Безопасность : Платформа Cisco Identity Services Engine

Центральная веб-аутентификация с AP FlexConnect на WLC с Примером конфигурации ISE

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как настроить центральную веб-аутентификацию с точками доступа FlexConnect (AP) на Контроллере беспроводной локальной сети (WLC) с платформой Identity Services Engine (ISE) в режиме локального коммутатора.

Внесенный Николасом Дарчисом, специалистом службы технической поддержки Cisco.

ВАЖНОЕ ПРИМЕЧАНИЕ: В это время локальная проверка подлинности на FlexAPs не поддерживается для этого сценария.

Другие Документы в этой Серии

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Платформа Cisco Identity Services Engine (ISE), выпуск 1.2.1
  • Программное обеспечение контроллера беспроводной локальной сети, окончательный релиз - 7.4.100.0

Настройка

Существуют несколька способов для настройки центральной веб-аутентификации на Контроллере беспроводной локальной сети (WLC). Первый метод является локальной web-аутентификацией, в которой WLC перенаправляет трафик HTTP к внутреннему или внешнему серверу, где пользователю предлагают подтвердить подлинность. WLC тогда выбирает учетные данные (переданный обратно через HTTP-запрос GET в случае внешнего сервера) и делает Проверку подлинности RADIUS. В случае гостя требуется внешний сервер (такой как Идентификационный механизм сервиса (ISE) или Гостевой сервер NAC (NGS)), поскольку портал предоставляет функции, такие как регистрация устройства и самоинициализация. Этот процесс включает эти шаги:

  1. Пользователь связывается к SSID web-аутентификации.
  2. Пользователь открывает их браузер.
  3. WLC перенаправляет к гостевому порталу (такому как ISE или НАНОГРАММЫ), как только введен URL.
  4. Пользователь подтверждает подлинность на портале.
  5. Гостевые перенаправления портала назад к WLC с учетными данными ввели.
  6. WLC подтверждает подлинность гостя через RADIUS.
  7. WLC перенаправляет назад к исходному URL.

Этот процесс включает большое перенаправление. Новый подход должен использовать центральную веб-аутентификацию, которая работает с ISE (версии позже, чем 1.1) и WLC (версии позже, чем 7.2). Этот процесс включает эти шаги:

  1. Пользователь связывается к SSID web-аутентификации.
  2. Пользователь открывает их браузер.
  3. WLC перенаправляет к гостевому порталу.
  4. Пользователь подтверждает подлинность на портале.
  5. ISE передает Изменение RADIUS Авторизации (CoA - порт UDP 1700), чтобы указать к контроллеру, что пользователь допустим и в конечном счете выдвигает атрибуты RADIUS, такие как Список контроля доступа (ACL).
  6. Пользователю предлагают повторить исходный URL.

В этом разделе описываются шаги, необходимые для настройки центральной веб-аутентификации на WLC и ISE.

Схема сети

Данная конфигурация использует следующую настройку сети:

Настройка WLC

Конфигурация WLC является довольно прямой. "Прием? используется (то же в качестве на коммутаторах) для получения динамического URL аутентификации из ISE. (Так как это использует CoA, сеанс должен быть создан, поскольку идентификатор сеанса является частью URL.) SSID настроен для использования фильтрации по MAC-адресам, и ISE настроен для возврата сообщения Access-Accept, даже если MAC-адрес не найден так, чтобы это передало URL перенаправления за всеми пользователями. 

Кроме того, Network Admission Control (NAC) RADIUS и Замена AAA должны быть включены. NAC RADIUS позволяет ISE отправлять запрос CoA, который указывает, что пользователь теперь заверен и в состоянии обратиться к сети. Это также используется для оценки положения, в которой ISE изменяет профиль пользователя на основе результата положения.

  1. Гарантируйте, что сервер RADIUS имеет RFC3576 (CoA), включил, который является по умолчанию.



  2. Создайте новый WLAN. Данный пример создает новый WLAN под названием CWAFlex и назначает его на vlan33. (Обратите внимание на то, что это не будет иметь большого количества эффекта, так как точка доступа находится в режиме локального коммутатора.)



  3. На Вкладке Безопасность включите фильтрацию по MAC-адресам как безопасность уровня 2.



  4. На вкладке Уровня 3 гарантируйте, что отключена безопасность. (Если web-аутентификация включена на Уровне 3, локальная web-аутентификация включена, не центральная веб-аутентификация.)



  5. На вкладке AAA Servers выберите сервер ISE как сервер RADIUS для WLAN. Дополнительно, можно выбрать его для учета для имения более подробной информации о ISE.



  6.  На Вкладке Дополнительно убедитесь, Позволяют, что Замена AAA проверена, и NAC Радиуса выбран для Состояния NAC.



  7. Создайте ACL перенаправления.

    На ThisACL ссылаются в сообщении Access-Accept theISE и определяет, какой трафик должен быть перенаправлен (запрещенный theACL), а также какой трафик не должен быть перенаправлен (разрешенный theACL). В основном к/от DNS и трафика theISE должен быть разрешен.

    Примечание: Проблема с AP FlexConnect - то, что необходимо создать FlexConnect ACL, отдельный от обычного ACL. Эта проблема задокументирована в ошибку Cisco CSCue68065 и устранена в Выпуске 7.5. В WLC 7.5 и позже, требуется только FlexACL, и никакой стандартный ACL не необходим. WLC ожидает, что ACL перенаправления, возвращенный ISE, является обычным ACL. Однако для обеспечения это работает, вы требуете того же ACL, примененного как FlexConnect ACL.


    Данный пример показывает, как создать FlexConnect ACL, названный flexred:



    1. Создайте правила разрешить трафик DNS, а также трафик к ISE и запретить остальных.


      Если вы хотите максимальную безопасность, можно разрешить только порт 8443 к ISE. (Если положение, необходимо добавить типичные порты положения, такой как 8905,8906,8909,8910.)

    2. (Только на коде перед Версией 7.5 из-за CSCue68065), Выбирают Security> Access Control Lists для создания идентичного ACL с тем же названием.



    3. Подготовьте определенный FlexConnect AP. Обратите внимание на то, что для больших развертываний, вы, как правило, использовали бы группы FlexConnect и не выполняли бы эти элементы на основе на AP для причин масштабируемости.

      1. Нажмите Wireless и выберите определенную точку доступа.
      2. Нажмите вкладку FlexConnect и нажмите External Webauthentication ACLs. (До версии 7.4 эту опцию назвали веб-политикой.)



      3. Добавьте ACL (названный flexred в данном примере) к веб-области политики. Это предварительно выдвигает ACL к точке доступа. Это еще не применено, но содержание ACL дано AP так, чтобы это могло примениться при необходимости.


Конфигурация WLC теперь завершена.

Конфигурация ISE

Создайте профиль авторизации


Выполните эти шаги для создания профиля авторизации:

  1. Нажмите Policy, и затем нажмите Policy Elements.

  2. Нажмите Results.

  3. Разверните Авторизацию, и затем нажмите профиль Authorization.

  4. Нажмите кнопку Add для создания нового профиля авторизации для центрального webauth.

  5. В Поле имени введите имя для профиля. Данный пример использует CentralWebauth.

  6. Выберите ACCESS_ACCEPT из выпадающего списка Типа доступа.

  7. Проверьте флажок Web Authentication и выберите Centralized Web Auth из выпадающего списка.

  8. В поле ACL введите имя ACL на WLC, который определяет трафик, который будет перенаправлен. Данные примеры используют flexred.

  9. Выберите Default из выпадающего списка Перенаправления.

Атрибут Перенаправления определяет, видит ли ISE портал веб-страницы по умолчанию или пользовательский веб-портал, который создал admin ISE. Например, flexred ACL в данном примере вызывает перенаправление после трафика HTTP от клиента к где угодно.

Создайте опознавательное правило


Выполните эти шаги для использования опознавательного профиля для создания опознавательного правила:

  1. В соответствии с меню Policy, нажмите Authentication.

    Этот образ показывает пример того, как настроить правило политики аутентификации. В данном примере правило настроено, который вызовет, когда будет обнаружена фильтрация по MAC-адресам.

  2. Введите имя для опознавательного правила. Данный пример использует беспроводного mab.
  3. Выберите плюс (+) значок в Если поле условия.
  4. Выберите условие Compound, и затем выберите Wireless_MAB.
  5. Выберите "Default network access" в качестве разрешенного протокола.
  6. Нажмите стрелку, расположенную рядом с и... для расширения правила далее.
  7. Нажмите + значок в Идентификационном поле Source и выберите Internal endpoints.
  8. Выберите Continue из Если пользователь, не найденный выпадающим списком. 

Эта опция позволяет устройству быть заверенным (через webauth), даже если не известен его MAC-адрес. Клиенты Dot1x могут все еще подтвердить подлинность с их учетными данными и не должны быть обеспокоены этой конфигурацией.

Создайте правило авторизации

Существует теперь несколько правил настроить в политике авторизации. Когда ПК будет привязан, он пройдет через фильтрование Mac; предполагается то, что MAC-адрес не известен, таким образом, возвращены webauth и ACL. Этот MAC не известное правило показывают в образе ниже и настраивают в этом разделе.

 

Выполните эти шаги для создания правила авторизации:

  1. Создайте новое правило и введите имя. Данный пример использует MAC, не известный.

  2. Нажмите плюс (+) значок в поле условия и примите решение создать новое условие.

  3. Разверните выпадающий список выражения.

  4. Выберите Доступ к сети и разверните его.

  5. Нажмите AuthenticationStatus и выберите оператор Equals.

  6. Выберите UnknownUser в правом поле.

  7. На странице General Authorization выберите CentralWebauth (Authorization Profile) в поле направо от слова тогда.

    Этот шаг позволяет ISE продолжаться даже при том, что не известен пользователь (или MAC).

    Неизвестным пользователям теперь предоставляют Страницу входа. Однако, как только они вводят свои учетные данные, они представлены снова с запросом аутентификации на ISE; поэтому, другое правило должно быть настроено с условием, которое соблюдают, если пользователь является гостем. В данном примере, Если UseridentityGroup равняется Гостю, используется, и предполагается что все гости принадлежат этой группе.

  8. Нажмите кнопку действий, расположенную в конце MAC не известное правило, и примите решение вставить новое правило выше.

    Примечание: Очень важно, чтобы это новое правило прибыло перед MAC не известное правило.

  9. Введите 2-й AUTH в поле имени.

  10. Выберите идентификационную группу как условие. Данный пример выбрал Guest.

  11. В поле условия нажмите плюс (+) значок и примите решение создать новое условие.

  12. Выберите Network Access и нажмите UseCase.

  13. Выберите Equals в качестве оператора.

  14. Выберите GuestFlow в качестве правильного операнда. Это означает ловлю пользователей, которые просто вошли на веб-странице, и возвратитесь после Изменения Авторизации (гостевая часть потока правила) и только если они принадлежат гостевой идентификационной группе.

  15. На странице авторизации нажмите плюс (+) значок (расположенный рядом с тогда) для выбора результата для правила.

    В данном примере назначен предварительно сконфигурированный профиль (vlan34); эту конфигурацию не показывают в этом документе.

    Можно выбрать опцию Permit Access или создать пользовательский профиль для возврата VLAN или атрибутов, которые вы любите.

ВАЖНОЕ ПРИМЕЧАНИЕ: В ISE Version1.3, в зависимости от типа web-аутентификации с "Гостевым вариантом использования" Потока нельзя было бы встретиться больше. Правило авторизации должно было бы тогда содержать гостевого usergroup как единственное возможное условие. 

Включите обновление IP (Необязательно)


При присвоении VLAN заключительный шаг для клиентского компьютера для возобновления его IP-адреса. Этот шаг достигнут гостевым порталом для Windows - клиентов. Если вы сделали "not set", VLAN для 2-го AUTH управляет ранее, можно пропустить этот шаг.

Обратите внимание на то, что на AP FlexConnect, VLAN должна существовать ранее на самом AP. Поэтому, если это не делает, можно создать сопоставление ACL VLAN на самом AP или на гибкой группе, где вы не применяете ACL для новой VLAN, вы хотите создать. Это фактически создает VLAN (без ACL на нем).

При присвоении VLAN выполните эти шаги для включения обновления IP:

  1. Нажмите Administration, и затем нажмите Guest Management.

  2. Нажмите Settings.

  3. Разверните Гостя, и затем разверните Мультипортала Конфигурацию.

  4. Нажмите DefaultGuestPortal или название пользовательского портала, который вы, возможно, создали.

  5. Нажмите флажок Vlan DHCP Release.

    Примечание: Эта опция работает только для Windows - клиентов.

 

Трафик

Может казаться трудным понять, какой трафик передается где в этом сценарии. Вот быстрый анализ:

  • Клиент отправляет запрос ассоциации по воздуху для SSID.
  • WLC обрабатывает аутентификацию фильтрации по MAC-адресам через ISE (где это получает атрибуты перенаправления).
  • Клиент только получает ответ помощника после того, как фильтрация по MAC-адресам будет завершена.
  • Клиент отправляет запрос DHCP, и это ЛОКАЛЬНО коммутировано точкой доступа чтобы к obain IP-адрес удаленного сайта.
  • В состоянии Central_webauth трафик, отмеченный для, запрещает на ACL перенаправления (так HTTP, как правило,), ЦЕНТРАЛЬНЫМ ОБРАЗОМ коммутирован. Таким образом, это не AP, который делает перенаправление, но WLC; например, когда клиент просит любой веб-сайт, AP передает это к WLC, инкапсулировавшему в CAPWAP, и WLC имитирует тот IP-адрес веб-сайта и перенаправления к ISE.
  • Клиент перенаправлен к URL перенаправления ISE. Это ЛОКАЛЬНО коммутировано снова (потому что это совершает нападки на разрешении на гибком ACL перенаправления).
  • Один раз в состоянии ВЫПОЛНЕНИЯ, трафик локально коммутирован.

Проверка.

Как только пользователь привязан к SSID, авторизация отображена на странице ISE.

От восходящего вы видите, что MAC-адрес фильтрует аутентификацию, которая возвращает атрибуты CWA. Затем портала вход в систему с именем пользователя. ISE тогда передает CoA к WLC, и последняя аутентификация является уровнем 2 аутентификация фильтрования Mac на стороне WLC, но ISE помнит клиент и имя пользователя и применяет необходимую VLAN, которую мы настроили в данном примере.

Когда любой адрес открыт у клиента, браузер перенаправлен к ISE. Гарантируйте, что Система доменных имен (DNS) настроена правильно.

Доступ к сети предоставляют после того, как пользователь принимает политику.

На контроллере, Менеджер Политики состояние и изменения состояния NAC RADIUS от POSTURE_REQD для ВЫПОЛНЕНИЯ.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.