ISE-Richtlinien basierend auf SSID-Konfigurationsbeispielen

Einführung

In diesem Dokument wird beschrieben, wie Autorisierungsrichtlinien in der Cisco Identity Services Engine (ISE) konfiguriert werden, um zwischen verschiedenen Service Set Identifiers (SSIDs) zu unterscheiden. Häufig verwenden Unternehmen für verschiedene Zwecke mehrere SSIDs in ihrem Wireless-Netzwerk. Eines der häufigsten Ziele ist die Einrichtung einer Unternehmens-SSID für Mitarbeiter und einer Gast-SSID für Besucher des Unternehmens.

In diesem Leitfaden wird Folgendes vorausgesetzt:

1. Der Wireless LAN Controller (WLC) ist eingerichtet und funktioniert für alle beteiligten SSIDs.

2. Die Authentifizierung funktioniert auf allen SSIDs, die mit der ISE in Verbindung stehen.

Weitere Dokumente dieser Serie

• Zentrale Webauthentifizierung mit einem Konfigurationsbeispiel für einen Switch und eine Identity Services Engine

• Zentrale Webauthentifizierung im Konfigurationsbeispiel für WLC und ISE

• ISE-Gastkonten für RADIUS/802.1x-Authentifizierungskonfigurationsbeispiel

• VPN-Inline-Status mit iPEP ISE und ASA

Voraussetzungen

Anforderungen

Für dieses Dokument bestehen keine speziellen Anforderungen.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

• Wireless LAN Controller Release 7.3.101.0

• Identity Services Engine Version 1.1.2.145

Ältere Versionen verfügen ebenfalls über beide Funktionen.

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).

Konfigurieren

In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.

Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Konfigurationen

In diesem Dokument werden folgende Konfigurationen verwendet:

• Methode 1: Airespace-WLAN-ID

• Methode 2: Angerufene Station-ID

Es sollte jeweils nur eine Konfigurationsmethode verwendet werden. Wenn beide Konfigurationen gleichzeitig implementiert werden, erhöht sich die von der ISE verarbeitete Menge und beeinträchtigt die Lesbarkeit von Regeln. In diesem Dokument werden die Vor- und Nachteile der einzelnen Konfigurationsmethoden beschrieben.

Methode 1: Airespace-WLAN-ID

Jedes im WLC erstellte Wireless Local Area Network (WLAN) verfügt über eine WLAN-ID. Die WLAN-ID wird auf der Seite für die WLAN-Zusammenfassung angezeigt.

Wenn ein Client eine Verbindung mit der SSID herstellt, enthält die RADIUS-Anforderung an die ISE das Attribut "Airespace-WLAN-ID". Dieses einfache Attribut dient dazu, Richtlinienentscheidungen in der ISE zu treffen. Ein Nachteil dieses Attributs besteht darin, dass die WLAN-ID nicht mit einer auf mehrere Controller verteilten SSID übereinstimmt. Wenn dies Ihre Bereitstellung beschreibt, fahren Sie mit Methode 2 fort.

In diesem Fall wird die Airespace-WLAN-ID als Bedingung verwendet. Sie kann als einfache Bedingung (für sich selbst) oder als kombinierte Bedingung (in Verbindung mit einem anderen Attribut) verwendet werden, um das gewünschte Ergebnis zu erzielen. Dieses Dokument behandelt beide Anwendungsfälle. Mit den beiden oben genannten SSIDs können diese beiden Regeln erstellt werden.

A) Gastbenutzer müssen sich bei der Gast-SSID anmelden.

B) Firmenbenutzer müssen der Active Directory (AD)-Gruppe "Domänenbenutzer" angehören und sich bei der Corporate SSID anmelden.

Regel A

Regel A hat nur eine Anforderung, sodass Sie eine einfache Bedingung erstellen können (basierend auf den oben angegebenen Werten):

1. Gehen Sie in der ISE zu Richtlinien > Richtlinienelemente > Bedingungen > Autorisierung > Einfache Bedingungen, und erstellen Sie eine neue Bedingung.

2. Geben Sie im Feld Name einen Bedingungsnamen ein.

3. Geben Sie im Feld Description (Beschreibung) eine Beschreibung ein (optional).

4. Wählen Sie in der Dropdown-Liste Attribute die Option Airespace > Airespace-Wlan-Id—[1].

5. Wählen Sie in der Dropdown-Liste Operator die Option Equals aus.

6. Wählen Sie in der Dropdown-Liste Value (Wert) die Option 2.

7. Klicken Sie auf Speichern.

Regel B

Regel B enthält zwei Anforderungen, sodass Sie eine zusammengesetzte Bedingung erstellen können (auf Basis der oben angegebenen Werte):

1. Gehen Sie in der ISE zu Richtlinien > Richtlinienelemente > Bedingungen > Autorisierung > Kombinierte Bedingungen, und erstellen Sie eine neue Bedingung.

2. Geben Sie im Feld Name einen Bedingungsnamen ein.

3. Geben Sie im Feld Description (Beschreibung) eine Beschreibung ein (optional).

4. Wählen Sie Neue Bedingung erstellen (Erweiterte Option).

5. Wählen Sie in der Dropdown-Liste Attribute die Option Airespace > Airespace-Wlan-Id—[1].

6. Wählen Sie in der Dropdown-Liste Operator die Option Equals aus.

7. Wählen Sie in der Dropdown-Liste Value (Wert) die Option 1.

8. Klicken Sie rechts auf das Gerät, und wählen Sie Attribut/Wert hinzufügen aus.

9. Wählen Sie in der Dropdown-Liste Attribute die Option AD1 > External Groups aus.

10. Wählen Sie in der Dropdown-Liste Operator die Option Equals aus.

11. Wählen Sie aus der Dropdown-Liste Wert die gewünschte Gruppe aus. In diesem Beispiel ist es auf Domain Users festgelegt.

12. Klicken Sie auf Speichern.

Hinweis: In diesem Dokument werden einfache Autorisierungsprofile verwendet, die unter Richtlinien > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile konfiguriert wurden. Sie sind auf "Access Permit" (Zugriff zulassen) gesetzt, können jedoch an die Anforderungen Ihrer Bereitstellung angepasst werden.

Nachdem wir die Bedingungen haben, können wir sie auf eine Autorisierungsrichtlinie anwenden. Gehen Sie zu Richtlinien > Autorisierung. Legen Sie fest, wo die Regel in die Liste eingefügt oder die vorhandene Regel bearbeitet werden soll.

Gastregel

1. Klicken Sie auf den Abwärtspfeil rechts neben einer vorhandenen Regel, und wählen Sie Neue Regel einfügen aus.

2. Geben Sie einen Namen für die Gastregel ein, und lassen Sie das Feld Identitätsgruppen auf Any (Beliebig) festlegen.

3. Klicken Sie unter Bedingungen auf das Pluszeichen, und klicken Sie auf Vorhandene Bedingung aus Bibliothek auswählen.

4. Wählen Sie unter Bedingungsname die Option Einfache Bedingung > GastSSID aus.

5. Wählen Sie unter Berechtigungen das entsprechende Autorisierungsprofil für Gastbenutzer aus.

6. Klicken Sie auf Fertig.

Unternehmensregel

1. Klicken Sie auf den Abwärtspfeil rechts neben einer vorhandenen Regel, und wählen Sie Neue Regel einfügen aus.

2. Geben Sie einen Namen für Ihre Unternehmensregel ein, und lassen Sie das Feld für Identitätsgruppen auf Any (Beliebig) festgelegt.

3. Klicken Sie unter Bedingungen auf das Pluszeichen, und klicken Sie auf Vorhandene Bedingung aus Bibliothek auswählen.

4. Wählen Sie unter Bedingungsname die Option Compound Condition > CorporateSSID aus.

5. Wählen Sie unter Berechtigungen das entsprechende Autorisierungsprofil für Ihre Firmenbenutzer aus.

6. Klicken Sie auf Fertig.

Hinweis: Bis Sie unten in der Richtlinienliste auf Speichern klicken, werden keine Änderungen, die auf diesem Bildschirm vorgenommen werden, auf Ihre Bereitstellung angewendet.

Methode 2: Angerufene Station-ID

Der WLC kann so konfiguriert werden, dass er den SSID-Namen im RADIUS Called-Station-ID-Attribut sendet, das wiederum als Bedingung für die ISE verwendet werden kann. Der Vorteil dieses Attributs besteht darin, dass es unabhängig davon verwendet werden kann, auf welche WLAN-ID im WLC festgelegt ist. Standardmäßig sendet der WLC die SSID nicht im Attribut "Called-Station-ID". Um diese Funktion auf dem WLC zu aktivieren, gehen Sie zu Security > AAA > RADIUS > Authentication, und legen Sie für Call Station ID Type (ID-Typ der Anrufstation) AP MAC Address (MAC-Adresse:SSID) fest. Hierdurch wird das Format der Called-Station-ID auf <MAC des AP festgelegt, mit dem der Benutzer eine Verbindung herstellt>:<SSID-Name>.

Auf der Übersichtsseite zum WLAN können Sie sehen, welcher SSID-Name gesendet wird.

Da das Attribut "Called-Station-Id" auch die MAC-Adresse des Access Points enthält, wird ein Regular Expression (REGEX) verwendet, um dem SSID-Namen in der ISE-Richtlinie zu entsprechen. Der Operator 'Matches' in der Bedingungskonfiguration kann ein REGEX aus dem Feld Wert lesen.

Beispiele für REGEX

'Starts with' - use the REGEX value of ^(Acme).* - Diese Bedingung wird als CERTIFICATE:Organization MATCHES 'Acme' (jede Übereinstimmung mit einer Bedingung, die mit "Acme" beginnt) konfiguriert.

'Ends with' - use the REGEX value of .*(mktg)$ - this condition is configured as CERTIFICATE:Organization MATCHES 'mktg' (any match with a condition that end with "mktg").

'Contains' - verwenden Sie z. B. den REGEX-Wert von .*(1234).* - diese Bedingung ist als ZERTIFIKAT konfiguriert:Organisation stimmt mit '1234' überein (jede Übereinstimmung mit einer Bedingung, die "1234" enthält, z. B. Eng1234, 134 Dev und p1234Mktg).

'Startet nicht mit' - verwenden Sie z. B. den REGEX-Wert von ^(?!LDAP).* - diese Bedingung ist als CERTIFICATE konfiguriert:Organisation STIMMT 'LDAP' zu (jede Übereinstimmung mit einer Bedingung, die nicht mit "LDAP" beginnt, wie usLDAP oder CorpLDAPmktg).

Die Angerufene-Station-ID endet mit dem SSID-Namen. Das in diesem Beispiel zu verwendende REGEX lautet daher .*(:<SSID NAME>)$. Berücksichtigen Sie dies bei der Konfiguration.

Mit den beiden oben genannten SSIDs können Sie zwei Regeln mit den folgenden Anforderungen erstellen:

A) Gastbenutzer müssen sich bei der Gast-SSID anmelden.

B) Unternehmensbenutzer müssen der AD-Gruppe "Domänenbenutzer" angehören und sich bei der Corporate SSID anmelden.

Regel A

Regel A hat nur eine Anforderung, sodass Sie eine einfache Bedingung erstellen können (basierend auf den oben angegebenen Werten):

1. Gehen Sie in der ISE zu Richtlinien > Richtlinienelemente > Bedingungen > Autorisierung > Einfache Bedingungen, und erstellen Sie eine neue Bedingung.

2. Geben Sie im Feld Name einen Bedingungsnamen ein.

3. Geben Sie im Feld Description (Beschreibung) eine Beschreibung ein (optional).

4. Wählen Sie in der Dropdown-Liste Attribute die Option Radius -> Called-Station-ID -[30].

5. Wählen Sie in der Dropdown-Liste Operator die Option Matches (Übereinstimmungen) aus.

6. Wählen Sie aus der Dropdown-Liste Value die Option .*(:Guest)$. Dabei wird zwischen Groß- und Kleinschreibung unterschieden.

7. Klicken Sie auf Speichern.

Regel B

Regel B enthält zwei Anforderungen, sodass Sie eine zusammengesetzte Bedingung erstellen können (auf Basis der oben angegebenen Werte):

1. Gehen Sie in der ISE zu Richtlinien > Richtlinienelemente > Bedingungen > Autorisierung > Kombinierte Bedingungen, und erstellen Sie eine neue Bedingung.

2. Geben Sie im Feld Name einen Bedingungsnamen ein.

3. Geben Sie im Feld Description (Beschreibung) eine Beschreibung ein (optional).

4. Wählen Sie Neue Bedingung erstellen (Erweiterte Option).

5. Wählen Sie in der Dropdown-Liste Attribute die Option Radius -> Called-Station-Id—[30].

6. Wählen Sie in der Dropdown-Liste Operator die Option Matches (Übereinstimmungen) aus.

7. Wählen Sie aus der Dropdown-Liste Value (Wert) die Option .*(:Corporate)$. Dabei wird zwischen Groß- und Kleinschreibung unterschieden.

8. Klicken Sie rechts auf das Gerät, und wählen Sie Attribut/Wert hinzufügen aus.

9. Wählen Sie in der Dropdown-Liste Attribute die Option AD1 > External Groups aus.

10. Wählen Sie in der Dropdown-Liste Operator die Option Equals aus.

11. Wählen Sie aus der Dropdown-Liste Wert die gewünschte Gruppe aus. In diesem Beispiel ist es auf Domain Users festgelegt.

12. Klicken Sie auf Speichern.

Hinweis: In diesem Dokument werden einfache Autorisierungsprofile verwendet, die unter Richtlinien > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile konfiguriert wurden. Sie sind auf "Access Permit" (Zugriff zulassen) gesetzt, können jedoch an die Anforderungen Ihrer Bereitstellung angepasst werden.

Nachdem die Bedingungen konfiguriert sind, wenden Sie sie auf eine Autorisierungsrichtlinie an. Gehen Sie zu Richtlinien > Autorisierung. Legen Sie die Regel an der gewünschten Stelle in die Liste ein, oder bearbeiten Sie eine vorhandene Regel.

Gastregel

1. Klicken Sie auf den Abwärtspfeil rechts neben einer bestehenden Regel, und wählen Sie Neue Regel einfügen aus.

2. Geben Sie einen Namen für die Gastregel ein, und lassen Sie das Feld Identitätsgruppen auf Any (Beliebig) festlegen.

3. Klicken Sie unter Bedingungen auf das Pluszeichen, und klicken Sie auf Vorhandene Bedingung aus Bibliothek auswählen.

4. Wählen Sie unter Bedingungsname die Option Einfache Bedingung > GastSSID aus.

5. Wählen Sie unter Berechtigungen das entsprechende Autorisierungsprofil für Gastbenutzer aus.

6. Klicken Sie auf Fertig.

Unternehmensregel

1. Klicken Sie auf den Abwärtspfeil rechts neben einer bestehenden Regel, und wählen Sie Neue Regel einfügen aus.

2. Geben Sie einen Namen für Ihre Unternehmensregel ein, und lassen Sie das Feld für Identitätsgruppen auf Any (Beliebig) festgelegt.

3. Klicken Sie unter Bedingungen auf das Pluszeichen, und klicken Sie auf Vorhandene Bedingung aus Bibliothek auswählen.

4. Wählen Sie unter Bedingungsname die Option Compound Condition > CorporateSSID aus.

5. Wählen Sie unter Berechtigungen das entsprechende Autorisierungsprofil für Ihre Firmenbenutzer aus.

6. Klicken Sie auf Fertig.

7. Klicken Sie unten in der Richtlinienliste auf Speichern.

Hinweis: Bis Sie unten in der Richtlinienliste auf Speichern klicken, werden keine Änderungen, die auf diesem Bildschirm vorgenommen werden, auf Ihre Bereitstellung angewendet.

Überprüfen

Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.

Fehlerbehebung

Dieser Abschnitt enthält Informationen zur Fehlerbehebung in Ihrer Konfiguration.

Um herauszufinden, ob die Richtlinie ordnungsgemäß erstellt wurde und um sicherzustellen, dass die ISE die richtigen Attribute erhält, überprüfen Sie den detaillierten Authentifizierungsbericht für eine vergebene oder fehlgeschlagene Authentifizierung des Benutzers. Wählen Sie Operations > Authentications (Vorgänge > Authentifizierungen) aus, und klicken Sie dann auf das Details-Symbol für eine Authentifizierung.

Überprüfen Sie zunächst die Authentifizierungsübersicht. Dies zeigt die Grundlagen der Authentifizierung, einschließlich des Autorisierungsprofils, das dem Benutzer bereitgestellt wurde.

Wenn die Richtlinie falsch ist, zeigen die Authentifizierungsdetails an, welche Airespace-WLAN-ID und welche Called-Station-ID vom WLC gesendet wurde. Passen Sie Ihre Regeln entsprechend an. Die Übereinstimmungsregel für die Autorisierungsrichtlinie bestätigt, ob die Authentifizierung mit Ihrer beabsichtigten Regel übereinstimmt.

Diese Regeln sind in der Regel falsch konfiguriert. Um das Konfigurationsproblem aufzudecken, müssen Sie die Regel mit den Angaben in den Authentifizierungsdetails abgleichen. Wenn die Attribute im Feld Andere Attribute nicht angezeigt werden, stellen Sie sicher, dass der WLC korrekt konfiguriert ist.

Zugehörige Informationen

• Technischer Support und Dokumentation - Cisco Systems

Revision History