Introduction
Ce document décrit comment configurer l'authentification Web centralisée avec des points d'accès FlexConnect sur un contrôleur de réseau local sans fil (WLC) avec ISE (Identity Services Engine) en mode de commutation local.
Remarque importante : Pour le moment, l'authentification locale sur les FlexAP n'est pas prise en charge pour ce scénario.
Autres documents de cette série
Conditions préalables
Conditions requises
Aucune spécification déterminée n'est requise pour ce document.
Components Used
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Cisco Identity Services Engine (ISE), version 1.2.1
- Logiciel de contrôleur LAN sans fil, version - 7.4.100.0
Configuration
Il existe plusieurs méthodes pour configurer l'authentification Web centralisée sur le contrôleur de réseau local sans fil (WLC). La première méthode est l'authentification Web locale dans laquelle le WLC redirige le trafic HTTP vers un serveur interne ou externe où l'utilisateur est invité à s'authentifier. Le WLC récupère ensuite les informations d'identification (renvoyées via une requête HTTP GET dans le cas d'un serveur externe) et effectue une authentification RADIUS. Dans le cas d'un utilisateur invité, un serveur externe (tel que ISE (Identity Service Engine) ou NGS (NAC Guest Server)) est requis car le portail fournit des fonctionnalités telles que l'enregistrement des périphériques et l'auto-approvisionnement. Ce processus comprend les étapes suivantes :
- L'utilisateur s'associe au SSID d'authentification Web.
- L'utilisateur ouvre son navigateur.
- Le WLC redirige vers le portail invité (tel que ISE ou NGS) dès qu'une URL est entrée.
- L'utilisateur s'authentifie sur le portail.
- Le portail invité redirige vers le WLC avec les informations d'identification entrées.
- Le WLC authentifie l'utilisateur invité via RADIUS.
- Le WLC redirige vers l'URL d'origine.
Ce processus comprend beaucoup de redirection. La nouvelle approche consiste à utiliser l'authentification Web centralisée qui fonctionne avec ISE (versions ultérieures à 1.1) et WLC (versions ultérieures à 7.2). Ce processus comprend les étapes suivantes :
- L'utilisateur s'associe au SSID d'authentification Web.
- L'utilisateur ouvre son navigateur.
- Le WLC redirige vers le portail invité.
- L'utilisateur s'authentifie sur le portail.
- L'ISE envoie un changement d'autorisation RADIUS (CoA - port UDP 1700) pour indiquer au contrôleur que l'utilisateur est valide et qu'il peut éventuellement transmettre des attributs RADIUS tels que la liste de contrôle d'accès (ACL).
- L'utilisateur est invité à réessayer l'URL d'origine.
Cette section décrit les étapes nécessaires à la configuration de l'authentification Web centralisée sur WLC et ISE.
Diagramme du réseau
Cette configuration utilise la configuration de réseau suivante :

Configuration WLC
La configuration du WLC est assez simple. Un tour ? est utilisé (comme sur les commutateurs) pour obtenir l'URL d'authentification dynamique à partir de l'ISE. (Comme il utilise CoA, une session doit être créée car l'ID de session fait partie de l'URL.) Le SSID est configuré pour utiliser le filtrage MAC et l'ISE est configuré pour renvoyer un message Access-Accept même si l'adresse MAC est introuvable afin d'envoyer l'URL de redirection à tous les utilisateurs.
En outre, le contrôle d'admission au réseau RADIUS (NAC) et le remplacement AAA doivent être activés. Le NAC RADIUS permet à l'ISE d'envoyer une requête CoA qui indique que l'utilisateur est maintenant authentifié et qu'il peut accéder au réseau. Il est également utilisé pour l'évaluation de la posture dans laquelle l'ISE modifie le profil utilisateur en fonction du résultat de la posture.
- Assurez-vous que le serveur RADIUS a RFC3576 (CoA) activé, qui est la valeur par défaut.

- Créez un nouveau WLAN. Cet exemple crée un nouveau WLAN nommé CWAFlex et l'attribue à vlan33. (Notez que cela n'aura pas beaucoup d'effet puisque le point d'accès est en mode de commutation locale.)

- Dans l'onglet Sécurité, activez le filtrage MAC en tant que sécurité de couche 2.

- Dans l'onglet Couche 3, assurez-vous que la sécurité est désactivée. (Si l'authentification Web est activée sur la couche 3, l'authentification Web locale est activée, pas l'authentification Web centralisée.)

- Dans l'onglet AAA Servers, sélectionnez le serveur ISE en tant que serveur radius pour le WLAN. Vous pouvez éventuellement le sélectionner pour la comptabilité afin d'avoir des informations plus détaillées sur ISE.

- Dans l'onglet Avancé, assurez-vous que Allow AAA Override est coché et Radius NAC est sélectionné pour NAC State.

- Créez une liste de contrôle d’accès de redirection.
Cette liste de contrôle d’accès est référencée dans le message Access-Accept de l’ISE et définit le trafic qui doit être redirigé (refusé par la liste de contrôle d’accès) ainsi que le trafic qui ne doit pas être redirigé (autorisé par la liste de contrôle d’accès). En fait, le DNS et le trafic en provenance et à destination de l'ISE doivent être autorisés.
Note: Un problème avec les points d'accès FlexConnect est que vous devez créer une liste de contrôle d'accès FlexConnect distincte de votre liste de contrôle d'accès normale. Ce problème est documenté dans le bogue Cisco CSCue68065 et corrigé dans la version 7.5. Dans WLC 7.5 et versions ultérieures, seule une FlexACL est requise et aucune ACL standard n'est nécessaire. Le WLC s'attend à ce que la liste de contrôle d'accès de redirection renvoyée par ISE soit une liste de contrôle d'accès normale. Cependant, pour que cela fonctionne, vous devez appliquer la même liste de contrôle d'accès que la liste FlexConnect.
Cet exemple montre comment créer une liste de contrôle d'accès FlexConnect nommée flexred :

- Créez des règles pour autoriser le trafic DNS ainsi que le trafic vers ISE et refuser le reste.

Si vous voulez une sécurité maximale, vous pouvez autoriser uniquement le port 8443 vers ISE. (Si la posture est appliquée, vous devez ajouter des ports de posture standard, tels que 8905 8906 8909 8910.)
- (Uniquement sur le code antérieur à la version 7.5 dû à CSCue68065) Choisissez Security > Access Control Lists pour créer une liste de contrôle d'accès identique portant le même nom.

- Préparez le point d'accès FlexConnect spécifique. Notez que pour un déploiement plus important, vous utiliseriez généralement des groupes FlexConnect et non pas ces éléments par point d'accès pour des raisons d'évolutivité.
- Cliquez sur Sans fil, puis sélectionnez le point d'accès spécifique.
- Cliquez sur l'onglet FlexConnect, puis sur ACL d'authentification Web externe. (Avant la version 7.4, cette option était nommée stratégies Web.)

- Ajoutez la liste de contrôle d'accès (nommée flexred dans cet exemple) à la zone des stratégies Web. Cette opération pousse la liste de contrôle d’accès au point d’accès. Il n'est pas encore appliqué, mais le contenu de la liste de contrôle d'accès est donné au point d'accès afin qu'il puisse s'appliquer au besoin.

La configuration du WLC est maintenant terminée.
Configuration ISE
Créer le profil d'autorisation
Complétez ces étapes afin de créer le profil d'autorisation :
Cliquez sur Stratégie, puis sur Eléments de stratégie.
Cliquez sur Résultats.
Développez Autorisation, puis cliquez sur Profil d'autorisation.
Cliquez sur le bouton Ajouter afin de créer un nouveau profil d'autorisation pour le webauth central.
Dans le champ Nom, saisissez un nom pour le profil. Cet exemple utilise CentralWebauth.
Choisissez ACCESS_ACCEPT dans la liste déroulante Type d'accès.
Cochez la case Authentification Web, puis sélectionnez Authentification Web centralisée dans la liste déroulante.
Dans le champ ACL, saisissez le nom de la liste de contrôle d'accès sur le WLC qui définit le trafic qui sera redirigé. Cet exemple utilise flexred.
Sélectionnez Par défaut dans la liste déroulante Redirection.
L'attribut Redirect définit si l'ISE voit le portail Web par défaut ou un portail Web personnalisé créé par l'administrateur ISE. Par exemple, la liste de contrôle d'accès fléchée dans cet exemple déclenche une redirection sur le trafic HTTP du client vers n'importe où.

Créer une règle d'authentification
Complétez ces étapes afin d'utiliser le profil d'authentification pour créer la règle d'authentification :
- Dans le menu Stratégie, cliquez sur Authentification.
Cette image montre un exemple de configuration de la règle de stratégie d'authentification. Dans cet exemple, une règle est configurée qui se déclenchera lorsque le filtrage MAC est détecté.

- Entrez un nom pour votre règle d'authentification. Cet exemple utilise la matrice sans fil.
- Sélectionnez l'icône plus (+) dans le champ Condition If.
- Choisissez Condition composée, puis choisissez Wireless_MAB.
- Choisissez « Accès réseau par défaut » comme protocole autorisé.
- Cliquez sur la flèche située en regard de et ... afin d'élargir la règle.
- Cliquez sur l'icône + dans le champ Source d'identité, puis sélectionnez Points de terminaison internes.
- Choisissez Continuer dans la liste déroulante Si l'utilisateur est introuvable.

Cette option permet d'authentifier un périphérique (via webauth) même si son adresse MAC n'est pas connue. Les clients Dot1x peuvent toujours s'authentifier avec leurs informations d'identification et ne doivent pas se soucier de cette configuration.
Créer une règle d'autorisation
Il existe maintenant plusieurs règles à configurer dans la stratégie d'autorisation. Lorsque le PC est associé, il passe par le filtrage mac ; on suppose que l’adresse MAC n’est pas connue, de sorte que l’authentification Web et la liste de contrôle d’accès sont renvoyées. Cette règle MAC inconnue est affichée dans l'image ci-dessous et est configurée dans cette section.

Complétez ces étapes afin de créer la règle d'autorisation :
Créez une nouvelle règle et entrez un nom. Cet exemple utilise MAC inconnu.
Cliquez sur l'icône plus ( +) dans le champ de condition, puis choisissez de créer une nouvelle condition.
Développez la liste déroulante expression.
Choisissez Accès réseau, puis développez-le.
Cliquez sur AuthenticationStatus, puis sélectionnez l'opérateur Equals.
Choisissez UnknownUser dans le champ de droite.
Sur la page Autorisation générale, sélectionnez CentralWebauth (Profil d'autorisation) dans le champ situé à droite du mot, puis.
Cette étape permet à ISE de continuer même si l'utilisateur (ou l'adresse MAC) n'est pas connu.
La page Connexion s'affiche maintenant pour les utilisateurs inconnus. Cependant, une fois qu'ils ont saisi leurs informations d'identification, une demande d'authentification leur est présentée à nouveau sur ISE ; par conséquent, une autre règle doit être configurée avec une condition qui est remplie si l'utilisateur est un utilisateur invité. Dans cet exemple, Si UseridentityGroup est égal à Guest est utilisé et il est supposé que tous les invités appartiennent à ce groupe.
Cliquez sur le bouton Actions situé à la fin de la règle MAC inconnue et choisissez d'insérer une nouvelle règle ci-dessus.
Remarque : Il est très important que cette nouvelle règle soit antérieure à la règle MAC inconnue.
Entrez 2e AUTH dans le champ de nom.
- Sélectionnez un groupe d'identités comme condition. Cet exemple a choisi Guest.
- Dans le champ de condition, cliquez sur l'icône plus (+) et choisissez de créer une nouvelle condition.
- Choisissez Accès réseau, puis cliquez sur UseCase.
- Choisissez Equals comme opérateur.
- Choisissez GuestFlow comme opérande de droite. Cela signifie que vous attraperez les utilisateurs qui viennent de se connecter à la page Web et qui reviennent après un changement d'autorisation (la partie flux d'invités de la règle) et uniquement s'ils appartiennent au groupe d'identité invité.
- Sur la page d'autorisation, cliquez sur l'icône plus (+) (située en regard de puis) afin de choisir un résultat pour votre règle.
Dans cet exemple, un profil préconfiguré (vlan34) est attribué ; cette configuration n'est pas affichée dans ce document.
Vous pouvez choisir une option Autoriser l'accès ou créer un profil personnalisé afin de renvoyer le ou les VLAN(s) que vous aimez.
Remarque importante : Dans ISE Version1.3, selon le type d'authentification Web, le cas d'utilisation du flux invité peut ne plus être rencontré. La règle d'autorisation doit alors contenir le groupe d'utilisateurs invités comme seule condition possible.
Activer le renouvellement IP (facultatif)
Si vous affectez un VLAN, la dernière étape consiste pour le PC client à renouveler son adresse IP. Cette étape est réalisée par le portail invité pour les clients Windows. Si vous n'avez pas défini de VLAN pour la 2e règle AUTH précédemment, vous pouvez ignorer cette étape.
Notez que sur les points d'accès FlexConnect, le VLAN doit préexister sur le point d'accès lui-même. Par conséquent, si ce n'est pas le cas, vous pouvez créer un mappage VLAN-ACL sur l'AP lui-même ou sur le groupe flexible où vous n'appliquez aucune ACL pour le nouveau VLAN que vous voulez créer. Cela crée un VLAN (sans liste de contrôle d’accès).
Si vous avez attribué un VLAN, procédez comme suit afin d'activer le renouvellement IP :
Cliquez sur Administration, puis sur Gestion des invités.
Cliquez sur Paramètres.
Développez Invité, puis Configuration multiportail.
Cliquez sur DefaultGuestPortal ou sur le nom d'un portail personnalisé que vous avez peut-être créé.
Cochez la case Version DHCP du VLAN.
Remarque : Cette option ne fonctionne que pour les clients Windows.
Flux de trafic
Il peut sembler difficile de comprendre quel trafic est envoyé où dans ce scénario. Voici un bref aperçu :
- Le client envoie une demande d'association par voie aérienne pour le SSID.
- Le WLC gère l'authentification de filtrage MAC avec ISE (où il reçoit les attributs de redirection).
- Le client ne reçoit une réponse d'association qu'une fois le filtrage MAC terminé.
- Le client envoie une requête DHCP, qui est LOCALEMENT commuté par le point d'accès afin d'obtenir une adresse IP du site distant.
- Dans l'état Central_webauth, le trafic marqué pour le refus sur la liste de contrôle d'accès de redirection (HTTP généralement) est CENTRALEMENT commuté. Donc ce n'est pas le point d'accès qui fait la redirection, mais le WLC ; par exemple, lorsque le client demande n'importe quel site Web, le point d'accès l'envoie au WLC encapsulé dans CAPWAP et le WLC dévoile l'adresse IP du site Web et redirige vers ISE.
- Le client est redirigé vers l'URL de redirection ISE. C'est LOCALEMENT à nouveau commuté (car il active permit sur la liste de contrôle d’accès de redirection flex).
- Une fois à l'état RUN, le trafic est commuté localement.
Vérification
Une fois que l'utilisateur est associé au SSID, l'autorisation s'affiche dans la page ISE.

De bas en haut, vous pouvez voir l'authentification de filtrage d'adresse MAC qui renvoie les attributs CWA. La connexion au portail avec le nom d'utilisateur s'affiche ensuite. L'ISE envoie ensuite une CoA au WLC et la dernière authentification est une authentification de filtrage mac de couche 2 côté WLC, mais l'ISE se souvient du client et du nom d'utilisateur et applique le VLAN nécessaire que nous avons configuré dans cet exemple.
Lorsqu'une adresse est ouverte sur le client, le navigateur est redirigé vers l'ISE. Vérifiez que le système de noms de domaine (DNS) est configuré correctement.

L'accès au réseau est accordé une fois que l'utilisateur accepte les stratégies.

Sur le contrôleur, l'état Policy Manager et l'état RADIUS NAC passent de POSTURE_REQD à RUN.