Sécurité : Logiciel Cisco Identity Services Engine

Authentification Web centrale exemple sur WLC et ISE configuration

30 juillet 2013 - Traduction automatique
Autres versions: PDFpdf | Anglais (2 janvier 2014) | Commentaires

Introduction

Ce document décrit les plusieurs méthodes pour se terminer l'authentification Web centrale sur le contrôleur LAN Sans fil (WLC).

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version de logiciel de Cisco Identity Services Engine Software 1.1.1.268
  • Version de logiciel 7.2.110.0 Sans fil de contrôleur LAN de Cisco

Configurez

La première méthode est authentification Web locale. Dans ce cas, le WLC réoriente le trafic http à un interne ou à un serveur externe où l'utilisateur est incité à authentifier. Le WLC alors cherche les qualifications (renvoyées par l'intermédiaire d'une requête HTTP GET dans le cas du serveur externe) et fait une authentification de RAYON. Dans le cas d'un utilisateur d'invité, un serveur externe (tel que Cisco Identity Services Engine (ISE) ou NAC Guest Server (NGS)) est exigé pendant que le portail fournit des caractéristiques telles que l'enregistrement et l'auto-ravitaillement de périphérique. L'écoulement inclut ces étapes :

  1. Les associés d'utilisateur à l'Identifiant SSID (Service Set Identifier) d'authentification Web.
  2. L'utilisateur ouvre leur navigateur.
  3. Les redirect to WLC le portail d'invité (tel qu'ISE ou NGS) dès qu'un URL sera écrit.
  4. L'utilisateur authentifie sur le portail.
  5. Le portail d'invité réoriente de nouveau au WLC avec les qualifications entrées.
  6. Le WLC authentifie l'utilisateur d'invité par l'intermédiaire du RAYON.
  7. Le WLC réoriente de nouveau à l'URL d'original.

Ceci inclut beaucoup de redirection. La nouvelle approche est d'utiliser l'authentification Web centrale. Ceci fonctionne avec ISE (versions plus tard que 1,1) et WLC (versions plus tard que 7,2). L'écoulement inclut ces étapes :

  1. Les associés d'utilisateur à l'authentification Web SSID.
  2. L'utilisateur ouvre leur navigateur.
  3. Les redirect to WLC le portail d'invité.
  4. L'utilisateur authentifie sur le portail.
  5. L'ISE envoie une modification de RAYON de l'autorisation (CoA - port UDP 3799) d'indiquer au contrôleur que l'utilisateur est valide, et pousse par la suite des attributs RADIUS tels que la liste de contrôle d'accès (ACL).
  6. L'utilisateur est incité à relancer l'URL d'original.

L'installation utilisée est :

Configuration WLC

La configuration WLC est assez simple. Une « astuce » est utilisée (mêmes que sur des Commutateurs) pour obtenir l'authentication url dynamique de l'ISE (puisqu'elle utilise la modification de l'autorisation (CoA), une session doit être créée et l'ID de session fait partie de l'URL). Le SSID est configuré pour utiliser le filtrage MAC. L'ISE est configuré pour renvoyer un Access-recevoir même si l'adresse MAC n'est pas trouvée, de sorte qu'elle envoie l'URL de redirection pour tous les utilisateurs. 

En plus de ceci, le Contrôle d'admission au réseau (NAC) de RAYON et le dépassement d'Authentification, autorisation et comptabilité (AAA) doivent être activés. Le RAYON NAC permet à l'ISE pour envoyer une demande CoA qui indique que l'utilisateur est maintenant authentifié et peut accéder au réseau. Il est également utilisé pour l'estimation de posture, dans ce cas l'ISE change le profil utilisateur basé sur le résultat de posture.

Assurez-vous que le serveur de RAYON fait activer RFC3576 (CoA), qui est par défaut.

La dernière étape est de créer un ACL de réorientation. Cet ACL est mis en référence dans l'Access-recevoir de l'ISE et définit quel trafic devrait être réorienté (refusé par l'ACL) et quel trafic ne devrait pas être réorienté (autorisé par l'ACL). Fondamentalement, des DN et le trafic à/de l'ISE doit être permis.

La configuration est maintenant complète sur le WLC.

Configuration ISE

Sur l'ISE, le profil d'autorisation doit être créé. Puis, l'authentification et l'autorisation est configurée. Le WLC devrait déjà être configuré comme périphérique de réseau.

Dans le profil d'autorisation, écrivez le nom de l'ACL créé plus tôt sur le WLC.

Assurez que l'ISE reçoit toutes les authentifications MAC du WLC et renvoie le profil.

Utilisez l'état intégré de contournement d'authentification de MAC sans fil (MAB), qui s'assortit :

  • Rayon : Type de service : Contrôle d'appel (contrôle d'appel d'utilisation d'autorisation de MAC sur WLC et Commutateurs)
  • Rayon : Nas-Port-type : Radio - IEEE 802.11

Configurez l'autorisation. Une chose importante à comprendre est qu'il y a deux authentifications/autorisations :

  • Le premier est quand l'utilisateur s'associe au SSID et quand le profil central d'authentification Web est retourné.
  • Le deuxième est quand l'utilisateur authentifie sur le portail web. Celui-ci apparie la règle par défaut (utilisateurs internes) dans cette configuration (il peut être configuré pour répondre à vos exigences). Il est important que la pièce d'autorisation n'apparie pas le profil central d'authentification Web de nouveau. Autrement, il y aura une boucle de redirection. Accès au réseau de l'attribut « : L'écoulement d'invité d'égaux d'UseCase » peut être utilisé pour apparier cette deuxième authentification. Le résultat ressemble à ceci :

Scénario Ancre-étranger

Cette installation peut également fonctionner avec la configuration d'auto-ancrage du WLCs. Le seul crochet est celui puisque cette méthode d'authentification Web est la couche 2, vous doivent se rendre compte que ce sera le WLC étranger qui effectue tout le travail de RAYON. Seulement le WLC étranger entre en contact avec l'ISE et l'ACL de redirection doit être présent également sur le WLC étranger.

Juste comme dans d'autres scénarios, le WLC étranger affiche rapidement que le client était dans l'état de « PASSAGE » ce qui n'est pas entièrement vrai. Il signifie juste que le trafic est envoyé à l'ancre de là en fonction. Le « vrai » état de client peut être vu sur l'ancre où il devrait afficher « CENTRAL_WEBAUTH_REQD ».

Notez que l'installation ancre-étrangère avec CWA fonctionne seulement dans version 7.3 ou plus tard.

Vérifiez

Une fois que l'utilisateur est associé au SSID, l'autorisation est affichée dans la page ISE.

Les petits groupes de client dans le WLC prouvent que l'URL de redirection et l'ACL sont appliqués.

Maintenant où n'importe quelle adresse est ouverte sur le client, le navigateur est réorienté à l'ISE. Assurez que le Système de noms de domaine (DNS) est installé correctement.

On accorde l'accès au réseau après que l'utilisateur reçoive les stratégies.

Suivant les indications de l'exemple ISE, l'authentification, la modification de l'autorisation, et le profil appliqué est des permitAccess.

Sur le contrôleur, l'état de Policy Manager et des modifications d'état du RAYON NAC de « POSTURE_REQD » « À S'EXÉCUTER ».

Notez que dans la version 7.3 ou plus tard, l'état ne s'appelle plus le « POSTURE_RED », mais vous appelez maintenant le « CENTRAL_WEBAUTH_REQD ».

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Mis à jour : Juillet 11, 2013
ID de document : 115732

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 115732