BYOD sans fil avec Identity Services Engine

Introduction

Cisco Identity Services Engine (ISE) est le serveur de politiques de nouvelle génération de Cisco qui fournit une infrastructure d'authentification et d'autorisation à la solution Cisco TrustSec. Il offre également deux autres services essentiels :

• Le premier service consiste à fournir un moyen de profiler le type de périphérique de point d'extrémité automatiquement en fonction des attributs que Cisco ISE reçoit de différentes sources d'informations. Ce service (appelé Profiler) fournit des fonctions équivalentes à celles que Cisco a précédemment proposées avec l'appliance Cisco NAC Profiler.

• Un autre service important fourni par Cisco ISE est l'analyse de la conformité des terminaux ; par exemple, l'installation du logiciel AV/AS et sa validité de fichier de définition (appelée Posture). Cisco ne fournissait auparavant cette fonction de posture exacte qu'avec l'appliance Cisco NAC.

Cisco ISE offre un niveau de fonctionnalité équivalent et est intégré aux mécanismes d'authentification 802.1X.

Cisco ISE intégré aux contrôleurs LAN sans fil (WLC) peut fournir des mécanismes de profilage des périphériques mobiles tels que les iDevices d'Apple (iPhone, iPad et iPod), les smartphones Android, etc. Pour les utilisateurs 802.1X, Cisco ISE peut fournir le même niveau de services, tels que le profilage et l'analyse de position. Les services invités sur Cisco ISE peuvent également être intégrés au WLC Cisco en redirigeant les demandes d'authentification Web vers Cisco ISE pour l'authentification.

Ce document présente la solution sans fil pour le BYOD (Bring Your Own Device), par exemple en fournissant un accès différencié en fonction des terminaux connus et de la politique de l'utilisateur. Ce document ne fournit pas la solution complète pour le BYOD, mais sert à démontrer un exemple simple d'utilisation de l'accès dynamique. D'autres exemples de configuration incluent l'utilisation du portail de sponsor ISE, où un utilisateur privilégié peut sponsoriser un invité pour provisionner l'accès invité sans fil.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Contrôleur LAN sans fil Cisco 2504 ou 2106 avec la version logicielle 7.2.103

• Catalyst 3560 - 8 ports

• WLC 2504

• Identity Services Engine 1.0MR (version de l'image du serveur VMware)

• Windows 2008 Server (image VMware) - 512 Mo, disque 20 Go

  • Active Directory

  • DNS

  • DHCP

  • Services de certificats

Topologie

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Présentation du contrôleur de réseau local sans fil RADIUS NAC et CoA

Ce paramètre permet au WLC de rechercher les paires AV de redirection d'URL provenant du serveur RADIUS ISE. Ceci est uniquement sur un WLAN lié à une interface avec le paramètre RADIUS NAC activé. Lorsque la paire AV de Cisco pour la redirection d'URL est reçue, le client est placé dans l'état POSTURE_REQD. C'est essentiellement la même chose que l'état WEBAUTH_REQD en interne dans le contrôleur.

Lorsque le serveur RADIUS ISE estime que le client est conforme à Posture_Compliant, il émet une CoA ReAuth. L'ID de session est utilisé pour le lier. Avec cette nouvelle AuthC (re-Auth) il n'envoie pas les paires AV-Redirect URL. Comme il n'y a pas de paires AV de redirection d'URL, le WLC sait que le client ne nécessite plus Posture.

Si le paramètre RADIUS NAC n'est pas activé, le WLC ignore les VSA de redirection d'URL.

CoA-ReAuth : Ceci est activé avec le paramètre RFC 3576. La fonctionnalité ReAuth a été ajoutée aux commandes CoA existantes précédemment prises en charge.

Le paramètre RADIUS NAC s'exclut mutuellement de cette fonctionnalité, bien qu'il soit nécessaire pour que la CoA fonctionne.

Liste de contrôle d'accès pré-Posture : Lorsqu'un client est dans l'état POSTURE_REQ, le comportement par défaut du WLC est de bloquer tout le trafic sauf DHCP/DNS. La liste de contrôle d’accès pré-Posture (appelée dans la paire AV-acl url-redirect-acl) est appliquée au client, et ce qui est autorisé dans cette liste de contrôle d’accès est ce que le client peut atteindre.

Liste de contrôle d'accès pré-authentification et remplacement de VLAN : Un VLAN de quarantaine ou d'authentification différent du VLAN d'accès n'est pas pris en charge dans 7.0MR.1. Si vous définissez un VLAN à partir du serveur de stratégies, il sera le VLAN pour l'ensemble de la session. Aucune modification de VLAN n'est nécessaire après la première AuthZ.

Flux de fonctionnalités RADIUS NAC et CoA du contrôleur LAN sans fil

La figure ci-dessous fournit des détails sur l'échange de messages lorsque le client est authentifié sur le serveur principal et la validation de la position NAC.

1. Le client s'authentifie à l'aide de l'authentification dot1x.

2. RADIUS Access Accept transporte l'URL redirigée pour le port 80 et les listes de contrôle d'accès pré-authentification qui incluent l'autorisation des adresses IP et des ports, ou le VLAN de quarantaine.

3. Le client sera redirigé vers l'URL fournie dans access accept et mis dans un nouvel état jusqu'à ce que la validation de la position soit effectuée. Le client dans cet état communique avec le serveur ISE et se valide par rapport aux stratégies configurées sur le serveur ISE NAC.

4. L'agent NAC sur le client lance la validation de position (trafic vers le port 80) : L'agent envoie une requête de détection HTTP au port 80, que le contrôleur redirige vers l'URL fournie dans access accept. L'ISE sait que le client tente d'atteindre le client et répond directement à celui-ci. De cette manière, le client apprend l'adresse IP du serveur ISE et, désormais, le client parle directement avec le serveur ISE.

5. WLC autorise ce trafic car la liste de contrôle d'accès est configurée pour autoriser ce trafic. En cas de remplacement de VLAN, le trafic est ponté de sorte qu'il atteigne le serveur ISE.

6. Une fois l'évaluation du client ISE terminée, une demande de CoA RADIUS avec service de sauvegarde est envoyée au WLC. Ceci initie la réauthentification du client (en envoyant EAP-START). Une fois la réauthentification réussie, l'ISE envoie l'accès accepté avec une nouvelle liste de contrôle d'accès (le cas échéant) et aucune redirection d'URL, ou un VLAN d'accès.

7. Le WLC prend en charge CoA-Req et Disconnect-Req conformément à la RFC 3576. Le WLC doit prendre en charge CoA-Req pour le service de réauthentification, conformément à la RFC 5176.

8. Au lieu des listes de contrôle d'accès téléchargeables, les listes de contrôle d'accès préconfigurées sont utilisées sur le WLC. Le serveur ISE envoie simplement le nom de la liste de contrôle d'accès, qui est déjà configuré dans le contrôleur.

9. Cette conception doit fonctionner pour les cas VLAN et ACL. En cas de remplacement de VLAN, nous redirigons simplement le port 80 est redirigé et autorise (pont) le reste du trafic sur le VLAN de quarantaine. Pour la liste de contrôle d’accès, la liste de contrôle d’accès pré-authentification reçue dans access accept est appliquée.

Cette figure fournit une représentation visuelle de ce flux de fonctionnalités :

Présentation du profilage ISE

Le service de profileur ISE de Cisco permet de découvrir, localiser et déterminer les capacités de tous les points d'extrémité connectés sur votre réseau, quels que soient leurs types de périphériques, afin de garantir et de maintenir un accès approprié à votre réseau d'entreprise. Il collecte principalement un attribut ou un ensemble d'attributs de tous les points d'extrémité de votre réseau et les classe en fonction de leurs profils.

Le profileur se compose des composants suivants :

• Le capteur contient un certain nombre de sondes. Les sondes capturent les paquets réseau en interrogeant les périphériques d'accès réseau et transmettent les attributs et leurs valeurs d'attribut qui sont collectés des points d'extrémité à l'analyseur.

• Un analyseur évalue les points de terminaison à l'aide des stratégies configurées et des groupes d'identité pour qu'ils correspondent aux attributs et à leurs valeurs d'attribut collectées, ce qui classe les points de terminaison au groupe spécifié et stocke les points de terminaison avec le profil correspondant dans la base de données Cisco ISE.

Pour la détection des appareils mobiles, il est recommandé d'utiliser une combinaison de ces sondes pour identifier correctement les appareils :

• RADIUS (Calling-Station-ID) : Fournit l'adresse MAC (OUI)

• DHCP (nom d'hôte) : Nom d'hôte : le nom d'hôte par défaut peut inclure le type de périphérique ; par exemple : jsmith-ipad

• DNS (recherche IP inversée) : FQDN : le nom d'hôte par défaut peut inclure le type de périphérique

• HTTP (User-Agent) : Détails sur le type d'appareil mobile spécifique

Dans cet exemple d'iPad, le profileur capture les informations du navigateur Web à partir de l'attribut User-Agent, ainsi que d'autres attributs HTTP à partir des messages de requête, et les ajoute à la liste des attributs de point de terminaison.

Créer des utilisateurs d'identité interne

MS Active Directory (AD) n'est pas nécessaire pour une simple preuve de concept. ISE peut être utilisé comme seul magasin d'identité, ce qui inclut la différenciation de l'accès des utilisateurs pour l'accès et le contrôle granulaire des politiques.

À la version d'ISE 1.0, à l'aide de l'intégration AD, ISE peut utiliser des groupes AD dans les stratégies d'autorisation. Si le magasin d'utilisateurs internes ISE est utilisé (pas d'intégration AD), les groupes ne peuvent pas être utilisés dans les stratégies en conjonction avec les groupes d'identité de périphérique (bogue identifié à résoudre dans ISE 1.1). Par conséquent, seuls les utilisateurs individuels peuvent être différenciés, tels que les employés ou les sous-traitants, lorsqu'ils sont utilisés en plus des groupes d'identité de périphérique.

Procédez comme suit :

1. Ouvrez une fenêtre de navigateur pour accéder à l'adresse https://ISEip.

2. Accédez à Administration > Identity Management > Identities.

   

3. Sélectionnez Utilisateurs, puis cliquez sur Ajouter (Utilisateur d'accès au réseau). Entrez ces valeurs utilisateur et affectez-les au groupe Employé :

   • Name : employé

   • Mot de passe : XXXX

   

   

4. Cliquez sur Submit.

   • Name : entrepreneur

   • Mot de passe : XXXX

5. Confirmez que les deux comptes sont créés.

   

Ajouter un contrôleur de réseau local sans fil à ISE

Tout périphérique qui initie des requêtes RADIUS à l'ISE doit avoir une définition dans ISE. Ces périphériques réseau sont définis en fonction de leur adresse IP. Les définitions de périphériques réseau ISE peuvent spécifier des plages d'adresses IP, ce qui permet à la définition de représenter plusieurs périphériques réels.

Au-delà de ce qui est requis pour la communication RADIUS, les définitions de périphériques réseau ISE contiennent des paramètres pour d'autres communications ISE/périphériques, telles que SNMP et SSH.

Un autre aspect important de la définition des périphériques réseau est le regroupement approprié des périphériques afin que ce regroupement puisse être exploité dans la politique d'accès au réseau.

Dans cet exercice, les définitions de périphériques requises pour vos travaux pratiques sont configurées.

Procédez comme suit :

1. À partir de ISE, accédez à Administration > Network Resources > Network Devices.

   

2. Dans Périphériques réseau, cliquez sur Ajouter. Saisissez adresse IP, paramètre d'authentification de vérification de masque, puis saisissez cisco pour le secret partagé.

3. Enregistrez l'entrée WLC et confirmez le contrôleur dans la liste.

   

Configurer ISE pour l'authentification sans fil

L'ISE doit être configuré pour authentifier les clients sans fil 802.1x et utiliser Active Directory comme magasin d'identité.

Procédez comme suit :

1. Depuis ISE, accédez à Policy > Authentication.

2. Cliquez pour développer Dot1x > Wired_802.1X (-).

3. Cliquez sur l'icône d'engrenage pour ajouter une condition à partir de la bibliothèque.

   

4. Dans la liste déroulante de sélection des conditions, sélectionnez Condition composée > Wireless_802.1X.

   

5. Définissez la condition Express sur OR.

6. Développez l'option après autoriser les protocoles et acceptez les utilisateurs internes par défaut (par défaut).

   

   

7. Laissez tout le reste par défaut. Cliquez sur Enregistrer pour terminer les étapes.

Contrôleur LAN sans fil de démarrage

Connexion du WLC à un réseau

Un guide de déploiement du contrôleur LAN sans fil Cisco 2500 est également disponible sur le Guide de déploiement du contrôleur sans fil Cisco 2500.

Configurer le contrôleur à l'aide de l'assistant de démarrage

(Cisco Controller) 
 Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup
 Would you like to terminate autoinstall? [yes]: yes AUTO-INSTALL: process terminated 
-- no configuration loaded System Name [Cisco_d9:24:44] (31 characters max): 
   ISE-Podx Enter Administrative User Name (24 characters max): admin 
   Enter Administrative Password 
   (3 to 24 characters): Cisco123 
   Re-enter Administrative Password: Cisco123 
Management Interface IP Address: 10.10.10.5 
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 10.10.10.1
Management Interface VLAN Identifier (0 = untagged): 0
Management Interface Port Num [1 to 4]: 1
Management Interface DHCP Server IP Address: 10.10.10.10
 Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: ISE
 Network Name (SSID): PODx
Configure DHCP Bridging Mode [yes][NO]: no
Allow Static IP Addresses [YES][no]: no
 Configure a RADIUS Server now? [YES][no]: no
Warning! The default WLAN security policy requires a RADIUS server.
Please see documentation for more details.
 Enter Country Code list (enter 'help' for a list of countries) [US]: US

Enable 802.11b Network [YES][no]: yes
Enable 802.11a Network [YES][no]: yes
Enable 802.11g Network [YES][no]: yes
Enable Auto-RF [YES][no]: yes
 Configure a NTP server now? [YES][no]: no
Configure the ntp system time now? [YES][no]: yes
Enter the date in MM/DD/YY format: mm/dd/yy
Enter the time in HH:MM:SS format: hh:mm:ss
Configuration correct? If yes, system will save it and reset. [yes][NO]: yes
 Configuration saved!
 Resetting system with new configuration...
Restarting system.

Configuration du commutateur voisin

Le contrôleur est connecté au port Ethernet du commutateur voisin (Fast Ethernet 1). Le port de commutateur voisin est configuré comme une agrégation 802.1Q et autorise tous les VLAN sur l’agrégation. Le VLAN 10 natif permet de connecter l'interface de gestion du WLC.

La configuration du port de commutateur 802.1Q est la suivante :

switchport
switchport trunk encapsulation dot1q 
switchport trunk native VLAN 10
switchport mode trunk
end

Ajouter des serveurs d'authentification (ISE) au WLC

L'ISE doit être ajouté au WLC afin d'activer la fonctionnalité 802.1X et CoA pour les points d'extrémité sans fil.

Procédez comme suit :

1. Ouvrez un navigateur, puis connectez-vous au WLC pod (à l'aide de HTTP sécurisé) > https://wlc.

2. Accédez à Sécurité > Authentification > Nouveau.

   

3. Entrez les valeurs suivantes :

   • Adresse IP du serveur: 10.10.10.70 (affectation de vérification)

   • Secret partagé : cisco

   • Prise en charge de RFC 3576 (CoA) : Activé (par défaut)

   • Tout le reste : Par défaut

4. Cliquez sur Apply pour continuer.

5. Sélectionnez Comptabilité RADIUS > Ajouter NOUVEAU.

   

6. Entrez les valeurs suivantes :

   • Adresse IP du serveur: 10.10.10.70

   • Secret partagé : cisco

   • Tout le reste : Par défaut

7. Cliquez sur Apply, puis enregistrez la configuration pour le WLC.

Créer une interface dynamique d'employé WLC

Complétez ces étapes afin d'ajouter une nouvelle interface dynamique pour le WLC et de la mapper au VLAN Employé :

1. À partir du WLC, accédez à Controller > Interfaces. Cliquez ensuite sur Nouveau.

   

2. À partir du WLC, accédez à Controller > Interfaces. Saisissez les informations suivantes :

   • Nom de l'interface : Employé

   • ID de VLAN: 11

   

3. Saisissez les informations suivantes pour l'interface Employé :

   • Port number (numéro de port) : 1

   • Identificateur VLAN : 11

   • Adresse IP: 10.10.11.5

   • Masque de réseau: 255.255.255.0

   • Passerelle : 10.10.11.1

   • DHCP : 10.10.10.10

   

4. Confirmez que la nouvelle interface dynamique d'employé est créée.

   

Créer une interface dynamique invité WLC

Complétez ces étapes afin d'ajouter une nouvelle interface dynamique pour le WLC et de la mapper au VLAN invité :

1. À partir du WLC, accédez à Controller > Interfaces. Cliquez ensuite sur Nouveau.

2. À partir du WLC, accédez à Controller > Interfaces. Saisissez les informations suivantes :

   • Nom de l'interface : Invité

   • ID de VLAN: 12

   

3. Entrez les éléments suivants pour l'interface invité :

   • Port number (numéro de port) : 1

   • Identificateur VLAN : 12

   • Adresse IP: 10.10.12.5

   • Masque de réseau: 255.255.255.0

   • Passerelle : 10.10.12.1

   • DHCP : 10.10.10.10

   

4. Vérifiez que l'interface invité a été ajoutée.

   

Ajouter un WLAN 802.1x

À partir du bootstrap initial du WLC, un WLAN par défaut a peut-être été créé. Si oui, modifiez-le ou créez un nouveau WLAN pour prendre en charge l'authentification 802.1X sans fil, comme indiqué dans le guide.

Procédez comme suit :

1. À partir du WLC, accédez à WLAN > Create New.

   

2. Pour le WLAN, saisissez ce qui suit :

   • Nom du profil : pod1x

   • SSID : Identique

   

3. Pour l'onglet WLAN settings > General, utilisez les options suivantes :

   • Politique radio : all

   • Interface/groupe : gestion

   • Tout le reste : par défaut

   

4. Dans l'onglet WLAN > Security > Layer 2, définissez les éléments suivants :

   • Sécurité de couche 2:WPA+WPA2

   • Politique WPA2 / Cryptage : Activé / AES

   • Gestion des clés d'authentification : 802.1X

   

5. Dans l'onglet WLAN > Security > AAA Servers, définissez les paramètres suivants :

   • Interface de remplacement du serveur radio : Désactivé

   • Serveurs d'authentification/de comptabilité : Activée

   • Serveur 1 : 10.10.10.70

   

6. Dans l'onglet WLAN > Advanced, définissez les éléments suivants :

   • Autoriser la substitution AAA : Activée

   • État NAC : Radius NAC (sélectionné)

   

7. Revenez à l'onglet WLAN > General > Enable WLAN (WLAN) (WLAN > Général > Enable WLAN (Activer WLAN) (case à cocher).

   

Tester les interfaces dynamiques du WLC

Vous devez vérifier rapidement les interfaces d'employé et d'invité valides. Utilisez n'importe quel périphérique pour vous associer au WLAN, puis modifiez l'affectation d'interface WLAN.

1. À partir du WLC, accédez à WLAN > WLAN. Cliquez pour modifier votre SSID sécurisé créé lors de l'exercice précédent.

2. Modifiez l'interface/groupe d'interfaces en Employé, puis cliquez sur Appliquer.

   

3. Si configuré correctement, un périphérique reçoit une adresse IP du VLAN employé (10.10.11.0/24). Cet exemple montre un périphérique iOS qui obtient une nouvelle adresse IP.

   

4. Une fois l'interface précédente confirmée, modifiez l'affectation de l'interface WLAN en Guest, puis cliquez sur Apply.

   

5. Si configuré correctement, un périphérique reçoit une adresse IP du VLAN invité (10.10.12.0/24). Cet exemple montre un périphérique iOS qui obtient une nouvelle adresse IP.

   

6. IMPORTANT : Remplacez l'affectation d'interface par la gestion d'origine.

7. Cliquez sur Apply et enregistrez la configuration pour le WLC.

Authentification sans fil pour iOS (iPhone/iPad)

Associer au WLC via un SSID authentifié un utilisateur INTERNE (ou un utilisateur AD intégré) à l'aide d'un appareil iOS tel qu'un iPhone, un iPad ou un iPod. Ignorez ces étapes si elles ne sont pas applicables.

1. Sur le périphérique iOS, accédez aux paramètres WLAN. Activez WIFI, puis sélectionnez le SSID 802.1X activé créé dans la section précédente.

2. Fournir ces informations afin de se connecter :

   • username (nom d’utilisateur) : employé (interne - employé) ou entrepreneur (interne - entrepreneur)

   • Mot de passe : XXXX

   

3. Cliquez pour accepter le certificat ISE.

   

4. Vérifiez que le périphérique iOS reçoit une adresse IP de l'interface de gestion (VLAN10).

   

5. Sur le WLC > Monitor > Clients, vérifiez les informations du point de terminaison, notamment l'utilisation, l'état et le type EAP.

   

6. De même, les informations sur le client peuvent être fournies par ISE > Monitor > Authentication page.

   

7. Cliquez sur l'icône Détails afin d'accéder à la session pour obtenir des informations détaillées sur la session.

   

Ajouter une liste de contrôle d'accès de redirection de position au WLC

La liste de contrôle d'accès de redirection de posture est configurée sur le WLC, où ISE utilisera pour restreindre la position du client. La liste de contrôle d’accès autorise au moins le trafic entre ISE. Des règles facultatives peuvent être ajoutées à cette liste de contrôle d’accès si nécessaire.

1. Accédez à WLC > Security > Access Control Lists > Access Control Lists. Cliquez sur New.

   

2. Indiquez un nom (ACL-POSTURE-REDIRECT) pour la liste de contrôle d’accès.

   

3. Cliquez sur Ajouter une nouvelle règle pour la nouvelle liste de contrôle d'accès. Définissez les valeurs suivantes sur la séquence 1 de la liste de contrôle d’accès. Cliquez sur Apply lorsque vous avez terminé.

   • Source : tous les modèles

   • Destination : Adresse IP 10.10.10.70, 255.255.255.255

   • Protocole : tous les modèles

   • Action : Autoriser

   

4. La séquence de confirmation a été ajoutée.

   

5. Cliquez sur Ajouter une nouvelle règle. Définissez les valeurs suivantes sur la séquence 2 de la liste de contrôle d’accès. Cliquez sur Apply lorsque vous avez terminé.

   • Source : Adresse IP 10.10.10.70, 255.255.255.255

   • Destination : tous les modèles

   • Protocole : tous les modèles

   • Action : Autoriser

   

6. La séquence de confirmation a été ajoutée.

   

7. Définissez les valeurs suivantes sur la séquence 3 de la liste de contrôle d’accès. Cliquez sur Apply lorsque vous avez terminé.

   • Source : tous les modèles

   • Destination : tous les modèles

   • Protocole : UDP

   • Port source : DNS

   • Port de destination : tous les modèles

   • Action : Autoriser

   

8. La séquence de confirmation a été ajoutée.

   

9. Cliquez sur Ajouter une nouvelle règle. Définissez les valeurs suivantes sur la séquence 4 de la liste de contrôle d’accès. Cliquez sur Apply lorsque vous avez terminé.

   • Source : tous les modèles

   • Destination : tous les modèles

   • Protocole : UDP

   • Port source : tous les modèles

   • Port de destination : DNS

   • Action : Autoriser

   

10. La séquence de confirmation a été ajoutée.

    

11. Enregistrez la configuration actuelle du WLC.

Activer les profils sur ISE

L'ISE doit être configurée comme sondes pour profiler efficacement les terminaux. Par défaut, ces options sont désactivées. Cette section explique comment configurer ISE pour être des sondes.

1. À partir de la gestion ISE, accédez à Administration > System > Deployment.

   

2. Choisissez ISE. Cliquez sur Modifier l'hôte ISE.

   

3. Dans la page Modifier le noeud, sélectionnez la configuration de profilage et configurez les éléments suivants :

   • DHCP : Activé, Tout (ou par défaut)

   • DHCPSPAN : Activé, Tout (ou par défaut)

   • HTTP : Activé, Tout (ou par défaut)

   • RADIUS: Activé, N/D

   • DNS: Activé, N/D

   

4. Réassocier les périphériques (iPhone/iPads/Droids/Mac, etc.).

5. Confirmez les identités des points de terminaison ISE. Accédez à Administration > Identity Management > Identities. Cliquez sur Endpoints pour afficher la liste des profils.

   Remarque : le profilage initial provient des sondes RADIUS.

   

Activer les stratégies de profil ISE pour les périphériques

Hors de la boîte, ISE fournit une bibliothèque de différents profils de terminaux. Complétez ces étapes afin d'activer les profils pour les périphériques :

1. Dans ISE, accédez à Policy > Profilage.

   

2. Dans le volet gauche, développez Stratégies de profilage.

3. Cliquez sur Apple Device > Apple iPad, puis définissez les paramètres suivants :

   • Stratégie activée : Activée

   • Créer un groupe d'identités correspondant : Sélectionné

   

4. Cliquez sur Apple Device > Apple iPhone, définissez les paramètres suivants :

   • Stratégie activée : Activée

   • Créer un groupe d'identités correspondant : Sélectionné

   

5. Cliquez sur Android, définissez les paramètres suivants :

   • Stratégie activée : Activée

   • Créer un groupe d'identités correspondant : Sélectionné

   

Profil d'autorisation ISE pour la redirection de la découverte de posture

Complétez ces étapes afin de configurer une redirection de la position de stratégie d'autorisation permet de rediriger de nouveaux périphériques vers ISE pour une détection et un profilage appropriés :

1. Dans ISE, accédez à Policy > Policy Elements > Results.

   

2. Développez Autorisation. Cliquez sur Profils d'autorisation (volet gauche) et cliquez sur Ajouter.

   

3. Créez le profil d'autorisation avec les éléments suivants :

   • Name : Posture_Remediation

   • Type d'accès : Access_Accepter

   • Outils courants :

     • Découverte de la position, activée

     • Découverte de position, ACL ACL-POSTURE-REDIRECT

   

4. Cliquez sur Soumettre pour terminer cette tâche.

5. Confirmez que le nouveau profil d'autorisation est ajouté.

   

Créer un profil d'autorisation ISE pour les employés

L'ajout d'un profil d'autorisation pour un employé permet à ISE d'autoriser et d'autoriser l'accès avec les attributs assignés. Le VLAN 11 de l'employé est attribué dans ce cas.

Procédez comme suit :

1. Dans ISE, accédez à Policy > Results. Développez Authorization, puis cliquez sur Authorization Profiles et cliquez sur Add.

   

2. Saisissez les informations suivantes pour le profil d'autorisation Employé :

   • Name : Employé_Sans fil

   • Tâches courantes :

     • VLAN, activé

     • VLAN, sous-valeur 11

3. Cliquez sur Soumettre pour terminer cette tâche.

   

4. Confirmez que le nouveau profil d'autorisation des employés a été créé.

   

Créer un profil d'autorisation ISE pour l'entrepreneur

L'ajout d'un profil d'autorisation pour un fournisseur permet à ISE d'autoriser et d'autoriser l'accès avec les attributs attribués. Le VLAN 12 de l'entrepreneur est attribué dans ce cas.

Procédez comme suit :

1. Dans ISE, accédez à Policy > Results. Développez Authorization, puis cliquez sur Authorization Profiles et cliquez sur Add.

2. Saisissez les informations suivantes pour le profil d'autorisation Employé :

   • Name : Employé_Sans fil

   • Tâches courantes :

     • VLAN, activé

     • VLAN, sous-valeur 12

   

3. Cliquez sur Soumettre pour terminer cette tâche.

4. Confirmez que le profil d'autorisation de l'entrepreneur a été créé.

   

Stratégie d'autorisation pour la position/le profilage des périphériques

Peu d'informations sont connues sur un nouveau périphérique lorsqu'il arrive sur le réseau pour la première fois, un administrateur crée la stratégie appropriée pour permettre l'identification des points de terminaison inconnus avant d'autoriser l'accès. Dans cet exercice, la politique d'autorisation sera créée de sorte qu'un nouvel appareil soit redirigé vers ISE pour l'évaluation de la posture (pour les appareils mobiles n'ayant pas d'agent, seul le profilage est pertinent); les terminaux seront redirigés vers le portail captif ISE et identifiés.

Procédez comme suit :

1. Dans ISE, accédez à Policy > Authorization.

   

2. Il existe une politique pour les téléphones IP Cisco profilés. C'est sorti de la boîte. Modifiez-le en tant que stratégie de posture.

3. Entrez les valeurs suivantes pour cette stratégie :

   • Nom de la règle : Posture_Remediation

   • Groupes d'identités : tous les modèles

   • Autres conditions > Créer : (Avancé) Session > PostureStatus

   • PostureStatus > Equals : Inconnu

   

4. Définissez les autorisations suivantes :

   • Autorisations > Standard : Posture_Remediation

   

5. Click Save.

   Remarque : Vous pouvez également créer des éléments de stratégie personnalisés afin d'en faciliter l'utilisation.

Stratégie de correction de la position de test

Une démonstration simple peut être effectuée pour montrer que l'ISE profile correctement un nouveau périphérique en fonction de la politique de position.

1. Depuis ISE, accédez à Administration > Identity Management > Identities.

   

2. Cliquez sur Terminaux. Associez et connectez un périphérique (un iPhone dans cet exemple).

   

3. Actualiser la liste des terminaux. Observez les informations fournies.

4. À partir du périphérique d'extrémité, accédez à :

   • URL: http://www (ou 10.10.10.10)

   Le périphérique est redirigé. Acceptez toute invite de certificats.

5. Une fois l'appareil mobile complètement redirigé, actualisez à nouveau la liste des terminaux à partir de ISE. Observez ce qui a changé. Le terminal précédent (par exemple, Apple-Device) aurait dû passer à Apple-iPhone, etc. La raison en est que la sonde HTTP obtient efficacement les informations utilisateur-agent, dans le cadre du processus de redirection vers le portail captif.

   

Politique d'autorisation pour l'accès différencié

Après avoir testé avec succès l'autorisation de position, continuez à élaborer des stratégies pour prendre en charge un accès différencié pour l'employé et l'entrepreneur avec des périphériques connus et une affectation de VLAN différente spécifique au rôle utilisateur (dans ce scénario, Employé et entrepreneur).

Procédez comme suit :

1. Accédez à ISE > Policy > Authorization.

2. Ajoutez/insérez une nouvelle règle au-dessus de la ligne/de la politique de correction de poste.

   

3. Entrez les valeurs suivantes pour cette stratégie :

   • Nom de la règle : Employé

   • Groupes d'identités (extension) : Groupes d'identités de point de terminaison

   

   • Groupes d'identités de point de terminaison : Profilé

   • Profilé : Android, Apple-iPad ou Apple-iPhone

   

4. Afin de spécifier des types de périphériques supplémentaires, cliquez sur le + et ajoutez d'autres périphériques (si nécessaire) :

   • Groupes d'identités de point de terminaison : Profilé

   • Profilé : Android, Apple-iPad ou Apple-iPhone

   

5. Spécifiez les valeurs d'autorisations suivantes pour cette stratégie :

   • Autres conditions (extension) : Créer une nouvelle condition (option avancée)

   

   • Condition > Expression (à partir de la liste) : InternalUser > Name

   

   • InternalUser > Name : employé

   

6. Ajouter une condition pour la session de posture Conforme :

   • Autorisations > Profils > Standard : Employé_Sans fil

   

7. Click Save. Vérifiez que la stratégie a été ajoutée correctement.

   

8. Poursuivez en ajoutant la stratégie de fournisseur. Dans ce document, la stratégie précédente est dupliquée afin d'accélérer le processus (ou, vous pouvez configurer manuellement pour les bonnes pratiques).

   Dans la stratégie Employé > Actions, cliquez sur Dupliquer ci-dessous.

   

9. Modifiez les champs suivants pour cette stratégie (copie dupliquée) :

   • Nom de la règle : Contractant

   • Autres conditions > InternalUser > Nom : entrepreneur

   • Autorisations : Contractant_Sans fil

   

10. Click Save. Vérifiez que la copie dupliquée précédente (ou la nouvelle stratégie) est correctement configurée.

    

11. Afin d'afficher un aperçu des stratégies, cliquez sur Aperçu de la stratégie.

    

    La vue Aperçu des politiques fournit un résumé consolidé et des politiques faciles à voir.

    

Test de CoA pour accès différencié

Avec les profils d'autorisation et les politiques préparés pour différencier l'accès, il est temps de tester. Avec un WLAN sécurisé unique, un employé se verra attribuer le VLAN employé et un entrepreneur sera affecté au VLAN fournisseur. Un iPhone/iPad Apple est utilisé dans les exemples suivants.

Procédez comme suit :

1. Connectez-vous au WLAN sécurisé (POD1x) avec l'appareil mobile et utilisez les informations d'identification suivantes :

   • username (nom d’utilisateur) : employé

   • Mot de passe : XXXXX

   

2. Cliquez sur Joindre. Vérifiez que le VLAN 11 (VLAN employé) est attribué à l'employé.

   

3. Cliquez sur Oublier ce réseau. Confirmez en cliquant sur Oublier.

   

4. Accédez au WLC et supprimez les connexions client existantes (si elles ont été utilisées lors des étapes précédentes). Accédez à Monitor > Clients > MAC address, puis cliquez sur Remove.

   

   

5. Une autre façon sûre d'effacer les sessions client précédentes est de désactiver/activer le WLAN.

   1. Accédez à WLC > WLANs > WLAN, puis cliquez sur le WLAN à modifier.

   2. Désactivez Activé > Appliquer (pour désactiver).

   3. Cochez la case Activé > Appliquer (pour réactiver).

      

6. Revenir à l'appareil mobile. Connectez-vous à nouveau au même WLAN avec les informations d'identification suivantes :

   • username (nom d’utilisateur) : entrepreneur

   • Mot de passe : XXXX

   

7. Cliquez sur Joindre. Vérifiez que le VLAN 12 (VLAN entrepreneur/invité) est attribué à l'utilisateur du fournisseur.

   

8. Vous pouvez consulter la vue du journal en temps réel ISE dans ISE > Monitor > Authorization. Vous devriez voir des utilisateurs individuels (employés, sous-traitants) obtenir des profils d'autorisation différenciés (Employee_WirelessvsContractant_Wireless) dans différents VLAN.

   

WLAN invité WLC

Complétez ces étapes afin d'ajouter un WLAN invité pour permettre aux invités d'accéder au portail d'invité du sponsor ISE :

1. À partir du WLC, accédez à WLANs > WLANs > Add New.

2. Saisissez les informations suivantes pour le nouveau WLAN invité :

   • Nom du profil : pod1guest

   • SSID : pod1guest

   

3. Cliquez sur Apply.

4. Saisissez ce qui suit sous l'onglet WLAN invité > General :

   • État : Désactivé

   • Groupe interface/interface : Invité

   

5. Accédez à WLAN invité > Security > Layer2 et saisissez les informations suivantes :

   • Sécurité de couche 2 : Aucune

   

6. Accédez à l'onglet WLAN invité > Security > Layer3 et saisissez ce qui suit :

   • Sécurité de couche 3 : Aucune

   • Stratégie Web : Activée

   • Sous-valeur de la stratégie Web : Authentification

   • Liste de contrôle d'accès de préauthentification : ACL-POSTURE-REDIRECT

   • Type d'authentification Web : Externe (rediriger vers un serveur externe)

   • URL: https://10.10.10.70:8443/guestportal/Login.action

   

7. Cliquez sur Apply.

8. Veillez à enregistrer la configuration du WLC.

Test du WLAN invité et du portail invité

Vous pouvez maintenant tester la configuration du WLAN invité. Il doit rediriger les invités vers le portail des invités ISE.

Procédez comme suit :

1. À partir d'un appareil iOS tel qu'un iPhone, accédez à Réseaux Wi-Fi > Activer. Sélectionnez ensuite le réseau d'invités POD.

   

2. Votre périphérique iOS doit afficher une adresse IP valide du VLAN invité (10.10.12.0/24).

   

3. Ouvrez le navigateur Safari et connectez-vous à :

   • URL: http://10.10.10.10

   Une redirection d'authentification Web s'affiche.

4. Cliquez sur Continuer jusqu'à ce que vous soyez arrivé à la page du portail d'invité ISE.

   

   L'exemple suivant montre le périphérique iOS sur une connexion au portail invité. Ceci confirme que la configuration correcte pour le WLAN et ISE Guest Portal est active.

   

Accès invité sponsorisé sans fil ISE

ISE peut être configuré pour permettre aux invités d'être sponsorisés. Dans ce cas, vous allez configurer les stratégies d'invité ISE pour permettre aux utilisateurs internes ou du domaine AD (si intégré) de parrainer l'accès invité. Vous allez également configurer ISE pour permettre aux sponsors d'afficher le mot de passe invité (facultatif), ce qui est utile pour ces travaux pratiques.

Procédez comme suit :

1. Ajoutez l'utilisateur employé au groupe SponsorAllAccount. Il existe différentes manières de le faire : accédez directement au groupe ou modifiez l'utilisateur et affectez le groupe. Pour cet exemple, accédez à Administration > Identity Management > Groups > User Identity Groups. Ensuite, cliquez sur SponsorAllAccount et ajoutez l'utilisateur employé.

   

2. Accédez à Administration > Guest Management > Sponsor Groups.

   

3. Cliquez sur Modifier, puis sélectionnez SponsorAllAccounts.

   

4. Sélectionnez Niveaux d'autorisation et définissez les éléments suivants :

   • Afficher le mot de passe de l'invité : Oui

   

5. Cliquez sur Enregistrer pour terminer cette tâche.

Invité sponsor

Auparavant, vous avez configuré la stratégie d'invité et les groupes appropriés pour permettre à l'utilisateur du domaine AD de parrainer des invités temporaires. Ensuite, vous accéderez au portail des sponsors et créerez un accès invité temporaire.

Procédez comme suit :

1. À partir d'un navigateur, accédez à l'une des URL suivantes : http://<ise ip> : 8080/sponsoring portal/ ou https://<ise ip> : 8443/sponsoring portal/. Ensuite, connectez-vous avec les éléments suivants :

   • username (nom d’utilisateur) : aduser (Active Directory), employé (utilisateur interne)

   • Mot de passe : XXXX

   

2. Dans la page Sponsor, cliquez sur Create Single Guest User Account (Créer un compte d'utilisateur invité unique).

   

3. Pour un invité temporaire, ajoutez ce qui suit :

   • Prénom : Obligatoire (par exemple, Sam)

   • Nom : Obligatoire (par exemple, Jones)

   • Rôle de groupe : Invité

   • Profil temporel : Par défautUneHeure

   • Fuseau horaire : Tout/par défaut

   

4. Cliquez sur Submit.

5. Un compte d'invité est créé en fonction de votre entrée précédente. Notez que le mot de passe est visible (à partir de l'exercice précédent) par opposition au hachage ***.

6. Laissez cette fenêtre ouverte indiquant le nom d'utilisateur et le mot de passe de l'invité. Vous les utiliserez pour tester la connexion au portail invité (suivant).

   

Test de l'accès au portail invité

Avec le nouveau compte invité créé par un utilisateur/sponsor AD, il est temps de tester le portail invité et l'accès.

Procédez comme suit :

1. Sur un périphérique préféré (dans ce cas un iOS/iPad Apple), connectez-vous au SSID Pod Guest et vérifiez l'adresse IP/connectivité.

2. Utilisez le navigateur et essayez de naviguer jusqu'à http://www.

   Vous êtes redirigé vers la page de connexion du portail invité.

   

3. Connectez-vous à l'aide du compte invité créé lors de l'exercice précédent.

   En cas de succès, la page Stratégie d'utilisation acceptable s'affiche.

4. Cochez Accepter les termes et conditions, puis cliquez sur Accepter.

   

   L'URL d'origine est terminée et le point de terminaison est autorisé à accéder en tant qu'invité.

Configuration du certificat

Afin de sécuriser les communications avec ISE, déterminez si la communication est liée à l'authentification ou à la gestion ISE. Par exemple, pour la configuration à l'aide de l'interface utilisateur Web ISE, les certificats X.509 et les chaînes d'approbation de certificat doivent être configurés pour activer le chiffrement asymétrique.

Procédez comme suit :

1. À partir de votre ordinateur connecté par câble, ouvrez une fenêtre de navigateur sur https://AD/certsrv.

   Remarque : utilisez le protocole HTTP sécurisé.

   Remarque : utilisez Mozilla Firefox ou MS Internet Explorer pour accéder à ISE.

2. Connectez-vous en tant qu'administrateur/Cisco123.

   

3. Cliquez sur Télécharger un certificat CA, une chaîne de certificats ou une liste de révocation de certificats.

   

4. Cliquez sur Télécharger le certificat de l'Autorité de certification et enregistrez-le (notez l'emplacement d'enregistrement).

   

5. Ouvrez une fenêtre de navigateur sur https://<Pod-ISE>.

6. Accédez à Administration > System > Certificates > Certificates Authority Certificates.

   

7. Sélectionnez l'opération Certificats d'autorité de certification et accédez au certificat d'autorité de certification précédemment téléchargé.

8. Sélectionnez Trust for client with EAP-TLS, puis envoyez.

   

9. Confirmez que l'autorité de certification a été ajoutée en tant qu'autorité de certification racine.

   

10. À partir d'un navigateur, accédez à Administration > System > Certificates > Certificates Authority Certificates.

11. Cliquez sur Ajouter, puis Générez une demande de signature de certificat.

    

12. Envoyez ces valeurs :

    • Objet du certificat : CN=ise.corp.rf-demo.com

    • Longueur de la clé : 2048

    

13. ISE demande que le CSR soit disponible dans la page CSR. Click OK.

    

14. Sélectionnez le CSR dans la page CSR ISE et cliquez sur Exporter.

15. Enregistrer le fichier à n'importe quel emplacement (par exemple, Téléchargements, etc.)

16. Le fichier sera enregistré sous *.pem.

    

17. Recherchez le fichier CSR et modifiez-le à l'aide du Bloc-notes/Wordpad/TextEdit.

18. Copier le contenu (Sélectionner tout > Copier).

    

19. Ouvrez une fenêtre de navigateur sur https://<Pod-AD>/certsrv.

20. Cliquez sur Demander un certificat.

    

21. Cliquez pour soumettre une demande de certificat avancée.

    

22. Collez le contenu CSR dans le champ Requête enregistrée.

    

23. Sélectionnez Serveur Web comme modèle de certificat, puis cliquez sur Soumettre.

    

24. Sélectionnez DER encoded, puis cliquez sur Télécharger le certificat.

    

25. Enregistrer le fichier à un emplacement connu (par exemple, Téléchargements)

26. Accédez à Administration > System > Certificates > Certificates Authority Certificates.

    

27. Cliquez sur Add > Bind CA Certificate.

    

28. Accédez au certificat CA précédemment téléchargé.

    

29. Sélectionnez Protocol EAP et Management Interface, puis cliquez sur Submit.

30. Confirmez que l'autorité de certification a été ajoutée en tant qu'autorité de certification racine.

    

Intégration d'Active Directory Windows 2008

ISE peut communiquer directement avec Active Directory (AD) pour l'authentification utilisateur/machine ou pour la récupération des informations d'autorisation des attributs utilisateur. Pour communiquer avec AD, ISE doit être « joint » à un domaine AD. Dans cet exercice, vous allez rejoindre ISE à un domaine AD et confirmer que la communication AD fonctionne correctement.

Procédez comme suit :

1. Pour rejoindre ISE au domaine AD, à partir d'ISE, allez à Administration > Identity Management > External Identity Sources.

   

2. Dans le volet de gauche (Sources d'identité externes), sélectionnez Active Directory.

3. Sur le côté droit, sélectionnez l'onglet Connexion et saisissez les informations suivantes :

   • le nom de domaine: corp.rf-demo.com

   • Nom du magasin d'identités : AD1

   

4. Cliquez sur Tester la connexion. Entrez le nom d'utilisateur AD (aduser/Cisco123), puis cliquez sur OK.

   

5. Vérifiez que l'état du test indique Test réussi.

6. Sélectionnez Afficher le journal détaillé et observez les détails utiles pour le dépannage. Cliquez sur OK pour continuer.

   

7. Cliquez sur Enregistrer la configuration.

   

8. Cliquez sur Joindre. Entrez l'utilisateur AD (administrateur/Cisco123), puis cliquez sur OK.

   

9. Vérifiez que l'état de l'opération de jointure indique Réussite, puis cliquez sur OK pour continuer.

   L'état de la connexion au serveur indique CONNECTED. Si cet état change à tout moment, une connexion de test permet de résoudre les problèmes liés aux opérations AD.

   

Ajouter des groupes Active Directory

Lorsque des groupes AD sont ajoutés, un contrôle plus granulaire est autorisé sur les stratégies ISE. Par exemple, les groupes AD peuvent être différenciés par des rôles fonctionnels, tels que les groupes Employés ou Entrepreneurs, sans que le bogue associé ne soit détecté dans les exercices précédents d'ISE 1.0 où les politiques étaient limitées aux utilisateurs uniquement.

Au cours de ces travaux pratiques, seuls les utilisateurs du domaine et/ou le groupe Employés sont utilisés.

Procédez comme suit :

1. Dans ISE, accédez à Administration > Identity Management > External Identity Sources.

2. Sélectionnez Active Directory > onglet Groupes.

3. Cliquez sur +Ajouter, puis sélectionnez Groupes dans le répertoire.

   

4. Dans la fenêtre de suivi (Sélectionner des groupes de répertoires), acceptez les valeurs par défaut pour le domaine (corp-rf-demo.com) et le filtre (*). Ensuite, cliquez sur Récupérer les groupes.

   

5. Sélectionnez les zones des groupes Utilisateurs de domaine et Employés. Cliquez sur OK lorsque vous avez terminé.

   

6. Confirmez que les groupes ont été ajoutés à la liste.

   

Ajouter une séquence de source d'identité

Par défaut, ISE est configuré pour utiliser Utilisateurs internes pour le magasin d'authentification. Si AD est ajouté, un ordre de séquence prioritaire peut être créé pour inclure la distance administrative que ISE utilisera pour vérifier l'authentification.

Procédez comme suit :

1. Depuis ISE, accédez à Administration > Identity Management > Identity Source Sequences.

   

2. Cliquez sur +Ajouter afin d'ajouter une nouvelle séquence.

   

3. Entrez le nouveau nom : AD_Interne. Ajoutez toutes les sources disponibles au champ Sélectionné. Ensuite, réorganisez le cas échéant afin que AD1 soit déplacé en haut de la liste. Cliquez sur Submit.

   

4. Vérifiez que la séquence a été ajoutée à la liste.

   

Accès invité sponsorisé sans fil ISE avec AD intégré

ISE peut être configuré pour permettre aux invités d'être sponsorisés avec des stratégies afin de permettre aux utilisateurs du domaine AD de parrainer l'accès invité.

Procédez comme suit :

1. Dans ISE, accédez à Administration > Guest Management > Settings.

   

2. Développez Sponsor, puis cliquez sur Authentication Source. Ensuite, sélectionnez AD_Internal en tant que séquence de magasin d'identités.

   

3. Confirmez AD_Internal en tant que séquence de magasin d'identités. Click Save.

   

4. Accédez à Administration > Guest Management > Sponsor Group Policy.

   

5. Insérer une nouvelle stratégie au-dessus de la première règle (cliquez sur l'icône Actions à droite).

   

6. Pour la nouvelle stratégie de groupe de sponsors, créez les éléments suivants :

   • Nom de la règle : Utilisateurs du domaine

   • Groupes d'identités : tous les modèles

   • Autres conditions : (Créer / Avancé) > AD1

   

   • AD1 : Groupes externes

   

   • Groupes externes AD1 > Égaux > corp.rf-demo.com/Users/Domain Utilisateurs

   

7. Dans Groupes de sponsors, définissez les éléments suivants :

   • Groupes de sponsors : SponsorAllAccounts

   

8. Accédez à Administration > Guest Management > Sponsor Groups.

   

9. Sélectionnez Edition > SponsorAllAccounts.

   

10. Sélectionnez Niveaux d'autorisation et définissez les éléments suivants :

    • Afficher le mot de passe de l'invité : Oui

    

Configuration de SPAN sur le commutateur

Configure SPAN - ISE mgt/probe interface est L2 adjacent à l'interface de gestion WLC. Le commutateur peut être configuré sur SPAN et d'autres interfaces, telles que les VLAN d'interface employé et invité.

Podswitch(config)#monitor session 1 source vlan10 , 11 , 12
Podswitch(config)#monitor session 1 destination interface Fa0/8

ISE virtual probe interface.

Référence: Authentification sans fil pour Apple MAC OS X

Associer au WLC via un SSID authentifié en tant qu'utilisateur interne (ou utilisateur AD intégré) à l'aide d'un ordinateur portable sans fil Apple Mac OS X. Ignorer si non applicable.

1. Sur un Mac, accédez aux paramètres WLAN. Activez WIFI, puis sélectionnez et connectez-vous au SSID POD 802.1X activé créé dans l'exercice précédent.

   

2. Fournir les informations suivantes pour la connexion :

   • username (nom d’utilisateur) : auditeur (si vous utilisez AD), employé (interne - employé), entrepreneur (interne - entrepreneur)

   • Mot de passe : XXXX

   • 802.1X : Automatique

   • Certificat TLS : Aucune

   

   Pour le moment, il se peut que l'ordinateur portable ne se connecte pas. En outre, ISE peut lancer un événement défaillant comme suit :

   Authentication failed :12514 EAP-TLS failed SSL/TLS handshake because of 
   an unknown CA in the client certificates chain

3. Accédez au paramètre System Preference > Network > Airport > 802.1X et définissez le nouveau SSID/profil WPA Authentication comme suit :

   • TLS : Désactivé

   • PEAP : Activée

   • TTLS : Désactivé

   • EAP-FAST : Désactivé

   

4. Cliquez sur OK pour continuer et autoriser l'enregistrement du paramètre.

5. Dans l'écran Network (Réseau), sélectionnez le SSID approprié + profil WPA 802.1X, puis cliquez sur Connect (Connexion).

   

6. Le système peut demander un nom d'utilisateur et un mot de passe. Entrez l'utilisateur et le mot de passe AD (aduser/XXXX), puis cliquez sur OK.

   

   Le client doit afficher Connected via PEAP avec une adresse IP valide.

   

Référence: Authentification sans fil pour Microsoft Windows XP

Associer au WLC via un SSID authentifié en tant qu'utilisateur interne (ou utilisateur AD intégré) à l'aide d'un ordinateur portable sans fil Windows XP. Ignorer si non applicable.

Procédez comme suit :

1. Sur l'ordinateur portable, accédez aux paramètres WLAN. Activez WIFI et connectez-vous au SSID POD 802.1X activé créé lors de l'exercice précédent.

   

2. Accédez aux propriétés réseau de l'interface WIFI.

   

3. Accédez à l'onglet Réseaux sans fil. Sélectionnez les propriétés du réseau SSID pod > onglet Authentication > EAP type = Protected EAP (PEAP).

   

4. Cliquez sur les propriétés EAP.

5. Définissez les éléments suivants :

   • Valider le certificat du serveur : Désactivé

   • Méthode d'authentification : Mot de passe sécurisé (EAP-MSCHAP v2)

   

6. Cliquez sur OK dans toutes les fenêtres pour terminer cette tâche de configuration.

7. Le client Windows XP demande le nom d'utilisateur et le mot de passe. Dans cet exemple, il est aduser/XXXX.

8. Confirmer la connectivité réseau et l'adressage IP (v4).

Référence: Authentification sans fil pour Microsoft Windows 7

Associer au WLC via un SSID authentifié en tant qu'utilisateur interne (ou utilisateur AD intégré) à l'aide d'un ordinateur portable sans fil Windows 7.

1. Sur l'ordinateur portable, accédez aux paramètres WLAN. Activez WIFI et connectez-vous au SSID POD 802.1X activé créé lors de l'exercice précédent.

   

2. Accédez au Wireless Manager et modifiez le nouveau profil sans fil POD.

3. Définissez les éléments suivants :

   • Méthode d'authentification : PEAP

   • Rappelez-vous mes informations d'identification... : Désactivé

   • Valider le certificat du serveur (paramètre avancé) : Désactivé

   • Authentication Method (avancé). Paramètre) : EAP-MSCHAP v2

   • Utiliser automatiquement mon ouverture de session Windows.. : Désactivé

   

Informations connexes

• Support et documentation techniques - Cisco Systems