Configurer l'authentification EAP-TLS avec ISE

Introduction

Ce document décrit la configuration initiale comme un exemple d'introduction de l'authentification EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) avec Cisco Identity Services Engine (ISE). L'accent est mis sur la configuration ISE qui peut être appliquée à plusieurs scénarios, tels que (mais sans s'y limiter) l'authentification avec un téléphone IP/terminal connecté via un câble ou un réseau sans fil.

Pour la portée de ce guide, il est important de comprendre ces phases du flux d'authentification ISE (RADIUS) :

• Authentification : identifiez et validez l'identité finale (machine, utilisateur, etc.) qui demande l'accès au réseau.

• Autorisation : déterminez les autorisations/accès à l'identité finale qui seront accordés sur le réseau.

• Comptabilité - Signalez et suivez l'activité réseau de l'identité finale après l'accès au réseau.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Compréhension de base du flux de communications EAP et RADIUS.
• Connaissance de base de l'authentification RADIUS avec des méthodes d'authentification basées sur des certificats en termes de flux de communication.
• Compréhension des différences entre Dot1x et MAC Authentication Bypass (MAB).
• Compréhension de base de l'infrastructure à clé publique (ICP).
• Connaissance de l'obtention de certificats signés auprès d'une autorité de certification (AC) et de la gestion des certificats sur le ou les terminaux.
• Configuration des paramètres liés à l'authentification, l'autorisation et la comptabilité (AAA) (RADIUS) sur un périphérique réseau (filaire ou sans fil).
• Configuration du demandeur (sur le point de terminaison) à utiliser avec RADIUS/802.1x.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• ISE version 3.x.
• CA - pour émettre des certificats (il peut s'agir d'une autorité de certification d'entreprise, d'une autorité de certification tierce/publique ou d'utiliser le Portail d'approvisionnement des certificats).
• Active Directory (source d'identité externe) - à partir de Windows Server ; lorsque compatible avec ISE.
• Network Access Device (NAD) : peut être un commutateur (câblé) ou un contrôleur de réseau local sans fil (WLC) (sans fil) configuré pour 802.1x/AAA.
• Point de terminaison : certificats délivrés à la configuration (utilisateur) d'identité et de demandeur qui seront authentifiés pour l'accès au réseau via RADIUS/802.1x : Authentification utilisateur. Il est possible d'obtenir un certificat machine, mais il n'est pas utilisé dans cet exemple.

Note: Puisque ce guide utilise ISE version 3.1, toutes les références de documentation sont basées sur cette version. Cependant, la configuration identique ou similaire est possible et entièrement prise en charge sur les versions antérieures de Cisco ISE.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Configuration

Obtenir des certificats serveur et client

Étape 1. Générer une demande de signature de certificat à partir de ISE

La première étape consiste à générer une demande de signature de certificat (CSR) à partir d'ISE et à la soumettre à l'autorité de certification (serveur) afin d'obtenir le certificat signé délivré à ISE, en tant que certificat système. Ce certificat sera présenté en tant que certificat de serveur par ISE lors de l'authentification EAP-TLS. Ceci est effectué dans l'interface ISE. Accéder à Administration > System: Certificates > Certificate Management > Certificate Signing Requests. Sous Certificate Signing Requests, cliquez sur Generate Certificate Signing Requests (CSR) comme illustré dans cette image.

Les types de certificat nécessitent différentes utilisations de clé étendue. Cette liste indique les utilisations de clé étendues requises pour chaque type de certificat :

Certificats d'identité ISE

• Multi-utilisation (Admin, EAP, Portal, pxGrid) - Authentification client et serveur
• Admin - Authentification du serveur
• Authentification EAP - Authentification du serveur
• Authentification DTLS (Datagram Transport Layer Security) - Authentification du serveur
• Portail - Authentification du serveur
• pxGrid - Authentification client et serveur
• Security Assertion Markup Language (SAML) - Certificat de signature SAML
• Service de messagerie ISE - Générer un certificat de signature ou générer un nouveau certificat de messagerie

Par défaut, le certificat système « Service de messagerie ISE » est destiné à la réplication des données sur chaque noeud ISE dans le déploiement, l'enregistrement de noeud et d'autres communications entre noeuds. Il sera présent et émis par le serveur de l'autorité de certification interne (AC) ISE (interne à ISE). Aucune action n'est requise avec ce certificat.

Le certificat système « Admin » est utilisé pour identifier chaque noeud ISE, par exemple lorsque l'API associée à l'interface utilisateur Admin (Management) est utilisée, et pour certaines communications entre noeuds. Pour configurer ISE pour la première fois, mettez en place le certificat système « Admin ». Cette action n'est pas directement liée à ce guide de configuration.

Afin d'exécuter IEEE 802.1x via EAP-TLS (authentification basée sur les certificats), prenez des mesures pour le certificat système « EAP Authentication », car il sera utilisé comme certificat de serveur présenté au point d'extrémité/client pendant le flux EAP-TLS ; comme résultat sera sécurisé à l'intérieur du tunnel TLS. Pour commencer, créez un CSR pour créer le certificat système d'« authentification EAP » et donnez-le au personnel qui gère le ou les serveurs d'autorité de certification de votre organisation (ou le fournisseur d'autorité de certification publique) pour signature. Le résultat final sera le certificat signé par l'autorité de certification qui se liera au CSR et s'associera à ISE avec ces étapes.

Dans le formulaire de demande de signature de certificat (CSR), sélectionnez ces options afin de remplir le CSR et d'obtenir son contenu :

• Utilisation des certificats, pour cet exemple de configuration, choisissez EAP Authentication.
  
  
• Si vous prévoyez d'utiliser une instruction générique dans le certificat, *.example.com, vous devez également vérifier Allow Wildcard Certificate de la boîte de dialogue. Le meilleur emplacement est le champ de certificat de nom alternatif de sujet (SAN) pour la compatibilité pour toute utilisation et sur plusieurs types différents de systèmes d'exploitation de points d'extrémité qui pourraient être présents dans l'environnement.
  
  
• Si vous n'avez pas choisi de placer une instruction générique dans le certificat, choisissez les noeuds ISE auxquels vous souhaitez associer le certificat signé par l'autorité de certification (après signature).

  Note: Lorsque vous liez le certificat signé par l'autorité de certification qui contient l'instruction générique à plusieurs noeuds dans le CSR, le certificat est distribué à chaque noeud ISE (ou aux noeuds sélectionnés) dans le déploiement ISE, et les services peuvent redémarrer. Cependant, le redémarrage des services sera automatiquement limité à un noeud à la fois. Surveillez le redémarrage des services via le show application status ise Commande CLI ISE.

  Ensuite, vous devrez remplir le formulaire afin de définir le sujet. Cela inclut les champs de certificat Nom commun (CN), Unité d'organisation (OU), Organisation (O), Ville (L), État (ST) et Pays (C). La variable $FQDN$ est la valeur qui représente le nom de domaine complet de gestion (nom d'hôte + nom de domaine) associé à chaque noeud ISE.

• Les Subject Alternative Name (SAN) les champs doivent également être remplis afin d'inclure toute information requise et désirée à utiliser pour établir la confiance. En tant que condition requise, vous devez définir l'entrée DNS qui pointe vers le nom de domaine complet du ou des noeuds ISE qui seront associés à ce certificat, une fois le certificat signé.
  
  
• Enfin, assurez-vous de définir le type de clé approprié, la longueur de clé et le résumé à signer qui correspond aux fonctionnalités du ou des serveurs de l'Autorité de certification et qui tient compte des bonnes pratiques de sécurité. Les valeurs par défaut sont les suivantes : RSA, 4096 bits et SHA-384, respectivement. Les choix disponibles et la compatibilité s'affichent dans cette page dans l'interface d'administration ISE.

Il s'agit d'un exemple de formulaire CSR rempli sans utiliser d'instruction générique. Assurez-vous d'utiliser des valeurs réelles spécifiques à l'environnement :

Exemple CSR

Pour enregistrer le CSR, cliquez sur Generate. Cliquez sur Export, situé en bas à droite, afin d'exporter les fichiers CSR à partir de cette invite :

Exemple d'exportation CSR

Pour plus d'informations sur les certificats à utiliser avec ISE, reportez-vous au Guide d'administration de Cisco Identity Services Engine, version 3.1 > Chapitre : Configuration de base > Gestion des certificats dans Cisco ISE et installation d'un certificat signé par une autorité de certification tierce dans ISE.

Étape 2. Importer des certificats CA dans ISE

Une fois que l'autorité de certification a renvoyé le certificat signé, elle inclut également la chaîne complète de l'autorité de certification comprenant un certificat racine et un ou plusieurs certificats intermédiaires. L'interface d'administration ISE vous oblige à importer d'abord tous les certificats de la chaîne CA, avant d'associer ou de télécharger des certificats système. Cela permet de s'assurer que chaque certificat système est correctement associé à la chaîne CA (également appelée certificat de confiance) dans le logiciel ISE.

Ces étapes constituent le meilleur moyen d'importer les certificats d'autorité de certification et le certificat système dans ISE :

1. Afin d'importer le certificat racine dans l'interface utilisateur graphique ISE, accédez à Administration > System: Certificates > Certificate Management. Sous Trusted Certificates, cliquez sur Import et cochez les cases Trust for authentication dans ISE (Infrastructure) et Trust for client authentication et Syslog (Endpoints).

   Utilisation des certificats pour la chaîne CA

2. Répétez l'étape précédente pour chaque certificat intermédiaire dans le cadre de la chaîne de certificats CA.
   
   
3. Une fois que tous les certificats, faisant partie de la chaîne CA complète, sont importés dans le magasin de certificats de confiance dans ISE, revenez à l'interface utilisateur graphique ISE et accédez à Administration > System: Certificates > Certificate Management: Certificate Signing Requests. Recherchez l'entrée CSR sous Nom convivial correspondant au certificat signé, cochez la case du certificat, puis cliquez sur Bind Certificate.

   Lier un certificat à CSR

   Note: Vous devez lier un certificat signé par une autorité de certification à chaque CSR un par un. Répétez l' pour les CSR restants créés pour d'autres noeuds ISE dans le déploiement.

   Sur la page suivante, cliquez sur Browse et choisissez le fichier de certificat signé, définissez un nom convivial souhaité et choisissez Utilisation(s) du certificat. Envoyer pour enregistrer les modifications.

   Sélectionner le certificat à lier à CSR

4. À ce stade, le certificat signé est déplacé vers l'interface utilisateur graphique ISE. Accéder à Administration > System: Certificates > Certificate Management: System Certificates et attribuer au même noeud pour lequel le CSR a été créé. Répétez le même processus pour d'autres noeuds et/ou d'autres utilisations de certificat.

Étape 3. Obtenir le certificat client pour le point de terminaison

Il est nécessaire de naviguer dans un processus similaire sur le point de terminaison pour la création d'un certificat client à utiliser avec EAP-TLS. Dans cet exemple, vous devez avoir un certificat client signé et délivré au compte utilisateur pour effectuer l'authentification utilisateur avec ISE. Vous trouverez un exemple d'obtention d'un certificat client pour le point de terminaison à partir d'un environnement Active Directory dans : Comprendre et configurer EAP-TLS en utilisant WLC et ISE > Configurer > Client pour EAP-TLS.

En raison des nombreux types de terminaux et de systèmes d'exploitation, le processus pouvant être quelque peu différent, des exemples supplémentaires ne sont pas fournis. Toutefois, le processus global est conceptuellement le même. Générez un CSR qui contient toutes les informations pertinentes à inclure dans le certificat et le fait signer par l’AC, qu’il s’agisse d’un serveur interne dans l’environnement ou d’une société publique/tierce qui fournit ce type de service.

En outre, les champs de certificat Nom commun (CN) et Nom alternatif de sujet (SAN) incluent l'identité dans laquelle utiliser pendant le flux d'authentification. Cela dicte également comment le demandeur doit être configuré pour EAP-TLS en termes d'identité : Authentification de l'ordinateur et/ou de l'utilisateur, Authentification de l'ordinateur ou Authentification de l'utilisateur. Cet exemple utilise uniquement l'authentification utilisateur dans le reste de ce document.

Périphériques réseau

Étape 4. Ajouter un périphérique d'accès réseau dans ISE

Le périphérique d'accès au réseau (NAD) auquel un point d'extrémité est connecté est également configuré dans ISE afin que la communication RADIUS/TACACS+ (Admin du périphérique) puisse avoir lieu. Entre NAD et ISE, un mot de passe/secret partagé est utilisé à des fins de confiance.

Afin d'ajouter un NAD via l'interface utilisateur graphique ISE, accédez à Administration > Network Resources: Network Devices > Network Devices et cliquez sur Add, qui s'affiche dans cette image.

Exemple de configuration de périphérique réseau

Pour une utilisation avec le profilage ISE, vous devez également configurer SNMPv2c ou SNMPv3 (plus sécurisé) pour permettre au noeud de service de stratégie ISE (PSN) de contacter la NAD via des requêtes SNMP qui sont impliquées dans l'authentification du point de terminaison vers ISE afin de collecter des attributs pour prendre des décisions précises sur le type de point de terminaison utilisé. L'exemple suivant montre comment configurer SNMP (v2c), à partir de la même page que dans l'exemple précédent :

Exemple de configuration SNMPv2c

Pour plus d'informations, reportez-vous au Guide de l'administrateur de Cisco Identity Services Engine, version 3.1 > Chapitre : Accès sécurisé > Définition des périphériques réseau dans Cisco ISE.

Pour le moment, si vous ne l'avez pas encore fait, vous devez configurer tous les paramètres AAA associés sur la NAD pour l'authentification et l'autorisation avec Cisco ISE.

Éléments de politique

Ces paramètres sont des éléments qui finissent par être liés à la stratégie d'authentification ou à la stratégie d'autorisation. Dans ce guide, principalement chaque élément de stratégie est généré et est ensuite mappé dans la stratégie d'authentification ou la stratégie d'autorisation. Il est important de comprendre que la stratégie n'est pas en vigueur tant que la liaison à la stratégie d'authentification/autorisation n'est pas terminée avec succès.

Étape 5. Utiliser la source d'identité externe

Une source d'identité externe est simplement une source où réside le compte d'identité finale (machine ou utilisateur) utilisé pendant la phase d'authentification ISE. Active Directory est généralement utilisé pour prendre en charge l'authentification automatique sur le compte d'ordinateur et/ou l'authentification utilisateur sur le compte d'utilisateur final dans Active Directory. La source interne des terminaux ne stocke pas le compte d'ordinateur/nom d'hôte. Par conséquent, elle ne peut pas être utilisée avec l'authentification de l'ordinateur.

Voici les sources d'identité prises en charge avec ISE et les protocoles (type d'authentification) qui peuvent être utilisés avec chaque source d'identité :

Fonctionnalités du magasin d'identités

Pour plus d'informations sur les éléments de stratégie, reportez-vous au Guide d'administration de Cisco Identity Services Engine, version 3.1 > Chapitre : Segmentation > Jeux de stratégies.

Ajouter des groupes de sécurité Active Directory à ISE

Afin d'utiliser les groupes de sécurité Active Directory dans les stratégies ISE, vous devez d'abord ajouter le groupe au point de jointure Active Directory. Dans l'interface utilisateur graphique ISE, sélectionnez Administration > Identity Management: Active Directory > {select AD instance name / join point} > tab: Groups > Add > Select Groups From Directory.

Pour plus d'informations et de conditions pour intégrer ISE 3.x à Active Directory, consultez ce document dans son intégralité : Intégration d'Active Directory avec Cisco ISE 2.x.

Note: La même action s'applique à l'ajout de groupes de sécurité à une instance LDAP. À partir de l'interface utilisateur ISE, sélectionnez Administration > Identity Management: External Identity Sources > LDAP > LDAP instance name > tab: Groups > Add > Select Groups From Directory.

Étape 6. Créer un profil d'authentification de certificat

L'objectif du profil d'authentification de certificat est d'informer ISE du champ de certificat que l'identité (machine ou utilisateur) peut être trouvée sur le certificat client (certificat d'identité de fin) présenté à ISE pendant EAP-TLS (également lors d'autres méthodes d'authentification basées sur certificat). Ces paramètres seront liés à la stratégie d'authentification pour authentifier l'identité. À partir de l'interface utilisateur graphique ISE, accédez à Administration > Identity Management: External Identity Sources > Certificate Authentication Profile et cliquez sur Add.

Utiliser l'identité de permet de choisir l'attribut de certificat à partir duquel un champ spécifique de l'identité peut être trouvé. Les choix sont les suivants :

Si le magasin d'identité doit être pointé vers Active Directory ou LDAP (source d'identité externe), une fonction appelée Comparaison binaire peut être utilisée. La comparaison binaire effectue une recherche de l'identité dans Active Directory obtenue à partir du certificat client à partir de la sélection Utiliser l'identité de, qui se produit pendant la phase d'authentification ISE. Sans comparaison binaire, l'identité est simplement obtenue à partir du certificat client et n'est pas recherchée dans Active Directory avant la phase d'autorisation ISE lorsqu'un groupe externe Active Directory est utilisé comme condition, ou toute autre condition qui devrait être exécutée en externe à ISE. Afin d'utiliser la comparaison binaire, dans la banque d'identités, choisissez la source d'identité externe (Active Directory ou LDAP) où le compte d'identité finale est trouvé.

Voici un exemple de configuration lorsque l'identité se trouve dans le champ Nom commun (CN) du certificat client, avec comparaison binaire activée (facultatif) :

Profil d'authentification de certificat

Pour plus d'informations, reportez-vous au Guide d'administration de Cisco Identity Services Engine, version 3.1 > Chapitre : Basic Setup > Cisco ISE CA Service > Configure Cisco ISE to Use Certificates for Authenticating Personal Devices > Create a Certificate Authentication Profile for TLS-Based Authentication.

Étape 7. Ajouter à une séquence de source d'identité

La séquence de source d'identité peut être créée à partir de l'interface utilisateur graphique ISE. Accéder à Administration > Identity Management. Sous Identity Source Sequences , cliquez sur Add.

L'étape suivante consiste à ajouter le profil d'authentification de certificat à une séquence de source d'identité qui autorise l'inclusion de plusieurs points de jointure Active Directory ou le regroupement d'une combinaison de sources d'identité internes/externes, selon les besoins, qui se lie ensuite à la stratégie d'authentification sous le Use colonne.

L'exemple présenté ici permet d'effectuer d'abord la recherche sur Active Directory, puis si l'utilisateur est introuvable, il recherche ensuite sur un serveur LDAP. Pour plusieurs sources d'identité. toujours s'assurer que Treat as if the user was not found and proceed to the next store in the sequence est cochée. Ainsi, chaque source/serveur d'identité est vérifiée lors de la demande d'authentification.

Séquence de source d'identité

Sinon, vous pouvez également lier uniquement le profil d'authentification de certificat à la stratégie d'authentification.

Étape 8. Définir le service Allowed Protocols

Le service Allowed Protocols n'active que les méthodes/protocoles d'authentification pris en charge par ISE lors de l'authentification RADIUS. Afin de configurer à partir de l'interface utilisateur graphique ISE, accédez à Policy > Policy Elements : Results > Authentication > Allowed Protocols, puis il se lie en tant qu'élément à la stratégie d'authentification.

Note: Authentication Bypass > Process Host Lookup se rapporte à MAB activé sur ISE.

Ces paramètres doivent être identiques à ceux pris en charge et configurés sur le demandeur (sur le terminal). Sinon, le protocole d'authentification n'est pas négocié comme prévu et la communication RADIUS peut échouer. Dans une configuration ISE réelle, il est recommandé d'activer tout protocole d'authentification utilisé dans l'environnement afin que ISE et le demandeur puissent négocier et s'authentifier comme prévu.

Il s'agit des valeurs par défaut (réduites) lorsqu'une nouvelle instance des services du protocole autorisé est créée.

Note: Au minimum, vous devez activer EAP-TLS puisque ISE et notre demandeur s'authentifient via EAP-TLS dans cet exemple de configuration.

Protocoles permettant à ISE d'utiliser lors de la demande d'authentification au demandeur de point d'extrémité

Note: L'utilisation du « Preferred EAP Protocol » défini sur la valeur de « EAP-TLS » amènera ISE à demander le protocole EAP-TLS en tant que premier protocole offert au demandeur IEEE 802.1x de point de terminaison. Ce paramètre est utile si vous avez l'intention de vous authentifier via EAP-TLS souvent sur la plupart des terminaux qui seront authentifiés avec ISE.

Étape 9. Créer le profil d'autorisation

Le dernier élément de stratégie à créer est le profil d'autorisation, qui se lie à la stratégie d'autorisation et donne le niveau d'accès souhaité. Le profil d'autorisation est lié à la stratégie d'autorisation. Afin de le configurer à partir de l'interface utilisateur graphique ISE, accédez à Policy > Policy Elements: Results > Authorization > Authorization Profiles et cliquez sur Add.

Le profil d'autorisation contient une configuration qui génère des attributs transmis d'ISE à NAD pour une session RADIUS donnée, dans laquelle ces attributs sont utilisés pour atteindre le niveau d'accès réseau souhaité.

Comme indiqué ici, il passe simplement l'ACCEPTATION RADIUS comme Type d'accès, mais des éléments supplémentaires peuvent être utilisés lors de l'authentification initiale. Notez les détails de l'attribut en bas, qui contient le résumé des attributs que ISE envoie à la NAD lorsqu'il correspond à un profil d'autorisation donné.

Profil d'autorisation - Élément de stratégie

Pour plus d'informations sur le profil et la stratégie d'autorisation ISE, reportez-vous au Guide d'administration de Cisco Identity Services Engine, version 3.1 > Chapitre : Segmentation > Stratégies d'autorisation.

Stratégies de sécurité

Les stratégies d'authentification et d'autorisation sont créées à partir de l'interface utilisateur graphique ISE, sélectionnez Policy > Policy Sets. Ils sont activés par défaut sur ISE 3.x. Lorsque vous installez ISE, il y a toujours un ensemble de stratégies défini, qui est le jeu de stratégies par défaut. Le jeu de stratégies par défaut contient des règles d'authentification, d'autorisation et de stratégie d'exception prédéfinies et par défaut.

Les ensembles de stratégies sont configurés de manière hiérarchique, ce qui permet à l'administrateur ISE de regrouper des stratégies similaires, en termes d'intention, en différents ensembles à utiliser dans une demande d'authentification. Les politiques de personnalisation et de regroupement sont pratiquement illimitées. En tant que tel, un ensemble de stratégies peut être utilisé pour l'authentification des points d'extrémité sans fil pour l'accès au réseau, tandis qu'un autre ensemble de stratégies peut être utilisé pour l'authentification des points d'extrémité filaires pour l'accès au réseau ; ou pour toute autre manière unique et différenciée de gérer les politiques.

Cisco ISE évaluera les ensembles de politiques et les politiques dans l'approche descendante, pour correspondre d'abord à un ensemble de politiques donné lorsque toutes les conditions de ce jeu sont considérées comme vraies ; sur laquelle ISE évalue plus en détail les stratégies d'authentification et d'autorisation au sein de l'ensemble de stratégies correspondant, comme suit :

1. Évaluation des conditions de l'ensemble de stratégies et de l'ensemble de stratégies
2. Stratégies d'authentification dans l'ensemble de stratégies correspondant
3. Stratégie d'autorisation - Exceptions locales
4. Politique d'autorisation - Exceptions globales
5. Stratégies d'autorisation

Des exceptions de stratégie existent globalement pour tous les jeux de stratégies ou localement dans un ensemble de stratégies spécifique. Ces exceptions de stratégie sont traitées dans le cadre des stratégies d'autorisation, car elles traitent des autorisations ou des résultats accordés pour l'accès au réseau pour un scénario temporaire donné.

La section suivante décrit comment combiner les éléments de configuration et de stratégie à lier aux stratégies d'authentification et d'autorisation ISE pour authentifier un point de terminaison via EAP-TLS.

Étape 10. Créer un jeu de stratégies

Un ensemble de stratégies est un conteneur hiérarchique qui se compose d'une règle définie par l'utilisateur unique qui indique le protocole ou la séquence de serveurs autorisés pour l'accès au réseau, ainsi que des stratégies d'authentification et d'autorisation et des exceptions de stratégie, toutes configurées avec des règles basées sur des conditions définies par l'utilisateur.

Pour créer un ensemble de stratégies à partir de l'interface utilisateur graphique ISE, accédez à Policy > Policy Set puis cliquez sur l'icône plus (+) dans le coin supérieur gauche, comme illustré dans cette image.

Ajout d'un nouveau jeu de stratégies

L'ensemble de stratégies lie/combine cet élément de stratégie précédemment configuré et est utilisé pour déterminer quel ensemble de stratégies doit correspondre dans une demande d'authentification RADIUS donnée (demande d'accès) :

• Lier : Services de protocoles autorisés

Définition des conditions de l'ensemble de stratégies et de la liste des protocoles autorisés

Cet exemple utilise des attributs et des valeurs spécifiques qui apparaîtraient dans la session RADIUS pour appliquer IEEE 802.1x (attribut encadré), même s'il est possible qu'il soit redondant pour réappliquer le protocole RADIUS. Afin d'obtenir les meilleurs résultats, utilisez uniquement des attributs de session RADIUS uniques qui s'appliquent à l'intention souhaitée, tels que les groupes de périphériques réseau ou spécifiques pour les réseaux câblés 802.1x, 802.1x ou 802.1x et 802.1x.

Pour plus d'informations sur les ensembles de stratégies sur ISE, reportez-vous au Guide d'administration de Cisco Identity Services Engine, Version 3.1 > Chapitre : sections Segmentation > Jeux de stratégies, Stratégies d'authentification et Stratégies d'autorisation.

Étape 11. Créer une stratégie d'authentification

Dans le jeu de stratégies, la stratégie d'authentification lie/combine ces éléments de stratégie précédemment configurés pour être utilisés avec des conditions afin de déterminer quand une règle d'authentification doit être mise en correspondance.

• Lier : Profil d'authentification de certificat ou séquence de source d'identité.

Exemple de règle de stratégie d'authentification

Étape 12. Créer la stratégie d'autorisation

Dans le jeu de stratégies, la stratégie d'autorisation lie/combine ces éléments de stratégie précédemment configurés pour être utilisés avec des conditions afin de déterminer quand une règle d'autorisation doit être mise en correspondance. L'exemple ci-dessous concerne l'authentification des utilisateurs puisque les conditions pointent vers le groupe de sécurité Utilisateurs du domaine dans Active Directory.

• Lier : Profil d'autorisation

Exemple de règle de stratégie d'autorisation

Pour ajouter un groupe externe (par exemple depuis Active Directory ou LDAP), vous devez ajouter le groupe à partir de l'instance de serveur externe. Dans cet exemple, il proviendra de l'interface ISE : Administration > Identity Management: External Identity Sources > Active Directory {AD Join Point Name} > Groups. Dans l'onglet Groupe, sélectionnez Add > Select Groups from Directory et utilisez le filtre de noms pour rechercher tous les groupes (*) ou des groupes spécifiques, tels que les utilisateurs de domaine (*utilisateurs de domaine*) pour récupérer des groupes.

Pour utiliser des groupes externes dans les stratégies ISE, vous devez ajouter un groupe à partir du répertoire

Exemple de recherche dans l'annuaire externe - Active Directory

Après avoir coché la case en regard de chaque groupe que vous souhaitez utiliser dans Stratégies dans ISE, n'oubliez pas de cliquer sur OK et/ou Enregistrer afin d'enregistrer les modifications.

Vérification

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Une fois que tous les éléments de configuration globale et de stratégie lient l'ensemble de stratégies, la configuration ressemble à cette image pour l'authentification utilisateur via EAP-TLS :

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Une fois la configuration terminée, connectez le point de terminaison pour tester l'authentification. Les résultats se trouvent dans l'interface utilisateur de l'ISE. Choisir Operations > Radius > Live Logs, comme le montre cette image.

Pour plus d'informations, les journaux en direct pour RADIUS et TACACS+ (Device Admin) sont disponibles pour les tentatives/activités d'authentification jusqu'aux 24 dernières heures et pour les 100 derniers enregistrements. Si vous souhaitez voir ce type de données de rapport au-delà de ce délai, vous devez utiliser les rapports, en particulier : ISE UI: Operations > Reports > Reports: Endpoints and Users > RADIUS Authentications.

Journaux en direct » />Exemple de sortie de Radius > Journaux en direct

Dans les journaux RADIUS Live dans ISE, vous vous attendez à trouver des informations sur la session RADIUS, qui incluent les attributs de session, et d'autres informations utiles pour diagnostiquer le comportement observé lors d'un flux d'authentification. Cliquez sur le bouton details pour ouvrir l'affichage détaillé de la session pour afficher les attributs de session et les informations associées spécifiques à cette tentative d'authentification.

Afin de résoudre les problèmes, il est important de s'assurer que les politiques correctes sont mises en correspondance. Pour cet exemple de configuration, les stratégies d'authentification et d'autorisation souhaitées sont mises en correspondance comme prévu, comme illustré dans l'image :

Dans la vue détaillée, ces attributs sont vérifiés afin de vérifier que l'authentification se comporte comme prévu par la conception dans le cadre de cet exemple de configuration :

• Événement
  
  • Indique si l'authentification a réussi ou non.
  • Dans un scénario de travail, la valeur est la suivante : L'authentification 5200 a réussi.
    
    
• Nom d’utilisateur
  
  • Cela inclut l'identité de fin qui a été retirée du certificat client qui a été présenté à ISE.
  • Dans un scénario de travail, il s'agit du nom d'utilisateur de l'utilisateur connecté au point de terminaison (c'est-à-dire, Employé1 à partir de l'image précédente).
    
    
• ID de point de terminaison
  
  • Pour les connexions filaires/sans fil, cette valeur correspond à l'adresse MAC de la carte d'interface réseau (NIC) à partir du point d'extrémité.
  • Dans un scénario de travail, cela devient l'adresse MAC du point de terminaison, sauf si la connexion est sur VPN, auquel cas il peut s'agir de l'adresse IP du point de terminaison.
    
    
• Stratégie d'authentification
  
  • Affiche la stratégie d'authentification correspondante pour la session donnée en fonction des attributs de session qui correspondent aux conditions de la stratégie.
  • Dans un scénario de travail, il s'agit de la stratégie d'authentification attendue telle que configurée.
  • Si vous voyez une autre stratégie, cela signifie que la stratégie attendue par rapport aux conditions de la stratégie n'a pas été évaluée comme vraie. Dans ce cas, examinez les attributs de session et assurez-vous que chaque stratégie contient des conditions différentes mais uniques pour chaque stratégie.
    
    
• Stratégie d'autorisation
  
  • Affiche la stratégie d'autorisation correspondante pour la session donnée en fonction des attributs de session qui correspondent aux conditions de la stratégie.
  • Dans un scénario de travail, il s'agit de la stratégie d'autorisation attendue telle que configurée.
  • Si vous voyez une autre stratégie, cela signifie que la stratégie attendue par rapport aux conditions de la stratégie n'a pas été évaluée comme vraie. Dans ce cas, examinez les attributs de session et assurez-vous que chaque stratégie contient des conditions différentes mais uniques pour chaque stratégie.
    
    
• Résultat de l'autorisation
  
  • En fonction de la stratégie d'autorisation correspondante, ceci indique le profil d'autorisation utilisé dans la session donnée.
  • Dans un scénario de travail, il s'agit de la même valeur que celle configurée dans la stratégie. Il est bon de vérifier à des fins d'audit et de s'assurer que le profil d'autorisation correct a été configuré.
    
    
• Serveur de stratégie
  
  • Ceci inclut le nom d'hôte du noeud de service de stratégie ISE (PSN) qui a été impliqué dans la tentative d'authentification.
  • Dans un scénario de travail, vous ne voyez que les authentifications qui vont au premier noeud PSN tel que configuré sur la NAD (également appelée périphérique de périphérie), sauf si ce PSN n'était pas opérationnel ou si un basculement s'est produit, par exemple en raison d'une latence plus élevée que prévue ou si un délai d'authentification se produit.
    
    
• Méthode d'authentification
  
  • Affiche la méthode d'authentification utilisée dans la session donnée. Dans cet exemple, la valeur est dot1x.
  • Dans un scénario de travail, basé sur cet exemple de configuration, vous voyez la valeur dot1x. Si vous voyez une autre valeur, cela peut signifier que dot1x a échoué ou n'a pas été tenté.
    
    
• Protocole d'authentification
  
  • Affiche la méthode d'authentification utilisée dans la session donnée. Pour cet exemple, la valeur est « EAP-TLS ».
  • Dans un scénario de travail, basé sur cet exemple de configuration, vous voyez toujours la valeur « EAP-TLS ». Si vous voyez une autre valeur, le demandeur et ISE n'ont pas réussi à négocier EAP-TLS.
    
    
• Périphérique réseau
  
  • Affiche le nom du périphérique réseau, tel que configuré dans ISE, pour le NAD (également appelé périphérique de périphérie) impliqué dans la tentative d'authentification entre le point d'extrémité et ISE.
  • Dans un scénario de travail, ce nom est toujours donné dans l'interface ISE : Administration > System: Network Devices. En fonction de cette configuration, l'adresse IP de la NAD (également appelée périphérique de périphérie) est utilisée pour déterminer le périphérique réseau d'où provient l'authentification qui est inclus dans l'attribut session d'adresse IPv4 du NAS.

Il ne s'agit en aucun cas d'une liste complète de tous les attributs de session possibles à examiner à des fins de dépannage ou de visibilité, car il existe d'autres attributs utiles à vérifier. Il est recommandé de revoir tous les attributs de session pour commencer à se familiariser avec toutes les informations. Vous pouvez voir inclure le côté droit sous la section Étapes, qui montre les opérations ou le comportement pris par l'ISE.

Problèmes courants et techniques de dépannage

Cette liste inclut des problèmes courants et des conseils de dépannage et n'est en aucun cas une liste complète. Utilisez plutôt ce guide et développez vos propres techniques pour résoudre les problèmes liés à ISE.

Problème : Échec de l'authentification (échec de l'authentification 5400) ou de toute autre tentative d'authentification non réussie.

• En cas d'échec d'authentification, cliquez sur l'icône détails qui fournit des informations sur les raisons de l'échec de l'authentification et les étapes suivies. Ceci inclut la raison de l'échec et la cause racine possible.
  
  
• Puisque ISE prend la décision sur le résultat de l'authentification, ISE dispose des informations pour comprendre la raison pour laquelle la tentative d'authentification a échoué.

Problème : L'authentification ne se termine pas correctement et la raison de l'échec indique « 5440 Endpoint a abandonné la session EAP et a démarré une nouvelle » ou « 5411 Supplicant a cessé de répondre à ISE ».

• Cette raison d'échec indique que la communication RADIUS n'a pas été terminée avant l'expiration du délai. Etant donné que le protocole EAP se situe entre le point de terminaison et la NAD, vous devez vérifier le délai d'attente utilisé sur la NAD et vous assurer qu'il est défini pour au moins cinq secondes.
  
  
• Si cinq secondes ne suffisent pas pour résoudre ce problème, nous vous recommandons de l'augmenter de cinq secondes et de le tester à nouveau afin de vérifier si cette technique va résoudre ce problème.
  
  
• Si le problème n'est pas résolu à partir des étapes précédentes, nous vous recommandons de vérifier que l'authentification est gérée par le même noeud PSN ISE correct et que le comportement global n'est pas révélateur d'un comportement anormal, tel qu'une latence supérieure à la normale entre les noeuds PSN NAD et ISE.
  
  
• En outre, il est recommandé de vérifier si le point de terminaison envoie le certificat client via la capture de paquets si ISE ne reçoit pas le certificat client, alors le point de terminaison (certificats utilisateur) peut ne pas faire confiance au certificat d'authentification ISE EAP. S'il est vrai, importez la chaîne d'autorité de certification dans les magasins de certificats corrects (Autorité de certification racine = Autorité de certification racine de confiance). | Autorité de certification intermédiaire = Autorité de certification intermédiaire de confiance).

Problème : L'authentification a réussi, mais ne correspond pas à la politique d'authentification et/ou d'autorisation correcte.

• Si vous rencontrez une demande d'authentification qui a réussi, mais qui ne correspond pas aux règles d'authentification et/ou d'autorisation correctes, nous vous recommandons de revoir les attributs de session afin de nous assurer que les conditions utilisées sont exactes et présentes dans la session RADIUS.
  
  
• ISE évalue ces politiques à partir d'une approche descendante (à l'exception des politiques de posture). Vous devez d'abord déterminer si la stratégie qui a été mise en correspondance était supérieure ou inférieure à la stratégie souhaitée à mettre en correspondance. La stratégie d'authentification est évaluée en premier et indépendamment des stratégies d'autorisation. Si la stratégie d'authentification est correctement mise en correspondance, elle a "22037 Authentication Passed" dans les détails d'authentification sous la section de droite Steps.
  
  
• Si la stratégie souhaitée est supérieure à la stratégie appariée, cela signifie que la somme des conditions de la stratégie souhaitée n'a pas été jugée vraie. Il passe en revue tous les attributs et valeurs dans la condition et sur la session afin de s'assurer qu'il existe et qu'aucune erreur d'orthographe n'est présente.
  
  
• Si la stratégie souhaitée est inférieure à la stratégie correspondante, cela signifie qu'une autre stratégie (ci-dessus) a été mise en correspondance au lieu de la stratégie souhaitée. Cela peut signifier que les valeurs de condition ne sont pas suffisamment spécifiques, que les conditions sont dupliquées dans une autre stratégie ou que l'ordre de la stratégie n'est pas correct. Bien qu'il soit plus difficile de résoudre les problèmes, nous vous recommandons de commencer à examiner les stratégies afin de déterminer la raison pour laquelle la stratégie souhaitée n'a pas été mise en correspondance. Cela permet d'identifier les actions à entreprendre ensuite.
  
  

Problème : L'identité ou le nom d'utilisateur utilisé pendant l'authentification n'était pas la valeur attendue.

• Dans ce cas, si le point de terminaison envoie le certificat client, il est fort probable que ISE n'utilise pas le champ de certificat correct dans le modèle d'authentification de certificat ; qui est évalué pendant la phase d'authentification.
  
  
• Vérifiez le certificat client pour localiser le champ exact de l'identité/nom d'utilisateur souhaité et assurez-vous que le même champ est sélectionné à partir de : ISE UI: Administration > Identity Management: External Identity Sources > Certificate Authentication Profile > (certificate authentication profile used in the Authentication Policy).

Problème : L'authentification n'a pas réussi avec la raison d'échec "EAP-TLS EAP 12514 a échoué lors de la connexion SSL/TLS en raison d'une autorité de certification inconnue dans la chaîne de certificats client« .

• Cela peut se produire si le certificat client a un certificat dans la chaîne CA qui n'est pas approuvé sur l'interface ISE : Administration > System: Certificates > Trusted Certificates.
  
  
• Cela peut généralement se produire lorsque le certificat client (sur le point de terminaison) a une chaîne d'autorité de certification différente de la chaîne d'autorité de certification de certificat qui est signée à ISE pour l'authentification EAP.
  
  
• Pour la résolution, assurez-vous que la chaîne CA du certificat client est approuvée sur ISE et que la chaîne CA du certificat du serveur d'authentification ISE EAP est approuvée sur le point d'extrémité.
  - Pour Windows OS et Chrome, accédez à Start > Run MMC > Add/Remove Snap-In > Certificates > User Certificates.
  - Pour Firefox : Importer la chaîne CA (et non le certificat d'identité finale) à approuver pour le serveur Web.

Informations connexes

• Cisco Identity Services Engine > Guides d'installation et de mise à niveau
• Cisco Identity Services Engine > Guides de configuration
• Cisco Identity Services Engine > Informations de compatibilité
• Guide de l'administrateur de Cisco Identity Services Engine, version 3.1 > Chapitre : Accès sécurisé > Définition des périphériques réseau dans Cisco ISE
• Guide de l'administrateur de Cisco Identity Services Engine, version 3.1 > Chapitre : Segmentation > Jeux de stratégies
• Guide de l'administrateur de Cisco Identity Services Engine, version 3.1 > Chapitre : Segmentation > Stratégies d'authentification
• Guide de l'administrateur de Cisco Identity Services Engine, version 3.1 > Chapitre : Segmentation > Stratégies d'autorisation
• Cisco Identity Services Engine > Guides de configuration > Intégration d'Active Directory avec Cisco ISE 2.x
• Guide de l'administrateur de Cisco Identity Services Engine, version 3.1 > Chapitre : Segmentation > Network Access Service > Network Access for Users
• Guide de l'administrateur de Cisco Identity Services Engine, version 3.1 > Chapitre : Configuration de base > Gestion des certificats dans Cisco ISE
  
• Guide de l'administrateur de Cisco Identity Services Engine, version 3.1 > Chapitre : Configuration de base > Service Cisco ISE CA > Configurer Cisco ISE pour utiliser des certificats pour authentifier des périphériques personnels > Créer un profil d'authentification de certificat pour l'authentification basée sur TLS
• Cisco Identity Services Engine > Exemples de configuration et TechNotes > Configure ISE 2.0 Certificate Provisioning Portal
• Cisco Identity Services Engine > Exemples de configuration et TechNotes > Installer un certificat signé par une autorité de certification tierce dans ISE
• LAN sans fil (WLAN) > Exemples de configuration et TechNotes > Comprendre et configurer EAP-TLS à l'aide de WLC et ISE
  
• Support et documentation techniques - Cisco Systems