Seguridad : Cisco Identity Services Engine

Autenticación Web central en el ejemplo de configuración del WLC y ISE

31 Julio 2013 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (2 Enero 2014) | Comentarios

ID del Documento: 115732

Actualizado: De julio el 11 de 2013

Contribuido por Nicolás Darchis, ingeniero de Cisco TAC.

   Imprimir

Introducción

Este documento describe los métodos múltiples para completar la autenticación Web central en el regulador del Wireless LAN (WLC).

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Software Release 1.1.1.268 del Cisco Identity Services Engine
  • Software Release 7.2.110.0 del Controlador de LAN de la Red Inalámbrica Cisco

Configurar

El primer método es autenticación Web local. En este caso, el WLC reorienta el tráfico HTTP a un interno o a un servidor externo donde se indica al usuario que autentique. El WLC después trae las credenciales (devueltas vía una petición get HTTP en el caso del servidor externo) y hace una autenticación de RADIUS. En el caso de un Usuario invitado, un servidor externo (tal como servidor del Identity Services Engine (ISE) o del invitado del NAC (NG)) se requiere mientras que el portal proporciona las características tales como registro y uno mismo-aprovisionamiento del dispositivo. El flujo incluye estos pasos:

  1. Los socios del usuario al Service Set Identifier (SSID) de la autenticación Web.
  2. El usuario abre a su navegador.
  3. El WLC reorienta al portal del invitado (tal como ISE o NG) tan pronto como se ingrese un URL.
  4. El usuario autentica en el portal.
  5. El portal del invitado reorienta de nuevo al WLC con las credenciales ingresadas.
  6. El WLC autentica al Usuario invitado vía el RADIUS.
  7. El WLC reorienta de nuevo al URL original.

Esto incluye mucho cambio de dirección. El nuevo acercamiento es utilizar la autenticación Web central. Esto trabaja con ISE (versiones más adelante de 1,1) y el WLC (versiones más adelante de 7,2). El flujo incluye estos pasos:

  1. Los socios del usuario a la autenticación Web SSID.
  2. El usuario abre a su navegador.
  3. El WLC reorienta al portal del invitado.
  4. El usuario autentica en el portal.
  5. El ISE envía un cambio RADIUS de la autorización (CoA - el puerto 3799 UDP) de indicar al regulador que el usuario es válido, y avanza eventual los atributos de RADIUS tales como la lista de control de acceso (ACL).
  6. Se indica al usuario que revise el URL original.

La configuración usada es:

Configuración del WLC

La configuración del WLC es bastante directa. Un “truco” se utiliza (lo mismo que en el Switches) para obtener la autenticación dinámica URL del ISE (puesto que utiliza el cambio de la autorización (CoA), una sesión necesita ser creada y el ID de sesión es parte del URL). El SSID se configura para utilizar la filtración MAC. El ISE se configura para volver un access-accept incluso si la dirección MAC no se encuentra, de modo que envíe el cambio de dirección URL para todos los usuarios. 

Además de esto, el Network Admission Control (NAC) RADIUS y la invalidación del Authentication, Authorization, and Accounting (AAA) deben ser habilitados. El NAC RADIUS permite que el ISE envíe una petición CoA que indique ahora autentican al usuario y puede acceder la red. También se utiliza para la evaluación de la postura, en este caso el ISE cambia el perfil del usuario basado en el resultado de la postura.

Asegúrese de que el servidor de RADIUS haga el RFC3576 (CoA) habilitar, que está por abandono.

El último paso es crear una reorientación ACL. Este ACL se refiere al access-accept del ISE y define qué tráfico debe ser reorientado (negado por el ACL) y qué tráfico no debe ser reorientado (permitido por el ACL). Básicamente, el DNS y el tráfico a/desde el ISE necesita ser permitido.

La configuración es completa ahora en el WLC.

Configuración ISE

En el ISE, el perfil de la autorización debe ser creado. Entonces, se configura la autenticación y autorización. El WLC se debe configurar ya como dispositivo de red.

En el perfil de la autorización, ingrese el nombre del ACL creado anterior en el WLC.

Asegúrese que el ISE valide todas las autenticaciones de MAC del WLC y que vuelva el perfil.

Utilice la condición inalámbrica incorporada de puente de la autenticación de MAC (MAB), que hace juego:

  • Radio: Tipo de servicio: Control de la llamada (control de la llamada del uso de la autorización del mac en el WLC y el Switches)
  • Radio: NAS-Puerto-tipo: Tecnología inalámbrica - IEEE 802.11

Configure la autorización. Un asunto importante a entender es que hay dos autenticaciones/autorizaciones:

  • El primer es cuando el usuario se asocia al SSID y cuando se vuelve el perfil central de la autenticación Web.
  • El segundo es cuando el usuario autentica en el portal web. Éste hace juego la regla predeterminada (usuarios internos) en esta configuración (puede ser configurado para cumplir sus requisitos). Es importante que la pieza de la autorización no hace juego el perfil central de la autenticación Web otra vez. Si no, habrá un loop del cambio de dirección. Acceso a la red del atributo “: El flujo del invitado de los iguales de UseCase” se puede utilizar para hacer juego esta segunda autenticación. El resultado parece esto:

Escenario Ancla-no nativo

Esta configuración puede también trabajar con la característica del auto-ancla del WLCs. La única captura es ésa puesto que este método de autenticación Web es la capa 2, usted tiene que ser consciente que será el WLC no nativo que hace todo el trabajo RADIUS. Solamente el WLC no nativo entra en contacto el ISE y el cambio de dirección ACL debe estar presente también en el WLC no nativo.

Apenas como en otros escenarios, el WLC no nativo muestra rápidamente al cliente para estar en el estado del “FUNCIONAMIENTO” cuál no es totalmente verdad. Apenas significa que el tráfico está enviado al ancla de allí encendido. El estado del cliente “real” puede ser considerado en el ancla donde debe visualizar “CENTRAL_WEBAUTH_REQD”.

Observe que la configuración ancla-no nativa con CWA trabaja solamente en la versión 7,3 o más adelante.

Verificación

Una vez que asocian al usuario al SSID, la autorización se visualiza en la página ISE.

Los detalles del cliente en el WLC muestran que el cambio de dirección URL y ACL es aplicado.

Ahora en que cualquier direccionamiento se abre en el cliente, reorientan al navegador al ISE. Asegúrese que el Domain Name System (DNS) esté configurado correctamente.

Se concede el acceso a la red después de que el usuario valide las directivas.

Tal y como se muestra en del ejemplo ISE, la autenticación, el cambio de la autorización, y el perfil aplicado es permitAccess.

En el regulador, el estado del Administrador de directivas y los cambios de estado del NAC RADIUS de “POSTURE_REQD” “A EJECUTARSE”.

Observe eso en la versión 7,3 o más adelante, el estado no se llama “POSTURE_RED” más, sino ahora se llama “CENTRAL_WEBAUTH_REQD”.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Actualizado: De julio el 11 de 2013
ID del Documento: 115732

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 115732