Ejemplo de Configuración de Autenticación Web Central en el WLC y el ISE

Introducción

Este documento describe un ejemplo de configuración que se utiliza para completar la autenticación Web central (CWA) en el controlador de LAN inalámbrica (WLC).

Se sustituye por la guía de implementación para invitados más completa disponible aquí: https://communities.cisco.com/docs/DOC-77590

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco ^® Identity Services Engine (ISE) Software Release 3.0
  
  
• Software Cisco WLC versión 8.3.150.0

Configurar

El primer método de autenticación web es la autenticación web local. En este caso, el WLC redirige el tráfico HTTP a un servidor interno o externo donde se le pide al usuario que autentique. El WLC luego recopila las credenciales (enviadas a través de una solicitud GET HTTP en el caso de un servidor externo) y hace una autenticación RADIUS. En el caso de un usuario invitado, se requiere un servidor externo como Identity Services Engine (ISE), ya que el portal proporciona funciones como el registro de dispositivos y el autoaprovisionamiento. El flujo incluye estos pasos:

1. El usuario se asocia al identificador de conjunto de servicios de autenticación Web (SSID).
   
   
2. El usuario abre el explorador.
   
   
3. El WLC redirige al portal de invitados (como ISE) tan pronto como se ingresa una URL.
   
   
4. El usuario se autentica en el portal.
   
   
5. El portal de invitados redirige al WLC con las credenciales introducidas.
   
   
6. El WLC autentica al usuario invitado a través de RADIUS.
   
   
7. El WLC redirige a la URL original.

Este flujo incluye varias redirecciones. El nuevo enfoque consiste en utilizar el CWA. El flujo incluye estos pasos:

1. El usuario se asocia al SSID de autenticación web, que de hecho está abierto. No hay seguridad de capa 2 y capa 3, solo está habilitado el filtrado de Mac.
   
   
2. El usuario abre el explorador.
   
   
3. El WLC redirige al portal de invitados.
   
   
4. El usuario se autentica en el portal.
   
   
5. El ISE envía un cambio de autorización RADIUS (CoA - UDP Port 1700) para indicar al controlador que el usuario es válido y, finalmente, envía atributos RADIUS como Access Control List (ACL).
   
   
6. Se solicita al usuario que vuelva a intentar la dirección URL original.

La configuración utilizada es:

Configuración de WLC

La configuración del WLC es bastante sencilla. Se utiliza un truco (igual que en los switches) para obtener la URL de autenticación dinámica del ISE (ya que utiliza el Cambio de autorización (CoA), se debe crear una sesión y el ID de sesión es parte de la URL). El SSID se configura para utilizar el filtrado MAC. El ISE se configura para devolver un access-accept incluso si la dirección MAC no se encuentra para que envíe la URL de redirección para todos los usuarios. 

Además, se deben habilitar el control de admisión a la red (NAC) de ISE y la anulación de autenticación, autorización y contabilidad (AAA). El ISE NAC permite al ISE enviar una solicitud de CoA que indica que el usuario ahora está autenticado y puede acceder a la red. También se utiliza para la evaluación del estado, en cuyo caso el ISE cambia el perfil del usuario en función del resultado del estado.

Asegúrese de que el servidor RADIUS tenga Support for CoA enabled, que es de forma predeterminada.

El último paso es crear una ACL de redirección. Se hace referencia a esta ACL en el access-accept del ISE y define qué tráfico se debe redirigir (denegado por la ACL) y qué tráfico no se debe redirigir (permitido por la ACL). Aquí solo evitará redirigir el tráfico hacia ISE. Es posible que desee ser más específico y evitar solamente el tráfico hacia/desde el ISE en el puerto 8443 (portal de invitados), pero aún así redirigir si un usuario intenta acceder al ISE en el puerto 80/443.

Nota: Las versiones anteriores del software del WLC como 7.2 o 7.3 no requerían que especificara Sistema de nombres de dominio (DNS), pero las versiones posteriores del código requieren que se permita el tráfico DNS en esa ACL de redirección.

La configuración ahora está completa en el WLC.

Configuración de ISE

Crear el perfil de autorización

En ISE, se debe crear el perfil de autorización. A continuación, se configuran las políticas de autenticación y autorización. El WLC ya debe configurarse como un dispositivo de red.

En el perfil de autorización, ingrese el nombre de la ACL creada anteriormente en el WLC.

1. Haga clic en Policy y, a continuación, haga clic en Policy Elements.
   
   
2. Haga clic en Resultados.
   
   
3. Expanda Autorización y, a continuación, haga clic en Perfil de autorización.
   
   
4. Haga clic en el botón Add para crear un nuevo perfil de autorización para webauth central.
   
   
5. En el campo Name, ingrese un nombre para el perfil. Este ejemplo utiliza WLC_CWA.
   
   
6. Elija ACCESS_ACCEPT en la lista desplegable Tipo de acceso.
   
   
7. Marque la casilla de verificación Web Redirection y elija Centralized Web Auth en la lista desplegable.
   
   
8. En el campo ACL, introduzca el nombre de la ACL en el switch que define el tráfico que se redirigirá. Este ejemplo utiliza CWA_Redirect.
   
   
9. En el campo valor, se puede elegir Portal de invitado patrocinado o Portal de invitado registrado automáticamente en la lista desplegable. En el portal de invitados patrocinado, los patrocinadores crean cuentas de invitados y los invitados acceden a la red usando su nombre de usuario y contraseña asignados mientras se encuentran en el portal de invitados de registro automático, los invitados pueden crear sus propias cuentas y acceder a la red usando su nombre de usuario y contraseña asignados. En este ejemplo se utiliza el Portal de invitados patrocinado.

Crear una regla de autenticación

Asegúrese de que el ISE acepte todas las autenticaciones MAC del WLC y asegúrese de que persiga la autenticación incluso si no se encuentra al usuario.

En Policy > Policy Set > Default Policy Set, haga clic en Authentication.

La siguiente imagen muestra un ejemplo de cómo configurar la regla de política de autenticación. En este ejemplo, se configura una regla que activa cuando se detecta MAB.

1. Introduzca un nombre para la regla de autenticación. Este ejemplo utiliza MAB, que ya existe de forma predeterminada en ISE.
   
   
2. Seleccione el icono más (+) en el campo de condición.
   
   
3. Desde el Estudio de condiciones, arrastre Wireless_MAB en la ventana Editor y Guardar
   
   
4. Utilice terminales internos.
   
   
5. Haga clic en Opciones y elija Continuar en la lista desplegable Si el usuario no ha encontrado

Nota: La regla de autenticación MAB ya se ha creado en el ISE de forma predeterminada.

Crear una política de autorización

Configure la política de autorización. Un punto importante que hay que comprender es que hay dos autenticaciones/autorizaciones:

• La primera es cuando el usuario se asocia al SSID ("CWA" en este caso) y se devuelve el perfil de CWA.
  En este ejemplo, Airespace-Wlan-Id se utiliza como condición. Cuando un cliente se conecta con el SSID, la solicitud de acceso RADIUS a ISE contiene el atributo Airespace-WLAN-ID. Este atributo se utiliza para tomar decisiones de políticas en ISE. Por lo tanto, cuando un cliente desconocido se conecta a SSID CWA, ISE envía un aceptación de acceso con URL de redirección (portal web) y ACL. El uso de la regla Airespace-Wlan-Id garantiza que la página del portal se presente a los usuarios que sólo se conectan al SSID de CWA. 

• La segunda es cuando el usuario se autentica en el portal web. Esta coincide con la regla predeterminada (usuarios internos) de esta configuración (se puede configurar para cumplir sus requisitos). Es importante que la parte de autorización no coincida de nuevo con el perfil de CWA. De lo contrario, habrá un loop de redirección. El atributo Network Access:UseCase Equals Guest Flow se puede utilizar para hacer coincidir esta segunda autenticación. El resultado es el siguiente:

Complete estos pasos para crear las reglas de autorización como se muestra en las imágenes anteriores:

1. Cree una nueva regla e introduzca un nombre. Este ejemplo utiliza Redirección de invitado.
   
   
2. Haga clic en el icono del lápiz en el campo de condición y cree una nueva condición.
   
   
3. En Editor, haga clic para agregar un atributo.
   
   
4. Elija Radius y expanda.
   
   
5. Haga clic en Radius · Called-Station-ID y elija el operador CONTAINS.
   
   
6. Introduzca la CWA en el campo de la derecha, en este ejemplo 1. 
   
   
7. En la página de autorización general, elija WLC_CWA (perfil de autorización) bajo Resultados.
   
   Este paso permite que el ISE continúe aunque el usuario (o la dirección MAC) no se conozca cuando está conectado al SSID CWA y lo presenta con el portal de inicio de sesión.
   
   
8. Haga clic en el botón Acciones situado al final de la regla Redirección de invitado y elija insertar una nueva regla encima de ella.
   
   

   Nota: Es muy importante que esta nueva regla se aplique antes de la regla Redirección de invitado.

   
   
   
9. Introduzca un nombre para la nueva regla. Este ejemplo utiliza Autenticación del portal de invitados.
   
   
10. En el campo condición, haga clic en el icono del lápiz y elija crear una nueva condición.
    
    
11. Elija Network Access y haga clic en UseCase.
    
    
12. Elija Equals como operador.
    
    
13. Elija GuestFlow como el operando adecuado.
    
    
14. En la página de autorización, haga clic en la opción desplegable en Resultados.
    
    Puede elegir una opción predeterminada PermitAccess Authorization Profile o crear un perfil personalizado para devolver la VLAN o los atributos que desee. Tenga en cuenta que, además de If GuestFlow, puede agregar más condiciones para devolver varios perfiles de autenticación basados en el grupo de usuarios. Como se mencionó en el Paso 7, esta regla de autenticación de portal de invitado coincide con la segunda autenticación de dirección MAC iniciada después del login exitoso del portal y después de que ISE envió una CoA para volver a autenticar el cliente. La diferencia con esta segunda autenticación es que, en lugar de ir a ISE simplemente con su dirección MAC, ISE recuerda el nombre de usuario dado en el portal. Puede hacer que esta regla de autorización tenga en cuenta las credenciales introducidas unos milisegundos antes en el portal de invitados.

Nota: En un entorno multicontrolador, el WLAN-ID debe ser el mismo a través de los WLC. Si no se desea utilizar el atributo Airespace-Wlan-Id como condición, es mejor hacer coincidir las solicitudes Wireless_MAB (condición integrada). 

Habilitar la renovación de IP (opcional - no recomendado)

Si asigna una VLAN, el paso final es que la PC cliente renueve su dirección IP. Este paso se logra mediante el portal de invitados para clientes de Windows. Si no configuró una VLAN para la segunda regla AUTH antes, puede saltarse este paso. Este no es un diseño recomendado ya que cambiar la VLAN del cliente después de que ya haya obtenido una dirección IP interrumpirá la conectividad, algunos clientes podrían reaccionar erróneamente a ella y requiere privilegios elevados de Windows para funcionar correctamente.

Si asignó una VLAN, complete estos pasos para habilitar la renovación de IP:

1. Haga clic en Centros de trabajo > Acceso de invitado y, a continuación, haga clic en Portales y componentes.
   
   
2. Haga clic en Portals Guest.
   
   
3. Haga clic en Portal de invitado patrocinado (utilizado en este ejemplo) y, a continuación, expanda Configuración de la página de lanzamiento de DHCP de VLAN.
   
   
4. Haga clic en la casilla de verificación VLAN DHCP Release .
   
   

   Nota: El soporte de la versión DHCP de VLAN está disponible sólo para dispositivos Windows. No está disponible para dispositivos móviles. Si el dispositivo que se está registrando es móvil y la opción VLAN DHCP Release está activada, se solicita al invitado que renueve manualmente su dirección IP. Para los usuarios de dispositivos móviles, recomendamos utilizar Listas de control de acceso (ACL) en el WLC, en lugar de utilizar VLAN.

Escenario externo de anclaje

Esta configuración también puede funcionar con la función de anclaje automático de los WLC. La única captura es que dado que este método de autenticación web es Capa 2, debe ser consciente de que será el WLC externo el que hace todo el trabajo RADIUS. Solamente el WLC externo entra en contacto con el ISE, y la ACL de redirección debe estar presente también en el WLC externo. El archivo externo sólo necesita que exista el nombre ACL (no necesita entradas ACL). El WLC externo enviará el nombre de ACL al anclaje y será el ancla que aplica la redirección (y por lo tanto necesita el contenido de ALC correcto).

Al igual que en otros escenarios, el WLC extranjero muestra rápidamente al cliente que está en el estado RUN, lo que no es completamente cierto. Simplemente significa que el tráfico se envía al ancla desde allí. El estado del cliente real se puede ver en el ancla donde debería mostrar CENTRAL_WEBAUTH_REQD.

Aquí está el flujo en una configuración de anclaje externo:

1. El cliente se conecta al SSID en el WLC externo. El WLC externo se pone en contacto con el servidor ISE para MAB. ISE envía access-accept con la URL de redirección y redirige la ACL al externo.
2. Ahora el cliente está anclado al WLC de anclaje donde obtiene una dirección IP y se pone en CENTRAL_WEBAUTH_REQD.
3. Cuando el cliente intenta acceder a un sitio web, el WLC de anclaje redirige al cliente a la página del portal ISE. El cliente se presenta con la página de inicio de sesión.
4. Después de un inicio de sesión exitoso, ISE envía una CoA al WLC externo.
5. El WLC externo se pone en contacto con el WLC de anclaje para que sepa poner al cliente en el estado RUN.
6. Todo el tráfico del cliente se reenvía del exterior al anclaje y sale del WLC de anclaje.

Los puertos de firewall necesarios para permitir la comunicación entre el WLC y el ISE son:

• UDP:1645 y 1812 (autenticación RADIUS)
• UDP:1646, 1813 (RADIUS Accounting)
• UDP:1700 (RADIUS CoA)
• TCP:8443 Guest Portal o 8905 si tiene Posturas. 

Nota: La configuración externa de anclaje con autenticación Web central (CWA) sólo funciona en las versiones 7.3 o posteriores.

Nota: Debido al Id. de error de Cisco CSCul83594, no puede ejecutar la contabilización tanto en el anclaje como en el exterior porque hace que la creación de perfiles se vuelva inexacta debido a una posible falta de enlace de IP a MAC. También crea muchos problemas con la ID de sesión para los portales de invitados. Si desea configurar la contabilidad, configúrela en el controlador externo. Tenga en cuenta que este ya no debería ser el caso comenzando con el software 8.6 WLC donde el id de sesión será compartido entre el anclaje y los controladores externos y la contabilidad entonces será posible habilitar en ambos.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

1. Una vez que el usuario se asocia al SSID, el WLC se pone en contacto con el ISE (como el filtrado MAC está configurado). ISE se ha configurado para devolver el acceso a la aceptación con URL de redirección y ACL. Esta es la primera autenticación.

   Los detalles del cliente en el WLC muestran que se aplican la URL de redirección y la ACL.

   
   

   En el cliente WLC y AAA all debug, puede ver access accept con la URL de redirección y ACL enviadas desde el ISE.

   *radiusTransportThread: d0:37:45:89:ef:64 Access-Accept received from RADIUS server 10.106.32.25 (qid:4) with port:1812, pktId:24 for mobile d0:37:45:89:ef:64 receiveId = 0
   *radiusTransportThread: AuthorizationResponse: 0x166ab570
   
   
   *radiusTransportThread:  structureSize................................425
   
   *radiusTransportThread:  resultCode...................................0
   
   *radiusTransportThread:  protocolUsed.................................0x00000001
   
   *radiusTransportThread:  proxyState...................................D0:37:45:89:EF:64-00:00
   
   *radiusTransportThread:  Packet contains 4 AVPs:
   
   *radiusTransportThread:  AVP[01] User-Name................................D0-37-45-89-EF-64 (17 bytes)
   
   *radiusTransportThread:  AVP[02] Class....................................CACS:0a6a207a0000000a5fe8f217:ISE3-1/397801666/90 (49 bytes)
   
   *radiusTransportThread:  AVP[03] Cisco / Url-Redirect-Acl.................CWA_Redirect (12 bytes)
   
   *radiusTransportThread:  AVP[04] Cisco / Url-Redirect.....................DATA (175 bytes)
   
   *radiusTransportThread:  d0:37:45:89:ef:64 processing avps[0]: attribute 1
   *radiusTransportThread:  d0:37:45:89:ef:64 username = D0-37-45-89-EF-64
   
   !
   *apfReceiveTask: d0:37:45:89:ef:64 Redirect URL received for client from RADIUS. Client will be moved to WebAuth_Reqd state to facilitate redirection. Skip web-auth Flag = 0

   Lo mismo se puede verificar en ISE. Navegue hasta Operaciones > Viajes de Radius. Haga clic en el detalle de esa MAC.

   Puede ver que para la primera autenticación (filtrado de MAC) ISE devuelve el perfil AuthZ WLC_CWA ya que afecta a la regla de autenticación MAB y la política de autenticación Redirección de invitado. 

   

   
   

2. En este punto, el cliente obtiene una dirección IP. Ahora el cliente está en el estado CENTRAL_WEB_AUTH. Cuando se abre una dirección en el cliente, el explorador se redirige al ISE. Asegúrese de que el DNS esté configurado correctamente.

   
   

3. Una vez introducidas las credenciales correctas, se concede acceso a la red. Esta es la segunda autenticación.

   

   
   

   Cuando se ingresan las credenciales, ISE autentica al cliente y envía la CoA. 

   
   

   
   

   En el WLC esto se puede ver en AAA todos los debugs.

   *radiusCoASupportTransportThread: audit session ID recieved in CoA = 0a6a207a0000000b5fe90410
   *radiusCoASupportTransportThread: Received a 'CoA-Request' from 10.106.32.25 port 23974
   
   *radiusCoASupportTransportThread: CoA - Received IP Address : 10.106.32.122, Vlan ID: (received 0)
   *radiusCoASupportTransportThread: d0:37:45:89:ef:64 Calling-Station-Id ---> d0:37:45:89:ef:64
   *radiusCoASupportTransportThread: Handling a valid 'CoA-Request' regarding station d0:37:45:89:ef:64
   *radiusCoASupportTransportThread: Sending Radius CoA Response packet on srcPort: 1700, dpPort: 2, tx Port: 23974
   *radiusCoASupportTransportThread: Sent a 'CoA-Ack' to 10.106.32.25 (port:23974)

   Después de esto, el cliente se vuelve a autenticar y se le concede acceso a la red. 

   

4. En el controlador, el estado del administrador de políticas y el estado RADIUS NAC cambian de CENTRAL_WEB_AUTH a RUN.

   Nota: En la versión 7.2 o anterior, el estado CENTRAL_WEB_AUTH se llamaba POSTURE_REQD.

Tenga en cuenta que el tipo de CoA devuelto por ISE evolucionó a través de las versiones. ISE 3.0 solicitará al WLC que inicie la reautenticación usando el último método, es decir, MAB en este caso. El WLC vuelve a autenticar al usuario cuando envía la solicitud de acceso RADIUS con el atributo Authorize-Only.

Ejemplo de solicitud de CoA de ISE 3.0:

El WLC entonces no enviará una trama de desasociación al cliente y ejecutará una autenticación radius nuevamente y aplicará el nuevo resultado de manera transparente al cliente. Desde 8.3, el WLC admite la configuración de una clave precompartida WPA en un SSID CWA. La experiencia del usuario sigue siendo la misma que en escenarios clásicos no PSK, el WLC no enviará una trama de desasociación al cliente y simplemente aplicará el nuevo resultado de autorización. Sin embargo, una "respuesta de asociación" todavía se envía al cliente aunque nunca se recibió una "solicitud de asociación" del cliente, lo que puede parecer curioso al analizar rastros de sabueso.

Troubleshoot

Complete estos pasos para resolver o aislar un problema de CWA:

1. Ingrese el comando debug client <dirección mac del cliente> en el controlador y monitor para determinar si el cliente alcanza el estado CENTRAL_WEBAUTH_REQD. Se observa un problema común cuando el ISE devuelve una ACL de redirección que no existe (o que no se ingresa correctamente) en el WLC. Si este es el caso, el cliente se desautentica una vez que se alcanza el estado CENTRAL_WEBAUTH_REQD, lo que hace que el proceso comience de nuevo.
   
   
2. Si se puede alcanzar el estado correcto del cliente, entonces navegue hasta monitor > clientes en la GUI web del WLC y verifique que la ACL y URL de redirección correcta se apliquen para el cliente.
   
   
3. Verifique que se utiliza el DNS correcto. El cliente debe tener la capacidad de resolver los sitios web de Internet y el nombre de host de ISE. Puede verificarlo a través de nslookup.
   
   
4. Verifique que todos los pasos de autenticación ocurran en ISE:
   
   
   • La autenticación MAC debe producirse primero, a la que se devuelven los atributos CWA.
     
     
   • Se produce la autenticación de inicio de sesión del portal.
     
     
   • Se produce la autorización dinámica.
     
     
   • La autenticación final es una autenticación MAC que muestra el nombre de usuario del portal en el ISE, al que se devuelven los resultados finales de la autorización (como la VLAN final y la ACL).

Consideraciones especiales para los escenarios de anclaje

Tenga en cuenta los siguientes ID de error de Cisco que limitan la eficiencia del proceso CWA en un escenario de movilidad (especialmente cuando se configura la contabilidad):

• CSCuo56780 - Vulnerabilidad de Negación de Servicio RADIUS de ISE
  
  
• CSCul83594 - El ID de sesión no se sincroniza entre la movilidad, si la red está abierta