Seguridad : Cisco Identity Services Engine

Autenticación Web central en el ejemplo de configuración del WLC y ISE

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe un ejemplo de configuración que se utilice para completar la autenticación Web central (CWA) en el regulador del Wireless LAN (WLC).

Contribuido por Nicolás Darchis, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Software Release 1.2 del Cisco Identity Services Engine

  • Versión de software WLC de Cisco 7.3.102.0

Configurar

El primer método de autenticación Web es autenticación Web local. En este caso, el WLC reorienta el tráfico HTTP a un interno o a un servidor externo donde se indica al usuario que autentique. El WLC después trae las credenciales (devueltas vía una petición get HTTP en el caso de un servidor externo) y hace una autenticación de RADIUS. En el caso de un Usuario invitado, un servidor externo (tal como servidor del Identity Services Engine (ISE) o del invitado del NAC (NG)) se requiere porque el portal proporciona las características tales como registro y uno mismo-aprovisionamiento del dispositivo. El flujo incluye estos pasos:

  1. Los socios del usuario al Service Set Identifier (SSID) de la autenticación Web.

  2. El usuario abre al navegador.

  3. El WLC reorienta al portal del invitado (tal como ISE o NG) tan pronto como se ingrese un URL.

  4. El usuario autentica en el portal.

  5. El portal del invitado reorienta de nuevo al WLC con las credenciales ingresadas.

  6. El WLC autentica al Usuario invitado vía el RADIUS.

  7. El WLC reorienta de nuevo al URL original.

Este flujo incluye varios cambios de dirección. El nuevo acercamiento es utilizar CWA. Este método trabaja con ISE (versiones más adelante de 1.1) y el WLC (versiones más adelante de 7.2). El flujo incluye estos pasos:

  1. El usuario se asocia a la autenticación Web SSID, que es de hecho open+macfiltering y ninguna Seguridad de la capa 3.

  2. El usuario abre al navegador.

  3. El WLC reorienta al portal del invitado.

  4. El usuario autentica en el portal.

  5. El ISE envía un cambio RADIUS de la autorización (CoA - el puerto 1700 UDP) de indicar al regulador que el usuario es válido, y avanza eventual los atributos de RADIUS tales como la lista de control de acceso (ACL).

  6. Se indica al usuario que revise el URL original.

La configuración usada es:

central-web-auth-1.gif

Configuración del WLC

La configuración del WLC es bastante directa. Un truco se utiliza (lo mismo que en el Switches) para obtener la autenticación dinámica URL del ISE (puesto que utiliza el cambio de la autorización (CoA), una sesión debe ser creada y el ID de sesión es parte del URL). El SSID se configura para utilizar la filtración MAC. El ISE se configura para volver un access-accept incluso si la dirección MAC no se encuentra, de modo que envíe el cambio de dirección URL para todos los usuarios. 

Además de esto, el Network Admission Control (NAC) RADIUS y la invalidación del Authentication, Authorization, and Accounting (AAA) deben ser habilitados. El NAC RADIUS permite que el ISE envíe una petición CoA que indique que ahora autentican al usuario y pueda acceder la red. También se utiliza para la evaluación de la postura, en este caso el ISE cambia el perfil del usuario basado en el resultado de la postura.

Asegúrese de que el servidor de RADIUS haga el RFC3576 (CoA) habilitar, que está por abandono.

central-web-auth-02.png

central-web-auth-03.gif

central-web-auth-04.gif

central-web-auth-05.png

central-web-auth-06.gif

El último paso es crear una reorientación ACL. Este ACL se refiere al access-accept del ISE y define qué tráfico debe ser reorientado (negado por el ACL) y qué tráfico no debe ser reorientado (permitido por el ACL). Aquí usted apenas previene del tráfico del cambio de dirección hacia el ISE. Usted puede ser que quiera ser más específico y prevenir solamente el tráfico a/desde el ISE en el puerto 8443 (portal del invitado), pero todavía reorienta si un usuario intenta acceder el ISE en el puerto 80/443.

Nota: Las versiones anteriores del software WLC como 7.2 o 7.3 no le requirieron especificar el DNS pero más nuevas versiones del código le requieren permitir el tráfico DNS en ese reorientan el ACL.

central-web-auth-07.png

La configuración es completa ahora en el WLC.

Configuración ISE

Cree el perfil de la autorización

En el ISE, el perfil de la autorización debe ser creado. Entonces, se configuran las directivas de la autenticación y autorización. El WLC se debe configurar ya como dispositivo de red.

En el perfil de la autorización, ingrese el nombre del ACL creado anterior en el WLC.

  1. Haga clic la directiva, y después haga clic los elementos de la directiva.

  2. Haga clic los resultados.

  3. Amplíe la autorización, y después haga clic el perfil de la autorización.

  4. Haga clic el botón Add para crear un nuevo perfil de la autorización para el webauth central.

  5. En el campo de nombre, ingrese un nombre para el perfil. Este ejemplo utiliza WLC_CWA.

  6. Elija ACCESS_ACCEPT de la lista desplegable del tipo de acceso.

  7. Marque la casilla de verificación del cambio de dirección de la red, y elija el auth centralizado de la red de la lista desplegable.

  8. En el campo ACL, ingrese el nombre del ACL en el Switch que define el tráfico que se reorientará. Este ejemplo utiliza el cwa_redirect.

  9. Elija el valor por defecto de la lista desplegable de la reorientación. (Elija algo con excepción del valor por defecto si usted utiliza un portal de la aduana con excepción del valor por defecto.)

central-web-auth-08.png

Crean una regla de la autenticación

Asegúrese de que el ISE valide todas las autenticaciones de MAC del WLC y aseegurese lo perseguirá la autenticación incluso si no encuentran al usuario.

Bajo menú de la directiva, haga clic la autenticación.

La imagen siguiente muestra un ejemplo de cómo configurar la regla de la política de autenticación. En este ejemplo, se configura una regla que acciona cuando se detecta el MAB.

  • Ingrese un nombre para su regla de la autenticación. Este ejemplo utiliza el MAB, que existe ya por abandono en la versión 1.2 ISE.

  • Seleccione (+) el icono más en si campo de la condición.

  • Elija la condición compuesta, y después elija Wired_MAB O Wireless_MAB.

  • Haga clic la flecha localizada al lado de y… para ampliar la regla más lejos.

  • Haga clic + icono en el campo de fuente de la identidad, y elija los puntos finales internos.

  • Elija continúan del si lista desplegable no encontrada del usuario.

central-web-auth-09.png

Cree una directiva de la autorización

Configure la directiva de la autorización. Un punto importante a entender es que hay dos autenticaciones/autorizaciones:

  • El primer es cuando el usuario se asocia al SSID y cuando se vuelve el perfil central de la autenticación Web (dirección MAC desconocida, así que usted debe fijar al usuario para el cambio de dirección).

  • El segundo es cuando el usuario autentica en el portal web. Éste hace juego la regla predeterminada (usuarios internos) en esta configuración (puede ser configurado para cumplir sus requisitos). Es importante que la pieza de la autorización no hace juego el perfil central de la autenticación Web otra vez. Si no, habrá un loop del cambio de dirección. El acceso a la red: El atributo del flujo del invitado de los iguales de UseCase se puede utilizar para hacer juego esta segunda autenticación. El resultado parece esto:

central-web-auth-10.png

Nota: En la versión 1.3 ISE, dependiente sobre el tipo de autenticación Web, “el caso del uso del flujo del invitado” no se pudo golpear más. La regla de la autorización entonces tendría que contener al grupo de usuarios del invitado como la única condición posible.

Complete estos pasos para crear las reglas de la autorización tal y como se muestra en de las imágenes anteriores:

  1. Cree una nueva regla, y ingrese un nombre. Este ejemplo utiliza el cambio de dirección del invitado.

  2. Haga clic (+) el icono más en el campo de la condición, y elija crear una nueva condición.

  3. Amplíe la lista desplegable de la expresión.

  4. Elija el acceso a la red, y amplíelo.

  5. Haga clic AuthenticationStatus, y elija al operador de los iguales.

  6. Elija UnknownUser en el campo derecho.

  7. En la página general de la autorización, elija WLC_CWA (perfil de la autorización) en el campo a la derecha de la palabra entonces.

    Este paso permite que el ISE continúe aunque no saben al usuario (o la dirección MAC).

    Ahora presentan los usuarios desconocidos con la página de registro. Sin embargo, una vez que ingresan sus credenciales, que es una autenticación que tiene éxito si las credenciales del cliente son válidas a pesar de lo que usted configuró en la directiva de la autenticación/de la autorización. A partir de las versiones 1.1 y 1.2 ISE, las autenticaciones porta no siguen las reglas de la autenticación/de la autorización y tienen éxito si son válidas. Así, no hay necesidad de crear una regla que permita el acceso sobre el login porta acertado.

  8. Haga clic las acciones abotonan situado en el final de la regla del cambio de dirección del invitado, y eligen insertar una nueva regla antes de ella.

    Nota: Es muy importante que esta nueva regla viene antes de la regla del cambio de dirección del invitado.



  9. Ingrese un nombre para la nueva regla. Este ejemplo utiliza el auth del portal del invitado.

  10. En el campo de la condición, haga clic (+) el icono más, y elija crear una nueva condición.

  11. Elija el acceso a la red, y haga clic UseCase.

  12. Elija los iguales como el operador.

  13. Elija GuestFlow como el operando correcto. (Véase la nota, mencionada antes de estos pasos, con respecto a la versión 1.3 ISE en esta condición.)

  14. En la página de la autorización, haga clic (+) el icono más (situado al lado de entonces) para elegir un resultado para su regla.

    Usted puede elegir una opción del acceso del permiso o crear un perfil de encargo para volver el VLA N o los atributos ese usted tiene gusto. Observe que encima de si GuestFlow, usted puede agregar más condiciones para volver los diversos perfiles del authz basados en el grupo de usuarios. Como se menciona en el paso 7, las coincidencias porta de esta del invitado regla del auth sobre la segunda autenticación de la dirección MAC iniciada después del login porta acertado y después del ISE enviaron un CoA para reauthenticate al cliente. La diferencia con esta segunda autenticación es que, en vez de venir al ISE con simplemente su dirección MAC, el ISE recuerda el nombre de usuario dado en el portal. Usted puede hacer que esta regla de la autorización tiene en cuenta las credenciales ingresadas algunos milisegundos antes en el portal del invitado.

Nota: Si perfila las funciones se habilitan, los puntos finales podría ser insertado automáticamente en la base de datos, en este caso la condición del usuario desconocido no hace juego. En este caso, es mejor hacer juego las peticiones de Wireless_MAB (condición incorporada). Si usted utiliza la autenticación de MAC en su regulador, usted puede o utilizar los grupos del punto final para una autorización más específica, o agregue una condición que haga juego al invitado SSID.

central-web-auth-10a.png

Habilite la renovación IP (opcional)

Si usted asigna un VLA N, el último paso está para PC del cliente para renovar su dirección IP. Este paso es alcanzado por el portal del invitado para los clientes de Windows. Si usted no fijó un VLA N para la 2da regla AUTH anterior, usted puede saltar este paso.

Si usted asignó un VLA N, complete estos pasos para habilitar la renovación IP:

  1. Haga clic la administración, y después haga clic la Administración del invitado.

  2. Haga clic las configuraciones.

  3. Amplíe al invitado, y después amplíe la configuración Multi-porta.

  4. Haga clic DefaultGuestPortal o el nombre de un portal de encargo que usted creó.

  5. Haga clic la casilla de verificación de la versión del DHCP del VLA N.

    Nota: Esta opción trabaja solamente para los clientes de Windows.

Escenario Ancla-no nativo

Esta configuración puede también trabajar con la característica del auto-ancla del WLCs. La única captura es ésa puesto que este método de autenticación Web es la capa 2, usted tiene que ser consciente que será el WLC no nativo que hace todo el trabajo RADIUS. Solamente el WLC no nativo entra en contacto el ISE, y el cambio de dirección ACL debe estar presente también en el WLC no nativo.

Apenas como en otros escenarios, el WLC no nativo muestra rápidamente al cliente para estar en el estado de FUNCIONAMIENTO, que no es totalmente verdad. Significa simplemente que el tráfico está enviado al ancla de allí. El estado de cliente real se puede considerar en el ancla donde debe visualizar CENTRAL_WEBAUTH_REQD.

Nota: La configuración ancla-no nativa con la autenticación Web central (CWA) trabaja solamente en las versiones 7.3 o más adelante.

Nota: Debido al Id. de bug Cisco CSCuo56780 (incluso en las versiones que incluyen los arreglos), usted no puede ejecutar las estadísticas en el ancla y no nativo porque causa el perfilado a vencer inexacto a una falta potencial del atascamiento IP-a-MAC. También crea muchos problemas con el ID de sesión para los portales del invitado. Si usted desea de configurar las estadísticas, después configurelas en el regulador no nativo.

Verificación

Una vez que asocian al usuario al SSID, la autorización se visualiza en la página ISE.

Los detalles del cliente en el WLC muestran que el cambio de dirección URL y ACL es aplicado.

central-web-auth-11.png

Ahora en que cualquier direccionamiento se abre en el cliente, reorientan al navegador al ISE. Asegúrese de que el Domain Name System (DNS) esté configurado correctamente.

central-web-auth-12.png

Se concede el acceso a la red después de que el usuario valide las directivas.

central-web-auth-13.png

central-web-auth-14.png

Tal y como se muestra en del ejemplo ISE, la autenticación, el cambio de la autorización, y el perfil aplicado es permitAccess.

central-web-auth-15.gif

El tiro de pantalla anterior se toma de la versión 1.1.x ISE donde cada solo paso de la autenticación muestra claramente.

El tiro de siguiente pantalla se toma de la versión 1.2 ISE donde el ISE resume varias autenticaciones realizadas por el mismo cliente en una línea. Aunque sea más práctico en la vida real, el tiro de pantalla de la versión 1.1.x muestre más claramente qué sucede exactamente por la claridad en este ejemplo.

central-web-auth-16.png

En el regulador, el estado del Administrador de directivas y los cambios de estado del NAC RADIUS de POSTURE_REQD A EJECUTARSE.

Nota: En la versión 7.3 o más adelante, el estado no se llama POSTURE_REQD más, sino ahora se llama CENTRAL_WEBAUTH_REQD.

Troubleshooting

Complete estos pasos para resolver problemas o aislar un problema CWA:

  1. Ingrese el cliente del debug < el MAC address del comando del client> en el regulador y el monitor para determinar si el cliente alcanza el estado CENTRAL_WEBAUTH_REQD. Se observa un problema común cuando el ISE vuelve una reorientación ACL que no exista (o no está correctamente entrar) en el WLC. Si éste es el caso, después el cliente deauthenticated una vez que se alcanza el estado CENTRAL_WEBAUTH_REQD, que hace el proceso comenzar otra vez.

  2. Si el estado del cliente correcto puede ser alcanzado, después navegue para monitorear > los clientes en la red GUI del WLC y para verificar que el correctos reorientan el ACL y el URL son aplicados para el cliente.

  3. Verifique que el DNS correcto esté utilizado. El cliente debe tener la capacidad de resolver los sitios web de Internet y el nombre de host ISE. Usted puede verificar esto vía el nslookup.

  4. Verifique que todos los pasos de las autenticaciones ocurran en el ISE:

    • La autenticación de MAC debe ocurrir primero, a la cual se vuelven los atributos CWA.

    • La autenticación de inicio de sesión porta ocurre.

    • La autorización dinámica ocurre.

    • La autenticación final es una autenticación de MAC que muestra el nombre de usuario porta en el ISE, al cual se vuelven los resultados finales de la autorización (por ejemplo el VLA N y el ACL finales).

Consideraciones especiales para asegurar los escenarios

Considere este bug Cisco ID que limite la eficacia del proceso CWA en un escenario de la movilidad (especialmente cuando considera se configura):

  • CSCuo56780 - Vulnerabilidad del rechazo de servicio del servicio RADIUS ISE

  • CSCul83594 - El ID de sesión no se sincroniza a través de la movilidad, si la red está abierta


Document ID: 115732