セキュリティ : Cisco Identity Services Engine - Japanese

隔離されたゲスト ネットワーク 設定例のための静的なリダイレクトの ISE

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に冗長性を維持するために隔離されたゲスト ネットワークのための静的なリダイレクトで Cisco Identity Services Engine (ISE)を設定する方法を記述されています それはまたクライアントが証明できない認証警告とプロンプト表示されないようにポリシー ノードを設定する方法を記述します。

担当者 Jesse Dubois、Cisco TAC エンジニア

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Cisco ISE 中央 Web 認証(CWA)およびすべての関連コンポーネント
  • 認証の妥当性のブラウザ 確認
  • Cisco ISE バージョン 1.2.0.899 または それ 以降
  • Ciscoワイヤレス LAN コントローラ(WLC)バージョン 7.2.110.0 またはそれ以降(バージョン 7.4.100.0 またはそれ以降は好まれます)

: CWA は WLC および ISE 設定例の中央 Web 認証に Cisco の 記事説明があります。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco ISE バージョン 1.2.0.899
  • Cisco バーチャル WLC (vWLC)バージョン 7.4.110.0
  • Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)バージョン 8.2.5

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。 

背景説明

多数ではあなた自身のデバイス(BYOD)環境を、ネットワークに De-Militarized Zone (DMZ)の内部ネットワークから十分に接続されていないゲスト持って来て下さい。 多くの場合、ゲスト DMZ の DHCP はゲストユーザに提供される唯一のサービスがインターネットアクセスであるのでパブリック ドメインにネーム システム(DNS)サーバを提供します。

これはバージョン 1.2 前に困難な ISE で ISE が Web 認証のための完全修飾ドメイン名 (FQDN)にクライアントをリダイレクトするのでゲスト リダイレクションを作ります。 ただし、ISE バージョン 1.2 および それ 以降と、管理者は静的IP アドレスかホスト名にゲストユーザをリダイレクトできます-。

設定

ネットワーク図

これは論理的 な 図表です。

: 物理的に、内部ネットワークにワイヤレス コントローラがあります、DMZ コントローラへのアクセス ポイント(AP)は固定します内部ネットワークおよびサービス セット 識別(SSID)にあります。 詳細については Cisco WLCs のためのドキュメントを参照して下さい。 

設定

WLC の設定は標準 CWA 設定から変更されません。 SSID は RADIUS認証を用いる MAC フィルタリング、および 2つ以上の ISE ポリシー ノードの方の RADIUS 説明ポイントを割り当てるために設定されます。

この資料は ISE 設定に焦点を合わせます。

: この設定例では、ポリシー ノードは jesse-dunkel です(172.18.124.20)および jesse-maibock (172.18.124.21)。

CWA は WLC が ISE に RADIUS MAC 認証 バイパス(MAB)要求を送信 すると始まりますフローします。 ISE はコントローラにリダイレクト URL と ISE に HTTPトラフィックをリダイレクトするために答えます。 セッションが単一 PSN で維持されるので RADIUS および HTTPトラフィックが同じポリシー Services ノード(PSN)に行くことは重要です。 これは単一ルールと普通実行された、PSN は CWA URL に自身のホスト名を挿入します。 ただし、静的なリダイレクトと、RADIUS および HTTPトラフィックが同じ PSN に送信 されるようにするために各 PSN のためのルールを作成して下さい。

ISE を設定するには、次の手順を実行します。

  1. PSN IP アドレスにクライアントをリダイレクトするために 2 つのルールを設定して下さい。 ポリシー > ポリシー要素へのナビゲートは > > 許可 > 許可プロファイル生じます

    これらのイメージは Profile Name DunkelGuestWireless のための情報を示します:







    これらのイメージは Profile Name MaibockGuestWireless のための情報を示します:







    : クライアントが認証に ISE と通信することを可能にするために WLC で設定される ACL-PROVISION はローカル Access Control List (ACL)です。 詳細については WLC および ISE 設定例の中央 Web 認証を Cisco の 記事参照して下さい。

  2. それらがネットワーク アクセスで一致するように許可をポリシングを行ないます設定して下さい: ISE ホスト名 アトリビュートは適切な許可 プロファイルを提供し、:



    クライアントが IP アドレスにリダイレクトされるので、ユーザは URL が認証の情報を一致するので認証警告を受け取ります。 たとえば、認証の FQDN は jesse-dunkel.rtpaaa.local ですが、URL は 172.18.124.20 です。 Hereis ブラウザが IP アドレスの認証を検証するようにする認証:



    認証対象代替ネーム(SAN)エントリの使用によって、ブラウザは IP アドレス 172.18.124.20 を含む URL を検証できます。 3 つの SAN エントリはさまざまなクライアント非互換性を当たるために作成する必要があります。

  3. DNS名のための SAN エントリを作成し、Subject フィールドからの CN= エントリと一致するようにして下さい。

  4. クライアントを IP アドレスを検証することを許可するために 2 つのエントリを作成して下さい; これらは IP アドレス アトリビュートに現われる IP アドレス両方、また IP アドレスの DNS名のためです。 何人かのクライアントは DNS名だけを参照します。 他は DNS名 アトリビュートの IP アドレスを受け入れませんが、代りに IP アドレス アトリビュートを参照します。

    : 認証 生成に関する詳細については、Cisco Identity Services Engine ハードウェアインストールガイドを、リリース 1.2 参照して下さい。

確認

設定がきちんと機能することを確認するためにこれらのステップを完了して下さい:

  1. ルールの両方が機能であることを確認するために、手動で WLAN で設定される ISE PSN の順序を設定 して下さい:



  2. ゲスト SSID にログイン して下さい、オペレーション > ISE の認証にナビゲート し、正しい承認規則が見つかることを確認して下さい:



    最初の MAB 認証は DunkelGuestWireless 許可 プロファイルに与えられます。 これは最初の ISE ノードの、jesse-dunkel にとりわけリダイレクトするルールです。 gguest01 ユーザがログオンした後、GuestPermit の正しく最終的な権限は与えられます。

  3. WLC からの認証 セッションを解決するために、クライアントデバイスを無線ネットワークから切り離し、監視するために > WLC のクライアント ナビゲート し、出力からセッションを削除して下さい。 WLC は 5 分のためのアイドルセッションをデフォルトで開きます、従って有効なテストを行うために、あらためて始めて下さい。

  4. ゲスト WLAN 設定の下で ISE PSN の順序を反転させて下さい:



  5. ゲスト SSID にログイン して下さい、オペレーション > ISE の認証にナビゲート し、正しい承認規則が見つかることを確認して下さい:



    第 2 試みに関しては、MaibockGuestWireless 許可 プロファイルは最初の MAB 認証のために正しく見つかります。 jesse-dunkel に最初の試みに類似した(2)ステップは、jesse-maibock への認証正しく最終的な許可のための GuestPermit を見つけます。 GuestPermit 許可 プロファイルに PSN 仕様情報がないので、単一ルールはあらゆる PSN への認証に使用することができます。

トラブルシューティング

認証 Details ウィンドウは認証/許可 プロセスの各ステップを表示する強力なビューです。 それにアクセスするために、オペレーション > 認証にナビゲート し、Details カラムの下で拡大鏡アイコンをクリックして下さい。 認証/許可ルール条件が正しく設定されることを確認するためにこのウィンドウを使用して下さい。 

この場合、ポリシーサーバ フィールドは焦点の主要区域です。 このフィールドは認証が保守される ISE PSN のホスト名が含まれています:

ポリシーサーバ エントリをルール状態と比較し、2 つが一致することを確認して下さい(この値は大文字/小文字の区別があります):

: SSID から切り離し、WLC からテストの間で Client エントリをクリアする必要があることを覚えておくことは重要です。



Document ID: 117620