Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit un exemple de configuration qui est utilisé afin de terminer l'authentification Web centrale (CWA) sur le contrôleur de réseau local sans fil (WLC).
Il est remplacé par le guide de déploiement invité plus complet disponible ici : https://communities.cisco.com/docs/DOC-77590
Aucune spécification déterminée n'est requise pour ce document.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
La première méthode d'authentification Web est l'authentification Web locale. Dans ce cas, le WLC redirige le trafic HTTP vers un serveur interne ou externe où l'utilisateur est invité à s'authentifier. Le WLC récupère ensuite les informations d'identification (renvoyées via une requête HTTP GET dans le cas d'un serveur externe) et effectue une authentification RADIUS. Dans le cas d'un utilisateur invité, un serveur externe tel que Identity Services Engine (ISE) est requis car le portail fournit des fonctionnalités telles que l'enregistrement des périphériques et l'auto-approvisionnement. Le flux comprend les étapes suivantes :
Ce flux comprend plusieurs redirections. La nouvelle approche consiste à utiliser le CWA. Le flux comprend les étapes suivantes :
La configuration utilisée est la suivante :
La configuration du WLC est assez simple. Une astuce est utilisée (comme sur les commutateurs) afin d'obtenir l'URL d'authentification dynamique de l'ISE (puisqu'il utilise la modification d'autorisation (CoA), une session doit être créée et l'ID de session fait partie de l'URL). Le SSID est configuré afin d'utiliser le filtrage MAC. L'ISE est configuré afin de renvoyer un access-accept même si l'adresse MAC est introuvable afin d'envoyer l'URL de redirection pour tous les utilisateurs.
En outre, la substitution NAC (Network Admission Control) et AAA (Authentication, Authorization and Accounting) ISE doit être activée. Le NAC ISE permet à l'ISE d'envoyer une requête CoA qui indique que l'utilisateur est maintenant authentifié et qu'il peut accéder au réseau. Il est également utilisé pour l'évaluation de la posture, auquel cas l'ISE modifie le profil utilisateur en fonction du résultat de la posture.
Assurez-vous que le serveur RADIUS a pris en charge CoA activé, qui est par défaut activé.
La dernière étape consiste à créer une liste de contrôle d’accès de redirection. Cette liste de contrôle d’accès est référencée dans l’acceptation d’accès de l’ISE et définit le trafic qui doit être redirigé (refusé par la liste de contrôle d’accès) et le trafic qui ne doit pas être redirigé (autorisé par la liste de contrôle d’accès). Ici, vous empêchez simplement le trafic de redirection vers l'ISE. Vous pouvez être plus spécifique et empêcher uniquement le trafic en provenance/à destination de l'ISE sur le port 8443 (portail invité), mais toujours rediriger si un utilisateur tente d'accéder à l'ISE sur le port 80/443.
Note: Les versions antérieures du logiciel WLC, telles que 7.2 ou 7.3, ne vous demandaient pas de spécifier DNS (Domain Name System), mais les versions ultérieures de code vous obligent à autoriser le trafic DNS sur cette liste de contrôle d'accès de redirection.
La configuration est maintenant terminée sur le WLC.
Sur ISE, le profil d'autorisation doit être créé. Ensuite, les stratégies d'authentification et d'autorisation sont configurées. Le WLC doit déjà être configuré en tant que périphérique réseau.
Dans le profil d'autorisation, saisissez le nom de la liste de contrôle d'accès créée précédemment sur le WLC.
Assurez-vous que l'ISE accepte toutes les authentifications MAC du WLC et assurez-vous qu'il poursuivra l'authentification même si l'utilisateur est introuvable.
Sous Stratégie > Jeux de stratégies > Jeu de stratégies par défaut, cliquez sur Authentification.
L'image suivante montre un exemple de configuration de la règle de stratégie d'authentification. Dans cet exemple, une règle est configurée qui se déclenche lorsque MAB est détecté.
Note: La règle d'authentification MAB est déjà créée par défaut sur ISE.
Configurez la stratégie d'autorisation. Il est important de comprendre qu'il existe deux authentifications/autorisations :
Complétez ces étapes afin de créer les règles d'autorisation comme indiqué dans les images précédentes :
Note: Il est très important que cette nouvelle règle soit antérieure à la règle Guest Redirection.
Note: Dans un environnement multicontrôleur, l'ID de réseau local sans fil doit être identique sur tous les WLC. Si vous ne voulez pas utiliser l'attribut Airespace-Wlan-Id comme condition, il est préférable de faire correspondre les requêtes Wireless_MAB (condition intégrée).
Si vous affectez un VLAN, la dernière étape consiste pour le PC client à renouveler son adresse IP. Cette étape est réalisée par le portail invité pour les clients Windows. Si vous n'avez pas défini de VLAN pour la 2e règle AUTH précédemment, vous pouvez ignorer cette étape. Il ne s'agit pas d'une conception recommandée car le fait de modifier le VLAN client après qu'il ait déjà une adresse IP perturbera la connectivité, certains clients pourraient y réagir à tort et nécessite des privilèges Windows élevés pour fonctionner correctement.
Si vous avez attribué un VLAN, procédez comme suit afin d'activer le renouvellement IP :
Note: La prise en charge de la version DHCP du VLAN est disponible uniquement pour les périphériques Windows. Il n'est pas disponible pour les appareils mobiles. Si le périphérique enregistré est mobile et que l'option de libération DHCP VLAN est activée, l'invité est invité à renouveler manuellement son adresse IP. Pour les utilisateurs de périphériques mobiles, nous vous recommandons d'utiliser des listes de contrôle d'accès (ACL) sur le WLC, plutôt que d'utiliser des VLAN.
Cette configuration peut également fonctionner avec la fonction d'ancrage automatique des WLC. Le seul hic est que puisque cette méthode d'authentification Web est la couche 2, vous devez être conscient que ce sera le WLC étranger qui fait tout le fonctionnement de RADIUS. Seul le WLC étranger contacte l'ISE, et la liste de contrôle d'accès de redirection doit être également présente sur le WLC étranger. Le nom de la liste de contrôle d’accès doit exister au niveau de l’étranger (n’a pas besoin d’entrées de liste de contrôle d’accès). Le WLC étranger enverra le nom de la liste de contrôle d'accès à l'ancrage et il sera l'ancrage qui appliquera la redirection (et aura donc besoin du contenu ALC approprié).
Comme dans d'autres scénarios, le WLC étranger montre rapidement que le client est dans l'état RUN, ce qui n'est pas entièrement vrai. Cela signifie simplement que le trafic est envoyé à l'ancre à partir de là. L'état réel du client peut être vu sur l'ancre où il doit afficher CENTRAL_WEBAUTH_REQD.
Voici le flux dans une configuration ancre-étranger :
Les ports de pare-feu requis pour permettre la communication entre le WLC et ISE sont les suivants :
Note: La configuration d'ancrage étranger avec l'authentification Web centrale (CWA) ne fonctionne que dans les versions 7.3 ou ultérieures.
Note: En raison de l'ID de bogue Cisco CSCul83594, vous ne pouvez pas exécuter la comptabilité à la fois sur ancor et à l'étranger, car cela rend le profilage inexact en raison d'un manque potentiel de liaison IP/MAC. Il crée également de nombreux problèmes avec l'ID de session pour les portails invités. Si vous souhaitez configurer la comptabilité, configurez-la sur le contrôleur étranger. Notez que ce ne devrait plus être le cas pour le démarrage du logiciel WLC 8.6 où l'ID de session sera partagé entre l'ancre et les contrôleurs étrangers et la comptabilité sera alors possible d'activer sur les deux.
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
Les détails du client dans le WLC montrent que l'URL de redirection et la liste de contrôle d'accès sont appliquées.
Dans le client WLC et AAA all debug, vous pouvez voir l'accès accepté avec l'URL de redirection et l'ACL envoyées à partir de l'ISE.
*radiusTransportThread: d0:37:45:89:ef:64 Access-Accept received from RADIUS server 10.106.32.25 (qid:4) with port:1812, pktId:24 for mobile d0:37:45:89:ef:64 receiveId = 0
*radiusTransportThread: AuthorizationResponse: 0x166ab570
*radiusTransportThread: structureSize................................425
*radiusTransportThread: resultCode...................................0
*radiusTransportThread: protocolUsed.................................0x00000001
*radiusTransportThread: proxyState...................................D0:37:45:89:EF:64-00:00
*radiusTransportThread: Packet contains 4 AVPs:
*radiusTransportThread: AVP[01] User-Name................................D0-37-45-89-EF-64 (17 bytes)
*radiusTransportThread: AVP[02] Class....................................CACS:0a6a207a0000000a5fe8f217:ISE3-1/397801666/90 (49 bytes)
*radiusTransportThread: AVP[03] Cisco / Url-Redirect-Acl.................CWA_Redirect (12 bytes)
*radiusTransportThread: AVP[04] Cisco / Url-Redirect.....................DATA (175 bytes)
*radiusTransportThread: d0:37:45:89:ef:64 processing avps[0]: attribute 1
*radiusTransportThread: d0:37:45:89:ef:64 username = D0-37-45-89-EF-64
!
*apfReceiveTask: d0:37:45:89:ef:64 Redirect URL received for client from RADIUS. Client will be moved to WebAuth_Reqd state to facilitate redirection. Skip web-auth Flag = 0
La même chose peut également être vérifiée dans ISE. Accédez à Opérations > Livelogs Radius. Cliquez sur le détail de cette adresse MAC.
Vous pouvez voir que pour la première authentification (filtrage MAC), ISE renvoie le profil AuthZ WLC_CWA lorsqu'il atteint la règle d'authentification MAB et la stratégie d'authentification Redirection invité.
Lorsque les informations d'identification sont entrées, ISE authentifie le client et envoie la CoA.
Sur le WLC, ceci peut être vu dans AAA tous les débogages.
*radiusCoASupportTransportThread: audit session ID recieved in CoA = 0a6a207a0000000b5fe90410
*radiusCoASupportTransportThread: Received a 'CoA-Request' from 10.106.32.25 port 23974
*radiusCoASupportTransportThread: CoA - Received IP Address : 10.106.32.122, Vlan ID: (received 0)
*radiusCoASupportTransportThread: d0:37:45:89:ef:64 Calling-Station-Id ---> d0:37:45:89:ef:64
*radiusCoASupportTransportThread: Handling a valid 'CoA-Request' regarding station d0:37:45:89:ef:64
*radiusCoASupportTransportThread: Sending Radius CoA Response packet on srcPort: 1700, dpPort: 2, tx Port: 23974
*radiusCoASupportTransportThread: Sent a 'CoA-Ack' to 10.106.32.25 (port:23974)
Après cela, le client est réauthentifié et l’accès au réseau lui est accordé.
Note: Dans la version 7.2 ou antérieure, l'état CENTRAL_WEB_AUTH était appelé POSTURE_REQD.
Notez que le type de CoA retourné par ISE a évolué d'une version à l'autre. ISE 3.0 demandera au WLC de commencer la réauthentification en utilisant la dernière méthode, à savoir MAB dans ce cas. Le WLC réauthentifie l'utilisateur lorsqu'il envoie la requête d'accès RADIUS avec l'attribut Authorize-Only.
Exemple de requête CoA ISE 3.0 :
Le WLC n'enverra alors pas de trame de dissociation au client et réexécutera une authentification RADIUS et appliquera le nouveau résultat de manière transparente au client. Depuis la version 8.3, le WLC prend en charge la définition d'une clé pré-partagée WPA sur un SSID CWA. L'expérience utilisateur reste la même que dans les scénarios non PSK classiques, le WLC n'enverra pas de trame dissociée au client et appliquera simplement le nouveau résultat d'autorisation. Cependant, une « réponse d'association » est toujours envoyée au client bien qu'aucune « demande d'association » n'ait jamais été reçue du client, ce qui peut sembler curieux lors de l'analyse des traces de renifleur.
Complétez ces étapes afin de dépanner ou d'isoler un problème CWA :
Considérez ces ID de bogue Cisco qui limitent l'efficacité du processus CWA dans un scénario de mobilité (en particulier lorsque la comptabilité est configurée) :