Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer l'authentification Web centrale avec des clients câblés connectés aux Commutateurs à l'aide du Cisco Identity Services Engine (ISE).
Le concept de l'authentification Web centrale est opposé à l'authentification Web locale, qui est l'authentification Web habituelle sur le commutateur elle-même. Dans ce système, sur la panne dot1x/mab, le commutateur Basculement au profil de webauth et réorientera le trafic de client à une page Web sur le commutateur.
L'authentification Web centrale offre la possibilité pour avoir un périphérique central qui agit en tant que portail web (en Th est l'exemple, l'ISE). La difference majeure comparée à l'authentification Web locale habituelle est qu'elle est décalée pour poser 2 avec l'authentification mac/dot1x. Le concept diffère également parce que le serveur de rayon (ISE dans cet exemple) renvoie les attributs spéciaux qui indiquent au commutateur qu'une redirection de Web doit se produire. Cette solution a l'avantage pour éliminer n'importe quel retard qui était nécessaire pour que l'authentification Web donne un coup de pied. Globalement, si l'adresse MAC de la station client n'est pas connue par le serveur de rayon (mais d'autres critères peut également être utilisé), les attributs de redirection de retours de serveur, et le commutateur autorise la station (par l'intermédiaire de contournement d'authentification MAC [MAB]) mais place une liste d'accès pour réorienter le trafic web au portail. Une fois l'utilisateur ouvre une session sur le portail d'invité, il est possible par l'intermédiaire de CoA (modification de l'autorisation) pour rebondir le port de commutateur de sorte qu'une nouvelle authentification de MAB de la couche 2 se produise. L'ISE peut alors se souvenir l'était un utilisateur de webauth et s'appliquer des attributs de la couche 2 (comme VAN assignment dynamique) à l'utilisateur. Un composant d'ActiveX peut également forcer le PC client pour régénérer son adresse IP.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Cisco Identity Services Engine (ISE)
Configuration de commutateur de Cisco IOS®
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Logiciel Cisco Identity Services Engine (ISE), version 1.1.1
Commutateur de gamme Cisco Catalyst 3560 qui exécute la version de logiciel 12.2.55SE3
Note: La procédure est semblable ou identique pour d'autres modèles de commutateur de Catalyst. Vous pouvez utiliser ces étapes sur toutes les versions du logiciel Cisco IOS pour le Catalyst sauf indication contraire.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
La configuration ISE se compose de ces cinq étapes :
Ce n'est pas une étape obligatoire. L'ACL de réorientation renvoyé avec le profil central de webauth détermine ce que le trafic (HTTP ou HTTPS) est réorienté à l'ISE. L'ACL téléchargeable te permet pour définir quel trafic est permis. Vous devriez typiquement tenir compte des DN, des HTTPS, et de 8443 et refuser le repos. Autrement, le commutateur réoriente le trafic http mais permet d'autres protocoles.
Terminez-vous ces étapes afin de créer l'ACL téléchargeable :
Cette image affiche le contenu typique DACL, qui laisse :
Terminez-vous ces étapes afin de créer le profil d'autorisation :
L'attribut de réorientation définit si l'ISE voit le portail de web par défaut ou un portail web fait sur commande que l'admin ISE a créés. Par exemple, l'ACL de réorientation dans cet exemple déclenche une redirection sur le trafic de HTTP ou HTTPS du client à n'importe où. L'ACL est défini sur le commutateur plus tard dans cet exemple de configuration.
Terminez-vous ces étapes afin d'employer le profil d'authentification pour créer la règle d'authentification :
Il y a maintenant plusieurs règles de configurer dans la stratégie d'autorisation. Quand le PC est branché, il passe par le MAB ; on le suppose que l'adresse MAC n'est pas connue, ainsi le webauth et l'ACL sont retournés. Cette règle non connue de MAC est affichée dans cette image et est configurée dans cette section :
Terminez-vous ces étapes afin de créer la règle d'autorisation :
Remarque: Il est très important que cette nouvelle règle soit livré avant que la règle non connue de MAC.
Si vous assignez un VLAN, la dernière étape est pour que le PC client renouvelle son adresse IP. Cette étape est réalisée par le portail d'invité pour des clients Windows. Si vous ne placiez pas un VLAN pour la 2ème règle AUTHENTIQUE plus tôt, vous pouvez ignorer cette étape.
Si vous assigniez un VLAN, terminez-vous ces étapes afin d'activer le renouvellement IP :
Note: Cette option fonctionne seulement pour des clients Windows.
Cette section fournit un extrait de la configuration de commutateur. Voir la configuration de commutateur (pleine) pour la configuration complète.
Cet échantillon affiche une configuration simple de MAB.
interface GigabitEthernet1/0/12
description ISE1 - dot1x clients - UCS Eth0
switchport access vlan 100
switchport mode access
ip access-group webauth in
authentication order mab
authentication priority mab
authentication port-control auto
mab
spanning-tree portfast
end
VLAN 100 est le VLAN qui fournit la pleine connexion réseau. Un ACL par défaut de port (webauth Désigné) est appliqué et défini en tant qu'affiché ici :
ip access-list extended webauth
permit ip any any
Cette configuration d'échantillon donne le plein accès au réseau même si l'utilisateur n'est pas authentifié ; donc, vous pourriez vouloir limiter l'accès aux utilisateurs unauthenticated.
Dans cette configuration, le HTTP et le HTTPS parcourant ne fonctionne pas sans authentification (par l'autre ACL) puisqu'ISE est configuré pour utiliser un ACL de réorientation (nommé réorientez). Voici la définition sur le commutateur :
ip access-list extended redirect
deny ip any host <ISE ip address>
permit TCP any any eq www
permit TCP any any eq 443
Cette liste d'accès doit être définie sur le commutateur afin de définir sur quel trafic le commutateur exécutera la redirection. (Il s'assortit sur l'autorisation.) Dans cet exemple, tout trafic de HTTP ou HTTPS que le client envoie des déclencheurs à une redirection de Web. Cet exemple refuse également l'adresse IP ISE ainsi le trafic à l'ISE va à l'ISE et ne réoriente pas dans une boucle. (Dans ce scénario, refusez ne bloque pas le trafic ; il juste ne réoriente pas le trafic.) Si vous utilisez des ports HTTP peu communs ou un proxy, vous pouvez ajouter d'autres ports.
Une autre possibilité est de permettre l'accès HTTP à quelques sites Web et de réorienter d'autres sites Web. Par exemple, si vous définissez dans l'ACL une autorisation pour des web server internes seulement, les clients pourraient parcourir le Web sans authentifier mais rencontreraient la réorientation s'ils essayent d'accéder à un web server interne.
La dernière étape est de permettre le CoA sur le commutateur. Autrement, l'ISE ne peut pas forcer le commutateur pour authentifier à nouveau le client.
aaa server radius dynamic-author
client <ISE ip address> server-key <radius shared secret>
Cette commande est exigée pour que le commutateur réoriente basé sur le trafic http :
ip http server
Cette commande est exigée pour réorienter basé sur le trafic HTTPS :
ip http secure-server
Ces commandes sont également importantes :
radius-server vsa send authentication
radius-server vsa send accounting
Si l'utilisateur n'est pas encore authentifié, le num> de <interface de la session international de show authentication renvoie cette sortie :
01-SW3750-access#show auth sess int gi1/0/12
Interface: GigabitEthernet1/0/12
MAC Address: 000f.b049.5c4b
IP Address: 192.168.33.201
User-Name: 00-0F-B0-49-5C-4B
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: single-host
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: N/A
ACS ACL: xACSACLx-IP-myDACL-51519b43
URL Redirect ACL: redirect
URL Redirect: https://ISE2.wlaaan.com:8443/guestportal/gateway?
sessionId=C0A82102000002D8489E0E84&action=cwa
Session timeout: N/A
Idle timeout: N/A
Common Session ID: C0A82102000002D8489E0E84
Acct Session ID: 0x000002FA
Handle: 0xF60002D9
Runnable methods list:
Method State
mab Authc Success
Note: En dépit d'une authentification réussie de MAB, l'ACL de réorientation est placé puisque l'adresse MAC n'a pas été connue par l'ISE.
Cette section répertorie la configuration de plein commutateur. Quelques interfaces et lignes de commande inutiles ont été omises ; donc, cette configuration d'échantillon devrait être utilisée pour la référence seulement et ne devrait pas être copiée.
Building configuration...
Current configuration : 6885 bytes
!
version 15.0
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
no service password-encryption
!
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$xqtx$VPsZHbpGmLyH/EOObPpla.
!
aaa new-model
!
!
aaa group server radius newGroup
!
aaa authentication login default local
aaa authentication dot1x default group radius
aaa authorization exec default none
aaa authorization network default group radius
!
!
!
!
aaa server radius dynamic-author
client 192.168.131.1 server-key cisco
!
aaa session-id common
clock timezone CET 2 0
system mtu routing 1500
vtp interface Vlan61
udld enable
nmsp enable
ip routing
ip dhcp binding cleanup interval 600
!
!
ip dhcp snooping
ip device tracking
!
!
crypto pki trustpoint TP-self-signed-1351605760
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1351605760
revocation-check none
rsakeypair TP-self-signed-1351605760
!
!
crypto pki certificate chain TP-self-signed-1351605760
certificate self-signed 01
30820245 308201AE A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31333531 36303537 3630301E 170D3933 30333031 30303033
35385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 33353136
30353736 3030819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B068 86D31732 E73D2FAD 05795D6D 402CE60A B93D4A88 C98C3F54 0982911D
D211EC23 77734A5B 7D7E5684 388AD095 67354C95 92FD05E3 F3385391 8AB9A866
B5925E04 A846F740 1C9AC0D9 6C829511 D9C5308F 13C4EA86 AF96A94E CD57B565
92317B2E 75D6AB18 04AC7E14 3923D3AC 0F19BC6A 816E6FA4 5F08CDA5 B95D334F
DA410203 010001A3 6D306B30 0F060355 1D130101 FF040530 030101FF 30180603
551D1104 11300F82 0D69696C 796E6173 2D333536 302E301F 0603551D 23041830
16801457 D1216AF3 F0841465 3DDDD4C9 D08E06C5 9890D530 1D060355 1D0E0416
041457D1 216AF3F0 8414653D DDD4C9D0 8E06C598 90D5300D 06092A86 4886F70D
01010405 00038181 0014DC5C 2D19D7E9 CB3E8ECE F7CF2185 32D8FE70 405CAA03
dot1x system-auth-control
dot1x critical eapol
!
!
!
errdisable recovery cause bpduguard
errdisable recovery interval 60
!
spanning-tree mode pvst
spanning-tree logging
spanning-tree portfast bpduguard default
spanning-tree extend system-id
spanning-tree vlan 1-200 priority 24576
!
vlan internal allocation policy ascending
lldp run
!
!
!
!
!
!
interface FastEthernet0/2
switchport access vlan 33
switchport mode access
authentication order mab
authentication priority mab
authentication port-control auto
mab
spanning-tree portfast
!
interface Vlan33
ip address 192.168.33.2 255.255.255.0
!
ip default-gateway 192.168.33.1
ip http server
ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 192.168.33.1
!
ip access-list extended MY_TEST
permit ip any any
ip access-list extended redirect
deny ip any host 192.168.131.1
permit tcp any any eq www
permit tcp any any eq 443
ip access-list extended webAuthList
permit ip any any
!
ip sla enable reaction-alerts
logging esm config
logging trap warnings
logging facility auth
logging 10.48.76.31
snmp-server community c3560public RO
snmp-server community c3560private RW
snmp-server community private RO
radius-server host 192.168.131.1 auth-port 1812 acct-port 1813 key cisco
radius-server vsa send authentication
radius-server vsa send accounting
!
!
!
privilege exec level 15 configure terminal
privilege exec level 15 configure
privilege exec level 2 debug radius
privilege exec level 2 debug aaa
privilege exec level 2 debug
!
line con 0
line vty 0 4
exec-timeout 0 0
password Cisco123
authorization commands 1 MyTacacs
authorization commands 2 MyTacacs
authorization commands 15 MyTacacs
authorization exec MyTacacs
login authentication MyTacacs
line vty 5 15
!
ntp server 10.48.76.33
end
Si vous utilisez un proxy HTTP pour vos clients, il signifie que vos clients :
Afin de faire écouter le commutateur sur le port peu conventionnel (par exemple, 8080), utilisez ces commandes :
ip http port 8080
ip port-map http port 8080
Vous devez également configurer tous les clients pour continuer à utiliser leur proxy mais pour ne pas utiliser le proxy pour l'adresse IP ISE. Tous les navigateurs incluent une caractéristique qui te permet pour écrire les noms d'hôte ou les adresses IP qui ne devraient pas utiliser le proxy. Si vous n'ajoutez pas l'exception pour l'ISE, vous rencontrez une page d'authentification de boucle.
Vous devez également modifier votre ACL de redirection pour autoriser sur le port de proxy (8080 dans cet exemple).
À ce moment, le commutateur a besoin d'une interface virtuelle de commutateur (SVI) afin de répondre au client et envoyer la redirection de portail web au client. Ce SVI ne doit pas nécessairement être sur le client subnet/VLAN. Cependant, si le commutateur n'a aucun SVI dans le client subnet/VLAN, il doit utiliser l'un des d'autres SVI et envoyer le trafic comme défini dans la table de routage de client. Ceci signifie typiquement que le trafic est envoyé à une autre passerelle au centre du réseau ; ce trafic revient au commutateur d'accès à l'intérieur du sous-réseau de client.
De Pare-feu le trafic de bloc typiquement et derrière le même commutateur, comme dans ce scénario, ainsi la redirection ne pourrait pas fonctionner correctement. Les contournements sont de permettre ce comportement sur le Pare-feu ou de créer un SVI sur le commutateur d'accès dans le sous-réseau de client.
Les Commutateurs peuvent réorienter le trafic HTTPS. Ainsi, si le client d'invité a une page d'accueil dans HTTPS, la redirection se produit correctement.
Le concept entier de la redirection est basé sur le fait qu'un périphérique (dans ce cas, le commutateur) charrie l'adresse IP de site Web. Cependant, un problème crucial surgit quand le commutateur intercepte et réoriente le trafic HTTPS parce que le commutateur peut présenter seulement son propre certificat dans la prise de contact de Transport Layer Security (TLS). Puisque ce n'est pas le même certificat que le site Web initialement demandé, la plupart de commandant de question de navigateurs alerte. Les navigateurs manipulent correctement la redirection et la présentation d'un autre certificat comme problème de sécurité. Il n'y a aucun contournement pour ceci, et il n'y a aucune manière pour que le commutateur charrie votre certificat d'origine de site Web.
Le PC client branche et exécute le MAB. L'adresse MAC n'est pas connue, ainsi ISE pousse les attributs de redirection de nouveau au commutateur. Les essais d'utilisateur à aller à un site Web et est réorientés.
Quand l'authentification de la page de connexion est réussie, l'ISE rebondit le switchport par la modification de l'autorisation, qui reprend une authentification de MAB de la couche 2.
Cependant, l'ISE sait que c'est un ancien client de webauth et autorise le client basé sur les qualifications de webauth (bien que c'est une authentification de la couche 2).
Dans les logs d'authentification ISE, l'authentification de MAB apparaît au bas du log. Bien qu'il soit inconnu, l'adresse MAC a été authentifiée et profilée, et les attributs de webauth ont été retournés. Ensuite, l'authentification se produit avec le nom d'utilisateur de l'utilisateur (c'est-à-dire, les types d'utilisateur ses qualifications dans la page de connexion). Juste après l'authentification, une nouvelle authentification de la couche 2 se produit avec le nom d'utilisateur comme qualifications ; cette étape d'authentification est où vous pouvez retourner attribue un tel VLAN dynamique.
Aucune procédure de vérification n'est disponible pour cette configuration.
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.