BYOD inalámbrico con Identity Services Engine

Introducción

Cisco Identity Services Engine (ISE) es el servidor de políticas de última generación de Cisco que proporciona una infraestructura de autenticación y autorización a la solución Cisco TrustSec. También proporciona otros dos servicios esenciales:

• El primer servicio consiste en proporcionar una forma de perfilar el tipo de dispositivo de terminal automáticamente en función de los atributos que Cisco ISE recibe de diversas fuentes de información. Este servicio (denominado generador de perfiles) proporciona funciones equivalentes a las que ofrecía Cisco con el dispositivo Cisco NAC Profiler.

• Otro servicio importante que ofrece Cisco ISE es analizar el cumplimiento de los terminales; por ejemplo, la instalación del software AV/AS y su validez de archivo de definición (conocido como Condición). Anteriormente, Cisco solo había proporcionado esta función de estado exacta con el dispositivo Cisco NAC.

Cisco ISE proporciona un nivel equivalente de funcionalidad y se integra con los mecanismos de autenticación 802.1X.

Cisco ISE integrado con controladores de LAN inalámbrica (WLC) puede proporcionar mecanismos de definición de perfiles de dispositivos móviles como iDevices de Apple (iPhone, iPad y iPod), smartphones basados en Android y otros. Para los usuarios de 802.1X, Cisco ISE puede proporcionar el mismo nivel de servicios, como el análisis de perfiles y estados. Los servicios de invitados en Cisco ISE también se pueden integrar con Cisco WLC redirigiendo las solicitudes de autenticación web a Cisco ISE para la autenticación.

Este documento presenta la solución inalámbrica para la iniciativa "Traiga su propio dispositivo" (BYOD), como proporcionar un acceso diferenciado basado en terminales conocidos y la política de usuario. Este documento no proporciona la solución completa de BYOD, pero sirve para demostrar un sencillo caso práctico de acceso dinámico. Otros ejemplos de configuración incluyen el uso del portal de patrocinadores de ISE, donde un usuario privilegiado puede patrocinar a un invitado para el aprovisionamiento del acceso inalámbrico de invitado.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco Wireless LAN Controller 2504 o 2106 con la versión de software 7.2.103

• Catalyst 3560 - 8 puertos

• WLC 2504

• Identity Services Engine 1.0MR (versión de imagen de servidor VMware)

• Windows 2008 Server (imagen de VMware): 512M, disco de 20 GB

  • Active Directory

  • DNS

  • DHCP

  • Servicios de certificados

Topología

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Descripción General de RADIUS NAC y CoA del Controlador de LAN Inalámbrica

Esta configuración permite al WLC buscar los pares AV de redirección URL que vienen del servidor RADIUS ISE. Esto es sólo en una WLAN que está vinculada a una interfaz con la configuración RADIUS NAC habilitada. Cuando se recibe el par AV de Cisco para la redirección de URL, el cliente pasa al estado POSTURE_REQD. Esto es básicamente lo mismo que el estado WEBAUTH_REQD internamente en el controlador.

Cuando el servidor RADIUS ISE considera que el Cliente cumple con la condición, emite una CoA ReAuth. Session_ID se utiliza para vincularlo. Con esta nueva AuthC (re-Auth) no envía los pares AV-Redirect URL. Debido a que no hay pares AV de redireccionamiento de URL, el WLC sabe que el cliente ya no necesita la postura.

Si el parámetro RADIUS NAC no está habilitado, el WLC ignora los VSA de Redirección URL.

CoA-ReAuth: Esto se habilita con el parámetro RFC 3576. La capacidad ReAuth se agregó a los comandos CoA existentes que se admitían anteriormente.

La configuración RADIUS NAC se excluye mutuamente de esta capacidad, aunque se requiere que la CoA funcione.

ACL de estado previo: Cuando un cliente está en el estado POSTURE_REQ, el comportamiento predeterminado del WLC es bloquear todo el tráfico excepto DHCP/DNS. La ACL de Pre-Postura (a la que se llama en el par AV de url-redirect-acl) se aplica al cliente, y lo que se permite en esa ACL es a lo que el cliente puede alcanzar.

ACL de autenticación previa frente a invalidación de VLAN: Una VLAN de cuarentena o de autenticación que es diferente de la VLAN de acceso no se soporta en 7.0MR.1. Si configura una VLAN desde el Servidor de políticas, será la VLAN para toda la sesión. No se necesitan cambios de VLAN después de la primera AuthZ.

Flujo de funciones RADIUS NAC y CoA del controlador de LAN inalámbrica

La figura siguiente proporciona detalles del intercambio de mensajes cuando el cliente se autentica en el servidor backend y la validación de estado de NAC.

1. El cliente se autentica usando la autenticación dot1x.

2. RADIUS Access Accept transporta URL redireccionadas para el puerto 80 y ACL de pre-autenticación que incluyen permitir direcciones IP y puertos, o VLAN de cuarentena.

3. El cliente se redirigirá a la URL proporcionada en access accept y se pondrá en un nuevo estado hasta que se realice la validación del estado. El cliente en este estado se comunica con el servidor ISE y se valida a sí mismo con las políticas configuradas en el servidor NAC ISE.

4. El agente NAC en el cliente inicia la validación del estado (tráfico al puerto 80): El agente envía una solicitud de detección HTTP al puerto 80 que el controlador redirige a la URL proporcionada en el acceso aceptado. ISE sabe que el cliente intenta ponerse en contacto y responde directamente al cliente. De esta manera, el cliente se entera de la IP del servidor ISE y, a partir de ahora, se comunica directamente con el servidor ISE.

5. El WLC permite este tráfico porque la ACL está configurada para permitir este tráfico. En caso de invalidación de VLAN, el tráfico se puentea para que llegue al servidor ISE.

6. Una vez que el cliente ISE completa la evaluación, se envía un pedido de servicio RADIUS CoA-Req con servicio de autenticación al WLC. Esto inicia la reautenticación del cliente (enviando EAP-START). Una vez que la reautenticación se realiza correctamente, el ISE envía el acceso a accept con una nueva ACL (si la hubiera) y ninguna URL redirect, o bien accede a VLAN.

7. El WLC soporta CoA-Req y Disconnect-Req según RFC 3576. El WLC necesita soportar CoA-Req para el servicio de re-auth, según RFC 5176.

8. En lugar de las ACL descargables, las ACL preconfiguradas se utilizan en el WLC. El servidor ISE sólo envía el nombre ACL, que ya está configurado en el controlador.

9. Este diseño debe funcionar tanto para los casos de VLAN como de ACL. En caso de invalidación de VLAN, simplemente redirigimos el puerto 80 y permite el resto (bridge) del tráfico en la VLAN de cuarentena. Para la ACL, se aplica la ACL de pre-autenticación recibida en el aceptación de acceso.

Esta figura proporciona una representación visual de este flujo de funciones:

Descripción general de perfiles de ISE

El servicio de perfiles de Cisco ISE proporciona la funcionalidad necesaria para descubrir, localizar y determinar las capacidades de todos los terminales conectados de la red, independientemente de sus tipos de dispositivos, con el fin de garantizar y mantener un acceso adecuado a la red empresarial. Recopila principalmente un atributo o un conjunto de atributos de todos los terminales de la red y los clasifica según sus perfiles.

El generador de perfiles se compone de estos componentes:

• El sensor contiene varias sondas. Los sondeos capturan los paquetes de red consultando los dispositivos de acceso a la red y reenvían los atributos y sus valores de atributo recopilados desde los terminales al analizador.

• Un analizador evalúa los puntos finales utilizando las políticas configuradas y los grupos de identidad para que coincidan con los atributos y los valores de atributos recopilados, lo que clasifica los puntos finales en el grupo especificado y almacena los puntos finales con el perfil coincidente en la base de datos de Cisco ISE.

Para la detección de dispositivos móviles, se recomienda utilizar una combinación de estos sondeos para la identificación adecuada de los dispositivos:

• RADIUS (Calling-Station-ID): Proporciona la dirección MAC (OUI)

• DHCP (nombre de host): Nombre de host: el nombre de host predeterminado puede incluir el tipo de dispositivo; por ejemplo: jsmith-ipad

• DNS (búsqueda IP inversa): FQDN: el nombre de host predeterminado puede incluir el tipo de dispositivo

• HTTP (agente de usuario): Detalles sobre el tipo de dispositivo móvil específico

En este ejemplo de un iPad, el generador de perfiles captura la información del explorador web desde el atributo User-Agent, así como otros atributos HTTP de los mensajes de solicitud, y los agrega a la lista de atributos de punto final.

Crear usuarios de identidad internos

MS Active Directory (AD) no es necesario para una prueba de concepto sencilla. ISE se puede utilizar como único almacén de identidades, lo que incluye diferenciar el acceso de los usuarios para el acceso y el control granular de políticas.

Al lanzamiento de ISE 1.0, mediante la integración de AD, ISE puede utilizar grupos AD en las políticas de autorización. Si se utiliza el almacén de usuarios interno de ISE (sin integración de AD), los grupos no se pueden utilizar en las políticas junto con los grupos de identidad de los dispositivos (error identificado que se resolverá en ISE 1.1). Por lo tanto, solo se puede diferenciar a los usuarios individuales, como empleados o contratistas cuando se utilizan además de los grupos de identidad de los dispositivos.

Complete estos pasos:

1. Abra una ventana del navegador a la dirección https://ISEip.

2. Vaya a Administración > Gestión de identidades > Identidades.

   

3. Seleccione Users y luego haga clic en Add (Network Access User). Introduzca estos valores de usuario y asígneles al grupo Empleado:

   • Nombre: empleado

   • Contraseña XXXX

   

   

4. Haga clic en Submit (Enviar).

   • Nombre: contratista

   • Contraseña XXXX

5. Confirme que se han creado ambas cuentas.

   

Agregar controlador de LAN inalámbrica a ISE

Cualquier dispositivo que inicie solicitudes RADIUS al ISE debe tener una definición en ISE. Estos dispositivos de red se definen en función de su dirección IP. Las definiciones de dispositivos de red ISE pueden especificar rangos de direcciones IP, lo que permite que la definición represente varios dispositivos reales.

Más allá de lo necesario para la comunicación RADIUS, las definiciones de dispositivo de red ISE contienen configuraciones para otras comunicaciones de ISE/dispositivo, como SNMP y SSH.

Otro aspecto importante de la definición de dispositivos de red es la agrupación adecuada de dispositivos para que esta agrupación pueda aprovecharse en la política de acceso a la red.

En este ejercicio, se configuran las definiciones de dispositivo necesarias para su laboratorio.

Complete estos pasos:

1. Desde ISE vaya a Administration > Network Resources > Network Devices.

   

2. En Network Devices (Dispositivos de red), haga clic en Add (Agregar). Introduzca la dirección IP, la comprobación de máscara y la configuración de autenticación y, a continuación, introduzca "cisco" para el secreto compartido.

3. Guarde la entrada del WLC y confirme el controlador en la lista.

   

Configuración de ISE para la autenticación inalámbrica

El ISE debe configurarse para autenticar clientes inalámbricos 802.1x y para utilizar Active Directory como almacén de identidad.

Complete estos pasos:

1. Desde ISE, vaya a Policy > Authentication.

2. Haga clic para expandir Dot1x > Wired_802.1X (-).

3. Haga clic en el icono del engranaje para Agregar condición de la biblioteca.

   

4. En el menú desplegable Selección de condición, elija Condición compuesta > Wireless_802.1X.

   

5. Establezca la condición Express en OR.

6. Expanda la opción after allow protocols y acepte los usuarios internos predeterminados (valor predeterminado).

   

   

7. Deje todo lo demás en el valor predeterminado. Haga clic en Guardar para completar los pasos.

Bootstrap Wireless LAN Controller

Conexión del WLC a una Red

Una guía de implementación del controlador de LAN inalámbrica Cisco 2500 también está disponible en la Guía de implementación del controlador inalámbrico Cisco serie 2500.

Configuración del controlador mediante el Asistente de inicio

(Cisco Controller) 
 Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup
 Would you like to terminate autoinstall? [yes]: yes AUTO-INSTALL: process terminated 
-- no configuration loaded System Name [Cisco_d9:24:44] (31 characters max): 
   ISE-Podx Enter Administrative User Name (24 characters max): admin 
   Enter Administrative Password 
   (3 to 24 characters): Cisco123 
   Re-enter Administrative Password: Cisco123 
Management Interface IP Address: 10.10.10.5 
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 10.10.10.1
Management Interface VLAN Identifier (0 = untagged): 0
Management Interface Port Num [1 to 4]: 1
Management Interface DHCP Server IP Address: 10.10.10.10
 Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: ISE
 Network Name (SSID): PODx
Configure DHCP Bridging Mode [yes][NO]: no
Allow Static IP Addresses [YES][no]: no
 Configure a RADIUS Server now? [YES][no]: no
Warning! The default WLAN security policy requires a RADIUS server.
Please see documentation for more details.
 Enter Country Code list (enter 'help' for a list of countries) [US]: US

Enable 802.11b Network [YES][no]: yes
Enable 802.11a Network [YES][no]: yes
Enable 802.11g Network [YES][no]: yes
Enable Auto-RF [YES][no]: yes
 Configure a NTP server now? [YES][no]: no
Configure the ntp system time now? [YES][no]: yes
Enter the date in MM/DD/YY format: mm/dd/yy
Enter the time in HH:MM:SS format: hh:mm:ss
Configuration correct? If yes, system will save it and reset. [yes][NO]: yes
 Configuration saved!
 Resetting system with new configuration...
Restarting system.

Configuración del switch vecino

El controlador está conectado al puerto Ethernet del switch vecino (Fast Ethernet 1). El puerto del switch vecino se configura como un tronco 802.1Q y permite todas las VLAN en el tronco. La VLAN nativa 10 permite que se conecte la interfaz de administración del WLC.

La configuración del puerto del switch 802.1Q es la siguiente:

switchport
switchport trunk encapsulation dot1q 
switchport trunk native VLAN 10
switchport mode trunk
end

Agregar servidores de autenticación (ISE) al WLC

El ISE debe ser agregado al WLC para habilitar 802.1X y la función CoA para los terminales inalámbricos.

Complete estos pasos:

1. Abra un navegador y, a continuación, conéctese al WLC del pod (mediante HTTP seguro) > https://wlc.

2. Vaya a Seguridad > Autenticación > Nuevo.

   

3. Introduzca estos valores:

   • Dirección de servidor IP: 10.10.10.70 (asignación de comprobación)

   • secreto compartido: Cisco

   • Compatibilidad con RFC 3576 (CoA): Habilitado (predeterminado)

   • Todo lo demás: Predeterminado

4. Haga clic en Aplicar para continuar.

5. Seleccione RADIUS Accounting > add NEW.

   

6. Introduzca estos valores:

   • Dirección de servidor IP: 10.10.10.70

   • secreto compartido: Cisco

   • Todo lo demás: Predeterminado

7. Haga clic en Apply y luego guarde la configuración para el WLC.

Creación de la Interfaz Dinámica del Empleado del WLC

Complete estos pasos para agregar una nueva interfaz dinámica para el WLC y mapearla a la VLAN del Empleado:

1. Desde el WLC, navegue hasta Controller > Interfaces. A continuación, haga clic en Nuevo.

   

2. Desde el WLC, navegue hasta Controller > Interfaces. Introduzca lo siguiente:

   • Nombre de la interfaz: Empleado

   • ID de VLAN: 11

   

3. Introduzca lo siguiente para la interfaz de empleado:

   • Número de puerto: 1

   • Identificador de VLAN: 11

   • IP Address: 10.10.11.5

   • Máscara de red: 255.255.255.0

   • Gateway: 10.10.11.1

   • DHCP: 10.10.10.10

   

4. Confirme que se ha creado la nueva interfaz dinámica del empleado.

   

Crear interfaz dinámica de invitado WLC

Complete estos pasos para agregar una nueva interfaz dinámica para el WLC y mapearla a la VLAN de invitado:

1. Desde el WLC, navegue hasta Controller > Interfaces. A continuación, haga clic en Nuevo.

2. Desde el WLC, navegue hasta Controller > Interfaces. Introduzca lo siguiente:

   • Nombre de la interfaz: Guest

   • ID de VLAN: 12

   

3. Ingrese estos para la interfaz de invitado:

   • Número de puerto: 1

   • Identificador de VLAN: 12

   • IP Address: 10.10.12.5

   • Máscara de red: 255.255.255.0

   • Gateway: 10.10.12.1

   • DHCP: 10.10.10.10

   

4. Confirme que se ha agregado la interfaz de invitado.

   

Agregar WLAN 802.1x

Desde el bootstrap inicial del WLC, podría haber habido una WLAN predeterminada creada. Si es así, modifíquela o cree una nueva WLAN para admitir la autenticación inalámbrica 802.1X, como se indica en la guía.

Complete estos pasos:

1. Desde el WLC, navegue hasta WLAN > Create New.

   

2. Para la WLAN, introduzca lo siguiente:

   • Nombre del perfil: pod1x

   • SSID: Igual

   

3. Para la ficha WLAN Settings > General (Parámetros WLAN > Configuración general), utilice lo siguiente:

   • Política de radio: Todos

   • Interfaz/Grupo: administración

   • Todo lo demás: predeterminado

   

4. Para la ficha WLAN > Security > Layer 2 , establezca lo siguiente:

   • Seguridad de capa 2:WPA+WPA2

   • Política/Encriptación WPA2: Habilitado / AES

   • Gestión de clave de autenticación: 802.1X

   

5. Para la ficha WLAN > Security > AAA Servers, establezca lo siguiente:

   • Interfaz de Sobrescribir Servidor de Radio: Inhabilitado

   • Servidores de autenticación/contabilidad: Habilitado

   • Servidor 1: 10.10.10.70

   

6. Para la ficha WLAN > Advanced, establezca lo siguiente:

   • Permitir anulación de AAA: Habilitado

   • Estado NAC: Radius NAC (seleccionado)

   

7. Vuelva a la ficha WLAN > General > Enable WLAN (Activar WLAN) (casilla de verificación).

   

Probar las interfaces dinámicas WLC

Debe realizar una comprobación rápida de las interfaces válidas de empleados e invitados. Utilice cualquier dispositivo para asociarse a la WLAN y, a continuación, cambie la asignación de la interfaz WLAN.

1. Desde el WLC, navegue hasta WLAN > WLAN. Haga clic para editar el SSID seguro creado en el ejercicio anterior.

2. Cambie Interface/Interface Group a Employee y luego haga clic en Apply.

   

3. Si se configura correctamente, un dispositivo recibe una dirección IP de la VLAN del empleado (10.10.11.0/24). Este ejemplo muestra un dispositivo iOS que obtiene una nueva dirección IP.

   

4. Una vez confirmada la interfaz anterior, cambie la asignación de la interfaz WLAN a Invitado y luego haga clic en Aplicar.

   

5. Si se configura correctamente, un dispositivo recibe una dirección IP de la VLAN de invitado (10.10.12.0/24). Este ejemplo muestra un dispositivo iOS que obtiene una nueva dirección IP.

   

6. IMPORTANTE: Vuelva a cambiar la asignación de interfaz a la administración original.

7. Haga clic en Aplicar y guarde la configuración para el WLC.

Autenticación inalámbrica para iOS (iPhone/iPad)

Asociar al WLC a través de un SSID autenticado un usuario INTERNO (o integrado, usuario AD) usando un dispositivo iOS como un iPhone, iPad o iPod. Omita estos pasos si no procede.

1. En el dispositivo iOS, vaya a la configuración de WLAN. Habilite WIFI y, a continuación, seleccione el SSID habilitado para 802.1X creado en la sección anterior.

2. Proporcione esta información para conectar:

   • Nombre de usuario: empleado (interno - empleado) o contratista (interno - contratista)

   • Contraseña XXXX

   

3. Haga clic para aceptar el certificado ISE.

   

4. Confirme que el dispositivo iOS está recibiendo una dirección IP de la interfaz de administración (VLAN10).

   

5. En el WLC > Monitor > Clients, verifique la información del terminal incluyendo el uso, el estado y el tipo EAP.

   

6. De manera similar, la información del cliente puede ser proporcionada por ISE > Monitor > Authentication page.

   

7. Haga clic en el icono Detalles para acceder a la sesión para obtener información detallada de la sesión.

   

Agregar ACL de redirección de estado a WLC

La ACL de redirección de estado se configura en el WLC, donde ISE utilizará para restringir el estado del cliente. La ACL permite el tráfico entre ISE de forma eficaz y, como mínimo, Si es necesario, se pueden agregar reglas opcionales en esta ACL.

1. Navegue hasta WLC > Seguridad > Listas de Control de Acceso > Listas de Control de Acceso. Haga clic en New.

   

2. Proporcione un nombre (ACL-POSTURE-REDIRECT) para la ACL.

   

3. Haga clic en Agregar nueva regla para la nueva ACL. Establezca los siguientes valores en la secuencia de ACL nº 1. Haga clic en Aplicar cuando haya terminado.

   • Fuente: cualquiera

   • Destino: IP Address 10.10.10.70, 255.255.255.255

   • Protocolo: cualquiera

   • Acción: Permiso

   

4. Se ha agregado la secuencia de confirmación.

   

5. Haga clic en Agregar nueva regla. Establezca los siguientes valores en la secuencia de ACL nº 2. Haga clic en Aplicar cuando haya terminado.

   • Fuente: IP Address 10.10.10.70, 255.255.255.255

   • Destino: cualquiera

   • Protocolo: cualquiera

   • Acción: Permiso

   

6. Se ha agregado la secuencia de confirmación.

   

7. Establezca los siguientes valores en la secuencia de ACL nº 3. Haga clic en Aplicar cuando haya terminado.

   • Fuente: cualquiera

   • Destino: cualquiera

   • Protocolo: UDP

   • Puerto de Origen: DNS

   • Puerto de Destino: cualquiera

   • Acción: Permiso

   

8. Se ha agregado la secuencia de confirmación.

   

9. Haga clic en Agregar nueva regla. Establezca los siguientes valores en la secuencia de ACL nº 4. Haga clic en Aplicar cuando haya terminado.

   • Fuente: cualquiera

   • Destino: cualquiera

   • Protocolo: UDP

   • Puerto de Origen: cualquiera

   • Puerto de Destino: DNS

   • Acción: Permiso

   

10. Se ha agregado la secuencia de confirmación.

    

11. Guarde la configuración del WLC actual.

Habilitar perfiles en ISE

El ISE debe configurarse como sondas para que los terminales tengan un perfil eficaz. De forma predeterminada, estas opciones están desactivadas. Esta sección muestra cómo configurar ISE para que se convierta en sondas.

1. Desde la administración de ISE, vaya a Administration > System > Deployment.

   

2. Elija ISE. Haga clic en Editar host ISE.

   

3. En la página Editar nodo, seleccione Configuración de perfiles y configure lo siguiente:

   • DHCP: Activado, Todos (o predeterminado)

   • DHCPSPAN: Activado, Todos (o predeterminado)

   • HTTP: Activado, Todos (o predeterminado)

   • RADIUS: Habilitado, N/D

   • DNS: Habilitado, N/D

   

4. Vuelva a asociar los dispositivos (iPhone/iPads/Droids/Mac, etc.).

5. Confirme las identidades de los terminales ISE. Vaya a Administración > Gestión de identidades > Identidades. Haga clic en Terminales para mostrar los perfiles que se han definido.

   Nota: El perfil inicial proviene de sondas RADIUS.

   

Habilitar las políticas de perfiles de ISE para los dispositivos

De forma inmediata, ISE proporciona una biblioteca de varios perfiles de terminal. Complete estos pasos para habilitar los perfiles para los dispositivos:

1. En ISE, vaya a Policy > Profiles.

   

2. Desde el panel izquierdo, expanda Políticas de generación de perfiles.

3. Haga clic en Apple Device > Apple iPad y establezca lo siguiente:

   • Política habilitada: Habilitado

   • Crear grupo de identidades coincidentes: Selected (seleccionado)

   

4. Haga clic en Apple Device > Apple iPhone, establezca lo siguiente:

   • Política habilitada: Habilitado

   • Crear grupo de identidades coincidentes: Selected (seleccionado)

   

5. Haga clic en Android, establezca lo siguiente:

   • Política habilitada: Habilitado

   • Crear grupo de identidades coincidentes: Selected (seleccionado)

   

Perfil de autorización ISE para redirección de detección de estado

Complete estos pasos para configurar una redirección de estado de la política de autorización que permita redirigir nuevos dispositivos a ISE para una detección y definición de perfiles adecuadas:

1. En ISE, vaya a Policy > Policy Elements > Results.

   

2. Expanda Autorización. Haga clic en Perfiles de autorización (panel izquierdo) y haga clic en Agregar.

   

3. Cree el perfil de autorización con lo siguiente:

   • Nombre: Posture_Remediation

   • Tipo de acceso: Access_Accept

   • Herramientas comunes:

     • Detección de estado, habilitado

     • Detección de estado, ACL ACL-POSTURE-REDIRECT

   

4. Haga clic en Enviar para completar esta tarea.

5. Confirme que se agrega el nuevo perfil de autorización.

   

Crear perfil de autorización de ISE para empleados

La adición de un perfil de autorización para un empleado permite a ISE autorizar y permitir el acceso con los atributos asignados. La VLAN 11 del empleado se asigna en este caso.

Complete estos pasos:

1. En ISE, vaya a Policy > Results. Expanda Autorización, luego haga clic en Perfiles de Autorización y haga clic en Agregar.

   

2. Introduzca lo siguiente para el perfil de autorización de empleado:

   • Nombre: Employee_Wireless

   • Tareas comunes:

     • VLAN, habilitado

     • VLAN, subvalor 11

3. Haga clic en Enviar para completar esta tarea.

   

4. Confirme que se ha creado el nuevo perfil de autorización de empleados.

   

Crear perfil de autorización de ISE para el contratista

La adición de un perfil de autorización para un contratista permite a ISE autorizar y permitir el acceso con los atributos asignados. La VLAN 12 del contratista se asigna en este caso.

Complete estos pasos:

1. En ISE, vaya a Policy > Results. Expanda Autorización, luego haga clic en Perfiles de Autorización y haga clic en Agregar.

2. Introduzca lo siguiente para el perfil de autorización de empleado:

   • Nombre: Employee_Wireless

   • Tareas comunes:

     • VLAN, habilitado

     • VLAN, subvalor 12

   

3. Haga clic en Enviar para completar esta tarea.

4. Confirme que se ha creado el perfil de autorización del contratista.

   

Política de autorización para perfiles/estado del dispositivo

Se sabe muy poca información sobre un nuevo dispositivo cuando entra por primera vez en la red, un administrador creará la política adecuada para permitir que se identifiquen los terminales desconocidos antes de permitir el acceso. En este ejercicio, se creará la política de autorización de modo que un nuevo dispositivo se redirija a ISE para la evaluación de estado (en el caso de los dispositivos móviles no tienen agentes, por lo que sólo es pertinente la definición de perfiles); los terminales se redirigirán al portal cautivo de ISE y se identificarán.

Complete estos pasos:

1. En ISE, vaya a Policy > Authorization.

   

2. Existe una política para los teléfonos IP de Cisco con perfil. Esto está fuera de lugar. Edite esto como una política de estado.

3. Introduzca los valores siguientes para esta política:

   • ‘Nombre de la regla Posture_Remediation

   • Grupos de identidad: cualquiera

   • Otras condiciones > Crear nuevo: Sesión (avanzada) > EstadoDeEstado

   • PostureStatus > Es igual a: Desconocido

   

4. Establezca lo siguiente para los permisos:

   • Permisos > Estándar: Posture_Remediation

   

5. Click Save.

   Nota: Alternativamente, se pueden crear elementos de políticas personalizados para facilitar el uso.

Prueba de la política de remediación del estado

Se puede realizar una demostración sencilla para mostrar que ISE está creando perfiles adecuados de un nuevo dispositivo en función de la política de estado.

1. En ISE, vaya a Administration > Identity Management > Identities.

   

2. Haga clic en Terminales. Asocie y conecte un dispositivo (un iPhone en este ejemplo).

   

3. Actualice la lista de terminales. Observe qué información se proporciona.

4. Desde el dispositivo terminal, vaya a:

   • URL: http://www (o 10.10.10.10)

   El dispositivo se redirige. Acepte cualquier solicitud de certificados.

5. Después de que el dispositivo móvil se haya redirigido completamente, desde ISE actualice de nuevo la lista de terminales. Observe lo que ha cambiado. El terminal anterior (por ejemplo, Apple-Device) debería haber cambiado a "Apple-iPhone", etc. La razón es que la sonda HTTP obtiene efectivamente la información de usuario-agente, como parte del proceso de redireccionamiento al portal cautivo.

   

Política de autorización para acceso diferenciado

Después de probar con éxito la autorización de estado, siga creando políticas para admitir el acceso diferenciado para el empleado y el contratista con dispositivos conocidos y diferentes asignaciones de VLAN específicas para la función de usuario (en este escenario, Empleado y Contratista).

Complete estos pasos:

1. Vaya a ISE > Policy > Authorization.

2. Agregue/inserte una nueva regla encima de la línea/política de corrección de estado.

   

3. Introduzca los valores siguientes para esta política:

   • ‘Nombre de la regla Empleado

   • Grupos de identidad (expandir): Grupos de identidades de terminales

   

   • Grupos de identidades de terminales: Perfil

   • Perfil: Android, Apple-iPad o Apple-iPhone

   

4. Para especificar tipos de dispositivo adicionales, haga clic en el + y agregue más dispositivos (si es necesario):

   • Grupos de identidades de terminales: Perfil

   • Perfil: Android, Apple-iPad o Apple-iPhone

   

5. Especifique los valores de Permisos siguientes para esta política:

   • Otras condiciones (expandir): Crear nueva condición (opción avanzada)

   

   • Condition > Expression (from list): InternalUser > Name

   

   • InternalUser > Name: empleado

   

6. Agregue una condición para la sesión de estado Conforme a:

   • Permisos > Perfiles > Estándar: Employee_Wireless

   

7. Click Save. Confirme que la política se ha agregado correctamente.

   

8. Continuar añadiendo la política del Contratista. En este documento, la política anterior se duplica para acelerar el proceso (o, puede configurar manualmente para una buena práctica).

   En la directiva Empleado > Acciones, haga clic en Duplicar a continuación.

   

9. Edite los campos siguientes para esta directiva (copia duplicada):

   • ‘Nombre de la regla Contratista

   • Otras condiciones > Usuario interno > Nombre: contratista

   • Permisos: Contratista_Inalámbrico

   

10. Click Save. Confirme que la copia duplicada anterior (o la nueva política) esté configurada correctamente.

    

11. Para obtener una vista previa de las políticas, haga clic en Policy-at-a-Glance.

    

    La vista de resumen de políticas proporciona una política consolidada resumida y fácil de ver.

    

Prueba de CoA para el acceso diferenciado

Con los perfiles de autorización y las políticas preparadas para diferenciar el acceso, ha llegado el momento de probar. Al disponer de una única WLAN segura, se asignará a un empleado la VLAN del empleado y un contratista será para la VLAN del contratista. En los siguientes ejemplos se utiliza un iPhone/iPad de Apple.

Complete estos pasos:

1. Conéctese a la WLAN segura (POD1x) con el dispositivo móvil y utilice estas credenciales:

   • Nombre de usuario: empleado

   • Contraseña XXXXX

   

2. Haga clic en Unirse. Confirme que el empleado tiene asignada la VLAN 11 (VLAN del empleado).

   

3. Haga clic en Olvidar esta red. Confirme haciendo clic en Olvidar.

   

4. Vaya a WLC y elimine las conexiones de cliente existentes (si se utilizó lo mismo en los pasos anteriores). Navegue hasta Monitor > Clients > MAC address y luego haga clic en Remove.

   

   

5. Otra forma segura de borrar las sesiones anteriores del cliente es inhabilitar/habilitar la WLAN.

   1. Vaya a WLC > WLANs > WLAN y luego haga clic en la WLAN para editar.

   2. Desactive la casilla Enabled > Apply (para desactivar).

   3. Marque la casilla de verificación Enabled > Apply (para volver a habilitar).

      

6. Vuelva al dispositivo móvil. Vuelva a conectarse a la misma WLAN con estas credenciales:

   • Nombre de usuario: contratista

   • Contraseña XXXX

   

7. Haga clic en Unirse. Confirme que el usuario del contratista tenga asignada la VLAN 12 (VLAN del contratista/invitado).

   

8. Puede ver la vista de registro en tiempo real de ISE en ISE > Monitor > Authorizations. Debe ver que los usuarios individuales (empleados, contratistas) obtienen perfiles de autorización diferenciados (Employee_Wireless_vsContractor_Wireless) en diferentes VLAN.

   

WLAN de invitado WLC

Complete estos pasos para agregar una WLAN de invitado para permitir que los invitados accedan al portal de invitados del patrocinador ISE:

1. Desde el WLC, navegue hasta WLANs > WLANs > Add New.

2. Introduzca lo siguiente para la nueva WLAN de invitado:

   • Nombre del perfil: pod1guest

   • SSID: pod1guest

   

3. Haga clic en Apply (Aplicar).

4. Introduzca lo siguiente en la ficha WLAN > General de invitado:

   • Estado: Inhabilitado

   • Grupo de Interfaz/Interfaz: Guest

   

5. Navegue hasta WLAN de invitado > Seguridad > Capa 2 e ingrese lo siguiente:

   • Seguridad de capa 2: Ninguno

   

6. Navegue hasta la ficha WLAN > Security > Layer3 de invitado e introduzca lo siguiente:

   • Seguridad de capa 3: Ninguno

   • Política web: Habilitado

   • Subvalor de política web: Autenticación

   • ACL de autenticación previa: ACL-POSTURE-REDIRECT

   • Tipo de autenticación web: Externa (redirección a servidor externo)

   • URL: https://10.10.10.70:8443/guestportal/Login.action

   

7. Haga clic en Apply (Aplicar).

8. Asegúrese de guardar la configuración del WLC.

Prueba del portal de invitados y WLAN

Ahora, puede probar la configuración de la WLAN de invitado. Debe redirigir a los invitados al portal de invitados de ISE.

Complete estos pasos:

1. Desde un dispositivo con iOS como un iPhone, navegue hasta Redes Wi-Fi > Activar. A continuación, seleccione la red de invitados POD.

   

2. Su dispositivo iOS debe mostrar una dirección IP válida de la VLAN de invitado (10.10.12.0/24).

   

3. Abra el explorador Safari y conéctese a:

   • URL: http://10.10.10.10

   Aparece una redirección de autenticación Web.

4. Haga clic en Continuar hasta que llegue a la página del portal de invitados de ISE.

   

   La siguiente captura de pantalla de ejemplo muestra el dispositivo iOS en un Inicio de sesión en el portal de invitados. Esto confirma que la configuración correcta para el portal de invitados WLAN e ISE está activa.

   

Acceso de invitado patrocinado por tecnología inalámbrica ISE

ISE se puede configurar para permitir el patrocinio de invitados. En este caso, configurará las políticas de invitado de ISE para permitir que los usuarios de dominio interno o AD (si están integrados) patrocinen el acceso de invitado. También configurará ISE para que los patrocinadores puedan ver la contraseña de invitado (opcional), lo que resulta útil para este laboratorio.

Complete estos pasos:

1. Agregue el usuario del empleado al grupo SponsorAllAccount. Hay diferentes maneras de hacerlo: vaya directamente al grupo o edite el usuario y asigne el grupo. Para este ejemplo, navegue hasta Administración > Administración de identidades > Grupos > Grupos de identidades de usuario. A continuación, haga clic en SponsorAllAccount y agregue el usuario del empleado.

   

2. Vaya a Administration > Guest Management > Sponsor Groups.

   

3. Haga clic en Editar y luego elija PatrocinadorTodasCuentas.

   

4. Seleccione Niveles de autorización y establezca lo siguiente:

   • Ver contraseña de invitado: Yes

   

5. Haga clic en Guardar para completar esta tarea.

Invitado patrocinador

Anteriormente, ha configurado la política de invitado y los grupos adecuados para permitir que el usuario de dominio AD patrocine invitados temporales. A continuación, accederá al portal de patrocinadores y creará un acceso temporal para invitados.

Complete estos pasos:

1. Desde un navegador, navegue hasta cualquiera de estas URL: http://<ise ip>:8080/patroportal/ o https://<ise ip>:8443/patroportal/. A continuación, inicie sesión con lo siguiente:

   • Nombre de usuario: aduser (Active Directory), empleado (Usuario interno)

   • Contraseña XXXX

   

2. En la página Patrocinador, haga clic en Crear una sola cuenta de usuario invitado.

   

3. Para un invitado temporal, agregue lo siguiente:

   • Nombre: Requerido (por ejemplo, Sam)

   • Apellidos: Requerido (por ejemplo, Jones)

   • Función de grupo: Guest

   • Perfil de tiempo: DefaultOneHour

   • Zona horaria: Any/Default

   

4. Haga clic en Submit (Enviar).

5. Se crea una cuenta de invitado en función de la entrada anterior. Tenga en cuenta que la contraseña es visible (desde el ejercicio anterior) en lugar del hash ***.

6. Deje esta ventana abierta mostrando el nombre de usuario y la contraseña del invitado. Los utilizará para probar el inicio de sesión en el portal de invitados (siguiente).

   

Prueba de acceso al portal de invitados

Con la nueva cuenta de invitado creada por un usuario/patrocinador de AD, es hora de probar el portal de invitados y el acceso.

Complete estos pasos:

1. En un dispositivo preferido (en este caso un Apple iOS / iPad), conéctese al Pod Guest SSID y verifique la dirección IP /conectividad.

2. Utilice el explorador e intente navegar a http://www.

   Se le redirige a la página Inicio de sesión del portal de invitados.

   

3. Inicie sesión con la cuenta de invitado creada en el ejercicio anterior.

   Si se realiza correctamente, aparecerá la página Política de uso aceptable.

4. Marque Aceptar términos y condiciones y luego haga clic en Aceptar.

   

   Se completa la dirección URL original y se permite el acceso del terminal como invitado.

Configuración del certificado

Para proteger las comunicaciones con ISE, determine si la comunicación está relacionada con la autenticación o con la administración de ISE. Por ejemplo, para la configuración mediante la interfaz de usuario web de ISE, los certificados X.509 y las cadenas de confianza de certificados deben configurarse para habilitar el cifrado asimétrico.

Complete estos pasos:

1. Desde el PC conectado por cable, abra una ventana del explorador en https://AD/certsrv.

   Nota: Utilice el HTTP seguro.

   Nota: Utilice Mozilla Firefox o MS Internet Explorer para acceder a ISE.

2. Inicie sesión como administrator/Cisco123.

   

3. Haga clic en Descargar un certificado de CA, cadena de certificado o CRL.

   

4. Haga clic en Descargar certificado de CA y guárdelo (observe la ubicación de guardado).

   

5. Abra una ventana del navegador a https://<Pod-ISE>.

6. Vaya a Administration > System > Certificates > Certificates Authority Certificates.

   

7. Seleccione la operación Certificados de Autoridad de Certificados y busque el certificado de CA descargado previamente.

8. Seleccione Trust for client with EAP-TLS y luego envíe.

   

9. Confirme que la CA se ha agregado confiable como CA raíz.

   

10. Desde un navegador, vaya a Administration > System > Certificates > Certificates Authority Certificates.

11. Haga clic en Agregar y, a continuación, Generar solicitud de firma de certificado.

    

12. Envíe estos valores:

    • Asunto del certificado: CN=ise.corp.rf-demo.com

    • Longitud de la clave: 2048

    

13. ISE solicita que la CSR esté disponible en la página CSR. Click OK.

    

14. Seleccione la CSR en la página ISE CSR y haga clic en Exportar.

15. Guarde el archivo en cualquier ubicación (por ejemplo, Descargas, etc.)

16. El archivo se guardará como *.pem.

    

17. Busque el archivo CSR y edite con Notepad/Wordpad/TextEdit.

18. Copie el contenido (Seleccione todo > Copiar).

    

19. Abra una ventana del navegador a https://<Pod-AD>/certsrv.

20. Haga clic en Solicitar un certificado.

    

21. Haga clic para enviar una solicitud de certificado avanzada.

    

22. Pegue el contenido CSR en el campo Solicitud guardada.

    

23. Seleccione Servidor Web como Plantilla de Certificado y haga clic en Enviar.

    

24. Seleccione DER codificado y luego haga clic en Descargar certificado.

    

25. Guarde el archivo en una ubicación conocida (por ejemplo, Descargas)

26. Vaya a Administration > System > Certificates > Certificates Authority Certificates.

    

27. Haga clic en Agregar > Enlazar certificado CA.

    

28. Busque el certificado de CA descargado anteriormente.

    

29. Seleccione tanto Protocol EAP como Management Interface y luego haga clic en Submit.

30. Confirme que la CA se ha agregado confiable como CA raíz.

    

Integración de Active Directory de Windows 2008

ISE puede comunicarse directamente con Active Directory (AD) para la autenticación de usuario/máquina o para recuperar la información de autorización de atributos de usuario. Para comunicarse con AD, ISE debe estar "unido" a un dominio AD. En este ejercicio, se unirá a ISE en un dominio AD y confirmará que la comunicación AD funciona correctamente.

Complete estos pasos:

1. Para unirse a ISE al dominio AD, desde ISE vaya a Administration > Identity Management > External Identity Sources.

   

2. En el panel izquierdo (External Identity Sources), seleccione Active Directory.

3. En el lado derecho, seleccione la ficha Connection e introduzca lo siguiente:

   • Nombre de dominio: corp.rf-demo.com

   • Nombre del almacén de identidad: AD1

   

4. Haga clic en Probar conexión. Introduzca el nombre de usuario de AD (aduser/Cisco123) y, a continuación, haga clic en Aceptar.

   

5. Confirme que el Estado de la prueba muestra Prueba correcta.

6. Seleccione Mostrar registro detallado y observe los detalles útiles para la resolución de problemas. Para continuar, haga clic en OK (Aceptar).

   

7. Haga clic en Guardar configuración.

   

8. Haga clic en Unirse. Introduzca el usuario de AD (administrator/Cisco123) y, a continuación, haga clic en Aceptar.

   

9. Confirme que Join Operation Status (Estado de la operación) muestra Succeeded (Correcto) y, a continuación, haga clic en OK para continuar.

   El estado de la conexión del servidor muestra CONNECTED. Si este estado cambia en cualquier momento, una conexión de prueba ayudará a resolver problemas con las operaciones de AD.

   

Agregar grupos de directorios activos

Cuando se agregan grupos AD, se permite un control más granular de las políticas de ISE. Por ejemplo, los grupos AD se pueden diferenciar por funciones funcionales, como los grupos de empleados o contratistas, sin que el error relacionado se experimente en ejercicios anteriores de ISE 1.0, donde las políticas se limitaban sólo a los usuarios.

En este laboratorio, sólo se utilizan los usuarios de dominio y/o el grupo Empleado.

Complete estos pasos:

1. Desde ISE, vaya a Administración > Administración de identidades > Orígenes de identidad externos.

2. Seleccione la ficha Active Directory > Groups.

3. Haga clic en +Agregar y, a continuación, seleccione Grupos en el directorio.

   

4. En la ventana de seguimiento (Seleccionar grupos de directorios), acepte los valores predeterminados para dominio (corp-rf-demo.com) y Filtro (*). A continuación, haga clic en Recuperar grupos.

   

5. Seleccione los cuadros para los grupos Usuarios y Empleados. Haga clic en Aceptar cuando haya terminado.

   

6. Confirme que los grupos se han agregado a la lista.

   

Agregar secuencia de origen de identidad

De forma predeterminada, ISE está configurado para utilizar usuarios internos para el almacén de autenticación. Si se agrega AD, se puede crear un orden de secuencia de prioridad para incluir el AD que ISE utilizará para comprobar la autenticación.

Complete estos pasos:

1. En ISE, vaya a Administration > Identity Management > Identity Source Sequences.

   

2. Haga clic en +Agregar para agregar una nueva secuencia.

   

3. Introduzca el nuevo nombre: AD_Internal. Agregue todos los orígenes disponibles al campo Seleccionado. A continuación, vuelva a realizar el pedido según sea necesario para que AD1 se mueva a la parte superior de la lista. Haga clic en Submit (Enviar).

   

4. Confirme que la secuencia se ha agregado a la lista.

   

Acceso de invitado patrocinado por tecnología inalámbrica ISE con AD integrada

ISE se puede configurar para permitir que los invitados se patrocinen con políticas a fin de permitir que los usuarios del dominio AD patrocinen el acceso de invitados.

Complete estos pasos:

1. En ISE, vaya a Administration > Guest Management > Settings.

   

2. Expanda Patrocinador y haga clic en Origen de autenticación. A continuación, seleccione AD_Internal como Secuencia del almacén de identidad.

   

3. Confirme AD_Internal como la secuencia del almacén de identidad. Click Save.

   

4. Vaya a Administration > Guest Management > Sponsor Group Policy.

   

5. Insertar nueva política Por encima de la primera regla (haga clic en el icono Acciones de la derecha).

   

6. Para la nueva política de grupo de patrocinadores, cree lo siguiente:

   • ‘Nombre de la regla Usuarios de dominio

   • Grupos de identidad: cualquiera

   • Otras condiciones: (Crear nuevo/avanzado) > AD1

   

   • AD1: Grupos externos

   

   • AD1 External Groups > Equals > corp.rf-demo.com/Users/Domain Users

   

7. En Grupos de patrocinadores, establezca lo siguiente:

   • Grupos de patrocinadores: PatrocinadorTodasCuentas

   

8. Vaya a Administration > Guest Management > Sponsor Groups.

   

9. Seleccione Edit > SponsorAllAccounts.

   

10. Seleccione Niveles de autorización y establezca lo siguiente:

    • Ver contraseña de invitado: Yes

    

Configuración de SPAN en el Switch

Configure SPAN - La interfaz de sonda/mgt ISE es L2 adyacente a la interfaz de administración del WLC. El switch se puede configurar en SPAN y otras interfaces, como VLAN de interfaz de empleado e invitado.

Podswitch(config)#monitor session 1 source vlan10 , 11 , 12
Podswitch(config)#monitor session 1 destination interface Fa0/8

ISE virtual probe interface.

Referencia: Autenticación inalámbrica para Apple MAC OS X

Asociar al WLC a través de un SSID autenticado como usuario INTERNO (o integrado, usuario AD ) usando un portátil inalámbrico Apple Mac OS X. Saltar si no procede.

1. En un Mac, vaya a los parámetros de WLAN. Habilite WIFI y, a continuación, seleccione y conéctese al SSID de POD habilitado para 802.1X creado en el ejercicio anterior.

   

2. Proporcione la siguiente información para conectarse:

   • Nombre de usuario: aduser (si utiliza AD), empleado (internal - Employee), contratista (internal - Contractor)

   • Contraseña XXXX

   • 802.1X: Automático

   • Certificado TLS: Ninguno

   

   En este momento, es posible que el portátil no se conecte. Además, ISE puede producir un evento fallido de la siguiente manera:

   Authentication failed :12514 EAP-TLS failed SSL/TLS handshake because of 
   an unknown CA in the client certificates chain

3. Vaya al parámetro System Preference > Network > Airport > 802.1X y establezca el nuevo POD SSID/ WPA profile Authentication como:

   • TLS: Inhabilitado

   • PEAP: Habilitado

   • TTLS: Inhabilitado

   • EAP-FAST: Inhabilitado

   

4. Haga clic en Aceptar para continuar y permitir que se guarde la configuración.

5. En la pantalla Network (Red), seleccione el SSID adecuado + el perfil WPA 802.1X y haga clic en Connect (Conectar).

   

6. El sistema puede solicitar un nombre de usuario y una contraseña. Introduzca el usuario y la contraseña de AD (aduser/XXXX) y, a continuación, haga clic en Aceptar.

   

   El cliente debe mostrar Connected a través de PEAP con una dirección IP válida.

   

Referencia: Autenticación inalámbrica para Microsoft Windows XP

Asociar al WLC a través de un SSID autenticado como usuario INTERNO (o integrado, usuario AD) usando un portátil inalámbrico de Windows XP. Saltar si no procede.

Complete estos pasos:

1. En el portátil, vaya a los parámetros de WLAN. Habilite WIFI y conéctese al POD SSID habilitado para 802.1X creado en el ejercicio anterior.

   

2. Acceda a las propiedades de red de la interfaz WIFI.

   

3. Vaya a la pestaña Redes inalámbricas. Seleccione el grupo de propiedades de red SSID > ficha Authentication > EAP type = Protected EAP (PEAP).

   

4. Haga clic en EAP Properties .

5. Establezca lo siguiente:

   • Validar certificado de servidor: Inhabilitado

   • método de autentificación: Contraseña segura (EAP-MSCHAP v2)

   

6. Haga clic en Aceptar en todas las ventanas para completar esta tarea de configuración.

7. El cliente de Windows XP solicita el nombre de usuario y la contraseña. En este ejemplo, es aduser/XXXX.

8. Confirme la conectividad de red, el direccionamiento IP (v4).

Referencia: Autenticación inalámbrica para Microsoft Windows 7

Asociar al WLC a través de un SSID autenticado como usuario INTERNO (o integrado, usuario AD) usando un portátil inalámbrico Windows 7.

1. En el portátil, vaya a los parámetros de WLAN. Habilite WIFI y conéctese al POD SSID habilitado para 802.1X creado en el ejercicio anterior.

   

2. Acceda al administrador inalámbrico y edite el nuevo perfil inalámbrico POD.

3. Establezca lo siguiente:

   • método de autentificación: PEAP

   • Recordar mis credenciales..: Inhabilitado

   • Validar certificado de servidor (configuración avanzada): Inhabilitado

   • Método de autenticación (adv. Configuración): EAP-MSCHAP v2

   • Utilizar automáticamente mi inicio de sesión de Windows..: Inhabilitado

   

Información Relacionada

• Soporte Técnico y Documentación - Cisco Systems