTURE_REQD, mais s'appelle maintenant le CENTRAL_WEBAUTH_REQD.

Dépannez

Terminez-vous ces étapes afin de dépanner ou isoler un problème CWA :

  1. Écrivez le client de débogage < le MAC address de la commande de client> sur le contrôleur et le moniteur afin de déterminer si le client atteint l'état CENTRAL_WEBAUTH_REQD. On observe un problème courant quand l'ISE renvoie un ACL de réorientation qui n'existe pas (ou n'est pas correctement entrer) sur le WLC. Si c'est le cas, alors le client est désauthentifié une fois que l'état CENTRAL_WEBAUTH_REQD est atteint, qui fait commencer le processus de nouveau.

  2. Si l'état de client correct peut être atteint, alors naviguez pour surveiller > des clients sur le GUI de Web WLC et pour vérifier que les corrects réorientent l'ACL et l'URL sont appliqué pour le client.

  3. Vérifiez que les DN corrects est utilisés. Le client devrait avoir la capacité de résoudre les sites Web d'Internet et l'adresse Internet ISE. Vous pouvez vérifier ceci par l'intermédiaire du nslookup.

  4. Vérifiez que toutes les étapes d'authentifications se produisent sur l'ISE :

    • L'authentification MAC devrait se produire d'abord, à laquelle des attributs CWA sont retournés.

    • L'authentification de connexion portaile se produit.

    • L'autorisation dynamique se produit.

    • L'authentification finale est une authentification MAC qui affiche le nom d'utilisateur portail sur l'ISE, auquel les résultats finaux d'autorisation sont retournés (comme la finale VLAN et l'ACL).

Considérations spéciales pour ancrer des scénarios

Considérez ces id de bogue Cisco qui limitent l'efficacité du processus CWA dans un scénario de mobilité (particulièrement quand rendant compte est configuré) :

  • CSCuo56780 - Vulnérabilité de Déni de service de service RADIUS ISE

  • CSCul83594 - Session-id n'est pas synchronisé à travers la mobilité, si le réseau est ouvert

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 115732