Безопасность : Платформа Cisco Identity Services Engine

Центральная web-аутентификация на WLC и Примере конфигурации ISE

30 июля 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (2 января 2014) | Отзыв

ID документа: 115732

Обновлено 11 июля 2013

Внесенный Николасом Дарчисом, специалистом службы технической поддержки Cisco.

Введение

Этот документ описывает несколька способов для завершения центральной web-аутентификации на контроллере беспроводных LAN (WLC).

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Релиз программного обеспечения для engine Cisco Identity Services 1.1.1.268
  • Выпуск ПО Контроллера беспроводной локальной сети Cisco 7.2.110.0

Настройка

Первый метод является локальной web-аутентификацией. В этом случае WLC перенаправляет трафик HTTP к внутреннему или внешнему серверу, где пользователь побужден для аутентификации. WLC тогда выбирает учетные данные (отосланный назад через HTTP-запрос GET в случае внешнего сервера) и делает Проверку подлинности RADIUS. В случае гостя требуется внешний сервер (такой как Механизм Identity Services (ISE) или Гостевой сервер NAC (NGS)), поскольку портал предоставляет функции, такие как регистрация устройства и самоинициализация. Поток включает эти шаги:

  1. Пользователь связывается к Service Set Identifier web-аутентификации (SSID).
  2. Пользователь открывает их браузер.
  3. WLC перенаправляет к гостевому порталу (такому как ISE или НАНОГРАММЫ), как только введен URL.
  4. Пользователь подтверждает подлинность на портале.
  5. Гостевые перенаправления портала назад к WLC с учетными данными ввели.
  6. WLC подтверждает подлинность гостя через RADIUS.
  7. WLC перенаправляет назад к исходному URL.

Это включает большое перенаправление. Новый подход должен использовать центральную web-аутентификацию. Это работает с ISE (версии позже, чем 1.1) и WLC (версии позже, чем 7.2). Поток включает эти шаги:

  1. Пользователь связывается к SSID web-аутентификации.
  2. Пользователь открывает их браузер.
  3. WLC перенаправляет к гостевому порталу.
  4. Пользователь подтверждает подлинность на портале.
  5. Передачи ISE, которые RADIUS Изменяет Авторизации (CoA - порт UDP 3799), чтобы указать к контроллеру, что пользователь допустим, и в конечном счете выдвигает атрибуты RADIUS-сервера, такие как Список управления доступом (ACL).
  6. Пользователь побужден для повторения исходного URL.

Используемая настройка:

Настройка WLC

Конфигурация WLC является довольно прямой. "Прием" используется (то же как на коммутаторах) для получения динамического URL аутентификации из ISE (так как это использует Замену авторизации (CoA), сеанс должен быть создан, и идентификатор сеанса является частью URL). SSID настроен для использования фильтрации по MAC-адресам. ISE настроен для возврата access-accept, даже если MAC-адрес не найден, так, чтобы это передало URL перенаправления за всеми пользователями. 

В дополнение к этому Контролю доступа сети (NAC) RADIUS и Аутентификации, авторизации и учету (AAA) должна быть включена Замена. NAC RADIUS позволяет, что ISE для передачи CoA запрашивает, чтобы это указало, что пользователь теперь заверен и в состоянии обратиться к сети. Это также используется для оценки положения, когда ISE изменяет профиль пользователя на основе результата положения.

Гарантируйте, что сервер RADIUS имеет RFC3576 (CoA) включенный, который является по умолчанию.

Заключительный шаг должен создать ACL перенаправления. На этот ACL ссылаются в access-accept ISE и определяет, какой трафик должен быть перенаправлен (запрещенный ACL) и какой трафик не должен быть перенаправлен (разрешенный ACL). В основном к/от DNS и трафика ISE должен быть разрешен.

Конфигурация теперь завершена на WLC.

Конфигурация ISE

На ISE должен быть создан профиль авторизации. Затем, проверка подлинности и авторизация настроена. WLC должен уже быть настроен как сетевое устройство.

В профиле авторизации введите имя ACL, созданного раньше WLC.

Гарантируйте, что ISE принимает все проверки подлинности MAC от WLC и возвращает профиль.

Используйте встроенное беспроводное условие Обхода проверки подлинности MAC (MAB), которое совпадает:

  • Проверка Вызова Radius:Service-Type: (Вызов использования Авторизации Mac Проверяют WLC и коммутаторы),
  • Radius:NAS-Port-Type: беспроводные сети - Спецификация IEEE 802.11

Настройте авторизацию. Одна важная вещь для общих сведений - то, что существует две аутентификации/авторизации:

  • Первое - когда пользователь связывается к SSID и когда возвращен центральный профиль web-аутентификации.
  • Когда пользователь подтверждает подлинность на веб-портале, второе. Эти соответствия стандартное правило (внутренние пользователи) в этой конфигурации (это может быть настроено для соответствия требованиям). Важно, чтобы часть авторизации не совпадала с центральным профилем web-аутентификации снова. В противном случае будет петля перенаправления. Атрибут "Сеть Access:UseCase Равняется Гостевому Потоку", может использоваться для соответствия с этой второй аутентификацией. Результат похож на это:

Внешний привязкой сценарий

Эта настройка может также работать с функцией автопривязки WLC. Единственная выгода - то, что, так как этот метод web-аутентификации является Уровнем 2, необходимо знать, что это будет внешний WLC, который делает весь RADIUS, работают. Только внешние контакты WLC ISE и ACL перенаправления должны присутствовать также на внешнем WLC.

Точно так же, как в других сценариях, внешний WLC быстро показывает клиенту, чтобы быть в "ВЫПОЛНЕННОМ" состоянии, которое не полностью истинно. Это просто означает, что трафик передается привязке оттуда на. "Реальное" состояние клиента может быть замечено на привязке, где это должно отобразить "CENTRAL_WEBAUTH_REQD".

Обратите внимание на то, что внешняя привязкой настройка с CWA только работает в Выпуске 7.3 или позже.

Проверка

Как только пользователь привязан к SSID, авторизация отображена на странице ISE.

Клиентские подробные данные в WLC показывают, что применены URL перенаправления и ACL.

Теперь, когда любой адрес открыт у клиента, браузер перенаправлен к ISE. Гарантируйте, что Система имен домена (DNS) установлена правильно.

Доступ к сети предоставляют после того, как пользователь принимает политику.

Как показано в ISE в качестве примера, аутентификации, изменяются авторизации, и представляют примененный, permitAccess.

На контроллере, Менеджер Политики состояние и изменения состояния NAC RADIUS от "POSTURE_REQD" для "РАБОТАНИЯ".

Обратите внимание на то, что в Выпуске 7.3 или позже, состояние не называют "POSTURE_RED" больше, но теперь названо  "CENTRAL_WEBAUTH_REQD".

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении неполадок.

Обновлено 11 июля 2013
ID документа: 115732

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 115732