セキュリティ : Cisco Identity Services Engine

スイッチおよび識別 サービス エンジン設定例の中央 Web 認証

2013 年 2 月 10 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2013 年 1 月 31 日) | フィードバック


目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      ISE 設定
      許可 プロファイルを作成して下さい
      認証ルールを作成して下さい
      承認規則を作成して下さい
      有効に して下さい IP 更新(オプションの)を
      スイッチ設定(抜粋)
      スイッチ設定(完全な)
      HTTP プロキシコンフィギュレーション

     
最終結果
Cisco サポート コミュニティ - 特集対話
関連情報

概要

これは記述します識別 サービス エンジン(ISE)の助けによってスイッチに接続される配線されたクライアントで中央 Web 認証を設定する方法を文書化します。

中央 Web 認証の概念はスイッチの通常 Web 認証自体であるローカル Web 認証に反対されます。 そのシステムでは、dot1x/mab 失敗に、スイッチは webauth プロファイルにフェールオーバー リダイレクト クライアント トラフィックをスイッチの Webページにために。

中央 Web 認証はウェブ ポータル(ここに ISE)として機能する中央デバイスがあるために可能性を提供します。 通常ローカル Web 認証と比較される主な違いは mac/dot1x 認証と共にレイヤ2 に移ることです。 概念はまた RADIUSサーバ(ここの ISE)が Web リダイレクションは発生する必要があることをスイッチに示す特別な属性を戻すこと異なります。 このソリューションに Web 認証が蹴ることができるように必要だった遅延を除去する長所があります。 クライアント・ ステーションの MAC アドレスまた使用することができます)知られなければグローバルに、サーバ戻りリダイレクション属性はおよびスイッチは RADIUSサーバ(しかし他の基準によってステーションを承認します(によって MAC 認証 バイパス(MAB)) しかしアクセス・ リストをポータルに Webトラフィックをリダイレクトするために置きます。 ユーザがゲスト ポータルでログオンすれば、新しいレイヤ2 MAB 認証が行われるようにスイッチポートを跳ねることは CoA (許可の変更)によって可能性のあるです。 ISE はそれからそれが webauth ユーザ レイヤ2 属性を(ダイナミック ヴァン assignment のように)ユーザに適用するためにだったことを覚えることができ。 ActiveX コンポーネントはまた IP アドレスをリフレッシュするためにクライアントPC を強制できます。

注: ニコラス Darchis によって提供しまされる、Cisco TAC エンジニア。

前提条件

要件

Cisco はこれらのトピックのナレッジを推奨します:

  • 識別 サービス エンジン(ISE)

  • Cisco IOS ® スイッチ設定

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 識別 サービス エンジン(ISE)、リリース 1.1.1

  • Cisco Catalyst 3560 シリーズ スイッチ ソフトウェア バージョン 12.2.55SE3 を実行する

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

ISE 設定

ISE 設定はこの 4 つのステップの作成されます:

  1. 許可 プロファイルを作成して下さい

  2. 認証ルールを作成して下さい

  3. 承認規則を作成して下さい

  4. IP 更新を有効に して下さい

許可 プロファイルを作成して下さい

許可 プロファイルを作成するためにこれらのステップを完了して下さい:

  1. ポリシーをクリックし、次にポリシー要素をクリックして下さい。

  2. 結果をクリックして下さい。

  3. 許可を拡張し、次に許可 プロファイルをクリックして下さい。

  4. 中央 webauth のための新しい許可 プロファイルを作成するために Add ボタンをクリックして下さい。

  5. Name フィールドでは、プロファイルの名前を入力して下さい。 この例は CentralWebauth を使用します。

  6. アクセス・ タイプ ドロップダウン リストから ACCESS_ACCEPT を選択して下さい。

  7. Web 認証 チェックボックスをチェックし、ドロップダウン リストから中央集中型を選択して下さい。

  8. ACL フィールドでは、リダイレクトされるトラフィックを定義するスイッチの ACL の名前を入力して下さい。 この例はリダイレクトを使用します。

  9. リダイレクト ドロップダウン リストから『DEFAULT』 を選択 して下さい。

リダイレクト アトリビュートは ISE が ISE admin が作成したカスタム ウェブ ポータルかデフォルト の Web ウェブ ポータルを見るかどうか定義します。 たとえば、この例のリダイレクト ACL はクライアントからのどこでもに HTTP または HTTPS トラフィックにリダイレクションを引き起こします。 ACL はこの設定例のスイッチ 以降で定義されます。

web-auth-ise-01.gif

認証ルールを作成して下さい

認証 プロファイルを認証ルールを作成するのに使用するためにこれらのステップを完了して下さい:

  1. ポリシー メニューの下で、認証をクリックして下さい。

    このイメージは方法の例を認証 ポリシー ルールを設定する示します。 この例では、引き起こす MAB が検出するときルールは設定されます。

    /image/gif/paws/113362/web-auth-ise-02.gif

  2. 認証ルールの名前を入力して下さい。 この例は MAB を使用します。

  3. プラスを(+)のアイコン条件ならフィールド選択して下さい。

  4. 複合条件(COBOL)を選択し、次に Wired_MAB を選択して下さい。

  5. ルールを更に拡張するためにの隣で取付けられる矢印をクリックすれば。

  6. 識別 Source フィールドの + アイコンをクリックし、エンドポイントを『Internal』 を選択 して下さい。

  7. からユーザなら見つけられなかったドロップダウン リスト 『Continue』 を選択 して下さい。

    このオプションは MAC アドレスが知られなくてもデバイスが認証されるようにします(webauth を通して)。 Dot1x クライアントはまだ資格情報と認証を受けることができ、この設定にかかわるべきではありません。

web-auth-ise-03.gif

承認規則を作成して下さい

このとき承認ポリシーで設定する複数のルールがあります。 PC はプラグを差し込まれる場合、MAB を通過します; MAC アドレスが知られない、従って webauth および ACL は戻りますことが仮定されます。 この MAC 既知ルールは下記のイメージで示され、このセクションで設定されます:

/image/gif/paws/113362/web-auth-ise-04.gif

承認規則を作成するためにこれらのステップを完了して下さい:

  1. 新しいルールを作成し、名前を入力して下さい。 この例は知られない MAC を使用します。

  2. プラスを(+)条件フィールドのアイコン クリックし、新しい状態を作成することを選択して下さい。

  3. ドロップダウン リストを拡張して下さい。

  4. セッションを選択し、それを拡張して下さい。

  5. PostureStatus をクリックし、等号オペレータを選択して下さい。

  6. 右フィールドの UnknownUser を選択して下さい。

  7. 一般の許可 ページで、それからワードの右へフィールドの CentralWebauth許可 プロファイル)を選択して下さい。

    このステップはユーザ(か MAC)知られないのに ISE が続くようにします。

    未知 の ユーザはログイン ページと今示されます。 ただし、資格情報を入力すれば、ISE の認証要求と再度示されます; 従って、別のルールは満たされる条件でユーザがゲストユーザである場合設定する必要があります。 この例 UseridentityGroup 等号ゲストが使用されれば、およびそれですべてのゲストがこのグループに属すること仮定されます。

  8. MAC 既知ルールの終わりに見つけられる操作ボタンをクリックし上記の新しいルールを追加することを選択して下さい。

    注: この新しいルールが前に MAC 既知ルール来ることは非常に重要です。

  9. 新しいルールの名前を入力して下さい。 この例はあゲストを使用します。

  10. ゲストユーザを一致する条件を選択して下さい。

    この例は InternalUser を使用します: IdentityGroup はすべてのゲストユーザがスポンサー設定で設定した)ゲスト グループ 結合 されるのでゲストに匹敵します(または別のグループに。

  11. 結果ボックスの PermitAccess を選択して下さい(そしての右へある)。

    ユーザがログイン ページで許可されるとき、ISE はスイッチポートのレイヤ2 認証を再起動し、新しい MAB は発生します。 このシナリオでは、違いはそれはゲスト認証されたユーザだったことを ISE が覚えることができるように見えないフラグが設定 されることです。 このルールは第 2 AUTH であり、条件はネットワーク・ アクセスです: UseCase は GuestFlow に匹敵します。 この条件はユーザが webauth によって認証を受け、スイッチポートが新しい MAB のために再度設定 されるとき満たされます。 好む属性を割り当てることができます。 この例はユーザ彼の第 2 MAB 認証の VLAN 90 が割り当てられるようにプロファイル vlan90 を割り当てます。

  12. Action を(あゲスト ルールの終わりにある)クリックし、上記の新しいルールを『Insert』 を選択 して下さい。

  13. Name フィールドで第 2 AUTH を入力して下さい。

  14. 条件フィールドで、プラスを(+)アイコン クリックし、新しい状態を作成することを選択して下さい。

  15. ネットワーク・ アクセスを選択し、UseCase をクリックして下さい。

  16. オペレータとして等号を選択して下さい。

  17. 右オペランドとして GuestFlow を選択して下さい。

  18. 許可 ページで、プラスを(+)アイコン(そしての隣にある)ルールのための結果を選択するためにクリックして下さい。

    この例では、前もって構成されたプロファイル(vlan90)は割り当てられます; この設定はこの資料で示されていません。

    割り当てアクセス オプションを選択するか、または好む属性か VLAN を戻すためにカスタム プロファイルを作成できます。

有効に して下さい IP 更新(オプションの)を

VLAN を割り当てる場合、最後の段階は IP アドレスを更新するクライアントPC のためです。 このステップは Windows クライアントのためのゲスト ポータルによって実現します。 第 2 AUTH ルールのための VLAN を先に設定 しなかった場合、このステップをスキップできます。

VLAN を割り当てた場合、IP 更新を有効に するためにこれらのステップを完了して下さい:

  1. 『管理』 をクリック し、次に管理を『guest』 をクリック して下さい。

  2. [Setting] をクリックします。

  3. ゲストを拡張し、次に Mult 門脈設定を拡張して下さい。

  4. 作成することができるカスタム ポータルの DefaultGuestPortal か名前をクリックして下さい。

  5. VLAN DHCP Release チェックボックスをクリックして下さい。

    注: このオプションは Windows クライアントのためにだけはたらきます。

    /image/gif/paws/113362/web-auth-ise-05.gif

スイッチ設定(抜粋)

このセクションはスイッチ設定の抜粋を提供します。 すべてのコンフィギュレーションについてはスイッチ設定を(完全な)参照して下さい。

このサンプルは簡単な MAB 設定を示します。

interface GigabitEthernet1/0/12
description ISE1 - dot1x clients - UCS Eth0
switchport access vlan 100
switchport mode access
ip access-group webauth in
authentication order mab
authentication priority mab
authentication port-control auto
mab
spanning-tree portfast
end

VLAN 100 は完全なネットワーク接続を提供する VLAN です。 次の通りデフォルトポート ACL は(webauth と指名される)示されていると適用し、定義されて:

ip access-list extended webauth
permit ip any any

この設定 例はユーザが認証されなくても完全なネットワーク・ アクセスを可能にします; 従って、非認証ユーザにアクセスを制限したいと思うかもしれません。

この設定では、HTTP および HTTPS 参照は認証なしではリダイレクト ACL を設定されるのではたらきません(他の ACL ごとに) (リダイレクトと指名される)使用するために ISE が。 スイッチの定義はここにあります:

ip access-list extended redirect
deny ip any host <ISE ip address>
permit TCP any any eq www
permit TCP any any eq 443

このアクセス・ リストはスイッチでどのトラフィックで定義するためにスイッチがリダイレクションを行うか定義する必要があります。 (それは割り当てで一致します。) この例、クライアントがトリガーを Web リダイレクション 送信 する HTTP または HTTPS トラフィック。 この例はまた ISE IP アドレスを否定します従って ISE へのトラフィックは ISE に行き、ループでリダイレクトしません。 (このシナリオで、拒否はトラフィックをブロックしません; それはどうしてもトラフィックをリダイレクトしません。) 珍しい HTTP ポートかプロキシを使用している場合、他のポートを追加できます。

もう一つの可能性は HTTP アクセスをいくつかの Webサイトへ許可し、他の Webサイトをリダイレクトすることです。 たとえば、ACL で内部Webサーバだけを可能にを定義すれば、クライアントは認証を受けないで内部Webサーバにアクセスすることを試みる場合 Web を参照する可能性がありましたが、リダイレクトに出会います。

最後のステップはスイッチの CoA を許可することです。 さもなければ、ISE はスイッチにクライアントを再認証させますできません。

aaa server radius dynamic-author
     client <ISE ip address> server-key <radius shared secret>

スイッチが HTTPトラフィックに基づいてリダイレクトすることができるようにこのコマンドが必要となります:

ip http server

リダイレクトするためにこのコマンドが HTTPS トラフィックに基づいて必要となります:

ip http secure-server

これらのコマンドはまた重要です:

radius-server vsa send authentication
radius-server vsa send accounting

ユーザがまだ認証されない場合、数字 show authentication セッション int <interface は > この出力を戻します:

01-SW3750-access#show auth sess int gi1/0/12
            Interface:  GigabitEthernet1/0/12
          MAC Address:  0050.5600.0003
           IP Address:  192.168.100.13
            User-Name:  00-50-56-00-00-03
               Status:  Authz Success
               Domain:  DATA
      Security Policy:  Should Secure
      Security Status:  Unsecure
       Oper host mode:  single-host
     Oper control dir:  both
        Authorized By:  Authentication Server
           Vlan Group:  N/A
     URL Redirect ACL:  redirect
         URL Redirect:  https://w-ise-adm-1.wlaaan.com:8443/guestportal/gateway?
                        sessionId=C0A865FE00000006EC31A48B&action=cwa
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  C0A865FE00000006EC31A48B
      Acct Session ID:  0x0000000B
               Handle:  0x95000006
 
Runnable methods list:
       Method   State
       mab      Authc Success

注: 成功である MAB 認証にもかかわらず MAC アドレスが ISE によって知られなかったのでリダイレクト ACL は置かれます。

スイッチ設定(完全な)

このセクションは完全なスイッチ設定をリストします。 いくつかの不必要なインターフェイスおよびコマンド・ラインは省略されました; 従って、この設定 例は参照だけに使用し、コピーするべきではありません。

Building configuration...
 
Current configuration : 6885 bytes
!
version 15.0
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
no service password-encryption
!
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$xqtx$VPsZHbpGmLyH/EOObPpla.
!
aaa new-model
!
!
aaa group server radius newGroup
!
aaa authentication login default local
aaa authentication dot1x default group radius
aaa authorization exec default none
aaa authorization network default group radius
!
!
!
!
aaa server radius dynamic-author
client 192.168.131.1 server-key cisco
!
aaa session-id common
clock timezone CET 2 0
system mtu routing 1500
vtp interface Vlan61
udld enable
 
nmsp enable
ip routing
ip dhcp binding cleanup interval 600
!
!
ip dhcp snooping
ip device tracking
!
!
crypto pki trustpoint TP-self-signed-1351605760
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1351605760
revocation-check none
rsakeypair TP-self-signed-1351605760
!
!
crypto pki certificate chain TP-self-signed-1351605760
certificate self-signed 01
  30820245 308201AE A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 31333531 36303537 3630301E 170D3933 30333031 30303033
  35385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 33353136
  30353736 3030819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100B068 86D31732 E73D2FAD 05795D6D 402CE60A B93D4A88 C98C3F54 0982911D
  D211EC23 77734A5B 7D7E5684 388AD095 67354C95 92FD05E3 F3385391 8AB9A866
  B5925E04 A846F740 1C9AC0D9 6C829511 D9C5308F 13C4EA86 AF96A94E CD57B565
  92317B2E 75D6AB18 04AC7E14 3923D3AC 0F19BC6A 816E6FA4 5F08CDA5 B95D334F
  DA410203 010001A3 6D306B30 0F060355 1D130101 FF040530 030101FF 30180603
  551D1104 11300F82 0D69696C 796E6173 2D333536 302E301F 0603551D 23041830
  16801457 D1216AF3 F0841465 3DDDD4C9 D08E06C5 9890D530 1D060355 1D0E0416
  041457D1 216AF3F0 8414653D DDD4C9D0 8E06C598 90D5300D 06092A86 4886F70D
  01010405 00038181 0014DC5C 2D19D7E9 CB3E8ECE F7CF2185 32D8FE70 405CAA03
 
dot1x system-auth-control
dot1x critical eapol
!
!
!
errdisable recovery cause bpduguard
errdisable recovery interval 60
!
spanning-tree mode pvst
spanning-tree logging
spanning-tree portfast bpduguard default
spanning-tree extend system-id
spanning-tree vlan 1-200 priority 24576
!
vlan internal allocation policy ascending
lldp run
!
!
!
!        
!
!
interface FastEthernet0/2
switchport access vlan 33
switchport mode access
authentication order mab
authentication priority mab
authentication port-control auto
mab
spanning-tree portfast
!
interface Vlan33
ip address 192.168.33.2 255.255.255.0
!
ip default-gateway 192.168.33.1
ip http server
ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 192.168.33.1
!
ip access-list extended MY_TEST
permit ip any any
ip access-list extended redirect
deny   ip any host 192.168.131.1
permit tcp any any eq www
permit tcp any any eq 443
ip access-list extended webAuthList
permit ip any any
!
ip sla enable reaction-alerts
logging esm config
logging trap warnings
logging facility auth
logging 10.48.76.31
snmp-server community c3560public RO
snmp-server community c3560private RW
snmp-server community private RO
radius-server host 192.168.131.1 auth-port 1812 acct-port 1813 key cisco
radius-server vsa send authentication
radius-server vsa send accounting
!        
!
!
privilege exec level 15 configure terminal
privilege exec level 15 configure
privilege exec level 2 debug radius
privilege exec level 2 debug aaa
privilege exec level 2 debug
!
line con 0
line vty 0 4
exec-timeout 0 0
password Cisco123
authorization commands 1 MyTacacs
authorization commands 2 MyTacacs
authorization commands 15 MyTacacs
authorization exec MyTacacs
login authentication MyTacacs
line vty 5 15
!
ntp server 10.48.76.33
end

HTTP プロキシコンフィギュレーション

クライアントのために HTTP プロキシを使用する場合、クライアントことを意味します:

  • HTTP プロトコルのために独創的なポートを使用して下さい

  • そのプロキシにトラフィックをすべて送信 して下さい

独創的なポートのスイッチ リッスンを持つため(たとえば、8080)、これらのコマンドを使用して下さい:

ip http port 8080
ip port-map http port 8080

またすべてのクライアントをプロキシを使用し続けるために ISE IP アドレスのためにプロキシを使用しないために設定する必要があります。 すべてのブラウザはプロキシを使用するべきではない IP アドレスかホスト名を入力することを可能にする機能が含まれています。 ISE のための例外を追加しない場合、ループ 認証 ページに出会います。

最終結果

クライアントPC はプラグを差し込み、MAB の行います。 MAC アドレスは知られません、従って ISE はスイッチに戻ってリダイレクション属性を押します。 ユーザは Webサイトに行くことを試み、リダイレクトされます。

/image/gif/paws/113362/web-auth-ise-06.gif

web-auth-ise-07.gif

ログイン ページの認証が正常なとき、ISE はレイヤ2 MAB 認証を再度開始する許可の変更を通してスイッチポートを跳ねます。

ただし、ISE は(これがレイヤ2 認証であるが)それが前の webauth クライアントである確認し、webauth 資格情報に基づいてクライアントをことを承認します。

ISE 認証ログでは、MAB 認証はログの下部ので現われます。 それが不明であるが、MAC アドレスは認証され、プロファイルされ、webauth 属性は戻りました。 次に、認証はユーザのユーザ名(すなわち、ユーザ タイプ ログイン ページの彼の資格情報)と行われます。 認証の直後に、新しいレイヤ2 認証は資格情報としてユーザ名と行われます; この認証ステップは帰因させるそのようなダイナミック VLAN を戻ることができるところにです。

web-auth-ise-08.gif

Cisco サポート コミュニティ - 特集対話

Cisco サポート コミュニティでは、フォーラムに参加して情報交換することができます。現在、このドキュメントに関連するトピックについて次のような対話が行われています。


関連情報


Document ID: 113362