安全 : 思科身份服务引擎

在WLC和ISE配置示例的中央Web验证

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述使用为了完成中央Web验证的配置示例(CWA)在无线局域网控制器(WLC)。

贡献用尼古拉斯Darchis, Cisco TAC工程师。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 思科身份服务引擎软件版本1.2

  • Cisco WLC软件版本7.3.102.0

配置

Web验证第一种方法是本地Web验证。在这种情况下, WLC重定向HTTP数据流到提示验证用户的内部或外部服务器。WLC然后拿来凭证(被退还的通过一旦外部服务器的一HTTP GET请求)并且做RADIUS验证。一旦来宾用户,外部服务器(例如身份服务引擎(ISE)或美洲台访客服务器(NGS))因为门户提供功能例如设备注册和赛弗供应,要求。流包括这些步骤:

  1. 用户联合到Web验证服务设备识别器(SSID)。

  2. 用户打开浏览器。

  3. 对访客门户的WLC重定向(例如ISE或NGS),当URL被输入。

  4. 用户在门户验证。

  5. 回到WLC的访客门户重定向与被输入的凭证。

  6. WLC通过RADIUS验证来宾用户。

  7. 回到原始URL的WLC重定向。

此流包括几重定向。新的方法将使用CWA。此方法与ISE (后版本一起使用比1.1)和WLC (后版本比7.2)。流包括这些步骤:

  1. 用户关联对Web验证SSID,实际上是open+macfiltering和没有第3层安全。

  2. 用户打开浏览器。

  3. 对访客门户的WLC重定向。

  4. 用户在门户验证。

  5. ISE发送RADIUS授权(CoA崔凡吉莱- UDP波尔特1700)表明到控制器用户有效和最终推送RADIUS属性例如访问控制表(ACL)。

  6. 用户是被提示的重试原始URL。

使用的设置是:

central-web-auth-1.gif

WLC 配置

WLC配置是相当简单的。窍门用于(同一样在交换机)为了从ISE获取动态验证URL (因为使用授权(CoA)的崔凡吉莱,会话必须创建,并且会话ID是URL的一部分)。SSID配置为了使用MAC过滤。ISE配置为了返回access-accept,即使没找到MAC地址,因此发送所有用户的重定向URL。 

除此之外,必须启用RADIUS网络准入控制(NAC)和验证、授权和统计(AAA)覆盖。RADIUS美洲台允许ISE发送表明的CoA请求用户当前验证并且能访问网络。在ISE更改根据状态结果情况下的用户配置文件它也使用状态评估。

保证RADIUS服务器有(CoA)启用的RFC3576,默认情况下是。

central-web-auth-02.png

central-web-auth-03.gif

central-web-auth-04.gif

central-web-auth-05.png

central-web-auth-06.gif

最后一步将创建重定向ACL。此ACL被参考ISE的access-accept并且定义了应该重定向不应该重定向什么流量(拒绝由ACL),并且什么流量(允许由ACL)。您防止往ISE的重定向流量。您也许要是更多特定和只防止到/从ISE的流量在端口8443 (访客门户),但是仍然重定向,如果用户设法访问在端口80/443的ISE。

注意:WLC软件更早版本类似7.2或7.3没有要求您指定DNS,但是更新的代码版本要求您允许在该重定向ACL的DNS流量。

central-web-auth-07.png

配置当前完成在WLC。

ISE配置

创建授权配置文件

在ISE,必须创建授权配置文件。然后,认证和授权策略配置。应该已经配置WLC作为网络设备。

在授权配置文件,请输入在WLC创建的前ACL的名称。

  1. 点击策略,然后单击策略元素

  2. 点击结果

  3. 展开授权,然后单击授权配置文件

  4. 点击Add按钮为了创建中央webauth的一新的授权配置文件。

  5. Name字段,请输入一名称对于配置文件。此示例使用WLC_CWA

  6. 从访问类型下拉列表选择ACCESS_ACCEPT

  7. 检查Web重定向复选框,并且从下拉列表选择集中化Web验证

  8. 在ACL字段,请输入ACL的名称在定义了将重定向的流量的交换机的。此示例使用cwa_redirect

  9. 从重定向下拉列表选择默认。(请选择某事除默认之外,如果使用一个自定义门户除默认之外。)

central-web-auth-08.png

创建验证规则

保证ISE接受所有从WLC的MAC验证并且确保它继续处理验证,即使没有找到用户。

在策略菜单下,请点击验证

下镜像显示示例如何配置验证策略规则。在本例中,触发的规则配置,当MAB检测时。

  • 输入一名称对于您的验证规则。此示例使用MAB,默认情况下在ISE版本1.2已经存在。

  • 选择正(+)在的图标,如果情况字段。

  • 选择复合条件,然后选择Wired_MAB或Wireless_MAB

  • 点击箭头查找在旁边和…为了进一步展开规则。

  • 点击+在标识Source字段的图标,并且选择内部终端

  • 选择从继续,如果用户没被找到的下拉列表。

central-web-auth-09.png

创建授权策略

配置授权策略。要了解的一重点是有两个认证/授权:

  • 第一是,当用户联合对SSID时,并且,当中央Web验证配置文件返回时(未知MAC地址,因此您必须设置重定向的用户)。

  • 第二是,当用户在Web门户时验证。这一个匹配默认规则(内部用户)在此配置(方面可以配置为了符合您的要求)。重要的是授权零件不再匹配中央Web验证配置文件。否则,将有重定向环路。网络访问:UseCase等于访客流属性可以用于为了匹配此第二验证。结果如下所示:

central-web-auth-10.png

注意:在ISE版本1.3中,从属在Web验证种类, “访客流”用例也许不再点击。授权规则然后将必须包含访客用户组作为唯一的可能的情况。

如上一个镜像所显示,完成这些步骤为了创建授权规则:

  1. 创建新规则,并且输入名称。此示例使用访客重定向

  2. 在情况字段点击正(+)图标,并且选择创造新的条件。

  3. 展开表达式下拉列表。

  4. 选择网络访问,并且展开它。

  5. 点击AuthenticationStatus,并且选择等于操作员。

  6. 在右边的字段选择UnknownUser

  7. 在一般授权页,请在然后词右边选择WLC_CWA (授权配置文件)在字段。

    此步骤允许ISE继续,即使用户(或MAC地址)不知道。

    未知用户当前提交与登录页。然而,一旦他们输入他们的凭证,是验证成功,如果客户机证书的尽管什么是有效您在认证/授权策略配置。自ISE版本1.1和1.2,门户认证不遵从认证/授权规则并且成功,如果有效。因此,没有需要创建规则许可证访问在成功的门户登录。

  8. 点击Action按钮查找在访客重定向规则结束时,并且选择在它前插入新规则。

    注意:重要的是非常此新规则来,在访客重定向规则前。



  9. 输入一名称对于新规则。此示例使用访客门户验证

  10. 在情况字段,请点击正(+)图标,并且选择创造新的条件。

  11. 选择网络访问,并且点击UseCase

  12. 选择等于作为操作员。

  13. 选择GuestFlow作为正确的操作数。(请参阅注意,列出在这些步骤前,关于在此情况的ISE版本1.3。)

  14. 在授权页,请点击正(+)图标(查找在然后旁边)为了选择您的规则的一种结果。

    您能选择Permit访问选项或创建一自定义配置文件为了返回您喜欢的VLAN或属性。如果GuestFlow,您能添加更多情况为了返回根据用户组的多种authz配置文件请注意在顶部。按照步骤7所述,此在ISE以后启动的在成功的门户登录以后和第二MAC地址验证的访客门户验证规则匹配发送CoA为了重新鉴别客户端。与此第二验证的差异是,而不是来到与其MAC地址的ISE, ISE记住在门户给的用户名。您能做此授权规则考虑到以前被输入的凭证一些毫秒在访客门户。

注意:如果描出功能在数据库启用,终端可能自动地插入,在未知用户情况不配比情况下。在这种情况下,匹配Wireless_MAB (内置的情况)最好的请求。如果使用在您的控制器的MAC验证,您能或者使用终端组更加特定的授权,或者请添加匹配访客SSID的一个情况。

central-web-auth-10a.png

启用IP续订(可选)

如果分配VLAN,最后一步是为了客户端PC能更新其IP地址。此步骤由Windows客户端的访客门户达到。如果没有设置第2个验证规则的VLAN前,您能跳到此步骤。

如果分配VLAN,请完成这些步骤为了启用IP续订:

  1. 点击管理,然后单击访客管理

  2. 单击设置

  3. 展开访客,然后扩展多PORTAL配置

  4. 点击DefaultGuestPortal或您创建一个自定义门户的名称。

  5. 点击VLAN DHCP Release复选框

    注意:此选项为Windows客户端仅工作。

锚点外国方案

此设置能也与WLCs的自动锚点功能一起使用。唯一的抓住是那,因为此Web认证方法是Layer2,您必须知道完成所有RADIUS工作的它将是外国WLC。仅外国WLC与ISE联系,并且重定向ACL一定也是存在外国WLC。

正如在其他情况下,外国WLC迅速显示客户端在运转状态,不是完全地真的。意味着流量发送到从那里的锚点。实时客户端状态在它应该显示CENTRAL_WEBAUTH_REQD的锚点能被看到。

注意:与中央Web验证(CWA)的锚点外国设置在版本7.3或以上只运作。

注意:由于Cisco Bug ID CSCuo56780 (在包括修正)的版本,您不能运行在锚点的核算和外国,因为导致描出变为不正确由于IP对MAC绑定的潜在的缺乏。它也创建与会话ID的许多问题访客门户的。如果希望配置核算,则请配置它在外国控制器。

验证

一旦用户关联对SSID,授权在ISE页显示。

在WLC的客户端详细信息显示重定向URL和ACL应用。

central-web-auth-11.png

现在,当所有地址在客户端时打开,浏览器重定向对ISE。保证域名系统(DNS)正确地设置。

central-web-auth-12.png

在用户接受策略后,网络访问授权。

central-web-auth-13.png

central-web-auth-14.png

如示例ISE所显示,授权验证、应用的更改和配置文件是permitAccess。

central-web-auth-15.gif

上一个屏幕画面从每个单个验证步骤清楚显示的ISE版本1.1.x被采取。

下张屏幕画面从ISE汇总同一个客户端进行的几个认证在一条线路的ISE版本1.2被采取。虽然实用在实时寿命中,版本1.1.x屏幕画面清楚显示什么在本例中为清晰正确地发生。

central-web-auth-16.png

在控制器、Policy Manager状态和RADIUS美洲台状态变换从POSTURE_REQDRAN

注意:在版本7.3或以上,状态不再呼叫POSTURE_REQD,但是当前呼叫CENTRAL_WEBAUTH_REQD

故障排除

完成这些步骤为了排除故障或隔离CWA问题:

  1. 输入调试client> on命令客户端< MAC地址控制器和监视器为了确定客户端是否到达CENTRAL_WEBAUTH_REQD状态。不存在的常见问题被观察,当ISE返回重定向ACL时(或不适当地是输入)在WLC。如果这是实际情形,则客户端deauthenticated,一旦CENTRAL_WEBAUTH_REQD状态到达,造成进程再开始。

  2. 如果正确客户端状态可以到达,则请导航给WLC Web GUI的监视器>客户端并且验证正确重定向ACL和URL为客户端应用。

  3. 验证使用正确DNS。客户端应该有能力解决互联网网站和ISE主机名。您能通过nslookup验证此。

  4. 验证所有认证步骤在ISE发生:

    • MAC验证应该首先出现, CWA属性返回。

    • 门户登录认证出现。

    • 动态授权发生。

    • 最终验证是显示在ISE的门户用户名,最终授权结果返回的MAC验证(例如最终VLAN和ACL)。

停住的方案特别注意事项

考虑限制CWA进程效率在移动性方案的这些Cisco Bug ID (特别是当认为时配置) :

  • CSCuo56780 - ISE RADIUS服务拒绝服务的弱点

  • CSCul83594 -,如果网络是开放的,会话ID没有在移动性间同步


Document ID: 115732