Authentification Web centrale exemple sur WLC et ISE configuration

Introduction

Ce document décrit un exemple de configuration qui est utilisé afin de se terminer l'authentification Web centrale (CWA) sur le contrôleur LAN Sans fil (WLC).

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Version 2.0 de Cisco Identity Services Engine Software
  
  
• Version de logiciel 8.2.141.0 de Cisco WLC

Configurez

La première méthode d'authentification Web est authentification Web locale. Dans ce cas, le WLC réoriente le trafic http à un interne ou à un serveur externe où l'utilisateur est incité à authentifier. Le WLC alors cherche les qualifications (renvoyées par l'intermédiaire d'une requête HTTP GET dans le cas d'un serveur externe) et fait une authentification de RAYON. Dans le cas d'un utilisateur d'invité, un serveur externe (tel que Cisco Identity Services Engine (ISE) ou NAC Guest Server (NGS)) est exigé parce que le portail fournit des caractéristiques telles que l'enregistrement et l'auto-ravitaillement de périphérique. L'écoulement inclut ces étapes :

1. Les associés d'utilisateur à l'Identifiant SSID (Service Set Identifier) d'authentification Web.
   
   
2. L'utilisateur ouvre le navigateur.
   
   
3. Les redirect to WLC le portail d'invité (tel qu'ISE ou NGS) dès qu'un URL sera écrit.
   
   
4. L'utilisateur authentifie sur le portail.
   
   
5. Le portail d'invité réoriente de nouveau au WLC avec les qualifications entrées.
   
   
6. Le WLC authentifie l'utilisateur d'invité par l'intermédiaire du RAYON.
   
   
7. Le WLC réoriente de nouveau à l'URL d'original.

Cet écoulement inclut plusieurs redirections. La nouvelle approche est d'utiliser CWA. Cette méthode fonctionne avec ISE (versions plus tard que 1.1) et WLC (versions plus tard que 7.2). L'écoulement inclut ces étapes :

1. L'utilisateur s'associe à l'authentification Web SSID, qui est en fait open+macfiltering et aucun degré de sécurité de la couche 3.
   
   
2. L'utilisateur ouvre le navigateur.
   
   
3. Les redirect to WLC le portail d'invité.
   
   
4. L'utilisateur authentifie sur le portail.
   
   
5. L'ISE envoie une modification de RAYON de l'autorisation (CoA - port UDP 1700) d'indiquer au contrôleur que l'utilisateur est valide, et pousse par la suite des attributs RADIUS tels que la liste de contrôle d'accès (ACL).
   
   
6. L'utilisateur est incité à relancer l'URL d'original.

L'installation utilisée est :

Configuration WLC

La configuration WLC est assez simple. Une astuce est utilisée (mêmes que sur des Commutateurs) afin d'obtenir l'authentication url dynamique de l'ISE (puisqu'elle utilise la modification de l'autorisation (CoA), une session doit être créée et l'ID de session fait partie de l'URL). Le SSID est configuré afin d'utiliser le filtrage MAC. L'ISE est configuré afin de renvoyer un Access-recevoir même si l'adresse MAC n'est pas trouvée, de sorte qu'elle envoie l'URL de redirection pour tous les utilisateurs. 

En plus de ceci, le Contrôle d'admission au réseau (NAC) ISE et le dépassement d'Authentification, autorisation et comptabilité (AAA) doivent être activés. L'ISE NAC permet à l'ISE pour envoyer une demande CoA qui indique que l'utilisateur est maintenant authentifié et peut accéder au réseau. Il est également utilisé pour l'estimation de posture, dans ce cas l'ISE change le profil utilisateur basé sur le résultat de posture.

Assurez-vous que le serveur de RAYON a le « soutien du CoA » activé, qui est par défaut.

La dernière étape est de créer un ACL de réorientation. Cet ACL est mis en référence dans l'Access-recevoir de l'ISE et définit quel trafic devrait être réorienté (refusé par l'ACL) et quel trafic ne devrait pas être réorienté (autorisé par l'ACL). Voici que vous empêchez juste du trafic de redirection vers l'ISE. Vous pourriez vouloir être plus de particularité et empêcher seulement le trafic à/de l'ISE sur le port 8443 (portail d'invité), mais réorientez toujours si des essais d'un utilisateur pour accéder à l'ISE sur le port 80/443.

Remarque: Les versions antérieures du logiciel WLC telles que 7.2 ou 7.3 n'ont pas exigé de vous de spécifier le Système de noms de domaine (DNS), mais les versions postérieures de code exigent de vous de permettre le trafic DNS sur le ce réorientent l'ACL.

La configuration est maintenant complète sur le WLC.

Configuration ISE

Créez le profil d'autorisation

Sur l'ISE, le profil d'autorisation doit être créé. Puis, l'authentification et les stratégies d'autorisation sont configurées. Le WLC devrait déjà être configuré comme périphérique de réseau.

Dans le profil d'autorisation, écrivez le nom de l'ACL créé plus tôt sur le WLC.

1. Cliquez sur la stratégie, et puis cliquez sur les éléments de stratégie.
   
   
2. Résultats de clic.
   
   
3. Développez l'autorisation, et puis cliquez sur le profil d'autorisation.
   
   
4. Cliquez sur le bouton d'ajouter afin de créer un nouveau profil d'autorisation pour le webauth central.
   
   
5. Dans la zone d'identification, écrivez un nom pour le profil. Cet exemple utilise WLC_CWA.
   
   
6. Choisissez ACCESS_ACCEPT de la liste déroulante de type d'Access.
   
   
7. Cochez la case de redirection de Web, et choisissez le Web centralisé authentique de la liste déroulante.
   
   
8. Dans le domaine d'ACL, écrivez le nom de l'ACL sur le commutateur qui définit le trafic à réorienter. Cet exemple utilise le cwa_redirect.
   
   
9. Dans le domaine de valeur, on peut choisir le portail portail ou Auto-enregistré commandité d'invité d'invité de la liste déroulante. Dans le portail commandité d'invité, les sponsors créent des comptes d'invité, et les invités accèdent au réseau utilisant leur nom d'utilisateur et mot de passe assigné tandis que dans le portail d'invité d'auto-enregistrement, des invités sont permis pour créer leurs comptes personnels et pour accéder au réseau utilisant leur nom d'utilisateur et mot de passe assigné. Cet exemple utilise le portail commandité d'invité.

Créez une règle d'authentification

Assurez-vous que l'ISE reçoit toutes les authentifications MAC du WLC et assurez-vous qu'il poursuivra l'authentification même si l'utilisateur n'est pas trouvé.

Sous le menu de stratégie, authentification de clic.

La prochaine image affiche un exemple de la façon configurer la règle de stratégie d'authentification. Dans cet exemple, on configure une règle qui déclenche quand le MAB est détecté.

1. Écrivez un nom pour votre règle d'authentification. Cet exemple utilise le MAB, qui existe déjà par défaut sur la version 1.2 ISE.
   
   
2. Sélectionnez (+) l'icône plus dans si champ de condition.
   
   
3. Choisissez l'état composé, et puis choisissez Wired_MAB OU Wireless_MAB.
   
   
4. Cliquez sur la flèche localisée à côté de et… afin de développer la règle plus loin.
   
   
5. Cliquez sur + icône dans le domaine de source d'identité, et choisissez les points finaux internes.
   
   
6. Choisissez continuent du si liste déroulante non trouvée d'utilisateur.

Remarque: Il y a maintenant une règle d'authentification de MAB créée sur l'ISE par défaut.

Créez une stratégie d'autorisation

Configurez la stratégie d'autorisation. Un point important à comprendre est qu'il y a deux authentifications/autorisations :

• Le premier est quand l'utilisateur s'associe au SSID (« CWA » dans ce cas) et le profil CWA est retourné.
  Dans cet exemple l'Airespace-WLAN-id est utilisé comme condition. Quand un client se connecte au SSID, la demande d'accès de RAYON à ISE contient l'attribut d'Airespace-WLAN-ID. Cet attribut est utilisé pour prendre des décisions politiques dans ISE. Ainsi quand un client inconnu se connecte à SSID CWA, ISE envoie un acceess-recevoir avec réoriente URL (portail web) et ACL. L'utilisation de la règle d'Airespace-WLAN-id s'assure que la page du portail est présentée aux utilisateurs qui se connectent seulement au CWA SSID. 

• Le deuxième est quand l'utilisateur authentifie sur le portail web. Celui-ci apparie la règle par défaut (utilisateurs internes) dans cette configuration (il peut être configuré afin de répondre à vos exigences). Il est important que la pièce d'autorisation n'apparie pas le profil CWA de nouveau. Autrement, il y aura une boucle de redirection. L'accès au réseau : L'attribut d'écoulement d'invité d'égaux d'UseCase peut être utilisé afin d'apparier cette deuxième authentification. Le résultat ressemble à ceci :

Terminez-vous ces étapes afin de créer les règles d'autorisation suivant les indications des images précédentes :

1. Créez une nouvelle règle, et écrivez un nom. Cet exemple utilise la redirection d'invité.
   
   
2. Cliquez sur (+) l'icône plus dans le domaine de condition, et choisissez de créer un nouvel état.
   
   
3. Développez la liste déroulante d'expression.
   
   
4. Choisissez Airespace, et développez-le.
   
   
5. Cliquez sur Airespace-Wlan-Id--[1], et choisissez l'opérateur d'égaux.
   
   
6. Écrivez l'ID de WLAN dans le domaine droit, dans cet exemple 1. 
   
   
7. À la page générale d'autorisation, choisissez WLC_CWA (profil d'autorisation) dans le domaine à la droite du mot alors.
   
   Cette étape permet à l'ISE pour continuer quoique l'utilisateur (ou l'adresse MAC) ne soit pas connu une fois connectée à CWA SSID et les présente avec le portail de procédure de connexion.
   
   
8. Cliquez sur les actions se boutonnent situé à la fin de la règle de redirection d'invité, et choisissent d'insérer une nouvelle règle avant elle.
   
   

   Remarque: Il est très important que cette nouvelle règle soit livré avant que la règle de redirection d'invité.

   
   
   
9. Écrivez un nom pour la nouvelle règle. Cet exemple utilise authentique portail d'invité.
   
   
10. Dans le domaine de condition, cliquez sur (+) l'icône plus, et choisissez de créer un nouvel état.
    
    
11. Choisissez l'accès au réseau, et cliquez sur UseCase.
    
    
12. Choisissez les égaux en tant qu'opérateur.
    
    
13. Choisissez GuestFlow comme bon opérande.
    
    
14. À la page d'autorisation, cliquez sur (+) l'icône plus (située à côté de puis) afin de choisir un résultat pour votre règle.
    
    Vous pouvez choisir une option d'Access d'autorisation ou créer un profil fait sur commande afin de renvoyer le VLAN ou les attributs ces vous aimez. Notez que sur si GuestFlow, vous peut ajouter plus de conditions afin de renvoyer de divers profils d'authz basés sur le groupe d'utilisateurs. Comme mentionné dans l'étape 7, les correspondances authentiques portailes de cette règle d'invité sur la deuxième authentification d'adresse MAC initiée après la procédure de connexion portaile réussie et après ISE ont envoyé un CoA afin d'authentifier à nouveau le client. La différence avec cette deuxième authentification est que, au lieu d'être livré à ISE avec simplement son adresse MAC, ISE se souvient le nom d'utilisateur donné dans le portail. Vous pouvez établir cette règle d'autorisation prendre en considération les qualifications entrées quelques millisecondes avant dans le portail d'invité.

Remarque: Dans un environnement multi de contrôleur l'ID de WLAN devrait être identique à travers le WLCs. Si on ne veut pas utiliser l'attribut d'Airespace-WLAN-id comme condition, alors il vaut mieux d'apparier des demandes de Wireless_MAB (condition intégrée). 

Activez le renouvellement IP (facultatif)

Si vous assignez un VLAN, la dernière étape est pour que le PC client renouvelle son adresse IP. Cette étape est réalisée par le portail d'invité pour des clients Windows. Si vous ne placiez pas un VLAN pour la 2ème règle AUTHENTIQUE plus tôt, vous pouvez ignorer cette étape.

Si vous assigniez un VLAN, terminez-vous ces étapes afin d'activer le renouvellement IP :

1. Cliquez sur l'accès invité, et puis cliquez sur Configure.
   
   
2. Portails d'invité de clic.
   
   
3. Cliquez sur le portail commandité d'invité (utilisé dans cet exemple), et puis développez les mises en page de release DHCP VLAN.
   
   
4. Cliquez sur la case de release DHCP VLAN.
   
   

   Remarque: Cette option fonctionne seulement pour des clients Windows.

Scénario Ancre-étranger

Cette installation peut également fonctionner avec la configuration d'auto-ancrage du WLCs. Le seul crochet est celui puisque cette méthode d'authentification Web est la couche 2, vous doivent se rendre compte que ce sera le WLC étranger qui effectue tout les travail de RAYON. Seulement le WLC étranger entre en contact avec l'ISE, et l'ACL de redirection doit être présent également sur le WLC étranger.

Juste comme dans d'autres scénarios, le WLC étranger affiche rapidement que le client était dans l'état de PASSAGE, qui n'est pas entièrement vrai. Il signifie simplement que le trafic est envoyé à l'ancre de là. Le vrai état de client peut être vu sur l'ancre où il devrait afficher CENTRAL_WEBAUTH_REQD.

Voici l'écoulement dans une installation ancre-étrangère :

1. Le client se connecte au SSID sur le WLC étranger. Le WLC étranger contacte le serveur ISE pour le MAB. ISE envoie Access-reçoit avec l'URL de réorientation et réoriente l'ACL à l'étranger.
2. Maintenant le client est ancré à l'ancre WLC où elle obtient une adresse IP et est mis dans CENTRAL_WEBAUTH_REQD.
3. Quand les essais de client pour accéder à un site Web, l'ancre WLC réoriente le client à la page du portail ISE. Le client est présenté avec la page de connexion.
4. Après procédure de connexion réussie, ISE envoie un CoA au WLC étranger.
5. Le WLC étranger entre en contact avec l'ancre WLC pour la faire savoir pour mettre le client dans l'état de PASSAGE.
6. Tout le trafic de client est expédié d'étranger pour ancrer, et sort de l'ancre WLC.

Les ports de Pare-feu qui sont exigés pour permettre la transmission entre le WLC et l'ISE sont :

• UDP:1645, 1812 (authentification de RAYON)
• UDP:1646, 1813 (comptabilité de RAYON)
• UDP:1700 (CoA de RAYON)
• Invité TCP:8443 portail ou 8905 si vous avez poser. 

Remarque: L'installation ancre-étrangère avec l'authentification Web centrale (CWA) fonctionne seulement dans des versions 7.3 ou plus tard.

Remarque: En raison de l'ID de bogue Cisco CSCuo56780 (même dans les versions qui incluent des difficultés), vous ne pouvez pas exécuter la comptabilité sur l'ancre et étranger parce qu'elle entraîne le profilage à devenir due inexact à un manque potentiel d'attache d'IP-à-MAC. Il crée également beaucoup de questions avec l'ID de session pour des portails d'invité. Si vous désirez configurer la comptabilité, alors configurez-la sur le contrôleur étranger.

Vérifiez

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

1. Une fois que l'utilisateur est associé au SSID, WLC entre en contact avec l'ISE (pendant que le filtrage MAC est configuré). ISE a été configuré pour renvoyer l'accès reçoit avec réoriente l'URL et l'ACL. C'est la première authentification.

   Les petits groupes de client dans le WLC prouvent que l'URL de redirection et l'ACL sont appliqués.

   

   Dans WLC le client et l'AAA tous mettent au point, vous pouvez voir l'accès recevoir avec l'URL de réorientation et l'ACL envoyés de l'ISE.

   *radiusTransportThread: 5c:c5:d4:b1:09:95 Access-Accept received from RADIUS server 10.48.39.161
   *radiusTransportThread: AVP[04] Cisco / Url-Redirect-Acl.................cwa_redirect (12 bytes)
   *radiusTransportThread: AVP[05] Cisco / Url-Redirect.....................DATA (177 bytes)
   
   *apfReceiveTask: 5c:c5:d4:b1:09:95 Redirect URL received for client from RADIUS.
    Client will be moved to WebAuth_Reqd state to facilitate redirection. Skip web-auth Flag = 0
   *apfReceiveTask: 5c:c5:d4:b1:09:95 AAA Override Url-Redirect-Acl 'cwa_redirect' 

   La même chose peut également être vérifiée dans l'ISE. Choisissez les livelogs d'exécutions > de rayon. Cliquez sur le détail pour ce MAC.

   Vous pouvez voir que pour la première authentification (filtrage MAC) ISE renvoie le profil WLC_CWA d'AuthZ pendant qu'il frappe la redirection d'invité de stratégie de MAB et d'authz de règle d'authentification. 

   

2. En ce moment le client obtient une adresse IP. Maintenant le client est dans l'état CENTRAL_WEB_AUTH. Quand n'importe quelle adresse est ouverte sur le client, le navigateur est réorienté à l'ISE. Assurez-vous que les DN est installés correctement.

   

3. Une fois que les qualifications correctes sont entrées, on accorde l'accès au réseau. C'est la deuxième authentification.

   

   Quand les qualifications sont entrées, ISE authentifie le client et envoie le CoA. 

   

   

   Sur le WLC ceci peut être vu dans l'AAA que tout met au point.

   *radiusCoASupportTransportThread: audit session ID recieved in CoA = 0a30279c0000003b58887c51 
   *radiusCoASupportTransportThread: Received a 'CoA-Request' from 10.48.39.161
   
   *radiusCoASupportTransportThread: CoA - Received IP Address : 10.48.39.156
   *radiusCoASupportTransportThread: 5c:c5:d4:b1:09:95 Calling-Station-Id ---> 5c:c5:d4:b1:09:95
   *radiusCoASupportTransportThread: Handling a valid 'CoA-Request' regarding station 5c:c5:d4:b1:09:95
   *radiusCoASupportTransportThread: 5c:c5:d4:b1:09:95 Reauthenticating station 5c:c5:d4:b1:09:95
   *radiusCoASupportTransportThread: Sent a 'CoA-Ack' to 10.48.39.161 

4. Après ceci le client est authentifié à nouveau et accès accordé au réseau. 

   

5. Sur le contrôleur, l'état de Policy Manager et des modifications d'état du RAYON NAC de CENTRAL_WEB_AUTH À S'EXÉCUTER.

   Remarque: Dans la version 7.2 ou plus tôt, l'état CENTRAL_WEB_AUTH s'est appelé le POSTURE_REQD.

Notez que le type de CoA est retourné par ISE évolué à travers des versions. ISE 2.0 invitera le WLC à réexécuter l'authentification plutôt que déconnecte ordinairement le client.

Exemple de demande CoA ISE 2.0 :

Le WLC n'enverra alors pas une trame de dissassociation au client et exécutera une authentification de rayon de nouveau et s'appliquera le nouveau résultat d'une manière transparente au client.

Cependant, les choses sont encore différentes si un PSK est en service. Depuis 8.3, le WLC prend en charge placer une clé pré-partagée WPA sur un CWA SSID. Dans cela aimable de la situation, à la réception du même CoA d'ISE comme ci-dessus, le WLC devra déclencher un nouvel échange de clé WPA de nouveau. Par conséquent en cas de PSK, le WLC devra envoyer une trame dissociée au client qui devra rebrancher. Dans les scénarios classiques de non-PSK, le WLC n'enverra pas une trame dissociée au client et appliquera simplement le nouveau résultat d'autorisation. Toutefois une « réponse d'association » sera encore envoyée à ot le client bien qu'aucune « demande d'association » n'ait été jamais reçue du client, qui pourrait sembler curieux en analysant des tracés de renifleur.

Dépannez

Terminez-vous ces étapes afin de dépanner ou isoler un problème CWA :

1. Écrivez le client de débogage < le MAC address de la commande de client> sur le contrôleur et le moniteur afin de déterminer si le client atteint l'état CENTRAL_WEBAUTH_REQD. On observe un problème courant quand l'ISE renvoie un ACL de réorientation qui n'existe pas (ou n'est pas correctement entrer) sur le WLC. Si c'est le cas, alors le client est désauthentifié une fois que l'état CENTRAL_WEBAUTH_REQD est atteint, qui fait commencer le processus de nouveau.
   
   
2. Si l'état de client correct peut être atteint, alors naviguez pour surveiller > des clients sur le GUI de Web WLC et pour vérifier que les corrects réorientent l'ACL et l'URL sont appliqué pour le client.
   
   
3. Vérifiez que les DN corrects est utilisés. Le client devrait avoir la capacité de résoudre les sites Web d'Internet et l'adresse Internet ISE. Vous pouvez vérifier ceci par l'intermédiaire du nslookup.
   
   
4. Vérifiez que toutes les étapes d'authentification se produisent sur l'ISE :
   
   
   • L'authentification MAC devrait se produire d'abord, à laquelle des attributs CWA sont retournés.
     
     
   • L'authentification de connexion portaile se produit.
     
     
   • L'autorisation dynamique se produit.
     
     
   • L'authentification finale est une authentification MAC qui affiche le nom d'utilisateur portail sur l'ISE, auquel les résultats finaux d'autorisation sont retournés (comme la finale VLAN et l'ACL).

Considérations spéciales pour ancrer des scénarios

Considérez ces id de bogue Cisco qui limitent l'efficacité du processus CWA dans un scénario de mobilité (particulièrement quand rendant compte est configuré) :

• CSCuo56780 - Vulnérabilité de Déni de service de service RADIUS ISE
  
  
• CSCul83594 - Session-id n'est pas synchronisé à travers la mobilité, si le réseau est ouvert