セキュリティ : Cisco Identity Services Engine

ISE を搭載した WLC 上で FlexConnect AP を使用した 中央 Web 認証の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

このドキュメントでは、ローカル スイッチング モードで Identity Services Engine(ISE)を搭載したワイヤレス LAN コントローラ(WLC)上の FlexConnect アクセス ポイント(AP)を使用した中央 Web 認証を設定する方法について説明します。

Contributed by Nicolas Darchis, Cisco TAC Engineer.

重要: この時点で、FlexAP のローカル認証は、このシナリオではサポートされません。

このシリーズの他のドキュメント

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Identity Services Engine (ISE)、リリース 1.2.1
  • Wireless LAN Controller Software、リリース バージョン- 7.4.100.0

設定

ワイヤレス LAN コントローラ(WLC)の中央 Web 認証を設定するには複数の方法があります。 最初の方法は、ユーザが認証の入力を促される内部または外部サーバに WLC によって HTTP トラフィックがリダイレクトされるローカル ネットワークの認証です。 次に、WLC はクレデンシャルを取得し(外部サーバの場合は HTTP GET リクエストで返信)し、RADIUS 認証を行います。 ゲスト ユーザの場合は、外部サーバ(Identity Services Engine(ISE)または Cisco NAC ゲスト サーバ(NGS)) が、デバイスの登録およびセルフプロビジョニングなどの機能を提供するポータルとして必要です。 このプロセスには、次の手順が含まれています。

  1. Web 認証 SSID に関連付けます。
  2. ブラウザを開きます。
  3. URL を入力するとすぐに、WLC によってゲストのポータル(ISE または NGS など)にリダイレクトされます。
  4. ポータルで認証します。
  5. 入力されたクレデンシャルを持つ WLC にゲストのポータルによってリダイレクトして戻されます。
  6. WLC は RADIUS を介してゲストのユーザを認証します。
  7. WLC は元の URL にリダイレクトして戻します。

このプロセスには多くのリダイレクトが含まれます。 新しい方法では、ISE(1.1 より後のバージョン)および WLC(7.2 より後のバージョン)で機能する中央 Web 認証を使用します。 このプロセスには、次の手順が含まれています。

  1. Web 認証 SSID に関連付けます。
  2. ブラウザを開きます。
  3. WLC はゲストのポータルにリダイレクトします。
  4. ポータルで認証します。
  5. ISE は、ユーザが有効であり最終的にアクセス コントロール リスト(ACL)などの RADIUS の属性をプッシュすることをコントローラに示すために RADIUS 認可変更(CoA から UDP のポート 1700)を送信します。
  6. ユーザは元の URL の再試行を促されます。

この項では、WLC および ISE に中央 Web 認証を設定するために必要な手順について説明します。

ネットワーク図

この設定では、次のネットワーク設定を使用します。

WLC の設定

WLC の設定は比較的簡単です。 「トリック」が使用され (スイッチと同様に)、ISE からダイナミックな認証 URL を取得します。 (これが CoA を使用するため、セッションはセッション ID が URL の一部であるように作成する必要があります)。 SSID は MAC フィルタリングを使用するように設定され、MAC アドレスが見つからない場合でも ISE は Access-Accept メッセージを返すように設定されます。このため、すべてのユーザにリダイレクト用の URL が送信されるように設定されます。 

さらに、RADIUS ネットワーク アドミッション コントロール(NAC)と AAA オーバーライドを有効にする必要があります。 RADIUS NAC によって、ユーザが認証されてネットワークにアクセスできることを示す CoA リクエストを ISE が送信できるようになります。 また、ISE がポスチャ結果に基づいてユーザ プロファイルを変更するようにするポスチャ割り当てに使用されます。

  1. RADIUS サーバで RFC3576 (CoA)が有効であることを確認します。これは、デフォルトです。



  2. 新規 WLAN を作成してください。 この例では、CWAFlex という名前の新しい WLAN を作成し、vlan33 に割り当てます。 (アクセス ポイントがローカル スイッチング モードであるため、大きな影響はない点に注意してください。)



  3. [Security] タブで、レイヤ 2 セキュリティの MAC フィルタリングを有効にします。



  4. [Layer 3] タブで、セキュリティが無効であることを確認します。 (ネットワーク認証がレイヤ 3 で有効にされると、ローカル Web 認証は有効になり、中央 Web 認証は有効になりません。)



  5. [AAA Servers] タブで、WLAN の RADIUS サーバとして ISE サーバを選択します。 オプションで、ISE での詳細情報を得るために会計用にこれを選択できます。



  6.  [Advanced] タブで、[Allow AAA Override] がオンで [NAC State] に対して [Radius NAC] が選択されていることを確認します。



  7. リダイレクト ACL を作成します。

    ThisACL は theISE の Access-Accept メッセージで、またどんなトラフィックがリダイレクトするべきではないか参照され、どんなトラフィックがリダイレクトする必要があるか定義します(theACL によって否定されて) (theACL によって許可されて)。 基本的には、theISE に出入する DNS およびトラフィックは許可される必要があります。

    : FlexConnect の AP に関する問題は、通常の ACL から切り離して FlexConnect ACL を作成する必要があることです。 この問題は Ciscoバグ CSCue68065 で文書化されています、リリース 7.5 で解決されます。  WLC 7.5 以降では、FlexACL だけが必要であり、非標準 ACL は必要ありません。 ISE によって返されるリダイレクト ACL が標準 ACL であると WLC では考えます。 しかし、そのように機能することを保証するには、FlexConnect ACL として適用されている同一の ACL が必要です。


    次の例では、flexred という名前の FlexConnect ACL の作成方法を示しています。



    1. ISE へのトラフィックと同様に DNS トラフィックを許可し残りを拒否するルールを作成します。


      最高レベルのセキュリティを必要とする場合は、ISE へのポート 8443 だけを許可できます。 (ポスチャする場合は、8905、8906、8909、8910 などの一般的なポスチャ ポートを追加する必要があります。)

    2. CSCue68065 によるバージョン 7.5 の前のコードでだけ) > 同じ名前で同一の ACL を作成するアクセスコントロール アクセス・コントロール・リストは『Security』 を選択 して下さい。



    3. 特定の FlexConnect AP を用意します。 より大きい配備のために、一般的に FlexConnect グループを使用し、スケーラビリティ の 理由で毎 AP 基礎のこれらの項目を行わないことに注目して下さい。

      1. 『Wireless』 をクリック し、特定のアクセス ポイントを選択して下さい。
      2. [FlexConnect] タブをクリックし、[External Webauthentication ACLs] をクリックします。 (バージョン 7.4 以前は、このオプションの名前は Web ポリシー でした。)



      3. Web ポリシー領域に ACL(この例では flexred いう名前)を追加します。 これ前プッシュ アクセス ポイントへの ACL。 それはまだ適用されていませんが、必要とされたとき適用できるように ACL コンテンツは AP に与えられます。


WLC の設定は以上で完了です。

ISE 設定

認可プロファイルの作成


認可プロファイルを作成するには、次の手順を実行します。

  1. [Policy] をクリックし、次に [Policy Elements] をクリックします。

  2. [Results] をクリックします。

  3. [Authorization] を展開して、[Authorization profile] をクリックします。

  4. [Add] ボタンをクリックして、中央 webauth の新しい許可プロファイルを作成します。

  5. [Name] フィールドに、プロファイルの名前を入力します。 この例では CentralWebauth を使用しています。

  6. [Access Type] ドロップダウン リストから [ACCESS_ACCEPT] を選択します。

  7. Web 認証 チェックボックスをチェックし、ドロップダウン リストから中央集中型 Web Auth を選択して下さい。

  8. [ACL] フィールドに、リダイレクトされるトラフィックを定義する WLC 上の ACL の名前を入力します。 この例では flexred を使用します。

  9. [Redirect] ドロップダウン リストで [Default] を選択します。

リダイレクトの属性は、ISE がデフォルトの Web ポータルを表示するか、ISE 管理者が作成したカスタム Web ポータルを表示するかを定義します。 たとえば、この例の flexred ACL はクライアントから Anywhere への HTTP トラフィックのリダイレクトをトリガーします。

認証ルールの作成


認証ルールを作成するために認証プロファイルを使用するには、次の手順を実行してください。

  1. [Policy] メニューで、[Authentication] をクリックします。

    次の画像は、認証ポリシー ルールの設定方法の例を示します。 この例では、MAC フィルタが検出されるとトリガーされるようにルールが設定されています。

  2. 認証ルールの名前を入力します。 この例では、Wireless mab を使用します。
  3. [If condition] フィールドでプラス(+)アイコンを選択します。
  4. [Compound condition] を選択し、次に [Wireless_MAB] を選択します。
  5. 許可されたプロトコルとして [Default network access] を選択します。
  6. ルールをさらに展開するには [and ...] の横にある矢印をクリックします。
  7. [Identity Source] フィールドの [+] アイコンをクリックし、[Internal endpoints] を選択します。
  8. [If user not found] ドロップダウン リストから [Continue] を選択します。 

このオプションによって、MAC アドレスが既知でなくても(WebAuth を介して)デバイスが認証されるようになります。 Dot1x のクライアントはそれでも、そのクレデンシャルで認証可能で、この設定を考慮する必要はありません。

認可ルールの作成

認可ポリシーに設定するルールがいくつかあります。 PC は関連付けられると、MAC フィルタリングに移動します。 ここで、MAC アドレスが既知でないとみなされ、そのため WebAuth および ACL が戻されます。 このMAC not known(MAC が既知でない)のルールは、次の画像に示され、このセクションで設定されます。

 

認可ルールを作成するには、次の手順を実行してください。

  1. 新しいルールを作成し、名前を入力します。 この例では、MAC not known を使用します。

  2. 条件フィールドのプラス([+])アイコンをクリックし、新しい条件の作成を選択します。

  3. [expression] ドロップダウン リストを展開します。

  4. [Network access] を選択し、展開します。

  5. [AuthenticationStatus] をクリックし、[Equals] 演算子を選択します。

  6. 右側のフィールドの [UnknownUser] を選択します。

  7. [General Authorization] ページで、単語 [then] の右側フィールドの [CentralWebauth]([Authorization Profile])を選択します。

    この手順では、ユーザ(または MAC)が既知でなくても ISE が継続できます。

    これで未知ユーザにログイン ページが表示されます。 ただし、クレデンシャルを入力すると、ISE での認証リクエストが再び表示されます。 したがって、ユーザがゲストのユーザであれば一致する条件を持つ別のルールを設定する必要があります。 この例では、[If UseridentityGroup equals Guest] が使用され、すべてのゲストがこのグループに属すると見なされます。

  8. [MAC not known] ルールの最後にあるアクション ボタンをクリックし、上記の新しいルールを挿入することを選択します。

    注: この新しいルールが [MAC not known] ルールの前に来ることが非常に重要です。

  9. 名前フィールドに、2nd AUTH と入力します。

  10. 状態として識別グループを選択して下さい。 この例は『guest』 を選択 しました。

  11. 条件フィールドで、プラス([+])アイコンをクリックし、新しい条件の作成を選択します。

  12. [Network Access] を選択し、[UseCase] をクリックします。

  13. 演算子として [Equals] を選択します。

  14. 右オペランドとして [GuestFlow] を選択します。 これは Web ページでちょうどログオンし、後許可(ルールのゲスト フロー部品)の変更もどって来るユーザをつかまえることを意味しますおよびときだけゲスト識別グループに属する。

  15. 許可ページで [then] の隣にあるプラス([+])アイコンをクリックし、ルールの結果を選択します。

    この例では、事前に設定されたプロファイル(vlan34)が割り当てられます。 この設定は、このドキュメントでは表示されません。

    [Permit Access] オプションを選択するか、または任意の VLAN または属性を返すためにカスタム プロファイルを作成できます。

重要: Web 認証の種類による ISE Version1.3 では、「ゲスト フロー」使用例はもう見つけられないかもしれません。 承認規則はそれから唯一の可能性のある状態としてゲスト ユーザーグループが含まれていなければなりません。 

IP リニューアルを有効にする(任意選択)


VLAN を割り当てると、最後のステップは、クライアント PC に対して IP アドレスをリニューアルすることです。 この手順は、Windows クライアント用のゲスト ポータルによって実現されます。 2nd AUTH ルール用の VLAN をまだ設定していない場合は、このステップをとばすことができます。

FlexConnect AP で、VLAN が AP 自体で既存する必要があることに注目して下さい。 従って、それが、AP の VLAN-ACL マッピング自体を作成できますまたは新しい VLAN のための ACL を適用しない屈曲グループで作成したいと思います。 それは実際に VLAN を作成します(それの ACL 無しで)。

VLAN を割り当てて、IP のリニューアルを有効にするために次の手順を実行してください。

  1. [Administration] をクリックし、[Guest Management] をクリックします。

  2. [Setting] をクリックします。

  3. [Guest] を展開し、次に [Multi-Portal Configuration] を展開します。

  4. [DefaultGuestPortal] またはユーザが作成したカスタム ポータルの名前をクリックします。

  5. [Vlan DHCP Release] チェックボックスをクリックします。

    注: このオプションは、Windows のクライアントでのみ動作します。

 

トラフィックフロー

どのトラフィックがこのシナリオでところで送信 されるか理解することは困難なようであるできます。 速い確認はここにあります:

  • クライアントは SSID のための Association 要求 地上波を送信 します。
  • WLC は(リダイレクション属性を受け取るかところで) ISE の MAC フィルタリング 認証を処理します。
  • クライアントは MAC フィルタリングが完了する後だけ assoc 応答を受け取ります。
  • クライアントは DHCP 要求を入れ、それはアクセス ポイント obain によってローカルで リモートサイトの IP アドレス切り替えられます。
  • Central_webauth 状態では、リダイレクト ACL (そう一般的に HTTP)の拒否のためにマークされるトラフィックは中央に切り替えられます。 従ってのはリダイレクション WLC をする AP ではないです; たとえば、クライアントがあらゆる Webサイトを頼むとき、AP は CAPWAP および Webサイト IP アドレスが ISE の方におよびリダイレクトする WLC スプーフィングでカプセル化される WLC にこれを送信 します。
  • クライアントは ISE リダイレクト URL にリダイレクトされます。 これはローカルで(屈曲リダイレクト ACL の許可で見つかるので)再度切り替えられます。
  • 走行状態で、トラフィックはローカルで切り替えられます。

確認

ユーザが SSID に関連付けられると、認可が [ISE] ページに表示されます。

下から上に、CWA の属性を返す MAC アドレスのフィルタリング認証を確認できます。 ユーザ名を使用したポータルのログインを次に示します。 次に。ISE は WLC に CoA を送信し、最後の認証は WLC 側のレイヤ 2 の MAC フィルタリング認証ですが、ISE はクライアントとユーザ名を記憶していてこの例で設定した必要な VLAN に適用します。

このクライアントでいずれかのアドレスが開くと、ブラウザは ISE にリダイレクトされます。 ドメイン ネーム システム(DNS)が正しく設定されていることを確認します。

ユーザがポリシーを受け入れるとネットワーク アクセスが許可されます。

コントローラで、ポリシー マネージャの状態および RADIUS NAC の状態が [POSTURE_REQD] から [RUN] に変わります。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116087